Explicação da autenticação Kerberos

Segundo a mitologia, Kerberos (talvez você o conheça como Cérbero) é um enorme cão de três cabeças, com rabo de cobra e mau humor que guarda os Portões de entrada do Submundo.
Michael Buckbee
4 minuto de leitura
Ultima atualização 21 de Abril de 2022

Segundo a mitologia, Kerberos (talvez você o conheça como Cérbero) é um enorme cão de três cabeças, com rabo de cobra e mau humor que guarda os Portões de entrada do Submundo.

No mundo moderno, os cientistas da computação do MIT usaram o nome e a imagem do Kerberos para seu protocolo de autenticação de rede de computadores. O Kerberos usa criptografia de chave simétrica e requer autorização confiável de terceiros para verificar as identidades do usuário. Como o Kerberos requer três entidades para autenticação e já demonstrou brilhantemente que pode tornar os computadores mais seguros, o nome é perfeito.

Receba gratuitamente o e-book Pentesting
Active Directory Environments

O que é o Kerberos?

A autenticação Kerberos é atualmente a tecnologia de autorização-padrão usada pelo Microsoft Windows, e há implementações do Kerberos no sistema operacional da Apple, FreeBSD, UNIX e Linux.

A Microsoft apresentou sua própria versão do Kerberos no Windows 2000. Esse protocolo também se tornou um padrão para sites e implementações de logon único em todas as plataformas. O Kerberos Consortium mantém o Kerberos como um projeto de código aberto.

O Kerberos é uma grande melhoria em relação às tecnologias de autorização anteriores. A criptografia avançada e a autorização de permissões de terceiros tornam muito mais difícil para os cibercriminosos se infiltrarem na rede. Não é totalmente sem falhas e, para se defender dessas falhas, você precisa primeiro entendê-las.

O Kerberos tornou a internet e seus usuários mais seguros, permitindo que eles trabalhem mais na internet e no escritório sem comprometer a segurança.

Qual é a diferença entre Kerberos e NTLM?

Antes do Kerberos, a Microsoft usava uma tecnologia de autenticação chamada NTLM, que significa NT Lan Manager, um protocolo de autenticação desafio-resposta. O computador de destino ou o controlador de domínio verifica e controla a senha e armazena seus hashes para uso contínuo.

A maior diferença entre os dois sistemas é a verificação de terceiros e a capacidade de criptografia superior no Kerberos. Essa etapa adicional no processo permite um nível de segurança extra significativo em relação ao NTLM.

Atualmente, os sistemas NTLM podem ser invadidos em questão de horas: é basicamente uma tecnologia mais antiga, e você não deve confiar no NTLM para proteger dados confidenciais.

Como se autenticar com o Kerberos?

Um simples diagrama de autenticação Kerberos

Aqui estão as etapas mais básicas para autenticação em um ambiente com Kerberos.

  1. O cliente solicita uma permissão de autenticação (TGT) do Centro de Distribuição de Chaves (KDC).
  2. O KDC verifica as credenciais e envia um TGT criptografado e uma chave de sessão.
  3. O TGT é criptografado usando a chave secreta do Ticket Granting Service (TGS).
  4. O cliente armazena o TGT e, quando esse TGT expira, o gerente de sessão local solicita outro (esse processo é transparente para o usuário).

Se o Cliente solicitar acesso a um serviço ou outro recurso na rede, este é o processo:

  1. O cliente envia o TGT atual para o TGS com o Nome da Entidade de Serviço (SPN) do recurso que o cliente quer acessar.
  2. O KDC verifica o TGT do usuário e garante que o usuário tenha acesso ao serviço.
  3. O TGS envia uma chave de sessão válida para o serviço ao cliente.
  4. O cliente encaminha a chave de sessão para o serviço para provar que o usuário tem permissão para acessar e o serviço concede acesso.

O Kerberos pode ser hackeado?

Sim. Por ser um dos protocolos de autenticação mais populares, os hackers desenvolveram várias maneiras de invadi-lo. A maioria desses ataques explora uma vulnerabilidade, senhas fracas ou malware, às vezes uma combinação dos três. Estes são alguns dos métodos mais eficazes de hackear o Kerberos:

  • Pass-the-Ticket: o processo de forjar uma chave de sessão e apresentá-la ao recurso na forma de credenciais.
  • Golden Ticket: um tíquete que concede a um usuário acesso como administrador de domínio.
  • Silver Ticket: um tíquete forjado que concede acesso a um serviço.
  • Credential stuffing/Brute force: tentativas contínuas automáticas de adivinhar uma senha.
  • Downgrade de criptografia com Skeleton Key Malware: um malware que pode ignorar o Kerberos, mas o invasor deve ter acesso de administrador.
  • Ataque DCShadow: um novo ataque que permite que os invasores obtenham acesso suficiente dentro de uma rede para configurar o próprio DC para ser usado em outras infiltrações.

possíveis invasões ao Kerberos

O Kerberos está obsoleto?

