07 Апр, 2023

Керберос

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

Керберос это протокол сетевой аутентификации, предназначенный для обеспечения безопасной аутентификации клиентских / серверных приложений с использованием криптографии с секретным ключом. Он был разработан Массачусетским технологическим институтом и широко используется в корпоративных средах для предоставления безопасных служб аутентификации и авторизации. Kerberos использует доверенный сторонний сервер аутентификации, известный как Центр распространения ключей (KDC), для аутентификации пользователей и предоставления им доступа к сетевым ресурсам. Протокол предназначен для предотвращения подслушивания, повторных атак и других типов сетевых атак с использованием надежной криптографии и надежных серверов.

Общие порты Kerberos

TCP/UDP 88: Протокол аутентификации Kerberos

TCP/UDP 464: Протокол изменения /установки пароля Kerberos (kpasswd) (используется при смене паролей пользователей)

Инструменты для использования протокола Керберос

Ручные Инструменты:

  • Kerberos Client Tool (Klist): Инструмент командной строки, который отображает содержимое кэша заявок Kerberos и позволяет пользователям удалять заявки.

  • Kerberos Ticket Viewer (Ktutil): Инструмент командной строки для управления клавишами Kerberos и кэшами билетов.

  • Kerberos Authentication Debugger (Kadmind): Инструмент командной строки для отладки проблем с аутентификацией Kerberos в системах Unix.

  • Wireshark: Анализатор сетевых протоколов, который может использоваться для сбора и анализа сетевого трафика Kerberos.

  • Tcpdump: Инструмент командной строки, который можно использовать для сбора и анализа сетевого трафика Kerberos.

  • Kerberos Analyzer (Krb5trace): Инструмент командной строки для анализа сетевого трафика Kerberos.

Автоматизированные инструменты:

  • MIT Kerberos Test Suite: Набор автоматизированных тестов для Kerberos, которые могут быть использованы для проверки функциональности реализации Kerberos.

  • Kerberos Bruteforcer (KerbCrack): Инструмент для взлома паролей, который использует методы грубой силы для взлома паролей Kerberos.

  • Kerberoast: Инструмент для извлечения хэшей учетных записей служб Kerberos из контроллеров домена Active Directory.

  • Impacket: Коллекция классов Python для работы с сетевыми протоколами, включая Kerberos.

  • Mimikatz: Инструмент после эксплуатации, который можно использовать для извлечения билетов Kerberos и других учетных данных из взломанной системы Windows.

  • CrackMapExec: Инструмент после эксплуатации, который можно использовать для извлечения билетов Kerberos и других учетных данных из взломанной системы Windows.

  • Responder: Инструмент для выполнения атак на сетевые службы изгоев, включая атаки Kerberos.

  • Kerberos Thing-A-Ma-Jig (ktaj): Инструмент для тестирования конфигураций Kerberos и участников службы.

  • Kerberos SSO (SSOCheck): Инструмент для тестирования конфигураций единого входа (SSO) с использованием аутентификации Kerberos.

  • BloodHound: Инструмент для анализа сред Active Directory, включая конфигурации Kerberos.

  • Kerberos-Induced Failures (KIF): Инструмент для тестирования устойчивости конфигураций Kerberos к различным атакам.

  • Kerberos Scan (Kscan): Инструмент для сканирования сетей на наличие служб Kerberos и уязвимостей.

  • Kerberos Authentication Tester (KAT): Инструмент для тестирования механизмов аутентификации и авторизации реализаций Kerberos.

  • Kerberos Security Analyzer (KSA): Инструмент для анализа безопасности конфигураций Kerberos и обнаружения потенциальных уязвимостей.

  • Kerberos Recon (Krecon): Инструмент для выполнения разведки конфигураций Kerberos и участников службы.

Последние пять известных CVE для Керберос

• CVE-2023-27536: An authentication bypass vulnerability exists libcurl <8.0.0 in the connection reuse feature which can reuse previously established connections with incorrect user permissions due to a failure to check for changes in the CURLOPT_GSSAPI_DELEGATION option. This vulnerability affects krb5/kerberos/negotiate/GSSAPI transfers and could potentially result in unauthorized access to sensitive information. The safest option is to not reuse connections if the CURLOPT_GSSAPI_DELEGATION option has been changed. 

• CVE-2023-23749: Расширение ‘Интеграция LDAP с Active Directory и OpenLDAP – NTLM & Kerberos Login’ уязвимо для внедрения LDAP, поскольку неправильно очищает параметр POST ‘username’. Злоумышленник может манипулировать этим параметром для сброса произвольного содержимого из базы данных LDAP. 

