Segurança Kerberos: Guia Completo com Melhores Práticas e Mitigação de Riscos

Por

Apesar de ser um sistema de retaguarda, o Kerberos está tão integrado que a maioria dos utilizadores e administradores frequentemente desconhecem a sua presença.

O que é o Kerberos e como funciona?

Se utiliza email ou outros serviços online que requerem login para acesso a recursos, é muito provável que esteja a autenticar-se através do sistema Kerberos.

O Kerberos, um mecanismo de autenticação seguro, garante a comunicação protegida entre dispositivos, sistemas e redes. O seu principal objetivo é salvaguardar os seus dados e informações de login contra ataques cibernéticos.

O Kerberos é suportado por todos os sistemas operativos predominantes, incluindo Microsoft Windows, Apple macOS, FreeBSD e Linux.

Um modelo de segurança de cinco níveis empregue pelo Kerberos engloba autenticação mútua e encriptação de chave simétrica. A verificação da identidade possibilita que utilizadores autorizados acedam a um sistema.

Combina uma base de dados central e encriptação para confirmar a legitimidade de utilizadores e serviços. O servidor Kerberos autentica primeiro um utilizador antes de lhe permitir o acesso a um serviço. Em seguida, é-lhe fornecido um bilhete (ticket) que pode usar para aceder ao serviço se for autenticado com sucesso.

Fundamentalmente, o Kerberos depende de “bilhetes” para permitir que os utilizadores comuniquem entre si de forma segura. O protocolo Kerberos emprega um Centro de Distribuição de Chaves (KDC) para estabelecer a comunicação entre clientes e servidores.

Ao usar o protocolo Kerberos, o servidor recebe uma solicitação do cliente. Posteriormente, o servidor responde com uma resposta contendo um token. O cliente, então, emite uma solicitação ao servidor e ao bilhete.

É um método crucial que assegura a segurança dos dados transferidos entre sistemas. Foi desenvolvido pelo Massachusetts Institute of Technology (MIT) em 1980 para resolver o problema das conexões de rede não seguras, e hoje está integrado em muitos sistemas distintos.

Neste artigo, exploraremos detalhadamente as vantagens do Kerberos, aplicações práticas, o seu funcionamento passo a passo e o seu nível de segurança.

Benefícios da autenticação Kerberos

Em ambientes de computação extensos e distribuídos, os sistemas informáticos podem identificar-se e comunicar de forma segura devido ao protocolo de autenticação de rede conhecido como Kerberos.

Através da encriptação de chave secreta, o Kerberos visa fornecer autenticação robusta para aplicações cliente/servidor. Este protocolo estabelece a base para a segurança da aplicação, e a encriptação SSL/TLS é frequentemente usada em conjunto.

O protocolo de autenticação Kerberos, amplamente adotado, oferece diversas vantagens que o podem tornar atraente para pequenas e médias empresas, assim como para grandes corporações.

Primeiramente, o Kerberos é extremamente confiável; foi testado contra alguns dos ataques mais complexos e demonstrou ser resistente a eles. Além disso, o Kerberos é simples de configurar, utilizar e integrar em vários sistemas.

Benefícios Exclusivos:

  • Um sistema de bilhetes único, empregue pelo Kerberos, permite uma autenticação mais rápida.
  • Serviços e clientes podem autenticar-se mutuamente.
  • O período de autenticação é particularmente seguro devido ao carimbo de data/hora limitado.
  • Atende aos requisitos de sistemas distribuídos modernos.
  • Reutilizável enquanto o carimbo de data/hora do bilhete for válido, a Autenticidade evita que os utilizadores precisem reinserir as suas informações de login para aceder a outros recursos.
  • Várias chaves secretas, autorização de terceiros e encriptação fornecem um elevado nível de segurança.

Quão seguro é o Kerberos?

Observamos que o Kerberos emprega um processo de autenticação seguro. Esta seção explorará como os invasores podem comprometer a segurança do Kerberos.

