Site Overlay

Kerberos Authentication Explained

By admin

Laut Mythos bewacht Kerberos (Sie kennen ihn vielleicht als Cerberus) die Tore zur Unterwelt. Er ist ein großer 3 köpfiger Hund mit einer Schlange für einen Schwanz und einer wirklich schlechten Laune.

In der modernen Welt verwendeten MIT-Informatiker den Namen und die Adresse von Kerberos für ihr Computernetzwerkauthentifizierungsprotokoll. Kerberos verwendet symmetrische Schlüsselkryptographie und erfordert eine vertrauenswürdige Autorisierung von Drittanbietern, um Benutzeridentitäten zu überprüfen., Da Kerberos 3 Entitäten benötigt, um sich zu authentifizieren, und über eine hervorragende Erfolgsbilanz verfügt, um das Rechnen sicherer zu machen, passt der Name wirklich.

Holen Sie sich den kostenlosen Stift Testen Active Directory-Umgebungen eBook

“ Dies öffnete wirklich meine Augen für die AD-Sicherheit in einer Weise, die Arbeit nie tat.“

Was ist Kerberos?

Kerberos-Authentifizierung ist derzeit der Standard-Berechtigung-Technologie wird von Microsoft Windows und die Implementierungen von Kerberos existiert in Apple-OS, FreeBSD, UNIX, und Linux.,

Microsoft hat seine Version von Kerberos in Windows2000 eingeführt. Es ist auch ein Standard für Websites und Single-Sign-On-Implementierungen über Plattformen hinweg geworden. Das Kerberos-Konsortium unterhält Kerberos als Open-Source-Projekt.

Kerberos ist eine enorme Verbesserung gegenüber früheren Autorisierungstechnologien. Die starke Kryptographie und die Autorisierung von Tickets von Drittanbietern machen es Cyberkriminellen viel schwieriger, in Ihr Netzwerk einzudringen. Es ist nicht ganz ohne Fehler, und um sich gegen diese Fehler zu verteidigen, müssen Sie sie zuerst verstehen.,

Kerberos hat das Internet und seine Bewohner sicherer gemacht und ermöglicht es Benutzern, mehr Arbeit im Internet und im Büro zu erledigen, ohne die Sicherheit zu beeinträchtigen.

Was ist der Unterschied zwischen Kerberos und NTLM?

Vor Kerberos verwendete Microsoft eine Authentifizierungstechnologie namens NTLM. NTLM steht für NT Lan Manager und ist ein challenge-response-Authentifizierungsprotokoll. Der Zielcomputer oder Domänencontroller fordert das Kennwort heraus, überprüft es und speichert Kennworthashes für die weitere Verwendung.,

Der größte Unterschied zwischen den beiden Systemen ist die Überprüfung durch Dritte und die stärkere Verschlüsselungsfähigkeit in Kerberos. Dieser zusätzliche Schritt im Prozess bietet eine erhebliche zusätzliche Sicherheitsebene gegenüber NTLM.

NTLM-Systeme können heutzutage in wenigen Stunden gehackt werden: Es handelt sich einfach um eine ältere Technologie, und Sie sollten sich nicht auf NTLM verlassen, um vertrauliche Daten zu schützen.

Wie authentifizierst du dich mit Kerberos?

Hier sind die grundlegendsten Schritte zur Authentifizierung in einer kerberisierten Umgebung.,ger fordert einen weiteren TGT an (dieser Prozess ist für den Benutzer transparent)

Wenn der Client Zugriff auf einen Dienst oder eine andere Ressource im Netzwerk anfordert, ist dies der Prozess:

  1. Der Client sendet den aktuellen TGT an den TGS mit dem Dienstprinzipalnamen (SPN) der Ressource, auf die der Client zugreifen möchte
  2. Das KDC überprüft den TGT des Benutzers und der Benutzer hat Zugriff auf den Dienst
  3. TGS sendet eine gültige Sitzung schlüssel für den Dienst an den Client
  4. Client leitet den Sitzungsschlüssel an den Dienst weiter, um zu beweisen, dass der Benutzer Zugriff hat, und der Dienst gewährt Zugriff.,

Kann Kerberos gehackt werden?

ja. Da es sich um eines der am häufigsten verwendeten Authentifizierungsprotokolle handelt, haben Hacker verschiedene Möglichkeiten entwickelt, um Kerberos zu knacken. Die meisten dieser Hacks nutzen eine Sicherheitsanfälligkeit, schwache Passwörter oder Malware – manchmal eine Kombination aller drei., als Anmeldeinformationen

