kerberos چیست؟
Kerberos کربروس چیست؟
Kerberos یا کربروس يك پروتكل امنيتي براي احراز هويت در شبكه است كه براي كاربران مجاز امكان ورود به شبكه پس از تاييد هويت را فراهم مي آورد. Kerberos برای محافظت از خدمات شبکه توسط پروژه آتنا ارائه شده و در دانشگاه MIT توسعه یافته است . پروتکل برمبنای پروتکل کلید متقارن Needham –Schroeder است. نام این پروتکل Kerberos یا سربروس از اساطیر یونان گرفته شدهاست، که به سگ سه سر نگهبان جهنم معروف بود.
ویژگی های اصلی Kerberos
- ایمن است . هرگز پسورد را ارسال نمی کند مگر اینکه رمزنگاری شده باشد .
- به ازای هر نشست تنها یک بار لاگین نیاز است . اعتبارنامه هایی که در زمان لاگین تعریف می شوند در ادامه کار بین منابع عبور داده شده تا نیاز به لاگین اضافی نباشد .
- این مفهوم وابسته به یک سیستم سوم شخص با نام مرکز توزیع کلید یا همان KDC یا Key Distribution Center می باشد .
- این پروتکل احرازهویت دوجانبه و متقابل را انجام می دهد . به این صورت که کلاینت هویت خود را برای سرور اثبات می کند و سرور هم متقابلا هویت خود را برای کلاینت اثبات می کند .
نحوه ی کار Kerberos
كاربران تيكت يا بليط هايي را ازمركز توزيع كربروس (KDC) دريافت مي كنند و پس از آن هنگامي كه ارتباط با شبكه فراهم شد كاربران اين بليط ها را به سرور ارائه مي كنند و در صورت تاييد مجوز ورود به شبكه فراهم مي شود. بليط هاي كربروس اعتبار كاربران شبكه را نشان مي دهند.قبل از اين كه ارتباط امني در شبكه برقرار شود پروتكل كربروس يك مكانزيم براي تاييد دو طرفه اطلاعات بين موجوديت هاي شبكه فراهم مي كنند. اگرچه اين ارتباط امن بين سرورها نيز مي تواند به وجود آيد اما بر اساس اين مستندات اين دو موجوديت كاربر و سرور ناميده مي شوند.
در پروتکل امنیتی کربروس كاربر و سرور به عنوان اصول امنيتي در نظر گرفته مي شوند.پروتكل كربروس فرض مي كند كه معادلات بين كاربر و Server بر روي يك شبكه محافظت نشده قرار دارد به گونه اي كه بيشتر كاربران و بسياري از سرورها از امنيت كافي برخوردار نيستند و بسته هايي كه از طريق شبكه در حال جابجايي هستند مي توانند نظارت و دستكاري شوند. محيط فرضي پروتکل امنیتی کربروس مانند اينترنت امروزي است كه هكرها مي توانند در نقش سرورها و يا كاربران ظاهر شوند و به راحتي ارتباطات بين سرور و كاربر را مورد نظارت و دستكاري قرار دهند.
روش كار در الگوریتم کربروس:
به اين صورت است كه وقتی كاربري به یک شبکه Kerberos وارد می شود ، یک پیغام درخواست به سرور مربوط به نام و کلمه عبور حساب خود می فرستد. آن سرور با یک TGT که بر مبنای کلمه عبور سرویس گیرنده رمزنگاری شده است جواب می دهد. محض دریافت TGT از کاربر درخواست می شود که کلمه عبور خود را وارد کند و سپس از آن کلمه عبور برای رمزگشایی TGT استفاده می کند. چون در واقع فقط یک کاربر باید دارای کلمه عبور درست باشد ، این روند به عنوان احراز هویت عمل می کند. اگر رمزگشایی TGT با موفقیت انجام شود ، كاربر می تواند یک درخواست ، حاوی یک کپی رمزنگاری شده از TGT به یک سرور TGS ، که الزاماً همان سرور احراز هویت اول نمی باشد ، بفرستد و به منابع شبکه دسترسی پیدا کند.
