Thank you for your interest. We Will Contact You Soon...
Your email ID is already registered with us.
Kerberos-authenticatie - Hoe werkt het?
Technologie - 31 aug. 2020
Huidige gevallen en cyberdreigingen illustreren dat internet geen veilige plaats is,
aangezien veel van de protocollen die verband houden met het functioneren ervan niet
noodzakelijkerwijs beveiliging omvatten. Hackers kunnen misbruik maken van de
onveilige bescherming van netwerken en de wachtwoorden vervalsen om toegang te
krijgen tot elk systeem. Zo kunnen bijvoorbeeld niet-versleutelde wachtwoorden die
via applicaties via een netwerk worden gedeeld, eenvoudig worden gehackt. Bovendien
zijn de moderne identificatieverificatietechnieken verouderd in die zin dat u niet
zeker kunt zijn van de identiteit van de persoon die toegang heeft tot het systeem.
Veel sites gebruiken 'firewalls' als schild tegen ongewenste indringers. Dit is
gebaseerd op de veronderstelling dat de 'bad guys' aan de buitenkant zitten. In
feite zijn 'insiders' verantwoordelijk voor de meeste ernstige gegevensinbraken.
Daarnaast tasten firewalls ook de bruikbaarheid van het 'internet' aan en dit kan
een grote belemmering vormen voor het goed functioneren van het bedrijf.
Om deze zichtbare en significante beveiligingsbedreigingen tegen te gaan, werd
Kerberos bedacht en gemaakt door het MIT-team. Oorspronkelijk geïntroduceerd in
1980, heeft het authenticatieprotocol verschillende verbeteringen ondergaan en is
het beschikbaar op alle belangrijke OS-vensters, Mac, Linux enz.
Wat is Kerberos?
Laten we, om Kerberos te begrijpen, eerst de term begrijpen die het betekent. In de
Griekse mythologie was Kerberos de driekoppige hond die de poorten van hades (hel)
bewaakte. Kerberos, het internetprotocolsysteem, creëert een sterk
authenticatiesysteem tussen de server en de client. Het biedt de tools voor
verificatie en cryptografie via het netwerk. Op deze manier kunt u beter beveiligen
wat vanuit uw onderneming wordt gedeeld.
De meeste toepassingen zijn "Kerberos-bewust", dwz ze zijn geprogrammeerd om
Kerberos-authenticatie te gebruiken. Kerberos is zelfs ingebouwd in elk Windows- of
Mac-systeem; Het wordt echter alleen geactiveerd als Kerberos deel uitmaakt van het
gebruikersauthenticatiesysteem van een netwerk. Dit is de reden; deze technologie
wordt voornamelijk gebruikt door de ondernemingen.
Hoe werkt Kerberos?
Enterprise-beveiligingssysteem is gebaseerd op een fundamenteel principe van minste
privilege, dat wil zeggen dat de netwerktoegang moet worden beperkt. Tijdens het
authenticatieproces gebruikt Kerberos een codering van derden, genaamd Key
Distribution Center (KDC). Op het moment dat de client probeert te authenticeren,
slaat Kerberos een specifiek ticket voor die sessie op de computer van de gebruiker
op. De Kerberos-bewuste service zal dan naar dit ticket zoeken. Op deze manier wordt
de klant niet gevraagd om zich te authenticeren via een wachtwoord.
De belangrijkste entiteiten van een Kerberos-stroom zijn:
Klant: Een klant handelt namens de
gebruiker en initieert de communicatie voor een serviceverzoek.
Server: De server waartoe de gebruiker toegang wenst.
Authenticatieserver (AS): : Dit
voert clientauthenticatie uit. In het geval van succesvolle authenticatie, geeft de
AS een ticket uit dat bekend staat als TGT (Ticket Granting Ticket). TGT kan aan
andere servers doorgeven dat de client is geverifieerd.
Key Distribution Center (KDC): In de
Kerberos-omgeving is de authenticatieserver onderverdeeld in drie divisies:
a. Gegevensbestand (db)
b. Authenticatieserver (AS) en
c. Ticket Granting Server (TGS).
Deze drie divisies, bestaande in een enkele server en het staat bekend als Key
Distribution Center.