  • Golden Ticket: Ein Ticket, das einem Benutzerdomänen-Administrator Zugriff gewährt
  • Silver Ticket: Ein gefälschtes Ticket, das Zugriff auf einen Dienst gewährt
  • Credential Brute Force: automatisierte fortgesetzte Versuche, ein Passwort zu erraten
  • Verschlüsselungs-Downgrade mit Skeleton Key Malware: Eine Malware, die Kerberos umgehen kann, aber der Angriff muss Administratorzugriff haben
  • DCShadow attack: ein neuer Angriff, bei dem Angreifer innerhalb eines Netzwerks genügend Zugriff erhalten, um ihren eigenen DC einzurichten, um in weiterer Infiltration

    • Ist Kerberos veraltet?,

    Kerberos ist bei weitem nicht veraltet und hat sich trotz der Fähigkeit der Angreifer, es zu knacken, als adäquates Sicherheitszugriffskontrollprotokoll erwiesen. Der Hauptvorteil von Kerberos ist die Möglichkeit, starke Verschlüsselungsalgorithmen zum Schutz von Passwörtern und Authentifizierungskarten zu verwenden. Mit den heutigen Computern wird jeder Brute-Force-Angriff des AES-Verschlüsselungsprotokolls, das von der aktuellen Version von Kerberos verwendet wird, ungefähr länger dauern, als dieses Sonnensystem noch überlebt hat. Es genügt zu sagen: Kerberos wird für eine Weile in der einen oder anderen Form da sein.

    Was wird Kerberos ersetzen?,

    Es gibt keine wirklichen Anwärter Kerberos in der Pipeline zu ersetzen. Die meisten Sicherheitsfortschritte bestehen darin, Ihr Passwort zu schützen oder eine andere Methode zur Validierung Ihrer Identität für Kerberos bereitzustellen. Kerberos-ist immer noch die back-end-Technologie. Kerberos zeichnet sich durch Single-Sign-On (SSO) aus, wodurch es an einem modernen internetbasierten und vernetzten Arbeitsplatz viel besser einsetzbar ist. Mit SSO beweisen Sie Kerberos Ihre Identität einmal und Kerberos übergibt dann Ihre TGT als Identitätsnachweis an andere Dienste oder Maschinen.

    das schwächste Glied in Der Kerberos-Kette ist das Passwort., Passwörter können durch Phishing-Angriffe Brute-Force geknackt oder gestohlen werden. Aus diesem Grund wird die Multi-Faktor-Authentifizierung (MFA) immer beliebter, um Online-Identitäten zu schützen. Bei MFA benötigen Sie das Passwort und etwas anderes – ein randomisiertes Token, ein Mobiltelefon, eine E-Mail, einen Fingerabdruck, einen Retina-Scan, eine Gesichtserkennung usw. – um zu beweisen, dass Sie tatsächlich der sind, dem Sie Kerberos sagen, dass Sie es sind.

    Wie überwacht Varonis Kerberos?

    Varonis überwacht Active Directory-Domänen auf Kerberos-Angriffe, Privilegien-Eskalationen, Brute-Force-Angriffe und mehr., Unsere Sicherheitsanalyse kombiniert Benutzerereignisse, Sicherheitsereignisse und Perimeter – Telemetrie, um potenzielle Angriffe und Sicherheitslücken zu erkennen und zu warnen.

    Beispiele für Varonis-Bedrohungsmodelle zur Erkennung von Kerberos-Angriffen sind:

    • Potenzieller Pass-the-Ticket-Angriff: Der Zugriff auf eine Ressource wurde ohne ordnungsgemäße Authentifizierung unter Umgehung des Kerberos-Protokolls angefordert.
    • Failed privilege escalation detected via vulnerability in Kerberos: Ein Angreifer versuchte, seine Privilegien über Kerberos vulnerability zu erhöhen.,
    • Potenzieller Brute-Force-Angriff auf ein bestimmtes Konto: Eine ungewöhnliche Anzahl von Authentifizierungsfehlern einer einzelnen IP-Adresse durch einen einzelnen Benutzer ist aufgetreten.
    • Sicherheitszertifikatsaktivität von Nicht-Administratoren: Die Aktivität wurde in Zertifizierungsdateien von einem Benutzer erkannt, der kein Administrator ist – was möglicherweise auf einen Angreifer hinweist, der versucht, Signaturen zu stehlen.
    • …und das ist erst der Anfang!

    Entdecken Sie noch heute mit einer 1:1 Demo, wie Varonis Kerberos-Angriffe erkennt – und nehmen Sie Kontakt auf, um mehr über unsere Bedrohungsmodelle zu erfahren.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.