O protocolo Kerberos permite que diferentes máquinas e dispositivos troquem informações de forma contínua e segura. Sem um protocolo robusto como a autenticação Kerberos, essas informações ficam vulneráveis a acesso não autorizado e até mesmo manipulação — por exemplo, com um ataque man-in-the-middle .
Várias organizações desenvolveram seus próprios protocolos de autenticação. Um protocolo de autenticação permite que um usuário, dispositivo ou sistema verifique a identidade de outro usuário, dispositivo ou sistema que deseja se comunicar com ele. Após as duas entidades autenticarem a identidade uma da outra, elas podem ter certeza de que suas comunicações não serão interceptadas ou adulteradas por invasores maliciosos.
Um desses protocolos de autenticação é o Kerberos . Então, o que é autenticação Kerberos , exatamente, e como o protocolo Kerberos difere de outras alternativas? Vamos abordar tudo o que você precisa saber neste guia sobre segurança Kerberos.
O que é Kerberos?
Kerberos é um protocolo de autenticação que facilita a comunicação segura entre duas máquinas ou dispositivos em uma rede (MIT, 2023). Inicialmente desenvolvido no Massachusetts of Technology no final dos anos 1980, o Kerberos se tornou um dos protocolos de autenticação mais populares. A versão atual do Kerberos , versão 5, foi lançada pela primeira vez em 1993.
Para que é usado o Kerberos?
Todos os principais sistemas operacionais modernos — Windows, macOS e Linux — incluem suporte para o protocolo Kerberos. Em particular, o Kerberos é o protocolo de autenticação padrão usado pelo Windows Active Directory, um serviço de diretório e banco de dados que ajuda os usuários a localizar recursos em uma rede de computadores (Microsoft, 2021). O Kerberos pode ser usado para uma ampla gama de aplicações, incluindo:
- Autenticação de usuário: o Kerberos pode verificar as identidades dos usuários em uma rede de computadores antes que eles recebam acesso a recursos e sistemas privilegiados.
- Logon único (SSO): o Kerberos pode ser usado para implementar a funcionalidade SSO, permitindo que os usuários autentiquem suas identidades apenas uma vez, em vez de cada vez que acessam um novo recurso.
- Controle de acesso a recursos: os administradores de sistema podem implantar estrategicamente o Kerberos para aplicar políticas de controle de acesso de TI, limitando o acesso dos usuários a determinados recursos com base em suas identidades.
O que é o Protocolo Kerberos?
O principal conceito usado no protocolo Kerberos é o de um “ticket”: uma estrutura de dados que contém informações usadas para autenticar usuários e dispositivos (IBM, 2021). Um ticket serve como prova de que o servidor Kerberos autenticou um usuário e contém dados como o ID do usuário, o endereço IP e o período de validade do ticket.
Fãs da mitologia grega podem perceber que o protocolo Kerberos compartilha seu nome com Kerberos (ou Cerberus), o cão de três cabeças que guarda a entrada para o submundo. Na verdade, o protocolo Kerberos recebeu seu nome do modelo de segurança de três pontas que ele usa. Os três principais componentes do Kerberos são:
- O cliente, ou seja, o usuário ou dispositivo que busca autenticação para acessar recursos ou sistemas de rede restritos.
- O servidor de autenticação Kerberos que é responsável por autenticar inicialmente as identidades dos usuários e fornecer tickets de concessão de tickets (TGTs). TGTs são pequenos arquivos de dados criptografados que podem ser usados para solicitar acesso a outros recursos de rede.
- O servidor de concessão de tickets (TGS) que aceita TGTs de usuários e fornece tokens adicionais para que os usuários acessem um recurso ou serviço específico.
Como o Kerberos é diferente de outros protocolos?
Claro, Kerberos é apenas um dos muitos protocolos de autenticação possíveis que os dispositivos podem usar para comunicação segura. Alternativas ao Kerberos incluem NTLM, LDAP e RADIUS. Então, como o Kerberos é diferente desses outros protocolos?
