Wie funktioniert die Kerberos-Authentifizierung?

Obwohl Kerberos ein Backend-System ist, ist es so nahtlos integriert, dass die meisten Benutzer oder Administratoren seine Existenz übersehen.

Was ist Kerberos und wie funktioniert es?

Wenn Sie E-Mail oder andere Online-Dienste verwenden, die Anmeldungen für den Zugriff auf Ressourcen erfordern, besteht die Möglichkeit, dass Sie sich über das Kerberos-System authentifizieren.

Der als Kerberos bekannte sichere Authentifizierungsmechanismus garantiert eine sichere Kommunikation zwischen Geräten, Systemen und Netzwerken. Sein Hauptziel ist es, Ihre Daten und Anmeldeinformationen vor Hackern zu schützen.

Kerberos wird von allen gängigen Betriebssystemen unterstützt, einschließlich Microsoft Windows, Apple macOS, FreeBSD und Linux.

Ein fünfstufiges Sicherheitsmodell, das von Kerberos verwendet wird, umfasst gegenseitige Authentifizierung und Kryptografie mit symmetrischen Schlüsseln. Die Überprüfung der eigenen Identität ermöglicht autorisierten Benutzern, sich bei einem System anzumelden.

Es kombiniert eine zentrale Datenbank und Verschlüsselung, um die Legitimität von Benutzern und Diensten zu bestätigen. Der Kerberos-Server authentifiziert zuerst einen Benutzer, bevor er ihm Zugriff auf einen Dienst gewährt. Sie erhalten dann ein Ticket, mit dem sie bei erfolgreicher Authentifizierung auf den Dienst zugreifen können.

Im Wesentlichen stützt sich Kerberos auf „Tickets“, damit Benutzer sicher miteinander kommunizieren können. Das Kerberos-Protokoll verwendet ein Key Distribution Center (KDC), um die Kommunikation zwischen Clients und Servern herzustellen.

Bei Verwendung des Kerberos-Protokolls erhält der Server eine Anfrage vom Client. Danach antwortet der Server mit einer Antwort, die ein Token enthält. Der Client sendet dann eine Anfrage an den Server und das Ticket.

Es ist eine wesentliche Methode, die die Sicherheit von Daten gewährleistet, die zwischen Systemen übertragen werden. Es wurde 1980 vom Massachusetts Institute of Technology (MIT) entwickelt, um das Problem ungesicherter Netzwerkverbindungen anzugehen, und ist heute in vielen verschiedenen Systemen enthalten.

In diesem Artikel befassen wir uns mit Einzelheiten zu den Vorteilen von Kerberos, praktischen Anwendungen, seiner schrittweisen Funktionsweise und seiner Sicherheit.

Vorteile der Kerberos-Authentifizierung

In einer riesigen, verteilten Computerumgebung können sich Computersysteme aufgrund des als Kerberos bekannten Netzwerkauthentifizierungsprotokolls sicher identifizieren und miteinander kommunizieren.

Mithilfe von Kryptografie mit geheimen Schlüsseln soll Kerberos eine robuste Authentifizierung für Client/Server-Anwendungen bieten. Dieses Protokoll bildet die Grundlage für die Anwendungssicherheit, und die SSL/TLS-Verschlüsselung wird häufig in Kombination damit verwendet.

Das weit verbreitete Authentifizierungsprotokoll Kerberos bietet mehrere Vorteile, die es für KMUs und große Unternehmen attraktiver machen können.

Erstens ist Kerberos unglaublich vertrauenswürdig; Es wurde gegen einige der komplexesten Angriffe getestet und hat sich als immun dagegen erwiesen. Darüber hinaus ist Kerberos einfach einzurichten, zu verwenden und in mehrere Systeme zu integrieren.

Einzigartige Vorteile

• Ein einzigartiges Ticketsystem, das von Kerberos verwendet wird, ermöglicht eine schnellere Authentifizierung.
• Dienste und Clients können sich gegenseitig authentifizieren.
• Durch den begrenzten Zeitstempel ist der Authentifizierungszeitraum besonders sicher.
• Erfüllt die Anforderungen moderner verteilter Systeme
• Authentizität ist wiederverwendbar, solange der Ticket-Zeitstempel noch gültig ist, und verhindert, dass Benutzer ihre Anmeldeinformationen erneut eingeben müssen, um auf andere Ressourcen zuzugreifen.
• Mehrere geheime Schlüssel, Autorisierung durch Dritte und Kryptografie bieten erstklassige Sicherheit.

Wie sicher ist Kerberos?

Wir haben gesehen, dass Kerberos einen sicheren Authentifizierungsprozess verwendet. In diesem Abschnitt wird untersucht, wie Angreifer die Kerberos-Sicherheit verletzen können.

