ماهي تقنية Kerberos

نظام مصادقة تم تطويره في معهد ماساتشوستس للتكنولوجيا (MIT) ؛ يتيح تبادل المعلومات الخاصة عبر شبكة مفتوحة عن طريق تعيين مفتاح فريد يسمى “بطاقة” لمستخدم يطلب الوصول إلى معلومات آمنة.

تعد جرائم الإنترنت حقيقة مؤسفة في الحياة هذه الأيام ، بغض النظر عما إذا كنا نتحدث عن المستهلكين من القطاع الخاص أو عالم الأعمال ككل. لا توجد شركة أو منظمة آمنة ، ولن تتحسن المشكلة في أي وقت قريب. يتوقع الخبراء أن تكلف الأضرار الناجمة عن الجرائم الإلكترونية العالم 6.1 تريليون دولار بحلول عام 2021. كما لو أن هذا ليس سيئًا بما يكفي ، تتوقع فوربس أن عددًا متزايدًا من مجرمي الإنترنت سيستخدمون الذكاء الاصطناعي (AI) لتوسيع نطاق هجماتهم.

تشير هذه التنبؤات ، وغيرها الكثير ، إلى الحقيقة القاسية المتمثلة في أن الجرائم الإلكترونية موجودة لتبقى ، وأن المشكلة ستزداد سوءًا. وبالتالي ، فإن العالم الرقمي حريص على إيجاد واستخدام استراتيجيات جديدة لتعزيز الأمن السيبراني.

اليوم ، نبحث في بروتوكولات المصادقة – Kerberos ، على وجه الدقة. دعنا نسحب الستار ونتعرف على بروتوكول الشبكة الفعال هذا ، بما في ذلك ما هو مصادقة Kerberos ، وما هو بروتوكول Kerberos ، وماذا يفعل Kerberos.

لنبدأ بالأساسيات من خلال فهم ما هو Kerberos وكيف يعمل.

Kerberos هو بروتوكول أمان لشبكة الكمبيوتر يقوم بمصادقة طلبات الخدمة بين مضيفين موثوقين أو أكثر عبر شبكة غير موثوق بها ، مثل الإنترنت. يستخدم تشفير المفتاح السري وطرف ثالث موثوق به لمصادقة تطبيقات خادم العميل والتحقق من هويات المستخدمين.

تم تطوير Kerberos في البداية من قبل معهد ماساتشوستس للتكنولوجيا (MIT) لمشروع أثينا في أواخر الثمانينيات ، وهو الآن تقنية التفويض الافتراضية التي يستخدمها Microsoft Windows. توجد تطبيقات Kerberos أيضًا لأنظمة تشغيل أخرى مثل Apple OS و FreeBSD و UNIX و Linux.

طرحت Microsoft إصدارها من Kerberos في نظام التشغيل Windows 2000 ، وأصبح بروتوكول الانتقال لمواقع الويب وعمليات تنفيذ تسجيل الدخول الفردي عبر الأنظمة الأساسية المختلفة. تحافظ Kerberos Consortium على Kerberos كمشروع مفتوح المصدر.

اشتق البروتوكول اسمه من الكلب الأسطوري ذي الرؤوس الثلاثة Kerberos (المعروف أيضًا باسم Cerberus) من الأساطير اليونانية ، وصي الكلاب إلى مدخل العالم السفلي. كان لدى Kerberos ذيل ثعبان ومزاج سيئ بشكل خاص ، وعلى الرغم من استثناء واحد ملحوظ ، كان وصيًا مفيدًا للغاية.

ولكن في حالة البروتوكول ، يمثل الرؤساء الثلاثة لـ Kerberos العميل والخادم ومركز توزيع المفاتيح (KDC). تعمل الأخيرة كخدمة مصادقة خارجية موثوقة.

يعتمد المستخدمون والآلات والخدمات التي تستخدم Kerberos على مركز توزيع المفاتيح وحده ، والذي يعمل كعملية واحدة توفر وظيفتين: المصادقة ومنح التذاكر. تقدم “تذاكر” KDC المصادقة لجميع الأطراف ، مما يسمح للعقد بالتحقق من هويتها بأمان. تستخدم عملية مصادقة Kerberos تشفيرًا سريًا تقليديًا مشتركًا يمنع الحزم التي تنتقل عبر الشبكة من القراءة أو التغيير ، بالإضافة إلى حماية الرسائل من هجمات التنصت وإعادة التشغيل (أو التشغيل).

الآن بعد أن تعلمنا ما هو Kerberos ، دعونا نفهم بعد ذلك ما هو Kerberos المستخدم.

إتقان مهارات خبير الأمن السيبراني دورة العرض برنامج الماجستير خبير الأمن السيبراني
ما هو استخدام Kerberos؟
على الرغم من وجود Kerberos في كل مكان في العالم الرقمي ، إلا أنه يعمل بكثافة على الأنظمة الآمنة التي تعتمد على ميزات تدقيق ومصادقة موثوقة. يتم استخدام Kerberos في مصادقة Posix و Active Directory و NFS و Samba. إنه أيضًا نظام مصادقة بديل لـ SSH و POP و SMTP.