O protocolo seguro Kerberos tem sido utilizado por muitos anos. Como exemplo, desde o lançamento do Windows 2000, a Microsoft Windows adotou o Kerberos como o seu mecanismo de autenticação padrão.

O serviço de autenticação Kerberos utiliza encriptação de chave secreta, criptografia e autenticação confiável de terceiros para proteger com sucesso dados confidenciais durante a transmissão.

Para aumentar a segurança, o Advanced Encryption Standard (AES) é usado pelo Kerberos 5, a versão mais recente, para garantir comunicações mais seguras e evitar intrusões de dados.

O governo dos EUA adotou o AES porque é especialmente eficaz na proteção de informações secretas.

No entanto, alega-se que nenhuma plataforma é completamente segura e o Kerberos não é exceção. Embora o Kerberos seja o mais seguro, as empresas devem verificar constantemente a sua superfície de ataque para não serem exploradas por hackers.

Como resultado do seu uso generalizado, os hackers esforçam-se para descobrir falhas de segurança na infraestrutura.

Aqui estão alguns ataques típicos que podem ocorrer:

  • Ataque do Bilhete Dourado (Golden Ticket): É o ataque mais prejudicial. Neste ataque, os invasores sequestram o serviço de distribuição de chaves de um utilizador genuíno usando bilhetes Kerberos. Visa principalmente ambientes Windows com Active Directory (AD) em uso para privilégios de controlo de acesso.
  • Ataque do Bilhete Prateado (Silver Ticket): Um bilhete de autenticação de serviço falsificado é denominado bilhete prata. Um hacker pode produzir um Bilhete Prata decifrando uma password de conta de computador e utilizando-a para construir um bilhete de autenticação falso.
  • Passe o bilhete (Pass-the-Ticket): Ao gerar um TGT falso, o invasor constrói uma chave de sessão falsa e a apresenta como uma credencial legítima.
  • Ataque Passe o Hash (Pass-the-Hash): Esta tática envolve obter o hash de password NTLM de um utilizador e, em seguida, transmitir o hash para autenticação NTLM.
  • Kerberoasting: O ataque visa coletar hashes de password para contas de utilizador do Active Directory com valores servicePrincipalName (SPN), como contas de serviço, abusando do protocolo Kerberos.

Mitigação de Riscos do Kerberos

As seguintes medidas de mitigação ajudariam na prevenção de ataques Kerberos:

  • Adote um software moderno que monitora a rede 24 horas por dia e identifica vulnerabilidades em tempo real.
  • Privilégio mínimo: afirma que apenas os utilizadores, contas e processos do computador devem ter as permissões de acesso necessárias para realizar o seu trabalho. Ao fazer isso, o acesso não autorizado aos servidores, principalmente o KDC Server e outros controladores de domínio, será interrompido.
  • Supere as vulnerabilidades de software, incluindo vulnerabilidades de dia zero.
  • Execute o modo protegido do Serviço de Subsistema de Autoridade de Segurança Local (LSASS): O LSASS hospeda vários plug-ins, incluindo autenticação NTLM e Kerberos, e é responsável por fornecer aos utilizadores serviços de início de sessão único.
  • Autenticação Forte: Padrões para criação de password. Passwords fortes para contas administrativas, locais e de serviço.
  • Ataques DOS (Negação de Serviço): Ao sobrecarregar o KDC com solicitações de autenticação, um invasor pode iniciar um ataque de negação de serviço (DoS). Para evitar ataques e equilibrar a carga, o KDC deve ser colocado atrás de um firewall e um KDC redundante adicional deve ser implementado.

Quais são as etapas no fluxo do protocolo Kerberos?

