Како функционише Керберос аутентификација?

by
Tweet
Share
Share
Pin

Иако је Керберос позадински систем, он је тако беспрекорно интегрисан да већина корисника или администратора занемарује његово постојање.

Шта је Керберос и како функционише?

Ако користите е-пошту или друге онлајн услуге које захтевају пријављивање за приступ ресурсима, велике су шансе да се аутентификујете преко Керберос система.

Безбедни механизам аутентификације познат као Керберос гарантује безбедну комуникацију између уређаја, система и мрежа. Његов главни циљ је да заштити ваше податке и информације за пријаву од хакера.

Керберос подржавају сви популарни оперативни системи, укључујући Мицрософт Виндовс, Аппле мацОС, ФрееБСД и Линук.

Безбедносни модел од пет нивоа који користи Керберос обухвата међусобну аутентификацију и криптографију симетричног кључа. Верификација нечијег идентитета омогућава овлашћеним корисницима да се пријаве у систем.

Комбинује централну базу података и енкрипцију да потврди легитимност корисника и услуга. Керберос сервер прво аутентификује корисника пре него што му дозволи приступ услузи. Затим им се издаје тикет који могу да користе за приступ услузи ако су успешно аутентификовани.

У суштини, Керберос се ослања на „тикете“ да би омогућио корисницима да безбедно комуницирају једни са другима. Керберос протокол користи центар за дистрибуцију кључева (КДЦ) за успостављање комуникације између клијената и сервера.

Када се користи Керберос протокол, сервер прима захтев од клијента. Након тога, сервер одговара одговором који садржи токен. Клијент затим шаље захтев серверу и тикету.

То је суштински метод који гарантује сигурност података који се преносе кроз системе. Развио га је Технолошки институт Масачусетса (МИТ) 1980. године како би се позабавио питањем небезбедних мрежних веза и сада је укључен у многе различите системе.

У овом чланку ћемо погледати детаље о предностима Керберос-а, практичним апликацијама, како функционише корак по корак и колико је безбедан.

Предности Керберос аутентификације

У огромном, дистрибуираном рачунарском окружењу, рачунарски системи могу безбедно да се идентификују и комуницирају једни са другима захваљујући протоколу за мрежну аутентификацију познатом као Керберос.

Користећи криптографију са тајним кључем, Керберос је намењен да понуди робусну аутентификацију за клијент/сервер апликације. Овај протокол поставља основу за безбедност апликација, а ССЛ/ТЛС енкрипција се често користи у комбинацији са њим.

  Шта то значи када ваш Фитбит каже да подаци нису обрисани синхронизују се и покушајте поново?

Широко коришћени протокол за аутентификацију Керберос нуди неколико предности које га могу учинити привлачнијим за мала и средња предузећа и велике корпорације.

На првом месту, Керберос је невероватно поуздан; тестиран је против неких од најсложенијих напада и показао се имуним на њих. Штавише, Керберос је једноставан за постављање, коришћење и интеграцију у неколико система.

Јединствене погодности

  • Јединствени систем за продају карата који користи Керберос омогућава бржу аутентификацију.
  • Услуге и клијенти могу међусобно да аутентификују једни друге.
  • Период аутентификације је посебно сигуран због ограниченог временског жига.
  • Испуњава захтеве савремених дистрибуираних система
  • Може се поново користити док је временска ознака карте још увек важећа, Аутентичност спречава кориснике да морају поново да уносе своје податке за пријаву да би приступили другим ресурсима.
  • Више тајних кључева, ауторизација треће стране и криптографија пружају врхунску сигурност.

Колико је Керберос безбедан?

Видели смо да Керберос користи сигуран процес аутентификације. Овај одељак ће истражити како нападачи могу да наруше Керберос безбедност.

Већ дуги низ година користи се Керберос безбедни протокол: Као илустрација, од издавања оперативног система Виндовс 2000, Мицрософт Виндовс је направио Керберос стандардним механизмом за аутентификацију.

Керберос услуга провере аутентичности користи шифровање са тајним кључем, криптографију и проверу аутентичности од поверења треће стране да би успешно заштитила осетљиве податке док су у транзиту.

Да би се повећала безбедност, Керберос 5, најновија верзија, користи Адванцед Енцриптион Стандард (АЕС) како би се обезбедила безбеднија комуникација и избегао упад података.

Америчка влада је усвојила АЕС јер је посебно ефикасан у заштити својих тајних информација.

Међутим, тврди се да ниједна платформа није потпуно безбедна, а Керберос није изузетак. Иако је Керберос најбезбеднији, предузећа морају стално да проверавају своју површину за напад како би се заштитила од тога да их хакери искористе.

Као резултат његове широке употребе, хакери настоје да открију безбедносне празнине у инфраструктури.

Ево неколико типичних напада који се могу појавити:

  • Напад Златне карте: То је најштетнији напад. У овом нападу, нападачи отимају услугу дистрибуције кључева правог корисника користећи Керберос тикете. Првенствено циља на Виндовс окружења са активним директоријумом (АД) који се користи за привилегије контроле приступа.
  • Напад на сребрну карту: лажна карта за аутентификацију услуге се назива сребрна карта. Хакер може да произведе сребрну карту тако што ће дешифровати лозинку рачуна рачунара и искористити је да направи лажну карту за аутентификацију.
  • Проследите карту: генерисањем лажног ТГТ-а, нападач конструише лажни кључ сесије и представља га као легитимни акредитив.
  • Проследите хеш напад: Ова тактика подразумева добијање хеша НТЛМ лозинке корисника и затим преношење хеша за НТЛМ аутентификацију.
  • Кербероастинг: Напад има за циљ да прикупи хешове лозинки за корисничке налоге Ацтиве Дирецтори са вредностима сервицеПринципалНаме (СПН), као што су налози услуга, злоупотребом Керберос протокола.
  Како пронаћи свој први твит

