Bilişim

Kerberos Nedir? Nasıl Çalışır? Kerberos Kimlik Doğrulaması Nedir?

Kerberos Nedir? Kerberos Nasıl Çalışır? Kerberos Kimlik Doğrulaması Nedir? Bugün Kerberos kimlik doğrulama protokolüne bakıyoruz. Perdeyi aralayalım ve bu etkili ağ protokolü ile tanışalım.

İçindekiler

  • Kerberos nedir?
  • Kerberos Nasıl Çalışır?
  • Kerberos Ne İçin Kullanılır?
  • Kerberos Kimlik Doğrulamasının Faydaları
  • Kerberos Nedir: Protokol Akışına Genel Bakış
  • Kerberos Hacklenebilir mi?
  • Siber Güvenlik Hakkında Daha Fazla Bilgi Edinmek İster misiniz?

Siber suç, özel tüketicilerden mi yoksa genel olarak iş dünyasından mı söz ettiğimize bakılmaksızın, bugünlerde hayatın talihsiz bir gerçeğidir. Hiçbir şirket veya kuruluş güvende değildir ve sorun yakın zamanda daha iyiye gitmeyecektir.

Uzmanlar, siber suçların 2025 yılına kadar dünyaya 25 trilyon dolara mal olacağını tahmin ediyor. Bu yeterince kötü değilmiş gibi siber suçluların bugün pek çok insanın kullandığı mobil cihazlar için artan bir risk oluşturacağı tahmin ediliyor.

Bu tahminler ve diğerleri, siber suçun kalıcı olduğu ve sorunun daha da kötüleşeceği gibi sert gerçekliğe işaret ediyor. Sonuç olarak, dijital dünya, siber güvenliği güçlendirmek için yeni stratejiler bulmaya ve uygulamaya heveslidir.

Kerberos ‘un ne olduğunu ve nasıl çalıştığını anlayarak temel bilgilerle başlayalım.

Kerberos Nedir Nasıl Çalışır?

Kerberos, internet gibi güvenilmeyen bir ağ üzerinde iki veya daha fazla güvenilir ana bilgisayar arasındaki hizmet isteklerinin kimliğini doğrulayan bir bilgisayar ağı güvenlik protokolüdür. İstemci-sunucu uygulamalarının kimliğini doğrulamak ve kullanıcıların kimliklerini doğrulamak için gizli anahtar şifrelemesi ve güvenilir bir üçüncü taraf kullanır.

Başlangıçta Massachusetts Teknoloji Enstitüsü (MIT) tarafından 80’lerin sonlarında Project Athena için geliştirilen Kerberos, artık Microsoft Windows tarafından kullanılan varsayılan yetkilendirme teknolojisidir. Kerberos uygulamaları, Apple OS, FreeBSD, UNIX ve Linux gibi diğer işletim sistemleri için de mevcuttur.

Microsoft, Kerberos sürümünü Windows 2000’de kullanıma sundu ve farklı platformlar üzerinden web siteleri ve tek oturum açma uygulamaları için başvurulan protokol haline geldi. Kerberos Konsorsiyumu, Kerberos’u açık kaynaklı bir proje olarak sürdürüyor.

Protokol, adını Yunan mitlerindeki efsanevi üç başlı köpek Kerberos ‘tan (Cerberus olarak da bilinir), yeraltı dünyasının girişindeki köpek koruyucusundan alır. Kerberos’un yılan kuyruğu ve özellikle huysuz bir huyu vardı ve dikkate değer bir istisnaya rağmen çok yararlı bir koruyucuydu.

Ancak protokolün durumunda, Kerberos’un 3 başı istemciyi, sunucuyu ve Anahtar Dağıtım Merkezi‘ni (KDC) temsil eder. İkincisi, güvenilir üçüncü taraf kimlik doğrulama hizmeti olarak işlev görür.

Kerberos’u kullanan kullanıcılar, makineler ve hizmetler, yalnızca iki işlev sağlayan tek bir işlem olarak çalışan KDC’ye bağlıdır: kimlik doğrulama ve bilet verme. KDC “biletleri”, tüm taraflara kimlik doğrulaması sunarak düğümlerin kimliklerini güvenli bir şekilde doğrulamasını sağlar.

Kerberos kimlik doğrulama işlemi, ağda dolaşan paketlerin okunmasını veya değiştirilmesini engelleyen ve aynı zamanda mesajları gizlice dinleme ve yeniden oynatma (veya oynatma) saldırılarına karşı koruyan geleneksel bir paylaşılan gizli şifreleme kullanır.

Kerberos’un ne olduğunu öğrendiğimize göre, şimdi Kerberos ‘un ne için kullanıldığını anlayalım.

Kerberos Ne İçin Kullanılır?

Kerberos, dijital dünyanın her yerinde bulunsa da, ağırlıklı olarak güvenilir denetim ve kimlik doğrulama özelliklerine bağlı olan güvenli sistemlerde kullanılır. Kerberos, Posix kimlik doğrulamasında ve Active Directory, NFS ve Samba’da kullanılır. Ayrıca SSH, POP ve SMTP’ye alternatif bir kimlik doğrulama sistemidir.

