سر قصل های این مطلب:
- معرفی کربروس و تاریخچه آن
- ویژگی های اصلی آن
- تقاوت آن با NTLM
- چگونگی کار کردن پروتکل احراز هویت کربروس
- بررسی نقاط ضعف و قدرت آن
معرفی پروتکل کربروس :
Kerberos یک پروتکل امنیتی شبکه است و نام آن از قهرمان اساطیر یونان که معروف به سگ سه سر جهنم بر گرفته شده است. که درخواست های سرویس بین دو یا چند میزبان مورد اعتماد را در یک شبکه غیر قابل اعتماد مانند اینترنت احراز هویت می کند.
اولین نسخه کربروس همراه با ویندوز 2000 معرفی شد که تا به الان از Version 5 استفاده می کنند که لازم به توضیح است کربروس این فناوری را به عنوان یک پروژه منبع باز نگه داری می کند که توانسته پیشرفت قابل چشمگیری داشته باشد.
کربروس سیستم احراز هویت پیش فرض مایکروسافت است ولی به این معنا نیست که ما نتونیم روی سیستم های دیگر مثل لینوکس و اپل و … استفاده کنیم.
همچنین این فناوری به یک استاندارد برای وبسایت ها و احراز هویت شناسایی یگانه (Single Sing _ One) در پلتفرم های مختلف تعریف شده است.
ویژگی های اصلی پروتکل کربروس :
- ایمن است. هرگز هرگز پسوورد را ارسال نمی کند مگر اینکه رمز نگاری شده باشد.
- به ازای هر نشست تنها یکبار لاگین نیاز است. اعتبارنامه هایی که در زمان لاگین تعریف می شوند در ادامه کار بین منابع عبور داده شده تا نیاز به لاگین اضافی نباشد.
- این مفهموم وابسته به یک سیستم سوم شخص با نام مرکز توضیع کلید یا همان KDC می باشد.
- این پروتکل احراز هویت دو جانبه و متقابل را انجام می دهد. به این صورت که کلاینت هویت خود را برای سرور اثبات می کند و سرور هم متقابلا هویت خود را برای کلاینت اثبات می کند.
تفاوت NTLM با کربروس
قبل از کربروس مایکروسافت از یک فناوری احراز هویت بنام (Nt Lan Manager) NTLM استفاده می کرد که یک پروتکل اهراز هویت چالش – پاسخ بود. کامپیوتر یا کنترل کننده دامنه گذرواژه ها را بررسی و هشت گذرواژه را برای استفاده مداوم ذخیره می کرد. بزرگترین تفاوت این دو سیستم در احراز هویت ثالث و توانایی رمزنگاری قدرتمندتر کربروس است. کربروس در مقایسه با NTLM از یک لایه امنیتی اضافی در فرایند احراز هویت استفاده می کند. این روزها سیستم های مبتنی بر NTLM را می توان در عرض چند ساعت هک کرد. به بیان ساده فناوری NTLM قدیمی و به تعبیری منسوخ شده است که نباید برای محافظت از داده های حساس از آن استفاده کرد.
چگونگی عملکرد کربروس :
مراحل چگونگی احراز هویت کربروس :
- کلاینت برای دسترسی به فایل سرور اول باید یه درخواست به سرور احراز هویت ما ارسال کند که شامل نام کاربری و رمز کلاینت است هنگامی که AC در خواست را دریافت کرد در دیتابیس خودش چک میکنه همچنین شخصی با این مشخصات وجود دارد یا خیر.
- پس از تایید کاربر AC یک تیکت به نام TGT برای مشتری ارسال می کند.
- کلاینت با داشتن TGT به سمت سرور TGS می رود داخل اون تیکت دلیل دسترسی به سرور توضیح داده شده است TGS وقتی تیکت را دریافت می کند با کد های رمزنگاری شده ای که AC دارد رمز گشایی می کند.
- اگر همه ی موارد مورد تایید باشد در آخر TGS یک تیکت خدمات رو به کلاینت ارسال می کند.
- کلاینت با داشتن آن تیکت به سمت سرور می رود و سرور با دریافت تیکت و با استفاده از کلید مخفی مشترک بین سرور و KDC رمز گشایی می شود.
- در آخر اگر کلید مخفی مطابقت داشته باشد سرور اجازه می دهد که کلاینت از سرویس ها استفاده کند.
نقاط ضعف و قوت آن
Kerberos بطور قابل توجهی امن تر از NTLM است در واقع مجوز شخص ثالث آن را به یکی از امن ترین پروتکل های مورد تایید در دنیای فناوری اطلاعات تبدیل می نماید. علاوه بر این رمز های آن هرگز بصورت متن ساده Clear Text به اشتراک گداشته نمی شوند. کلید های مخفی فقط بصورت رمز گزاری شده از سیستم منتقل می شود. Kerberos همچنین ردیابی اینکه چه کسی، چه چیزی و چه زمانی درخواست کرده است را بسیار آسان می کند.
بطور طبیعی، Kerberos دارای آسیب پذیری هایی است. به عنوان مثال، اگر سرور Kerberos از کار بیفتد کاربران نمی توانند وارد سیستم شوند.
همچنین الزامات زمان بندی وجود ندارد پیکربندی تاریخ / زمان میزبان های درگیر باید همیشه در محدوده های از پیش تعریف شده همگام شوند. در غیر اینصورت احراز هویت با شکست مواجه می شود، چرا که تیکت ها فقط به میزان محدودی از نظر زمانی در دسترس هستند.
مشاوره، اجرا و پشتیبانی شبکه های کامپیوتری و راه اندازی سیستم اکتیو دایرکتوری (Active Directory)
تیم فنی و مهندسی ثمین نتورک با سابقه درخشان 15 ساله در طراحی ، اجرا و پشتیبانی شبکه های کامپیوتری برای ادارات ، کارخانه ها ، شرکت ها و دفاتر اداری و تجاری ، آماده ارائه خدمات شبکه از جمله راه اندازی پروتکل کربروس برای سیستم شما در شهرک های اداری ، صنعتی و همه مناطق استان تهران و حومه می باشد. جهت دریافت مشاوره و کارشناسی رایگان با ما تماس بگیرید.