Seit vielen Jahren wird das sichere Kerberos-Protokoll verwendet: Beispielsweise hat Microsoft Windows seit der Veröffentlichung von Windows 2000 Kerberos zum Standard-Authentifizierungsmechanismus gemacht.

Der Kerberos-Authentifizierungsdienst verwendet Geheimschlüsselverschlüsselung, Kryptografie und vertrauenswürdige Drittanbieterauthentifizierung, um vertrauliche Daten während der Übertragung erfolgreich zu schützen.

Zur Erhöhung der Sicherheit wird Advanced Encryption Standard (AES) von Kerberos 5, der neuesten Version, verwendet, um eine sicherere Kommunikation zu gewährleisten und Dateneindringlinge zu vermeiden.

Die US-Regierung hat AES eingeführt, weil es seine geheimen Informationen besonders effektiv schützt.

Es wird jedoch argumentiert, dass keine Plattform vollständig sicher ist, und Kerberos ist keine Ausnahme. Obwohl Kerberos am sichersten ist, müssen Unternehmen ihre Angriffsfläche ständig überprüfen, um sich davor zu schützen, von Hackern ausgenutzt zu werden.

Aufgrund der weiten Verbreitung streben Hacker danach, Sicherheitslücken in der Infrastruktur aufzudecken.

Hier sind einige typische Angriffe, die auftreten können:

• Golden-Ticket-Angriff: Dies ist der schädlichste Angriff. Bei diesem Angriff kapern Angreifer mithilfe von Kerberos-Tickets den Schlüsselverteilungsdienst eines echten Benutzers. Es zielt hauptsächlich auf Windows-Umgebungen ab, in denen Active Directory (AD) für Zugriffssteuerungsrechte verwendet wird.
• Silver-Ticket-Angriff: Ein gefälschtes Service-Authentifizierungsticket wird als Silver-Ticket bezeichnet. Ein Hacker kann ein Silver Ticket erstellen, indem er das Passwort eines Computerkontos entschlüsselt und daraus ein falsches Authentifizierungsticket erstellt.
• Pass the ticket: Durch die Generierung eines falschen TGT erstellt der Angreifer einen gefälschten Sitzungsschlüssel und präsentiert ihn als legitimen Berechtigungsnachweis.
• Übergeben Sie den Hash-Angriff: Diese Taktik besteht darin, den NTLM-Passwort-Hash eines Benutzers zu erhalten und den Hash dann für die NTLM-Authentifizierung zu übertragen.
• Kerberoasting: Der Angriff zielt darauf ab, Passwort-Hashes für Active Directory-Benutzerkonten mit servicePrincipalName (SPN)-Werten zu sammeln, wie z. B. Dienstkonten, indem das Kerberos-Protokoll missbraucht wird.

Kerberos-Risikominderung

Die folgenden Minderungsmaßnahmen würden helfen, die Kerberos-Angriffe zu verhindern:

• Nutzen Sie moderne Software, die das Netzwerk rund um die Uhr überwacht und Schwachstellen in Echtzeit identifiziert.
• Geringste Berechtigung: Es besagt, dass nur diese Benutzer, Konten und Computerprozesse Zugriffsberechtigungen haben sollten, die für sie erforderlich sind, um ihre Arbeit zu erledigen. Dadurch wird der unbefugte Zugriff auf Server, hauptsächlich KDC-Server und andere Domänencontroller, gestoppt.
• Überwinden Sie Software-Schwachstellen, einschließlich Zero-Day-Schwachstellen.
• Führen Sie den geschützten Modus des Local Security Authority Subsystem Service (LSASS) aus: LSASS hostet verschiedene Plugins, einschließlich NTLM-Authentifizierung und Kerberos, und ist dafür verantwortlich, Benutzern Single-Sign-On-Dienste bereitzustellen.
• Starke Authentifizierung: Standards für die Passworterstellung. Starke Kennwörter für Administrator-, lokale und Dienstkonten.
• DOS-Angriffe (Denial-of-Service): Durch Überlastung des KDC mit Authentifizierungsanfragen kann ein Angreifer einen Denial-of-Service-Angriff (DoS) starten. Um Angriffe zu verhindern und die Last auszugleichen, sollte KDC hinter einer Firewall platziert werden, und zusätzliche redundante KDC sollten bereitgestellt werden.

Was sind die Schritte im Kerberos Protocol Flow?

