La cybercriminalité est un fait malheureux de nos jours; aucune entreprise ou organisation n'est à l'abri, qu'il s'agisse de parler de particuliers ou d'entreprises en général. Le problème ne s'améliorera pas de nos jours à moins que nous puissions utiliser notre protocole avec une solution réseau efficace.
Les experts ont prédit que la cybercriminalité endommagerait le coût du monde de 25 billions de dollars d'ici la fin de 2025 ; étrange, n'est-ce pas ?
Une autre prédiction de Forbes indique que l'utilisation constante d'appareils mobiles augmente le taux de cybercriminalité, et rien ne peut l'arrêter. Par conséquent, le monde numérique se connecte pour trouver de nouvelles stratégies pour renforcer la cybersécurité. Ces prédictions sont si nombreuses que vous n'êtes pas prêt à les écouter ou même à les traiter dans votre esprit.
Aujourd'hui, nous recherchons un protocole réseau d'authentification Kerberos. Tirons les rideaux et sachons Qu'est-ce que Kerberos ?
Qu'est-ce que Kerberos ?
Internet est un endroit peu sûr. Certains systèmes déploient des pare-feu pour empêcher l'accès non autorisé aux ordinateurs. Mais les pare-feu supposent que les méchants sont à l'extérieur, et c'est un problème. La majorité des tentatives malveillantes se font de l'intérieur.
Utilisant une cryptographie forte, Kerberos est un protocole pour authentifier les demandes de service réseau entre des hôtes de confiance sur un réseau non approuvé. Il utilise la cryptographie à clé de sécurité et un tiers de confiance pour établir des applications client-serveur et vérifier l'identité des utilisateurs.
Kerberos est un protocole d'authentification basé sur un mécanisme de ticket dans lequel un client s'authentifie auprès d'un serveur d'authentification (AS) et reçoit un ticket (différentes étapes entre les communications avec un centre de distribution de clés) qu'il peut réutiliser avec tous les nœuds utilisant le même KDC. Ainsi, dans un réseau interne, vous pouvez accéder aux nœuds en vous authentifiant auprès d'un AS, puis en réutilisant le ticket pour accéder à d'autres nœuds.
Où le protocole Kerberos est-il principalement utilisé ?
Kerberos est principalement utilisé sur des systèmes sécurisés qui nécessitent des fonctionnalités d'audit et d'authentification fiables. Il est utilisé dans l'authentification Posix, un système d'authentification alternatif pour ssh, POP et SMTP, dans Active Directory, NFS, Samba et de nombreux autres projets similaires. Il peut régulièrement être utilisé comme système d'insertion pour tout ce qui comprend l'authentification POSIX, ce qui est assez long.
Le projet OpenAuth d'origine utilisait un système similaire, les jetons remplaçant le concept de ticket du point de vue du client. Connaissez au moins quelques autres implémentations qui ont utilisé l'authentification et l'audit de style Kerberos pour les couches de communication de services Web dans les systèmes cloud.
C'est un excellent système, bien qu'à cause de POSIX, vous puissiez trouver l'autorisation un peu draconienne, mais comme la plupart des choses, vous pouvez "rouler vous-même", et le reste de l'application respectera exactement la façon dont vous le souhaitez. . Il est également utile que l'autorisation soit effectuée régulièrement, alors que l'authentification ne se produit qu'avec les nouvelles connexions lorsqu'un ticket précédent expire ou après une perte ou une résiliation de connexion.
Quels sont les avantages de l'authentification Kerberos ?
Kerberos apporte une tonne d'avantages à toute configuration de cybersécurité. Les principaux avantages sont :
- Contrôle d'accès efficace : Kerberos donne aux utilisateurs un point unique pour suivre l'application de la politique de sécurité et de connexion.
- Accès sécurisé à vie pour les tickets critiques : Chaque ticket Kerberos a un horodatage de ticket, des données de durée de vie et un calendrier d'authentification contrôlés par l'administrateur.
