Kerberos-autentisering: Sikkerhet, fordeler og risikoer

by
Tweet
Share
Share
Pin
0 Shares

Selv om Kerberos opererer i kulissene, er integrasjonen så sømløs at de fleste brukere og administratorer sjelden legger merke til systemets tilstedeværelse.

Hva er Kerberos, og hvordan fungerer det?

Om du benytter e-post eller andre online tjenester som krever innlogging for tilgang til ressurser, er det stor sannsynlighet for at du autentiserer deg ved hjelp av Kerberos-systemet.

Kerberos er en sikker autentiseringsmekanisme som sikrer trygg kommunikasjon mellom enheter, systemer og nettverk. Hovedhensikten er å beskytte dine data og innloggingsinformasjon mot uautorisert tilgang.

Kerberos er kompatibelt med alle de ledende operativsystemene, inkludert Microsoft Windows, Apple macOS, FreeBSD og Linux.

Kerberos benytter en sikkerhetsmodell i fem lag, som innebærer gjensidig autentisering og symmetrisk nøkkelkryptering. Ved å bekrefte identiteten, gis autoriserte brukere tilgang til å logge seg på et system.

Systemet kombinerer en sentral database og kryptering for å validere brukere og tjenesters legitimitet. Kerberos-serveren autentiserer først brukeren før tilgang til en tjeneste innvilges. Etter autentisering mottar brukeren en billett som gir adgang til den aktuelle tjenesten.

I kjernen av Kerberos» funksjonalitet ligger bruken av «billetter», som tillater sikker kommunikasjon mellom brukere. Kerberos-protokollen benytter et nøkkeldistribusjonssenter (KDC) for å etablere forbindelser mellom klienter og servere.

Når Kerberos-protokollen er i bruk, sender klienten en forespørsel til serveren. Deretter svarer serveren med et token. Klienten sender så en ny forespørsel til serveren, sammen med den mottatte billetten.

Dette er en fundamental metode for å garantere sikkerheten til data som overføres mellom ulike systemer. Protokollen ble utviklet ved Massachusetts Institute of Technology (MIT) på 1980-tallet, for å løse problemene med usikre nettverksforbindelser, og er nå integrert i en rekke forskjellige systemer.

I denne artikkelen vil vi utforske fordelene med Kerberos, praktiske anvendelsesområder, en trinnvis forklaring av hvordan systemet fungerer, samt en vurdering av sikkerhetsnivået.

Fordeler med Kerberos-autentisering

I omfattende, distribuerte datamiljøer sikrer Kerberos-nettverksautentiseringsprotokollen at datasystemer kan identifisere og kommunisere trygt med hverandre.

Kerberos er utviklet for å tilby pålitelig autentisering for klient/server-applikasjoner ved hjelp av hemmelig nøkkelkryptering. Protokollen danner grunnlaget for applikasjonssikkerhet og benyttes ofte i kombinasjon med SSL/TLS-kryptering.

Den utbredte autentiseringsprotokollen Kerberos tilbyr en rekke fordeler som kan gjøre den attraktiv for både små og mellomstore bedrifter, samt store selskaper.

Først og fremst er Kerberos svært pålitelig; den har gjennomgått omfattende testing mot komplekse angrep og har vist seg robust. I tillegg er Kerberos brukervennlig og enkelt å installere, benytte og integrere i ulike systemer.

Unike fordeler:

  • Kerberos» unike billettsystem muliggjør raskere autentisering.
  • Tjenester og klienter kan autentisere hverandre gjensidig.
  • Autentiseringsperioden er ekstra sikker takket være de begrensede tidsstemplene.
  • Oppfyller de moderne kravene til distribuerte systemer.
  • Gjenbrukbar så lenge billetttidsstempelet er gyldig, noe som hindrer brukere fra å måtte oppgi innloggingsinformasjonen på nytt for tilgang til flere ressurser.
  • Flere hemmelige nøkler, tredjepartsautorisasjon og kryptografi gir et høyt sikkerhetsnivå.

Hvor trygt er Kerberos?

Som vi har sett, benytter Kerberos en sikker autentiseringsprosess. I denne delen skal vi undersøke hvordan angripere kan forsøke å bryte Kerberos-sikkerheten.

Kerberos-protokollen har vært i bruk i mange år, og har etablert seg som en sikker autentiseringsmetode. For eksempel har Microsoft Windows gjort Kerberos til sin standard autentiseringsmekanisme helt siden lanseringen av Windows 2000.

Kerberos» autentiseringstjeneste benytter hemmelig nøkkelkryptering, kryptografi og pålitelig tredjepartsautentisering for å effektivt beskytte sensitive data under overføring.

For å øke sikkerheten, benytter Kerberos 5, den nyeste versjonen, Advanced Encryption Standard (AES), som sikrer tryggere kommunikasjon og hindrer datainntrenging.

Den amerikanske regjeringen har også tatt i bruk AES, da den er ansett som spesielt effektiv for å beskytte sin sensitive informasjon.

Det er imidlertid allment anerkjent at ingen plattform er fullstendig sikker, og Kerberos er intet unntak. Selv om Kerberos er en sikker løsning, må bedrifter kontinuerlig overvåke sine systemer for å beskytte seg mot forsøk på utnyttelse fra hackere.

Den utbredte bruken av Kerberos fører til at hackere kontinuerlig søker etter sikkerhetshull i infrastrukturen.

Her er noen vanlige angrep som kan forekomme:

  • Golden Ticket-angrep: Dette er det mest alvorlige angrepet. Angripere kaprer her en ekte brukers nøkkeldistribusjonstjeneste ved hjelp av Kerberos-billetter. Dette angrepet retter seg først og fremst mot Windows-miljøer som benytter Active Directory (AD) for tilgangskontrollprivilegier.
  • Sølvbillettangrep: En falsk tjenestegodkjenningsbillett blir omtalt som en sølvbillett. En hacker kan skape en slik billett ved å dechiffrere passordet til en datamaskinkonto og bruke det til å generere en falsk autentiseringsbillett.
  • Pass-the-ticket-angrep: Ved å generere en falsk TGT (Ticket Granting Ticket), konstruerer angriperen en falsk øktnøkkel og presenterer den som en legitim legitimasjon.
  • Pass-the-hash-angrep: Denne taktikken innebærer å skaffe en brukers NTLM-passordhash og deretter overføre denne hashen for NTLM-autentisering.
  • Kerberoasting: Dette angrepet tar sikte på å samle passordhasher for Active Directory-brukerkontoer med servicePrincipalName (SPN)-verdier, for eksempel tjenestekontoer, ved å utnytte Kerberos-protokollen.

Reduksjon av Kerberos-risiko

Følgende tiltak kan bidra til å forhindre Kerberos-angrep:

  • Implementer moderne programvare som overvåker nettverket døgnet rundt og oppdager sårbarheter i sanntid.
  • Prinsippet om minste privilegium: Dette betyr at kun de brukerne, kontoene og dataprosessene som krever tilgangstillatelse for å utføre jobben sin skal gis dette. På denne måten vil uautorisert tilgang til servere, spesielt KDC-serveren og andre domenekontrollere, bli forhindret.
  • Håndter sårbarheter i programvare, inkludert nulldagssårbarheter.
  • Kjør beskyttet modus for Local Security Authority Subsystem Service (LSASS): LSASS er vert for diverse plugins, deriblant NTLM-autentisering og Kerberos, og er ansvarlig for å tilby enkeltpåloggingstjenester til brukere.
  • Sterk autentisering: Bruk sterke passord for administrative, lokale og tjenestekontoer.
  • DOS-angrep (Denial of Service): En angriper kan starte et tjenestenektangrep (DoS) ved å overbelaste KDC med autentiseringsforespørsler. For å hindre angrep og fordele belastningen, bør KDC plasseres bak en brannmur, og ytterligere redundante KDC-er bør distribueres.

Hva er trinnene i Kerberos-protokollflyten?

