Kerberos认证如何工作?
虽然Kerberos是一个后台系统,但它与系统的无缝集成使得大多数用户或管理员忽视了它的存在。
Kerberos是什么,它是如何工作的?
如果您使用需要登录才能访问资源的电子邮件或其他在线服务,那么您很有可能是通过Kerberos系统进行身份验证的。
安全认证机制Kerberos保证了设备、系统和网络之间的安全通信。其主要目标是保护您的数据和登录信息免受hackers的威胁。
Kerberos受到所有流行操作系统的支持,包括Microsoft Windows、Apple macOS、FreeBSD和Linux。
Kerberos使用了一个五层安全模型,包括双向认证和对称密钥cryptography。验证身份使得授权用户能够登录系统。
它结合了中央数据库和加密来确认用户和服务的合法性。Kerberos服务器在允许用户访问服务之前首先对用户进行身份验证。然后向他们发放一个票据,如果他们成功通过身份验证,就可以使用该票据来访问服务。
本质上,Kerberos依赖于“票据”来让用户之间安全地进行通信。Kerberos协议使用密钥分发中心(KDC)来建立客户端和服务器之间的通信。
在使用Kerberos协议时,服务器接收到客户端的请求。之后,服务器回复一个包含令牌的响应。然后客户端发出请求和票据。
这是一种确保在系统之间传输的数据安全的重要方法。它由麻省理工学院(MIT)于1980年开发,以解决不安全的网络连接问题,并现已纳入许多不同的系统中。
在本文中,我们将详细介绍Kerberos的优势、实际应用、逐步操作以及其安全性。
Kerberos认证的优势
在一个庞大的分布式计算环境中,由于被称为Kerberos的网络认证协议,计算机系统可以安全地识别和相互通信。
Kerberos使用秘密密钥密码学,旨在为客户端/服务器应用程序提供强大的认证。该协议为应用程序安全打下了基础,并且常常与SSL/TLS加密结合使用。
广泛使用的认证协议Kerberos提供了几个优点,这些优点可能使其对中小型企业和大型企业更具吸引力。
首先,Kerberos非常可靠;它经过了一些最复杂的攻击测试,并且经受住了考验。此外,Kerberos的设置、使用和集成到多个系统中都非常简单。
独特的优势
- Kerberos使用的独特票据系统可以实现更快的认证。
- 服务和客户端可以相互认证。
- 由于时间戳的限制,认证期间特别安全。
- 满足现代分布式系统的要求。
- 在票据时间戳仍然有效时可重复使用,验证性能避免了用户需要重新输入登录信息来访问其他资源。
- 多个秘密密钥、第三方授权和密码学提供了一流的安全性。
Kerberos有多安全?
我们已经看到Kerberos采用了安全的身份验证过程。本节将探讨攻击者如何破坏Kerberos的安全性。
多年来,Kerberos安全协议一直在使用:举例来说,自Windows 2000发布以来,Microsoft Windows已将Kerberos作为标准身份验证机制。
Kerberos身份验证服务使用秘钥加密、密码学和可信任的第三方身份验证,在数据传输过程中成功地保护敏感数据。
为了增加安全性,Kerberos 5,即最新版本,使用高级加密标准(AES)确保更安全的通信,并避免数据入侵。
美国政府采用AES是因为它对保护其机密信息非常有效。
然而,有人认为没有平台是完全安全的,Kerberos也不例外。尽管Kerberos是最安全的,企业必须不断检查它们的攻击面,以防止黑客利用漏洞。
由于广泛使用,黑客努力揭示基础设施中的安全漏洞。
以下是可能发生的几种典型攻击:
- 黄金票据攻击:这是最具破坏性的攻击。在这种攻击中,攻击者利用Kerberos票据劫持真实用户的密钥分发服务。它主要针对使用Active Directory(AD)进行访问控制权限的Windows环境。
- 白银票据攻击:伪造的服务认证票据被称为白银票据。黑客可以通过解密计算机账户密码并利用它构造一个虚假的认证票据来产生白银票据。
- 传递票据攻击:通过生成一个虚假的TGT,攻击者构造一个伪造的会话密钥,并将其作为合法凭据呈现。
- 传递哈希攻击:这种策略涉及获取用户的NTLM密码哈希,然后将哈希传输进行NTLM身份验证。
- Kerberoasting:该攻击旨在通过滥用Kerberos协议,收集具有servicePrincipalName(SPN)值(如服务账户)的Active Directory用户账户的密码哈希。
Kerberos风险缓解
以下缓解措施将有助于防止Kerberos攻击:
- 采用现代软件,全天候监测网络并实时识别漏洞。
- 最小权限原则:只有那些用户、账户和计算机进程应具有其工作所需的访问权限。通过这样做,将停止对服务器(主要是KDC服务器和其他域控制器)的未经授权访问。
- 克服软件漏洞,包括零日漏洞。
- 运行本地安全性子系统服务(LSASS)的受保护模式:LSASS托管各种插件,包括NTLM认证和Kerberos,并负责为用户提供单点登录服务。
- 强身份验证:密码创建标准。对于管理、本地和服务账户,使用强密码。
- 拒绝服务(DOS)攻击:通过向KDC发送认证请求来超载KDC,攻击者可以发起拒绝服务(DoS)攻击。为了防止攻击并平衡负载,应将KDC置于防火墙后面,并部署额外的冗余KDC。
Kerberos协议流程的步骤是什么?