Ticket Granting Server (TGS): de
applicatieserver die tickets als een service uitgeeft.
In het onderstaande uittreksel ziet u alle stappen die betrokken zijn bij
Kerberos-verificatie:
1. Wanneer de klant inlogt op het domein, wordt een Ticket-Granting Ticket
(TGT)-verzoek verzonden naar het Key Distribution Center (KDC)
2. De Kerberos KDC reageert door een TGT en een sessiesleutel terug te sturen naar
de client.
3. De Kerberos KDC ontvangt dan een ticketverzoek van de applicatieserver. Dit
verzoek bestaat uit de PC Client, TGT en een authenticator.
4. De pc-client ontvangt vervolgens een ticket en een sessiesleutel van KDC.
5. Het ticket bereikt dan de applicatieserver. De server verifieert vervolgens de
pc-client.
6. De server stuurt de pc-client een andere authenticator. Na ontvangst van de
authenticator verifieert de Client de server.
Kerberos wordt ook onderhouden door Remedy Single Sign On (SSO). In het Remedy
Single Sign On-systeem is het ook mogelijk om een Kerberos-authenticatieproces te
construeren.
Een gedetailleerde uitleg van alle stappen wordt ook hieronder gedeeld:
Stap 1 -
De eerste stap bestaat uit het eerste authenticatieverzoek. Hier vraagt de client
Authentication Server aan voor een Ticket Granting Ticket (TGT). Het verzoek wordt
verzonden door de client-ID en het wachtwoord/de geheime gebruikerssleutel van de
client wordt niet verzonden.
Stap 2 -
De Authentication Server zoekt in de database naar de beschikbaarheid van de client
en TGS. Als ze niet worden gevonden, wordt een foutmelding naar de klant verzonden.
Als beide entiteiten beschikbaar zijn, wordt de geheime clientsleutel gemaakt via de
hash van het wachtwoord van de gebruiker. Het wachtwoord is beschikbaar in de
database en de geheime TGS-sleutel wordt ook berekend.
De client en de TGS delen een sessiesleutel (SK1) die wordt gegenereerd door de
authenticatieserver. Deze SK1 is versleuteld met behulp van de geheime
clientsleutel.
Authentication Server genereert een TGT die bestaat uit client-ID,
clientnetwerkadres, levensduur, tijdstempel en Session Key (SK1). De geheime sleutel
van TGS versleutelt het ticket, zodat alleen TGS de inhoud kan ontcijferen
Het antwoordbericht dat uiteindelijk naar de klant wordt verzonden, bestaat uit
gegenereerde TGT en SK1. Vervolgens wordt de hoofdtekst van het bericht versleuteld
met de geheime sleutel. Dit zorgt ervoor dat alleen de klant het bericht kan
decoderen.
Stap 3 -
Client gebruikt vervolgens de geheime sleutel om het bericht te ontsleutelen en
extraheert SK1 en TGT. De authenticator wordt gegenereerd, die wordt gebruikt om de
client te valideren met TGS. De authenticator bestaat uit een client-ID, een
clientnetwerkadres en een tijdstempel van de clientmachine. Dit wordt vervolgens
versleuteld met behulp van de geëxtraheerde SK1. De client stuurt vervolgens de
authenticator en de geëxtraheerde TGT naar TGS. De client vraagt dan een ticket
aan bij de server.
Stap 4 -
Met behulp van de geheime TGS-sleutel decodeert TGS de TGT en extraheert SK1. Met
deze sleutel kan TGS de authenticator decoderen en controleren of er een
overeenkomst is tussen de client-ID en het clientnetwerkadres van TGT. Het systeem
controleert ook of de TGT verlopen is of niet. Dit wordt gedaan met behulp van de
geëxtraheerde tijdstempel.
Na afloop van alle controles wordt een andere servicesessiesleutel (SK2)
gegenereerd. Deze sessiesleutel wordt gedeeld tussen de client en de doelserver.
Vervolgens wordt een serviceticket gemaakt dat bestaat uit klant-ID,
klantnetwerkadres, tijdstempel en SK2. Dit ticket is versleuteld met de geheime
sleutel die wordt verkregen uit de database
De client ontvangt een berichttekst die bestaat uit SK2 en serviceticket. Vervolgens
wordt het bericht versleuteld met SK1 (bekend bij de klant).
