Come funziona l'autenticazione Kerberos?

Sebbene Kerberos sia un sistema back-end, è così perfettamente integrato che la maggior parte degli utenti o degli amministratori ne trascura l'esistenza.

Che cos'è Kerberos e come funziona?

Se utilizzi la posta elettronica o altri servizi online che richiedono accessi per accedere alle risorse, è probabile che ti stia eseguendo l'autenticazione tramite il sistema Kerberos.

Il meccanismo di autenticazione sicuro noto come Kerberos garantisce una comunicazione sicura tra dispositivi, sistemi e reti. Il suo obiettivo principale è proteggere i tuoi dati e le informazioni di accesso dagli hacker.

Kerberos è supportato da tutti i più diffusi sistemi operativi, inclusi Microsoft Windows, Apple macOS, FreeBSD e Linux.

Un modello di sicurezza a cinque livelli utilizzato da Kerberos comprende l'autenticazione reciproca e la crittografia a chiave simmetrica. La verifica della propria identità consente agli utenti autorizzati di accedere a un sistema.

Combina un database centrale e una crittografia per confermare la legittimità di utenti e servizi. Il server Kerberos autentica prima un utente prima di consentirgli l'accesso a un servizio. Viene quindi emesso un ticket che possono utilizzare per accedere al servizio se autenticati con successo.

In sostanza, Kerberos fa affidamento sui "biglietti" per consentire agli utenti di comunicare tra loro in modo sicuro. Il protocollo Kerberos utilizza un Key Distribution Center (KDC) per stabilire la comunicazione tra client e server.

Quando si utilizza il protocollo Kerberos, il server riceve una richiesta dal client. Successivamente, il server risponde con una risposta che contiene un token. Il client invia quindi una richiesta al server e al ticket.

È un metodo essenziale che garantisce la sicurezza dei dati trasferiti attraverso i sistemi. È stato sviluppato dal Massachusetts Institute of Technology (MIT) nel 1980 per affrontare il problema delle connessioni di rete non protette ed è ora incluso in molti sistemi diversi.

In questo articolo, esamineremo le specifiche sui vantaggi di Kerberos, sulle applicazioni pratiche, su come funziona passo dopo passo e quanto è sicuro.

Vantaggi dell'autenticazione Kerberos

In un vasto ambiente di elaborazione distribuito, i sistemi informatici possono identificarsi e comunicare in sicurezza tra loro grazie al protocollo di autenticazione di rete noto come Kerberos.

Utilizzando la crittografia a chiave segreta, Kerberos ha lo scopo di offrire un'autenticazione affidabile per le applicazioni client/server. Questo protocollo pone le basi per la sicurezza delle applicazioni e la crittografia SSL/TLS viene spesso utilizzata in combinazione con essa.

Il protocollo di autenticazione ampiamente utilizzato Kerberos offre numerosi vantaggi che possono renderlo più interessante per le PMI e le grandi aziende.

In primo luogo, Kerberos è incredibilmente affidabile; è stato testato contro alcuni degli attacchi più complessi e si è dimostrato immune ad essi. Inoltre, Kerberos è semplice da configurare, utilizzare e integrare in diversi sistemi.

Vantaggi unici

• Un esclusivo sistema di ticketing utilizzato da Kerberos consente un'autenticazione più rapida.
• Servizi e clienti possono autenticarsi reciprocamente.
• Il periodo di autenticazione è particolarmente sicuro grazie al timestamp limitato.
• Soddisfa i requisiti dei moderni sistemi distribuiti
• Riutilizzabile mentre il timestamp del ticket è ancora valido, l'autenticità impedisce agli utenti di dover reinserire le proprie informazioni di accesso per accedere ad altre risorse.
• Chiavi segrete multiple, autorizzazione di terze parti e crittografia garantiscono una sicurezza di prim'ordine.

Quanto è sicuro Kerberos?

Abbiamo visto che Kerberos utilizza un processo di autenticazione sicuro. Questa sezione esplorerà come gli aggressori possono violare la sicurezza di Kerberos.

Da molti anni viene utilizzato il protocollo di sicurezza Kerberos: a titolo illustrativo, dal rilascio di Windows 2000, Microsoft Windows ha reso Kerberos il meccanismo di autenticazione standard.

