Kerberos 인증은 어떻게 작동합니까?

by

Kerberos는 백엔드 시스템이지만 매우 원활하게 통합되어 대부분의 사용자나 관리자가 그 존재를 간과합니다.

Kerberos란 무엇이며 어떻게 작동합니까?

리소스에 액세스하기 위해 로그인이 필요한 이메일 또는 기타 온라인 서비스를 사용하는 경우 Kerberos 시스템을 통해 인증할 가능성이 있습니다.

Kerberos로 알려진 보안 인증 메커니즘은 장치, 시스템 및 네트워크 간의 안전한 통신을 보장합니다. 주요 목표는 해커로부터 데이터 및 로그인 정보를 보호하는 것입니다.

Kerberos는 Microsoft Windows, Apple macOS, FreeBSD 및 Linux를 포함하여 널리 사용되는 모든 운영 체제에서 지원됩니다.

Kerberos에서 사용하는 5단계 보안 모델은 상호 인증과 대칭 키 암호화로 구성됩니다. 신원을 확인하면 인증된 사용자가 시스템에 로그인할 수 있습니다.

중앙 데이터베이스와 암호화를 결합하여 사용자와 서비스의 합법성을 확인합니다. Kerberos 서버는 서비스에 대한 액세스를 허용하기 전에 먼저 사용자를 인증합니다. 그런 다음 성공적으로 인증된 경우 서비스에 액세스하는 데 사용할 수 있는 티켓이 발급됩니다.

본질적으로 Kerberos는 사용자가 서로 안전하게 통신할 수 있도록 “티켓”에 의존합니다. Kerberos 프로토콜은 KDC(키 배포 센터)를 사용하여 클라이언트와 서버 간의 통신을 설정합니다.

Kerberos 프로토콜을 사용할 때 서버는 클라이언트로부터 요청을 받습니다. 그런 다음 서버는 토큰이 포함된 응답으로 응답합니다. 그런 다음 클라이언트는 서버와 티켓에 요청을 보냅니다.

시스템 간에 전송되는 데이터의 안전성을 보장하는 필수적인 방법입니다. 보안되지 않은 네트워크 연결 문제를 해결하기 위해 1980년 MIT(Massachusetts Institute of Technology)에서 개발했으며 현재 다양한 시스템에 포함되어 있습니다.

이 기사에서는 Kerberos의 장점, 실용적인 응용 프로그램, 단계별 작동 방법 및 안전한 방법에 대한 세부 정보를 살펴보겠습니다.

Kerberos 인증의 이점

광대한 분산 컴퓨팅 환경에서 컴퓨터 시스템은 Kerberos로 알려진 네트워크 인증 프로토콜로 인해 서로를 안전하게 식별하고 통신할 수 있습니다.

비밀 키 암호화를 사용하는 Kerberos는 클라이언트/서버 응용 프로그램에 대한 강력한 인증을 제공하기 위한 것입니다. 이 프로토콜은 애플리케이션 보안의 토대를 마련하며 SSL/TLS 암호화와 함께 자주 사용됩니다.

널리 사용되는 인증 프로토콜 Kerberos는 SMB 및 대기업에 더 매력적으로 만들 수 있는 몇 가지 이점을 제공합니다.

  WebSphere에서 힙 덤프, Java 코어 및 시스템 덤프 생성

우선 Kerberos는 믿을 수 없을 정도로 신뢰할 수 있습니다. 가장 복잡한 공격에 대해 테스트를 거쳤으며 면역성이 입증되었습니다. 또한 Kerberos는 설정, 활용 및 여러 시스템에 통합하기 쉽습니다.

독특한 혜택

  • Kerberos에서 사용하는 고유한 티켓팅 시스템을 통해 더 빠른 인증이 가능합니다.
  • 서비스와 클라이언트는 서로를 인증할 수 있습니다.
  • 인증 기간은 제한된 타임스탬프로 인해 특히 안전합니다.
  • 최신 분산 시스템의 요구 사항 충족
  • 티켓 타임스탬프가 여전히 유효한 동안 재사용할 수 있으며 Authenticity는 사용자가 다른 리소스에 액세스하기 위해 로그인 정보를 다시 입력할 필요가 없도록 합니다.
  • 다중 비밀 키, 제3자 인증 및 암호화는 최고 수준의 보안을 제공합니다.

Kerberos는 얼마나 안전한가요?

우리는 Kerberos가 보안 인증 프로세스를 사용하는 것을 보았습니다. 이 섹션에서는 공격자가 Kerberos 보안을 위반할 수 있는 방법을 살펴봅니다.

