Como funciona a autenticação Kerberos?

Por
Twittar
Compartilhar
Compartilhar
Pin

Embora o Kerberos seja um sistema de back-end, ele é tão integrado que a maioria dos usuários ou administradores ignora sua existência.

O que é Kerberos e como funciona?

Se você usa e-mail ou outros serviços online que exigem logins para acessar recursos, é provável que esteja autenticando por meio do sistema Kerberos.

O mecanismo de autenticação seguro conhecido como Kerberos garante a comunicação segura entre dispositivos, sistemas e redes. Seu principal objetivo é proteger seus dados e informações de login de hackers.

O Kerberos é suportado por todos os sistemas operacionais populares, incluindo Microsoft Windows, Apple macOS, FreeBSD e Linux.

Um modelo de segurança de cinco níveis usado pelo Kerberos compreende autenticação mútua e criptografia de chave simétrica. A verificação da identidade permite que usuários autorizados façam login em um sistema.

Ele combina um banco de dados central e criptografia para confirmar a legitimidade de usuários e serviços. O servidor Kerberos primeiro autentica um usuário antes de permitir que ele acesse um serviço. Em seguida, eles recebem um bilhete que podem usar para acessar o serviço se forem autenticados com sucesso.

Em essência, o Kerberos conta com “tickets” para permitir que os usuários se comuniquem entre si com segurança. O protocolo Kerberos usa um Key Distribution Center (KDC) para estabelecer a comunicação entre clientes e servidores.

Ao usar o protocolo Kerberos, o servidor recebe uma solicitação do cliente. Depois disso, o servidor responde com uma resposta que contém um token. O cliente então emite uma solicitação ao servidor e ao ticket.

É um método essencial que garante a segurança dos dados transferidos entre os sistemas. Ele foi desenvolvido pelo Massachusetts Institute of Technology (MIT) em 1980 para resolver o problema de conexões de rede não seguras e agora está incluído em muitos sistemas diferentes.

Neste artigo, veremos detalhes sobre as vantagens do Kerberos, aplicações práticas, como ele opera passo a passo e quão seguro ele é.

Benefícios da autenticação Kerberos

Em um ambiente de computação vasto e distribuído, os sistemas de computador podem se identificar e se comunicar com segurança devido ao protocolo de autenticação de rede conhecido como Kerberos.

Usando criptografia de chave secreta, o Kerberos destina-se a oferecer autenticação robusta para aplicativos cliente/servidor. Esse protocolo estabelece as bases para a segurança do aplicativo, e a criptografia SSL/TLS é frequentemente usada em combinação com ele.

  Corrigir erro OBS falhou ao conectar-se ao servidor

O protocolo de autenticação amplamente utilizado Kerberos oferece várias vantagens que podem torná-lo mais atraente para pequenas e médias empresas e grandes corporações.

Em primeiro lugar, o Kerberos é incrivelmente confiável; foi testado contra alguns dos ataques mais complexos e provou ser imune a eles. Além disso, o Kerberos é simples de configurar, utilizar e integrar em vários sistemas.

Benefícios exclusivos

  • Um sistema de tíquete exclusivo usado pelo Kerberos permite uma autenticação mais rápida.
  • Serviços e clientes podem autenticar-se mutuamente.
  • O período de autenticação é particularmente seguro devido ao carimbo de data/hora limitado.
  • Atende aos requisitos de sistemas distribuídos modernos
  • Reutilizável enquanto o carimbo de data/hora do ticket ainda é válido, o Authenticity evita que os usuários precisem inserir novamente suas informações de login para acessar outros recursos.
  • Várias chaves secretas, autorização de terceiros e criptografia fornecem segurança de alto nível.

Quão seguro é o Kerberos?

Vimos que o Kerberos emprega um processo de autenticação seguro. Esta seção explorará como os invasores podem violar a segurança do Kerberos.

Por muitos anos, o protocolo seguro Kerberos tem sido usado: Como ilustração, desde o lançamento do Windows 2000, o Microsoft Windows tornou o Kerberos o mecanismo de autenticação padrão.

O serviço de autenticação Kerberos usa criptografia de chave secreta, criptografia e autenticação confiável de terceiros para proteger dados confidenciais com êxito durante o trânsito.

Para aumentar a segurança, o Advanced Encryption Standard (AES) é usado pelo Kerberos 5, a versão mais recente, para garantir comunicações mais seguras e evitar invasões de dados.

O governo dos EUA adotou o AES porque é particularmente eficaz na proteção de suas informações secretas.

No entanto, argumenta-se que nenhuma plataforma é totalmente segura e o Kerberos não é exceção. Embora o Kerberos seja o mais seguro, as empresas devem verificar constantemente sua superfície de ataque para não serem aproveitadas por hackers.

Como resultado de seu amplo uso, os hackers se esforçam para descobrir falhas de segurança na infraestrutura.

Aqui estão alguns ataques típicos que podem ocorrer:

  • Ataque do Bilhete Dourado: É o ataque mais prejudicial. Nesse ataque, os invasores sequestram o serviço de distribuição de chaves de um usuário genuíno usando tíquetes Kerberos. Ele visa principalmente ambientes Windows com Active Directory (AD) em uso para privilégios de controle de acesso.
  • Silver Ticket Attack: Um tíquete de autenticação de serviço falsificado é chamado de tíquete prata. Um hacker pode produzir um Silver Ticket decifrando uma senha de conta de computador e utilizando-a para construir um ticket de autenticação falso.
  • Passe o ticket: Ao gerar um TGT falso, o invasor constrói uma chave de sessão falsa e a apresenta como uma credencial legítima.
  • Passar o ataque de hash: essa tática envolve obter o hash de senha NTLM de um usuário e, em seguida, transmitir o hash para autenticação NTLM.
  • Kerberoasting: O ataque visa coletar hashes de senha para contas de usuário do Active Directory com valores servicePrincipalName (SPN), como contas de serviço, abusando do protocolo Kerberos.
  10 melhores toca-discos para seus discos de vinil vintage

Mitigação de Riscos Kerberos

As seguintes medidas de mitigação ajudariam na prevenção dos ataques Kerberos:

  • Adote um software moderno que monitora a rede 24 horas por dia e identifica vulnerabilidades em tempo real.
  • Privilégio mínimo: afirma que apenas os usuários, contas e processos do computador devem ter as permissões de acesso necessárias para realizar seus trabalhos. Ao fazer isso, o acesso não autorizado aos servidores, principalmente o KDC Server e outros controladores de domínio, será interrompido.
  • Supere vulnerabilidades de software, incluindo vulnerabilidades de dia zero.
  • Execute o modo protegido do Serviço de Subsistema de Autoridade de Segurança Local (LSASS): O LSASS hospeda vários plug-ins, incluindo autenticação NTLM e Kerberos, e é responsável por fornecer aos usuários serviços de logon único.
  • Autenticação Forte: Padrões para criação de senha. Senhas fortes para contas administrativas, locais e de serviço.
  • Ataques DOS (Denial of Service): Ao sobrecarregar o KDC com solicitações de autenticação, um invasor pode iniciar um ataque de negação de serviço (DoS). Para evitar ataques e equilibrar a carga, o KDC deve ser colocado atrás de um firewall e o KDC redundante adicional deve ser implantado.

Quais são as etapas no fluxo do protocolo Kerberos?

A arquitetura Kerberos consiste principalmente em quatro elementos essenciais que tratam de todas as operações Kerberos:

  • Authentication Server (AS): O processo de autenticação Kerberos começa com o Authentication Server. O cliente deve primeiro efetuar login no AS usando um nome de usuário e senha para estabelecer sua identidade. Quando isso for concluído, o AS envia o nome de usuário para o KDC, que então emite um TGT.
  • Centro de Distribuição de Chaves (KDC): Seu trabalho é servir como uma ligação entre o Authentication Server (AS) e o Ticket Granting Service (TGS), retransmitindo mensagens do AS e emitindo TGTs, que são posteriormente passados ​​para o TGS para criptografia.
  • Ticket-Granting Ticket (TGT): O TGT é criptografado e contém informações sobre quais serviços o cliente tem permissão para acessar, por quanto tempo esse acesso é autorizado e uma chave de sessão para comunicação.
  • Ticket Granting Service (TGS): O TGS é uma barreira entre os clientes que possuem TGTs e os diversos serviços da rede. O TGS então estabelece uma chave de sessão após autenticar o TGT compartilhado pelo servidor e pelo cliente.
  Os serviços de transcrição online são seguros e privados?

Veja a seguir o fluxo passo a passo da autenticação Kerberos:

  • Login de usuário
  • Um cliente solicita o servidor que concede os tickets.
  • Um servidor verifica o nome de usuário.
  • Devolução do bilhete do cliente após a concessão.
  • Um cliente obtém a chave de sessão TGS.
  • Um cliente solicita ao servidor acesso a um serviço.
  • Um servidor verifica o serviço.
  • Chave de Sessão TGS obtida pelo servidor.
  • Um servidor cria a Chave de Sessão de Serviço.
  • Um cliente recebe a chave de sessão de serviço.
  • Um cliente entra em contato com o serviço.
  • Serviço Descriptografa.
  • O serviço verifica a solicitação.
  • O serviço é autenticado para o cliente.
  • Um cliente confirma o serviço.
  • Um cliente e um serviço interagem.

O que são aplicativos do mundo real usando Kerberos?

Em um local de trabalho moderno e conectado à Internet, o Kerberos é significativamente mais valioso porque é excelente em Single-Sign-On (SSO).

O Microsoft Windows atualmente usa a autenticação Kerberos como seu método de autorização padrão. Kerberos também é suportado pelo Apple OS, FreeBSD, UNIX e Linux.

Além disso, tornou-se uma norma para sites e aplicativos de logon único em todas as plataformas. O Kerberos aumentou a segurança da Internet e de seus usuários, permitindo que os usuários executem mais tarefas online e no escritório sem arriscar sua segurança.

Sistemas operacionais e programas de software populares já incluem o Kerberos, que se tornou uma parte essencial da infraestrutura de TI. É a tecnologia de autorização padrão do Microsoft Windows.

Ele usa criptografia forte e autorização de tíquete de terceiros para dificultar o acesso de hackers a uma rede corporativa. As organizações podem usar a Internet com o Kerberos sem se preocupar em comprometer sua segurança.

O aplicativo mais conhecido do Kerberos é o Microsoft Active Directory, que controla domínios e executa a autenticação do usuário como um serviço de diretório padrão incluído no Windows 2000 e posterior.

Apple, NASA, Google, Departamento de Defesa dos EUA e instituições em todo o país estão entre os usuários mais notáveis.

Abaixo estão alguns exemplos de sistemas com suporte a Kerberos integrado ou acessível:

  • Amazon Web Services
  • Google Cloud
  • Hewlett Packard Unix
  • Executivo da IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server e AD
  • Oracle Solaris
  • OpenBSD

Recursos adicionais

Conclusão

O método de autenticação mais utilizado para proteger as conexões cliente-servidor é o Kerberos. Kerberos é um mecanismo de autenticação de chave simétrica que oferece integridade de dados, confidencialidade e autenticação mútua de usuários.

É a base do Microsoft Active Directory e cresceu para ser um dos protocolos que invasores de todos os tipos têm como alvo para exploração.

Em seguida, você pode conferir as ferramentas para monitorar a integridade do Active Directory.