Hacknite Wiki

User Tools

Site Tools

Trace: race_condition malware_tehnike ddrescue pfs xxd tea kerberos
kerberos

This is an old revision of the document!

Kerberos

Kerberos je mrežni autentifikacijski protokol čija je svrha međusobna autentifikacija klijenata i poslužitelja u svrhu uspostave sigurne komunikacije. Stvara se zaseban servis za autentifikaciju pa ostali servisi ne moraju održavati vlastitu bazu podataka o svim korisnicima. Kako bi ovakav pristup radio, svi klijenti i poslužitelji moraju posjedovati zajednički tajni ključ registriran kod autentifikacijskog poslužitelja. Ključevi su dugotrajni, odnosno traju tjednima ili čak mjesecima. Kerberos u pravilu koristi UDP port 88 i oslanja se na simetričnu kriptografiju ključa.

Osnovne komponente Kerberosa su:

  • Principal - korisnik ili servis koji treba autentificirati
  • Centar za distribuciju ključeva (Key Distribution Center, KDC) - centralni autentifikacijski poslužitelj u Kerberos okruženju, sadrži:
    • Autentifikacijski poslužitelj (Authentication Server, AS) - obavlja inicijalnu autentifikaciju te izdaje inicijalnu karticu (ticket)
    • Distributer kartica (Ticket Granting Service (TGS) - upravlja zahtjevima za kartice * Domena (Realm) - Kerberosova administrativna domena, definira doseg autentifikacije (npr. Domena.com) * Baza podataka - AS verificira pristupne dozvole svih korisnika u bazi Autentifikacija se se odvija u sljedećim koracima: - Korisnik šalje upit o autentifikaciji AS-u i zahtijeva TGT - AS generira se novi tajni ključ kojeg će dijeliti samo korisnik i servis te šalje korisniku dvodijelnu poruku. * Prvi dio sadrži novi ključ (ključ sesije, session key) kriptiran trajnim ključem korisnika, a drugi taj isti novi ključ i ime korisnika koji su kriptirani trajnim ključem servisa * Prvi dio su vjerodajnice (eng. credentials), a drugi kartica (ticket) * U ovom trenutku samo korisnik ima ključ sesije. - Korisnik generira novu poruku (autentifikator) i kriptira ju ključem sesije. Poruka i kartica se zatim šalju servisu. Servis dekriptira karticu dugotrajnim ključem i time dolazi do ključa sesije koji se zatim koristi za dekripciju autentifikatora. Servis vjeruje AS-u, tako da zna da je samo legitiman korisnik mogao poslati poruku. Ovime je proces autentifikacije završen. Shema kerberos komunikacije Uloga kartice slična je ulozi akreditacije na poslovnim događajima. Da bismo dobili akreditaciju, moramo pokazati osobnu iskaznicu. Nakon toga za potrebe identificiranja pokazujemo samo akreditaciju, a osobnu iskaznicu više ne vadimo. Ako izgubimo akreditaciju, jednostavno zatražimo novu tako što opet pokažemo osobnu iskaznicu nadležnoj osobi. Analogno, korisnik jednom upiše lozinku i dobije karticu te nakon toga više nema potrebe za upisivanjem lozinke, već se autentifikacija radi preko kartice. Isto tako, korisnik može u bilo kojem trenutku tražiti novu karticu. Naravno, kad je u pitanju internetska sigurnost, potrebne su dodatne mjere, stoga se uvodi ograničeno vrijeme trajanje kartice (8 do 10 sati) i još se za dodatnu autentifikaciju koristi ključ sesije koji je jednokratan. Kerberos je podložan određenim napadima, kao na primjer krađi kartica ili napadima s poznatim jasnim tekstom. Rizik od krađe kartica smanjuje se već spomenutim ograničenim rokom trajanja. Sigurnosti doprinose i dovoljno jake lozinke korisnika jer uvijek postoji opasnost od napada grubom silom (brute force). Također, postoje razna proširenja Kerberosa, kao npr. PKINIT (Kerberos with Public Key cryptography for INITial authentication) koja poboljšavaju sigurnost. Svejedno, Kerberos se smatra jednim od najpouzdanijih sigurnosnih protokola i u širokoj je primjeni. ===Izvori=== [1] https://web.mit.edu/kerberos/
      [2] https://wpollock.com/AUnixSec/MoronsGuideToKerberos.htm
      [3] https://dl.packetstormsecurity.net/papers/general/kerberoasting.pdf
kerberos.1701083953.txt.gz · Last modified: 2025/12/01 11:40 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki