Aktuelle Entwicklung und Möglichkeiten von Kerberos

Was ist Kerberos?

Kerberos ist ein Authentifizierungs-Netzwerkprotokoll, das Mitte der 80er Jahre durch das MIT (Massachusetts Institute of Technology) entwickelt wurde. Es kommt heute einerseits bei Open Source als auch bei kommerzieller Software zum Einsatz. Ziel ist es die interne Netzwerksicherheit zu erhöhen und die Systeme vor unberechtigtem Zugriff zu schützen.

Grundsätzlich muss jeder Client seine Identität innerhalb eines Netzwerkes beweisen und es wird davon ausgegangen, dass jede Netzwerkverbindung zunächst unsicher ist. Durch den Einsatz von Kerberos muss nicht bei jedem Service die Passworteingabe wiederholt werden, sondern beim Einloggen ist eine einmalige Authentizität ausreichend. Dabei werden die Passwörter nicht im Klartext gespeichert, sondern als Chiffretext im Netzwerk versendet. Die Funktionsweise von Kerberos kann vereinfacht wie folgt dargestellt werden:




http://www4.cs.fau.de/Lehre/SS02/PS_KVBK/talks/folien_guido.pdf 25.03.19; Zugriff: 18:15

Durch diese Architektur fliessen grundsätzlich keine Passwörter über das Netzwerk. Es werden vielmehr Informationen verschlüsselt, die nur durch Kenntnisse beim Client oder Netzwerkdienst entschlüsselt werden können.

Mit dem Einsatz von Kerberos kommen eine starke Verschlüsselung und Ticket-Autorisierung zum Einsatz, die das Eindringen einer unbefugten Partei deutlich erschweren. Durch diese Absicherung und dem Grundsatz, dass zuerst jede Netzwerkverbindung unsicher sei, konnte die Netzwerksicherheit deutlich erhöht werden.

Das MIT bietet eine freie Implementierung des Kerberos-Protokolls in die unterschiedlichsten Systeme an. So wird es beispielsweise in Unix und Linux heute bereits weitverbreitet eingesetzt. Selbst für Oracle-Datenbanken könnte es verwendet werden. Mit der Einführung des Active Directories und Windows 2000 etablierte sich Kerberos auch in der Microsoft-Welt. Weitere Anwendungsbereiche sind beispielsweise Authentifizierung auf Websites und SSO-Implementierungen (Single-Sign-On).

Vor dem Einsatz von Kerberos wurden in Windowssystemen eine andereAuthentifizierungstechnologie „NTLM“ (NT LAN Manager) verwendet. Durch die Verifizierung der angeforderten Tickets und starken Verschlüsselungsfunktion ist Kerberos deutlich sicherer als NTLM noch war. NTLM arbeitet zwar auch mit Hash-Werten für die Passwortverschlüsselung, schickt diese jedoch durch das Netzwerk und arbeitet nicht mit verschlüsselten Tickets. Werden heute neue Applikationen eingesetzt, wird als Standard-Protokoll oft Kerberos anstelle von NTLM- Authentifizierung gefordert.

Zurzeit gibt es kaum Anzeichen, dass Kerberos als Back-End-Technologie abgelöst werden soll. Wobei in der Kette der Authentifizierung immer das schwächste Glied das Passwort ist. Das bedeutet, je stärker das Passwort, desto kleiner ist die vorhandene Schwachstelle. Kerberos wird auch stetig verbessert und weiterentwickelt. Wurden noch mit der Version 4 diverse Sicherheitslücken bekannt, konnten diese in der Version 5 grösstenteils geschlossen werden. Jedoch ist zu beachten, dass immer neue Schwachstellen entdeckt und durch Sicherheitspatches behoben werden müssen.

