What is Kerberos? An Introduction to Secure Authentication

¿Qué es Kerberos? Introducción a la autenticación segura

El protocolo Kerberos permite que diferentes máquinas y dispositivos intercambien información de forma continua y segura. Sin un protocolo robusto como la autenticación Kerberos, esta información es vulnerable al acceso no autorizado e incluso a la manipulación, por ejemplo, con un ataque de intermediario .

Varias organizaciones han desarrollado sus propios protocolos de autenticación. Un protocolo de autenticación permite que un usuario, dispositivo o sistema verifique la identidad de otro usuario, dispositivo o sistema que desee comunicarse con él. Una vez que las dos entidades autentican la identidad de la otra, pueden estar seguras de que sus comunicaciones no serán interceptadas ni alteradas por atacantes maliciosos.

Uno de estos protocolos de autenticación es Kerberos . Entonces, ¿qué es exactamente la autenticación Kerberos y en qué se diferencia el protocolo Kerberos de otras alternativas? Repasaremos todo lo que necesita saber en esta guía sobre seguridad Kerberos.

¿Qué es Kerberos?

Kerberos es un protocolo de autenticación que facilita la comunicación segura entre dos máquinas o dispositivos en una red (MIT, 2023). Kerberos , desarrollado inicialmente en el Instituto Tecnológico de Massachusetts a fines de la década de 1980, se ha convertido desde entonces en uno de los protocolos de autenticación más populares. La versión actual de Kerberos , la versión 5, se lanzó por primera vez en 1993.

¿Para qué se utiliza Kerberos?

Todos los principales sistemas operativos modernos (Windows, macOS y Linux) incluyen compatibilidad con el protocolo Kerberos. En particular, Kerberos es el protocolo de autenticación predeterminado que utiliza Windows Active Directory, un servicio de directorio y base de datos que ayuda a los usuarios a localizar recursos en una red informática (Microsoft, 2021). Kerberos se puede utilizar para una amplia gama de aplicaciones, entre las que se incluyen:

  • Autenticación de usuarios: Kerberos puede verificar la identidad de los usuarios en una red informática antes de que se les conceda acceso a recursos y sistemas privilegiados.
  • Inicio de sesión único (SSO): Kerberos se puede utilizar para implementar la funcionalidad SSO, lo que permite a los usuarios autenticar sus identidades solo una vez en lugar de cada vez que acceden a un nuevo recurso.
  • Control de acceso a recursos: los administradores de sistemas pueden implementar Kerberos estratégicamente para aplicar políticas de control de acceso a TI, limitando el acceso de los usuarios a ciertos recursos en función de sus identidades.

¿Qué es el protocolo Kerberos?

El concepto principal que se utiliza en el protocolo Kerberos es el de “ticket”: una estructura de datos que contiene información que se utiliza para autenticar usuarios y dispositivos (IBM, 2021). Un ticket sirve como prueba de que el servidor Kerberos ha autenticado a un usuario y contiene datos como el ID del usuario, la dirección IP y el período de validez del ticket.

Los fanáticos de la mitología griega pueden darse cuenta de que el protocolo Kerberos comparte su nombre con Kerberos (o Cerberus), el perro de tres cabezas que protege la entrada al inframundo. De hecho, el protocolo Kerberos debe su nombre al modelo de seguridad de tres puntos que utiliza. Los tres componentes principales de Kerberos son:

  • El cliente, es decir, el usuario o dispositivo que busca la autenticación para acceder a recursos o sistemas de red restringidos.
  • El servidor de autenticación Kerberos que se encarga de autenticar inicialmente las identidades de los usuarios y de proporcionar tickets de concesión de tickets (TGT). Los TGT son pequeños archivos de datos cifrados que se pueden utilizar para solicitar acceso a otros recursos de la red.
  • El servidor de concesión de tickets (TGS) que acepta TGT de los usuarios y proporciona tokens adicionales para que los usuarios accedan a un recurso o servicio específico.

¿En qué se diferencia Kerberos de otros protocolos?

Por supuesto, Kerberos es solo uno de los muchos protocolos de autenticación posibles que los dispositivos pueden usar para una comunicación segura. Las alternativas a Kerberos incluyen NTLM, LDAP y RADIUS. Entonces, ¿en qué se diferencia Kerberos de estos otros protocolos?