سرور TGS بعد از رمزگشایی TGT و تشخیص وضعیت کاربر یک بلیط سرور (Server Ticket) ایجاد می کند و به براي او می فرستد. این بلیط ، كاربر را قادر می سازد برای مدت زمان محدودی به یک سرور مشخص دسترسی داشته باشد. این بلیط همچنین حاوی یک کلید نشست (Session key) می باشد که كاربر و سرور از آن می توانند برای رمزنگاری داده های در حال انتقال بین خود استفاده کنند. كاربر در صورت نیاز به یک منبع ، بلیط سرور را به آن سرور می فرستد. سرور بعد از رمزگشایی آن بلیط ، امکان دستیابی به منبع مورد نظر را فراهم مي كند.
چه تفاوتی بین Kerberos و NTLM وجود دارد؟
قبل از کربروس مایکروسافت از یک فناوری احراز هویت بهنام (NTLM (NT Lan Manager استفاده میکرد که یک پروتکل احراز هویت چالش-پاسخ بود. کامپیوتر یا کنترلکننده دامنه گذرواژهها را بررسی و هش گذرواژه را برای استفاده مداوم ذخیره میکرد. بزرگترین تفاوت این دو سیستم در احراز هویت ثالث و توانایی رمزنگاری قدرتمندتر کربروس است. کربروس در مقایسه با NTLM از یک لایه امنیتی اضافی در فرآیند احراز هویت استفاده میکند. این روزها سیستمهای مبتنی بر NTLM را میتوان در عرض چند ساعت هک کرد. به بیان ساده NTLM یک فناوری قدیمی و به تعبیری منسوخ شده است که نباید برای محافظت از دادههای حساس از آن استفاده کرد.
کربروس هکپذیر است؟
بله. زیرا یکی از متداولترین پروتکلهای احراز هویت است و هکرها هم چند راه برای نفوذ به آن ابداع کردهاند. اغلب این هکها بر مبنای آسیبپذیریها، گذرواژههای ضعيف یا بدافزارها (یا برخی اوقات هر سه مورد) انجام میشوند. کربروس به روشهای زیر هک میشود:
- رد کردن بلیط: فرآیندی که در آن یک کلید نشست جعل میشود و این کلید جعلی به عنوان یک مدرک هویتی معتبر در اختیار منبع قرار میگیرد.
- بلیط طلایی: یک بلیط که برای دسترسی مدیریتی برای کاربر صادر میشود.
- بلیط نقرهای: یک بلیط جعلی که برای دسترسی به یک سرویس صادر میشود.
- Credential stuffing/ Brute force: تلاشهای خودکار پی در پی برای حدس زدن یک گذرواژه
- خنثی کردن رمزگذاری با Skeleton Key Malware: یک بدافزار که میتواند کربروس را دور بزند، اما حمله باید از طریق دسترسی مدیریتی انجام شود.
- حمله DCShadow: یک حمله جدید در مکانی که حملهكنندگان دسترسی کافی به شبکه دارند تا بتوانند از کنترلکننده دامنه اختصاصی خود برای نفوذ بیشتر استفاده کنند.
کربروس منسوخ خواهد شد؟
کربروس تا منسوخ شدن فاصله زیادی دارد و با وجودی که هکرها توانایی نفوذ به آنرا دارند ثابت کرده که یک پروتکل کنترل دسترسی امنیتی قابل قبول است. اصلیترین مزیت کربروس توانایی استفاده از الگوریتمهای رمزنگاری قوی برای محافظت از گذرواژهها و بلیطهای احراز هویت است. با کامپیوترهای امروزی هر نوع حمله جستجوی فراگیر (Brute Force) به پروتکل رمزنگاری AES که کربروس از آن استفاده میکند و درهم شکستن آن به زمانی معادل با طول عمر خورشید نیاز دارد. بدون شک کربروس به هر شکلی که ارائه شود تا مدت زمان نسبتا طولانی قابل استفاده است.
دیدگاهتان را بنویسید