¿Cómo funciona la autenticación Kerberos?

Aunque Kerberos es un sistema back-end, está tan bien integrado que la mayoría de los usuarios o administradores desconocen su existencia.

¿Qué es Kerberos y cómo funciona?

Si utiliza el correo electrónico u otros servicios en línea que requieren inicios de sesión para acceder a los recursos, es probable que se esté autenticando a través del sistema Kerberos.

El mecanismo de autenticación seguro conocido como Kerberos garantiza una comunicación segura entre dispositivos, sistemas y redes. Su objetivo principal es proteger sus datos e información de inicio de sesión de los piratas informáticos.

Kerberos es compatible con todos los sistemas operativos populares, incluidos Microsoft Windows, Apple macOS, FreeBSD y Linux.

Un modelo de seguridad de cinco niveles utilizado por Kerberos incluye autenticación mutua y criptografía de clave simétrica. La verificación de identidad permite a los usuarios autorizados iniciar sesión en un sistema.

Combina una base de datos central y cifrado para confirmar la legitimidad de los usuarios y servicios. El servidor Kerberos primero autentica a un usuario antes de permitirle acceder a un servicio. Luego reciben un ticket que pueden usar para acceder al servicio si se autentican con éxito.

Esencialmente, Kerberos se basa en «tickets» para permitir que los usuarios se comuniquen entre sí de forma segura. El protocolo Kerberos utiliza un Centro de distribución de claves (KDC) para establecer la comunicación entre clientes y servidores.

Cuando se utiliza el protocolo Kerberos, el servidor recibe una solicitud del cliente. Después de eso, el servidor responde con una respuesta que contiene un token. Luego, el cliente envía una solicitud al servidor y el ticket.

Es un método esencial que garantiza la seguridad de los datos transferidos entre sistemas. Fue desarrollado por el Instituto Tecnológico de Massachusetts (MIT) en 1980 para resolver el problema de las conexiones de red inseguras y ahora se incluye en muchos sistemas diferentes.

En este artículo, veremos en detalle los beneficios de Kerberos, sus aplicaciones prácticas, su funcionamiento paso a paso y su seguridad.

Beneficios de la autenticación Kerberos

En un gran entorno informático distribuido, los sistemas informáticos pueden identificarse y comunicarse entre sí de forma segura mediante el protocolo de autenticación de red conocido como Kerberos.

Mediante el uso de criptografía de clave secreta, Kerberos está diseñado para proporcionar una autenticación sólida para las aplicaciones cliente/servidor. Este protocolo sienta las bases para la seguridad de las aplicaciones y el cifrado SSL/TLS se usa con frecuencia en combinación con él.

El protocolo de autenticación Kerberos ampliamente utilizado ofrece varias ventajas que pueden hacerlo más atractivo para las PYMES y las grandes empresas.

Primero, Kerberos es increíblemente confiable; fue probado contra algunos de los ataques más complejos y se descubrió que era inmune a ellos. Además, Kerberos es fácil de configurar, usar e integrar en múltiples sistemas.

Beneficios únicos

• Un sistema de emisión de boletos único utilizado por Kerberos permite una autenticación más rápida.
• Los servicios y los clientes pueden autenticarse entre sí.
• El período de autenticación es particularmente seguro debido a la marca de tiempo limitada.
• Cumple con las exigencias de los sistemas distribuidos modernos
• Reutilizable siempre que la marca de tiempo del ticket siga siendo válida, Authenticity elimina la necesidad de que los usuarios vuelvan a ingresar sus credenciales de inicio de sesión para acceder a otros recursos.
• Múltiples claves secretas, autorización de terceros y criptografía brindan seguridad de primer nivel.

¿Qué tan seguro es Kerberos?

Hemos visto que Kerberos utiliza un proceso de autenticación seguro. Esta sección explorará cómo los atacantes pueden violar la seguridad de Kerberos.

