Kerberos Nedir? Kerberos 4, Kerberos 5

Yazar:

Siber Güvenlik

1. Kerberos Nedir?

Kerberos güvenli olmayan bir ağ üzerinde haberleşen kaynakların, bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

Kerberos simetrik anahtar şifreleme üzerine inşa edilmiştir ve güvenilir bir üçüncü doğrulayıcıya (trusted third party) ihtiyaç duyar, isteğe bağlı olarak kimlik doğrulamanın belli aşamalarında açık anahtar şifreleme modelini de kullanabilir. Kerberos varsayılan port olarak UDP 88. portu kullanır.

Kerberos, kullanıcı kimlikleri sağlamak ve kimlik doğrulama talebinde bulunmak için tasarlanmış web tabanlı bir yazılımdır. İnternet çok güvensiz bir yer olduğu için bu olur.

Güvenliği artırmak için farklı bir Kerberos sürümünün geliştirilmesinin bir sonucu olarak kullanıcılarla ilgili hassas bilgilerin alışverişi ele alınmıştır.

1.1. Kerberos Terimleri

Realm:

Kerberos kullanan kaynak ve kimlikleri mantıksal olarak gruplamanın bir yoludur. Domain olarak düşünülebilir. Örnek: sezgin.local

Principle:

Kerberos kullanan benzersiz bir kimlik bilgisidir. Kullanıvı adı ve realm’den oluşur. Örnek: client@sezgin.local

KDC:

Client-Server arasında güvenli bağlantı oluşturulmasından sorumludur. Üç bileşenden oluşur:

Veritabanı: Tüm kimlik bilgileri veritabanı üzerinde tutulmaktadır.

Kimlik Denetim Sunucusu: Kimlik denetim işlemini başlatmakla sorumlu bileşendir.

TGS(Ticket Granting Service): Şifreli anahtarları oluşturup, kullanıcılara gönderilmesini sağlamakla sorumludur.

Ticket:

Kullanıcıların ağa erişimlerini sağlamaktır.

1.2. Kerberos Çalışma Mekanizması

  1. Kullanıcı kimlik bilgilerini KDC’ye gönderip TGT talebinde bulunur.
  2. Kimlik denetim servisi şifrelenmiş bir TGT ve oturum anahtarı gönderir.
  3. Kullanıcı, Ticket Granting Service (TGT)’den sunucuya erişim talep eder.
  4. TGS şifrelenmiş oturum anahtarını ve bileti kullanıcıya gönderir.
  5. Kullanıcı bileti sunucuya gönderir.
  6. Sunucu, kullanıcının onayı için şifrelenmiş zaman damgasını gönderir.
Kerberos Çalışma Mekanizması

2. Kerberos Sürüm 4 Nedir?

Kerberos sürüm 4, web’e erişirken kullanıcıların bilgilerinin kimlik doğrulaması için DES şifreleme kullanan web tabanlı bir yazılımdır.

Sürüm 4, geçerli saati şifrelemek için ortak anahtarı kullanması için bir sistem göndererek çalışır; bu sayede alıcı sistem, şifresini çözme ve geçerli zamana göre kontrol etme yeteneğine sahip olur.

Bu, Kerberos’un belirli bir zamanda bileti alan kinit komutunu kullanarak kullanıcı şifresini doğrulayarak çalıştığı anlamına gelir. Oturum tamamlandığında, bilet derhal imha edilir.

3. Kerberos Sürüm 5 Nedir?

Kerberos sürüm 5, bir ağda dağıtılan tek bir hizmetin kimliğini doğrulamak için kullanılan bir protokoldür. Normalde hem 2000 hem de Windows XP’de uygulanmaktadır.

Sürüm 5, tüm kurumsal bilgi işlem platformlarındaki kullanıcıların kimliklerini doğrulamak için tek bir kullanıcı hesabı veritabanının heterojen bir ortamda tüm hizmetlere erişmesine izin vererek çalışır.