O Kerberos está longe de ser obsoleto e provou ser um protocolo de controle de acesso de segurança adequado, apesar da capacidade dos invasores de invadi-lo. A principal vantagem do Kerberos é a capacidade de usar algoritmos de criptografia fortes para proteger senhas e permissões de autenticação. Com os computadores de hoje, qualquer ataque de força bruta do algorítimo de criptografia AES usado pela versão atual do Kerberos levaria aproximadamente mais tempo do que o restante para a existência do sistema solar. Em poucas palavras, o Kerberos vai ficar ativo por um tempo de uma forma ou de outra.

O que vai substituir o Kerberos?

Não há concorrentes reais em desenvolvimento para substituir o Kerberos. A maioria dos avanços de segurança são para proteger a senha ou fornecer um método diferente de validação de identidade para o Kerberos, que continua sendo a tecnologia de back-end até hoje. O Kerberos se destaca no logon único (SSO), o que o torna muito mais útil em um ambiente de trabalho moderno, conectado e baseado na internet. Com o SSO, você prova sua identidade uma vez para o Kerberos, que passa seu TGT para outros serviços ou máquinas como prova de sua identidade.

O elo mais fraco da cadeia Kerberos é a senha. As senhas podem ser quebradas por força bruta ou roubadas com ataques de phishing. Por esse motivo, a autenticação multifator (MFA) está se tornando mais popular para proteger identidades online. Com a MFA, você precisa da senha e de algo mais – token aleatório, telefone celular, e-mail, impressão digital, escaneamento de retina, reconhecimento facial, etc. – para provar sua identidade ao Kerberos.

Como a Varonis monitora o Kerberos?

A Varonis monitora domínios do Active Directory em busca de ataques ao Kerberos, escalonamento de privilégios, ataques de força bruta e muito mais. Nossa análise de segurança combina eventos de usuários, eventos de segurança e telemetria de perímetro para detectar e alertar sobre possíveis ataques e vulnerabilidades de segurança.

Estes são exemplos de modelos de ameaça da Varonis que ajudam a detectar ataques ao Kerberos:

  • Possível ataque Pass-the-Ticket: solicitação de acesso a um recurso sem autenticação adequada, ignorando o protocolo Kerberos.
  • Falha no escalonamento de privilégios detectado por meio de vulnerabilidade no Kerberos: um invasor tentou elevar seus privilégios explorando a vulnerabilidade do Kerberos.
  • Possível ataque de força bruta visando uma conta específica: ocorreu um número incomum de falhas de autenticação de um único endereço IP por um único usuário.
  • Atividade do certificado de segurança por não administradores: a atividade de um usuário que não é administrador foi detectada nos arquivos de certificação. Este é potencialmente um invasor tentando roubar assinaturas.
  • …e esse é apenas o começo!

Descubra hoje mesmo como a Varonis realmente detecta ataques ao Kerberos com uma demonstração individual e entre em contato para saber mais sobre nossos modelos de ameaças.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

novos-ataques-ao-active-directory-exploram-vulnerabilidade-do-kerberos
Novos Ataques ao Active Directory exploram vulnerabilidade do Kerberos
Invasores estão utilizando privilégio de contas, tickets de acesso e roubo de senhas para acessar ambientes corporativos  Depois de uma série de ataques massivos ao Active Directory (AD), da Microsoft, engenheiros de sistemas da Varonis, empresa pioneira em segurança e análise de dados, descobriram que hackers estão agora explorando uma das formas de autenticação mais utilizadas em acessos do tipo SSO (Single Sign-On), o Kerberos. O novo protocolo de autenticação é…
solução-datadvantage-da-varonis-facilita-a-implementação-do-controle-de-acesso-baseado-em-função-(rbac)-como-medida-de-segurança-de-dados
Solução DatAdvantage da Varonis facilita a implementação do Controle de Acesso Baseado em Função (RBAC) como medida de segurança de dados
O Controle de Acesso Baseado em Função (RBAC) é uma medida de segurança de dados importante para evitar que usuários tenho acesso à “áreas indevidas” de uma rede corporativa. Saiba como a Solução DatAdvantage da Varonis facilita a implementação do RBAC.
evite-o-roubo-de-senhas-que-pode-ser-realizado-pelos-ataques-meltdown-e-spectre
Evite o roubo de senhas que pode ser realizado pelos ataques Meltdown e Spectre
Senhas são essenciais para o trabalho. O roubo de senhas pode causar prejuízos graves. Impeça que os ataques Meltdown e Spectre roubem suas senhas.
afinal,-os-usuários-windows-devem-ou-não-trocar-as-suas-senhas-periodicamente?
Afinal, os usuários Windows devem ou não trocar as suas senhas periodicamente?
É regra em qualquer área de TI fazer com que os usuários alterem suas senhas periodicamente. Na verdade, a necessidade de alterações programadas de senha é uma das práticas recomendadas de TI mais antigas.  Recentemente, no entanto, as coisas começaram a mudar. A Microsoft reverteu o curso sobre as práticas recomendadas que vinham em vigor há décadas e não…