Πώς λειτουργεί ο έλεγχος ταυτότητας Kerberos;

από
Tweet
Share
Share
Pin

Αν και το Kerberos είναι ένα σύστημα back-end, είναι τόσο άψογα ενσωματωμένο που οι περισσότεροι χρήστες ή διαχειριστές παραβλέπουν την ύπαρξή του.

Τι είναι το Kerberos και πώς λειτουργεί;

Εάν χρησιμοποιείτε ηλεκτρονικό ταχυδρομείο ή άλλες διαδικτυακές υπηρεσίες που απαιτούν σύνδεση για πρόσβαση σε πόρους, το πιθανότερο είναι ότι πραγματοποιείτε έλεγχο ταυτότητας μέσω του συστήματος Kerberos.

Ο ασφαλής μηχανισμός ελέγχου ταυτότητας γνωστός ως Kerberos εγγυάται την ασφαλή επικοινωνία μεταξύ συσκευών, συστημάτων και δικτύων. Ο κύριος στόχος του είναι να προστατεύσει τα δεδομένα σας και τις πληροφορίες σύνδεσης από χάκερ.

Το Kerberos υποστηρίζεται από όλα τα δημοφιλή λειτουργικά συστήματα, συμπεριλαμβανομένων των Microsoft Windows, Apple macOS, FreeBSD και Linux.

Ένα μοντέλο ασφαλείας πέντε επιπέδων που χρησιμοποιείται από την Kerberos περιλαμβάνει αμοιβαίο έλεγχο ταυτότητας και συμμετρική κρυπτογραφία κλειδιού. Η επαλήθευση της ταυτότητας κάποιου επιτρέπει στους εξουσιοδοτημένους χρήστες να συνδεθούν σε ένα σύστημα.

Συνδυάζει μια κεντρική βάση δεδομένων και κρυπτογράφηση για να επιβεβαιώσει τη νομιμότητα των χρηστών και των υπηρεσιών. Ο διακομιστής Kerberos πρώτα ελέγχει την ταυτότητα ενός χρήστη πριν του επιτρέψει την πρόσβαση σε μια υπηρεσία. Στη συνέχεια, τους εκδίδεται ένα εισιτήριο που μπορούν να χρησιμοποιήσουν για πρόσβαση στην υπηρεσία, εάν πιστοποιηθούν επιτυχώς.

Στην ουσία, το Kerberos βασίζεται σε «εισιτήρια» για να επιτρέπει στους χρήστες να επικοινωνούν μεταξύ τους με ασφάλεια. Το πρωτόκολλο Kerberos χρησιμοποιεί ένα Κέντρο Διανομής Κλειδιών (KDC) για τη δημιουργία επικοινωνίας μεταξύ πελατών και διακομιστών.

Όταν χρησιμοποιείτε το πρωτόκολλο Kerberos, ο διακομιστής λαμβάνει ένα αίτημα από τον πελάτη. Μετά από αυτό, ο διακομιστής απαντά με μια απάντηση που περιέχει ένα διακριτικό. Στη συνέχεια, ο πελάτης εκδίδει ένα αίτημα στον διακομιστή και το εισιτήριο.

Είναι μια βασική μέθοδος που εγγυάται την ασφάλεια των δεδομένων που μεταφέρονται στα συστήματα. Αναπτύχθηκε από το Ινστιτούτο Τεχνολογίας της Μασαχουσέτης (MIT) το 1980 για να αντιμετωπίσει το ζήτημα των μη ασφαλών συνδέσεων δικτύου και τώρα περιλαμβάνεται σε πολλά διαφορετικά συστήματα.

Σε αυτό το άρθρο, θα δούμε λεπτομέρειες σχετικά με τα πλεονεκτήματα του Kerberos, τις πρακτικές εφαρμογές, τον τρόπο λειτουργίας του βήμα-βήμα και πόσο ασφαλές είναι.

Οφέλη από τον έλεγχο ταυτότητας Kerberos

Σε ένα τεράστιο, κατανεμημένο υπολογιστικό περιβάλλον, τα συστήματα υπολογιστών μπορούν με ασφάλεια να αναγνωρίζουν και να επικοινωνούν μεταξύ τους χάρη στο πρωτόκολλο ελέγχου ταυτότητας δικτύου που είναι γνωστό ως Kerberos.

