Explicação da autenticação Kerberos

Segundo a mitologia, Kerberos (talvez você o conheça como Cérbero) é um enorme cão de três cabeças, com rabo de cobra e mau humor que guarda os Portões de entrada do Submundo.

No mundo moderno, os cientistas da computação do MIT usaram o nome e a imagem do Kerberos para seu protocolo de autenticação de rede de computadores. O Kerberos usa criptografia de chave simétrica e requer autorização confiável de terceiros para verificar as identidades do usuário. Como o Kerberos requer três entidades para autenticação e já demonstrou brilhantemente que pode tornar os computadores mais seguros, o nome é perfeito.

O que é o Kerberos?

A autenticação Kerberos é atualmente a tecnologia de autorização-padrão usada pelo Microsoft Windows, e há implementações do Kerberos no sistema operacional da Apple, FreeBSD, UNIX e Linux.

A Microsoft apresentou sua própria versão do Kerberos no Windows 2000. Esse protocolo também se tornou um padrão para sites e implementações de logon único em todas as plataformas. O Kerberos Consortium mantém o Kerberos como um projeto de código aberto.

O Kerberos é uma grande melhoria em relação às tecnologias de autorização anteriores. A criptografia avançada e a autorização de permissões de terceiros tornam muito mais difícil para os cibercriminosos se infiltrarem na rede. Não é totalmente sem falhas e, para se defender dessas falhas, você precisa primeiro entendê-las.

O Kerberos tornou a internet e seus usuários mais seguros, permitindo que eles trabalhem mais na internet e no escritório sem comprometer a segurança.

Qual é a diferença entre Kerberos e NTLM?

Antes do Kerberos, a Microsoft usava uma tecnologia de autenticação chamada NTLM, que significa NT Lan Manager, um protocolo de autenticação desafio-resposta. O computador de destino ou o controlador de domínio verifica e controla a senha e armazena seus hashes para uso contínuo.

A maior diferença entre os dois sistemas é a verificação de terceiros e a capacidade de criptografia superior no Kerberos. Essa etapa adicional no processo permite um nível de segurança extra significativo em relação ao NTLM.

Atualmente, os sistemas NTLM podem ser invadidos em questão de horas: é basicamente uma tecnologia mais antiga, e você não deve confiar no NTLM para proteger dados confidenciais.

Como se autenticar com o Kerberos?

Aqui estão as etapas mais básicas para autenticação em um ambiente com Kerberos.

1. O cliente solicita uma permissão de autenticação (TGT) do Centro de Distribuição de Chaves (KDC).
2. O KDC verifica as credenciais e envia um TGT criptografado e uma chave de sessão.
3. O TGT é criptografado usando a chave secreta do Ticket Granting Service (TGS).
4. O cliente armazena o TGT e, quando esse TGT expira, o gerente de sessão local solicita outro (esse processo é transparente para o usuário).

Se o Cliente solicitar acesso a um serviço ou outro recurso na rede, este é o processo:

5. O cliente envia o TGT atual para o TGS com o Nome da Entidade de Serviço (SPN) do recurso que o cliente quer acessar.
6. O KDC verifica o TGT do usuário e garante que o usuário tenha acesso ao serviço.
7. O TGS envia uma chave de sessão válida para o serviço ao cliente.
8. O cliente encaminha a chave de sessão para o serviço para provar que o usuário tem permissão para acessar e o serviço concede acesso.

O Kerberos pode ser hackeado?

Sim. Por ser um dos protocolos de autenticação mais populares, os hackers desenvolveram várias maneiras de invadi-lo. A maioria desses ataques explora uma vulnerabilidade, senhas fracas ou malware, às vezes uma combinação dos três. Estes são alguns dos métodos mais eficazes de hackear o Kerberos:

• Pass-the-Ticket: o processo de forjar uma chave de sessão e apresentá-la ao recurso na forma de credenciais.
• Golden Ticket: um tíquete que concede a um usuário acesso como administrador de domínio.
• Silver Ticket: um tíquete forjado que concede acesso a um serviço.
• Credential stuffing/Brute force: tentativas contínuas automáticas de adivinhar uma senha.
• Downgrade de criptografia com Skeleton Key Malware: um malware que pode ignorar o Kerberos, mas o invasor deve ter acesso de administrador.
• Ataque DCShadow: um novo ataque que permite que os invasores obtenham acesso suficiente dentro de uma rede para configurar o próprio DC para ser usado em outras infiltrações.

O Kerberos está obsoleto?

O Kerberos está longe de ser obsoleto e provou ser um protocolo de controle de acesso de segurança adequado, apesar da capacidade dos invasores de invadi-lo. A principal vantagem do Kerberos é a capacidade de usar algoritmos de criptografia fortes para proteger senhas e permissões de autenticação. Com os computadores de hoje, qualquer ataque de força bruta do algorítimo de criptografia AES usado pela versão atual do Kerberos levaria aproximadamente mais tempo do que o restante para a existência do sistema solar. Em poucas palavras, o Kerberos vai ficar ativo por um tempo de uma forma ou de outra.

O que vai substituir o Kerberos?

Não há concorrentes reais em desenvolvimento para substituir o Kerberos. A maioria dos avanços de segurança são para proteger a senha ou fornecer um método diferente de validação de identidade para o Kerberos, que continua sendo a tecnologia de back-end até hoje. O Kerberos se destaca no logon único (SSO), o que o torna muito mais útil em um ambiente de trabalho moderno, conectado e baseado na internet. Com o SSO, você prova sua identidade uma vez para o Kerberos, que passa seu TGT para outros serviços ou máquinas como prova de sua identidade.

O elo mais fraco da cadeia Kerberos é a senha. As senhas podem ser quebradas por força bruta ou roubadas com ataques de phishing. Por esse motivo, a autenticação multifator (MFA) está se tornando mais popular para proteger identidades online. Com a MFA, você precisa da senha e de algo mais – token aleatório, telefone celular, e-mail, impressão digital, escaneamento de retina, reconhecimento facial, etc. – para provar sua identidade ao Kerberos.

Como a Varonis monitora o Kerberos?

A Varonis monitora domínios do Active Directory em busca de ataques ao Kerberos, escalonamento de privilégios, ataques de força bruta e muito mais. Nossa análise de segurança combina eventos de usuários, eventos de segurança e telemetria de perímetro para detectar e alertar sobre possíveis ataques e vulnerabilidades de segurança.

Estes são exemplos de modelos de ameaça da Varonis que ajudam a detectar ataques ao Kerberos:

• Possível ataque Pass-the-Ticket: solicitação de acesso a um recurso sem autenticação adequada, ignorando o protocolo Kerberos.
• Falha no escalonamento de privilégios detectado por meio de vulnerabilidade no Kerberos: um invasor tentou elevar seus privilégios explorando a vulnerabilidade do Kerberos.
• Possível ataque de força bruta visando uma conta específica: ocorreu um número incomum de falhas de autenticação de um único endereço IP por um único usuário.
• Atividade do certificado de segurança por não administradores: a atividade de um usuário que não é administrador foi detectada nos arquivos de certificação. Este é potencialmente um invasor tentando roubar assinaturas.
• …e esse é apenas o começo!

Descubra hoje mesmo como a Varonis realmente detecta ataques ao Kerberos com uma demonstração individual e entre em contato para saber mais sobre nossos modelos de ameaças.