Obwohl Kerberos eine deutliche Erhöhung der Sicherheit in der Authentifizierungstechnologie mit sich brachte, gibt es auch hier Schwachstellen. Es gibt verschiedene Hacking-Methoden, die eine Sicherheitslücke, ein schwaches Passwort oder Malware als Einfallstor nützen. Oft ist es auch eine Kombination dieser drei Elemente.

Ein Beispiel ist der „Golden-Ticket-Angriff“. Dabei wird das Kerberos- Authentifizierungstoken, das alle Token für den Domain Controller (DC) verschlüsselt, verwendet. Durch eine Hacking-Anwendung wie beispielsweise

„Mimikatz“, kann mittels Passwort-Hashes das Golden-Ticket erlangt und der Zugriff als Administrator auf alle Systeme erzwungen werden. Diese Sicherheitslücke muss in der Praxis wie alle anderen Malware-Attacken behandelt werden. Insbesondere die Überwachung von privilegierten Accounts und regelmässiger Passwortwechsel sind wirkungsvolle Massnahmen. Obwohl diese oben beschriebene Attacke als relativ aufwändig und komplex eingestuft wird, muss einer solchen Option in der Überwachung und Schutz der Systeme Rechnung getragen werden.

Weitere Beispiele von Angriffen im Bereich Kerberos-Kompromittierung sind Pass-the-Ticket und das Silver-Ticket. Wobei das Silver-Ticket analog des Golden-Ticket auf Passwort-Hash-Fang geht. Jedoch wird nicht ein Administrator-Passwort, sondern nur der Zugang zu einem «normalen» Account erlangt. Aus diesem Grund die Bezeichnung Silver-Ticket., das keinen Zugang eines privilegierten (z.B. Administrator) Accounts ermöglicht.

Mit der Entwicklung von Kerberos und Einsatz in der Windows-Welt, konnte die Sicherheit der Authentifizierung erhöht werden. Eine technische Absicherung alleine ist jedoch keinesfalls ausreichend, da durch den Einsatz von Malware und geschickte Kombination technischer Möglichkeiten (z.B. Hacking-Tools) diese Sicherheit umgangen werden kann. Daher müssen Massnahmen wie sichere Passwörter, regelmässiger Passwortwechsel und User-Awareness als Sicherheitsmassnahmen etabliert werden. Zudem sind auch aktuelle Patchlevel der Server und «state of the art» Hardening-Massnahmen zentrale Elemente zur Erhöhung der Sicherheit.

Literaturquellen und Links

http://www4.cs.fau.de/Lehre/SS02/PS_KVBK/talks/folien_guido.pdf

https://blog.varonis.de/wie-funktioniert-die-kerberos-authentifizierung/

https://www.tecchannel.de/a/die-funktionsweise-von-kerberos,461645

https://blog.varonis.de/wie-funktioniert-die-kerberos-authentifizierung/

Autorin: Simone Laubscher

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.

FAQ zum CAS Cybersecurity und Information Risk Management:

  1. Starttermin: Jeweils im Frühjahr.
  2. Location: 7 Minuten zu Fuss vom Bahnhof SBB, Basel.
  3. Intensität: 100% berufsbegleitend.
  4. Dozierende: Experten aus der Praxis.
  5. Modelle: BSI Grundschutz, ISO, CISSP
  6. Vorbereitung auf die Prüfung zum CISSP: Zugang zu Testplattform
  7. Didaktik: Framework, Vorlagen, Checklisten, Show Cases, Networking.
  8. Fokus: Management von Cybersecurity und Risikomanagement.
  9. Leistungsnachweis 1: Computerbasierter Test, Teil 1 der BSI Prüfung.
  10. Leistungsnachweis 2: Security Framework erstellen (Dokument).
  11. Leistungsnachweis 3: Blogbeitrag zu einem Security-Thema.
  12. Leistungsnachweis 4: ISMS-Pitch vor der Geschäftsleitung.
  13. Support: Persönliche Begleitung durch Martina Dalla Vecchia.

 

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Captcha loading...