Differences

This shows you the differences between two versions of the page.

--- kerberos [2023/11/27 12:59] – zrinka
+++ kerberos [2025/12/01 11:40] (current) – external edit 127.0.0.1
@@ Line 11: / Line 11: @@
-Autentifikacija se se odvija u sljedećim koracima:
+Autentifikacija se odvija u sljedećim koracima:
   - Korisnik započinje proces autentifikacije tako da pošalje zahtjev autentifikacijskom poslužitelju
@@ Line 27: / Line 27: @@
     - Karticu za servis (iz dijela 5b)
     - Korisnički identifikator - šifriran ključem iz dijela 5a
-  - Servis dešifrira "karticu za servis" pomoću svog tajnog ključa i tako dobije ključ kojim može dešifrirati poruku "6b".  Uspoređuje korisničke identifikatore i vremenske oznake iz poruka 6a i 6b. Ako je sve u redu, korisnik je autentificiran
+  - Servis dešifrira "karticu za servis" uz pomoć svog tajnog ključa i tako dobije ključ kojim može dešifrirati poruku "6b".  Uspoređuje korisničke identifikatore i vremenske oznake iz poruka 6a i 6b. Ako je sve u redu, korisnik je autentificiran
@@ Line 33: / Line 33: @@
 Uloga kartice slična je ulozi akreditacije na poslovnim događajima. Da bismo dobili akreditaciju, moramo pokazati osobnu iskaznicu. Nakon toga za potrebe identificiranja pokazujemo samo akreditaciju, a osobnu iskaznicu više ne vadimo. Ako izgubimo akreditaciju, jednostavno zatražimo novu tako što opet pokažemo osobnu iskaznicu nadležnoj osobi. Analogno, korisnik jednom upiše lozinku i dobije karticu te nakon toga više nema potrebe za upisivanjem lozinke, već se autentifikacija radi preko kartice. Isto tako, korisnik može u bilo kojem trenutku tražiti novu karticu.  Naravno, kad je u pitanju internetska sigurnost, potrebne su dodatne mjere, stoga se uvodi ograničeno vrijeme trajanje kartice (8 do 10 sati) i još se za dodatnu autentifikaciju koristi ključ sesije koji je jednokratan.
+==== Napadi na Kerberos ====
+== AS-REProasting ==
+Napadač može započeti zahtjev za autentifikacijom kao neki korisnik i kao odgovor će dobiti poruku šifriranu tajnim ključem odnosno lozinkom korisnika (poruka 2a).
+Uz pomoć te poruke, napadač može na svom računalu automatizirano pokušati pogoditi lozinku korisnika, kada se poruka ispravno dešifrira znat će da je pogodio lozinku.
+Budući da se napad odvija lokalno, na napadačevom računalu, napad je višestruko brži od "online" pogađanja lozinki te sustav ne može primijeniti nikakva ograničenja (npr. da zaključa pristup korisničkom računu nakon 10 neuspjelih
+pokušaja).
+Kako bi izbjegli ovakav napad, neke implementacije Kerberosa (npr. Windows Active Directory implementacija) su nadogradile protokol tzv. "predautentifikacijom" - incijalni zahtjev za autentifikacijom mora također biti šifriran
+tajnim ključem korisnika. Ako je ova mjera implementirana, napadač ne može dobiti poruke šifrirane tajnim ključem korisnika, osim ako je u poziciji gdje može presretati autentifikacijski promet legitimnog korisnika.
+== Kerberoasting ==
+Pri Kerberos autentifikaciji na neki servis, korisnik prima "karticu za servis" (korak 5b) koja je šifrirana tajnim ključem servisa. Taj tajni ključ je uglavnom dugi, nasumično generirani ključ, koji se uz to i periodički mijenja. Međutim,
+ponekad se radi o kratkoj lozinci koju je postavio čovjek. Napadač može započeti autentifikaciju na neki servis, dobiti "karticu za servis" i onda na svom računalu pokušati pogoditi tajni ključ servisa.
+Ako uspije, može lažirati kartice za servis tako da se servisu može predstaviti kao bilo koji korisnik.
+Općenito, trebalo bi izbjegavati to da ljudi postavljaju tajne ključeve servisa, ali ako je to potrebno oni bi trebali biti dugački i nasumično generirani.