Аутентификация Kerberos

Во все более оцифрованном мире, где частные и коммерческие данные хранятся и передаются в электронном виде, киберпреступность является постоянно растущей проблемой. Благодаря использованию искусственного интеллекта хакеры находят все больше способов оптимизировать свои атаки. По этой причине шифрование данных с помощью электронных процедур безопасности важно как никогда. Узнайте, что такое аутентификация Kerberos, как она работает, каковы ее сильные и слабые стороны.

Kerberos — это служба аутентификации, используемая в открытых или незащищенных компьютерных сетях. Таким образом, протокол безопасности аутентифицирует запросы на обслуживание между двумя или более доверенными узлами через ненадежную сеть, такую как Интернет. Криптографическое шифрование и доверенная третья сторона используются для аутентификации приложений клиент-сервер и проверки личности пользователя.

Kerberos поддерживается как проект с открытым исходным кодом Консорциумом Kerberos. Он берет свое начало в 1980-х годах, когда Массачусетский технологический институт (MIT) разработал протокол для своего тогдашнего проекта Athena. Сегодня Kerberos является стандартной технологией авторизации Microsoft Windows. Однако реализации Kerberos существуют и для других операционных систем, таких как Apple OS, FreeBSD, UNIX и Linux. Компания Microsoft представила свою версию протокола Kerberos в Windows 2000. Он стал стандартным протоколом для веб-сайтов и реализаций единого входа на различных платформах.

Пользователи, компьютеры и службы, использующие Kerberos, полагаются на KDC, который обеспечивает две функции в одном процессе: аутентификацию и выдачу билетов. Так называемые «билеты KDC» аутентифицируют все стороны, проверяя идентичность всех узлов — начальной и конечной точек логических соединений. При этом процесс аутентификации Kerberos использует обычную криптографию с общим секретом, которая предотвращает чтение или изменение передаваемых пакетов данных. Это также защищает их от атак подслушивания и воспроизведения.

Kerberos и NTLM — это сетевые протоколы, образующие подгруппу в семействе интернет-протоколов (IPs). Оба являются методами аутентификации, использующими TCP (Transmission Control Protocol) или UDP (User Datagram Protocol). NTLM расшифровывается как NT LAN Manager и был разработан до Kerberos. Это протокол аутентификации «вызов-ответ», в котором целевой компьютер запрашивает пароль, который затем проверяется и сохраняется в виде хэша пароля для дальнейшего использования.

Одним из основных отличий Kerberos от NTLM является проверка третьей стороной. Таким образом, Kerberos имеет более сильную функцию шифрования, чем NTLM, поскольку дополнительный шаг добавляет еще один уровень безопасности. NTLM, между тем, может быть взломан относительно легко, поэтому в наши дни он считается небезопасным и не должен использоваться. Однако оба протокола аутентификации все еще реализованы в модуле аутентификации Windows.

Security Support Provider (SSP) Negotiate, который действует как прикладной уровень между интерфейсом Security Support Provider Interface (SSPI) и другими SSP, автоматически выбирает между аутентификацией Kerberos и NTLM в процессе переговоров. Если доступен протокол Kerberos, то используется протокол NTLM.

Хотя Kerberos обычно реализуется в продуктах Microsoft, начиная с Windows 2000 и Windows XP, существуют и другие распространенные протоколы безопасности для просмотра веб-страниц, обмена сообщениями и электронной почты. Например, протокол безопасности SSL или TLS шифрует соединение между веб-сервером и браузером. Это гарантирует, что все передаваемые данные остаются защищенными и не могут быть прочитаны. Как и Kerberos, SSL работает с протоколом TCP, но использует метод шифрования с открытым ключом.

Чтобы понять, как работает аутентификация Kerberos, мы разделим ее на основные компоненты. Вот основные компоненты, участвующие в типичном рабочем процессе Kerberos:

• Клиент: Клиент действует «от имени» пользователя и инициирует связь, когда делается запрос на обслуживание.
• Хостинг-сервер: Это сервер, на котором размещена служба, к которой пользователь хочет получить доступ.
• Сервер аутентификации (AS): AS выполняет необходимую аутентификацию клиента. Если аутентификация прошла успешно, AS выдает клиенту билет TGT (Ticket Granting Ticket). Этот билет гарантирует другим серверам, что клиент прошел аутентификацию.
• Сервер предоставления билетов (Ticket Granting Server, TGS): TGS — это сервер приложений, который выдает служебные билеты.
• Центр распределения ключей (KDC): KDC состоит из сервера аутентификации (AS) и сервера выдачи билетов (TGS).

Теперь перейдем к потоку протокола, который показан на диаграмме.

Шаг 1: Клиент делает зашифрованный запрос на сервер аутентификации. Когда AS получает запрос, он ищет пароль в базе данных Kerberos на основе идентификатора пользователя. Если пользователь ввел правильный пароль, AS расшифровывает запрос.

Шаг 2: После проверки пользователя AS выдает билет на предоставление билета (TGT), который отправляется обратно клиенту.

Шаг 3: Теперь клиент отправляет TGT в TGS. Вместе с TGT клиент «объясняет» причину доступа к хостинг-серверу. TGS расшифровывает билет, используя секретный ключ, совместно используемый AS и TGS.

Шаг 4: Если TGT действителен, TGS выдает клиенту билет на обслуживание.

Шаг 5: Клиент отправляет билет на обслуживание на сервер хостинга. Сервер расшифровывает билет, используя секретный ключ, совместно используемый сервером и TGB.

Шаг 6: Если секретные ключи совпадают, сервер хостинга разрешает клиенту доступ к услуге. Билет на услугу определяет, как долго пользователю разрешено пользоваться услугой. По истечении срока действия доступа его можно возобновить с помощью команды Kinit, пройдя заново весь протокол аутентификации Kerberos.

Kerberos значительно более безопасен, чем NTLM. Фактически, авторизация третьей стороной делает его одним из самых безопасных протоколов проверки в мире ИТ. Кроме того, пароли никогда не передаются открытым текстом. «Секретные ключи» передаются в системе только в зашифрованном виде. Kerberos также позволяет легко отследить, кто, что и когда запрашивал.

Прозрачные и точные журналы необходимы для аудита безопасности в организациях любого размера. Кроме того, они имеют отличный контроль доступа к журналу. Более того, сервис позволяет пользователям и сервисным системам аутентифицировать друг друга. На каждом этапе процесса аутентификации и пользователи, и серверные системы знают, что имеют дело с подлинным контрагентом. На протяжении многих лет многие эксперты по безопасности пытались взломать этот проект с открытым исходным кодом, что привело к постоянным улучшениям.

Естественно, Kerberos имеет некоторые уязвимости. Например, если сервер Kerberos выходит из строя, пользователи не могут войти в систему. Механизмы резервной аутентификации и вторичные серверы часто служат решением этой проблемы. Существуют также строгие требования к времени: Конфигурации даты/времени на участвующих хостах всегда должны быть синхронизированы в заданных пределах. В противном случае аутентификация не удается, поскольку билеты доступны лишь в ограниченных пределах.

Некоторые устаревшие системы не совместимы с механизмами аутентификации сторонних производителей. И хотя пароли в аутентификации Kerberos обычно надежны, сегодня они могут быть взломаны хакерами путем перебора или украдены с помощью фишинговых атак. Это одна из причин, по которой многофакторная аутентификация (MFA) становится все более популярным средством защиты личности в Интернете.