4. Kerberos Sürüm 4 ve Sürüm 5 Arasındaki Temel Farklılıklar

  1. Kerberos sürüm 4, 1980’lerde, sürüm 5 ise 1993’te yayınlandı.
  2. Kerberos sürüm 4 için bilet desteği tatmin edicidir, ancak sürüm 5’inki yönlendirme, yenileme ve tarih sonrasını iyileştirmek için oldukça genişletilmiştir.
  3. Kerberos sürüm 4’ün kodlama sistemi alıcıya göre doğrudur, sürüm 5 ise ASN’yi kullanır. 
  4. Kerberos sürüm 4’ün şifreleme tekniği simetrik şifreleme algoritması iken, sürüm 5’in şifreleme tekniği bir şifreleme türü tanımlayıcıyla etiketlenen şifreli metindir.
  5. Kerberos sürüm 4 IP adreslemeyi kullanırken Kerberos V5 herhangi bir adresi kullanabilir.
  6. Kerberos sürüm 4 biletlerinin ömrü 5 dakikalık birimlerle belirtilmelidir, Kerberos sürüm 5 bilet ömrü ise keyfi yaşam sürelerine izin veren açık bir başlangıç ​​ve bitiş zamanları belirtebilir.
  7. Kerberos sürüm 4, ağ protokolü türleri için birkaç IP adresi ve başka adresler kullanırken, Kerberos sürüm 5, ağ protokolü türleri için birden çok IP adresi kullanır.
  8. Kerberos sürüm 4, ilke adını kısmen kullanırken Kerberos sürüm 5, ana adın tamamını kullanır. 

Kerberos 4 ve 5 Arasındaki Farklar

Temel kurallarKerberos Sürüm 4Kerberos Sürüm 5
Kronoloji1980’lerde piyasaya sürüldü.1993 yılında piyasaya sürüldü.
Anahtar Tuz AlgoritmasıAsıl adı kısmen kullanır.Asıl adın tamamını kullanır.
Kodlama SistemiAlıcı-Doğru Yapar.ASN.1 kodlama sistemi.
Bilet desteğiTatmin edici.Bilet yönlendirmeyi, yenilemeyi ve sonradan tarihlemeyi geliştirmek için genişletilmiş.
Ağ adresleriAğ protokolü türleri için birkaç IP adresine ve başka adreslere sahiptir.Ağ protokolü türleri için birden çok IP adresi ve diğer adresleri vardır.
Geçişli bölgeler arası kimlik doğrulama desteğiSebep için şu anda destek yok.Bu tür kimlik doğrulama için makul destek mevcuttur.
Şifreleme TeknikleriSimetrik şifreleme algoritması şifreleme teknikleri. Şifreli metin, bir şifreleme türü tanımlayıcısıyla etiketlenir.
Bilet Ömrü5 dakikalık bir ömür boyu birimlerde tanımlanma eğilimindedir.Biletin başından sonuna kadar bir ömür boyu kimliği vardır.
AnahtarBelirli bir sunucudan bir hizmet almak için tekrar tekrar aynı anahtar kullanılır, bir saldırganın eski bir oturumdaki iletileri istemciye veya sunucuya yeniden yürütme riski vardır.Sadece tek bir bağlantı için kullanılan bir alt oturum anahtarı zorunlu kılarak önlenir.
AnlamSistemde oturum açarken bir kullanıcının kimliğini doğrulamak için simetrik şifreleme algoritması şifrelemesini kullanan bir kimlik doğrulama sistemidir.Dağıtık bir ağda tek bir kimlik doğrulama hizmeti sağlayan bir kimlik doğrulama sistemidir.

5. Kerberos Sürüm 5‘e neden ihtiyaç duyulmuştur?

Kerberos sürüm 4’e göre daha çok yönlendirme, yenileme ve sonrasında gelişmişlik gösterir. Alıcıya göre değiştiği için daha önceki sürümler, sürüm 5 de buna bir çare bulunmuştur. İletilecek metin simetrik şifreleme algoritmaları ile iletilirken değiştirildiği için sistemsel problemlere yol açtığı için sürüm 5 de şifreli metin etiketlenerek iletilir. Eski sürümde iletimi sağlayan bilet zamana göre ayarlandığı için zamandan kaynaklı problemler oluşurken sürüm 5 de bu biletin ömrü iletimin başından sonuna ulaştığında biter.

Belirli bir sunucudan bir hizmet almak için tekrar tekrar aynı anahtar kullanıldığı için saldırganın eski bir oturumdaki iletileri istemciye veya sunucuya ulaşma riski vardı. Sürüm 5 de ise sadece tek bir bağlantı için kullanılan bir alt oturum kullanarak saldırganların eline geçmesini önlediği için geliştirilmiştir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir