Kerberos 身份驗證如何工作？

已發表: 2022-10-12

儘管 Kerberos 是一個後端系統，但它是如此無縫集成，以至於大多數用戶或管理員都忽略了它的存在。

什麼是 Kerberos，它是如何工作的？

如果您使用需要登錄才能訪問資源的電子郵件或其他在線服務，您很可能是通過 Kerberos 系統進行身份驗證的。

稱為 Kerberos 的安全身份驗證機制可確保設備、系統和網絡之間的安全通信。其主要目標是保護您的數據和登錄信息免受黑客攻擊。

所有流行的操作系統都支持 Kerberos，包括 Microsoft Windows、Apple macOS、FreeBSD 和 Linux。

Kerberos 使用的五級安全模型包括相互身份驗證和對稱密鑰加密。驗證一個人的身份使授權用戶能夠登錄系統。

它結合了中央數據庫和加密來確認用戶和服務的合法性。 Kerberos 服務器首先對用戶進行身份驗證，然後才允許他們訪問服務。然後，如果他們成功通過身份驗證，他們將獲得一張票，他們可以用來訪問該服務。

本質上，Kerberos 依靠“票證”來允許用戶安全地相互通信。 Kerberos 協議使用密鑰分發中心 (KDC) 在客戶端和服務器之間建立通信。

使用 Kerberos 協議時，服務器會收到來自客戶端的請求。之後，服務器回復一個包含令牌的響應。客戶端然後向服務器和票據發出請求。

它是保證跨系統傳輸數據安全的重要方法。它由麻省理工學院 (MIT) 於 1980 年開發，用於解決不安全的網絡連接問題，現在已包含在許多不同的系統中。

在本文中，我們將詳細介紹 Kerberos 的優勢、實際應用、它的操作方式以及它的安全性。

Kerberos 身份驗證的好處

在一個龐大的分佈式計算環境中，由於稱為 Kerberos 的網絡身份驗證協議，計算機系統可以安全地相互識別和通信。

使用密鑰加密，Kerberos 旨在為客戶端/服務器應用程序提供強大的身份驗證。該協議為應用安全奠定了基礎，SSL/TLS 加密經常與其結合使用。

廣泛使用的身份驗證協議 Kerberos 提供了一些優勢，可能使其對 SMB 和大公司更具吸引力。

首先，Kerberos 非常值得信賴。它已經針對一些最複雜的攻擊進行了測試，並證明對它們免疫。此外，Kerberos 易於設置、使用和集成到多個系統中。

獨特的好處

Kerberos 使用的獨特票務系統可實現更快的身份驗證。
服務和客戶端可以相互驗證。
由於時間戳有限，身份驗證週期特別安全。
滿足現代分佈式系統的要求
當票證時間戳仍然有效時可重複使用，Authenticity 可防止用戶必須重新輸入其登錄信息才能訪問其他資源。
多個密鑰、第三方授權和加密技術提供一流的安全性。

Kerberos 的安全性如何？

我們已經看到 Kerberos 採用了安全的身份驗證過程。本節將探討攻擊者如何違反 Kerberos 安全性。

多年來，Kerberos 安全協議一直在使用：例如，自 Windows 2000 發布以來，Microsoft Windows 已將 Kerberos 設為標準身份驗證機制。

Kerberos 身份驗證服務使用密鑰加密、密碼術和受信任的第三方身份驗證來成功保護傳輸過程中的敏感數據。

為了提高安全性，最新版本 Kerberos 5 使用高級加密標準 (AES) 來確保更安全的通信並避免數據入侵。

美國政府採用 AES 是因為它在保護其機密信息方面特別有效。

然而，有人認為沒有平台是完全安全的，Kerberos 也不例外。儘管 Kerberos 是最安全的，但企業必須不斷檢查其攻擊面，以防止被黑客利用。

由於其廣泛使用，黑客努力發現基礎設施中的安全漏洞。

以下是一些可能發生的典型攻擊：

金票攻擊：這是最具破壞性的攻擊。在這次攻擊中，攻擊者使用 Kerberos 票證劫持了真正用戶的密鑰分發服務。它主要針對具有用於訪問控制權限的 Active Directory (AD) 的 Windows 環境。
Silver Ticket Attack：偽造的服務身份驗證票被稱為銀票。黑客可以通過破譯計算機帳戶密碼並利用它構造虛假身份驗證票證來生成銀票。
傳遞票證：通過生成虛假的 TGT，攻擊者構造了一個虛假的會話密鑰並將其呈現為合法憑證。
通過散列攻擊：這種策略需要獲取用戶的 NTLM 密碼散列，然後傳輸散列以進行 NTLM 身份驗證。
Kerberoasting：該攻擊旨在通過濫用 Kerberos 協議為具有 servicePrincipalName (SPN) 值的 Active Directory 用戶帳戶（例如服務帳戶）收集密碼哈希。

Kerberos 風險緩解

以下緩解措施將有助於防止 Kerberos 攻擊：

採用能夠全天候監控網絡並實時識別漏洞的現代軟件。
最小權限：它指出只有那些用戶、帳戶和計算機進程才應該擁有他們完成工作所必需的訪問權限。通過這樣做，將停止對服務器（主要是 KDC 服務器和其他域控制器）的未經授權的訪問。
克服軟件漏洞，包括零日漏洞。
運行本地安全授權子系統服務（LSASS）的保護模式：LSASS 託管各種插件，包括 NTLM 身份驗證和 Kerberos，並負責為用戶提供單點登錄服務。
強身份驗證：密碼創建標準。管理、本地和服務帳戶的強密碼。
DOS（拒絕服務）攻擊：通過使用身份驗證請求使 KDC 過載，攻擊者可以發起拒絕服務 (DoS) 攻擊。為了防止攻擊和平衡負載，KDC 應該放置在防火牆後面，並且應該部署額外的冗餘 KDC 冗餘。

Kerberos 協議流中的步驟是什麼？

Kerberos 體系結構主要由處理所有 Kerberos 操作的四個基本元素組成：

身份驗證服務器 (AS)： Kerberos 身份驗證過程從身份驗證服務器開始。客戶端必須首先使用用戶名和密碼登錄到 AS 以建立其身份。完成後，AS 將用戶名發送給 KDC，然後 KDC 發出 TGT。
密鑰分發中心 (KDC)：它的工作是充當身份驗證服務器 (AS) 和票證授予服務 (TGS) 之間的聯絡人，中繼來自 AS 的消息並發布 TGT，隨後將其傳遞給 TGS 進行加密。
Ticket-Granting Ticket (TGT)： TGT 是加密的，包含有關允許客戶端訪問哪些服務、授權訪問多長時間以及用於通信的會話密鑰的信息。
Ticket Granting Service (TGS)： TGS 是擁有 TGT 的客戶與網絡的各種服務之間的障礙。然後，TGS 在驗證服務器和客戶端共享的 TGT 後建立會話密鑰。

以下是 Kerberos 身份驗證的逐步流程：

用戶登錄
客戶端請求授予票證的服務器。
服務器檢查用戶名。
授權後退還客戶的票。
客戶端獲取 TGS 會話密鑰。
客戶端請求服務器訪問服務。
服務器檢查服務。
服務器獲取的TGS Session Key。
服務器創建服務會話密鑰。
客戶端接收服務會話密鑰。
客戶聯繫服務。
服務解密。
服務檢查請求。
服務向客戶端進行身份驗證。
客戶確認服務。
客戶端和服務交互。

使用 Kerberos 的實際應用程序是什麼？

在基於 Internet 的現代互聯工作場所中，Kerberos 的價值要大得多，因為它在單點登錄 (SSO) 方面表現出色。

Microsoft Windows 目前使用 Kerberos 身份驗證作為其標準授權方法。 Apple OS、FreeBSD、UNIX 和 Linux 也支持 Kerberos。

此外，它已成為跨所有平台的網站和單點登錄應用程序的規範。 Kerberos 提高了互聯網及其用戶的安全性，同時允許用戶在不危及安全的情況下在線和在辦公室執行更多任務。

流行的操作系統和軟件程序已經包括 Kerberos，它已成為 IT 基礎架構的重要組成部分。它是 Microsoft Windows 的標準授權技術。

它使用強大的加密技術和第三方票證授權，使黑客更難訪問公司網絡。組織可以通過 Kerberos 使用 Internet，而不必擔心會危及他們的安全。

Kerberos 最著名的應用程序是 Microsoft Active Directory，它控制域並執行用戶身份驗證作為 Windows 2000 及更高版本中包含的標準目錄服務。

蘋果、美國國家航空航天局、谷歌、美國國防部和全國各地的機構都是比較知名的用戶。

以下是一些具有內置或可訪問 Kerberos 支持的系統示例：

亞馬遜網絡服務
谷歌云
惠普 Unix
IBM 高級交互主管
微軟天青
Microsoft Windows 服務器和 AD
甲骨文
OpenBSD

其他資源

預習	產品	評分	價格
	Kerberos：權威指南：權威指南	暫無評分	23.74 美元	在亞馬遜上購買

預習	產品	評分	價格
	身份驗證和事務安全的實現：使用 Kerberos 的網絡安全	暫無評分	$48.00	在亞馬遜上購買

預習	產品	評分	價格
	在 Linux 中快速配置 Openldap 和 Kerberos 並將 Linux 驗證到 Active Directory	暫無評分	5.17 美元	在亞馬遜上購買

結論

用於保護客戶端-服務器連接的最廣泛使用的身份驗證方法是 Kerberos。 Kerberos 是一種對稱密鑰身份驗證機制，可提供數據完整性、機密性和相互用戶身份驗證。

它是 Microsoft Active Directory 的基礎，並且已發展成為各種攻擊者作為攻擊目標的協議之一。

接下來，您可以查看用於監控 Active Directory 運行狀況的工具。