Firmy i przedsiębiorstwa
Chroń swoją firmę przed cyberprzestępcami.
Wypróbuj za darmoKerberos to protokół uwierzytelniania w sieci komputerowej, który weryfikuje tożsamość użytkowników lub hostów za pomocą systemu cyfrowych „biletów”. Wykorzystuje kryptografię z kluczami tajnymi i zaufaną stronę trzecią do weryfikacji tożsamości użytkowników i uwierzytelniania aplikacji typu klient-serwer.
Protokół Kerberos został pierwotnie opracowany w Massachusetts Institute of Technology (MIT) w 1988 roku, aby uczelnia mogła bezpiecznie uwierzytelniać użytkowników sieci i autoryzować ich dostęp do określonych zasobów, takich jak pamięć masowa i bazy danych. W owym czasie sieci komputerowe uwierzytelniały użytkowników za pomocą identyfikatorów i haseł, które były przesyłane w postaci niezaszyfrowanej jako zwykły tekst. Umożliwiało to przechwytywanie poświadczeń użytkowników i wykorzystywanie ich do włamania się do sieci MIT.
Kerberos umożliwił zaufanym hostom komunikację przez niezaufane sieci – w szczególności przez Internet – bez przesyłania lub przechowywania haseł w postaci zwykłego tekstu. Ponadto Kerberos umożliwił użytkownikom dostęp do wielu systemów przy użyciu tylko jednego hasła. Była to wczesna wersja technologii pojedynczego logowania (SSO).
Kerberos jest obecnie jednym z najczęściej używanych sieciowych protokołów uwierzytelniania. Jest często stosowany do obsługi SSO w dużych sieciach korporacyjnych, jest domyślną metodą uwierzytelniania w systemie Windows i odgrywa integralną rolę w usłudze Windows Active Directory (AD). Implementacje protokołu Kerberos są również dostępne w systemach operacyjnych Apple, FreeBSD, UNIX i Linux.
Bilety są jądrem protokołu uwierzytelniania Kerberos.
Nazwa Kerberos pochodzi z mitologii greckiej. Kerberos, znany również jako Cerber, był trójgłowym psem, który strzegł bram do świata zmarłych. Nazwa odnosi się do trzech „głów” protokołu Kerberos: klienta, serwera i Centrum dystrybucji kluczy Kerberos (KDC), które wydaje „bilety” Kerberos.
Bilet Kerberos jest cyfrowym certyfikatem, wydanym przez serwer uwierzytelniający i zaszyfrowanym przy użyciu klucza serwera, który umożliwia hostom bezpieczne potwierdzenie swojej tożsamości. Jest to znane jako uwierzytelnianie wzajemne.
Żądanie i przyznawanie biletów Kerberos odbywa się w sposób przezroczysty dla użytkownika końcowego. Kiedy klient otrzymuje bilet uwierzytelnienia Kerberos, zwraca go do serwera wraz z dodatkowymi informacjami w celu weryfikacji tożsamości klienta. Serwer następnie wydaje bilet usługi Kerberos i klucz sesji, co kończy proces uwierzytelniania dla tej sesji. Wszystkie bilety Kerberos mają datownik oraz są ograniczone czasowo i specyficzne dla sesji, co minimalizuje ryzyko, że atakująca osoba może użyć naruszonego biletu, aby uzyskać dostęp do systemu.
Oto bardzo uproszczony opis działania protokołu Kerberos:
Kerberos to dojrzały, solidny protokół uwierzytelniania, który jest zintegrowany ze wszystkimi popularnymi systemami operacyjnymi i obsługuje nowoczesne rozproszone środowiska obliczeniowe. Szczególnie dobrze nadaje się do wdrożeń SSO, gdzie zapewnia technologię zaplecza, aby dostarczać użytkownikom końcowym bezproblemowe działanie przy jednoczesnej obsłudze kontroli dostępu opartej na rolach (RBAC) i dostępu z najmniejszymi uprawnieniami do zasobów cyfrowych.
Ponieważ Kerberos jest powszechnie stosowaną, liczącą kilkadziesiąt lat technologią, osoby atakujące znalazły sposoby na jego skompromitowanie. Typowe cyberataki na Kerberos obejmują:
Żadna technologia nie jest w 100% odporna na próby złamania, ale protokół Kerberos jest dość bezpieczny, jeśli został prawidłowo skonfigurowany i jest odpowiednio obsługiwany . Aby zapewnić bezpieczeństwo wdrożenia protokołu Kerberos, należy pamiętać o jego aktualizowaniu oraz upewnić się, że wszyscy użytkownicy końcowi używają silnych, unikatowych haseł w połączeniu z uwierzytelnianiem wieloskładnikowym (MFA).