Ifølge myten, Kerberos (det kan hende du kjenner ham som Kerberos) vokter Portene til Underverdenen. Han er en stor 3 ledet hund med en slange for en hale og en veldig dårlig humør.
I den moderne verden, MIT Datamaskinen Forskere brukte navn og visuell av Kerberos for deres datamaskin network authentication protocol. Kerberos bruker symmetrisk kryptografi og krever tiltrodd tredjepart tillatelse til å verifisere brukerens identitet., Siden Kerberos krever 3 enheter til å autentisere og har en utmerket track record for å gjøre computing tryggere, navnet egentlig ikke passer.
Få Gratis Penn Testing Active Directory-Miljøer EBook
Hva er Kerberos?
Kerberos-godkjenning er i dag standard autorisasjon teknologi som brukes av Microsoft Windows, og implementeringer av Kerberos finnes i Apple OS, FreeBSD, UNIX, og Linux.,
Microsoft lanserte sin versjon av Kerberos i Windows2000. Det har også blitt en standard for nettsteder og Single-Sign-On-implementering på tvers av plattformer. Kerberos Consortium opprettholder Kerberos som en åpen-kildekode-prosjekt.
Kerberos er en enorm forbedring i forhold til tidligere autorisasjon teknologier. Sterk kryptografi og tredjeparts billett autorisasjon gjøre det mye vanskeligere for kriminelle å infiltrere nettverket. Det er ikke helt uten feil, og for å forsvare seg mot slike feil, må du først forstå dem.,
Kerberos har gjort internett og dets skapninger mer sikker, og gjør det mulig for brukere å gjøre mer arbeid på Internett og på kontoret, uten å kompromittere sikkerheten.
Hva er forskjellen mellom Kerberos-og NTLM?
Før Kerberos, Microsoft brukte en godkjenning teknologi som kalles NTLM. NTLM står for NT Lan Manager, og er en challenge-response authentication protocol. Måldatamaskinen eller domenekontroller utfordring og sjekk passordet, og oppbevar passord-hasher for fortsatt bruk.,
Den største forskjellen mellom de to systemene er en tredjeparts verifikasjon og sterkere kryptering evne i Kerberos. Dette ekstra trinnet i prosessen gir en betydelig ekstra lag av sikkerhet over NTLM.
NTLM-systemer kan bli hacket i løpet av noen timer i disse dager: det er bare eldre teknologi, og du bør ikke stole på NTLM til å beskytte sensitive data.
Hvordan gjør du autentisere med Kerberos?
Her er de mest grunnleggende tiltak for å autentisere i en Kerberized miljø.,ger vil be om nytt TGT (denne prosessen er transparent for brukeren)
Hvis Kunden ber om tilgang til en tjeneste eller en annen ressurs på nettverket, og dette er prosessen:
- klienten sender aktuell TGT TGS med SPN (Service Principal Name) av ressurs-klienten ønsker å få tilgang
- KDC bekrefter TGT av brukeren, og at brukeren har tilgang til tjenesten
- TGS sender en gyldig økt tasten for tjenesten til klienten
- Klienten fremover økten nøkkelen til tjenesten for å bevise at brukeren har tilgang til, og tjenesten gir tilgang.,
Kan Kerberos Bli Hacket?
Ja. Fordi det er en av de mest brukte godkjenning protokoller, hackere har utviklet flere måter å knekke i Kerberos. De fleste av disse hacks dra nytte av en sårbarhet, svake passord, eller malware – noen ganger kan en kombinasjon av alle tre., som legitimasjon
Kerberos Er Foreldet?,
Kerberos er langt fra foreldet og har bevist seg selv en tilstrekkelig sikkerhet-tilgang control protocol, til tross for angripere’ evne til å knekke den. Den primære fordelen med Kerberos er evnen til å bruke sterk kryptering algoritmer for å beskytte passord og godkjenning billetter. Med dagens datamaskiner, noen brute force-angrep på AES-kryptering protokollen som brukes av den gjeldende versjonen av Kerberos vil ta ca lenger enn dette solsystemet har igjen å overleve. Nok til å si: Kerberos kommer til å være rundt en stund i en eller annen form.
Hva kommer til å erstatte Kerberos?,
Det er ingen reelle utfordrere til å erstatte Kerberos i rørledningen. De fleste av de fremskritt i sikkerhet er å beskytte passordet eller gi en annen metode for å bekrefte hvem du er å Kerberos. Kerberos er fortsatt back-end teknologi. Kerberos utmerker seg ved Single-Sign-On (SSO), noe som gjør det mye mer brukbare i en moderne internett-basert og koblet arbeidsplassen. Med SSO du bevise identiteten din når til Kerberos, og deretter Kerberos passerer din TGT til andre tjenester eller maskiner som bevis på din identitet.
Det svakeste leddet i Kerberos-kjeden er passordet., Passord kan være brute-force sprukket eller stjålet av phishing-angrep. For denne grunn, Multi-Faktor Autentisering (UD) blir stadig mer populært å beskytte elektroniske identiteter. Med UD, trenger du passord og noe annet – en randomisert token, mobiltelefon, e-post, avtrykk, retina-scan, ansiktsgjenkjenning, etc. – for å bevise at du faktisk er som du forteller Kerberos du er.
Hvordan gjør Varonis overvåke Kerberos?
Varonis skjermer Active Directory-domener for Kerberos-angrep, privilege opptrapping, brute force angrep, og mer., Vår sikkerhet analytics kombinerer brukeren hendelser, sikkerhet hendelser, og perimeter telemetri – for å oppdage og varsle om mulige angrep og sikkerhetsproblemer.
Eksempel Varonis trussel modeller som bidrar til å oppdage Kerberos angrep inkluderer:
- Potensial pass-the-billett-angrep: – tilgang til en ressurs ble forespurt uten nødvendig godkjenning, utenom Kerberos-protokollen.
- Mislyktes privilegieopptrapping oppdaget via et sikkerhetsproblem i Kerberos: angriperen forsøkte å heve sine privilegier via Kerberos sårbarhet.,
- Potensial brute-force-angrep rettet mot en bestemt konto: en uvanlig mengde autentiseringsfeil fra en enkelt IP-adresse ved en enkelt bruker som har skjedd.
- Sikkerhet sertifikat aktivitet av ikke-administratorer: Aktivitet ble oppdaget på sertifisering filer av en bruker som ikke er en administrator – potensielt indikerer en angriper forsøker å stjele signaturer.
- …og det er bare begynnelsen!
Oppdag hvordan Varonis oppdager Kerberos-angrep for ekte med en 1:1-demoen i dag – og ta kontakt for å lære mer om våre trussel modeller.