수년 동안 Kerberos 보안 프로토콜이 사용되었습니다. 예를 들어 Windows 2000 출시 이후 Microsoft Windows는 Kerberos를 표준 인증 메커니즘으로 만들었습니다.

Kerberos 인증 서비스는 비밀 키 암호화, 암호화 및 신뢰할 수 있는 타사 인증을 사용하여 전송 중에 민감한 데이터를 성공적으로 보호합니다.

보안을 강화하기 위해 최신 버전인 Kerberos 5에서 고급 암호화 표준(AES)을 사용하여 보다 안전한 통신을 보장하고 데이터 침입을 방지합니다.

미국 정부는 AES가 특히 비밀 정보 보호에 효과적이기 때문에 AES를 채택했습니다.

그러나 완전히 안전한 플랫폼은 없으며 Kerberos도 예외가 아니라는 주장이 있습니다. Kerberos가 가장 안전하지만 기업은 해커에게 이용당하지 않도록 공격 표면을 지속적으로 확인해야 합니다.

광범위한 사용의 결과로 해커는 인프라의 보안 허점을 발견하기 위해 노력합니다.

다음은 발생할 수 있는 몇 가지 일반적인 공격입니다.

  • 골든티켓 공격 : 가장 데미지가 높은 공격이다. 이 공격에서 공격자는 Kerberos 티켓을 사용하여 정품 사용자의 키 배포 서비스를 하이재킹합니다. 주로 액세스 제어 권한에 사용되는 Active Directory(AD)가 있는 Windows 환경을 대상으로 합니다.
  • 실버 티켓 공격: 위조된 서비스 인증 티켓을 실버 티켓이라고 합니다. 해커는 컴퓨터 계정 암호를 해독하고 이를 사용하여 잘못된 인증 티켓을 구성하여 실버 티켓을 생성할 수 있습니다.
  • 티켓 전달: 거짓 TGT를 생성하여 공격자는 가짜 세션 키를 구성하고 이를 합법적인 자격 증명으로 제시합니다.
  • 해시 공격 통과: 이 전술은 사용자의 NTLM 암호 해시를 얻은 다음 NTLM 인증을 위해 해시를 전송하는 것을 수반합니다.
  • Kerberoasting: 이 공격은 Kerberos 프로토콜을 남용하여 서비스 계정과 같은 SPN(servicePrincipalName) 값이 있는 Active Directory 사용자 계정의 암호 해시를 수집하는 것을 목표로 합니다.
  점수 향상을 위한 8가지 최고의 ACT 준비 과정

Kerberos 위험 완화

다음 완화 조치는 Kerberos 공격을 방지하는 데 도움이 됩니다.

  • 24시간 네트워크를 모니터링하고 실시간으로 취약점을 식별하는 최신 소프트웨어를 채택하십시오.
  • 최소 권한: 해당 사용자, 계정 및 컴퓨터 프로세스만 작업을 수행하는 데 필요한 액세스 권한이 있어야 함을 나타냅니다. 이렇게 하면 서버, 주로 KDC 서버 및 기타 도메인 컨트롤러에 대한 무단 액세스가 중지됩니다.
  • 제로데이 취약점을 포함한 소프트웨어 취약점을 극복하십시오.
  • LSASS(Local Security Authority Subsystem Service)의 보호 모드 실행: LSASS는 NTLM 인증 및 Kerberos를 비롯한 다양한 플러그인을 호스팅하고 사용자에게 싱글 사인온 서비스를 제공하는 역할을 합니다.
  • 강력한 인증: 암호 생성을 위한 표준입니다. 관리, 로컬 및 서비스 계정에 대한 강력한 암호.
  • DOS(서비스 거부) 공격: KDC에 인증 요청을 오버로드하여 공격자가 서비스 거부(DoS) 공격을 시작할 수 있습니다. 공격을 방지하고 부하의 균형을 유지하려면 KDC를 방화벽 뒤에 배치하고 추가 중복 KDC 중복을 배포해야 합니다.

Kerberos 프로토콜 흐름의 단계는 무엇입니까?

Kerberos 아키텍처는 주로 모든 Kerberos 작업을 처리하는 네 가지 필수 요소로 구성됩니다.