Il servizio di autenticazione Kerberos utilizza la crittografia a chiave segreta, la crittografia e l'autenticazione di terze parti affidabile per proteggere correttamente i dati sensibili durante il transito.

Per aumentare la sicurezza, Kerberos 5, la versione più recente, utilizza Advanced Encryption Standard (AES) per garantire comunicazioni più sicure ed evitare intrusioni di dati.

Il governo degli Stati Uniti ha adottato AES perché è particolarmente efficace nel proteggere le sue informazioni segrete.

Tuttavia, si sostiene che nessuna piattaforma sia del tutto sicura e Kerberos non fa eccezione. Anche se Kerberos è il più sicuro, le aziende devono controllare costantemente la propria superficie di attacco per evitare di essere sfruttate dagli hacker.

Come risultato del suo ampio utilizzo, gli hacker si sforzano di scoprire le lacune di sicurezza nell'infrastruttura.

Ecco alcuni tipici attacchi che possono verificarsi:

• Attacco Golden Ticket: è l'assalto più dannoso. In questo attacco, gli aggressori dirottano il servizio di distribuzione delle chiavi di un utente autentico utilizzando i ticket Kerberos. Si rivolge principalmente agli ambienti Windows con Active Directory (AD) in uso per i privilegi di controllo dell'accesso.
• Silver Ticket Attack: un ticket di autenticazione del servizio falso viene definito ticket argento. Un hacker può produrre un Silver Ticket decifrando la password dell'account del computer e utilizzandola per creare un falso ticket di autenticazione.
• Passa il ticket: generando un TGT falso, l'attaccante costruisce una chiave di sessione falsa e la presenta come una credenziale legittima.
• Passa l'attacco hash: questa tattica comporta l'ottenimento dell'hash della password NTLM di un utente e quindi la trasmissione dell'hash per l'autenticazione NTLM.
• Kerberoasting: l'attacco mira a raccogliere gli hash delle password per gli account utente di Active Directory con valori servicePrincipalName (SPN), come gli account di servizio, abusando del protocollo Kerberos.

Mitigazione dei rischi Kerberos

Le seguenti misure di mitigazione aiuterebbero a prevenire gli attacchi Kerberos:

• Adotta un software moderno che monitora la rete 24 ore su 24 e identifica le vulnerabilità in tempo reale.
• Privilegio minimo: afferma che solo quegli utenti, account e processi informatici dovrebbero avere le autorizzazioni di accesso necessarie per svolgere il proprio lavoro. In questo modo, verrà interrotto l'accesso non autorizzato ai server, principalmente il server KDC e altri controller di dominio.
• Supera le vulnerabilità del software , comprese le vulnerabilità zero-day.
• Esegui la modalità protetta del Local Security Authority Subsystem Service (LSASS) : LSASS ospita vari plug-in, tra cui l'autenticazione NTLM e Kerberos, ed è incaricato di fornire agli utenti servizi di accesso singolo.
• Autenticazione avanzata : standard per la creazione di password. Password complesse per account amministrativi, locali e di servizio.
• Attacchi DOS (Denial of Service) : sovraccaricando il KDC con richieste di autenticazione, un utente malintenzionato può lanciare un attacco Denial of Service (DoS). Per prevenire attacchi e bilanciare il carico, KDC dovrebbe essere posizionato dietro un firewall e dovrebbe essere distribuito KDC ridondante aggiuntivo.

Quali sono i passaggi nel flusso del protocollo Kerberos?

L'architettura Kerberos consiste principalmente di quattro elementi essenziali che gestiscono tutte le operazioni Kerberos:

• Server di autenticazione (AS): il processo di autenticazione Kerberos inizia con il server di autenticazione. Il client deve prima accedere all'AS utilizzando un nome utente e una password per stabilire la propria identità. Al termine, AS invia il nome utente al KDC, che quindi emette un TGT.
• Key Distribution Center (KDC): il suo compito è fungere da collegamento tra l'Authentication Server (AS) e il Ticket Granting Service (TGS), inoltrando messaggi dall'AS ed emettendo TGT, che vengono successivamente passati al TGS per la crittografia.
• Ticket-Granting Ticket (TGT): il TGT è crittografato e contiene informazioni su quali servizi è consentito al client di accedere, per quanto tempo tale accesso è autorizzato e una chiave di sessione per la comunicazione.
• Ticket Granting Service (TGS): il TGS è una barriera tra i clienti che possiedono i TGT ei vari servizi della rete. Il TGS stabilisce quindi una chiave di sessione dopo aver autenticato il TGT condiviso dal server e dal client.