  • NTLM es un conjunto de protocolos de seguridad de Microsoft que ayudan a autenticar la identidad de los usuarios en una red, principalmente en entornos Windows. Si bien Microsoft aún admite NTLM, Kerberos lo ha reemplazado en gran medida para casos de uso como Active Directory debido a ciertas vulnerabilidades de seguridad.
  • LDAP es un protocolo que se utiliza principalmente para acceder y gestionar servicios de directorio. A diferencia de Kerberos, LDAP utiliza una autenticación centralizada: las credenciales, como el nombre de usuario y la contraseña, se almacenan en una única ubicación, lo que significa que los usuarios deben volver a introducirlas cada vez que acceden a un nuevo servicio.
  • RADIUS es un protocolo de seguridad que proporciona autenticación, autorización y contabilidad centralizadas (AAA) para el acceso de los usuarios a una red informática. RADIUS ofrece autenticación en un punto específico de la red, pero no puede otorgar autenticación adicional para recursos y servicios específicos, como lo hace Kerberos.

¿Es seguro Kerberos?

Antes de comenzar a utilizar el protocolo de autenticación Kerberos, debe familiarizarse con el tema de la seguridad de Kerberos. Kerberos se considera generalmente un protocolo seguro y ha reemplazado en gran medida a alternativas más inseguras como NTLM.

Lamentablemente, ningún protocolo de autenticación puede ser totalmente infalible, y lo mismo sucede con Kerberos. El protocolo Kerberos es vulnerable a ataques como:

  • Kerberoasting: en un ataque de “Kerberoasting”, los actores maliciosos intentan descifrar las contraseñas de las cuentas de servicio, que son cuentas especiales que se utilizan para autenticar y autorizar servicios o aplicaciones de red específicos. El atacante solicita un ticket de servicio Kerberos y luego intenta acceder a esta cuenta mediante técnicas de descifrado de contraseñas sin conexión, lo que ayuda a evitar ser detectado.
  • Ataques de boletos dorados: en un ataque de “boleto dorado”, los actores maliciosos intentan falsificar un TGT especial (llamado “boleto dorado”). Este boleto dorado se obtiene robando la contraseña de la cuenta KRBTGT, una cuenta especial que controla la base de datos del Centro de distribución de claves (KDC). El atacante puede luego generar TGT válidos utilizando este “boleto dorado”, lo que permite a los usuarios acceso ilimitado a cualquier recurso o servicio en la red.
  • Ataques de ticket plateado: en un ataque de “ticket plateado”, los actores maliciosos intentan falsificar un TGS (denominado “ticket plateado”). Este tipo de ataque requiere que el atacante ya haya tomado el control de un sistema de destino (por ejemplo, a través de una infección de malware). Una vez que el atacante tiene acceso administrativo al sistema, se puede crear un “ticket plateado” de TGS falsificado, lo que le permite hacerse pasar por ese sistema. Como sugiere el nombre, los ataques de ticket plateado tienen un alcance más limitado que los ataques de ticket dorado: están restringidos a una sola aplicación o servicio.

¿Cómo se pueden mitigar las vulnerabilidades de Kerberos?

A pesar de su uso generalizado, Kerberos tiene sus vulnerabilidades. La buena noticia es que existen diversas formas de abordar estas debilidades y mejorar la seguridad de Kerberos. Para ayudar a mitigar las vulnerabilidades de Kerberos, siga los consejos y las prácticas recomendadas, como:

