volgens de mythe bewaakt Kerberos (je kent hem misschien als Cerberus) de poorten naar de onderwereld. Hij is een grote driekoppige hond met een slang als staart en een heel slecht humeur.
in de moderne wereld gebruikten mit-computerwetenschappers de naam en het beeld van Kerberos voor hun computernetwerk authenticatieprotocol. Kerberos gebruikt cryptografie met symmetrische sleutels en vereist betrouwbare autorisatie van derden om gebruikersidentiteiten te verifiëren., Omdat Kerberos 3 entiteiten nodig heeft om te authenticeren en een uitstekende staat van dienst heeft in het veiliger maken van computing, past de naam echt.
haal het gratis Pen Testing Active Directory omgevingen EBook
Wat is Kerberos?
Kerberos authenticatie is momenteel de standaard autorisatietechnologie die wordt gebruikt door Microsoft Windows, en implementaties van Kerberos bestaan in Apple OS, FreeBSD, UNIX en Linux.,
Microsoft introduceerde hun versie van Kerberos in Windows2000. Het is ook uitgegroeid tot een standaard voor websites en Single-Sign-On implementaties op verschillende platforms. Het Kerberos Consortium onderhoudt Kerberos als een open-source project.
Kerberos is een enorme verbetering ten opzichte van eerdere autorisatietechnologieën. De sterke cryptografie en derden ticket autorisatie maken het veel moeilijker voor cybercriminelen om uw netwerk te infiltreren. Het is niet helemaal zonder gebreken, en om te verdedigen tegen die gebreken, je nodig hebt om ze eerst te begrijpen.,
Kerberos heeft het internet en zijn bewoners veiliger gemaakt, en stelt gebruikers in staat om meer werk te doen op het Internet en op kantoor zonder de veiligheid in gevaar te brengen.
Wat is het verschil tussen Kerberos en NTLM?
voor Kerberos gebruikte Microsoft een authenticatietechnologie genaamd NTLM. NTLM staat voor NT Lan Manager en is een challenge-response authentication protocol. De doelcomputer of domeincontroller challenge en controleer het wachtwoord, en sla wachtwoord hashes voor voortgezet gebruik.,
Het grootste verschil tussen de twee systemen is de verificatie door derden en een sterkere versleutelingscapaciteit in Kerberos. Deze extra stap in het proces biedt een aanzienlijke extra beveiligingslaag over NTLM.
NTLM-systemen kunnen tegenwoordig binnen enkele uren gehackt worden: het is gewoon oudere technologie, en je moet niet op NTLM vertrouwen om gevoelige gegevens te beschermen.
Hoe kunt u zich aanmelden bij Kerberos?
Hier zijn de meest elementaire stappen genomen om authenticatie in een Kerberized omgeving.,ger zal vragen om een andere TGT (dit proces is transparant voor de gebruiker)
Indien de Opdrachtgever een verzoek om toegang tot een service of andere hulpbronnen op het netwerk, dit is het proces:
- De client verzendt de huidige TGT om de TGS met de SPN (Service Principal Name) van de bron van de klant om toegang te krijgen tot
- De KDC controleert de TGT van de gebruiker en dat de gebruiker toegang heeft tot de service
- TGS stuurt een geldige sessie-sleutel voor de service aan de klant
- Client stuurt de sessiesleutel om de dienst om te bewijzen dat de gebruiker toegang heeft, en de service verleent toegang.,
kan Kerberos gehackt worden?
Ja. Omdat het een van de meest gebruikte authenticatieprotocollen is, hebben hackers verschillende manieren ontwikkeld om Kerberos te kraken. De meeste van deze hacks profiteren van een kwetsbaarheid, zwakke wachtwoorden, of malware – soms een combinatie van alle drie., als referenties
Kerberos Is Verouderd?,
Kerberos is verre van verouderd en heeft zichzelf bewezen als een adequaat beveiligings-toegangscontroleprotocol, ondanks het vermogen van aanvallers om het te kraken. Het belangrijkste voordeel van Kerberos is de mogelijkheid om sterke encryptie-algoritmen te gebruiken om wachtwoorden en authenticatie tickets te beschermen. Met de huidige computers, elke brute kracht aanval van de AES encryptie protocol gebruikt door de huidige versie van Kerberos zal ongeveer langer duren dan dit zonnestelsel heeft overgelaten om te overleven. Het volstaat om te zeggen: Kerberos gaat een tijdje rond in een of andere vorm.
wat gaat Kerberos vervangen?,
Er zijn geen echte kanshebbers om Kerberos te vervangen in de pijplijn. De meeste van de verbeteringen in de beveiliging zijn om uw wachtwoord te beschermen of bieden een andere methode om te valideren wie je bent Kerberos. Kerberos is nog steeds de back-end technologie. Kerberos blinkt uit op Single-Sign-On (SSO), wat het veel bruikbaarder maakt in een moderne internetgebaseerde en verbonden werkplek. Met SSO bewijs je je identiteit eenmaal aan Kerberos, en vervolgens geeft Kerberos je TGT door aan andere diensten of machines als bewijs van je identiteit.
de zwakste schakel in de Kerberos keten is het wachtwoord., Wachtwoorden kunnen brute-force gekraakt of gestolen door phishing-aanvallen. Om deze reden wordt Multi-Factor authenticatie (MFA) steeds populairder om online identiteiten te beschermen. Met MFA hebt u het wachtwoord en iets anders nodig – een willekeurig token, mobiele telefoon, e-mail, duimafdruk, netvliesscan, gezichtsherkenning, enz. – om te bewijzen dat je bent wie je Kerberos vertelt dat je bent.
Hoe controleert Varonis Kerberos?
Varonis controleert Active Directory-domeinen op Kerberos-aanvallen, privilege-escalaties, brute force-aanvallen en meer., Onze beveiligingsanalyse combineert gebruikersgebeurtenissen, beveiligingsgebeurtenissen en perimeter telemetrie – om potentiële aanvallen en beveiligingsproblemen te detecteren en te waarschuwen.
voorbeelden van Varonis-dreigingsmodellen die Kerberos-aanvallen helpen detecteren zijn:
- potentiële pass-the-ticket-aanval: toegang tot een bron werd aangevraagd zonder de juiste authenticatie, waarbij het Kerberos-protocol werd omzeild.
- mislukte privilege escalatie gedetecteerd via kwetsbaarheid in Kerberos: een aanvaller probeerde zijn privileges te verhogen via Kerberos kwetsbaarheid.,
- potentiële brute-force-aanval gericht op een specifiek account: een ongebruikelijke hoeveelheid authenticatiefouten van een enkel IP-adres door een enkele gebruiker is opgetreden.
- Security certificate activity by non-administrators: activiteit werd gedetecteerd op certificatiebestanden door een gebruiker die geen beheerder is – wat mogelijk aangeeft dat een aanvaller handtekeningen probeert te stelen.
- …en dat is nog maar het begin!
ontdek hoe Varonis Kerberos aanvallen echt detecteert met een 1:1 demo vandaag – en neem contact op om meer te weten te komen over onze dreigingsmodellen.