O crime cibernético é um fato infeliz da vida nos dias de hoje, independentemente de estarmos falando de consumidores privados ou do mundo dos negócios em geral. Nenhuma empresa ou organização está segura e o problema não vai melhorar tão cedo. Os especialistas preveem que os danos do cibercrime custarão ao mundo US $ 6,1 trilhões até 2021 . Como se isso não bastasse, Forbes prevê que um número crescente de cibercriminosos usará Inteligência Artificial (IA) para escalar seus ataques.
Essas previsões, e tantas outras, apontam para a dura realidade de que o crime cibernético veio para ficar e o problema só vai piorar. Consequentemente, o mundo digital está ansioso para encontrar e empregar novas estratégias para fortalecer segurança cibernética.
Hoje, estamos olhando para os protocolos de autenticação-Kerberos, para ser exato. Vamos abrir a cortina e nos familiarizar com este protocolo de rede eficaz, incluindo o que é autenticação Kerberos, o que é protocolo Kerberos e o que o Kerberos faz.
Vamos começar com o básico, entendendo o que é Kerberos e como ele funciona.
Obtenha habilidade em segurança cibernética e vença os hackers em seu próprio jogo com o alvo Curso de Treinamento de Hacker Ético Certificado ! Inscreva-se agora!
Curso GRATUITO: Introdução à segurança cibernética
Aprenda e domine os conceitos básicos de segurança cibernética Inscreva-se agora
O que é Kerberos? E como isso funciona?
Kerberos é um protocolo de segurança de rede de computador que autentica solicitações de serviço entre dois ou mais hosts confiáveis em uma rede não confiável, como a Internet. Ele usa criptografia de chave secreta e um terceiro confiável para autenticar aplicativos cliente-servidor e verificar as identidades dos usuários.
Inicialmente desenvolvido pelo Massachusetts Institute of Technology (MIT) para o Project Athena no final dos anos 80, o Kerberos é agora a tecnologia de autorização padrão usada pelo Microsoft Windows. Implementações Kerberos também existem para outros sistemas operacionais, como Apple OS, FreeBSD, UNIX e Linux .
A Microsoft lançou sua versão do Kerberos no Windows 2000 e ele se tornou o protocolo padrão para sites e implementações de logon único em diferentes plataformas. O Kerberos Consortium mantém o Kerberos como um projeto de código aberto.
O nome do protocolo deriva do lendário cão de três cabeças Kerberos (também conhecido como Cerberus) dos mitos gregos, o guardião canino da entrada para o submundo. Kerberos tinha uma cauda de cobra e um temperamento particularmente ruim e, apesar de uma exceção notável, era um guardião muito útil.
Mas no caso do protocolo, as três cabeças do Kerberos representam o cliente, o servidor e o Key Distribution Center (KDC). Este último funciona como o serviço de autenticação de terceiros confiável.
Usuários, máquinas e serviços que usam Kerberos dependem apenas do KDC, que funciona como um único processo que fornece duas funções: autenticação e concessão de tíquetes. Os”tíquetes”do KDC oferecem autenticação para todas as partes, permitindo que os nós verifiquem sua identidade com segurança. O processo de autenticação Kerberos emprega uma criptografia secreta compartilhada convencional que evita que os pacotes que trafegam pela rede sejam lidos ou alterados, bem como protege as mensagens de ataques de interceptação e reprodução (ou reprodução).
Agora que aprendemos o que é Kerberos, vamos entender para que serve o Kerberos.
Programa de mestrado especialista em segurança cibernética
Domine as habilidades de um profissional de segurança cibernética Ver Curso
Para que é usado o Kerberos?
Embora o Kerberos seja encontrado em todo o mundo digital, ele é amplamente empregado em sistemas seguros que dependem de recursos confiáveis de auditoria e autenticação. Kerberos é usado na autenticação Posix e Active Directory, NFS e Samba. É também um sistema de autenticação alternativo para SSH, POP e SMTP.