  • 인증 서버(AS): Kerberos 인증 프로세스는 인증 서버에서 시작됩니다. 클라이언트는 먼저 사용자 이름과 암호를 사용하여 AS에 로그인하여 ID를 설정해야 합니다. 이 작업이 완료되면 AS는 사용자 이름을 KDC로 보내고 KDC는 TGT를 발행합니다.
  • KDC(키 배포 센터): 그 역할은 AS(인증 서버)와 TGS(티켓 부여 서비스) 간의 연결 역할을 하여 AS에서 메시지를 릴레이하고 TGT를 발행한 후 암호화를 위해 TGS로 전달됩니다.
  • TGT(Ticket-Granting Ticket): TGT는 암호화되며 클라이언트가 액세스할 수 있는 서비스, 액세스 권한이 부여된 기간 및 통신을 위한 세션 키에 대한 정보를 포함합니다.
  • TGS(Ticket Granting Service): TGS는 TGT를 소유한 클라이언트와 네트워크의 다양한 서비스 사이의 장벽입니다. 그런 다음 TGS는 서버와 클라이언트가 공유하는 TGT를 인증한 후 세션 키를 설정합니다.

다음은 Kerberos 인증의 단계별 흐름입니다.

  • 사용자 로그인
  • 클라이언트는 티켓을 부여하는 서버를 요청합니다.
  • 서버가 사용자 이름을 확인합니다.
  • 부여 후 고객의 티켓을 반환합니다.
  • 클라이언트는 TGS 세션 키를 얻습니다.
  • 클라이언트는 서비스에 대한 액세스를 서버에 요청합니다.
  • 서버가 서비스를 확인합니다.
  • 서버에서 얻은 TGS 세션 키입니다.
  • 서버는 서비스 세션 키를 생성합니다.
  • 클라이언트는 서비스 세션 키를 받습니다.
  • 클라이언트가 서비스에 접속합니다.
  • 서비스 복호화.
  • 서비스가 요청을 확인합니다.
  • 서비스가 클라이언트에 대해 인증됩니다.
  • 클라이언트가 서비스를 확인합니다.
  • 클라이언트와 서비스는 상호 작용합니다.
  RealVNC, 안드로이드용 PC 원격 제어 앱 'VNC 뷰어' 무료 제공

Kerberos를 사용하는 실제 응용 프로그램은 무엇입니까?

현대의 인터넷 기반 및 연결된 작업 공간에서 Kerberos는 SSO(Single-Sign-On)에 탁월하기 때문에 훨씬 더 가치가 있습니다.

Microsoft Windows는 현재 Kerberos 인증을 표준 인증 방법으로 사용합니다. Kerberos는 Apple OS, FreeBSD, UNIX 및 Linux에서도 지원됩니다.

또한 모든 플랫폼에서 웹 사이트 및 Single-Sign-On 응용 프로그램의 표준이 되었습니다. Kerberos는 인터넷과 사용자의 보안을 강화하는 동시에 사용자가 안전을 위협하지 않고 온라인과 사무실에서 더 많은 작업을 수행할 수 있도록 합니다.

인기 있는 운영 체제 및 소프트웨어 프로그램에는 이미 IT 인프라의 필수 부분이 된 Kerberos가 포함되어 있습니다. Microsoft Windows의 표준 인증 기술입니다.

강력한 암호화 및 타사 티켓 인증을 사용하여 해커가 기업 네트워크에 액세스하는 것을 더 어렵게 만듭니다. 조직은 보안 위험에 대한 걱정 없이 Kerberos로 인터넷을 사용할 수 있습니다.

Kerberos의 가장 잘 알려진 응용 프로그램은 Windows 2000 이상에 포함된 표준 디렉터리 서비스로 도메인을 제어하고 사용자 인증을 수행하는 Microsoft Active Directory입니다.

Apple, NASA, Google, 미국 국방부 및 미국 전역의 기관이 더 주목할만한 사용자입니다.

다음은 Kerberos 지원이 내장되거나 액세스 가능한 시스템의 몇 가지 예입니다.

  • 아마존 웹 서비스
  • 구글 클라우드
  • 휴렛 팩커드 유닉스
  • IBM 어드밴스드 인터랙티브 임원
  • 마이크로소프트 애저
  • 마이크로소프트 윈도우 서버와 AD
  • 오라클 솔라리스
  • 오픈BSD

추가 리소스

결론

클라이언트-서버 연결을 보호하기 위해 가장 널리 사용되는 인증 방법은 Kerberos입니다. Kerberos는 데이터 무결성, 기밀성 및 상호 사용자 인증을 제공하는 대칭 키 인증 메커니즘입니다.

이는 Microsoft Active Directory의 기반이며 모든 종류의 공격자가 악용 대상으로 삼는 프로토콜 중 하나로 성장했습니다.

다음으로 Active Directory의 상태를 모니터링하는 도구를 확인할 수 있습니다.