Χρησιμοποιώντας κρυπτογραφία μυστικού κλειδιού, το Kerberos προορίζεται να προσφέρει ισχυρό έλεγχο ταυτότητας για εφαρμογές πελάτη/διακομιστή. Αυτό το πρωτόκολλο θέτει τις βάσεις για την ασφάλεια της εφαρμογής και η κρυπτογράφηση SSL/TLS χρησιμοποιείται συχνά σε συνδυασμό με αυτό.

  Πώς να διαγράψετε τον λογαριασμό στόχο

Το ευρέως χρησιμοποιούμενο πρωτόκολλο ελέγχου ταυτότητας Kerberos προσφέρει πολλά πλεονεκτήματα που μπορεί να το κάνουν πιο ελκυστικό για τις μικρομεσαίες επιχειρήσεις και τις μεγάλες εταιρείες.

Καταρχήν, ο Kerberos είναι απίστευτα αξιόπιστος. έχει δοκιμαστεί ενάντια σε μερικές από τις πιο περίπλοκες επιθέσεις και έχει αποδειχθεί ανοσία σε αυτές. Επιπλέον, το Kerberos είναι απλό στη ρύθμιση, τη χρήση και την ενσωμάτωση σε πολλά συστήματα.

Μοναδικά οφέλη

  • Ένα μοναδικό σύστημα έκδοσης εισιτηρίων που χρησιμοποιεί η Kerberos επιτρέπει ταχύτερο έλεγχο ταυτότητας.
  • Οι υπηρεσίες και οι πελάτες μπορούν να πιστοποιούν αμοιβαία την ταυτότητα του άλλου.
  • Η περίοδος ελέγχου ταυτότητας είναι ιδιαίτερα ασφαλής λόγω της περιορισμένης χρονικής σφραγίδας.
  • Ανταποκρίνεται στις απαιτήσεις των σύγχρονων κατανεμημένων συστημάτων
  • Επαναχρησιμοποιήσιμο όσο η χρονική σήμανση του εισιτηρίου είναι ακόμη έγκυρη, το Authenticity αποτρέπει τους χρήστες από το να πρέπει να εισαγάγουν ξανά τα στοιχεία σύνδεσής τους για πρόσβαση σε άλλους πόρους.
  • Τα πολλαπλά μυστικά κλειδιά, η εξουσιοδότηση τρίτων και η κρυπτογραφία παρέχουν κορυφαία ασφάλεια.

Πόσο ασφαλές είναι το Kerberos;

Είδαμε ότι το Kerberos χρησιμοποιεί μια ασφαλή διαδικασία ελέγχου ταυτότητας. Αυτή η ενότητα θα διερευνήσει πώς οι εισβολείς μπορούν να παραβιάσουν την ασφάλεια Kerberos.

Για πολλά χρόνια, χρησιμοποιείται το ασφαλές πρωτόκολλο Kerberos: Ενδεικτικά, από την κυκλοφορία των Windows 2000, τα Microsoft Windows έχουν κάνει το Kerberos τον τυπικό μηχανισμό ελέγχου ταυτότητας.

Η υπηρεσία ελέγχου ταυτότητας Kerberos χρησιμοποιεί κρυπτογράφηση μυστικού κλειδιού, κρυπτογραφία και αξιόπιστο έλεγχο ταυτότητας τρίτου μέρους για την επιτυχή προστασία των ευαίσθητων δεδομένων κατά τη μεταφορά.

Για να αυξηθεί η ασφάλεια, το Advanced Encryption Standard (AES) χρησιμοποιείται από το Kerberos 5, την πιο πρόσφατη έκδοση, για τη διασφάλιση πιο ασφαλών επικοινωνιών και την αποφυγή εισβολών δεδομένων.

Η κυβέρνηση των ΗΠΑ έχει υιοθετήσει το AES επειδή είναι ιδιαίτερα αποτελεσματικό στην προστασία των μυστικών πληροφοριών του.