- NTLM é um conjunto de protocolos de segurança da Microsoft para ajudar a autenticar as identidades dos usuários em uma rede, principalmente em ambientes Windows. Embora a Microsoft ainda suporte NTLM, ele foi amplamente substituído pelo Kerberos para casos de uso como o Active Directory devido a certas vulnerabilidades de segurança.
- LDAP é um protocolo usado principalmente para acessar e gerenciar serviços de diretório. Diferentemente do Kerberos, o LDAP usa autenticação centralizada: credenciais como nome de usuário e senha são armazenadas em um único local, o que significa que os usuários precisam reinserir essas credenciais toda vez que acessam um novo serviço.
- RADIUS é um protocolo de segurança que fornece autenticação, autorização e contabilidade (AAA) centralizadas para acesso de usuários a uma rede de computadores. RADIUS oferece autenticação em um ponto específico na rede, mas não pode conceder autenticação adicional a recursos e serviços específicos, como o Kerberos faz.
O Kerberos é seguro?
Antes de começar a usar o protocolo de autenticação Kerberos, você deve estar familiarizado com o tópico de segurança Kerberos. O Kerberos é geralmente considerado um protocolo seguro e substituiu amplamente alternativas mais inseguras, como NTLM.
Infelizmente, nenhum protocolo de autenticação pode ser totalmente infalível, e o mesmo vale para o Kerberos. O protocolo Kerberos é vulnerável a ataques como:
- Kerberoasting: Em um ataque de “Kerberoasting”, agentes maliciosos tentam quebrar as senhas de contas de serviço, que são contas especiais usadas para autenticar e autorizar serviços ou aplicativos de rede específicos. O invasor solicita um tíquete de serviço Kerberos e, em seguida, tenta invadir essa conta usando técnicas de quebra de senha offline, ajudando a evitar a detecção.
- Ataques de tíquete dourado: Em um ataque de “tíquete dourado”, agentes maliciosos tentam forjar um TGT especial (chamado de “tíquete dourado”). Este tíquete dourado é obtido roubando a senha da conta KRBTGT, uma conta especial que controla o banco de dados do Key Distribution Center (KDC). O invasor pode então gerar TGTs válidos usando este “tíquete dourado”, permitindo aos usuários acesso ilimitado a quaisquer recursos ou serviços na rede.
- Ataques de tíquete prateado: Em um ataque de “tíquete prateado”, agentes maliciosos tentam forjar um TGS (chamado de “tíquete prateado”). Esse tipo de ataque exige que o invasor já tenha assumido o controle de um sistema alvo (por exemplo, por meio de uma infecção por malware). Uma vez que o invasor tenha acesso administrativo ao sistema, um “tíquete prateado” TGS forjado pode ser criado, permitindo que o invasor se faça passar por esse sistema. Como o nome sugere, os ataques de tíquete prateado são mais limitados em escopo do que os ataques de tíquete dourado — eles são restritos a apenas um único aplicativo ou serviço.
Como as vulnerabilidades do Kerberos podem ser atenuadas?
Apesar de seu uso generalizado, o Kerberos tem sua parcela de vulnerabilidades. A boa notícia é que existem várias maneiras de abordar essas fraquezas e melhorar a segurança do Kerberos. Para ajudar a mitigar as vulnerabilidades do Kerberos, siga dicas e práticas recomendadas, como:
- Implementar políticas de senha fortes: vulnerabilidades do Kerberos, como ataques de “golden ticket”, dependem da capacidade do invasor de quebrar a senha. Quanto mais difícil for quebrar essa senha, mais difícil será o ataque bem-sucedido. As organizações devem encorajar os usuários a usar senhas longas e complexas que não possam ser facilmente adivinhadas por força bruta.
- Aplique atualizações de segurança regularmente: Todos os sistemas Kerberos, especialmente o Key Distribution Center (KDC), devem ser atualizados regularmente com as últimas atualizações de segurança. Isso ajuda a corrigir falhas de segurança conhecidas, fortalecendo a infraestrutura de rede e limitando o número de pontos de entrada potenciais para invasores.
