Les instances actuelles et les cybermenaces montrent qu'Internet n'est pas un endroit
sûr, car de nombreux protocoles associés à son fonctionnement n'incluent pas
nécessairement la sécurité. Les pirates peuvent exploiter la protection non
sécurisée des réseaux et falsifier les mots de passe pour accéder à n'importe quel
système. Par exemple, les mots de passe non cryptés partagés via des applications
sur un réseau peuvent être facilement piratés. De plus, les techniques modernes de
vérification d'identité sont obsolètes dans le sens où vous ne pouvez pas être
certain de l'identité de la personne qui accède au système.
De nombreux sites utilisent des "pare-feu" comme bouclier contre les intrusions
indésirables. Ceci est basé sur l'hypothèse que les « méchants » sont à l'extérieur.
En fait, les « initiés » sont responsables de la plupart des intrusions de données
graves. En outre, les pare-feu affectent également la convivialité d'« Internet »,
ce qui peut constituer un obstacle majeur au bon fonctionnement de l'entreprise.
Pour contrer ces menaces de sécurité visibles et importantes, Kerberos a été imaginé
et créé par l'équipe du MIT. Introduit à l'origine dans les années 1980, le
protocole d'authentification a subi plusieurs améliorations et est disponible sur
tous les principaux systèmes d'exploitation Windows, Mac, Linux, etc.
Qu'est-ce que Kerberos ?
Pour comprendre Kerberos, comprenons d'abord le terme qu'il signifie. Dans la
mythologie grecque, Kerberos était le chien à trois têtes qui gardait les portes de
l'enfer (l'enfer). Kerberos, le système de protocole Internet crée un système
d'authentification forte entre le serveur et le client. Il fournit les outils de
vérification et de cryptographie sur le réseau. De cette façon, vous pouvez mieux
sécuriser ce qui est partagé depuis votre entreprise.
La majorité des applications sont "conscience Kerberos", c'est-à-dire qu'elles sont
programmées pour utiliser l'authentification Kerberos. En fait, Kerberos est intégré
à chaque système Windows ou Mac ; Cependant, il n'est activé que si Kerberos fait
partie du système d'authentification des utilisateurs d'un réseau. C'est la raison ;
cette technologie est principalement utilisée par les entreprises.
Comment fonctionne Kerberos ?
Le système de sécurité d'entreprise est basé sur le principe fondamental du moindre
privilège, c'est-à-dire que l'accès au réseau doit être restreint. Pendant le
processus d'authentification, Kerberos utilise un cryptage tiers appelé Key
Distribution Center (KDC). Au moment où le client essaie de s'authentifier, Kerberos
stocke un ticket spécifique pour cette session sur la machine de l'utilisateur. Le
service averti de Kerberos recherchera alors ce ticket. De cette façon, le client
n'est pas invité à s'authentifier via un mot de passe.
Les principales entités d'un flux Kerberos comprennent :
Client : Un client agit au nom de
l'utilisateur et il initie la communication pour une demande de service.
Serveur : Le serveur auquel l'utilisateur
souhaite accéder.
Serveur d'authentification (AS) : il effectue
l'authentification du client. En cas d'authentification réussie, l'AS émet un ticket
appelé TGT (Ticket Granting Ticket). TGT peut relayer à d'autres serveurs que le
client a été authentifié.
Centre de distribution de clés (KDC) : dans
l'environnement Kerberos, le serveur d'authentification est séparé en trois
divisions :
a. Base de données ( db )
b. Serveur d'authentification (AS) et
c. Serveur d'octroi de tickets (TGS).
Ces trois divisions existent dans un seul serveur et sont connues sous le nom de Key
Distribution Center.
Ticket Granting Server (TGS) : le serveur
d'applications, qui émet des tickets en tant que service. Dans l'extrait
ci-dessous, vous verrez toutes les étapes impliquées dans l'authentification
Kerberos :
1. Lorsque le client se connecte au domaine, une demande de ticket d'octroi de
tickets (TGT) est envoyée au centre de distribution de clés (KDC)
2. Le KDC Kerberos répond en renvoyant un TGT et une clé de session au client.
3. Le KDC Kerberos reçoit ensuite une demande de ticket du serveur d'applications.
Cette demande comprend le client PC, le TGT et un authentificateur.
4. Le client PC reçoit alors un ticket et une clé de session de KDC.
5. Le ticket parvient alors au serveur d'application. Le serveur authentifie alors
le client PC.
6. Le serveur envoie au client PC un autre authentificateur. A la réception de
l'authentificateur, le Client authentifie le serveur.
Kerberos est également géré par Remedy Single Sign On (SSO). Dans le système Remedy
Single Sign On, il est également possible de créer un processus d'authentification
Kerberos.
Une explication détaillée de toutes les étapes est également partagée ci-dessous :
Étape 1 -
La première étape consiste en la demande d'authentification initiale. Ici, le client
demande au serveur d'authentification un ticket d'octroi de ticket (TGT). La demande
est envoyée par l'ID client et le mot de passe/clé secrète utilisateur du client
n'est pas envoyé.
Étape 2 -
Le serveur d'authentification recherche la disponibilité du client et du TGS dans la
base de données. S'ils ne sont pas trouvés, un message d'erreur est transmis au
client. Si les deux entités sont disponibles, la clé secrète client est créée via le
hachage du mot de passe de l'utilisateur. Le mot de passe est disponible dans la
base de données et la clé secrète TGS est également calculée.
Le client et le TGS partagent une clé de session (SK1) qui est générée par le
serveur d'authentification. Ce SK1 est chiffré à l'aide de la clé secrète client.
Le serveur d'authentification génère un TGT qui se compose de l'ID client, de
l'adresse réseau du client, de la durée de vie, de l'horodatage et de la clé de
session (SK1). La clé secrète TGS crypte le ticket, de sorte que seul TGS puisse
déchiffrer son contenu
Le message de réponse qui est finalement envoyé au client comprend le TGT et le SK1
générés. Ensuite, le corps du message est chiffré avec la clé secrète. Cela garantit
que seul le client pourra décoder le message.
Étape 3 -
Le client utilise ensuite la clé secrète pour déchiffrer le message et extrait SK1
et TGT. L'authentificateur est généré, qui est utilisé pour valider le client avec
TGS. L'authentificateur comprend l'ID client, l'adresse réseau du client et
l'horodatage de la machine cliente. Celui-ci est ensuite chiffré à l'aide du SK1
extrait. Le client envoie ensuite l'authentificateur et le TGT extrait à TGS. Le
client demande alors un ticket au serveur.
Étape 4 -
À l'aide de la clé secrète TGS, TGS déchiffre le TGT et extrait SK1. Cette clé
permet à TGS de déchiffrer l'authentificateur et de vérifier s'il y a eu une
correspondance entre l'ID client et l'adresse réseau client de TGT. Le système
vérifie également si le TGT est expiré ou non. Ceci est fait en utilisant
l'horodatage extrait.
Après la conclusion de toutes les vérifications, une autre clé de session de service
(SK2) est générée. Cette clé de session est partagée entre le client et le serveur
cible.
Ensuite, un ticket de service comprenant l'identifiant du client, l'adresse réseau
du client, l'horodatage et SK2 est créé. Ce ticket est crypté avec la clé secrète
qui est obtenue à partir de la base de données
Le client reçoit un corps de message composé de SK2 et d'un ticket de service.
Ensuite, le message est crypté avec SK1 (connu du client).
Étape 5 -
Le client décrypte le message en utilisant SK1 et extrait SK2. Un nouvel
authentificateur est alors créé, qui comprend l'ID client, l'horodatage et l'adresse
réseau du client. SK2 crypte ensuite cet authentificateur.
Le serveur cible reçoit ensuite l'authentificateur et le ticket de service du
client.
Étape 6 -
Le serveur cible utilise la clé secrète du serveur pour déchiffrer le ticket de
service. SK2 est alors extrait du ticket de service. À l'étape suivante, SK2 et l'ID
client déchiffrent l'authentificateur pour extraire l'adresse réseau et l'horodatage
du client.
Des vérifications spécifiques sont ensuite effectuées pour faire correspondre l'ID
client et les adresses réseau client du ticket de service et de l'authentificateur.
Lorsque toutes les vérifications sont satisfaites, le serveur cible publie un message
comprenant l'horodatage plus 1, crypté avec SK2 au client.
Cela valide l'authentification entre le client et le serveur. Une session de service
de confiance peut maintenant commencer.
Avantages de Kerberos
-
• Le protocole d'authentification permet aux Clients et aux services de
s'authentifier mutuellement.
-
• Il est disponible sur tous les systèmes d'exploitation.
-
• Les billets à Kerberos restent pour une durée limitée. Dans les cas où les
billets sont volés, il est très difficile de réutiliser le billet, car il
existe des exigences d'authentification strictes.
-
• Les mots de passe non cryptés entrent dans le réseau.
• Les clés secrètes partagées dans Kerberos sont beaucoup plus efficaces
Inconvénients de l'utilisation de Kerberos
Les faiblesses de Kerberos sont :
-
• Le système d'authentification peut être compromis si une personne non
autorisée accède au KDC.
-
• Kerberos n'est pris en charge que par les applications prenant en charge
Kerberos. Il peut être compliqué d'écrire le code pour d'autres
applications.
Les services IAM de l'ISSQUARED
Les solutions IAM d'ISSQUARED intègrent le système d'authentification Kerberos pour
appliquer des contrôles de sécurité appropriés. Ces contrôles répondent à toutes les
exigences de conformité et créent un accès sécurisé entre le client et le serveur.
La suite ORSUS IAM d'ISSQUARED facilite la gestion des comptes Kerberos. Il fournit
un processus simplifié et sécurisé pour gérer les comptes Kerberos, y compris le
provisionnement dans les systèmes cibles, leur ajout à des groupes d'accès,
permettant aux utilisateurs finaux de les demander en libre-service et de les
valider via des campagnes de révision.
-
a. Provisionner des comptes Kerberos sur des systèmes cibles
-
b. Gestion de groupe pour les comptes Kerberos
-
c. Demandes en libre-service pour les nouveaux comptes Kerberos
-
d. Flux de travail personnalisables pour l'intégration de nouveaux comptes
Kerberos
-
e. Recertifications et campagnes pour les comptes Kerberos
-
f. Audit/conformité et reporting pour les comptes Kerberos
Conclusion
Dans ce blog, nous avons discuté de l'éthique du système de protocole Internet
Kerberos et de la façon dont il est devenu une partie intégrante de la garantie d'un
accès et d'un échange d'informations sécurisés entre le client et le serveur. Nous
avons également discuté du processus étape par étape sur le fonctionnement de
Kerberos, puis avons examiné les services IAM d'ISSQUARED, qui intègre les
directives Kerberos dans son portefeuille IAM, offrant ainsi une sécurité maximale.
Pour obtenir plus d'informations sur nos services IAM, vous pouvez contacter l'un de
nos experts
ici