A arquitetura Kerberos consiste principalmente em quatro elementos essenciais que tratam de todas as operações Kerberos:

  • Authentication Server (AS): O processo de autenticação Kerberos começa com o Authentication Server. O cliente deve primeiro efetuar login no AS usando um nome de utilizador e password para estabelecer a sua identidade. Quando isso for concluído, o AS envia o nome de utilizador para o KDC, que então emite um TGT.
  • Centro de Distribuição de Chaves (KDC): O seu trabalho é servir como uma ligação entre o Authentication Server (AS) e o Ticket Granting Service (TGS), retransmitindo mensagens do AS e emitindo TGTs, que são posteriormente passados para o TGS para encriptação.
  • Ticket-Granting Ticket (TGT): O TGT é encriptado e contém informações sobre quais serviços o cliente tem permissão para aceder, por quanto tempo esse acesso é autorizado e uma chave de sessão para comunicação.
  • Ticket Granting Service (TGS): O TGS é uma barreira entre os clientes que possuem TGTs e os diversos serviços da rede. O TGS então estabelece uma chave de sessão após autenticar o TGT compartilhado pelo servidor e pelo cliente.

Veja a seguir o fluxo passo a passo da autenticação Kerberos:

  • Login do utilizador
  • Um cliente solicita o servidor que concede os bilhetes.
  • Um servidor verifica o nome de utilizador.
  • Devolução do bilhete do cliente após a concessão.
  • Um cliente obtém a chave de sessão TGS.
  • Um cliente solicita ao servidor acesso a um serviço.
  • Um servidor verifica o serviço.
  • Chave de Sessão TGS obtida pelo servidor.
  • Um servidor cria a Chave de Sessão de Serviço.
  • Um cliente recebe a chave de sessão de serviço.
  • Um cliente entra em contato com o serviço.
  • Serviço Descriptografa.
  • O serviço verifica a solicitação.
  • O serviço é autenticado para o cliente.
  • Um cliente confirma o serviço.
  • Um cliente e um serviço interagem.

Quais são as aplicações do mundo real que usam o Kerberos?

Num ambiente de trabalho moderno e conectado à internet, o Kerberos é significativamente mais valioso devido à sua excelência em Single-Sign-On (SSO).

O Microsoft Windows atualmente usa a autenticação Kerberos como seu método de autorização padrão. O Kerberos também é suportado pelo Apple OS, FreeBSD, UNIX e Linux.

Além disso, tornou-se um padrão para sites e aplicações de início de sessão único em todas as plataformas. O Kerberos aumentou a segurança da Internet e dos seus utilizadores, permitindo que os utilizadores executem mais tarefas online e no escritório sem arriscar a sua segurança.

Sistemas operativos e programas de software populares já incluem o Kerberos, que se tornou uma parte essencial da infraestrutura de TI. É a tecnologia de autorização padrão do Microsoft Windows.

Utiliza encriptação forte e autorização de bilhete de terceiros para dificultar o acesso de hackers a uma rede corporativa. As organizações podem utilizar a Internet com o Kerberos sem se preocupar em comprometer a sua segurança.

A aplicação mais conhecida do Kerberos é o Microsoft Active Directory, que controla domínios e executa a autenticação do utilizador como um serviço de diretório padrão incluído no Windows 2000 e posterior.

A Apple, NASA, Google, Departamento de Defesa dos EUA e instituições em todo o país estão entre os utilizadores mais notáveis.

Abaixo estão alguns exemplos de sistemas com suporte ao Kerberos integrado ou acessível:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • IBM Advanced Interactive Executive
  • Microsoft Azure
  • Microsoft Windows Server e AD
  • Oracle Solaris
  • OpenBSD

Recursos adicionais

Conclusão

O método de autenticação mais usado para proteger as conexões cliente-servidor é o Kerberos. O Kerberos é um mecanismo de autenticação de chave simétrica que oferece integridade de dados, confidencialidade e autenticação mútua de utilizadores.

É a base do Microsoft Active Directory e tornou-se um dos protocolos que os invasores de todos os tipos têm como alvo para exploração.

Em seguida, pode verificar as ferramentas para monitorizar a integridade do Active Directory.