Aunque Kerberos es un sistema back-end, está tan perfectamente integrado que la mayoría de los usuarios o administradores pasan por alto su existencia.
¿Qué es Kerberos y cómo funciona?
Si utiliza el correo electrónico u otros servicios en línea que requieren un inicio de sesión para acceder a los recursos, lo más probable es que se esté autenticando a través del sistema Kerberos.
El mecanismo de autenticación segura conocido como Kerberos garantiza una comunicación segura entre dispositivos, sistemas y redes. Su principal objetivo es salvaguardar sus datos e información de inicio de sesión de los piratas informáticos.
Kerberos es compatible con todos los sistemas operativos populares, incluidos Microsoft Windows, Apple macOS, FreeBSD y Linux.
El modelo de seguridad de cinco niveles utilizado por Kerberos comprende la autenticación mutua y la criptografía de clave simétrica. La verificación de la propia identidad permite a los usuarios autorizados iniciar sesión en un sistema.
Combina una base de datos central y el cifrado para confirmar la legitimidad de los usuarios y los servicios. El servidor Kerberos autentica primero a un usuario antes de permitirle el acceso a un servicio. A continuación, se les emite un ticket que pueden utilizar para acceder al servicio si se autentifican con éxito.
En esencia, Kerberos se basa en «tickets» para permitir que los usuarios se comuniquen entre sí de forma segura. El protocolo Kerberos utiliza un Centro de Distribución de Claves (KDC) para establecer la comunicación entre clientes y servidores.
Cuando se utiliza el protocolo Kerberos, el servidor recibe una solicitud del cliente. Después, el servidor responde con una respuesta que contiene un token. A continuación, el cliente envía una solicitud al servidor y el vale.
Se trata de un método esencial que garantiza la seguridad de los datos transferidos entre sistemas. Fue desarrollado por el Instituto Tecnológico de Massachusetts (MIT) en 1980 para resolver el problema de las conexiones de red no seguras y ahora se incluye en muchos sistemas diferentes.
En este artículo, veremos las ventajas específicas de Kerberos, sus aplicaciones prácticas, cómo funciona paso a paso y hasta qué punto es seguro.
Ventajas de la autenticación Kerberos
En un vasto entorno informático distribuido, los sistemas informáticos pueden identificarse y comunicarse entre sí de forma segura gracias al protocolo de autenticación de red conocido como Kerberos.
Mediante la criptografía de clave secreta, Kerberos pretende ofrecer una autenticación robusta para las aplicaciones cliente/servidor. Este protocolo sienta las bases para la seguridad de las aplicaciones, y el cifrado SSL/TLS se utiliza frecuentemente en combinación con él.
El protocolo de autenticación Kerberos, ampliamente utilizado, ofrece varias ventajas que pueden hacerlo más atractivo para las PYME y las grandes empresas.
En primer lugar, Kerberos es increíblemente fiable; ha sido probado contra algunos de los ataques más complejos y ha demostrado ser inmune a ellos. Además, Kerberos es sencillo de configurar, utilizar e integrar en varios sistemas.
Ventajas únicas
- El sistema único de tickets que utiliza Kerberos permite una autenticación más rápida.
- Los servicios y los clientes pueden autenticarse mutuamente.
- El periodo de autenticación es especialmente seguro debido a la limitación de tiempo.
- Cumple los requisitos de los sistemas distribuidos modernos
- Reutilizable mientras la marca de tiempo del ticket siga siendo válida, la autenticación evita que los usuarios tengan que volver a introducir sus datos de acceso para acceder a otros recursos.
- Las múltiples claves secretas, la autorización de terceros y la criptografía proporcionan una seguridad de primer nivel.
¿Hasta qué punto es seguro Kerberos?
Hemos visto que Kerberos emplea un proceso de autenticación seguro. Esta sección explorará cómo los atacantes pueden violar la seguridad de Kerberos.
Durante muchos años, el protocolo seguro Kerberos ha estado en uso: A modo de ejemplo, desde el lanzamiento de Windows 2000, Microsoft Windows ha hecho de Kerberos el mecanismo de autenticación estándar.