Quello che segue è il flusso graduale dell'autenticazione Kerberos :

• Login utente
• Un client richiede il server che concede i biglietti.
• Un server controlla il nome utente.
• Restituzione del biglietto al cliente dopo la concessione.
• Un client ottiene la chiave di sessione TGS.
• Un client chiede al server l'accesso a un servizio.
• Un server controlla il servizio.
• Chiave di sessione TGS ottenuta dal server.
• Un server crea la chiave di sessione del servizio.
• Un client riceve la chiave della sessione del servizio.
• Un cliente contatta il servizio.
• Il servizio decodifica.
• Il servizio verifica la richiesta.
• Il servizio è autenticato per il client.
• Un cliente conferma il servizio.
• Un cliente e un servizio interagiscono.

Quali sono le applicazioni del mondo reale che utilizzano Kerberos?

In un moderno ambiente di lavoro connesso e basato su Internet, Kerberos è molto più prezioso perché è eccellente in Single Sign-On (SSO).

Microsoft Windows attualmente utilizza l'autenticazione Kerberos come metodo di autorizzazione standard. Kerberos è supportato anche da Apple OS, FreeBSD, UNIX e Linux.

Inoltre, è diventata una norma per i siti Web e le applicazioni Single Sign-On su tutte le piattaforme. Kerberos ha aumentato la sicurezza di Internet e dei suoi utenti consentendo agli utenti di svolgere più attività online e in ufficio senza mettere a rischio la loro sicurezza.

I sistemi operativi e i programmi software più diffusi includono già Kerberos, che è diventato una parte essenziale dell'infrastruttura IT. È la tecnologia di autorizzazione standard di Microsoft Windows.

Utilizza una crittografia avanzata e autorizzazioni di ticket di terze parti per rendere più difficile l'accesso degli hacker a una rete aziendale. Le organizzazioni possono utilizzare Internet con Kerberos senza preoccuparsi di mettere a repentaglio la propria sicurezza.

L'applicazione più nota di Kerberos è Microsoft Active Directory, che controlla i domini ed esegue l'autenticazione degli utenti come servizio di directory standard incluso in Windows 2000 e versioni successive.

Apple, la NASA, Google, il Dipartimento della Difesa degli Stati Uniti e le istituzioni di tutto il paese sono tra gli utenti più importanti.

Di seguito sono riportati alcuni esempi di sistemi con supporto Kerberos integrato o accessibile:

• Servizi Web Amazon
• Google Cloud
• Hewlett Packard Unix
• Dirigente IBM Advanced Interactive
• Microsoft Azure
• Microsoft Windows Server e AD
• Oracle Solaris
• OpenBSD

Risorse addizionali

Anteprima	Prodotto	Valutazione	Prezzo
	Kerberos: la guida definitiva: la guida definitiva	Ancora nessuna valutazione	$ 23,74	Acquista su Amazon

Anteprima	Prodotto	Valutazione	Prezzo
	Implementazione dell'autenticazione e della sicurezza delle transazioni: sicurezza della rete tramite Kerberos	Ancora nessuna valutazione	$ 48,00	Acquista su Amazon

Anteprima	Prodotto	Valutazione	Prezzo
	Configurazione rapida di Openldap e Kerberos in Linux e autenticazione di Linux su Active Directory	Ancora nessuna valutazione	$ 5,17	Acquista su Amazon

Conclusione

Il metodo di autenticazione più utilizzato per proteggere le connessioni client-server è Kerberos. Kerberos è un meccanismo di autenticazione a chiave simmetrica che offre integrità dei dati, riservatezza e autenticazione reciproca degli utenti.

È il fondamento di Microsoft Active Directory ed è diventato uno dei protocolli che gli aggressori di ogni tipo prendono di mira per lo sfruttamento.

Successivamente, puoi controllare gli strumenti per monitorare lo stato di Active Directory.