Ωστόσο, υποστηρίζεται ότι καμία πλατφόρμα δεν είναι απολύτως ασφαλής και το Kerberos δεν αποτελεί εξαίρεση. Παρόλο που το Kerberos είναι το πιο ασφαλές, οι επιχειρήσεις πρέπει να ελέγχουν συνεχώς την επιφάνεια επίθεσης τους για να μην εκμεταλλεύονται χάκερ.

Ως αποτέλεσμα της ευρείας χρήσης του, οι χάκερ προσπαθούν να αποκαλύψουν κενά ασφαλείας στην υποδομή.

Ακολουθούν μερικές τυπικές επιθέσεις που μπορεί να συμβούν:

  • Επίθεση Golden Ticket: Είναι η πιο καταστροφική επίθεση. Σε αυτήν την επίθεση, οι επιτιθέμενοι κλέβουν την υπηρεσία διανομής κλειδιών ενός γνήσιου χρήστη χρησιμοποιώντας εισιτήρια Kerberos. Στοχεύει κυρίως περιβάλλοντα Windows με Active Directory (AD) σε χρήση για δικαιώματα ελέγχου πρόσβασης.
  • Silver Ticket Attack: Ένα πλαστό εισιτήριο ελέγχου ταυτότητας υπηρεσίας αναφέρεται ως ασημένιο εισιτήριο. Ένας χάκερ μπορεί να δημιουργήσει ένα Silver Ticket αποκρυπτογραφώντας έναν κωδικό πρόσβασης λογαριασμού υπολογιστή και χρησιμοποιώντας τον για να δημιουργήσει ένα ψευδές δελτίο ελέγχου ταυτότητας.
  • Περάστε το εισιτήριο: Δημιουργώντας ένα ψευδές TGT, ο εισβολέας κατασκευάζει ένα ψεύτικο κλειδί συνεδρίας και το παρουσιάζει ως νόμιμο διαπιστευτήριο.
  • Περάστε την επίθεση κατακερματισμού: Αυτή η τακτική συνεπάγεται τη λήψη του κατακερματισμού κωδικού πρόσβασης NTLM ενός χρήστη και στη συνέχεια τη μετάδοση του κατακερματισμού για έλεγχο ταυτότητας NTLM.
  • Kerberoasting: Η επίθεση στοχεύει στη συλλογή κατακερματισμών κωδικών πρόσβασης για λογαριασμούς χρηστών Active Directory με τιμές servicePrincipalName (SPN), όπως λογαριασμούς υπηρεσίας, με κατάχρηση του πρωτοκόλλου Kerberos.
  Διορθώστε το Zoom Unable to Connect Κωδικός σφάλματος 5003

Μετριασμός κινδύνων Kerberos

Τα ακόλουθα μέτρα μετριασμού θα βοηθούσαν στην πρόληψη των επιθέσεων Kerberos:

  • Υιοθετήστε σύγχρονο λογισμικό που παρακολουθεί το δίκτυο όλο το εικοσιτετράωρο και εντοπίζει τρωτά σημεία σε πραγματικό χρόνο.
  • Ελάχιστο προνόμιο: Δηλώνει ότι μόνο αυτοί οι χρήστες, οι λογαριασμοί και οι διαδικασίες υπολογιστών θα πρέπει να έχουν δικαιώματα πρόσβασης που είναι απαραίτητα για να κάνουν τη δουλειά τους. Με αυτόν τον τρόπο, η μη εξουσιοδοτημένη πρόσβαση σε διακομιστές, κυρίως KDC Server και άλλους ελεγκτές τομέα, θα σταματήσει.
  • Ξεπεράστε τα τρωτά σημεία λογισμικού, συμπεριλαμβανομένων των τρωτών σημείων zero-day.
  • Εκτελέστε την προστατευμένη λειτουργία της υπηρεσίας υποσυστήματος τοπικής αρχής ασφαλείας (LSASS): Η LSASS φιλοξενεί διάφορες προσθήκες, συμπεριλαμβανομένου του ελέγχου ταυτότητας NTLM και του Kerberos, και είναι υπεύθυνος για την παροχή στους χρήστες υπηρεσιών ενιαίας σύνδεσης.
  • Ισχυρός έλεγχος ταυτότητας: Πρότυπα για τη δημιουργία κωδικού πρόσβασης. Ισχυροί κωδικοί πρόσβασης για λογαριασμούς διαχειριστών, τοπικών και υπηρεσιών.
  • Επιθέσεις DOS (Denial of Service): Με την υπερφόρτωση του KDC με αιτήματα ελέγχου ταυτότητας, ένας εισβολέας μπορεί να ξεκινήσει μια επίθεση άρνησης υπηρεσίας (DoS). Για την αποφυγή επιθέσεων και την εξισορρόπηση του φορτίου, το KDC θα πρέπει να τοποθετηθεί πίσω από ένα τείχος προστασίας και θα πρέπει να αναπτυχθεί πρόσθετο πλεονάζον KDC redundant.

