كيف تعمل مصادقة Kerberos؟

على الرغم من أن Kerberos هو نظام خلفي ، إلا أنه متكامل تمامًا لدرجة أن معظم المستخدمين أو المسؤولين يتغاضون عن وجوده.

ما هو Kerberos وكيف يعمل؟

إذا كنت تستخدم البريد الإلكتروني أو الخدمات الأخرى عبر الإنترنت التي تتطلب تسجيل الدخول للوصول إلى الموارد ، فمن المحتمل أنك تقوم بالمصادقة من خلال نظام Kerberos.

تضمن آلية المصادقة الآمنة المعروفة باسم Kerberos الاتصال الآمن بين الأجهزة والأنظمة والشبكات. هدفه الرئيسي هو حماية بياناتك ومعلومات تسجيل الدخول من المتسللين.

Kerberos مدعوم من قبل جميع أنظمة التشغيل الشائعة ، بما في ذلك Microsoft Windows و Apple macOS و FreeBSD و Linux.

يشتمل نموذج الأمان المكون من خمسة مستويات والذي يستخدمه Kerberos على مصادقة متبادلة وتشفير مفتاح متماثل. يتيح التحقق من هوية الشخص للمستخدمين المصرح لهم تسجيل الدخول إلى النظام.

فهو يجمع بين قاعدة البيانات المركزية والتشفير لتأكيد شرعية المستخدمين والخدمات. يقوم خادم Kerberos أولاً بمصادقة المستخدم قبل السماح له بالوصول إلى الخدمة. ثم يتم إصدار تذكرة لهم يمكنهم استخدامها للوصول إلى الخدمة إذا تمت المصادقة عليهم بنجاح.

في الأساس ، يعتمد Kerberos على “التذاكر” للسماح للمستخدمين بالتواصل مع بعضهم البعض بشكل آمن. يستخدم بروتوكول Kerberos مركز توزيع المفاتيح (KDC) لإنشاء اتصال بين العملاء والخوادم.

عند استخدام بروتوكول Kerberos ، يتلقى الخادم طلبًا من العميل. بعد ذلك ، يرد الخادم برد يحتوي على رمز مميز. يقوم العميل بعد ذلك بإصدار طلب إلى الخادم والتذكرة.

إنها طريقة أساسية تضمن سلامة البيانات المنقولة عبر الأنظمة. تم تطويره من قبل معهد ماساتشوستس للتكنولوجيا (MIT) في عام 1980 لمعالجة مشكلة اتصالات الشبكة غير الآمنة وهو الآن مدرج في العديد من الأنظمة المختلفة.

في هذه المقالة ، سنلقي نظرة على تفاصيل مزايا Kerberos والتطبيقات العملية وكيفية عملها خطوة بخطوة ومدى أمانها.

فوائد مصادقة Kerberos

في بيئة حوسبة واسعة وموزعة ، يمكن لأنظمة الكمبيوتر التعرف والتواصل بأمان مع بعضها البعض بسبب بروتوكول مصادقة الشبكة المعروف باسم Kerberos.

باستخدام تشفير المفتاح السري ، يهدف Kerberos إلى تقديم مصادقة قوية لتطبيقات العميل / الخادم. يضع هذا البروتوكول الأساس لأمان التطبيق ، وكثيرا ما يستخدم تشفير SSL / TLS بالاشتراك معه.

يوفر بروتوكول المصادقة المستخدم على نطاق واسع Kerberos العديد من المزايا التي قد تجعله أكثر جاذبية للشركات الصغيرة والمتوسطة والشركات الكبيرة.

  9 منصات لجعل الحدائق العمودية الداخلية ذكية وسهلة

في المقام الأول ، فإن Kerberos جديرة بالثقة بشكل لا يصدق ؛ تم اختباره ضد بعض أكثر الهجمات تعقيدًا وأثبت أنه محصن ضدها. علاوة على ذلك ، فإن Kerberos سهل الإعداد والاستخدام والدمج في العديد من الأنظمة.

مزايا فريدة

  • يتيح نظام التذاكر الفريد الذي يستخدمه Kerberos مصادقة أسرع.
  • يمكن للخدمات والعملاء مصادقة بعضهم البعض بشكل متبادل.
  • فترة المصادقة آمنة بشكل خاص بسبب الطابع الزمني المحدود.
  • يلبي متطلبات الأنظمة الموزعة الحديثة
  • قابلة لإعادة الاستخدام بينما لا يزال الطابع الزمني للتذكرة صالحًا ، تمنع المصادقة المستخدمين من الاضطرار إلى إعادة إدخال معلومات تسجيل الدخول الخاصة بهم للوصول إلى الموارد الأخرى.
  • توفر المفاتيح السرية المتعددة والتفويض من جهة خارجية والتشفير أمانًا من الدرجة الأولى.

ما مدى أمان Kerberos؟

لقد رأينا أن Kerberos يستخدم عملية مصادقة آمنة. سيستكشف هذا القسم كيف يمكن للمهاجمين انتهاك أمان Kerberos.

لسنوات عديدة ، كان بروتوكول Kerberos الآمن قيد الاستخدام: كتوضيح ، منذ إصدار Windows 2000 ، جعل Microsoft Windows Kerberos آلية المصادقة القياسية.

تستخدم خدمة مصادقة Kerberos تشفير المفتاح السري والتشفير ومصادقة جهة خارجية موثوقة لحماية البيانات الحساسة بنجاح أثناء النقل.

لزيادة الأمان ، يتم استخدام معيار التشفير المتقدم (AES) بواسطة Kerberos 5 ، وهو أحدث إصدار ، لضمان اتصالات أكثر أمانًا وتجنب اقتحام البيانات.

اعتمدت حكومة الولايات المتحدة AES لأنها فعالة بشكل خاص في حماية معلوماتها السرية.

ومع ذلك ، يُقال إنه لا توجد منصة آمنة تمامًا ، وأن Kerberos ليس استثناءً. على الرغم من أن Kerberos هو الأكثر أمانًا ، يجب على الشركات التحقق باستمرار من سطح هجومها للحماية من استغلال المتسللين له.

نتيجة لاستخدامه الواسع ، يسعى المتسللون جاهدين للكشف عن الثغرات الأمنية في البنية التحتية.

فيما يلي بعض الهجمات النموذجية التي قد تحدث:

  • هجوم التذكرة الذهبية: وهو الهجوم الأكثر ضررا. في هذا الاعتداء ، يخطف المهاجمون خدمة توزيع مفتاح مستخدم حقيقي باستخدام تذاكر Kerberos. يستهدف بشكل أساسي بيئات Windows مع استخدام Active Directory (AD) لامتيازات التحكم في الوصول.
  • هجوم التذكرة الفضية: يشار إلى بطاقة مصادقة الخدمة المزيفة باسم التذكرة الفضية. يمكن للمتسلل إنتاج تذكرة فضية عن طريق فك تشفير كلمة مرور حساب الكمبيوتر واستخدامها لإنشاء بطاقة مصادقة مزيفة.
  • تمرير التذكرة: من خلال إنشاء TGT زائف ، يقوم المهاجم بإنشاء مفتاح جلسة وهمي ويقدمها على أنها بيانات اعتماد شرعية.
  • اجتياز هجوم التجزئة: يستلزم هذا التكتيك الحصول على تجزئة كلمة مرور NTLM للمستخدم ثم إرسال التجزئة لمصادقة NTLM.
  • Kerberoasting: يهدف الهجوم إلى جمع تجزئات كلمات المرور لحسابات مستخدمي Active Directory مع قيم servicePrincipalName (SPN) ، مثل حسابات الخدمة ، عن طريق إساءة استخدام بروتوكول Kerberos.
  دليل مدير المشروع للمنهجيات الرشيقة

تخفيف مخاطر Kerberos

ستساعد تدابير التخفيف التالية في منع هجمات Kerberos:

  • استخدم برنامجًا حديثًا يراقب الشبكة على مدار الساعة ويحدد نقاط الضعف في الوقت الفعلي.
  • الامتياز الأقل: ينص على أن هؤلاء المستخدمين والحسابات وعمليات الكمبيوتر فقط يجب أن يكون لديهم أذونات الوصول اللازمة لأداء وظائفهم. من خلال القيام بذلك ، سيتم إيقاف الوصول غير المصرح به إلى الخوادم ، وخاصة خادم KDC ووحدات تحكم المجال الأخرى.
  • التغلب على ثغرات البرامج ، بما في ذلك ثغرات يوم الصفر.
  • قم بتشغيل الوضع المحمي لخدمة النظام الفرعي لسلطة الأمان المحلية (LSASS): يستضيف LSASS العديد من المكونات الإضافية ، بما في ذلك مصادقة NTLM و Kerberos ، وهو مسؤول عن تزويد المستخدمين بخدمات تسجيل الدخول الأحادي.
  • المصادقة القوية: معايير إنشاء كلمة المرور. كلمات مرور قوية للحسابات الإدارية والمحلية والحسابات الخدمية.
  • هجمات رفض الخدمة DOS: من خلال زيادة التحميل على KDC بطلبات المصادقة ، يمكن للمهاجم شن هجوم رفض الخدمة (DoS). لمنع الاعتداءات وموازنة الحمل ، يجب وضع KDC خلف جدار حماية ، ويجب نشر احتياطي KDC إضافي إضافي.

ما هي خطوات تدفق بروتوكول Kerberos؟

تتكون بنية Kerberos بشكل أساسي من أربعة عناصر أساسية تتعامل مع جميع عمليات Kerberos:

  • خادم المصادقة (AS): تبدأ عملية مصادقة Kerberos مع خادم المصادقة. يجب على العميل أولاً تسجيل الدخول إلى AS باستخدام اسم مستخدم وكلمة مرور لإثبات هويته. عند الانتهاء من ذلك ، يرسل AS اسم المستخدم إلى KDC ، والذي يصدر بعد ذلك TGT.
  • مركز توزيع المفاتيح (KDC): تتمثل مهمته في العمل كحلقة وصل بين خادم المصادقة (AS) وخدمة منح التذاكر (TGS) ، حيث يقوم بترحيل الرسائل من AS وإصدار TGTs ، والتي يتم تمريرها لاحقًا إلى TGS للتشفير.
  • تذكرة منح التذاكر (TGT): يتم تشفير TGT وتحتوي على معلومات حول الخدمات التي يُسمح للعميل بالوصول إليها ، والمدة المسموح بها لهذا الوصول ، ومفتاح جلسة للاتصال.
  • خدمة منح التذاكر (TGS): TGS هي حاجز بين العملاء الذين يمتلكون TGTs وخدمات الشبكة المختلفة. ثم ينشئ TGS مفتاح جلسة بعد مصادقة TGT المشتركة بين الخادم والعميل.

فيما يلي التدفق التدريجي لمصادقة Kerberos:

  • تسجيل دخول المستخدم
  • يطلب العميل الخادم الذي يمنح التذاكر.
  • يتحقق الخادم من اسم المستخدم.
  • إعادة تذكرة العميل بعد المنحة.
  • يحصل العميل على مفتاح جلسة TGS.
  • يطلب العميل من الخادم الوصول إلى الخدمة.
  • يقوم الخادم بفحص الخدمة.
  • حصل الخادم على مفتاح جلسة TGS.
  • يقوم الخادم بإنشاء مفتاح جلسة الخدمة.
  • يتلقى العميل مفتاح جلسة الخدمة.
  • العميل يتصل بالخدمة.
  • فك تشفير الخدمة.
  • تتحقق الخدمة من الطلب.
  • تمت مصادقة الخدمة للعميل.
  • العميل يؤكد الخدمة.
  • يتفاعل العميل والخدمة.
  كيفية إصلاح صور iPhone الملتوية تلقائيًا

ما هي تطبيقات العالم الحقيقي التي تستخدم Kerberos؟

في مكان العمل الحديث المستند إلى الإنترنت والمتصل ، يعتبر Kerberos أكثر قيمة بشكل ملحوظ لأنه ممتاز في تسجيل الدخول الأحادي (SSO).

يستخدم Microsoft Windows حاليًا مصادقة Kerberos كطريقة تفويض قياسية. Kerberos مدعوم أيضًا من قبل Apple OS و FreeBSD و UNIX و Linux.

بالإضافة إلى ذلك ، فقد أصبح معيارًا لمواقع الويب وتطبيقات الدخول الموحد عبر جميع الأنظمة الأساسية. زاد Kerberos من أمان الإنترنت ومستخدميه مع السماح للمستخدمين بأداء المزيد من المهام عبر الإنترنت وفي المكتب دون المخاطرة بسلامتهم.

تتضمن أنظمة التشغيل والبرامج الشائعة بالفعل Kerberos ، الذي أصبح جزءًا أساسيًا من البنية التحتية لتكنولوجيا المعلومات. إنها تقنية التفويض القياسية لـ Microsoft Windows.

يستخدم تشفيرًا قويًا وترخيصًا لبطاقة طرف ثالث لجعل الوصول إلى شبكة الشركة أكثر صعوبة على المتسللين. يمكن للمنظمات استخدام الإنترنت مع Kerberos دون القلق بشأن تعريض أمانها للخطر.

أشهر تطبيقات Kerberos هو Microsoft Active Directory ، الذي يتحكم في المجالات ويقوم بمصادقة المستخدم كخدمة دليل قياسية مضمنة في Windows 2000 والإصدارات الأحدث.

تعد Apple و NASA و Google ووزارة الدفاع الأمريكية والمؤسسات في جميع أنحاء البلاد من بين المستخدمين الأكثر شهرة.

فيما يلي بعض الأمثلة على الأنظمة ذات دعم Kerberos المدمج أو الذي يمكن الوصول إليه:

  • خدمات أمازون ويب
  • جوجل كلاود
  • هيوليت باكارد يونكس
  • تنفيذي IBM Advanced Interactive
  • مايكروسوفت أزور
  • Microsoft Windows Server و AD
  • أوراكل سولاريس
  • OpenBSD

مصادر إضافية

استنتاج

أسلوب المصادقة الأكثر استخدامًا لحماية اتصالات الخادم والعميل هو Kerberos. Kerberos هي آلية مصادقة مفتاح متماثل توفر تكامل البيانات والسرية والمصادقة المتبادلة للمستخدم.

إنه أساس Microsoft Active Directory وقد نما ليصبح أحد البروتوكولات التي يستهدفها المهاجمون من جميع الأنواع للاستغلال.

بعد ذلك ، يمكنك التحقق من الأدوات لمراقبة صحة Active Directory.