Unternehmen und Konzerne
Schützen Sie Ihr Unternehmen vor Cyberkriminellen.
Jetzt gratis testenWas ist Kerberos?
- IAM-Glossar
- Was ist Kerberos?
Kerberos ist ein Authentifizierungsprotokoll für Computernetzwerke, das die Identität von Benutzern oder Hosts mithilfe eines Systems digitaler Tickets überprüft. Es verwendet Kryptografie mit geheimen Schlüsseln und einen vertrauenswürdigen Drittanbieter, um Benutzeridentitäten zu überprüfen und Client-Server-Anwendungen zu authentifizieren.
Das Kerberos-Protokoll wurde ursprünglich 1988 am Massachusetts Institute of Technology (MIT) entwickelt, damit die Universität Netzwerkbenutzer sicher authentifizieren und sie für den Zugriff auf bestimmte Ressourcen wie Speicher und Datenbanken autorisieren konnte. Damals authentifizierten Computernetzwerke Benutzer noch über Benutzerkennungen und Passwörter, die unverschlüsselt im Klartext übertragen wurden. Dies ermöglichte es Angreifern, Zugangsdaten von Benutzern abzufangen und das MIT-Netzwerk zu hacken.
Kerberos ermöglichte es vertrauenswürdigen Hosts, über nicht vertrauenswürdige Netzwerke – insbesondere das Internet – zu kommunizieren, ohne Passwörter im Klartext zu übertragen oder zu speichern. Darüber hinaus ermöglichte Kerberos Benutzern den Zugriff auf mehrere Systeme mit nur einem Passwort – eine frühe Version der Single-Sign-on-Technologie.
Wofür wird Kerberos verwendet?
Kerberos ist heute eines der am häufigsten verwendeten Protokolle zur Netzwerkauthentifizierung. Es wird häufig zur Unterstützung von SSO in großen Unternehmensnetzwerken verwendet, sie ist die Standardauthentifizierungsmethode in Windows und spielt eine integrale Rolle in Windows Active Directory (AD). Kerberos-Implementierungen sind zudem in Apple OS, FreeBSD, UNIX und Linux verfügbar.
Wofür werden Tickets in Kerberos verwendet?
Tickets sind im Prinzip das Herzstück des Kerberos-Authentifizierungsprotokolls.
Der Name Kerberos stammt aus der griechischen Mythologie. Kerberos, oder auch Zerberus, bezeichnet dort einen dreiköpfigen Hund, der die Tore zur Welt der Toten bewachte. Der Name des Protokolls bezieht sich auf die drei „Köpfe“: den Client, den Server und das Kerberos Key Distribution Center (KDC), das Kerberos-Tickets ausstellt.
Ein Kerberos-Ticket ist ein digitales Zertifikat, das von einem Authentifizierungsserver ausgestellt und mit dem Serverschlüssel verschlüsselt wird. Es ermöglicht Hosts, ihre Identität gegenseitig und auf sichere Weise zu bestätigen.
Das Anfordern und Gewähren von Kerberos-Tickets erfolgt für den Endbenutzer transparent. Wenn ein Client ein Kerberos-Authentifizierungsticket erhält, sendet er das Ticket zusammen mit zusätzlichen Informationen zum Überprüfen der Identität des Clients an den Server zurück. Der Server stellt dann ein Kerberos-Service-Ticket und einen Sitzungsschlüssel aus, wodurch der Autorisierungsprozess für diese Sitzung abgeschlossen wird. Alle Kerberos-Tickets sind mit einem Zeitstempel versehen, zeitlich begrenzt und sitzungsspezifisch. Dies minimiert das Risiko, dass ein Angreifer ein gehacktes Ticket für den Zugriff auf das System verwenden kann.
Wie funktioniert das Kerberos-Protokoll?
Hier ist eine sehr vereinfachte Beschreibung des Kerberos-Protokolls in Aktion:
- Der Kerberos-Client-Authentifizierungsprozess beginnt, wenn ein Client ein Authentifizierungsticket oder Ticket Granting Ticket (TGT) vom KDC-Authentifizierungsserver anfordert. Da diese erste Anfrage keine sensiblen Informationen enthält, wird sie im Klartext gesendet.
- Das KDC sucht den Client in seiner Datenbank. Wenn das KDC den Client findet, sendet es ein verschlüsseltes TGT und einen Sitzungsschlüssel zurück. Wenn nicht, wird der Prozess angehalten und dem Client wird der Zugriff verweigert.
- Nach erfolgreicher Authentifizierung verwendet der Client das TGT, um ein Service-Ticket vom Ticket Granting Service (TGS) anzufordern.
- Wenn das TGS den Client authentifizieren kann, sendet es dem Client die Berechtigungsnachweise und das Ticket für den Zugriff auf den angeforderten Dienst. Dieses Ticket wird auf dem Gerät des Endbenutzers gespeichert.
- Der Client verwendet sein Ticket, um Zugriff auf den Anwendungsserver anzufordern. Sobald der Anwendungsserver die Anfrage authentifiziert hat, kann der Client auf den Server zugreifen.
Welche Vorteile bietet das Kerberos-Protokoll?
Kerberos ist ein ausgereiftes, robustes Authentifizierungsprotokoll, das in alle gängigen Betriebssysteme integriert ist und moderne verteilte Computerumgebungen unterstützt. Es eignet sich besonders für SSO-Bereitstellungen, wo es für die Back-End-Technologie zuständig ist, damit Endbenutzer ein reibungsloses Erlebnis haben. Zudem unterstützt es die rollenbasierte Zugriffskontrolle (RBAC) und den Zugriff mit den geringsten Rechten auf digitale Ressourcen.
Kann Kerberos gehackt werden?
Da Kerberos eine weit verbreitete, jahrzehntealte Technologie ist, haben Angreifer Wege gefunden, sie zu hacken. Zu den gängigen Kerberos-Cyberangriffen gehören:
- Pass-the-Ticket-Angriffe, bei denen Cyberkriminelle Tickets abfangen und wiederverwenden, die an oder von einem authentifizierten Benutzer gesendet wurden.
- Golden-Ticket-Angriffe, auch DC-Schattenangriffe genannt, bei denen Angreifer den erforderlichen Zugriff erhalten, um ihren eigenen Windows-Domain-Controller einzurichten. Auf diese Weise können sie gefälschte privilegierte Zugangsdaten erstellen, die ihnen unbegrenzten Zugriff auf Netzwerkressourcen gewähren.
- Credential-Stuffing-Angriffe, bei denen Angreifer versuchen, Benutzerkennwörter zu hacken. Diese Angriffe zielen im Allgemeinen auf KDC-Authentifizierungsserver oder Ticket-Granting-Dienste ab.
Obwohl keine Technologie zu 100 % unhackbar ist, ist Kerberos sehr sicher, wenn es richtig konfiguriert und gewartet wird. Um Kerberos sicher zu verwenden, achten Sie darauf, dass Kerberos auf dem neuesten Stand ist, dass all Ihre Endbenutzer starke, eindeutige Passwörter verwenden und dass der Zugang per Multi-Faktor-Authentifizierung (MFA) gesichert ist.
