miniOrange-Logo

Home

Produkte

Services

Plugins

AnzeigenPreise

Ressourcen

Unternehmen

Kerberos NTLM Windows SSO

miniOrangeAutorin
12th Mai, 2022

Was ist Kerberos?

Benutzer geben normalerweise ein Passwort ein, um Zugriff auf Computersysteme zu erhalten. Das Problem bei diesem Authentifizierungsmechanismus besteht darin, dass Hacker, wenn sie das Passwort in die Hände bekommen, die Identität des Benutzers annehmen und auf ein Netzwerk innerhalb eines Unternehmens zugreifen können. Unternehmen müssen einen besseren Ansatz finden, um ihre Benutzer und Systeme zu schützen. Hier liegt die Rolle des Kerberos-Authentifizierungsprotokolls.

Ein Kerberos-Authentifizierungssystem fungiert als Gateway für Benutzer, die auf das Internet zugreifen. Dadurch wird verhindert, dass Online-Eindringlinge auf ein privates Netzwerk zugreifen. Dank der robusten Kryptografie und der Ticketautorisierung durch Dritte wird es für Cyberkriminelle erheblich schwieriger, auf Ihr Netzwerk zuzugreifen.

Microsoft Windows verwendet derzeit die Kerberos-Authentifizierung als Standardautorisierungsmethode. Kerberos wird auch von Apple OS, FreeBSD, UNIX und Linux unterstützt. Kerberos hat die Sicherheit des Internets und seiner Benutzer drastisch erhöht und ermöglicht es Benutzern, mehr Aufgaben online und im Büro auszuführen, ohne ihre Sicherheit zu gefährden.

Was macht die Kerberos-Authentifizierungsprotokoll unterscheidet sich von anderen durch einige leistungsstarke sicherheitsbasierte Funktionen.

  • Passwörter werden niemals über das Netzwerk gesendet.
  • Verschlüsselungsschlüssel werden niemals direkt ausgetauscht.
  • Die Anwendungen können sich gegenseitig authentifizieren.
  • Viele Organisationen verwenden es als Grundlage für Active Directory SSO.

Kerberos-Bedingungen:

  1. Kerberos-Bereich: Gruppe von Systemen, über die Kerberos die Berechtigung hat, den Benutzer gegenüber einem Dienst zu authentifizieren.
  2. Hauptsächlich : Eindeutige Identität (Benutzer/Dienst/Anwendung).
  3. Kunden/Benutzer: Ein Prozess, der im Namen eines Benutzers auf einen Dienst zugreift. Ein Bereich kann mehrere Clients oder Benutzer haben.
  4. Service: Etwas, auf das der Benutzer Zugriff erhalten möchte.
  5. KDC (Kerberos Key Description Center): Stellt Tickets bereit und generiert temporäre Sitzungsschlüssel, mit denen sich ein Benutzer sicher bei einem Dienst authentifizieren kann. Das KDC speichert alle geheimen symmetrischen Schlüssel für Benutzer und Dienste.

Wie funktioniert Kerberos?

Benutzer, Arbeitsstationen und Dienste, die Kerberos verwenden, verlassen sich ausschließlich auf das KDC, das als einzelner Prozess ausgeführt wird und sowohl die Ticketvergabe als auch die Authentifizierung übernimmt. Alle Parteien können sich mithilfe von KDC-„Tickets“ authentifizieren, was den Knoten eine sichere Authentifizierung ermöglicht. Um die Nachrichten zu schützen, verwendet das Kerberos-Authentifizierungsverfahren eine traditionelle gemeinsame geheime Kryptografie. Dadurch wird verhindert, dass Pakete, die über das Netzwerk übertragen werden, gelesen oder geändert werden.

Was sind die Schritte zur Kerberos-Authentifizierung?

Es gibt zwei Server, die den Betrieb von Kerberos ermöglichen: einen Authentifizierungsserver und einen Ticket-Granting-Server.

  1. Authentifizierungsserver: Bestätigt, dass ein bekannter Benutzer eine Zugriffsanforderung stellt, und stellt ein Ticket zur Ticket-Gewährung aus.
  2. Ticket-Genehmigungsserver: Bestätigt, dass ein Benutzer eine Zugriffsanforderung für einen bekannten Dienst stellt, und vergibt Servicetickets.

Schlüsselverteilungszentrum

Schritt 1: Der Benutzer sendet eine Anfrage an den Authentifizierungsserver und gibt an, dass er auf einen Dienst zugreifen möchte. Der Authentifizierungsdienst wird validiert, wenn der Dienst von einem bekannten Anbieter stammt, und erteilt ein TGT: Ticket-Granting-Ticket.

Schritt 2: Der Authentifizierungsserver sendet das TGT zusammen mit einer weiteren Nachricht, die mit dem geheimen Schlüssel des Benutzers verschlüsselt ist, an den Benutzer zurück.

Schritt 3: Der Benutzer entschlüsselt die Nachricht mit seinem geheimen Schlüssel und sendet das TGT mit einigen zusätzlichen Informationen an den Ticket Granting Server.

Schritt 4: Der Ticket-Granting-Server entschlüsselt das TGT, führt einige Validierungen durch und erstellt ein Serviceticket (ST). Dieses Serviceticket wird mit einigen zusätzlichen Informationen an den Benutzer zurückgesendet.

Schritt 5: Der Benutzer entschlüsselt die Nachricht, erstellt eine Authentifizierungsnachricht und sendet den Benutzerauthentifikator und das Serviceticket an den Dienst.

Schritt 6: Der Dienst führt die Entschlüsselung und Validierung durch und erstellt seine eigene endgültige Authentifizierungsnachricht. Diese wird an den Benutzer zurückgesendet. Diese Nachrichten ermöglichen es dem Benutzer und dem Server, sich gegenseitig zu authentifizieren und einen symmetrischen Dienstsitzungsschlüssel sicher zu verteilen. Dadurch können sowohl der Benutzer als auch der Dienst Authentifizierungsinformationen sicher kommunizieren.

Vorteile der Authentifizierung mit Kerberos

  • Aus Sicherheitsgründen werden über das Netzwerk niemals Passwörter gesendet. Nur Schlüssel sind zulässig.
  • Damit sich Client und Server gleichzeitig verbinden und mit dem entsprechenden Gegenstück kommunizieren können, findet stets eine gegenseitige Authentifizierung statt.
  • Die Authentifizierung ist immer gültig und läuft nie ab.
  • Der Internetstandard ist der einzige Faktor, der zählt.
  • Ein großer Teil der Branche hat Kerberos angenommen, da es Sicherheit bietet, und das Sicherheitsprotokoll wird gerne eingesetzt.

Über den Autor

miniOrange

Autorin

Hinterlasse einen Kommentar