Durante muchos años, se ha utilizado el protocolo seguro de Kerberos: como ejemplo, desde el lanzamiento de Windows 2000, Microsoft Windows ha convertido a Kerberos en el mecanismo de autenticación estándar.

El servicio de autenticación Kerberos utiliza cifrado de clave secreta, criptografía y autenticación de terceros de confianza para proteger con éxito los datos confidenciales en tránsito.

Para aumentar la seguridad, Kerberos 5, la versión más reciente, utiliza el estándar de cifrado avanzado (AES) para proporcionar comunicaciones más seguras y evitar la intrusión de datos.

El gobierno de EE. UU. adoptó AES porque es particularmente efectivo para proteger su información secreta.

Sin embargo, se argumenta que ninguna plataforma es completamente segura y Kerberos no es una excepción. Si bien Kerberos es el más seguro, las organizaciones necesitan verificar constantemente su superficie de ataque para protegerse contra los piratas informáticos.

Debido a su uso generalizado, los piratas informáticos se esfuerzan por descubrir fallas de seguridad en la infraestructura.

Aquí hay algunos ataques típicos que pueden ocurrir:

• Ataque del billete dorado: Este es el asalto más dañino. En este asalto, los atacantes secuestran el servicio de distribución de claves de un usuario auténtico mediante vales de Kerberos. Se dirige principalmente a entornos de Windows con Active Directory (AD) utilizado para privilegios de control de acceso.
• Ataque de billete de plata: Un ticket de autenticación de servicio falso se denomina ticket plateado. Un hacker puede producir un Boleto de plata al descifrar la contraseña de una cuenta de computadora y usarla para construir un boleto de autenticación falso.
• Pase el billete: Al generar un TGT falso, el atacante construye una clave de sesión falsa y la presenta como un identificador legítimo.
• Pase el ataque hash: Esta táctica implica obtener el hash de la contraseña NTLM de un usuario y luego pasar el hash para la autenticación NTLM.
• Tostado Kerber: El ataque tiene como objetivo recopilar hash de contraseñas para cuentas de usuario de Active Directory con valores servicePrincipalName (SPN), como cuentas de servicio, abusando del protocolo Kerberos.

Mitigación de riesgos de Kerberos

Las siguientes mitigaciones ayudarían a prevenir los ataques de Kerberos:

• Adoptar software moderno que monitorea la red las 24 horas del día e identifica vulnerabilidades en tiempo real.
• Privilegios mínimos: Establece que solo esos usuarios, cuentas y procesos de TI deben tener los permisos de acceso necesarios para hacer su trabajo. Al hacer esto, se detendrá el acceso no autorizado a los servidores, principalmente al servidor KDC y otros controladores de dominio.
• Superar vulnerabilidades de softwareincluidas las vulnerabilidades de día cero.
• Ejecute el modo protegido del Servicio de subsistema de autoridad de seguridad local (LSASS): LSASS aloja varios complementos, incluida la autenticación NTLM y Kerberos, y es responsable de proporcionar a los usuarios servicios de inicio de sesión único.
• Autenticación fuerte: Estándares para la creación de contraseñas. Contraseñas seguras para cuentas administrativas, locales y de servicio.
• Ataques DOS (Denegación de Servicio): al sobrecargar el KDC con solicitudes de autenticación, un atacante puede lanzar un ataque de denegación de servicio (DoS). Para evitar ataques y equilibrar la carga, el KDC se debe colocar detrás de un firewall y se debe implementar un KDC redundante adicional.

¿Cuáles son los pasos en el flujo del protocolo Kerberos?