كجزء من تدفق التعلم لماهية Kerberos ، دعنا نتعرف بعد ذلك على تدفق بروتوكول Kerberos.

نظرة عامة على تدفق بروتوكول Kerberos
دعنا نلقي نظرة أكثر تفصيلاً على ماهية مصادقة Kerberos وكيف تعمل عن طريق تقسيمها إلى مكوناتها الأساسية.

فيما يلي الكيانات الرئيسية المشاركة في سير عمل Kerberos النموذجي:

عميل. يتصرف العميل نيابة عن المستخدم ويبدأ الاتصال لطلب الخدمة
الخادم. يستضيف الخادم الخدمة التي يريد المستخدم الوصول إليها
خادم المصادقة (AS). يقوم AS بإجراء مصادقة العميل المطلوبة. إذا حدثت المصادقة بنجاح ، يقوم AS بإصدار تذكرة للعميل تسمى TGT (تذكرة منح التذكرة). تؤكد هذه البطاقة للخوادم الأخرى أن العميل قد تمت مصادقته
مركز توزيع المفاتيح (KDC). في بيئة Kerberos ، تم فصل خادم المصادقة منطقيًا إلى ثلاثة أجزاء: قاعدة بيانات (db) وخادم المصادقة (AS) وخادم منح التذاكر (TGS). هذه الأجزاء الثلاثة ، بدورها ، موجودة في خادم واحد يسمى Key Distribution Center
خادم منح التذاكر (TGS). TGS هو خادم تطبيق يصدر تذاكر الخدمة كخدمة
الآن دعونا نكسر تدفق البروتوكول.

أولاً ، هناك ثلاثة مفاتيح سرية مهمة متضمنة في تدفق Kerberos. توجد مفاتيح سرية فريدة للعميل / المستخدم و TGS والخادم المشترك مع AS.

العميل / المستخدم. الهاش مشتق من كلمة مرور المستخدم
المفتاح السري TGS. تجزئة كلمة المرور المستخدمة في تحديد TGS
المفتاح السري للخادم. تجزئة كلمة المرور المستخدمة لتحديد الخادم الذي يقدم الخدمة.
يتكون تدفق البروتوكول من الخطوات التالية:

الخطوة 1: طلب مصادقة العميل الأولي. يطلب المستخدم الحصول على تذكرة منح التذكرة (TGT) من خادم المصادقة (AS). يتضمن هذا الطلب معرّف العميل.

الخطوة 2: يتحقق KDC من بيانات اعتماد العميل. يتحقق AS من قاعدة البيانات الخاصة بالعميل وتوافر TGS. إذا عثر AS على كلتا القيمتين ، فإنه يُنشئ مفتاحًا سريًا للعميل / المستخدم ، باستخدام تجزئة كلمة مرور المستخدم.

يقوم AS بعد ذلك بحساب المفتاح السري TGS وإنشاء مفتاح جلسة (SK1) مشفر بواسطة المفتاح السري للعميل / المستخدم. يقوم AS بعد ذلك بإنشاء TGT يحتوي على معرف العميل وعنوان شبكة العميل والطابع الزمني والعمر و SK1. ثم يقوم المفتاح السري TGS بتشفير التذكرة.

الخطوة 3: يقوم العميل بفك تشفير الرسالة. يستخدم العميل المفتاح السري للعميل / المستخدم لفك تشفير الرسالة واستخراج SK1 و TGT ، وإنشاء المصدق الذي يتحقق من TGS الخاص بالعميل.

الخطوة 4: يستخدم العميل TGT لطلب الوصول. يطلب العميل

تذكرة من الخادم الذي يقدم الخدمة عن طريق إرسال TGT المستخرج والمصدق الذي تم إنشاؤه إلى TGS.

الخطوة 5: يقوم مركز توزيع المفاتيح KDC بإنشاء تذكرة لخادم الملفات. ثم يستخدم TGS المفتاح السري TGS لفك تشفير TGT المستلم من العميل واستخراج SK1. يقوم TGS بفك تشفير المصدق ويتحقق لمعرفة ما إذا كان يتطابق مع معرف العميل وعنوان شبكة العميل. يستخدم TGS أيضًا الطابع الزمني المستخرج للتأكد من عدم انتهاء صلاحية TGT.

إذا قامت العملية بإجراء جميع عمليات الفحص بنجاح ، يقوم مركز توزيع المفاتيح KDC بإنشاء مفتاح جلسة خدمة (SK2) يتم مشاركته بين العميل والخادم الهدف.

أخيرًا ، ينشئ KDC بطاقة خدمة تتضمن معرف العميل وعنوان شبكة العميل والطابع الزمني و SK2. يتم بعد ذلك تشفير هذه البطاقة بالمفتاح السري للخادم الذي تم الحصول عليه من db. يتلقى العميل رسالة تحتوي على بطاقة الخدمة و SK2 ، وكلها مشفرة بـ SK1.