Ποια είναι τα βήματα στη ροή πρωτοκόλλου Kerberos;

Η αρχιτεκτονική Kerberos αποτελείται κυρίως από τέσσερα βασικά στοιχεία που χειρίζονται όλες τις λειτουργίες Kerberos:

  • Διακομιστής ελέγχου ταυτότητας (AS): Η διαδικασία ελέγχου ταυτότητας Kerberos ξεκινά με τον διακομιστή ελέγχου ταυτότητας. Ο πελάτης πρέπει πρώτα να συνδεθεί στο AS χρησιμοποιώντας ένα όνομα χρήστη και έναν κωδικό πρόσβασης για να καθορίσει την ταυτότητά του. Όταν ολοκληρωθεί αυτό, το AS στέλνει το όνομα χρήστη στο KDC, το οποίο στη συνέχεια εκδίδει ένα TGT.
  • Κέντρο διανομής κλειδιών (KDC): Η δουλειά του είναι να χρησιμεύει ως σύνδεσμος μεταξύ του διακομιστή ελέγχου ταυτότητας (AS) και της υπηρεσίας χορήγησης εισιτηρίων (TGS), αναμεταδίδοντας μηνύματα από το AS και εκδίδοντας TGT, τα οποία στη συνέχεια μεταβιβάζονται στο TGS για κρυπτογράφηση.
  • Ticket-Granting Ticket (TGT): Το TGT είναι κρυπτογραφημένο και περιέχει πληροφορίες σχετικά με τις υπηρεσίες που επιτρέπεται να έχει πρόσβαση ο πελάτης, για πόσο χρονικό διάστημα είναι εξουσιοδοτημένη αυτή η πρόσβαση και ένα κλειδί συνεδρίας για επικοινωνία.
  • Υπηρεσία Χορήγησης Εισιτηρίων (TGS): Το TGS είναι ένα εμπόδιο μεταξύ των πελατών που κατέχουν TGT και των διαφόρων υπηρεσιών του δικτύου. Στη συνέχεια, το TGS δημιουργεί ένα κλειδί συνεδρίας μετά τον έλεγχο ταυτότητας του TGT που μοιράζεται ο διακομιστής και ο πελάτης.
  25 καλύτερα παιχνίδια κατασκευής διαστημοπλοίων σε υπολογιστή

Ακολουθεί η σταδιακή ροή του ελέγχου ταυτότητας Kerberos:

  • Σύνδεση χρήστη
  • Ένας πελάτης ζητά από τον διακομιστή που χορηγεί εισιτήρια.
  • Ένας διακομιστής ελέγχει το όνομα χρήστη.
  • Επιστροφή του εισιτηρίου του πελάτη μετά τη χορήγηση.
  • Ένας πελάτης αποκτά το κλειδί συνεδρίας TGS.
  • Ένας πελάτης ζητά από τον διακομιστή πρόσβαση σε μια υπηρεσία.
  • Ένας διακομιστής ελέγχει την υπηρεσία.
  • Το κλειδί συνεδρίας TGS αποκτήθηκε από τον διακομιστή.
  • Ένας διακομιστής δημιουργεί Service Session Key.
  • Ένας πελάτης λαμβάνει το κλειδί συνεδρίας υπηρεσίας.
  • Ένας πελάτης επικοινωνεί με την υπηρεσία.
  • Αποκρυπτογραφήσεις υπηρεσίας.
  • Η υπηρεσία ελέγχει το αίτημα.
  • Η υπηρεσία πιστοποιείται στον πελάτη.
  • Ένας πελάτης επιβεβαιώνει την υπηρεσία.
  • Ένας πελάτης και μια υπηρεσία αλληλεπιδρούν.

Τι είναι οι εφαρμογές του πραγματικού κόσμου που χρησιμοποιούν Kerberos;

Σε έναν σύγχρονο και συνδεδεμένο χώρο εργασίας που βασίζεται στο Διαδίκτυο, το Kerberos είναι πολύ πιο πολύτιμο επειδή είναι εξαιρετικό στο Single-Sign-On (SSO).

Τα Microsoft Windows χρησιμοποιούν επί του παρόντος τον έλεγχο ταυτότητας Kerberos ως τυπική μέθοδο εξουσιοδότησης. Το Kerberos υποστηρίζεται επίσης από Apple OS, FreeBSD, UNIX και Linux.

Επιπλέον, έχει γίνει κανόνας για ιστότοπους και εφαρμογές Single-Sign-On σε όλες τις πλατφόρμες. Η Kerberos αύξησε την ασφάλεια του Διαδικτύου και των χρηστών του, ενώ επιτρέπει στους χρήστες να εκτελούν περισσότερες εργασίες στο διαδίκτυο και στο γραφείο χωρίς να διακινδυνεύουν την ασφάλειά τους.

Τα δημοφιλή λειτουργικά συστήματα και προγράμματα λογισμικού περιλαμβάνουν ήδη το Kerberos, το οποίο έχει γίνει ουσιαστικό μέρος της υποδομής πληροφορικής. Είναι η τυπική τεχνολογία εξουσιοδότησης των Microsoft Windows.

Χρησιμοποιεί ισχυρή κρυπτογραφία και εξουσιοδότηση εισιτηρίων τρίτου μέρους για να καταστήσει πιο δύσκολη την πρόσβαση των χάκερ σε ένα εταιρικό δίκτυο. Οι οργανισμοί μπορούν να χρησιμοποιούν το Διαδίκτυο με το Kerberos χωρίς να ανησυχούν μήπως τεθεί σε κίνδυνο η ασφάλειά τους.

Η πιο γνωστή εφαρμογή του Kerberos είναι η Microsoft Active Directory, η οποία ελέγχει τομείς και εκτελεί έλεγχο ταυτότητας χρήστη ως τυπική υπηρεσία καταλόγου που περιλαμβάνεται στα Windows 2000 και νεότερες εκδόσεις.

Η Apple, η NASA, η Google, το Υπουργείο Άμυνας των ΗΠΑ και ιδρύματα σε όλη τη χώρα είναι μεταξύ των πιο αξιοσημείωτων χρηστών.

Ακολουθούν ορισμένα παραδείγματα συστημάτων με ενσωματωμένη ή προσβάσιμη υποστήριξη Kerberos:

  • Υπηρεσίες Ιστού της Amazon
  • Google Cloud
  • Hewlett Packard Unix
  • Στέλεχος της IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server και AD
  • Oracle Solaris
  • OpenBSD

Επιπρόσθετοι πόροι

συμπέρασμα

Η πιο ευρέως χρησιμοποιούμενη μέθοδος ελέγχου ταυτότητας για την προστασία των συνδέσεων πελάτη-διακομιστή είναι το Kerberos. Το Kerberos είναι ένας συμμετρικός μηχανισμός ελέγχου ταυτότητας κλειδιού που προσφέρει ακεραιότητα δεδομένων, εμπιστευτικότητα και αμοιβαίο έλεγχο ταυτότητας χρήστη.

Είναι το θεμέλιο της Microsoft Active Directory και έχει εξελιχθεί σε ένα από τα πρωτόκολλα που στοχεύουν κάθε είδους εισβολείς για εκμετάλλευση.

Στη συνέχεια, μπορείτε να ελέγξετε τα εργαλεία για την παρακολούθηση της υγείας του Active Directory.