Die Kerberos-Architektur besteht hauptsächlich aus vier wesentlichen Elementen, die alle Kerberos-Operationen handhaben:

• Authentifizierungsserver (AS): Der Kerberos-Authentifizierungsprozess beginnt mit dem Authentifizierungsserver. Der Client muss sich zunächst mit einem Benutzernamen und einem Passwort beim AS anmelden, um seine Identität festzustellen. Wenn dies abgeschlossen ist, sendet der AS den Benutzernamen an das KDC, das dann ein TGT ausgibt.
• Key Distribution Center (KDC): Seine Aufgabe besteht darin, als Verbindung zwischen dem Authentifizierungsserver (AS) und dem Ticket Granting Service (TGS) zu dienen, Nachrichten vom AS weiterzuleiten und TGTs auszugeben, die anschließend zur Verschlüsselung an den TGS weitergeleitet werden.
• Ticket-Granting Ticket (TGT): TGT ist verschlüsselt und enthält Informationen darüber, auf welche Dienste der Client zugreifen darf, wie lange dieser Zugriff autorisiert ist, und einen Sitzungsschlüssel für die Kommunikation.
• Ticket Granting Service (TGS): TGS ist eine Barriere zwischen Kunden, die TGTs besitzen, und den verschiedenen Diensten des Netzwerks. Das TGS richtet dann einen Sitzungsschlüssel ein, nachdem es das TGT authentifiziert hat, das von Server und Client gemeinsam genutzt wird.

Das Folgende ist der schrittweise Ablauf der Kerberos-Authentifizierung:

• Benutzer-Anmeldung
• Ein Client fordert den Server an, der Tickets gewährt.
• Ein Server prüft den Benutzernamen.
• Rückgabe des Kundentickets nach der Erteilung.
• Ein Client erhält den TGS-Sitzungsschlüssel.
• Ein Client bittet den Server um Zugriff auf einen Dienst.
• Ein Server prüft den Dienst.
• Vom Server erhaltener TGS-Sitzungsschlüssel.
• Ein Server erstellt einen Dienstsitzungsschlüssel.
• Ein Client empfängt den Dienstsitzungsschlüssel.
• Ein Client kontaktiert den Dienst.
• Dienst entschlüsselt.
• Der Dienst prüft die Anfrage.
• Der Dienst wird gegenüber dem Client authentifiziert.
• Ein Kunde bestätigt die Dienstleistung.
• Ein Client und ein Dienst interagieren.

Was sind reale Anwendungen, die Kerberos verwenden?

In einem modernen internetbasierten und vernetzten Arbeitsplatz ist Kerberos wesentlich wertvoller, da es bei Single-Sign-On (SSO) hervorragend ist.

Microsoft Windows verwendet derzeit die Kerberos-Authentifizierung als Standard-Autorisierungsmethode. Kerberos wird auch von Apple OS, FreeBSD, UNIX und Linux unterstützt.

Darüber hinaus ist es zur Norm für Websites und Single-Sign-On-Anwendungen auf allen Plattformen geworden. Kerberos hat die Sicherheit des Internets und seiner Benutzer erhöht und es den Benutzern ermöglicht, mehr Aufgaben online und im Büro auszuführen, ohne ihre Sicherheit zu gefährden.

Beliebte Betriebssysteme und Softwareprogramme enthalten bereits Kerberos, das zu einem wesentlichen Bestandteil der IT-Infrastruktur geworden ist. Es ist die Standard-Autorisierungstechnologie von Microsoft Windows.

Es verwendet starke Kryptografie und Ticketautorisierung durch Drittanbieter, um Hackern den Zugriff auf ein Unternehmensnetzwerk zu erschweren. Organisationen können das Internet mit Kerberos nutzen, ohne sich Gedanken darüber machen zu müssen, ihre Sicherheit zu gefährden.

Die bekannteste Anwendung von Kerberos ist Microsoft Active Directory, das Domänen steuert und die Benutzerauthentifizierung als standardmäßiger Verzeichnisdienst durchführt, der in Windows 2000 und höher enthalten ist.

Apple, die NASA, Google, das US-Verteidigungsministerium und Institutionen im ganzen Land gehören zu den bemerkenswertesten Nutzern.

Nachfolgend finden Sie einige Beispiele für Systeme mit integrierter oder zugänglicher Kerberos-Unterstützung:

• Amazon Web-Services
• Google-Cloud
• Hewlett Packard Unix
• Führungskraft von IBM Advanced Interactive
• Microsoft Azure
• Microsoft Windows Server und AD
• Oracle-Solaris
• OpenBSD

Zusätzliche Ressourcen

Fazit

Die am weitesten verbreitete Authentifizierungsmethode zum Schutz von Client-Server-Verbindungen ist Kerberos. Kerberos ist ein Authentifizierungsmechanismus mit symmetrischen Schlüsseln, der Datenintegrität, Vertraulichkeit und gegenseitige Benutzerauthentifizierung bietet.

Es ist die Grundlage von Microsoft Active Directory und hat sich zu einem der Protokolle entwickelt, die von Angreifern aller Art ausgenutzt werden.

Als Nächstes können Sie Tools zur Überwachung des Zustands von Active Directory ausprobieren.