الخطوة 6: يستخدم العميل بطاقة الملف للمصادقة. يفك العميل تشفير الرسالة باستخدام SK1 ويستخرج SK2. تنشئ هذه العملية مصادقًا جديدًا يحتوي على عنوان شبكة العميل ومعرف العميل والطابع الزمني ، مشفرًا بـ SK2 ، ويرسله مع بطاقة الخدمة إلى الخادم الهدف.

الخطوة 7: يتلقى الخادم الهدف فك التشفير والمصادقة. يستخدم الخادم الهدف المفتاح السري للخادم لفك تشفير بطاقة الخدمة واستخراج SK2. يستخدم الخادم SK2 لفك تشفير المصدق ، وإجراء فحوصات للتأكد من تطابق معرف العميل وعنوان شبكة العميل من المصدق وتطابق بطاقة الخدمة. يتحقق الخادم أيضًا من بطاقة الخدمة لمعرفة ما إذا كانت منتهية الصلاحية.

بمجرد استيفاء الشيكات ، يرسل الخادم الهدف إلى العميل رسالة للتحقق من مصادقة العميل والخادم على بعضهما البعض. يمكن للمستخدم الآن الدخول في جلسة آمنة.

بعد الوصول بعيدًا في معرفة ماهية Kerberos ، دعونا نلقي نظرة بعد ذلك على الموضوع إذا كان Kerberos معصومًا عن الخطأ.

هل Kerberos Infallible؟
لا يُعد أي إجراء أمني منيعة بنسبة 100٪ ، ولا يُعد Kerberos استثناءً. نظرًا لأنه كان موجودًا لفترة طويلة ، فقد أتيحت للقراصنة الفرصة على مر السنين لإيجاد طرق للتغلب عليها ، عادةً عن طريق تزوير التذاكر ، والقيام بمحاولات متكررة لتخمين كلمات المرور (القوة الغاشمة / حشو بيانات الاعتماد) ، واستخدام البرامج الضارة لتقليل مستوى التشفير.

على الرغم من ذلك ، لا يزال Keberos هو أفضل بروتوكول وصول أمني متاح اليوم. البروتوكول مرن بدرجة كافية لاستخدام خوارزميات تشفير أكثر قوة للمساعدة في مكافحة التهديدات الجديدة ، وإذا مارس المستخدمون سياسات اختيار كلمة مرور جيدة ، فيجب أن تكون على ما يرام!

هل ترغب في تسريع حياتك المهنية في مجال الأمن السيبراني؟ حاول الإجابة على اختبار الممارسة الإعدادية لامتحان CISSP وتعرف على فهمك للمفاهيم.
دورة مجانية: CISSP
مقدمة مجانية لأمن المعلومات ابدأ التعلم دورة مجانية: CISSP
هل تريد معرفة المزيد عن الأمن السيبراني؟
يعد مجال الأمن السيبراني مكانًا واسعًا ومتنوعًا ، ويغطي العديد من الموضوعات والموضوعات والإجراءات المختلفة. إذا كنت تبحث عن طرق فعالة لتحسين معرفتك بالأمن السيبراني ، فعليك مراعاة بعض ما يلي.

هناك طلب ثابت على المتسللين الأخلاقيين المعتمدين للمساعدة في اختبار الأنظمة واكتشاف نقاط الضعف. تحقق من دورة Simplilearn’s Ethical Hacking Course وابدأ في المسار الوظيفي لقراصنة قبعة بيضاء. أو ربما تريد المزيد من المعرفة فيما يتعلق بموضوعات نظم المعلومات ذات الصلة مثل CompTIA Security + أو COBIT 2019.

ربما ترغب في استكشاف دورات تدريبية مختلفة في مجال أمن المعلومات مثل مدير أمن المعلومات المعتمد أو أخصائي أمان السحابة المعتمد أو مدقق نظم المعلومات المعتمد.

أخيرًا ، يمكنك الالتحاق ببرنامج Cyber ​​Security Expert Master المرموق ، والذي يغطي العديد من الموضوعات المذكورة أعلاه في خطة واحدة مناسبة.

هل تريد وظيفة الأمن السيبراني؟
إذا كنت تبحث عن مهنة صعبة ومجزية وتوفر أمانًا وظيفيًا ممتازًا ، فإن منصبًا في مجال أمن المعلومات يناسبك! تساعدك الدورة التدريبية لشهادة أخصائي أمن نظم المعلومات المعتمد (CISSP) من Simplilearn على تحقيق حلمك من خلال تطوير خبرتك في تحديد بنية أمن تكنولوجيا المعلومات باستخدام معايير أمن المعلومات المعتمدة عالميًا. تعلمك الدورة الشاملة التقنيات الشائعة المستخدمة في الصناعة وتجهزك لامتحان شهادة CISSP الذي يعقده (ISC) ².

تحصل على 67 ساعة من التعلم المتعمق ، وخمس أوراق اختبار محاكاة للمساعدة في إعدادك للحصول على شهادة CISSP ، و 30 CPE المطلوبة لإجراء الاختبار ، وقسيمة للامتحان الذاتي.