Autenticazione Kerberos

Kerberos — dal nome del cane da guardia a tre teste della mitologia greca — è un protocollo di autenticazione di rete di terze parti creato dal MIT. Kerberos utilizza la crittografia a chiave segreta per garantire un'autenticazione sicura con le applicazioni client/server anche su reti non sicure.

Per stabilire l'autenticità di un utente, il client e il server si scambiano chiavi crittografate chiamate 'ticket', invece della solita combinazione di ID utente e password.

Kerberos è progettato per evitare completamente di memorizzare qualsiasi password localmente o di inviare password tramite Internet e fornisce un'autenticazione reciproca, il che significa che sia l'autenticità dell'utente che quella del server vengono verificate.

Come funziona l'autenticazione Kerberos

Ogni utente all'interno di un sistema — definito come "principale" — inizia con un ticket univoco. Questi ticket sono rilasciati dal server di autenticazione noto anche come Kerberos Key Distribution Center — comunemente chiamato KDC — e vengono utilizzati per identificare specifici principali. Il ticket è crittografato con una chiave segreta e memorizza varie informazioni sulle credenziali di un principale.

Questa chiave segreta è una chiave condivisa solo tra il server di autenticazione e il server a cui il client sta cercando di accedere, quindi il client che ha richiesto il ticket non può conoscere o modificare alcuno dei contenuti del ticket emesso. Kerberos utilizza anche la crittografia a chiave simmetrica, il che significa che la stessa chiave viene utilizzata per crittografare e decrittografare.

Il ticket generalmente contiene informazioni sul principale, inclusi:

• La chiave di sessione
• Il riconoscimento dell'utente richiedente - questo è comunemente un nome utente
• Il server / servizio a cui è destinata la richiesta
• L'indirizzo IP lato client del dispositivo autorizzato a utilizzare il ticket specifico
• Il tempo rimanente del ticket prima della scadenza (comunemente 10 ore)
• L'ora della generazione del ticket

L'amministratore del dominio Kerberos (la raccolta di macchine e principali) può impedire l'emissione di ticket a determinati utenti, ma non è in grado di revocare un ticket una volta emesso. Pertanto, è importante che ogni ticket abbia un tempo di scadenza associato.

Per ricevere un ticket, il client invia una richiesta al server di autenticazione che include informazioni sul server a cui desidera connettersi. Il server di autenticazione controlla quindi se il nome utente del client è nel database del KDC. Se il nome utente è valido, il server di autenticazione crea e rilascia un ticket con una chiave di sessione allegata. Con questo processo, la password dell'utente non deve mai essere memorizzata in forma non crittografata, nemmeno nel database del server di autenticazione.

Ogni volta che le informazioni vengono inviate attraverso Internet, tali informazioni sono esposte maggiormente a fonti esterne, inclusi potenziali attaccanti dannosi. Gli hacker spesso utilizzano strumenti per cercare di estrarre password dalle reti mentre le password vengono inviate. È a causa di questa vulnerabilità che è molto più sicuro garantire sempre che quando una password viene inviata attraverso una rete, essa sia crittografata. L'autenticazione password Kerberos assicura che ciò sia vero e verifica anche l'identità del cliente che invia la richiesta.

I firewall sono una buona forma di difesa contro intrusioni esterne o hacker dannosi, ma di solito operano sotto l'assunzione che gli attacchi provengano dall'esterno della rete. Questo lascia la porta spalancata agli attacchi effettuati da persone che hanno già accesso alla rete. Il processo di autenticazione Kerberos, invece, funziona indipendentemente dalla posizione dell'intrusione potenziale.