Tin tức và phân tích của tất cả các thiết bị di động
Blogs4

Xác thực Kerberos hoạt động như thế nào?

Mặc dù Kerberos là một hệ thống phụ trợ, nhưng nó được tích hợp liền mạch đến mức hầu hết người dùng hoặc quản trị viên đều bỏ qua sự tồn tại của nó.

Kerberos là gì và nó hoạt động như thế nào?

Nếu bạn đang sử dụng email hoặc các dịch vụ trực tuyến khác yêu cầu bạn phải đăng nhập để truy cập tài nguyên, thì có thể bạn đang xác thực thông qua Kerberos.

Cơ chế xác thực an toàn được gọi là Kerberos đảm bảo liên lạc an toàn giữa các thiết bị, hệ thống và mạng. Mục đích chính của nó là bảo vệ dữ liệu và thông tin đăng nhập của bạn khỏi tin tặc.

Kerberos được hỗ trợ bởi tất cả các hệ điều hành chính, bao gồm cả Microsoft Windows, Apple macOS, FreeBSD và Linux.

Mô hình bảo mật năm cấp được Kerberos sử dụng bao gồm xác thực lẫn nhau và mật mã khóa đối xứng. Xác minh danh tính cho phép người dùng được ủy quyền đăng nhập vào hệ thống.

Nó kết hợp cơ sở dữ liệu trung tâm và mã hóa để xác thực tính hợp pháp của người dùng và dịch vụ. Đầu tiên, máy chủ Kerberos xác thực người dùng trước khi cho phép họ truy cập vào dịch vụ. Sau đó, họ nhận được một vé mà họ có thể truy cập dịch vụ nếu họ được xác thực thành công.

Về cơ bản, Kerberos dựa vào “vé” để cho phép người dùng giao tiếp an toàn với nhau. Kerberos sử dụng Trung tâm phân phối khóa (KDC) để thiết lập giao tiếp giữa máy khách và máy chủ.

Khi sử dụng Kerberos, máy chủ sẽ nhận được yêu cầu từ máy khách. Sau đó, máy chủ sẽ trả lời bằng một phản hồi có chứa mã thông báo. Sau đó, máy khách sẽ gửi yêu cầu đến máy chủ và một vé.

Đây là một phương pháp cần thiết để đảm bảo tính bảo mật của dữ liệu được truyền giữa các hệ thống. Nó được phát triển bởi Viện Công nghệ Massachusetts (MIT) vào năm 1980 để giải quyết vấn đề kết nối mạng không an toàn và hiện được sử dụng trong nhiều hệ thống.

Trong bài viết này, chúng ta sẽ xem xét chi tiết về các lợi ích, ứng dụng thực tế của Kerberos, cách thức hoạt động của nó từng bước và mức độ an toàn của nó.

Lợi ích của xác thực Kerberos

Trong một môi trường điện toán phân tán rộng lớn, các hệ thống máy tính có thể xác định và liên lạc với nhau một cách an toàn thông qua một giao thức xác thực mạng được gọi là Kerberos.

Sử dụng mật mã khóa bí mật, Kerberos nhằm mục đích cung cấp xác thực đáng tin cậy cho các ứng dụng máy khách/máy chủ. Giao thức này là nền tảng của bảo mật ứng dụng và mã hóa SSL/TLS thường được sử dụng cùng với nó.

Giao thức xác thực Kerberos được sử dụng rộng rãi mang lại một số lợi thế có thể khiến giao thức này trở nên hấp dẫn hơn đối với các doanh nghiệp vừa và nhỏ cũng như các tập đoàn lớn.

Đầu tiên, Kerberos cực kỳ đáng tin cậy; nó đã được thử nghiệm chống lại một số cuộc tấn công phức tạp nhất và đã được chứng minh là miễn nhiễm với chúng. Ngoài ra, Kerberos rất đơn giản để cấu hình, sử dụng và tích hợp với một số hệ thống.

lợi ích độc đáo

  • Hệ thống bán vé duy nhất được Kerberos sử dụng cho phép xác thực nhanh hơn.
  • Dịch vụ và khách hàng có thể xác thực lẫn nhau.
  • Khoảng thời gian xác thực đặc biệt an toàn do dấu thời gian hạn chế.
  • Nó đáp ứng các yêu cầu của các hệ thống phân tán hiện đại
  • Có thể sử dụng lại trong khi dấu thời gian của vé vẫn còn hiệu lực, Tính xác thực giúp bạn không phải nhập lại chi tiết đăng nhập của mình để truy cập các tài nguyên khác.
  • Nhiều khóa bí mật, ủy quyền của bên thứ ba và mật mã đảm bảo mức độ bảo mật cao nhất.

Kerberos an toàn đến mức nào?

Chúng tôi đã thấy rằng Kerberos sử dụng quy trình xác thực an toàn. Trong phần này, chúng ta sẽ thảo luận về cách những kẻ tấn công có thể vi phạm bảo mật Kerberos.

Trong nhiều năm, giao thức Kerberos an toàn đã được sử dụng: Ví dụ: kể từ khi phát hành Windows 2000,Microsoft Windows biến Kerberos thành cơ chế xác thực tiêu chuẩn.

Dịch vụ xác thực Kerberos sử dụng mã hóa khóa bí mật, mật mã và xác thực của bên thứ ba đáng tin cậy để bảo vệ hiệu quả dữ liệu nhạy cảm trong quá trình truyền.

Để tăng cường bảo mật, Kerberos 5phiên bản mới nhất, sử dụng Tiêu chuẩn mã hóa nâng cao (AES) để cung cấp thông tin liên lạc an toàn hơn và tránh vi phạm dữ liệu.

Chính phủ Hoa Kỳ đã thông qua AES vì nó đặc biệt hiệu quả trong việc bảo vệ thông tin bí mật của họ.

Tuy nhiên, người ta khẳng định rằng không có nền tảng nào là hoàn toàn an toàn và Kerberos cũng không ngoại lệ. Mặc dù Kerberos là giải pháp an toàn nhất, các công ty phải liên tục kiểm tra bề mặt tấn công để tự bảo vệ mình khỏi bị tin tặc lợi dụng.

Do được sử dụng rộng rãi, tin tặc nhằm mục đích khám phá các lỗ hổng bảo mật trong cơ sở hạ tầng.

Dưới đây là một số cuộc tấn công phổ biến có thể xảy ra:

  • Cuộc tấn công vé vàng: Đây là cuộc tấn công gây thiệt hại nhiều nhất. Trong cuộc tấn công này, những kẻ tấn công chiếm quyền điều khiển dịch vụ phân phối khóa của người dùng thực bằng cách sử dụng vé Kerberos. Nó được thiết kế chủ yếu cho môi trường Windows từ Active Directory (AD) để sử dụng cho quyền kiểm soát truy cập.
  • Tấn công vé bạc: Một vé xác thực dịch vụ giả mạo được gọi là vé bạc. Tin tặc có thể tạo Vé bạc bằng cách giải mã mật khẩu tài khoản của máy tính và sử dụng mật khẩu đó để tạo vé xác thực giả.
  • Vượt qua vé: Bằng cách tạo TGT giả, kẻ tấn công tạo khóa phiên giả và trình bày nó dưới dạng thông tin đăng nhập hợp pháp.
  • Tấn công băm chuyển tiếp: Chiến thuật này là để lấy hàm băm của mật khẩu NTLM của người dùng và sau đó gửi hàm băm để xác thực NTLM.
  • Kerberoasting: Cuộc tấn công nhằm mục đích thu thập mật khẩu băm cho tài khoản người dùng Active Directory có giá trị servicePrincipalName (SPN), chẳng hạn như tài khoản dịch vụ, bằng cách lạm dụng giao thức Kerberos.

Giảm thiểu rủi ro Kerberos

Các biện pháp giảm nhẹ sau đây sẽ giúp ngăn chặn các cuộc tấn công Kerberos:

  • Sử dụng phần mềm hiện đại giám sát mạng suốt ngày đêm và xác định các lỗ hổng trong thời gian thực.
  • Đặc quyền tối thiểu: Nói rằng chỉ những người dùng, tài khoản và quy trình máy tính đó mới có quyền truy cập cần thiết để thực hiện công việc của họ. Điều này sẽ ngăn truy cập trái phép vào các máy chủ, chủ yếu là Máy chủ KDC và các bộ điều khiển miền khác.
  • Khắc phục các lỗ hổng phần mềm, bao gồm lỗ hổng zero-day.
  • Chạy Chế độ được bảo vệ của Dịch vụ hệ thống con của Cơ quan bảo mật cục bộ (LSASS): LSASS hỗ trợ nhiều phần bổ trợ khác nhau, bao gồm xác thực NTLM và Kerberos, đồng thời chịu trách nhiệm cung cấp các dịch vụ đăng nhập một lần cho người dùng.
  • Xác thực mạnh: Tiêu chuẩn tạo mật khẩu. Mật khẩu mạnh cho tài khoản quản trị, cục bộ và dịch vụ.
  • Tấn công từ chối dịch vụ (DOS): Bằng cách làm quá tải KDC với các yêu cầu xác thực, kẻ tấn công có thể khởi động một cuộc tấn công từ chối dịch vụ (DoS). Để ngăn chặn các cuộc tấn công và cân bằng tải, KDC nên được đặt phía sau tường lửa và dự phòng KDC bổ sung nên được triển khai.

Các bước trong quy trình Kerberos là gì?

