Kerberos ist in der griechischen Mythologie der Wachhunde zur Unterwelt. Aber was hat das mit Informationssicherheit und IT zu tun?
Was ist das Kerberos-Protokoll?
„Kerberos ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze[…]“. Dieses Zitat von Wikipedia beschreibt den Zweck von des Kerberos-Protokolls treffender als ich es beschreiben könnte. Die Grundpfeiler von Kerberos ist ein also eine sichere Authentifizierung in unsicheren Netzen, wobei eine sichere, vertrauenswürdige Partei benötigt wird, in diesem Fall der Kerberos-Authentifizierungsserver.
Wie läuft die Authentifizierung mit Kerberos ab?
Grundsätzlich muss sich der Client (oder User) beim Kerberos Authentifizierungsserver ein Ticket Granting Ticket (TGT) besorgen. In den meisten Netzwerken muss sich der Client/User dafür vorher mit einem Passwort oder anderen Merkmalen einmalig authentifizieren. Nachdem der Kerberos-Authentifizierungsserver das TGT ausgestellt hat, kann der Client/User mit dem TGT beim Ticket Granting Server ein Ticket für einen anderen Service (Service Ticket – ST), welcher Kerberos unterstützt, anfordern. Mit Hilfe dieses ST kann sich der Client/User gegenüber dem entsprechenden Service authentifizieren.
Welche Vorteile bietet Kerberos?
Die Vorgehensweise des Kerberos-Protokolls nutzt symmetrische Verschlüsselung mit Sessions Keys. Dies erschwert Wörterbuch-, Replay- und auch Spoofingattacken. Außerdem wird die Nutzung der ursprünglichen Authentifizierungsmerkmale des Client/Users (um das TGT zu erhalten) auf ein Minimum reduziert, sodass diese schwerer kompromittiert werden können.
Welche Nachteile bietet Kerberos?
Ein Nachteil ist die Anforderung, dass alle beteiligten Clients und Server eine maximale Zeitabweichung von 5 Minuten haben dürfen. Außerdem ist die Sicherheit der Kerberos-Server eine Grundvoraussetzung der Sicherheit des gesamten Authentifizierungsvorgangs, sodass diese gegeben sein muss! Abgesehen davon hat auch das Kerberos-Protokoll Schwachstellen. Diese hängen aber von der Implementierung des Kerberos-Protokolls ab, wobei die Implementierung von Microsoft für das Active-Directory die weitverbreitetste ist. Dies folgt ein einem weiteren Artikel.
0 Kommentare