- Authentification sur place : certains systèmes de service et utilisateurs peuvent s'authentifier et s'utiliser mutuellement via une authentification mutuelle.
- Authentification réutilisable : quiconque utilise l'authentification Kerberos peut la réutiliser et est durable, obligeant chaque utilisateur à être vérifié par le système une seule fois. Dans la mesure où le ticket est utilisable, l'utilisateur n'aura pas à conserver ses coordonnées à des fins d'authentification.
- Mesures de sécurité solides et diverses : Kerberos dispose d'une protection d'authentification de sécurité pour utiliser la cryptographie, plusieurs clés secrètes et une autorisation tierce, créant une défense fiable et sécurisée. Une chose à propos de Kerberos est que les mots de passe ne sont pas envoyés sur les réseaux, alors que les clés privées sont cryptées.
Qu'est-ce que la vue d'ensemble du flux de protocole Kerberos ?
Voici une version plus détaillée de ce qu'est l'authentification Kerberos. Sachez également comment cela fonctionne en le décomposant en différentes étapes et ses composants de base.
Voici les principales entités concernées par le flux du protocole Kerberos.
- Projet: Le client agit au nom de l'expérience utilisateur et sert de communication pour une demande de service.
- Server: Le serveur héberge l'utilisateur qui souhaite y accéder.
- Un serveur d'authentification (AS): L'AS effectue l'authentification client requise. Si l'authentification est lancée avec succès, le client reçoit un ticket appelé TGT (ticket-granting ticket), essentiellement une confirmation que les serveurs des autres clients sont authentifiés.
- Centre de distribution de clés (KDC): Dans une ambiance Kerberos, l'authentification est logiquement séparée en trois parties différentes
- Une base de données
- Un serveur d'authentification (AS)
- Billet d'octroi de billets (TGT)
Ces trois parties s'exécutent, tournent et existent dans un seul serveur appelé le centre de distribution de clés (KDC).
Le flux de protocole comprend les étapes suivantes :
Étape 1: Initialement, la demande d'authentification du client va. L'utilisateur demande un TGT au serveur d'authentification (AS), qui inclut l'ID client pour preuve.
Étape 2: KDC vérifie le processus ci-dessus avec les informations d'identification du client. L'AS vérifie les données pour la sécurité du client et trouve les deux valeurs ; il émet une clé client secrète, en utilisant le mot de passe avec des mots durs.
Étape 3: Le client transmet le message. Le client ou l'utilisateur utilise la clé secrète pour déchiffrer le message et génère le SK1 et le TGT de l'authentification qui valide le ticket du client.
Étape 4: Le client utilise le ticketing pour accéder à la requête générée. Les clients demandent un ticket au serveur offrant le service en envoyant la clé et en créant l'authentification à TGS.
Étape 5: KDC génère un ticket pour le serveur de fichiers. Le TGT utilise ensuite la clé secrète TGS pour décrire le TGT reçu de l'utilisateur pour extraire SK1. Le TGS vérifie si les données correspondent à l'ID et à l'adresse du client.
Enfin, le KDC crée un ticket de service contenant l'ID client, l'adresse, l'horodatage et SK2.
Étape 6: Le client utilise le ticket du serveur de fichiers pour authentifier Sk1 et Sk2.
Étape 7: Le serveur ciblé reçoit alors le déchiffrement et l'authentification. La personne cible utilise la clé secrète du serveur pour déchiffrer le ticket émis et extraire SK2.
Une fois que les vérifications sont satisfaites, le serveur ciblé envoie le message client vérifiant le client et l'AS l'un l'autre. L'utilisateur est maintenant prêt à s'engager dans une session sécurisée.
Conclusion
À la fin de l'article, nous espérons que vous avez obtenu un aperçu descriptif de ce qu'est Kerberos. Pour en savoir plus sur Kerberos, Simplilearn propose Apprentissage en ligne Simplilearn pour tous les aspirants désireux d'apprendre Kerberos.