Kiến trúc Kerberos bao gồm chủ yếu bốn yếu tố cơ bản hỗ trợ tất cả các hoạt động của Kerberos:

  • Máy chủ xác thực (AS): Quá trình xác thực Kerberos bắt đầu với máy chủ xác thực. Trước tiên, khách hàng phải đăng nhập vào AS bằng tên người dùng và mật khẩu để thiết lập danh tính của mình. Sau khi hoàn thành, AS gửi tên người dùng đến KDC, sau đó phát hành TGT.
  • Trung tâm phân phối khóa (KDC): Công việc của nó là đóng vai trò là đầu mối liên lạc giữa máy chủ xác thực (AS) và dịch vụ bán vé (TGS), truyền tin nhắn từ AS và phát hành TGT, sau đó được chuyển tiếp đến TGS để mã hóa.
  • Ticket-Granting Ticket (TGT): TGT được mã hóa và chứa thông tin về các dịch vụ mà khách hàng có thể truy cập, thời gian truy cập đó được ủy quyền và khóa phiên để liên lạc.
  • Dịch vụ cấp vé (TGS): TGS hoạt động như một rào cản giữa những khách hàng sở hữu TGT và các dịch vụ mạng khác nhau. TGS sau đó thiết lập khóa phiên sau khi xác thực TGT được chia sẻ bởi máy chủ và máy khách.

Sau đây là quy trình xác thực Kerberos từng bước:

  • Đăng nhập người dùng
  • Máy khách yêu cầu máy chủ cấp vé.
  • Máy chủ kiểm tra tên người dùng.
  • Trả lại vé của khách hàng sau khi ghi có.
  • Máy khách nhận được khóa phiên TGS.
  • Máy khách yêu cầu máy chủ truy cập vào dịch vụ.
  • Máy chủ kiểm tra dịch vụ.
  • Khóa phiên TGS được máy chủ thu được.
  • Máy chủ tạo khóa phiên dịch vụ.
  • Máy khách nhận được khóa phiên dịch vụ.
  • Khách hàng liên hệ với dịch vụ.
  • Dịch vụ giải mã.
  • Dịch vụ kiểm tra yêu cầu.
  • Dịch vụ được xác thực cho khách hàng.
  • Khách hàng xác nhận dịch vụ.
  • Khách hàng và dịch vụ tương tác.

Các ứng dụng thực tế sử dụng Kerberos là gì?

Trong môi trường làm việc hiện đại, trực tuyến và được kết nối, Kerberos có giá trị hơn nhiều vì nó vượt trội ở chế độ đăng nhập một lần (SSO).

Microsoft Windows hiện đang sử dụng xác thực Kerberos làm phương thức xác thực tiêu chuẩn. Kerberos cũng được hỗ trợ bởi Apple HĐH, FreeBSD, UNIX và Linux.

Ngoài ra, nó đã trở thành tiêu chuẩn cho các trang web và ứng dụng Đăng nhập một lần trên tất cả các nền tảng. Kerberos đã làm cho Internet và người dùng trở nên an toàn hơn trong khi cho phép người dùng thực hiện nhiều tác vụ trực tuyến và văn phòng hơn mà không ảnh hưởng đến tính bảo mật của họ.

Các hệ điều hành và chương trình phổ biến đã bao gồm Kerberos, đã trở thành một phần thiết yếu của cơ sở hạ tầng CNTT. Đây là công nghệ xác thực tiêu chuẩn của Microsoft Windows.

Nó sử dụng mật mã mạnh và xác thực vé của bên thứ ba để khiến tin tặc khó truy cập mạng công ty của bạn hơn. Các tổ chức có thể sử dụng Internet bằng Kerberos mà không phải lo lắng về bảo mật của họ.

Ứng dụng Kerberos nổi tiếng nhất là Microsoft Active Directory, ứng dụng này kiểm soát các miền và thực hiện xác thực người dùng dưới dạng dịch vụ thư mục tiêu chuẩn có trong hệ thống Windows 2000 trở về sau.

AppleNASA, Google, Bộ Quốc phòng Hoa Kỳ và các tổ chức trên toàn quốc nằm trong số những người dùng đáng chú ý hơn.

Dưới đây là một số ví dụ về các hệ thống có hỗ trợ Kerberos tích hợp sẵn hoặc có sẵn:

  • dịch vụ internet Amazon
  • Google đám mây
  • Hewlett Packard Unix
  • Giám đốc điều hành tương tác nâng cao của IBM
  • Microsoft Azure
  • Microsoft Windows Máy chủ và QUẢNG CÁO
  • Hệ mặt trời Oracle
  • mởBSD

tài nguyên bổ sung

Đăng kí

Phương pháp xác thực được sử dụng phổ biến nhất để bảo vệ các kết nối máy khách-máy chủ là Kerberos. Kerberos là một cơ chế xác thực khóa đối xứng đảm bảo tính toàn vẹn dữ liệu, tính bảo mật và xác thực lẫn nhau của người dùng.

Nó là cơ sở của Microsoft Active Directory và đã trở thành một trong những giao thức tấn công tất cả các loại tấn công.

Sau đó, bạn có thể kiểm tra các công cụ Giám sát trạng thái Active Directory.

Khuyến Khích:

Mục lục