- Implante ferramentas de monitoramento e detecção de intrusão: Muitas vulnerabilidades do Kerberos dependem da capacidade dos invasores de se moverem sem serem detectados pela rede. Quando um ataque cibernético começa, as organizações devem ser alertadas o mais rápido possível para tomar medidas preventivas. Os sistemas de detecção de intrusão (IDS) e os sistemas de prevenção de intrusão (IPS) podem ajudar a identificar e bloquear atividades suspeitas, colocando um fim aos ataques cibernéticos antes que eles comecem.
- Use o princípio do menor privilégio: Em segurança cibernética, o “princípio do menor privilégio” é o conceito de que os usuários devem ter acesso apenas aos recursos e serviços específicos de que necessitam — e nada mais. Isso ajuda a restringir o movimento de invasores se eles conseguirem assumir o controle de uma conta de usuário. As organizações devem implementar o princípio do menor privilégio ao atribuir permissões dentro do reino Kerberos.
Como o C|PENT pode ajudar com o Kerberos
Apesar de certas limitações e vulnerabilidades, o protocolo de autenticação Kerberos continua sendo amplamente usado hoje. Isso significa que os profissionais de segurança cibernética devem se familiarizar com o Kerberos e outros protocolos de autenticação como parte de seu trabalho para proteger ativos digitais.
O programa Certified Penetration Testing Professional (C|PENT) do EC-Council ensina os alunos sobre protocolos de autenticação como Kerberos — bem como como atacá-los com técnicas como Kerberoasting. O curso C|PENT inclui 40 horas de instrução em 14 módulos aprofundados sobre os conceitos essenciais de teste de penetração.
Referências
IBM. (2021). O tíquete Kerberos. https://www.ibm.com/docs/en/sc-and-ds/8.1.0?topic=concepts-kerberos-ticket
Microsoft. (2021). Visão geral da autenticação Kerberos. https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview
MIT. (2023). Kerberos: O Protocolo de Autenticação de Rede. https://web.mit.edu/kerberos/
Você está pronto para levar sua carreira em segurança cibernética para o próximo nível? Não procure mais do que as certificações CPENT e LPT, as credenciais mais valiosas no mundo do Pentesting hoje. Essas certificações estão entre as certificações de segurança mais bem pagas globalmente e podem abrir portas para oportunidades de carreira lucrativas no setor de segurança cibernética.
Libere seu potencial com as certificações CPENT e LPT!
Com o CPENT iLearn Kit com preço de apenas $969, você pode ganhar duas prestigiosas certificações internacionais simultaneamente: CPENT e LPT do EC-Council. Este kit abrangente inclui tudo o que você precisa para se preparar e passar no exame CPENT, incluindo um Voucher de Exame para CPENT , que permite que você faça o exame on-line via RPS quando for conveniente para você em até 12 meses.
O CPENT Online Self-Paced Streaming Video Course , disponível na plataforma iClass do EC-Council, fornece orientação prática para tornar sua preparação para o exame perfeita. Com acesso por um ano, você receberá instruções de especialistas e orientações passo a passo, garantindo que você esteja bem equipado para passar no exame.
Mas isso não é tudo – o CPENT iLearn Kit também inclui:
- E-Curso
- Acesso ao CyberQ Labs por seis meses
- Certificado de Conclusão
- Cyber Range de 30 dias no sistema Aspen do EC-Council para cenários de prática realistas, aumentando suas chances de obter uma pontuação alta no exame.
Após o pagamento, você receberá seu Código LMS e Código de Voucher de Exame dentro de 1 a 3 dias úteis, garantindo que você possa iniciar sua preparação sem demora.
Não perca esta oportunidade de elevar sua carreira em segurança cibernética com as certificações CPENT e LPT. Inscreva-se hoje e desbloqueie um mundo de possibilidades!