Kerberos体系结构主要由四个关键元素组成,负责处理所有Kerberos操作:
- 认证服务器(AS): Kerberos认证过程始于认证服务器。客户端必须首先使用用户名和密码登录AS以建立身份。完成后,AS将用户名发送给KDC,然后KDC发行TGT。
- 密钥分发中心(KDC): 它的工作是作为认证服务器(AS)和票据授予服务(TGS)之间的联络人,传递来自AS的消息并发行TGT,随后将其传递给TGS进行加密。
- 票据授予票据(TGT): TGT被加密,并包含有关客户端被允许访问的服务、访问授权的持续时间以及用于通信的会话密钥的信息。
- 票据授予服务(TGS): TGS是客户端拥有TGT和网络各种服务之间的障碍。 TGS在对由服务器和客户端共享的TGT进行身份验证后,建立会话密钥。
以下是Kerberos认证的步骤流程:
- 用户登录
- 客户端请求授予票据的服务器
- 服务器检查用户名
- 授予后返回客户端的票据
- 客户端获取TGS会话密钥
- 客户端请求访问某个服务
- 服务器检查服务
- 服务器获取TGS会话密钥
- 服务器创建服务会话密钥
- 客户端接收服务会话密钥
- 客户端联系服务
- 服务解密
- 服务检查请求
- 服务对客户端进行身份验证
- 客户端确认服务
- 客户端和服务进行交互
Kerberos有哪些实际应用?
在现代基于互联网和连接的工作场所中,Kerberos在单点登录(SSO)方面具有显著的价值。
目前,Microsoft Windows将Kerberos认证作为其标准授权方法。Kerberos还得到Apple OS、FreeBSD、UNIX和Linux的支持。
此外,Kerberos已成为各平台上常见的网站和单点登录应用程序的规范。Kerberos提高了互联网和用户的安全性,同时允许用户在线和在办公室执行更多任务而不会危及其安全性。
流行的操作系统和软件程序已经包含了Kerberos,它已成为IT基础设施的重要组成部分。它是Microsoft Windows的标准授权技术。
它使用强加密和第三方票据授权,使黑客更难以访问企业网络。组织可以使用Kerberos上网而不担心危及其安全性。
Kerberos最著名的应用是Microsoft Active Directory,它作为标准目录服务包含在Windows 2000及更高版本中,用于控制域和执行用户认证。
苹果、NASA、谷歌、美国国防部以及全国各地的机构也是Kerberos的知名用户。
以下是一些内置或可访问Kerberos支持的系统示例:
- Amazon Web Services
- Google Cloud
- Hewlett Packard Unix
- IBM Advanced Interactive executive
- Microsoft Azure
- Microsoft Windows Server和AD
- Oracle Solaris
- OpenBSD
其他资源
| 预览 | 产品 | 评分 | 价格 | |
|---|---|---|---|---|
 |
Kerberos: The Definitive Guide | $23.89 | Buy on Amazon |
| 预览 | 产品 | 评分 | 价格 | |
|---|---|---|---|---|
 |
Implementation of Authentication and Transaction Security: Network Security using Kerberos | 暂无评分 | $43.09 | Buy on Amazon |
未找到任何产品。
结论
用于保护客户端-服务器连接的最广泛使用的身份验证方法是Kerberos。Kerberos是一种对称密钥身份验证机制,提供数据完整性、机密性和相互用户身份验证。
它是Microsoft Active Directory的基础,并已发展成为攻击者各种目标利用的协议之一。
接下来,您可以查看工具以monitor the health of Active Directory。
