Desenvolvido no Massachusetts Institute of Technology (MIT) na década de 1980, o Kerberos é projetado para oferecer autenticação forte em redes de computadores, especialmente em ambientes corporativos e acadêmicos.

Você já ouviu falar sobre esse protocolo antes? Neste texto, abordaremos o que é a autenticação Kerberos, como ela funciona e suas principais características.

O que é a autenticação Kerberos?  

É um protocolo de autenticação baseado em criptografia simétrica que permite a comunicação segura entre usuários e serviços em uma rede.

O nome “Kerberos” vem da mitologia grega, onde Cerberus é o cão de três cabeças que guarda o submundo. Assim como o mito, o protocolo Kerberos atua como um “guardião” da segurança na comunicação em redes de computadores, protegendo a identidade dos usuários e garantindo que as informações transmitidas sejam autênticas e confidenciais.

Esse protocolo utiliza um sistema de tickets para autenticar usuários e serviços, eliminando a necessidade de enviar senhas em texto claro pela rede, o que aumenta a segurança e reduz o risco de interceptação.

Como o Kerberos funciona?  

Seu funcionamento pode ser descrito em várias etapas, envolvendo três principais componentes: cliente, Servidor de Autenticação (AS) e Servidor de Tickets de Acesso (TGS).

Veja um passo a passo simplificado de como essa autenticação opera:

1. Solicitação de autenticação   

Quando um usuário deseja acessar um serviço em uma rede, ele começa o processo de autenticação enviando uma solicitação ao Servidor de Autenticação (AS). Essa solicitação inclui o nome de usuário do cliente e um identificador para o serviço ao qual deseja se conectar.

A senha do usuário não é enviada diretamente, em vez disso, um hash (uma forma criptografada) da senha é utilizado para proteger a comunicação.

2. Emissão do ticket de autenticação   

O AS verifica as credenciais do cliente com base no hash da senha armazenado no banco de dados do Kerberos. Se a autenticação for bem-sucedida, o AS emite um Ticket de Autenticação (TGT – Ticket Granting Ticket) e uma chave de sessão.

O TGT é criptografado com uma chave secreta conhecida apenas pelo AS e pelo cliente, e contém informações como o nome do cliente, o tempo de validade do ticket e uma chave de sessão compartilhada.

3. Solicitação de ticket de serviço   

Quando o cliente deseja acessar um serviço específico, ele apresenta o TGT ao Servidor de Tickets de Acesso (TGS). A solicitação ao TGS inclui o TGT e um autenticator – uma mensagem criptografada que contém um timestamp e a chave de sessão do cliente.

O TGS decifra o TGT para verificar a autenticidade e, se válido, emite um Ticket de Serviço. Esse ticket é criptografado com uma chave conhecida apenas pelo TGS e pelo servidor do serviço.

4. Acesso ao serviço   

O cliente apresenta o Ticket de Serviço ao servidor de serviço desejado. O servidor decifra o ticket usando a chave secreta compartilhada e verifica a autenticidade do cliente.

Ele também utiliza o autenticator para garantir que a solicitação não tenha sido forjada. Se a verificação for bem-sucedida, o acesso ao serviço é concedido.

5. Comunicação segura   

Após a autenticação bem-sucedida, a comunicação entre o cliente e o serviço é protegida por criptografia, utilizando a chave de sessão compartilhada. Isso garante que todos os dados trocados entre as partes sejam seguros e não possam ser interceptados ou adulterados.

Quais são as características do protocolo Kerberos?  

Esse protocolo possui várias características que o tornam uma solução robusta e para autenticação em redes. Aqui estão algumas das principais:

Criptografia simétrica   

Como foi dito anteriormente, a autenticação Kerberos se baseia em criptografia simétrica. Mas como funciona? Esse protocolo utiliza criptografia simétrica para proteger as comunicações e os tickets.

Isso significa que a mesma chave é usada tanto para criptografar quanto para descriptografar informações, o que garante a segurança dos dados trocados entre o cliente e os servidores.

Tickets temporários   

Os tickets emitidos pelo AS e pelo TGS têm um tempo de validade limitado. Isso reduz o risco de uso indevido de tickets comprometidos e assegura que a autenticação seja renovada periodicamente.

Proteção contra replays   

É uma autenticação que inclui medidas para proteger contra ataques de replay, onde um atacante tenta retransmitir dados antigos para obter acesso não autorizado. A inclusão de timestamps nos autenticadores e a expiração dos tickets ajudam a mitigar esse risco.

Autenticação de serviços   

Além de autenticar usuários, Kerberos também autentica serviços. Isso garante que os clientes estejam se conectando ao serviço correto e não a um impostor que tenta se passar pelo serviço legítimo.

Transparência e escalabilidade   

É projetado para ser transparente para os usuários finais, o que significa que eles não precisam lidar diretamente com o processo de autenticação. Além disso, o Kerberos é escalável e pode ser implementado em redes de diferentes tamanhos e complexidades.

Integração com diretórios   

Pode ser integrado com sistemas de diretórios, como o Active Directory da Microsoft. Isso permite uma gestão centralizada das credenciais e facilita a administração de autenticação em grandes organizações.

É possível pensar no Kerberos como um serviço de autenticação de logon único para que os clientes acessem diversas aplicações e serviços. Ele é usado de forma coesa para garantir que os recursos individuais oferecidos por ambos sejam aproveitados à medida que o ambiente AD é configurado.

Conclusão  

A autenticação Kerberos garante a segurança em redes de computadores. Utilizando um sistema de tickets e criptografia simétrica, essa autenticação oferece uma maneira segura de autenticar usuários e serviços, protegendo as comunicações e reduzindo o risco de acesso não autorizado.

Suas características, como a proteção contra ataques de replay e a capacidade de autenticar tanto usuários quanto serviços, fazem do Kerberos uma escolha popular para ambientes corporativos e acadêmicos que necessitam de uma autenticação confiável.

Conheça o AD360 e o ADSelfService Plus da ManageEngine!  

O AD360 da ManageEngine é uma solução de software de gestão de identidade e acesso (IAM) para empresas de todos os tamanhos. É uma ferramenta que ajuda as empresas a gerir identidades com segurança e a garantir a conformidade.

Dentro do AD360, temos o ADSelfService Plus, que é uma ferramenta de autoatendimento para gerenciamento de senhas e autoprovisionamento de contas no Active Directory (AD). Ele oferece funcionalidades como a redefinição de senhas, desbloqueio de contas e atualização de informações de perfil pelos próprios usuários.

Além disso, no ADSelfService Plus, a gente consegue fazer a configuração da forma de autenticação, incluindo a autenticação Kerberos.

Teste o ADSelfService Plus agora!