Desenvolvido no Massachusetts Institute of Technology (MIT) na década de 1980, o Kerberos é projetado para oferecer autenticação forte em redes de computadores, especialmente em ambientes corporativos e acadêmicos.
Você já ouviu falar sobre esse protocolo antes? Neste texto, abordaremos o que é a autenticação Kerberos, como ela funciona e suas principais características.
O que é a autenticação Kerberos?
É um protocolo de autenticação baseado em criptografia simétrica que permite a comunicação segura entre usuários e serviços em uma rede.
O nome “Kerberos” vem da mitologia grega, onde Cerberus é o cão de três cabeças que guarda o submundo. Assim como o mito, o protocolo Kerberos atua como um “guardião” da segurança na comunicação em redes de computadores, protegendo a identidade dos usuários e garantindo que as informações transmitidas sejam autênticas e confidenciais.
Esse protocolo utiliza um sistema de tickets para autenticar usuários e serviços, eliminando a necessidade de enviar senhas em texto claro pela rede, o que aumenta a segurança e reduz o risco de interceptação.
Como o Kerberos funciona?
Seu funcionamento pode ser descrito em várias etapas, envolvendo três principais componentes: cliente, Servidor de Autenticação (AS) e Servidor de Tickets de Acesso (TGS).
Veja um passo a passo simplificado de como essa autenticação opera:
1. Solicitação de autenticação
Quando um usuário deseja acessar um serviço em uma rede, ele começa o processo de autenticação enviando uma solicitação ao Servidor de Autenticação (AS). Essa solicitação inclui o nome de usuário do cliente e um identificador para o serviço ao qual deseja se conectar.
A senha do usuário não é enviada diretamente, em vez disso, um hash (uma forma criptografada) da senha é utilizado para proteger a comunicação.
2. Emissão do ticket de autenticação
O AS verifica as credenciais do cliente com base no hash da senha armazenado no banco de dados do Kerberos. Se a autenticação for bem-sucedida, o AS emite um Ticket de Autenticação (TGT – Ticket Granting Ticket) e uma chave de sessão.
O TGT é criptografado com uma chave secreta conhecida apenas pelo AS e pelo cliente, e contém informações como o nome do cliente, o tempo de validade do ticket e uma chave de sessão compartilhada.
3. Solicitação de ticket de serviço
Quando o cliente deseja acessar um serviço específico, ele apresenta o TGT ao Servidor de Tickets de Acesso (TGS). A solicitação ao TGS inclui o TGT e um autenticator – uma mensagem criptografada que contém um timestamp e a chave de sessão do cliente.
O TGS decifra o TGT para verificar a autenticidade e, se válido, emite um Ticket de Serviço. Esse ticket é criptografado com uma chave conhecida apenas pelo TGS e pelo servidor do serviço.
4. Acesso ao serviço
O cliente apresenta o Ticket de Serviço ao servidor de serviço desejado. O servidor decifra o ticket usando a chave secreta compartilhada e verifica a autenticidade do cliente.
Ele também utiliza o autenticator para garantir que a solicitação não tenha sido forjada. Se a verificação for bem-sucedida, o acesso ao serviço é concedido.
5. Comunicação segura
Após a autenticação bem-sucedida, a comunicação entre o cliente e o serviço é protegida por criptografia, utilizando a chave de sessão compartilhada. Isso garante que todos os dados trocados entre as partes sejam seguros e não possam ser interceptados ou adulterados.
Quais são as características do protocolo Kerberos?
Esse protocolo possui várias características que o tornam uma solução robusta e para autenticação em redes. Aqui estão algumas das principais:
Criptografia simétrica
Como foi dito anteriormente, a autenticação Kerberos se baseia em criptografia simétrica. Mas como funciona? Esse protocolo utiliza criptografia simétrica para proteger as comunicações e os tickets.
Isso significa que a mesma chave é usada tanto para criptografar quanto para descriptografar informações, o que garante a segurança dos dados trocados entre o cliente e os servidores.
Tickets temporários
Os tickets emitidos pelo AS e pelo TGS têm um tempo de validade limitado. Isso reduz o risco de uso indevido de tickets comprometidos e assegura que a autenticação seja renovada periodicamente.
Proteção contra replays
É uma autenticação que inclui medidas para proteger contra ataques de replay, onde um atacante tenta retransmitir dados antigos para obter acesso não autorizado. A inclusão de timestamps nos autenticadores e a expiração dos tickets ajudam a mitigar esse risco.
Autenticação de serviços
Além de autenticar usuários, Kerberos também autentica serviços. Isso garante que os clientes estejam se conectando ao serviço correto e não a um impostor que tenta se passar pelo serviço legítimo.
Transparência e escalabilidade
É projetado para ser transparente para os usuários finais, o que significa que eles não precisam lidar diretamente com o processo de autenticação. Além disso, o Kerberos é escalável e pode ser implementado em redes de diferentes tamanhos e complexidades.
Integração com diretórios
Pode ser integrado com sistemas de diretórios, como o Active Directory da Microsoft. Isso permite uma gestão centralizada das credenciais e facilita a administração de autenticação em grandes organizações.
É possível pensar no Kerberos como um serviço de autenticação de logon único para que os clientes acessem diversas aplicações e serviços. Ele é usado de forma coesa para garantir que os recursos individuais oferecidos por ambos sejam aproveitados à medida que o ambiente AD é configurado.
Conclusão
A autenticação Kerberos garante a segurança em redes de computadores. Utilizando um sistema de tickets e criptografia simétrica, essa autenticação oferece uma maneira segura de autenticar usuários e serviços, protegendo as comunicações e reduzindo o risco de acesso não autorizado.
Suas características, como a proteção contra ataques de replay e a capacidade de autenticar tanto usuários quanto serviços, fazem do Kerberos uma escolha popular para ambientes corporativos e acadêmicos que necessitam de uma autenticação confiável.
Conheça o AD360 e o ADSelfService Plus da ManageEngine!
O AD360 da ManageEngine é uma solução de software de gestão de identidade e acesso (IAM) para empresas de todos os tamanhos. É uma ferramenta que ajuda as empresas a gerir identidades com segurança e a garantir a conformidade.
Dentro do AD360, temos o ADSelfService Plus, que é uma ferramenta de autoatendimento para gerenciamento de senhas e autoprovisionamento de contas no Active Directory (AD). Ele oferece funcionalidades como a redefinição de senhas, desbloqueio de contas e atualização de informações de perfil pelos próprios usuários.
Além disso, no ADSelfService Plus, a gente consegue fazer a configuração da forma de autenticação, incluindo a autenticação Kerberos.
