深入浅出Kerberos认证:从校园信任到网络安全协议

本文通过生动的校园比喻详细解释了Kerberos认证协议的工作原理,涵盖其在Windows Active Directory中的应用、安全优势以及常见攻击方式,帮助IT专业人员深入理解这一重要网络安全协议。

什么是学童间的信任:Kerberos认证详解

Logan Lembke // Kerberos认证可能令人望而生畏,但它是任何IT专业人员都需要理解的重要协议,在信息安全领域尤其重要。 虽然您可能不常听到Kerberos,但您很可能听说过其最大的实现:Windows Active Directory。自Windows 2000以来,Kerberos一直是域内用户的默认网络认证协议。在实践中,Kerberos允许网络认证在不将用户密码或密码哈希值放到网络上的情况下进行。这样做可以保护用户免受各种可能捕获用户凭据的窃听攻击。

守护地狱的三头犬

选择最可怕的吉祥物是有原因的 关于Kerberos的一个混淆来源是其不同的实现。在1980年代,MIT发明了Kerberos认证协议。到1990年代,该协议的第4版成为IETF标准,微软开始将其自己的版本实现到Windows 2000中。2005年,MIT协议的第5版取代了之前的IETF标准。截至目前,微软Kerberos目前遵循IETF标准的第5版;然而,微软进行了一些小的更改。 由MIT设计的Kerberos是一种认证协议。然而,当微软实现Kerberos时,他们选择向协议添加授权系统。正如您可以想象的那样,这些授权系统一直受到持续攻击。主要地,这些系统在域控制器的后利用期间被使用,以获得对网络资源的进一步访问。 虽然该协议可能看起来令人不知所措,但其核心概念简单到学童都可以利用它。事实上,他们确实如此。

您的第一次暗恋

想象一下,您在课间休息时外出,看到了您的暗恋对象和他们最好的朋友。您真的很想邀请您的暗恋对象和您一起去吃冰淇淋,但您鼓不起勇气去问。幸运的是,您之前和他们朋友说过话,所以您等待他们暂时分开。这样您就可以单独和你们共同的朋友交谈。就在您开始和他们交谈时,铃声响起,您被迫进入室内。讨厌!您的朋友告诉您,他们会在上课时给您传纸条,这样您就可以完成对话。 一旦上课开始,您收到来自您暗恋对象共同朋友的纸条,问您想谈什么。

童年笔记:传递的秘密比对称密钥加密还多

您告诉他们这是关于您的暗恋对象,并且您希望他们替您邀请您的暗恋对象。而不是直接替您邀请您的暗恋对象,您的朋友想出了一个聪明的主意。您的朋友说他们写了一封有说服力的信给您的暗恋对象,但您必须自己传递纸条。还有一个条件:您不能读纸条。您的朋友告诉您,如果您看了,他们会故意破坏整个事情。您犹豫了,但最终您同意了计划。您认为这会奏效,因为您的暗恋对象通常信任你们共同的朋友。 虽然您仍然需要和您的暗恋对象交谈,但您现在可以随意将纸条放在他们的桌子上,而不提起话题。总比没有好,您想。 在您将纸条放在他们的桌子上后,您出去等待他们的回应。突然,您的暗恋对象穿过门来问您最喜欢的冰淇淋口味。纸条起作用了!看来您的朋友成功帮助您建立了联系! 让我们回顾一下:

  • 您在公开场合开始与您的朋友交谈。
  • 您的朋友给了您一张纸条,以便您可以继续与他们交谈。
  • 您请求您的朋友替您邀请您的暗恋对象。
  • 他们不是直接替您邀请,而是为您写了一张纸条。
  • 您为您的暗恋对象留下了纸条。
  • 您的暗恋对象信任你们共同朋友的意见,并开始阅读纸条。
  • 您的暗恋对象考虑和您一起吃冰淇淋。
  • 您的暗恋对象决定和您一起吃冰淇淋!

表面上,Kerberos的工作原理就像这些陷入爱河的学童。在这个场景中,您是用户,域控制器是您的朋友,所需的服务是您的暗恋对象。

  • 用户请求本地域控制器在公开场合交谈。
  • 域控制器给用户一个密钥,以便用户可以继续与之交谈。
  • 用户请求域控制器访问服务。
  • 域控制器创建一张纸条供用户交给服务。
  • 用户将域控制器的纸条交给服务。
  • 服务信任来自域控制器的纸条内容。
  • 服务将用户信息与域控制器的纸条进行匹配。
  • 服务认证用户!

虽然这个解释对于该主题的粗略概述很好,但深入理解该主题需要进一步解释。在互联网上搜索了几个小时、观看视频和阅读论文后,我找到了一些我强烈推荐的资源。

Microsoft TechNet的Kerberos版本5认证协议工作原理 如果您想埋头苦干,微软在2009年的TechNet文章中详细说明了其版本的Kerberos。该文章离指定协议的RFC有一两步之遥,但它很好地解释了微软为加速操作或提供授权设施而更改协议的地方。此外,它还提供了认证过程的逐步解释。

瞄准镜中的Kerberos:黄金票据、白银票据、MITM等 SANS对微软Kerberos的解释继续令人印象深刻。毫无疑问,SANS提供了对微软Kerberos协议实现的最佳功能解释,特别偏向安全专业人员。除了解释认证过程外,文章还涉及当前可用于微软Kerberos实现的漏洞利用(Overpass the Hash、黄金票据、白银票据和MITM攻击)。

滥用Kerberos by Skip Duckwall and Benjamin Delpy 视频, PDF Duckwall和Delpy深入探讨了与微软Kerberos认证相关的漏洞。Mimikatz是一个由Benjamin Delpy编写的工具,用于使用Kerberos对域控制器进行后利用,在整个演示中进行了演示。虽然这是一个很棒的演示,但我建议先阅读SANS文章,因为该演讲展示了上述SANS帖子中提到的几乎所有漏洞利用的工作演示。

总而言之,Kerberos虽然令人不知所措,但可以通过退后一步并从更高层次查看它来简化。一旦您理解了协议的基础知识,作为信息技术专业人员,大量知识将可供您使用。有了Kerberos的知识,系统管理员可以开始保护他们的网络,安全专业人员可以开始学习协议中固有的漏洞。

毕竟,没有必要害怕那只大坏狗

准备好学习更多吗? 通过Antisyphon的实惠课程提升您的技能! 随付随训培训 提供实时/虚拟和点播服务

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次