Kerberos Kimlik Doğrulamasının Faydaları

Kerberos, herhangi bir siber güvenlik kurulumuna bir dizi avantaj getiriyor. Avantajları şunları içerir:

  • Etkili Erişim Kontrolü: Kerberos, kullanıcılara oturum açmaları ve güvenlik politikası uygulamasını takip etmeleri için tek bir nokta sağlar.
  • Anahtar Biletleri için Sınırlı Ömür: Her Kerberos biletinin yönetici tarafından kontrol edilen bir zaman damgası, ömür boyu verisi ve kimlik doğrulama süresi vardır.
  • Karşılıklı Kimlik Doğrulama: Hizmet sistemleri ve kullanıcılar birbirlerinin kimliğini doğrulayabilir.
  • Yeniden Kullanılabilir Kimlik Doğrulama: Kerberos kullanıcı kimlik doğrulaması yeniden kullanılabilir ve dayanıklıdır, her kullanıcının sistem tarafından yalnızca bir kez doğrulanmasını gerektirir. Bilet geçerli olduğu sürece, kullanıcının kimlik doğrulama amacıyla kişisel bilgilerini girmeye devam etmesi gerekmeyecektir.
  • Güçlü ve Çeşitli Güvenlik Önlemleri: Kerberos güvenlik kimlik doğrulama protokolleri, kriptografi, çoklu gizli anahtarlar ve üçüncü taraf yetkilendirmesi kullanarak güçlü ve güvenli bir savunma oluşturur. Parolalar ağlar üzerinden gönderilmez ve tüm gizli anahtarlar şifrelenir.

Kerberos’un ne olduğunu öğrenmenin öğrenme akışının bir parçası olarak Kerberos protokol akışına bir göz atalım.

Protokol Akışına Genel Bakış

İşte Kerberos kimlik doğrulamasının neyle ilgili olduğuna daha ayrıntılı bir bakış. Ayrıca onu temel bileşenlerine ayırarak nasıl çalıştığını da öğreneceğiz.

Tipik Kerberos iş akışında yer alan başlıca varlıklar şunlardır:

  • Müşteri: Müşteri, kullanıcı adına hareket eder ve bir hizmet talebi için iletişimi başlatır.
  • Sunucu: Sunucu, kullanıcının erişmek istediği hizmeti barındırır.
  • Kimlik Doğrulama Sunucusu (AS): AS, istenen istemci kimlik doğrulamasını gerçekleştirir. Kimlik doğrulama başarılı olursa, AS istemciye TGT (Bilet Verme Bileti) adlı bir bilet verir. Bu bilet, diğer sunuculara istemcinin kimliğinin doğrulandığını garanti eder.
  • Anahtar Dağıtım Merkezi (KDC): Bir Kerberos ortamında, kimlik doğrulama sunucusu mantıksal olarak üç bölüme ayrılır: Bir veritabanı (db), Kimlik Doğrulama Sunucusu (AS) ve Bilet Verme Sunucusu (TGS). Bu üç bölüm, sırayla, Anahtar Dağıtım Merkezi adı verilen tek bir sunucuda bulunur.
  • Ticket Granting Server (TGS): TGS, hizmet biletlerini hizmet olarak veren bir uygulama sunucusudur.

Şimdi protokol akışını parçalayalım.

İlk olarak, Kerberos akışında yer alan 3 önemli gizli anahtar vardır. İstemci/kullanıcı, TGS ve AS ile paylaşılan sunucu için benzersiz gizli anahtarlar vardır.

  • İstemci/kullanıcı: Kullanıcının parolasından elde edilen karma
  • TGS gizli anahtarı: TGS’nin belirlenmesinde kullanılan parolanın karma değeri
  • Sunucu gizli anahtarı: Hizmeti sağlayan sunucuyu belirlemek için kullanılan parolanın karması.

Protokol akışı aşağıdaki adımlardan oluşur:

Adım 1: İlk istemci kimlik doğrulama isteği. Kullanıcı, kimlik doğrulama sunucusundan (AS) bir Bilet Verme Bileti (TGT) ister. Bu istek, müşteri kimliğini içerir.

Adım 2: KDC, istemcinin kimlik bilgilerini doğrular. AS, müşteri ve TGS’nin kullanılabilirliği için veritabanını kontrol eder. AS her iki değeri de bulursa, kullanıcının parola karmasını kullanarak bir istemci/kullanıcı gizli anahtarı oluşturur.

AS daha sonra TGS gizli anahtarını hesaplar ve istemci/kullanıcı gizli anahtarı tarafından şifrelenmiş bir oturum anahtarı (SK1) oluşturur. AS daha sonra istemci kimliği, istemci ağ adresi, zaman damgası, yaşam süresi ve SK1’i içeren bir TGT oluşturur. TGS gizli anahtarı daha sonra bileti şifreler.

Adım 3: İstemci mesajın şifresini çözer. İstemci, mesajın şifresini çözmek ve SK1 ve TGT’yi çıkarmak için istemci/kullanıcı gizli anahtarını kullanır ve müşterinin TGS’sini doğrulayan kimlik doğrulayıcıyı oluşturur.

Adım 4: İstemci, erişim istemek için TGT’yi kullanır. İstemci, ayıklanan TGT’yi ve oluşturulan kimlik doğrulayıcıyı TGS’ye göndererek hizmeti sunan sunucudan bir bilet talep eder.

Adım 5: KDC, dosya sunucusu için bir bilet oluşturur. Ardından TGS, istemciden alınan TGT’nin şifresini çözmek için TGS gizli anahtarını kullanır ve SK1’i çıkarır. TGS, kimlik doğrulayıcının şifresini çözer ve istemci kimliği ve istemci ağ adresiyle eşleşip eşleşmediğini kontrol eder. TGS, TGT’nin süresinin dolmadığından emin olmak için çıkarılan zaman damgasını da kullanır.

İşlem tüm kontrolleri başarılı bir şekilde yürütürse, KDC, istemci ile hedef sunucu arasında paylaşılan bir hizmet oturum anahtarı (SK2) oluşturur.

Son olarak KDC, istemci kimliği, istemci ağ adresi, zaman damgası ve SK2’yi içeren bir hizmet bileti oluşturur. Bu bilet daha sonra sunucunun db’den alınan gizli anahtarıyla şifrelenir. İstemci, tümü SK1 ile şifrelenmiş olan hizmet biletini ve SK2’yi içeren bir mesaj alır.

Adım 6: İstemci, kimlik doğrulaması için dosya biletini kullanır. İstemci, SK1’i kullanarak mesajın şifresini çözer ve SK2’yi çıkarır. Bu işlem, istemci ağ adresini, istemci kimliğini ve zaman damgasını içeren, SK2 ile şifrelenmiş yeni bir kimlik doğrulayıcı oluşturur ve bunu ve hizmet biletini hedef sunucuya gönderir.

Adım 7: Hedef sunucu şifre çözme ve kimlik doğrulamayı alır. Hedef sunucu, hizmet biletinin şifresini çözmek ve SK2’yi çıkarmak için sunucunun gizli anahtarını kullanır. Sunucu, kimlik doğrulayıcının şifresini çözmek için SK2’yi kullanır ve kimlik doğrulayıcıdan gelen istemci kimliği ve istemci ağ adresinin ve hizmet biletinin eşleştiğinden emin olmak için kontroller gerçekleştirir. Sunucu ayrıca hizmet biletinin süresinin dolup dolmadığını kontrol eder.

Kontroller karşılandığında, hedef sunucu istemciye, istemcinin ve sunucunun birbirini doğruladığını doğrulayan bir mesaj gönderir. Kullanıcı artık güvenli bir oturuma katılabilir.

Kerberos ‘un ne olduğunu öğrenmek için buraya kadar geldikten sonra, Kerberos’un yanılmaz olup olmadığı konusuna bakalım.

Kerberos Hacklenebilir mi?

Hiçbir güvenlik önlemi %100 zapt edilemez değildir ve Kerberos da bir istisna değildir. Bu kadar uzun süredir var olduğu için, bilgisayar korsanları, genellikle biletler oluşturarak, parolaları tahmin etmek için tekrar tekrar girişimlerde bulunarak (kaba kuvvet/kimlik bilgisi doldurma) ve şifrelemeyi düşürmek için kötü amaçlı yazılımlar kullanarak, yıllar içinde bunun yollarını bulma fırsatına sahip oldular.

Buna rağmen, Kerberos bugün hala mevcut olan en iyi güvenlik erişim protokolüdür. Protokol, yeni tehditlerle mücadeleye yardımcı olmak için daha sağlam şifreleme algoritmaları kullanacak kadar esnektir ve kullanıcılar iyi parola seçimi politikaları uygularsa, sorun olmaz!

Siber Güvenlik Hakkında Daha Fazla Bilgi Edinmek İster misiniz?

Siber güvenlik alanı, birçok farklı konuyu, konuyu ve prosedürü kapsayan geniş ve çeşitli bir yerdir. Siber güvenlik bilginizi geliştirmenin etkili yollarını arıyorsanız, aşağıdakilerden bazılarını göz önünde bulundurmalısınız.

Sistemleri test etmeye ve güvenlik açıklarını tespit etmeye yardımcı olmak için sertifikalı etik bilgisayar korsanlarına sürekli bir talep var. Etik Hacking Kursu kurslarına göz atın ve beyaz şapkalı bir hacker’ın kariyer yolunda ilerlemeye başlayın. Veya CompTIA Security+ veya COBIT 2019 gibi ilgili IS konuları hakkında daha fazla bilgi edinmek isteyebilirsiniz.

Sertifikalı Bilgi Güvenliği Yöneticisi, Sertifikalı Bulut Güvenliği Uzmanı veya Sertifikalı Bilgi Sistemleri Denetçisi gibi farklı bilgi güvenliği eğitim kurslarını keşfetmek isteyebilirsiniz.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu