¿Cómo funciona la autenticación Kerberos?

por

Aunque Kerberos es un sistema back-end, está tan perfectamente integrado que la mayoría de los usuarios o administradores pasan por alto su existencia.

¿Qué es Kerberos y cómo funciona?

Si utiliza el correo electrónico u otros servicios en línea que requieren inicios de sesión para acceder a los recursos, lo más probable es que se esté autenticando a través del sistema Kerberos.

El mecanismo de autenticación segura conocido como Kerberos garantiza una comunicación segura entre dispositivos, sistemas y redes. Su objetivo principal es proteger sus datos e información de inicio de sesión de los piratas informáticos.

Kerberos es compatible con todos los sistemas operativos populares, incluidos Microsoft Windows, Apple macOS, FreeBSD y Linux.

Un modelo de seguridad de cinco niveles utilizado por Kerberos comprende autenticación mutua y criptografía de clave simétrica. La verificación de la identidad permite a los usuarios autorizados iniciar sesión en un sistema.

Combina una base de datos central y cifrado para confirmar la legitimidad de los usuarios y servicios. El servidor Kerberos primero autentica a un usuario antes de permitirle acceder a un servicio. Luego se les emite un boleto que pueden usar para acceder al servicio si se autentican con éxito.

En esencia, Kerberos se basa en «tickets» para permitir que los usuarios se comuniquen entre sí de forma segura. El protocolo Kerberos utiliza un Centro de distribución de claves (KDC) para establecer la comunicación entre clientes y servidores.

Cuando se utiliza el protocolo Kerberos, el servidor recibe una solicitud del cliente. Después de eso, el servidor responde con una respuesta que contiene un token. Luego, el cliente emite una solicitud al servidor y el boleto.

Es un método esencial que garantiza la seguridad de los datos transferidos entre sistemas. Fue desarrollado por el Instituto Tecnológico de Massachusetts (MIT) en 1980 para abordar el problema de las conexiones de red no seguras y ahora se incluye en muchos sistemas diferentes.

En este artículo, veremos los detalles sobre las ventajas de Kerberos, las aplicaciones prácticas, cómo funciona paso a paso y qué tan seguro es.

Beneficios de la autenticación Kerberos

En un vasto entorno informático distribuido, los sistemas informáticos pueden identificarse y comunicarse entre sí de forma segura gracias al protocolo de autenticación de red conocido como Kerberos.

Mediante el uso de criptografía de clave secreta, Kerberos pretende ofrecer una autenticación robusta para aplicaciones cliente/servidor. Este protocolo sienta las bases para la seguridad de las aplicaciones, y el cifrado SSL/TLS se usa con frecuencia en combinación con él.

El protocolo de autenticación Kerberos, ampliamente utilizado, ofrece varias ventajas que pueden hacerlo más atractivo para las PYMES y las grandes corporaciones.

En primer lugar, Kerberos es increíblemente confiable; ha sido probado contra algunos de los ataques más complejos y ha demostrado ser inmune a ellos. Además, Kerberos es fácil de configurar, utilizar e integrar en varios sistemas.

Beneficios únicos

  • Un sistema único de emisión de boletos utilizado por Kerberos permite una autenticación más rápida.
  • Los servicios y los clientes pueden autenticarse mutuamente.
  • El período de autenticación es particularmente seguro debido al sello de tiempo limitado.
  • Cumple con los requisitos de los sistemas distribuidos modernos
  • Reutilizable mientras la marca de tiempo del ticket aún es válida, Authenticity evita que los usuarios tengan que volver a ingresar su información de inicio de sesión para acceder a otros recursos.
  • Múltiples claves secretas, autorización de terceros y criptografía brindan seguridad de primer nivel.

¿Qué tan seguro es Kerberos?

Hemos visto que Kerberos emplea un proceso de autenticación seguro. Esta sección explorará cómo los atacantes pueden violar la seguridad de Kerberos.

