O que é autenticação Kerberos? Uma visão geral completa

A autenticação Kerberos é um protocolo de rede que protege o acesso do usuário a serviços/aplicativos usando criptografia de chave secreta nas comunicações cliente-servidor.

O protocolo de autenticação de rede Kerberos ajuda a impedir que hackers interceptem senhas em redes não seguras.

História do Kerberos

O serviço de autenticação foi desenvolvido pelo Instituto de Tecnologia de Massachusetts (MIT) em 1989 para fornecer segurança de rede ao Projeto Athena do MIT.

O nome Kerberos tem suas origens na mitologia grega, em homenagem a Cérbero, o cão de três cabeças que guarda o submundo. O Kerberos é visto para proteger serviços/aplicativos contra acesso não autorizado; suas três "cabeças" são o Cliente, o Servidor e o Centro de Distribuição de Chaves (KDC).

Termos principais do Kerberos

Para entender como a autenticação Kerberos funciona na segurança de rede, é importante estar ciente dos principais termos associados à tecnologia Kerberos.

Reino Kerberos

O domínio no qual o Kerberos pode autorizar a autenticação do usuário para serviços ou aplicativos específicos. A região à qual uma entidade principal pertence é identificada pelo sistema de nomes de domínio (DNS) da região.

Servidor de aplicativos

Qualquer sistema em um realm Kerberos que exija autenticação de cliente para acessar seus recursos.

Princípios

Os nós que se comunicam dentro do domínio Kerberos, distinguidos por identificadores exclusivos.

Existem dois tipos de Principais:

• Nome da Entidade de Serviço (SPN): os identificadores exclusivos usados por um serviço específico em um realm específico.
• Nome UPN (Nome Principal do Usuário): os identificadores exclusivos usados por um usuário específico em um realm específico.

Centro de Distribuição de Chaves (KDC)

Um terceiro confiável que verifica as identidades de usuário localizadas em um controlador de domínio (DC), como o domínio do Active Directory.

O KDC inclui dois servidores:

• Servidor de Autenticação (AS): Confirma se a solicitação de acesso que o usuário está fazendo é de um serviço conhecido e emite TGTs (Tíquetes de Concessão de Tíquetes).
• TGS (Serviço de Concessão de Tíquetes): Confirma que a solicitação de acesso que o usuário está fazendo é de um serviço conhecido e emite tíquetes de serviço.

Cliente

Refere-se ao usuário ou ao serviço que o usuário deseja acessar. Muitas vezes, há vários clientes dentro de um reino.

Bilhete de Concessão de Bilhete (TGT)

Contém a maioria das informações que precisam passar entre o AS e o TGS, como ID do cliente, ID do serviço, nome do host, endereço IP, chaves de sessão, carimbos de data/hora, vida útil (TTL). Os TGTs são criptografados usando a chave secreta de um servidor.

Bilhete de Serviço (ST)

Fornece aos Usuários acesso ao serviço solicitado.

Mensagem do autenticador

Contém o ID do usuário e um carimbo de data/hora.

Como funciona o processo de autenticação Kerberos

O processo de autenticação Kerberos consiste em oito etapas, em três estágios diferentes:

Estágio 1: Autenticação do cliente

1. A conta de usuário envia uma mensagem de texto simples para o Servidor de Autenticação (AS), por exemplo, uma solicitação para acessar um serviço específico, incluindo o ID do usuário.
2. O AS confirma se a solicitação é ou não proveniente de um usuário autorizado, verificando o ID do usuário no banco de dados.

Se o ID de usuário pertencer a um usuário autorizado, o AS recuperará a senha do usuário do banco de dados e a usará como uma chave para descriptografar a solicitação.

3. A senha do usuário é compartilhada entre o AS e o Usuário.
4. O AS verifica o cliente e responde com um TGT (Ticket Granting Ticket), que é criptografado com uma chave secreta diferente.

Etapa 2: Autorização de atendimento ao cliente

5. O Usuário recebe e descriptografa o TGT antes de enviá-lo ao TGS.
6. O TGS recebe e descriptografa o TGT, executa a validação e gera um tíquete de serviço.

Etapa 3: Solicitação de atendimento ao cliente

7. O usuário recebe e descriptografa o tíquete de serviço (ST), cria uma mensagem do autenticador e envia os dois tíquetes para o serviço.
8. O Serviço executa a descriptografia e a validação no ST e na Mensagem do Autenticador, cria uma nova Mensagem do Autenticador e envia essa mensagem final ao Usuário para habilitar o acesso.

Esse processo de autenticação do cliente permite a autenticação mútua entre o Usuário e o Serviço.

As senhas nunca são compartilhadas na rede não criptografada com o Kerberos.

Usos do Kerberos

As implementações Kerberos são usadas em vários sistemas operacionais e sistemas de rede para verificar contas de usuário.

Os exemplos incluem:

• Serviços da Amazon Web (AWS)
• Google Cloud
• Microsoft Azure
• Microsoft Windows Server e Active Directory
• Apple macOS
• Executivo interativo avançado IBM
• Oracle Solaris
• Linux
• UNIX
• FreeBSD
• OpenBSD

Benefícios do Kerberos

O Kerberos oferece muitos benefícios aos usuários, como:

• Single Sign-On (SSO): o serviço Kerberos habilita o SSO, um método de autenticação que permite que os usuários acessem todos os serviços autorizados por meio de um login.
• Segurança cibernética: o uso de criptografia forte, criptografia e autorização confiável de terceiros pelo Kerberos ajuda a fortalecer a segurança dos dados para evitar ataques cibernéticos.
• Autenticação mútua: O protocolo Kerberos permite que o Usuário e o Serviço se autentiquem, garantindo que cada parte seja genuína.
• Controle de acesso: o Kerberos facilita o controle de acesso executando autenticação para ajudar a garantir que as políticas de segurança sejam atendidas antes de conceder permissões de acesso.