• CVE-2023-21817: Уязвимость с повышением привилегий Windows Kerberos 

• CVE-2022-47508: Клиенты, настроившие свой опрос на использование Kerberos, не ожидали трафика NTLM в своей среде, но поскольку мы запрашивали данные через IP-адрес, это помешало нам использовать Kerberos. 

• CVE-2022-45141: Синтаксический анализ PAC в MIT Kerberos 5 (он же krb5) до 1.19.4 и 1.20.x до 1.20.1 имеет переполнения целых чисел, которые могут привести к удаленному выполнению кода (в KDC, kadmind или сервере приложений GSS или Kerberos) на 32-разрядных платформах (которые имеют результирующее переполнение буфера на основе кучи) и вызвать отказ в обслуживании на других платформах. Это происходит в krb5_pac_parse в lib/krb5/krb/pac.c. Heimdal до того, как в 7.7.1 появилась “аналогичная ошибка”. 

Полезная информация

– Kerberos - это протокол сетевой аутентификации, который обеспечивает надежную аутентификацию для клиент-серверных приложений.

– Он предназначен для обеспечения безопасной аутентификации в сетевой среде, где пользователи получают доступ к сетевым службам с нескольких устройств.

– Kerberos использует криптографию с симметричным ключом для защиты связи между клиентами и серверами.

– Протокол использует доверенную третью сторону, известную как Центр распределения ключей (KDC), для выдачи учетных данных аутентификации и управления ими.

– Kerberos обеспечивает взаимную аутентификацию, при которой и клиент, и сервер удостоверяют личность друг друга, а затем устанавливают безопасный сеанс.

– Kerberos предоставляет функциональность единого входа (SSO), что означает, что после аутентификации пользователя в сети ему не нужно повторно предоставлять свои учетные данные при доступе к другим ресурсам.

– Протокол Kerberos широко используется в корпоративных средах и поддерживается большинством операционных систем, включая Windows, Linux и macOS.

– Kerberos уязвим для ряда атак, таких как атаки методом перебора, повторные атаки и атаки типа "человек посередине". Чтобы снизить эти риски, важно следовать рекомендациям по настройке и обслуживанию Kerberos, а также поддерживать инфраструктуру Kerberos в актуальном состоянии с помощью последних исправлений безопасности.

– Существует ряд инструментов, доступных для тестирования и аудита реализаций Kerberos, включая как ручные, так и автоматизированные инструменты. Эти инструменты можно использовать для выявления уязвимостей в системе безопасности, неправильных настроек и других проблем, которые могут подвергнуть риску инфраструктуру Kerberos.

– Некоторые популярные инструменты для тестирования Kerberos включают Kerbrute, Kerberoast, Mimikatz, Impacket, Crackmapexec, Bloodhound и Powerview. Эти инструменты используются специалистами по безопасности для выявления и использования слабых мест в проверке подлинности Kerberos, а также для проверки эффективности средств контроля безопасности Kerberos.

Книги для учебы Керберос

“Kerberos: The Definitive Guide” Джейсон Гарман – Эта книга представляет собой исчерпывающее руководство по протоколу Kerberos и его использованию для безопасной сетевой аутентификации.

“Kerberos: A Network Authentication System” Брайан Танг – В этой книге подробно объясняется протокол Kerberos, охватывающий различные компоненты, процессы и конфигурации, связанные с настройкой и использованием системы аутентификации на основе Kerberos.

“Kerberos, Second Edition: The Definitive Guide” Джейсон Гарман, Рон Лепофски и Ричард Сильверман – Это обновленное издание окончательного руководства по Kerberos включает новую информацию о последних разработках в протоколе и его использовании в современных сетевых средах.

“Kerberos: The Myth, The Legend, The Reality” автор Джейсон Гарман – Эта книга посвящена глубокому погружению в историю Kerberos, принципам ее проектирования и эволюции на протяжении многих лет.

“Understanding Kerberos: A Quickstart Guide” автор: Эрик Фостер-Джонсон – Это краткое руководство содержит введение в протокол Kerberos и его использование в безопасной сетевой аутентификации с практическими примерами и пояснениями.

“Implementing Kerberos: The Definitive Guide” автор Кен Хорнстайн – В этой книге представлено пошаговое руководство по внедрению системы аутентификации на основе Kerberos, включая подробную информацию о настройке серверов, клиентов и приложений.

“Kerberos Authentication in a Windows Environment” Брайан Десмонд, Джо Ричардс и Робби Аллен – Эта книга посвящена проверке подлинности Kerberos в средах Windows и охватывает такие темы, как оформление билетов Kerberos, делегирование полномочий и устранение неполадок.