  • Implementar políticas de contraseñas seguras: las vulnerabilidades de Kerberos, como los ataques de “boleto dorado”, dependen de la capacidad del atacante para descifrar la contraseña. Cuanto más difícil sea descifrarla, más difícil será que el ataque tenga éxito. Las organizaciones deben alentar a los usuarios a utilizar contraseñas largas y complejas que no se puedan adivinar fácilmente mediante la fuerza bruta.
  • Aplique actualizaciones de seguridad periódicamente: todos los sistemas Kerberos, especialmente el Centro de distribución de claves (KDC), deben actualizarse periódicamente con las últimas actualizaciones de seguridad. Esto ayuda a corregir fallas de seguridad conocidas, fortaleciendo la infraestructura de red y limitando la cantidad de posibles puntos de entrada para los atacantes.
  • Implementar herramientas de detección de intrusiones y monitoreo: muchas vulnerabilidades de Kerberos dependen de la capacidad de los atacantes de moverse sin ser detectados por toda la red. Cuando comienza un ciberataque, las organizaciones deben recibir una alerta lo antes posible para que tomen medidas preventivas. Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) pueden ayudar a identificar y bloquear actividades sospechosas, poniendo fin a los ciberataques antes de que se produzcan.
  • Utilice el principio del mínimo privilegio: en ciberseguridad, el “principio del mínimo privilegio” es el concepto de que los usuarios deben tener acceso únicamente a los recursos y servicios específicos que necesitan, y no más. Esto ayuda a restringir el movimiento de los atacantes si logran tomar el control de una cuenta de usuario. Las organizaciones deben implementar el principio del mínimo privilegio al asignar permisos dentro del ámbito Kerberos.

Cómo puede ayudar C|PENT con Kerberos

A pesar de ciertas limitaciones y vulnerabilidades, el protocolo de autenticación Kerberos sigue siendo ampliamente utilizado en la actualidad. Esto significa que los profesionales de la ciberseguridad deben familiarizarse con Kerberos y otros protocolos de autenticación como parte de su trabajo para proteger los activos digitales.

El programa Certified Penetration Testing Professional (C|PENT) de EC-Council enseña a los estudiantes sobre protocolos de autenticación como Kerberos, así como también cómo atacarlos con técnicas como Kerberoasting. El curso C|PENT incluye 40 horas de instrucción en 14 módulos detallados sobre los conceptos esenciales de las pruebas de penetración.

Referencias

IBM. (2021). El ticket de Kerberos. https://www.ibm.com/docs/en/sc-and-ds/8.1.0?topic=concepts-kerberos-ticket

Microsoft. (2021). Descripción general de la autenticación Kerberos. https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview

MIT (2023). Kerberos: el protocolo de autenticación de red. https://web.mit.edu/kerberos/

¿Está listo para llevar su carrera en ciberseguridad al siguiente nivel? No busque más que las certificaciones CPENT y LPT, las credenciales más valiosas en el mundo de Pentesting en la actualidad. Estas certificaciones se encuentran entre las certificaciones de seguridad mejor pagadas a nivel mundial y pueden abrir puertas a oportunidades profesionales lucrativas en la industria de la ciberseguridad.

¡Desbloquee su potencial con las certificaciones CPENT y LPT!

con el kit iLearn de CPENT

Con el kit CPENT iLearn, cuyo precio es de tan solo 969 USD, puede obtener dos prestigiosas certificaciones internacionales de forma simultánea: CPENT y LPT de EC-Council. Este completo kit incluye todo lo que necesita para prepararse y aprobar el examen CPENT, incluido un cupón de examen para CPENT , que le permite realizar el examen en línea a través de RPS cuando le resulte conveniente en un plazo de 12 meses.

El curso de video en línea a su propio ritmo de CPENT , disponible en la plataforma iClass de EC-Council, ofrece orientación práctica para que su preparación para el examen sea perfecta. Con acceso durante un año, recibirá instrucciones de expertos y guías paso a paso, lo que le garantizará que estará bien equipado para aprobar el examen.

Pero eso no es todo: el kit iLearn de CPENT también incluye:

  • Cursos electrónicos
  • Acceso a CyberQ Labs durante seis meses
  • Certificado de finalización
  • Cyber ​​Range de 30 días en el sistema Aspen de EC-Council para escenarios de práctica realistas, mejorando sus posibilidades de lograr un puntaje alto en el examen.

Tras el pago, recibirá su código LMS y el código del cupón de examen dentro de 1 a 3 días hábiles, lo que le garantizará que podrá comenzar su preparación sin demora.

No dejes pasar esta oportunidad de impulsar tu carrera en ciberseguridad con las certificaciones CPENT y LPT. ¡Inscríbete hoy y descubre un mundo de posibilidades!

¡Compra tu Kit iLearn de CPENT aquí y recíbelo en 1 – 3 días!

Regresar al blog

Deja un comentario

Ten en cuenta que los comentarios deben aprobarse antes de que se publiquen.