Que outros protocolos de autenticação de rede existem?

Gerenciador de LAN de Nova Tecnologia da Microsoft (NTLM)

O NTLM é um conjunto de protocolos de segurança agora obsoleto, lançado pela Microsoft para fornecer contas de usuário com autenticação, integridade e confidencialidade. A simplicidade das senhas NTLM o torna um alvo fácil de ataque de força bruta. As organizações devem evitar usá-lo ou desativá-lo imediatamente se estiver em uso.

Protocolo de acesso ao diretório leve (LDAP)

O LDAP é um protocolo de aplicativo que permite que os aplicativos acessem e autentiquem informações específicas do usuário em serviços de diretório, como Active Directory e OpenLDAP.

O protocolo é comumente usado para autorizar o acesso da conta do usuário a serviços em uma rede. Como o LDAP é usado para autorização e o Kerberos é usado para autenticação, os dois são comumente usados em conjunto.

Linguagem de marcação de asserção de segurança (SAML)

O SAML é um padrão aberto que permite que os usuários acessem vários aplicativos ou serviços da Web usando as mesmas credenciais de login por meio da federação de identidades.

O SAML depende de duas partes: um provedor de identidade (IDP) e um provedor de serviços (SP).

O IDP fornece informações de autenticação sobre o usuário para o SP. O SP usa essas informações para fornecer autorização ao usuário.

O emparelhamento de autenticação com autorização permite que o usuário acesse os serviços do SP.

OAuth

O OAuth é um padrão aberto que permite aos usuários autorizar diretamente o compartilhamento de suas credenciais entre serviços e o nível de acesso que concedem ao serviço.

O protocolo funciona bem em dispositivos móveis, permitindo que os usuários selecionem individualmente quais permissões permitem a um serviço.

RAIO

O RADIUS é um protocolo de autenticação, autorização e contabilidade (AAA) usado para gerenciar o acesso do usuário aos serviços de rede.

O RADIUS pode ser usado com o Kerberos para fornecer autenticação adicional.

O Kerberos é seguro?

Por várias décadas, o protocolo de segurança de rede de computadores Kerberos foi amplamente adotado e considerado um mecanismo de autenticação seguro.

Por exemplo, Kerberos tem sido o método de autenticação padrão do Microsoft Windows desde o lançamento do Windows 2000.

O serviço de autenticação Kerberos protege efetivamente os dados confidenciais em trânsito por meio do uso de criptografia de chave secreta, criptografia e autenticação confiável de terceiros.

Sua versão mais recente, Kerberos 5, usa criptografia AES (Advanced Encryption Standard) para proteger as comunicações e ajudar a evitar violações de dados.

A criptografia AES é tão eficaz que o governo dos EUA a usa para proteger suas informações confidenciais.

No entanto, Kerberos tem suas falhas. As organizações devem monitorar continuamente sua superfície de ataque para garantir que suas implementações Kerberos não corram o risco de serem comprometidas por hackers.

Apesar de sua reputação como um método de autenticação poderoso, a implementação generalizada do protocolo Kerberos e a presença de longa data o tornam um vetor de ataque comum para cibercriminosos.

Como mitigar os riscos cibernéticos do Kerberos

Abaixo estão algumas maneiras pelas quais as organizações podem mitigar os riscos cibernéticos que surgem das implementações do Kerberos.

Use criptografia segura

Certos pacotes de criptografia, como RC4-HMAC, são inseguros e devem ser desativados imediatamente para evitar espionagem de rede. As organizações devem optar pelo suporte AES, que é considerado o padrão ouro para segurança de dados.

Corrigir vulnerabilidades de software

Os cibercriminosos exploram rapidamente os pontos fracos do software, como vulnerabilidades de dia zero, para injetar malware, causar violações de dados e realizar outros ataques cibernéticos.

As organizações podem se informar sobre as vulnerabilidades existentes do Kerberos por meio da lista Common Vulnerabilities and Exposures (CVE), disponível aqui.

As equipes de segurança também podem investir em uma plataforma de gerenciamento de superfície de ataque para identificar automaticamente vulnerabilidades em tempo real e corrigi-las antes que dados confidenciais sejam comprometidos.

Fortaleça as senhas

Senhas inseguras, como datas de nascimento, nomes, etc., são uma das principais causas de violações de dados. O MIT oferece conselhos de senha para usuários do Kerberos, incluindo requisitos de comprimento de caracteres, tipo e maiúsculas e minúsculas, disponíveis aqui.

Adote o princípio do privilégio mínimo

Violações de dados e outros incidentes graves de segurança não ocorrem apenas nas mãos de cibercriminosos externos. As ameaças internas (um tipo de ameaça cibernética) estão se tornando cada vez mais comuns, o que significa que as organizações também devem olhar para dentro ao desenvolver uma política de segurança da informação.

Para minimizar o risco de ameaças internas, as organizações devem adotar o princípio do menor privilégio. Esse conceito é um mecanismo de segurança interno eficaz que limita os direitos de acesso para usuários, contas e processos de computação apenas aos necessários para executar o trabalho. Ele também fornece aos administradores uma visibilidade mais clara sobre quem está acessando o quê.