El servicio de autenticación Kerberos utiliza el cifrado de clave secreta, la criptografía y la autenticación de terceros de confianza para proteger con éxito los datos confidenciales mientras están en tránsito.
Para aumentar la seguridad, Kerberos 5, la versión más reciente, utiliza el estándar de cifrado avanzado (AES) para garantizar comunicaciones más seguras y evitar intrusiones en los datos.
El gobierno estadounidense ha adoptado AES porque es especialmente eficaz para proteger su información secreta.
Sin embargo, se argumenta que ninguna plataforma es totalmente segura, y Kerberos no es una excepción. Aunque Kerberos sea la más segura, las empresas deben comprobar constantemente su superficie de ataque para evitar que los piratas informáticos se aprovechen de ella.
Debido a su amplio uso, los piratas informáticos se esfuerzan por descubrir brechas de seguridad en la infraestructura.
He aquí algunos ataques típicos que pueden producirse:
- Ataque Golden Ticket: Es el asalto más dañino. En este asalto, los atacantes secuestran el servicio de distribución de claves de un usuario auténtico mediante tickets Kerberos. Se dirige principalmente a entornos Windows con Active Directory (AD) en uso para los privilegios de control de acceso.
- Ataque del ticket plateado: Un ticket de autenticación de servicio falsificado se denomina ticket de plata. Un hacker puede producir un Silver Ticket descifrando la contraseña de una cuenta informática y utilizándola para construir un ticket de autenticación falso.
- Pasa el ticket: Al generar un TGT falso, el atacante construye una clave de sesión falsa y la presenta como una credencial legítima.
- Pasar el ataque hash: Esta táctica consiste en obtener el hash de la contraseña NTLM de un usuario y luego transmitir el hash para la autenticación NTLM.
- Kerberoasting: El ataque tiene como objetivo recopilar hashes de contraseñas de cuentas de usuario de Active Directory con valores servicePrincipalName (SPN), como las cuentas de servicio, abusando del protocolo Kerberos.
Mitigación de los riesgos de Kerberos
Las siguientes medidas de mitigación ayudarían a prevenir los ataques Kerberos:
- Adopte un software moderno que supervise la red las 24 horas del día e identifique las vulnerabilidades en tiempo real.
- Mínimo privilegio: Establece que sólo aquellos usuarios, cuentas y procesos informáticos deben tener los permisos de acceso necesarios para realizar su trabajo. De este modo, se detendrá el acceso no autorizado a los servidores, principalmente al servidor KDC y a otros controladores de dominio.
- Supere las vulnerabilidades del software, incluidas las de día cero.
- Ejecute el modo protegido del Local Security Authority Subsystem Service (LSASS): LSASS aloja varios plugins, incluidos los de autenticación NTLM y Kerberos, y se encarga de proporcionar a los usuarios servicios de inicio de sesión único.
- Autenticación fuerte: Normas para la creación de contraseñas. Contraseñas fuertes para cuentas administrativas, locales y de servicio.
- Ataques DOS (denegación de servicio): Al sobrecargar el KDC con solicitudes de autenticación, un atacante puede lanzar un ataque de denegación de servicio (DoS). Para evitar los ataques y equilibrar la carga, el KDC debe colocarse detrás de un cortafuegos y deben desplegarse más KDC redundantes.
¿Cuáles son los pasos del flujo del protocolo Kerberos?
La arquitectura Kerberos consta principalmente de cuatro elementos esenciales que gestionan todas las operaciones Kerberos:
- Servidor de autenticación (AS): El proceso de autenticación Kerberos comienza con el servidor de autenticación. En primer lugar, el cliente debe iniciar sesión en el AS utilizando un nombre de usuario y una contraseña para establecer su identidad. Una vez hecho esto, el AS envía el nombre de usuario al KDC, que emite entonces un TGT.
- Centro de distribución de claves (KDC): Su trabajo consiste en servir de enlace entre el Servidor de Autenticación (AS) y el Servicio de Concesión de Tickets (TGS), retransmitiendo los mensajes del AS y emitiendo los TGT, que posteriormente se pasan al TGS para su cifrado.
- Ticket-Granting Ticket (TGT): El TGT está encriptado y contiene información sobre los servicios a los que puede acceder el cliente, durante cuánto tiempo está autorizado ese acceso y una clave de sesión para la comunicación.
- Ticket Granting Service (TGS): El TGS es una barrera entre los clientes que poseen TGT y los distintos servicios de la red. El TGS establece una clave de sesión tras autenticar el TGT compartido por el servidor y el cliente.
Acontinuación se muestra el flujo paso a paso de la autenticación Kerberos:
- Inicio de sesión del usuario
- Un cliente solicita al servidor que le conceda tickets.
- Un servidor comprueba el nombre de usuario.
- Devuelve el ticket del cliente tras la concesión.
- Un cliente obtiene la clave de sesión TGS.
- Un cliente solicita al servidor el acceso a un servicio.
- Un servidor comprueba el servicio.
- Clave de sesión TGS obtenida por el servidor.
- Un servidor crea la clave de sesión de servicio.
- Un cliente recibe la clave de sesión del servicio.
- Un cliente se pone en contacto con el servicio.
- El servicio desencripta.
- El servicio comprueba la solicitud.
- El servicio se autentica ante el cliente.
- Un cliente confirma el servicio.
- Un cliente y el servicio interactúan.
¿Cuáles son las aplicaciones del mundo real que utilizan Kerberos?
En un lugar de trabajo moderno basado en Internet y conectado, Kerberos es significativamente más valioso porque es excelente en el inicio de sesión único (SSO).
Microsoft Windows utiliza actualmente la autenticación Kerberos como método de autorización estándar. Kerberos también es compatible con Apple OS, FreeBSD, UNIX y Linux.
Además, se ha convertido en una norma para los sitios web y las aplicaciones de inicio de sesión único en todas las plataformas. Kerberos ha aumentado la seguridad de Internet y de sus usuarios, al tiempo que permite a éstos realizar más tareas en línea y en la oficina sin poner en riesgo su seguridad.
Los sistemas operativos y programas de software más populares ya incluyen Kerberos, que se ha convertido en una parte esencial de la infraestructura informática. Es la tecnología de autorización estándar de Microsoft Windows.
Utiliza una criptografía sólida y la autorización de tickets de terceros para dificultar el acceso de los piratas informáticos a una red corporativa. Las organizaciones pueden utilizar Internet con Kerberos sin preocuparse por poner en peligro su seguridad.
La aplicación más conocida de Kerberos es Microsoft Active Directory, que controla los dominios y realiza la autenticación de usuarios como un servicio de directorio estándar incluido en Windows 2000 y posteriores.
Apple, la NASA, Google, el Departamento de Defensa de EE.UU. e instituciones de todo el país se encuentran entre los usuarios más notables.
A continuación encontrará algunos ejemplos de sistemas con soporte Kerberos integrado o accesible:
- Servicios Web de Amazon
- Nube de Google
- Hewlett Packard Unix
- IBM Advanced Interactive executive
- Microsoft Azure
- Microsoft Windows Server y AD
- Oracle Solaris
- OpenBSD
Recursos adicionales
| Vista previa | Producto | Valoración | |
|---|---|---|---|
|
Kerberos: The Definitive Guide | Buy on Amazon |
| Vista previa | Producto | Valoración | |
|---|---|---|---|
|
Implementation of Authentication and Transaction Security: Network Security using Kerberos | Buy on Amazon |
No products found.
Conclusión
El método de autenticación más utilizado para proteger las conexiones cliente-servidor es Kerberos. Kerberos es un mecanismo de autenticación de clave simétrica que ofrece integridad de datos, confidencialidad y autenticación mutua de usuarios.
Es la base de Microsoft Active Directory y se ha convertido en uno de los protocolos que los atacantes de todo tipo tienen como objetivo de explotación.
A continuación, puede consultar las herramientas para supervisar la salud de Active Directory.