enligt myten vaktar Kerberos (du kanske känner honom som Cerberus) portarna till underjorden. Han är en stor trehövdad hund med en orm för en svans och ett riktigt dåligt humör.
i den moderna världen använde mit-Dataforskare namnet och visuella av Kerberos för deras datornätverksautentiseringsprotokoll. Kerberos använder symmetrisk nyckelkryptografi och kräver betrodda tredjepartstillstånd för att verifiera användaridentiteter., Eftersom Kerberos kräver 3 enheter för att autentisera och har en utmärkt meritlista för att göra datoranvändning säkrare, passar namnet verkligen.
få gratis penna testa Active Directory miljöer EBook
Vad är Kerberos?
Kerberos-autentisering är för närvarande standard tillstånd teknik som används av Microsoft Windows och implementeringar av Kerberos finns i Apple OS, FreeBSD, UNIX och Linux.,
Microsoft introducerade sin version av Kerberos i Windows2000. Det har också blivit en standard för webbplatser och enkel inloggning implementeringar mellan plattformar. Kerberos-Konsortiet upprätthåller Kerberos som ett open-source projekt.
Kerberos är en stor förbättring av tidigare auktoriseringsteknik. Den starka kryptografin och tredje parts biljetttillstånd gör det mycket svårare för cyberbrottslingar att infiltrera ditt nätverk. Det är inte helt utan brister, och för att försvara sig mot dessa brister måste du först förstå dem.,
Kerberos har gjort internet och dess denizens säkrare och gör det möjligt för användare att göra mer arbete på Internet och på kontoret utan att äventyra säkerheten.
vad är skillnaden mellan Kerberos och NTLM?
innan Kerberos använde Microsoft en autentiseringsteknik som heter NTLM. NTLM står för NT Lan Manager och är en utmaning-svar autentiseringsprotokoll. Målet dator eller domänkontrollant utmaning och kontrollera lösenordet, och lagra lösenord hashar för fortsatt användning.,
den största skillnaden mellan de två systemen är tredjepartsverifiering och starkare krypteringskapacitet i Kerberos. Detta extra steg i processen ger ett betydande ytterligare lager av säkerhet över NTLM.
NTLM-system kan hackas inom några timmar dessa dagar: det är helt enkelt äldre teknik, och du bör inte lita på NTLM för att skydda känsliga data.
hur autentiserar du med Kerberos?
Här är de mest grundläggande stegen för att autentisera i en Kerberiserad miljö.,tyskland kommer att begära att en annan TGT (den här processen är transparent för användaren)
Om Kunden begär åtkomst till en tjänst eller en annan resurs på nätverket, detta är den process:
- klienten skickar det aktuella TGT till TGS med SPN (Service Principal Name) av den resurs som kunden vill ha tillgång
- KDC verifierar TGT av användaren och att användaren har tillgång till tjänsten
- TGS skickar ett giltigt sessionsnyckel för tjänsten till kund
- Klient framåt sessionen nyckeln till tjänsten för att bevisa att användaren har tillgång till, och tjänsten ger tillgång.,
kan Kerberos hackas?
Ja. Eftersom det är en av de mest använda autentiseringsprotokollen, hackare har utvecklat flera sätt att spricka i Kerberos. De flesta av dessa hacka dra nytta av en sårbarhet, svaga lösenord eller skadlig kod – ibland en kombination av alla tre., som referenser
Kerberos Är Föråldrad?,
Kerberos är långt ifrån föråldrad och har visat sig vara ett adekvat säkerhets-åtkomstkontrollprotokoll, trots angriparnas förmåga att knäcka det. Den främsta fördelen med Kerberos är möjligheten att använda starka krypteringsalgoritmer för att skydda lösenord och autentiseringsbiljetter. Med dagens datorer kommer varje brute force attack av AES-krypteringsprotokollet som används av den nuvarande versionen av Kerberos att ta ungefär längre tid än det här solsystemet har lämnat för att överleva. Det räcker med att säga: Kerberos kommer att vara runt ett tag i en eller annan form.
vad kommer att ersätta Kerberos?,
det finns inga riktiga utmanare att ersätta Kerberos i rörledningen. De flesta framsteg i säkerhet är att skydda ditt lösenord eller ge en annan metod för att validera vem du är till Kerberos. Kerberos är fortfarande back-end-tekniken. Kerberos utmärker sig vid Single-Sign-On( SSO), vilket gör det mycket mer användbart på en modern internetbaserad och ansluten arbetsplats. Med SSO du bevisa din identitet en gång till Kerberos, och sedan Kerberos passerar din TGT till andra tjänster eller maskiner som bevis på din identitet.
den svagaste länken i Kerberos-kedjan är lösenordet., Lösenord kan brute-force knäckt eller stulen av phishing attacker. Av denna anledning blir Multi-Factor Authentication (MFA) allt populärare för att skydda online-identiteter. Med MFA behöver du lösenordet och något annat-en randomiserad token, mobiltelefon, e-post, tumavtryck, retina-skanning, ansiktsigenkänning etc. – för att bevisa att du faktiskt är den du säger till Kerberos att du är.
hur övervakar Varonis Kerberos?
Varonis övervakar Active Directory-domäner för Kerberos-attacker, utökningar av privilegier, brute force-attacker och mycket mer., Vår säkerhetsanalys kombinerar användarhändelser, säkerhetshändelser och perimetertelemetri – för att upptäcka och varna om potentiella attacker och säkerhetsproblem.
exempel på varonis hotmodeller som hjälper till att upptäcka Kerberos-attacker inkluderar:
- potentiell pass-the-ticket attack: tillgång till en resurs begärdes utan korrekt autentisering, kringgå Kerberos-protokollet.
- misslyckad utökning av privilegier upptäcktes via sårbarhet i Kerberos: en angripare försökte höja sina privilegier via Kerberos sårbarhet.,
- potentiell brute-force attack som riktar sig till ett specifikt konto: en ovanlig mängd autentiseringsfel från en enda IP-adress av en enda användare har inträffat.
- säkerhetscertifikat aktivitet av icke-administratörer: aktivitet upptäcktes på certifieringsfiler av en användare som inte är en administratör – potentiellt indikerar en angripare som försöker stjäla signaturer.
- …och det är bara början!
Upptäck hur Varonis upptäcker Kerberos attacker på riktigt med en 1:1 demo idag – och komma i kontakt för att lära sig mer om våra hotmodeller.