“Kerberos: A Guide to Authentication in an Open Network Environment” автор: Orielly and Associates – Это руководство охватывает основы Kerberos, включая его историю, принципы проектирования и ключевые компоненты, а также практические советы по внедрению и использованию протокола в реальных средах.

“Kerberos, GSS-API, and SASL: The Safe and Secure Way to Manage Network Identity” автор: Брайан Танг – В этой книге представлен обзор протокола Kerberos и его использования в защищенной сетевой аутентификации, а также связанных протоколов аутентификации, таких как GSS-API и SASL.

“Kerberos Network Authentication Service” Чжунцзе Ба и Лоуренс Снайдер – Эта книга представляет собой введение в протокол Kerberos и его использование в безопасной сетевой аутентификации с акцентом на практическую реализацию и советы по устранению неполадок.

Список полезной нагрузки для Керберос

Kerberoast: метод, используемый для извлечения хэшей тикетов Kerberos, предоставляющих тикеты (TGT), для автономных атак методом перебора.

Golden Ticket: атака Kerberos, которая позволяет злоумышленнику сгенерировать поддельный Kerberos TGT и использовать его для олицетворения любого пользователя или компьютера в сети.

Silver Ticket: атака Kerberos, которая позволяет злоумышленнику подделать служебный билет для любой службы без необходимости знать пароль учетной записи службы.

Pass the Ticket: атака Kerberos, которая позволяет злоумышленнику повторно использовать действительный билет Kerberos (TGT или service ticket) для доступа к другим ресурсам в сети.

Overpass the Hash: метод, используемый для аутентификации в качестве учетной записи пользователя или службы путем передачи поддельного хэша NTLM их пароля в систему аутентификации Kerberos.

Kerberos Relay: атака, которая перехватывает трафик Kerberos между клиентом и сервером и передает его на другой сервер для получения несанкционированного доступа.

AS-REP Roasting: метод, используемый для извлечения хэшей Kerberos AS-REP для автономных атак методом перебора.

AS-REP Roasting with Rubeus: вариант атаки с повторным обжариванием с использованием инструмента Rubeus для извлечения хэшей Kerberos AS-REP.

Kerberos Delegation: функция Kerberos, которая позволяет службе выдавать себя за пользователя и получать доступ к другим ресурсам от его имени, что может быть использовано злоумышленниками, если не настроено должным образом.

Kerberos Extension DLL Injection: атака, которая внедряет вредоносную библиотеку DLL в процесс аутентификации Kerberos для получения несанкционированного доступа.

Смягчение последствий

  1. Регулярно обновляйте и исправляйте серверы и клиенты Kerberos, чтобы предотвратить использование известных уязвимостей.

  2. Внедрите политики безопасного пароля, такие как строгие требования к паролю и частая смена пароля, чтобы предотвратить атаки методом перебора учетных данных Kerberos.

  3. Используйте брандмауэры и сегментацию сети, чтобы ограничить доступ к серверам Kerberos и свести к минимуму последствия любых успешных атак.

  4. Внедрите многофакторную аутентификацию (MFA), чтобы добавить дополнительный уровень безопасности к аутентификации Kerberos.

  5. Отслеживайте журналы Kerberos и журналы аудита на предмет подозрительных действий, таких как неудачные попытки входа в систему, необычные шаблоны аутентификации или неожиданный доступ к конфиденциальным ресурсам.

  6. Используйте системы обнаружения и предотвращения сетевых вторжений (IDS / IPS) для обнаружения и блокирования атак на Kerberos.

  7. Ограничьте область действия служб Kerberos только тем, что необходимо для нужд организации, и отключите или удалите все ненужные службы или функции Kerberos.

  8. Проводите регулярные тренинги по вопросам безопасности для пользователей, чтобы помочь им распознавать и избегать социальных инженерных и фишинговых атак, которые могут быть использованы для компрометации учетных данных Kerberos.

Заключение

Kerberos - это широко используемый протокол аутентификации, который обеспечивает безопасный способ аутентификации пользователей, служб и узлов в сети. Несмотря на то, что он обладает мощными функциями безопасности, он по-прежнему подвержен таким атакам, как атаки методом перебора, повторные атаки и атаки с подбором пароля. Важно внедрить надлежащие меры безопасности, такие как безопасные пароли и регулярная смена паролей, чтобы снизить риски, связанные с Kerberos. Кроме того, регулярный мониторинг и исправление любых известных уязвимостей имеют решающее значение для обеспечения безопасности реализации Kerberos.

Другие Услуги

Готовы к безопасности?

Связаться с нами