Bien que Kerberos soit un système dorsal, il est intégré de manière si transparente que la plupart des utilisateurs ou des administrateurs ignorent son existence.
Qu’est-ce que Kerberos et comment fonctionne-t-il ?
Si vous utilisez le courrier électronique ou d’autres services en ligne qui nécessitent des identifiants pour accéder à des ressources, il y a de fortes chances que vous vous authentifiez par le biais du système Kerberos.
Le mécanisme d’authentification sécurisé connu sous le nom de Kerberos garantit une communication sûre entre les appareils, les systèmes et les réseaux. Son principal objectif est de protéger vos données et vos informations de connexion contre les pirates informatiques.
Kerberos est pris en charge par tous les systèmes d’exploitation courants, notamment Microsoft Windows, Apple macOS, FreeBSD et Linux.
Le modèle de sécurité à cinq niveaux utilisé par Kerberos comprend l’authentification mutuelle et la cryptographie à clé symétrique. La vérification de l’identité d’une personne permet aux utilisateurs autorisés de se connecter à un système.
Elle combine une base de données centrale et le cryptage pour confirmer la légitimité des utilisateurs et des services. Le serveur Kerberos authentifie d’abord un utilisateur avant de lui permettre d’accéder à un service. L’utilisateur reçoit ensuite un ticket qu’il peut utiliser pour accéder au service s’il a été authentifié avec succès.
Kerberos s’appuie essentiellement sur des “tickets” pour permettre aux utilisateurs de communiquer entre eux en toute sécurité. Le protocole Kerberos utilise un centre de distribution de clés (KDC) pour établir la communication entre les clients et les serveurs.
Lors de l’utilisation du protocole Kerberos, le serveur reçoit une requête du client. Le serveur répond ensuite par une réponse contenant un jeton. Le client envoie ensuite une demande au serveur et au jeton.
Il s’agit d’une méthode essentielle qui garantit la sécurité des données transférées d’un système à l’autre. Elle a été développée par le Massachusetts Institute of Technology (MIT) en 1980 pour résoudre le problème des connexions réseau non sécurisées et est aujourd’hui incluse dans de nombreux systèmes.
Dans cet article, nous examinerons les avantages spécifiques de Kerberos, ses applications pratiques, son fonctionnement étape par étape et son degré de sécurité.
Avantages de l’authentification Kerberos
Dans un vaste environnement informatique distribué, les systèmes informatiques peuvent s’identifier et communiquer entre eux en toute sécurité grâce au protocole d’authentification réseau appelé Kerberos.
Utilisant la cryptographie à clé secrète, Kerberos est destiné à offrir une authentification solide pour les applications client/serveur. Ce protocole jette les bases de la sécurité des applications, et le cryptage SSL/TLS est fréquemment utilisé en combinaison avec lui.
Le protocole d’authentification Kerberos, largement utilisé, présente plusieurs avantages qui peuvent le rendre plus attrayant pour les PME et les grandes entreprises.
Tout d’abord, Kerberos est incroyablement fiable ; il a été testé contre certaines des attaques les plus complexes et s’est révélé immunisé contre elles. En outre, Kerberos est simple à mettre en place, à utiliser et à intégrer dans plusieurs systèmes.
Des avantages uniques
- Un système de tickets unique utilisé par Kerberos permet une authentification plus rapide.
- Les services et les clients peuvent s’authentifier mutuellement.
- La période d’authentification est particulièrement sûre en raison de l’horodatage limité.
- Répond aux exigences des systèmes distribués modernes
- Réutilisable tant que l’horodatage du ticket est encore valide, l’authentification évite aux utilisateurs d’avoir à saisir à nouveau leurs informations de connexion pour accéder à d’autres ressources.
- Les clés secrètes multiples, l’autorisation de tiers et la cryptographie assurent une sécurité de premier ordre.
Kerberos est-il sûr ?
Nous avons vu que Kerberos utilise un processus d’authentification sécurisé. Cette section examine comment les attaquants peuvent violer la sécurité de Kerberos.
Le protocole sécurisé Kerberos est utilisé depuis de nombreuses années : Par exemple, depuis la sortie de Windows 2000, Microsoft Windows a fait de Kerberos le mécanisme d’authentification standard.
Le service d’authentification Kerberos utilise le chiffrement à clé secrète, la cryptographie et l’authentification par un tiers de confiance pour protéger les données sensibles pendant leur transit.
Pour renforcer la sécurité, la version la plus récente de Kerberos, Advanced Encryption Standard (AES), est utilisée pour garantir des communications plus sûres et éviter les intrusions dans les données.
Le gouvernement américain a adopté l’AES parce qu’il est particulièrement efficace pour protéger ses informations secrètes.
Cependant, on peut affirmer qu’aucune plateforme n’est entièrement sûre, et Kerberos ne fait pas exception à la règle. Même si Kerberos est la plus sûre, les entreprises doivent constamment vérifier leur surface d’attaque pour éviter d’être exploitées par des pirates.
En raison de la large utilisation de Kerberos, les pirates s’efforcent de découvrir les failles de sécurité dans l’infrastructure.
Voici quelques attaques typiques qui peuvent se produire :
- Attaque du ticket d’or : Il s’agit de l’attaque la plus préjudiciable. Dans cette attaque, les pirates détournent le service de distribution de clés d’un utilisateur authentique en utilisant des tickets Kerberos. Elle vise principalement les environnements Windows avec Active Directory (AD) utilisé pour le contrôle des privilèges d’accès.
- Attaque par ticket d’argent : Un ticket d’authentification de service falsifié est appelé ticket d’argent. Un pirate peut produire un ticket d’argent en déchiffrant le mot de passe d’un compte d’ordinateur et en l’utilisant pour construire un faux ticket d’authentification.
- Passez le ticket : En générant un faux TGT, le pirate construit une fausse clé de session et la présente comme un justificatif légitime.
- Attaque par hachage : Cette tactique consiste à obtenir le hachage du mot de passe NTLM d’un utilisateur, puis à transmettre ce hachage pour l’authentification NTLM.
- Kerberoasting : Cette attaque vise à obtenir des hachages de mots de passe pour des comptes d’utilisateurs Active Directory avec des valeurs servicePrincipalName (SPN), tels que des comptes de service, en abusant du protocole Kerberos.
Atténuation des risques liés à Kerberos
Les mesures d’atténuation suivantes permettraient de prévenir les attaques Kerberos :
- Adoptez un logiciel moderne qui surveille le réseau 24 heures sur 24 et identifie les vulnérabilités en temps réel.
- Least Privilege (moindre privilège) : Ce principe stipule que seuls les utilisateurs, les comptes et les processus informatiques doivent disposer des autorisations d’accès nécessaires à l’accomplissement de leur travail. Cela permet d’empêcher les accès non autorisés aux serveurs, notamment au serveur KDC et à d’autres contrôleurs de domaine.
- Surmonter les vulnérabilités logicielles, y compris les vulnérabilités de type “zero-day”.
- Exécutez le mode protégé du service LSASS (Local Security Authority Subsystem Service) : LSASS héberge divers plugins, y compris l’authentification NTLM et Kerberos, et est chargé de fournir aux utilisateurs des services d’authentification unique.
- Authentification forte: Normes pour la création de mots de passe. Mots de passe forts pour les comptes administratifs, locaux et de service.
- Attaques DOS (déni de service): En surchargeant le KDC de demandes d’authentification, un attaquant peut lancer une attaque par déni de service (DoS). Pour prévenir les attaques et équilibrer la charge, le KDC doit être placé derrière un pare-feu et des KDC redondants supplémentaires doivent être déployés.
Quelles sont les étapes du flux du protocole Kerberos ?
L’architecture Kerberos se compose principalement de quatre éléments essentiels qui gèrent toutes les opérations Kerberos :
- Le serveur d’authentification (AS) : Le processus d’authentification Kerberos commence par le serveur d’authentification. Le client doit d’abord se connecter au serveur d’authentification en utilisant un nom d’utilisateur et un mot de passe pour établir son identité. Une fois cette opération terminée, le serveur d’authentification envoie le nom d’utilisateur au centre de distribution de clés (KDC), qui émet alors un certificat de transfert de clés (TGT).
