ifølge myten beskytter Kerberos (du kender ham måske som Cerberus) portene til underverdenen. Han er en stor 3-ledet hund med en slange til en hale og et virkelig dårligt humør.
i den moderne verden brugte MIT-computerforskere navnet og det visuelle af Kerberos til deres computernetværksgodkendelsesprotokol. Kerberos bruger symmetrisk nøgle kryptografi og kræver betroede tredjeparts tilladelse til at verificere brugeridentiteter., Da Kerberos kræver 3 enheder til at godkende og har en fremragende track record for at gøre computing sikrere, navnet passer virkelig.
få den gratis Pen test Active Directory Environments EBook
Hvad er Kerberos?
Kerberos-godkendelse er i øjeblikket standard tilladelse teknologi, der bruges af Microsoft Windows, og implementering af Kerberos findes i Apple OS, FreeBSD, UNIX og Linux.,
Microsoft introducerede deres version af Kerberos i Windows2000. Det er også blevet en standard for hjemmesider og Single-Sign-On implementeringer på tværs af platforme. Kerberos-konsortiet opretholder Kerberos som et open source-projekt.
Kerberos er en stor forbedring af tidligere autorisationsteknologier. Den stærke kryptografi og tredjeparts billet tilladelse gør det meget vanskeligere for cyberkriminelle at infiltrere dit netværk. Det er ikke helt uden fejl, og for at forsvare sig mod disse fejl, skal du først forstå dem.,
Kerberos har gjort Internettet og dets borgere mere sikre og giver brugerne mulighed for at udføre mere arbejde på internettet og på kontoret uden at gå på kompromis med sikkerheden.
hvad er forskellen mellem Kerberos og NTLM?
før Kerberos brugte Microsoft en godkendelsesteknologi kaldet NTLM. NTLM står for NT Lan Manager og er en protokol til godkendelse af challenge-response. Målet computer eller domænecontroller udfordring og kontrollere adgangskoden, og gemme pass .ord hashes for fortsat brug.,
den største forskel mellem de to systemer er tredjeparts verifikation og stærkere kryptering kapacitet i Kerberos. Dette ekstra trin i processen giver et betydeligt ekstra lag af sikkerhed over NTLM.NTLM-systemer kan blive hacket i løbet af få timer i disse dage: det er simpelthen ældre teknologi, og du bør ikke stole på NTLM for at beskytte følsomme data.
hvordan godkender du med Kerberos?
Her er de mest grundlæggende trin, der er taget for at autentificere i et Kerberiizeded miljø.,ger vil anmode om en TGT-fil (denne proces er gennemsigtig for brugeren)
Hvis Kunden anmoder om adgang til en service eller andre ressourcer på nettet, dette er processen:
- klienten sender Den aktuelle TGT til TGS med SPN (Service Principal Name) af den ressource, klienten ønsker at få adgang til
- KDC ‘ en kontrollerer TGT for brugeren, og at brugeren har adgang til den service
- TGS sender en gyldig session nøgle til tjenesten, at kunden
- Klienten fremad session nøgle til tjenesten for at bevise, at brugeren har adgang til, og den service, som giver adgang.,
kan Kerberos blive hacket?
Ja. Fordi det er en af de mest anvendte godkendelsesprotokoller, har hackere udviklet flere måder at knække i Kerberos. De fleste af disse hacks drager fordel af en sårbarhed, svage adgangskoder eller mal .are – nogle gange en kombination af alle tre., som legitimationsoplysninger
Kerberos Er Forældet?,
Kerberos er langt fra forældet og har vist sig at være en passende sikkerhedskontrolprotokol på trods af angribernes evne til at knække den. Den primære fordel ved Kerberos er muligheden for at bruge stærke krypteringsalgoritmer til at beskytte adgangskoder og godkendelsesbilletter. Med dagens computere vil ethvert brute force-angreb fra AES-krypteringsprotokollen, der bruges af den aktuelle version af Kerberos, tage cirka længere tid, end dette solsystem har tilbage for at overleve. Det er tilstrækkeligt at sige: Kerberos kommer til at være i et stykke tid i en eller anden form.
Hvad skal erstatte Kerberos?,
Der er ingen reelle kandidater til at erstatte Kerberos i pipeline. De fleste af de fremskridt i sikkerhed er at beskytte din adgangskode eller give en anden metode til validering, hvem du er til Kerberos. Kerberos er stadig back-end-teknologien. Kerberos udmærker sig ved Single-Sign-On (SSO), hvilket gør det meget mere brugbart på en moderne internetbaseret og tilsluttet arbejdsplads. Med SSO beviser du din identitet en gang til Kerberos, og derefter overfører Kerberos din TGT til andre tjenester eller maskiner som bevis på din identitet.
det svageste link i Kerberos-kæden er adgangskoden., Adgangskoder kan være brute-force krakket eller stjålet af phishing-angreb. Af denne grund bliver Multi-Factor Authentication (MFA) mere populær for at beskytte online identiteter. Med MFA har du brug for adgangskoden og noget andet – et randomiseret token, mobiltelefon, e-mail, tommelfinger, nethindescanning, ansigtsgenkendelse osv. – at bevise, at du faktisk er den, du fortæller Kerberos, at du er.
hvordan overvåger Varonis Kerberos?
Varonis overvåger Active Directory-domæner for Kerberos-angreb, privilege eskaleringer, brute force-angreb og meget mere., Vores sikkerhedsanalyse kombinerer brugerhændelser, sikkerhedshændelser og perimeter telemetri – for at registrere og advare om potentielle angreb og sikkerhedshuller.eksempel på Varonis-trusselsmodeller, der hjælper med at registrere Kerberos-angreb, inkluderer:
- potentielt pass-the-ticket-angreb: der blev anmodet om adgang til en ressource uden korrekt godkendelse, omgå Kerberos-protokollen.
- mislykket rettighedsforøgelse opdaget via sårbarhed i Kerberos: en angriber forsøgte at hæve deres rettigheder via Kerberos sårbarhed.,
- potentielt brute-force-angreb rettet mod en bestemt konto: der er opstået en usædvanlig mængde godkendelsesfejl fra en enkelt IP-adresse af en enkelt bruger.aktivitet af ikke-administratorer: aktivitet blev registreret på certificeringsfiler af en bruger, der ikke er administrator – potentielt indikerer en angriber, der forsøger at stjæle signaturer.
- … og det er bare begyndelsen!
Opdag, hvordan Varonis registrerer Kerberos – angreb for rigtige med en 1:1-demo i dag-og kom i kontakt for at lære mere om vores trusselsmodeller.