Durante muchos años, el protocolo seguro de Kerberos ha estado en uso: como ejemplo, desde el lanzamiento de Windows 2000, Microsoft Windows ha convertido a Kerberos en el mecanismo de autenticación estándar.

El servicio de autenticación Kerberos utiliza encriptación de clave secreta, criptografía y autenticación de terceros confiables para proteger los datos confidenciales con éxito mientras están en tránsito.

Para aumentar la seguridad, Kerberos 5, la versión más reciente, utiliza el estándar de cifrado avanzado (AES) para garantizar comunicaciones más seguras y evitar intrusiones de datos.

El gobierno de EE. UU. ha adoptado AES porque es particularmente efectivo para proteger su información secreta.

Sin embargo, se argumenta que ninguna plataforma es completamente segura y Kerberos no es una excepción. Aunque Kerberos es el más seguro, las empresas deben verificar constantemente su superficie de ataque para evitar que los piratas informáticos se aprovechen de ellas.

Como resultado de su amplio uso, los piratas informáticos se esfuerzan por descubrir brechas de seguridad en la infraestructura.

Aquí hay algunos ataques típicos que pueden ocurrir:

  • Ataque Golden Ticket: Es el asalto más dañino. En este ataque, los atacantes se apropian del servicio de distribución de claves de un usuario genuino mediante vales de Kerberos. Se dirige principalmente a entornos de Windows con Active Directory (AD) en uso para privilegios de control de acceso.
  • Ataque de boleto plateado: un boleto de autenticación de servicio falso se conoce como boleto plateado. Un hacker puede producir un Boleto de plata descifrando la contraseña de una cuenta de computadora y utilizándola para construir un boleto de autenticación falso.
  • Pase el ticket: al generar un TGT falso, el atacante construye una clave de sesión falsa y la presenta como una credencial legítima.
  • Pase el ataque hash: esta táctica implica obtener el hash de la contraseña NTLM de un usuario y luego transmitir el hash para la autenticación NTLM.
  • Kerberoasting: el ataque tiene como objetivo recopilar hash de contraseñas para cuentas de usuario de Active Directory con valores servicePrincipalName (SPN), como cuentas de servicio, abusando del protocolo Kerberos.

Mitigación de riesgos de Kerberos

Las siguientes medidas de mitigación ayudarían a prevenir los ataques de Kerberos:

  • Adopte un software moderno que supervise la red las 24 horas del día e identifique vulnerabilidades en tiempo real.
  • Privilegio mínimo: establece que solo aquellos usuarios, cuentas y procesos informáticos deben tener los permisos de acceso necesarios para realizar su trabajo. Al hacer esto, se detendrá el acceso no autorizado a los servidores, principalmente al servidor KDC y otros controladores de dominio.
  • Supere las vulnerabilidades de software, incluidas las vulnerabilidades de día cero.
  • Ejecute el modo protegido del Servicio de subsistema de autoridad de seguridad local (LSASS): LSASS aloja varios complementos, incluida la autenticación NTLM y Kerberos, y está a cargo de proporcionar a los usuarios servicios de inicio de sesión único.
  • Strong Authentication: Estándares para la creación de contraseñas. Contraseñas seguras para cuentas administrativas, locales y de servicio.
  • Ataques DOS (denegación de servicio): al sobrecargar el KDC con solicitudes de autenticación, un atacante puede lanzar un ataque de denegación de servicio (DoS). Para evitar ataques y equilibrar la carga, el KDC se debe colocar detrás de un firewall y se debe implementar un KDC redundante adicional.

¿Cuáles son los pasos del flujo del protocolo Kerberos?