- Centre de distribution de clés (KDC) : Il sert de liaison entre le serveur d’authentification (AS) et le service d’émission de billets (TGS), en relayant les messages de l’AS et en émettant des TGT, qui sont ensuite transmis au TGS pour être cryptés.
- Ticket d’attribution de ticket (TGT) : Le TGT est crypté et contient des informations sur les services auxquels le client est autorisé à accéder, la durée de cet accès et une clé de session pour la communication.
- Service d’attribution de tickets (TGS) : Le TGS est une barrière entre les clients qui possèdent des TGT et les différents services du réseau. Le TGS établit ensuite une clé de session après avoir authentifié le TGT partagé par le serveur et le client.
Voici le déroulement par étapes de l’authentification Kerberos:
- Connexion de l’utilisateur
- Un client demande au serveur d’octroyer des tickets.
- Le serveur vérifie le nom d’utilisateur.
- Il renvoie le ticket du client après l’octroi.
- Le client obtient la clé de session TGS.
- Un client demande au serveur l’accès à un service.
- Un serveur vérifie le service.
- Clé de session TGS obtenue par le serveur.
- Un serveur crée une clé de session de service.
- Un client reçoit la clé de session du service.
- Un client contacte le service.
- Le service décrypte.
- Le service vérifie la demande.
- Le service est authentifié auprès du client.
- Un client confirme le service.
- Un client et un service interagissent.
Quelles sont les applications réelles de Kerberos ?
Dans un environnement de travail moderne basé sur l’internet et connecté, Kerberos est d’autant plus utile qu’il est excellent pour l’authentification unique (SSO).
Microsoft Windows utilise actuellement l’authentification Kerberos comme méthode d’autorisation standard. Kerberos est également pris en charge par Apple OS, FreeBSD, UNIX et Linux.
En outre, il est devenu la norme pour les sites web et les applications de signature unique sur toutes les plateformes. Kerberos a renforcé la sécurité de l’internet et de ses utilisateurs, tout en permettant à ces derniers d’effectuer davantage de tâches en ligne et au bureau sans risquer leur sécurité.
Les systèmes d’exploitation et les logiciels les plus répandus intègrent déjà Kerberos, qui est devenu un élément essentiel de l’infrastructure informatique. Il s’agit de la technologie d’autorisation standard de Microsoft Windows.
Elle utilise une cryptographie forte et l’autorisation de tickets tiers pour rendre plus difficile l’accès des pirates au réseau de l’entreprise. Les organisations peuvent utiliser l’internet avec Kerberos sans craindre de compromettre leur sécurité.
L’application la plus connue de Kerberos est Microsoft Active Directory, qui contrôle les domaines et effectue l’authentification des utilisateurs en tant que service d’annuaire standard inclus dans Windows 2000 et les versions ultérieures.
Apple, la NASA, Google, le ministère américain de la défense et des institutions de tout le pays figurent parmi les utilisateurs les plus connus.
Vous trouverez ci-dessous quelques exemples de systèmes avec un support Kerberos intégré ou accessible :
- Amazon Web Services
- Google Cloud
- Hewlett Packard Unix
- IBM Advanced Interactive executive
- Microsoft Azure
- Microsoft Windows Server et AD
- Oracle Solaris
- OpenBSD
Ressources complémentaires
Preview | Product | Rating | |
---|---|---|---|
Kerberos: The Definitive Guide | Buy on Amazon |
Preview | Product | Rating | |
---|---|---|---|
Implementation of Authentication and Transaction Security: Network Security using Kerberos | Buy on Amazon |
No products found.
Conclusion
La méthode d’authentification la plus utilisée pour protéger les connexions client-serveur est Kerberos. Kerberos est un mécanisme d’authentification à clé symétrique qui offre l’intégrité des données, la confidentialité et l’authentification mutuelle des utilisateurs.
Il est à la base de Microsoft Active Directory et est devenu l’un des protocoles les plus exploités par les attaquants de toutes sortes.
Vous pouvez ensuite consulter les outils permettant de surveiller l’état de santé d’Active Directory.