Stap 5 -
De client decodeert het bericht met behulp van SK1 en extraheert SK2. Vervolgens
wordt een nieuwe authenticator gemaakt die bestaat uit een client-ID, tijdstempel en
clientnetwerkadres. SK2 versleutelt vervolgens deze authenticator.
De doelserver ontvangt vervolgens de authenticator en het serviceticket van de
client.
Stap 6 -
De doelserver gebruikt de geheime sleutel van de server om het serviceticket te
decoderen. SK2 wordt dan uit het serviceticket gehaald. In de volgende stap
decoderen SK2 en client-ID de authenticator om het netwerkadres en de tijdstempel
van de client te extraheren.
Vervolgens worden specifieke controles uitgevoerd om de client-ID en de
netwerkadressen van de client van het serviceticket en de authenticator overeen te
laten komen.
Wanneer aan alle controles is voldaan, geeft de doelserver een bericht vrij dat
bestaat uit de tijdstempel plus 1, versleuteld met SK2 aan de client.
Dit valideert de authenticatie tussen de client en de server. Een vertrouwde
servicesessie kan nu beginnen.
Voordelen van Kerberos
• Het authenticatieprotocol stelt Klanten en diensten in staat om zich
onderling te authenticeren.
• Het is beschikbaar op alle besturingssystemen.
• Tickets in Kerberos blijven voor een beperkte tijdsperiode. In gevallen
waarin tickets worden gestolen, is het erg moeilijk om het ticket opnieuw te
gebruiken, omdat er strenge authenticatievereisten zijn.
• Onversleutelde wachtwoorden gaan in het netwerk.
• Geheime sleutels die in Kerberos worden gedeeld, zijn veel efficiënter
Nadelen van het gebruik van Kerberos
De zwakke punten van Kerberos zijn:
• Het authenticatiesysteem kan gecompromitteerd raken als een onbevoegd
persoon toegang krijgt tot KDC.
• Kerberos wordt alleen ondersteund door Kerberos-bewuste toepassingen. Het
kan ingewikkeld zijn om de code voor andere toepassingen te schrijven.
IAM-services van ISSQUARED
De IAM-oplossingen van ISSQUARED integreren het Kerberos-authenticatiesysteem om de
juiste beveiligingscontroles af te dwingen. Deze controles voldoen aan alle
compliance-eisen en zorgen voor een veilige toegang tussen de client en de server.
De ORSUS IAM-suite van ISSQUARED maakt Kerberos-accountbeheer mogelijk. Het biedt
een vereenvoudigd en beveiligd proces om Kerberos-accounts te beheren, inclusief
provisioning in doelsystemen, ze toe te voegen aan toegangsgroepen,
selfservice-mogelijkheden voor eindgebruikers om ze op te vragen en ze te valideren
via beoordelingscampagnes.
a. Kerberos-accounts verstrekken aan doelsystemen
b. Groepsbeheer voor Kerberos-accounts
c. Selfserviceverzoeken voor nieuwe Kerberos-accounts
d. Aanpasbare workflows voor het onboarden van nieuwe Kerberos-accounts
e. Hercertificeringen en campagnes voor Kerberos-accounts
f. Controle/naleving en rapportage voor Kerberos-accounts
Gevolgtrekking
In deze blog hebben we het ethos van het Kerberos-internetprotocolsysteem besproken
en hoe het een integraal onderdeel werd van het waarborgen van veilige toegang en
uitwisseling van informatie tussen client en server. We bespraken ook het
stapsgewijze proces over hoe Kerberos werkt en keken vervolgens naar de IAM-services
van ISSQUARED, die de Kerberos-richtlijnen in zijn IAM-portfolio integreert en zo
maximale veiligheid biedt. Voor meer informatie over onze IAM-diensten kunt u hier
contact opnemen met een van onze experts.
This website uses cookies or similar technologies, to enhance your browsing
experience and provide personalized recommendations. By continuing to use our website, you agree to our
Privacy
Policy