La arquitectura de Kerberos consta principalmente de cuatro elementos esenciales que manejan todas las operaciones de Kerberos:

  • Servidor de autenticación (AS): el proceso de autenticación de Kerberos comienza con el servidor de autenticación. El cliente primero debe iniciar sesión en el AS con un nombre de usuario y una contraseña para establecer su identidad. Cuando esto finaliza, el AS envía el nombre de usuario al KDC, que luego emite un TGT.
  • Centro de distribución de claves (KDC): su trabajo es servir como enlace entre el servidor de autenticación (AS) y el servicio de concesión de tickets (TGS), retransmitiendo mensajes desde el AS y emitiendo TGT, que posteriormente se pasan al TGS para su cifrado.
  • Ticket de concesión de tickets (TGT): TGT está encriptado y contiene información sobre a qué servicios puede acceder el cliente, cuánto tiempo está autorizado ese acceso y una clave de sesión para la comunicación.
  • Servicio de concesión de tickets (TGS): TGS es una barrera entre los clientes propietarios de TGT y los distintos servicios de la red. Luego, el TGS establece una clave de sesión después de autenticar el TGT compartido por el servidor y el cliente.

El siguiente es el flujo paso a paso de la autenticación Kerberos:

  • Inicio de sesión de usuario
  • Un cliente solicita al servidor que otorga boletos.
  • Un servidor comprueba el nombre de usuario.
  • Devolución del billete del cliente después de la concesión.
  • Un cliente obtiene la clave de sesión de TGS.
  • Un cliente solicita al servidor acceso a un servicio.
  • Un servidor comprueba el servicio.
  • Clave de sesión TGS obtenida por el servidor.
  • Un servidor crea una clave de sesión de servicio.
  • Un cliente recibe la clave de sesión de servicio.
  • Un cliente se pone en contacto con el servicio.
  • Servicio de descifrado.
  • El servicio comprueba la solicitud.
  • El servicio se autentica ante el cliente.
  • Un cliente confirma el servicio.
  • Un cliente y un servicio interactúan.

¿Qué son las aplicaciones del mundo real que utilizan Kerberos?

En un lugar de trabajo moderno conectado y basado en Internet, Kerberos es significativamente más valioso porque es excelente en Single-Sign-On (SSO).

Actualmente, Microsoft Windows utiliza la autenticación Kerberos como método de autorización estándar. Kerberos también es compatible con Apple OS, FreeBSD, UNIX y Linux.

Además, se ha convertido en una norma para sitios web y aplicaciones de inicio de sesión único en todas las plataformas. Kerberos ha aumentado la seguridad de Internet y de sus usuarios, al tiempo que les permite realizar más tareas en línea y en la oficina sin poner en riesgo su seguridad.

Los sistemas operativos y programas de software populares ya incluyen Kerberos, que se ha convertido en una parte esencial de la infraestructura de TI. Es la tecnología de autorización estándar de Microsoft Windows.

Utiliza criptografía sólida y autorización de tickets de terceros para dificultar el acceso de los piratas informáticos a una red corporativa. Las organizaciones pueden usar Internet con Kerberos sin preocuparse por poner en peligro su seguridad.

La aplicación más conocida de Kerberos es Microsoft Active Directory, que controla dominios y realiza la autenticación de usuarios como un servicio de directorio estándar incluido en Windows 2000 y versiones posteriores.

Apple, la NASA, Google, el Departamento de Defensa de los EE. UU. e instituciones de todo el país se encuentran entre los usuarios más destacados.

A continuación se muestran algunos ejemplos de sistemas con soporte Kerberos integrado o accesible:

  • Servicios web de Amazon
  • Nube de Google
  • Hewlett-Packard Unix
  • Ejecutivo de IBM Interactivo Avanzado
  • microsoft azure
  • Microsoft Windows Server y AD
  • oracle solaris
  • OpenBSD

Recursos adicionales

Conclusión

El método de autenticación más utilizado para proteger las conexiones cliente-servidor es Kerberos. Kerberos es un mecanismo de autenticación de clave simétrica que ofrece integridad de datos, confidencialidad y autenticación mutua de usuarios.

Es la base de Microsoft Active Directory y se ha convertido en uno de los protocolos que los atacantes de todo tipo apuntan para explotar.

A continuación, puede consultar las herramientas para monitorear el estado de Active Directory.

No related posts.