Como parte do fluxo de aprendizagem do que é Kerberos, vamos aprender a seguir sobre o fluxo do protocolo Kerberos.
Visão geral do fluxo do protocolo Kerberos
Vamos dar uma olhada mais detalhada no que é a autenticação Kerberos e como ela funciona, dividindo-a em seus componentes principais.
Aqui estão as principais entidades envolvidas no fluxo de trabalho típico do Kerberos:
- Cliente. O cliente atua em nome do usuário e inicia a comunicação para uma solicitação de serviço
- Servidor. O servidor hospeda o serviço que o usuário deseja acessar
- Servidor de autenticação (AS). O AS executa a autenticação de cliente desejada. Se a autenticação ocorrer com sucesso, o AS emite para o cliente um tíquete denominado TGT (Ticket Granting Ticket). Este tíquete garante aos outros servidores que o cliente está autenticado
- Centro de distribuição de chaves (KDC). Em um ambiente Kerberos, o servidor de autenticação separado logicamente em três partes: um banco de dados (db), o servidor de autenticação (AS) e o servidor de concessão de tíquetes ( TGS). Essas três partes, por sua vez, existem em um único servidor chamado Centro de distribuição de chaves
- Servidor de concessão de tíquetes (TGS). O TGS é um servidor de aplicativos que emite tíquetes de serviço como um serviço
Agora vamos analisar o fluxo do protocolo.
Primeiro, existem três chaves secretas cruciais envolvidas no fluxo do Kerberos. Existem chaves secretas exclusivas para o cliente/usuário, o TGS e o servidor compartilhado com o AS.
- Cliente/usuário. Hash derivado da senha do usuário
- Chave secreta TGS. Hash da senha empregada na determinação do TGS
- Chave secreta do servidor. Hash da senha usada para determinar o servidor que fornece o serviço.
O fluxo do protocolo consiste nas seguintes etapas:
Etapa 1: Solicitação inicial de autenticação do cliente. O usuário solicita um Ticket Granting Ticket (TGT) do servidor de autenticação (AS). Essa solicitação inclui o ID do cliente.
Etapa 2: KDC verifica as credenciais do cliente. O AS verifica o banco de dados para o cliente e a disponibilidade do TGS. Se o AS encontrar os dois valores, ele gerará uma chave secreta de cliente/usuário, empregando o hash de senha do usuário.
O AS então calcula a chave secreta TGS e cria uma chave de sessão (SK1) criptografada pela chave secreta cliente/usuário. O AS então gera um TGT contendo o ID do cliente, endereço de rede do cliente, carimbo de data/hora, tempo de vida e SK1. A chave secreta TGS então criptografa o tíquete.
Etapa 3: O cliente descriptografa a mensagem. O cliente usa a chave secreta do cliente/usuário para descriptografar a mensagem e extrair o SK1 e o TGT, gerando o autenticador que valida o TGS do cliente.
Etapa 4: o cliente usa o TGT para solicitar acesso. O cliente solicita um tíquete do servidor que oferece o serviço, enviando o TGT extraído e o autenticador criado para o TGS.
Etapa 5: O KDC cria um tíquete para o servidor de arquivos. O TGS então usa a chave secreta do TGS para descriptografar o TGT recebido do cliente e extrair o SK1. O TGS descriptografa o autenticador e verifica se ele corresponde ao ID do cliente e ao endereço de rede do cliente. O TGS também usa o carimbo de data/hora extraído para garantir que o TGT não tenha expirado.
Se o processo conduzir todas as verificações com sucesso, o KDC gerará uma chave de sessão de serviço (SK2) que é compartilhada entre o cliente e o servidor de destino.
Finalmente, o KDC cria um tíquete de serviço que inclui a id do cliente, endereço de rede do cliente, carimbo de data/hora e SK2. Esse tíquete é então criptografado com a chave secreta do servidor obtida do banco de dados. O cliente recebe uma mensagem contendo o tíquete de serviço e o SK2, todos criptografados com SK1.
