Unternehmen und Konzerne
Schützen Sie Ihr Unternehmen vor Cyberkriminellen.
Jetzt gratis testenKerberos ist ein Authentifizierungsprotokoll für Computernetzwerke, das die Identität von Benutzern oder Hosts mithilfe eines Systems digitaler Tickets überprüft. Es verwendet Kryptografie mit geheimen Schlüsseln und einen vertrauenswürdigen Drittanbieter, um Benutzeridentitäten zu überprüfen und Client-Server-Anwendungen zu authentifizieren.
Das Kerberos-Protokoll wurde ursprünglich 1988 am Massachusetts Institute of Technology (MIT) entwickelt, damit die Universität Netzwerkbenutzer sicher authentifizieren und sie für den Zugriff auf bestimmte Ressourcen wie Speicher und Datenbanken autorisieren konnte. Damals authentifizierten Computernetzwerke Benutzer noch über Benutzerkennungen und Passwörter, die unverschlüsselt im Klartext übertragen wurden. Dies ermöglichte es Angreifern, Zugangsdaten von Benutzern abzufangen und das MIT-Netzwerk zu hacken.
Kerberos ermöglichte es vertrauenswürdigen Hosts, über nicht vertrauenswürdige Netzwerke – insbesondere das Internet – zu kommunizieren, ohne Passwörter im Klartext zu übertragen oder zu speichern. Darüber hinaus ermöglichte Kerberos Benutzern den Zugriff auf mehrere Systeme mit nur einem Passwort – eine frühe Version der Single-Sign-on-Technologie.
Kerberos ist heute eines der am häufigsten verwendeten Protokolle zur Netzwerkauthentifizierung. Es wird häufig zur Unterstützung von SSO in großen Unternehmensnetzwerken verwendet, sie ist die Standardauthentifizierungsmethode in Windows und spielt eine integrale Rolle in Windows Active Directory (AD). Kerberos-Implementierungen sind zudem in Apple OS, FreeBSD, UNIX und Linux verfügbar.
Tickets sind im Prinzip das Herzstück des Kerberos-Authentifizierungsprotokolls.
Der Name Kerberos stammt aus der griechischen Mythologie. Kerberos, oder auch Zerberus, bezeichnet dort einen dreiköpfigen Hund, der die Tore zur Welt der Toten bewachte. Der Name des Protokolls bezieht sich auf die drei „Köpfe“: den Client, den Server und das Kerberos Key Distribution Center (KDC), das Kerberos-Tickets ausstellt.
Ein Kerberos-Ticket ist ein digitales Zertifikat, das von einem Authentifizierungsserver ausgestellt und mit dem Serverschlüssel verschlüsselt wird. Es ermöglicht Hosts, ihre Identität gegenseitig und auf sichere Weise zu bestätigen.
Das Anfordern und Gewähren von Kerberos-Tickets erfolgt für den Endbenutzer transparent. Wenn ein Client ein Kerberos-Authentifizierungsticket erhält, sendet er das Ticket zusammen mit zusätzlichen Informationen zum Überprüfen der Identität des Clients an den Server zurück. Der Server stellt dann ein Kerberos-Service-Ticket und einen Sitzungsschlüssel aus, wodurch der Autorisierungsprozess für diese Sitzung abgeschlossen wird. Alle Kerberos-Tickets sind mit einem Zeitstempel versehen, zeitlich begrenzt und sitzungsspezifisch. Dies minimiert das Risiko, dass ein Angreifer ein gehacktes Ticket für den Zugriff auf das System verwenden kann.
Hier ist eine sehr vereinfachte Beschreibung des Kerberos-Protokolls in Aktion:
Kerberos ist ein ausgereiftes, robustes Authentifizierungsprotokoll, das in alle gängigen Betriebssysteme integriert ist und moderne verteilte Computerumgebungen unterstützt. Es eignet sich besonders für SSO-Bereitstellungen, wo es für die Back-End-Technologie zuständig ist, damit Endbenutzer ein reibungsloses Erlebnis haben. Zudem unterstützt es die rollenbasierte Zugriffskontrolle (RBAC) und den Zugriff mit den geringsten Rechten auf digitale Ressourcen.
Da Kerberos eine weit verbreitete, jahrzehntealte Technologie ist, haben Angreifer Wege gefunden, sie zu hacken. Zu den gängigen Kerberos-Cyberangriffen gehören:
Obwohl keine Technologie zu 100 % unhackbar ist, ist Kerberos sehr sicher, wenn es richtig konfiguriert und gewartet wird. Um Kerberos sicher zu verwenden, achten Sie darauf, dass Kerberos auf dem neuesten Stand ist, dass all Ihre Endbenutzer starke, eindeutige Passwörter verwenden und dass der Zugang per Multi-Faktor-Authentifizierung (MFA) gesichert ist.