آموزش امنیت شبکه

آموزش امنیت شبکه: پروتکل احراز هویت Kerberos

پروتکل احراز هویت Kerberos

احراز هویت از جنبه های جدایی ناپذیر در امنیت شبکه های کامپیوتری می باشد. برای تامین امنیت شبکه پروتکل های متعددی برای احراز هویت ارائه شده اند که پروتکل Kerberos یکی از آن ها می باشد. در این مقاله به بررسی پروتکل Kerberos و نقش آن در امنیت شبکه های کامپیوتری می پردازیم.

آموزش امنیت شبکه: پروتکل Kerberos

این پروتکل برای تأیید مجوز کاربران با فرمت خاصی از بسته های داده به نام برچسب (ticket) کار میکند. این برچسب ها در شبکه به جای پسورد منتقل می شوند. بنابراین اختلال در فرآیند احراز هویت و ترافیک شبکه برای هکرها بیش از پیش سخت میشود. مرکز توزیع کلید (Key Distribution Center-KDC) ملزم به یکپارچه شدن با دیگر سرویس های امنیتی ویندوز سرور که بر روی Domain Controller در حال اجرا هستند، میباشد. جریان درخواست برچسب Kerberos به سه بخش اصلی تفکیک میشود که عبارتند از:

  • سرویس احراز هویت: کاربر هویت خود را برای سرور احرازهویت که سرویس احراز هویت بر روی آن در حال اجرا است، تصدیق می کند. سرویس احراز هویت یک Session Key و یک برچسب Ticket Granting Ticket (TGT) با طول عمر کم برای کاربر تولید می کند که حاوی هویت کلاینت مانند SID هایش میباشد. TGT مهر زمانی (Timestamp) می خورد و توسط کلید محرمانه (Private Key) رمز نگاری می شود. کلاینت از TGT برای رمزنگاری ارتباطش با سرویس تخصیص برچسب (Ticket Granting Service –TGS) استفاده میکند.
  • سرویس تخصیص برچسب (Authentication Service): هنگامی که کلاینت میخواهد به منابع دسترسی داشته باشد، درخواستی را به Ticket Granting Service (TGS) برای صدور برچسب به جهت دسترسی به آن منابع ارسال میکند. این برچسب به ST (Service Ticket یاSession Ticket ) معروف است.
  • کلاینت – سرور 

عملکرد این پروتکل در شکل زیر بررسی میشود:

پروتکل Kerberos

پروتکل احراز هویت Kerberos

  1. Kerberos Authentication Service Request (KRB-AS-REQ): هنگامی که کاربر میخواهد به ویندوز وارد شود، کلاینت با سرویس احراز هویت مربوط به KDC برای صدور یک برچسب TGT تماس برقرار میکند و نام کاربری و کلمه عبور خود را ارسال می کند.
  2. Kerberos Authentication Service Response (KRB-AS-REP): اگر نام کاربری وارد شده توسط کاربر در پایگاه داده KDC (Active Directory) موجود باشد، سرویس احراز هویت یک Session Key و یک برچسب TGT تولید کرده و برای کاربر ارسال می کند. توجه داشته باشید که در این مرحله کلاینت هنوزهیچ دسترسی به منابع محلی و یا Domain ندارد.
  3. Kerberos Ticket Granting Service Request (KRB-TGS-REQ): کلاینت برای دریافت ST بایستی TGT اعتبار و نام منبعی را که میخواهد دسترسی داشته باشد را تائید کند و با استفاده از فرمت SPN (Server Principal Name) به TGS تحویل دهد.
  4. Kerberos Ticket Granting Service Response (KRB-TGS-REP): در این مرحله TGS شروع به بررسی اعتبار مدارکی خواهد کرد که کلاینت برای دریافت ST به آن ارائه کرده است و در نهایت اگر TGT مورد قبول واقع شود، یک ST را صادر خواهد کرد. مشخصات کلاینت از TGT بر روی ST کپی خواهد شد و سپس ST به کلاینت ارسال میشود.
  5. Kerberos Application Server Request (KRB-AP-REQ): بعد از این که کلاینت ST را دریافت کرد، آن را به همراه تائید کننده جدیدش برای سرور مقصد (منبع) ارسال و تقاضای دسترسی میکند. سرور، ST را رمزگشایی و هویت تائید کننده اعتبار را بررسی میکند و در نهایت برای سرویسهای ویندوز یک Access Token صادر خواهد کرد. این Access Token بر مبنای نام کاربری خواهد بود که تقاضای دسترسی را کرده است و بر اساس SIDها عمل میکند.
  6. Kerberos Ticket Granting Service Response (KRB-TGS-REP): انجام این مرحله اختیاری است. کلاینت ممکن است از سرور درخواست کند که هویتش را برای احراز هویت های مشترک تائید کند. اگر چنین درخواستی از سوی کلاینت ارسال شود، سرور مقصد یک برچسب زمانی را از سوی تائید کنند اعتبار به همراه Session Key رمزنگاری کرده و بهسوی کلاینت بازپس میفرستد.

نتیجه گیری

در این مقاله دیدید که پروتکل Kerberos به عنوان یک پروتکل احراز هویت نقش کاربردی در امنیت شبکه های کامپیوتری دارد و می تواند امنیت شبکه را تامین کند.

درباره نویسنده

سارا همایونی

نظری دهید

2 × دو =

گفتگو زنده

)
    is typing...

    ما الان آنلاین نیستیم. متن پیام خود را از طریق فرم زیر برای ما ارسال کنید یا از طریق ای دی تلگرام networkbooks_ir@ با ما در ارتباط باشید.

    ارسال پیام لغو