La arquitectura de Kerberos consta principalmente de cuatro elementos esenciales que impulsan todas las operaciones de Kerberos:

• Servidor de autenticación (AS): El proceso de autenticación de Kerberos comienza con el servidor de autenticación. El cliente primero debe iniciar sesión en el AS con un nombre de usuario y una contraseña para establecer su identidad. Cuando esto se completa, el AS envía el nombre de usuario al KDC, que luego emite un TGT.
• Centro de distribución de claves (KDC): Su trabajo es actuar como enlace entre el servidor de autenticación (AS) y el servicio de otorgamiento de boletos (TGS), retransmitiendo mensajes desde el AS y emitiendo TGT, que luego se pasan al TGS para el cifrado.
• Entrada Otorgamiento de Entradas (TGT): TGT está encriptado y contiene información sobre los servicios a los que el cliente está autorizado a acceder, la duración de este acceso autorizado y una clave de sesión para la comunicación.
• Servicio de Otorgamiento de Billetes (TGS): La TGS es una barrera entre los clientes propietarios de TGT y los distintos servicios de la red. Luego, el TGS establece una clave de sesión después de autenticar el TGT compartido por el servidor y el cliente.

Aquí está el flujo paso a paso de la autenticación Kerberos:

• usuario en línea
• Un cliente pregunta al servidor quién otorga los boletos.
• Un servidor verifica el nombre de usuario.
• Devolver el ticket del cliente después de la concesión.
• Un cliente obtiene la clave de sesión de TGS.
• Un cliente solicita al servidor acceso a un servicio.
• Un servidor comprueba el servicio.
• Clave de sesión TGS obtenida por el servidor.
• Un servidor crea una clave de sesión de servicio.
• Un cliente recibe la clave de sesión de servicio.
• Un cliente se pone en contacto con el servicio.
• El servicio descifra.
• El servicio verifica la solicitud.
• El servicio se autentica ante el cliente.
• Un cliente confirma el servicio.
• Un cliente y un servicio interactúan.

¿Cuáles son las aplicaciones reales que utilizan Kerberos?

En un lugar de trabajo moderno conectado y basado en Internet, Kerberos es mucho más valioso porque es excelente para el inicio de sesión único (SSO).

Microsoft Windows utiliza actualmente la autenticación Kerberos como método de autorización estándar. Kerberos también es compatible con Apple OS, FreeBSD, UNIX y Linux.

cryptoshitcompra.com/wp-content/uploads/2022/10/1665561633_562_¿Como-funciona-la-autenticacion-Kerberos.png«/>

Además, se ha convertido en un estándar para sitios web y aplicaciones de inicio de sesión único en todas las plataformas. Kerberos ha mejorado la seguridad de Internet y de sus usuarios, al tiempo que les permite realizar más tareas en línea y en la oficina sin poner en riesgo su seguridad.

Los sistemas operativos y el software populares ya incluyen Kerberos, que se ha convertido en una parte esencial de la infraestructura de TI. Esta es la tecnología de autorización estándar de Microsoft Windows.

Utiliza criptografía sólida y autorización de tickets de terceros para dificultar que los piratas informáticos obtengan acceso a una red corporativa. Las organizaciones pueden usar Internet con Kerberos sin temor a comprometer su seguridad.

La aplicación Kerberos más conocida es Microsoft Active Directory, que controla dominios y realiza la autenticación de usuarios como un servicio de directorio estándar incluido en Windows 2000 y versiones posteriores.

Apple, la NASA, Google, el Departamento de Defensa de EE. UU. e instituciones de todo el país se encuentran entre los usuarios más destacados.

A continuación se muestran algunos ejemplos de sistemas con soporte Kerberos integrado o accesible:

• Servicios web de Amazon
• Nube de Google
• Hewlett Packard Unix
• Marco interactivo avanzado de IBM
• microsoft azure
• Microsoft Windows Server y AD
• oracle solaris
• OpenBSD

Recursos adicionales

Conclusión

El método de autenticación más utilizado para proteger las conexiones cliente-servidor es Kerberos. Kerberos es un mecanismo de autenticación de clave simétrica que proporciona integridad de datos, privacidad y autenticación mutua de usuarios.

Es la base de Microsoft Active Directory y se ha convertido en uno de los protocolos que los atacantes de todo tipo buscan explotar.

A continuación, puede consultar las herramientas para monitorear el estado de Active Directory.