Netzwerksicherheit Grundkurs

Funktionsweise von Kerberos

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Kerberos verhindert Man-in-the-middle-Angriffe durch die Authentifizierung verschiedener Komponenten über ein Ticket Granting Ticket. Eine Datei gewährt den Zugang zum sicheren Datenaustausch zwischen Client und Server.

Transkript

Was sind die Komponenten des Kerberos-Systems? Schauen wir uns das mal näher an. Kerberos-Komponenten sind die Beteiligung von drei Parteien. Wir haben zum einen den Client. Wir haben den Server und wir haben das Kerberos-System. Wir haben den Kerberos-Server. Mit diesen drei Komponenten soll nun versucht werden, eine Authentifizierung so zu gestalten, dass man garantiert sagen kann: Der Client ist der Client, der Server ist der Server und natürlich Kerberos ist Kerberos. Oder der Kerberos-Server ist der Kerberos-Server. Server authentifiziert Client, Client authentifiziert Server. Darum geht es letztendlich genau. Gegenseitiges Überprüfen. Gegenseitiges Überprüfen hilft gegen Man in the Middle. Man in the Middle ist ein Angriffsmechanismus, in dem sich eine Institution, wer auch immer das sein mag, zwischen eine Verbindung stellt und dementsprechend dafür Sorge trägt, dass Ihre Informationen mitgeschnitten werden. Wenn nicht alle in alle Richtungen authentifiziert werden, ist das jederzeit möglich. Beispiel Online-Banking. Das einfache Online-Banking könnte auch mit Man in the Middle angegriffen werden. Denn das Problem ist ja, wissen wir, ob die Bank die Bank ist? Wenn wir unachtsam sind und das Ganze wirklich gut gemacht ist, dann könnte es auch sein, dass wir uns quasi als Bank anmelden, aber auf dem einen Bein von Man in the Middle landen. Man in the Middle leitet dann die Informationen weiter an die Bank. Da die Bank den Client nicht kennt, wird die Bank auch Man in the Middle nicht erkennen. Dadurch wäre man jetzt trotz Verschlüsselung in der Lage ... Also, Man in the Middle entschlüsselt, guckt sich das Ganze an, und verschlüsselt wieder zur Bank. Das geht normalerweise nur dann, wenn man unachtsam ist und eben nicht beim Anmelden oder Aufrufen der Bank-Seite darauf achtet, ob das wirklich die Bank ist, und wenn man mit den Zertifikaten schlampig umgeht. Wenn da eine Zertifikatswarnung kommt, geht man nicht weiter. Das wäre ein Punkt, der auf einen Man in the Middle-Angriff hindeuten kann. Zum Authentifizieren verwendet Kerberos Tickets. Das heißt, Sie bekommen ein Tagesticket und dieses Ticket gibt Ihnen das Recht, sich im kompletten Bereich, den Kerberos überwacht, authentifizieren zu können. ohne nochmal Passwort und Benutzernamen zu hinterlegen. Single Sign-on wird dadurch möglich. Sie bekommen dann eben ein Ticket, das sich Ticket-Granting Ticket nennt. Das wird angefordert und dann verwendet, um die Möglichkeiten der Anmeldung zu realisieren. Ich sagte ja bereits, dass Sie ein Tagesticket bekommen. Dieses Tagesticket, TGT genannt, wird jetzt dazu verwendet, sich weitere Dienste-Tickets zu besorgen. Das heißt also, Sie können Server-Dienst, Mail-Dienst, was auch immer, anfordern und Sie bekommen ihn dann, weil Sie jetzt vertrauenswürdig sind. Sie haben ja das 24h-Ticket. Sie haben ja dieses TGT. Kerberos besitzt ein Key Distribution Center. das auch Trust Center oder Kerberos-Server genannt wird. Das ist die zentrale Komponente. Dann haben wir gesagt diese Ticket-Granting Tickets, die uns die Möglichkeit geben, uns, nachdem wir uns einmal ausgewiesen haben, weiterhin ausweisen zu können. Wir haben Sitzungsschlüssel und Tickets für Dienste. Das heißt, über diesen ganzen Mechanismus werden diese ganzen Funktionalitäten bereitgestellt, die ich Ihnen gleich vereinfacht anhand eines Schaubilds zeigen werde. Dann gibt es einen Datenbankspeicher, der alle Informationen über die User, in dem Fall die User Keys, oder die Server Keys besitzt. Das Ganze geht natürlich nur dann, wenn alle Beteiligten Mitglied dieses Systems sind. Das heißt, der Client muss im Kerberos eingebunden sein und der Server muss ebenfalls im Kerberos eingebunden sein. Beispiel Active Directory. Wenn Sie ein Active Directory aufbauen, generieren Sie einen sogenannten Domain Controller. Dieser Domain Controller wird entsprechend diesen Kerberos-Mechanismus aufbauen. Dann gibt es sogenannte Server. Die haben mit der ganzen Authentifizierung nichts am Hut. Die sind einfach nur Mitglieds-Server. Diese Mitglieds-Server müssen sich aber im Active Directory befinden, dass sie direkt angesprochen werden können. Das Gleiche gilt für die Clients. Wenn Sie einen Client haben, der sich nicht im Kerberos-System befindet, muss er sich explizit, wenn das möglich ist, an jedem Server einzeln anmelden. Oder aber er ist Mitglied im Kerberos-System oder in diesem Fall Mitglied im Active Directory, meldet sich im Active Directory an, kriegt seinen Ausweis und kann loslegen. Wichtig ist also, dass alle Beteiligten, die im Kerberos-System tätig sind, Mitglied dieses Kerberos-Systems sind. Ob das ein Active Directory ist oder ein Open LDAP oder ein eDirectory von Novell, spielt dabei keine Rolle. Es ist immer das gleiche. Sie haben immer die gleichen Funktionalitäten. Sie müssen zusammen sein. Über diesen Mechanismus können wir dann Tickets ausstellen und dafür Sorge tragen, dass sie sich gegenseitig kennen, authentifizieren und wissen, wer wer ist.

Netzwerksicherheit Grundkurs

Machen Sie sich mit den grundlegenden Konzepten der Netzwerksicherheit vertraut und erfahren Sie, wie Sie Ihre Kenntnisse unter Windows, OS X und Linux praktisch umsetzen können.

11 Std. 47 min (142 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!