Kerberos-Authentifizierung

Inhaltsverzeichnis

Was ist eine Kerberos-Authentifizierung?

Zerberus - benannt nach dem dreiköpfigen Wachhund aus der griechischen Mythologie - ist ein vom MIT entwickeltes, externes Netzwerkauthentifizierungsprotokoll. Zerberus verwendet die Verschlüsselung mit geheimen Keys, um auch in nicht sicheren Netzwerken eine sichere Authentifizierung für Client/Server-Anwendungen sicherzustellen. Um die Authentizität eines Benutzers festzustellen, übermitteln der Client und der Server anstelle der üblichen Kombination aus Benutzer-ID und Passwort verschlüsselte Keys, die als „Tickets“ bezeichnet werden.

Zerberus wurde entwickelt, damit Passwörter nicht mehr lokal gespeichert oder über das Internet gesendet werden müssen und bietet eine gegenseitige Authentifizierung, sodass sowohl die Authentizität des Benutzers als auch die des Servers überprüft werden kann.

Funktionsweise der Zerberus-Authentifizierung

Jeder Benutzer innerhalb eines Systems – der als „Principal“ bezeichnet wird – beginnt mit einem eindeutigen Ticket. Diese Tickets werden vom Authentifizierungsserver ausgestellt, der auch als Kerberos Key Distribution Center (allgemein „KDC“) bezeichnet wird, und zur Identifizierung bestimmter Principals verwendet. Das Ticket wird mit einem geheimen Key verschlüsselt und speichert verschiedene Informationen zu den Anmeldedaten eines Principals.

Dieser geheime Key wird nur zwischen dem Authentifizierungsserver und dem Server, auf den der Client zugreifen möchte, geteilt. Daher kennt der Client, der das Ticket angefordert hat, weder den Inhalt des ausgestellten Tickets, noch kann er diesen Inhalt ändern. Kerberos verwendet auch eine symmetrische Key-Verschlüsselung, d. h. es wird derselbe Key zum Ver- und Entschlüsseln verwendet.

Das Ticket enthält normalerweise Informationen über den Principal, darunter:

Den Sitzungsschlüssel
Die Identifizierung des anfragenden Benutzers (in der Regel ein Benutzername)
Den Server/Dienst, für den die Anfrage bestimmt ist
Die Client-seitige IP-Adresse des Geräts, das zur Verwendung des jeweiligen Tickets berechtigt ist
Die Zeit bis zum Ablauf des Tickets (normalerweise 10 Stunden)
Den Zeitpunkt der Erstellung des Tickets

Der Administrator des Zerberus-Realm (so bezeichnet man die Gesamtheit der Computer und Principals) kann zwar die Ausgabe von Tickets an bestimmte Benutzer verweigern, aber ein Ticket nach dessen Ausstellung nicht mehr widerrufen. Daher ist es wichtig, dass jedem Ticket eine Ablaufzeit zugewiesen ist.

Um ein Ticket zu erhalten, sendet der Client eine Anfrage an den Authentifizierungsserver, die Informationen über den Server enthält, zu dem er eine Verbindung herstellen möchte. Der Authentifizierungsserver überprüft daraufhin, ob sich der Benutzername des Clients in der KDC-Datenbank befindet. Ist der Benutzername gültig, generiert der Authentifizierungsserver ein Ticket und stellt es mit einem angehängten Sitzungsschlüssel aus. So muss das Passwort des Benutzers bei dieser Methode niemals unverschlüsselt gespeichert werden, auch nicht in der Datenbank des Authentifizierungsservers.

Warum die Kerberos-Authentifizierung von Interesse ist

Jedes Mal, wenn Informationen über das Internet übertragen werden, sind diese Informationen vermehrt externen Quellen ausgesetzt, einschließlich potenzieller böswilliger Angreifer. Hacker verwenden häufig Tools zum Abfangen von Passwörtern aus dem Netzwerk, wenn diese hin und her gesendet werden. Aufgrund dieser Schwachstelle ist es viel sicherer, ein über das Netzwerk übermitteltes Passwort immer zu verschlüsseln. Die Zerberus-Passwortauthentifizierung stellt sicher, dass diese Verschlüsselung erfolgt und überprüft außerdem die Identität des Clients, der die Anfrage sendet.

Firewalls sind eine gute Methode zur Verteidigung gegen Eindringlinge von außen oder böswillige Hacker. Doch ihre Funktionsweise basiert in der Regel darauf, dass die Angriffe von außerhalb eines Netzwerks stammen. Dadurch besteht weiterhin die Gefahr von Angriffen durch Personen, die bereits Zugriff zum Netzwerk haben. Der Zerberus-Authentifizierungsprozess funktioniert dagegen unabhängig vom Ort, an dem der Eindringversuch stattfindet.

Kerberos-Authentifizierung - weiterführende Ressourcen

Zugehörige Begriffe

Weiterführende Ressourcen

Wikipedia: Kerberos (Protokoll)

Zugehörige Produkte

Durch die Implementierung der Zerberus-basierten Authentifizierung in Ihrem Netzwerk können Barracuda CloudGen Firewalls ausgehende Webanfragen Active Directory-Benutzern zuordnen, Benutzeraktivitäten protokollieren und benutzerspezifische oder gruppenspezifische Richtlinien auf ausgehende Verbindungen anwenden.

Das Barracuda Web Security Gateway enthält die Zerberus-Integration, um Anfragen von Clients hinter einem NAT-fähigen Router, Windows Terminal Services und Citrix Presentation Services zu ermöglichen.

Haben Sie weitere Fragen zum Thema Zerberus-Authentifizierung? Wir helfen gerne weiter.

Telefonisch: +1 888 268 4772

Live-Chat

Per E-Mail

Vor- und Nachname*

E-Mail-Adresse*

Firmenname*

Telefonnummer*

Land*

Bundesland/Kanton* Bundesland/Provinz

Postleitzahl* Postleitzahl

Nachricht (optional)

Barracuda Email Protection

Cloud Application Protection

Barracuda Network Protection

Services

Technische Informationen

Quick-Links

Über uns

Neuigkeiten und Events

Rechtlicher Hinweis

Glossar