Kerberos-arkitekturen består i hovedsak av fire essensielle elementer som håndterer alle Kerberos-operasjoner:

  • Autentiseringsserver (AS): Kerberos-autentiseringsprosessen starter med autentiseringsserveren. Klienten må først logge inn på AS med brukernavn og passord for å bekrefte sin identitet. Når dette er utført, sender AS brukernavnet til KDC, som deretter utsteder en TGT.
  • Nøkkeldistribusjonssenter (KDC): KDC fungerer som et mellomledd mellom autentiseringsserveren (AS) og Ticket Granting Service (TGS). Den videresender meldinger fra AS og utsteder TGT-er, som deretter sendes til TGS for kryptering.
  • Ticket-Granting Ticket (TGT): TGT er kryptert og inneholder informasjon om hvilke tjenester klienten har tilgang til, hvor lenge tilgangen er autorisert og en øktnøkkel for kommunikasjon.
  • Ticket Granting Service (TGS): TGS fungerer som en barriere mellom klienter som eier TGT og nettverkets ulike tjenester. TGS etablerer deretter en sesjonsnøkkel etter autentisering av TGT, som deles av serveren og klienten.

Nedenfor finner du en trinnvis oversikt over Kerberos-autentiseringen:

  • Brukeren logger inn.
  • Klienten ber om serveren som utsteder billetter.
  • Serveren sjekker brukernavnet.
  • Klientens billett blir returnert etter at forespørselen er godkjent.
  • Klienten mottar TGS-sesjonsnøkkelen.
  • Klienten ber serveren om tilgang til en tjeneste.
  • Serveren sjekker tjenesten.
  • TGS-sesjonsnøkkel hentes av serveren.
  • Serveren oppretter en tjenesteøktnøkkel.
  • Klienten mottar tjenesteøktnøkkelen.
  • Klienten kontakter tjenesten.
  • Tjenesten dekrypterer.
  • Tjenesten sjekker forespørselen.
  • Tjenesten er autentisert til klienten.
  • Klienten bekrefter tjenesten.
  • Klienten og tjenesten samhandler.

Hva er virkelige applikasjoner som bruker Kerberos?

Kerberos er spesielt verdifullt i moderne internettbaserte arbeidsplasser, fordi det er en utmerket løsning for Single-Sign-On (SSO).

Microsoft Windows benytter Kerberos-autentisering som sin standard autentiseringsmetode. Kerberos støttes også av Apple OS, FreeBSD, UNIX og Linux.

Kerberos har i tillegg blitt en standard for nettsteder og Single-Sign-On-applikasjoner på tvers av alle plattformer. Kerberos har bidratt til økt sikkerhet på internett og for brukere, samtidig som det gir brukere mulighet til å utføre flere oppgaver online og på kontoret uten å kompromittere sikkerheten.

Populære operativsystemer og programvare inkluderer allerede Kerberos, som har blitt en viktig del av IT-infrastrukturen. Microsoft Windows bruker dette som sin standard autorisasjonsteknologi.

Systemet benytter sterk kryptografi og tredjeparts billettautorisasjon, noe som vanskeliggjør uautorisert tilgang til bedriftsnettverk. Organisasjoner kan bruke internett med Kerberos uten å bekymre seg for sikkerhetsbrudd.

Den mest kjente applikasjonen for Kerberos er Microsoft Active Directory, som kontrollerer domener og utfører brukerautentisering som en standard katalogtjeneste som er inkludert i Windows 2000 og nyere.

Apple, NASA, Google, det amerikanske forsvarsdepartementet og en rekke andre institusjoner over hele landet er blant de mer kjente brukerne.

Her er noen eksempler på systemer som har innebygd eller tilgjengelig Kerberos-støtte:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • IBM Advanced Interactive leder
  • Microsoft Azure
  • Microsoft Windows Server og AD
  • Oracle Solaris
  • OpenBSD

Tilleggsressurser

Konklusjon

Kerberos er en av de mest brukte autentiseringsmetodene for å beskytte klient-server-tilkoblinger. Kerberos er en mekanisme for symmetrisk nøkkelautentisering som sørger for dataintegritet, konfidensialitet og gjensidig brukerautentisering.

Systemet er grunnlaget for Microsoft Active Directory, og har utviklet seg til å bli en av protokollene som angripere ofte retter seg mot i sine forsøk på utnyttelse.

Du kan se nærmere på verktøy for å overvåke helsen til Active Directory.