Ублажавање Керберос ризика

Следеће мере ублажавања би помогле у спречавању Керберос напада:

  • Усвојите савремени софтвер који надгледа мрежу 24 сата дневно и идентификује рањивости у реалном времену.
  • Најмања привилегија: Наводи да само ти корисници, налози и рачунарски процеси треба да имају дозволе приступа неопходне да би обављали свој посао. Овим ће се зауставити неовлашћени приступ серверима, углавном КДЦ серверу и другим контролерима домена.
  • Превазиђите софтверске рањивости, укључујући рањивости нултог дана.
  • Покрените заштићени режим подсистемске услуге локалног безбедносног ауторитета (ЛСАСС): ЛСАСС хостује различите додатке, укључујући НТЛМ аутентификацију и Керберос, и задужен је да корисницима пружи услуге јединствене пријаве.
  • Јака аутентификација: Стандарди за креирање лозинке. Јаке лозинке за административне, локалне и сервисне налоге.
  • ДОС (ускраћивање услуге) напади: Преоптерећењем КДЦ-а захтевима за аутентификацију, нападач може покренути напад ускраћивања услуге (ДоС). Да би се спречили напади и уравнотежило оптерећење, КДЦ би требало да буде постављен иза заштитног зида, а додатни редундантни КДЦ би требало да буде распоређен.

Који су кораци у току Керберос протокола?

Керберос архитектура се првенствено састоји од четири основна елемента који управљају свим Керберос операцијама:

  • Сервер за аутентификацију (АС): Керберос процес аутентификације почиње са сервером за аутентификацију. Клијент се прво мора пријавити на АС користећи корисничко име и лозинку да би утврдио свој идентитет. Када се ово заврши, АС шаље корисничко име КДЦ-у, који затим издаје ТГТ.
  • Центар за дистрибуцију кључева (КДЦ): Његов посао је да служи као веза између сервера за аутентификацију (АС) и сервиса за доделу улазница (ТГС), преносећи поруке са АС-а и издајући ТГТ-ове, који се затим прослеђују ТГС-у ради шифровања.
  • Тицкет-Грантинг Тицкет (ТГТ): ТГТ је шифрован и садржи информације о томе којим услугама је клијенту дозвољен приступ, колико дуго је тај приступ овлашћен и кључ сесије за комуникацију.
  • Услуга издавања улазница (ТГС): ТГС је препрека између клијената који поседују ТГТ и различитих услуга мреже. ТГС затим успоставља кључ сесије након аутентификације ТГТ-а који деле сервер и клијент.
  Шта је вештачка општа интелигенција? Све што треба да знате

Следи постепени ток Керберос аутентификације:

  • Улаз за кориснике
  • Клијент захтева од сервера који одобрава улазнице.
  • Сервер проверава корисничко име.
  • Враћање клијентове карте након гранта.
  • Клијент добија ТГС кључ сесије.
  • Клијент тражи од сервера приступ сервису.
  • Сервер проверава услугу.
  • ТГС сесијски кључ добија сервер.
  • Сервер креира кључ сесије услуге.
  • Клијент добија кључ сесије услуге.
  • Клијент контактира сервис.
  • Сервице Децриптс.
  • Служба проверава захтев.
  • Услуга је потврђена клијенту.
  • Клијент потврђује услугу.
  • Клијент и услуга су у интеракцији.

Шта су то реалне апликације које користе Керберос?

На модерном радном месту заснованом на Интернету и повезаном, Керберос је знатно вреднији јер је одличан у Сингле-Сигн-Он (ССО).

Мицрософт Виндовс тренутно користи Керберос аутентификацију као свој стандардни метод ауторизације. Керберос такође подржавају Аппле ОС, ФрееБСД, УНИКС и Линук.

Поред тога, то је постало норма за веб-сајтове и апликације са једним пријављивањем на свим платформама. Керберос је повећао безбедност интернета и његових корисника док је корисницима омогућио да обављају више задатака на мрежи и у канцеларији без ризика за своју безбедност.

Популарни оперативни системи и софтверски програми већ укључују Керберос, који је постао суштински део ИТ инфраструктуре. То је стандардна технологија ауторизације Мицрософт Виндовс-а.

Користи снажну криптографију и ауторизацију тикета треће стране како би хакерима отежао приступ корпоративној мрежи. Организације могу да користе интернет са Керберос-ом без бриге да ће угрозити своју безбедност.

Најпознатија апликација Кербероса је Мицрософт Ацтиве Дирецтори, која контролише домене и врши аутентификацију корисника као стандардну услугу директоријума укључену у Виндовс 2000 и новије верзије.

Аппле, НАСА, Гугл, Министарство одбране САД и институције широм земље су међу значајнијим корисницима.

Испод су неки примери система са уграђеном или доступном Керберос подршком:

  • Амазон веб услуге
  • Гоогле Цлоуд
  • Хевлетт Пацкард Уник
  • ИБМ Адванцед Интерацтиве екецутиве
  • Мицрософт Азуре
  • Мицрософт Виндовс Сервер и АД
  • Орацле Соларис
  • ОпенБСД

Додатна средства

Закључак

Најраспрострањенији метод аутентификације за заштиту веза клијент-сервер је Керберос. Керберос је механизам за аутентификацију симетричног кључа који нуди интегритет података, поверљивост и међусобну аутентификацију корисника.

То је основа Мицрософт Ацтиве Дирецтори-а и израстао је у један од протокола које нападачи свих врста циљају ради експлоатације.

Затим можете да проверите алате за надгледање здравља Ацтиве Дирецтори-а.