Etapa 6: o cliente usa o tíquete de arquivo para autenticar. O cliente descriptografa a mensagem usando SK1 e extrai SK2. Esse processo gera um novo autenticador contendo o endereço de rede do cliente, ID do cliente e carimbo de data/hora, criptografado com SK2, e o envia junto com o tíquete de serviço para o servidor de destino.
Etapa 7: O servidor de destino recebe a descriptografia e autenticação. O servidor de destino usa a chave secreta do servidor para descriptografar o tíquete de serviço e extrair o SK2. O servidor usa SK2 para descriptografar o autenticador, realizando verificações para garantir que o ID do cliente e o endereço de rede do cliente do autenticador e do tíquete de serviço sejam correspondentes. O servidor também verifica o tíquete de serviço para ver se ele expirou.
Assim que as verificações forem cumpridas, o servidor de destino enviará ao cliente uma mensagem, verificando se o cliente e o servidor se autenticaram. O usuário agora pode se envolver em uma sessão segura.
Depois de aprender o que é Kerberos, vamos examinar o tópico se Kerberos é infalível.
O Kerberos é infalível?
Nenhuma medida de segurança é 100% inexpugnável e o Kerberos não é exceção. Como já existe há muito tempo, os hackers tiveram a oportunidade ao longo dos anos de encontrar maneiras de contornar isso, geralmente forjando tíquetes, fazendo tentativas repetidas de adivinhar senhas (força bruta/enchimento de credenciais) e usando malware para diminuir a criptografia.
Apesar disso, o Keberos ainda é o melhor protocolo de acesso de segurança disponível hoje. O protocolo é flexível o suficiente para empregar algoritmos de criptografia mais robustos para ajudar a combater novas ameaças, e se os usuários praticarem boas políticas de escolha de senha, você deve ficar bem!
Deseja acelerar sua carreira em segurança cibernética? Tente responder a estes Teste Prático de Preparação para Exame CISSP e conheça sua compreensão dos conceitos.
Deseja aprender mais sobre segurança cibernética?
O campo da segurança cibernética é vasto e diversificado, cobrindo muitos tópicos, assuntos e procedimentos diferentes. Se você está procurando maneiras eficazes de melhorar seu conhecimento sobre segurança cibernética, considere algumas das seguintes opções.
Há uma demanda constante por hackers éticos certificados para ajudar a testar sistemas e detectar vulnerabilidades. Confira o curso de Ethical Hacking do Simplilearn e comece a carreira de um branco hacker de chapéu. Ou talvez você queira mais conhecimento sobre tópicos relevantes de IS, como CompTIA Security + ou COBIT 2019.
Talvez você queira explorar diferentes cursos de treinamento em segurança da informação, como Gerente certificado de segurança da informação , Certified Cloud Security Professional ou Auditor certificado de sistemas de informação .
Finalmente, você pode atirar para o prestigioso Cyber Security Expert Master’s Programa , que cobre muitos dos tópicos acima em um plano conveniente.
Curso GRATUITO: Introdução à segurança cibernética
Aprenda e domine os conceitos básicos de segurança cibernética Comece a aprender
Você deseja uma carreira em segurança cibernética?
Se você está procurando uma carreira que seja desafiadora, recompensadora e que ofereça excelente segurança no trabalho, uma posição na área de segurança da informação é para você! O curso de treinamento da Certified Information Systems Security Professional (CISSP) da Simplilearn ajuda você a perceber seu sonho, desenvolvendo sua experiência na definição da arquitetura de segurança de TI usando padrões de segurança da informação aprovados globalmente. O curso abrangente ensina técnicas comuns usadas na indústria e prepara você para o exame de certificação CISSP realizado pelo (ISC) ².
Você recebe 67 horas de aprendizado aprofundado, cinco papéis de teste de simulação para ajudar a se preparar para a certificação CISSP, os 30 CPEs necessários para fazer o exame e um voucher para o exame em si.
Não demore! Comece hoje e deixe o Simplilearn ajudá-lo a atingir seus objetivos de segurança cibernética!
