Das Kerberos-Protokoll

Veröffentlicht von dunno263 am

Kerberos ist in der griechischen Mythologie der Wachhunde zur Unterwelt. Aber was hat das mit Informationssicherheit und IT zu tun?

Was ist das Kerberos-Protokoll?

„Kerberos ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze[…]“. Dieses Zitat von Wikipedia beschreibt den Zweck von des Kerberos-Protokolls treffender als ich es beschreiben könnte. Die Grundpfeiler von Kerberos ist ein also eine sichere Authentifizierung in unsicheren Netzen, wobei eine sichere, vertrauenswürdige Partei benötigt wird, in diesem Fall der Kerberos-Authentifizierungsserver.

Wie läuft die Authentifizierung mit Kerberos ab?

Grundsätzlich muss sich der Client (oder User) beim Kerberos Authentifizierungsserver ein Ticket Granting Ticket (TGT) besorgen. In den meisten Netzwerken muss sich der Client/User dafür vorher mit einem Passwort oder anderen Merkmalen einmalig authentifizieren. Nachdem der Kerberos-Authentifizierungsserver das TGT ausgestellt hat, kann der Client/User mit dem TGT beim Ticket Granting Server ein Ticket für einen anderen Service (Service Ticket – ST), welcher Kerberos unterstützt, anfordern. Mit Hilfe dieses ST kann sich der Client/User gegenüber dem entsprechenden Service authentifizieren.

Welche Vorteile bietet Kerberos?

Die Vorgehensweise des Kerberos-Protokolls nutzt symmetrische Verschlüsselung mit Sessions Keys. Dies erschwert Wörterbuch-, Replay- und auch Spoofingattacken. Außerdem wird die Nutzung der ursprünglichen Authentifizierungsmerkmale des Client/Users (um das TGT zu erhalten) auf ein Minimum reduziert, sodass diese schwerer kompromittiert werden können.

Welche Nachteile bietet Kerberos?

Ein Nachteil ist die Anforderung, dass alle beteiligten Clients und Server eine maximale Zeitabweichung von 5 Minuten haben dürfen. Außerdem ist die Sicherheit der Kerberos-Server eine Grundvoraussetzung der Sicherheit des gesamten Authentifizierungsvorgangs, sodass diese gegeben sein muss! Abgesehen davon hat auch das Kerberos-Protokoll Schwachstellen. Diese hängen aber von der Implementierung des Kerberos-Protokolls ab, wobei die Implementierung von Microsoft für das Active-Directory die weitverbreitetste ist. Dies folgt ein einem weiteren Artikel.

Kategorien: GrundlagenHacking
Schlagwörter:

0 Kommentare

Schreibe einen Kommentar

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Verwandte Beiträge

Vulnerability
Blue Team

Vulnerability Management

Neben dem SOC (und dem dazugehörigen SIEM) ist ein Vulnerability Management die zweite wichtige Säule bei den operative Abwehrmaßnahmen bzw. im Blue Team IT-Security Bereich. Vulnerability Management beschreibt alle Tools und Prozesse rund um Schwachstellen, Weiterlesen…

Grundlagen

Videokurs – Angriffsszenarien im Netzwerk

Hier nochmal ein Beitrag in eigener Sache 😀 Ich hatte die Möglichkeit über Heise Academy einen Videokurs zu Angriffsszenarien in Computernetzwerken zu veröffentlichen. Dabei geht es hier besonders um Unternehmens und Firmennetzwerke. IT-Admins, Sicherheitsexperten und Weiterlesen…

SOC
Blue Team

SOC

Im Themengebiet der IT-Sicherheit wird mit haufenweise Abkürzungen um sich geworfen. SOC steht in diesem Fall für Security Operation Center (SOC) und nicht für System on a Chip (SoC). Im Artikel über SIEM (Security Incident Weiterlesen…