Inhaltsverzeichnis
Windows Server – was das Sicherheitsprotokoll Kerberos bietet
Cyberkriminalität gehört heutzutage leider zum Alltag, egal ob es sich um private Verbraucher oder die Geschäftswelt im Allgemeinen handelt. Kein Unternehmen oder keine Organisation ist sicher, und das Problem wird sich so schnell nicht bessern. Experten sagen voraus, dass die Schäden durch Cyberkriminalität die Welt bis 2025 rund 25 Billionen Dollar kosten wird. Folglich ist die digitale Welt bestrebt, neue Strategien zur Stärkung der Cybersicherheit zu finden und anzuwenden.
Zu den wichtigsten Protokollen in Active Directory zählt das Kerberos-Protokoll, welches den Cyberbedrohungen in mehrfacher Hinsicht etwas entgegensetzt. Ob Windows Server 2016, Windows Server 2019 oder Windows Server 2022, in Windows-basierten Netzwerken wird Kerberos von Microsoft als Standardauthentifizierungsmethode eingesetzt. In diesem Blogbeitrag erfahren Sie, was Kerberos auszeichnet und wie das Authentifizierungsprotokoll funktioniert.
Was ist Kerberos und wie ist es aufgebaut?
Kerberos ist ein Sicherheitsprotokoll für Computernetzwerke, das Dienstanforderungen zwischen zwei oder mehr vertrauenswürdigen Hosts über ein nicht vertrauenswürdiges Netzwerk wie das Internet authentifiziert. Es verwendet Kryptografie mit geheimem Schlüssel und einen vertrauenswürdigen Drittanbieter, um Client-Server-Anwendungen zu authentifizieren und die Identität der Benutzer zu überprüfen.
Ursprünglich Ende der 80er Jahre vom Massachusetts Institute of Technology (MIT) für Project Athena entwickelt, ist Kerberos heute die von Microsoft Windows verwendete Standardautorisierungstechnologie. Kerberos-Implementierungen existieren auch für andere Betriebssysteme wie Apple OS, FreeBSD, UNIX und Linux.
Microsoft hat seine Version von Kerberos in Windows 2000 eingeführt, und es ist zum Go-to-Protokoll für Websites und Single-Sign-On-Implementierungen über verschiedene Plattformen geworden. Das Kerberos-Konsortium pflegt Kerberos als Open-Source-Projekt.
Das Protokoll leitet seinen Namen vom legendären dreiköpfigen Hund Kerberos, auch bekannt als Cerberus, aus der griechischen Mythologie ab, dem Hundewächter am Eingang zur Unterwelt. Kerberos hatte einen Schlangenschwanz und eine besonders schlechte Laune, war aber dennoch ein sehr nützlicher Wächter.
Im Fall des Protokolls repräsentieren die drei Köpfe von Kerberos den Client, den Server und das Key Distribution Center (KDC). Letzteres fungiert als vertrauenswürdiger Drittanbieter-Authentifizierungsdienst.
Benutzer, Maschinen und Dienste, die Kerberos verwenden, sind allein auf das KDC angewiesen, das als ein einziger Prozess arbeitet, der zwei Funktionen bereitstellt: Authentifizierung und Ticketerteilung. KDC-“Tickets” bieten allen Parteien eine Authentifizierung, sodass Knoten ihre Identität sicher überprüfen können. Der Kerberos-Authentifizierungsprozess verwendet eine herkömmliche Shared-Secret-Kryptographie, die verhindert, dass Pakete, die über das Netzwerk übertragen werden, gelesen oder geändert werden.
Wofür wird Kerberos verwendet?
Kerberos wird verstärkt bei Systemen eingesetzt, die auf zuverlässige Audit- und Authentifizierungsfunktionen angewiesen sind. Es wird bei der Posix-Authentifizierung, Active Directory, NFS und Samba verwendet. Kerberos ist zudem ein alternatives Authentifizierungssystem zu SSH, POP und SMTP.
Die Vorteile der Kerberos-Authentifizierung
Kerberos bringt eine Vielzahl von Vorteilen für jedes Cybersicherheits-Setup. Die nachfolgenden Vorteile sind zu nennen:
Effektive Zugriffskontrolle: Kerberos bietet Benutzern einen zentralen Punkt, um Anmeldungen und die Durchsetzung von Sicherheitsrichtlinien zu verfolgen.
Begrenzte Lebensdauer für Schlüsseltickets: Jedes Kerberos-Ticket hat einen Zeitstempel, Lebensdauerdaten und eine vom Administrator kontrollierte Authentifizierungsdauer.
Gegenseitige Authentifizierung: Dienstsysteme und Benutzer können sich gegenseitig authentifizieren.
Wiederverwendbare Authentifizierung: Die Kerberos-Benutzerauthentifizierung ist wiederverwendbar und dauerhaft, sodass jeder Benutzer nur einmal vom System überprüft werden muss. Solange das Ticket gültig ist, muss der Benutzer nicht ständig seine persönlichen Daten zu Authentifizierungszwecken eingeben.
Starke und vielfältige Sicherheitsmaßnahmen: Kerberos-Sicherheitsauthentifizierungsprotokolle verwenden Kryptografie, mehrere geheime Schlüssel und die Autorisierung durch Dritte, wodurch ein starker, sicherer Schutz geschaffen wird. Passwörter werden nicht über Netzwerke gesendet und alle geheimen Schlüssel sind verschlüsselt.
Die Hauptziele von Kerberos
Die meisten Ziele von Kerberos befassen sich mit der Passwortverwaltung. Es stellt sicher, dass Passwörter nicht über das Netzwerk übertragen werden. Kennwörter befinden sich nicht auf den Client-Systemen; das System verwirft sie sofort nach Gebrauch. Darüber hinaus befinden sich alle Authentifizierungsinformationen auf einem zentralen Server. Dies hat zur Folge, dass ein Administrator den Zugriff jedes Clients von einem zentralen Server aus einschränken kann. Ein einziges Benutzerpasswort kann auf alle Dienste zugreifen und der Schutz von Benutzerinformationen ist weniger kompliziert, da sich erforderliche Maßnahmen häufig nur auf den Server konzentrieren müssen.
Ist Kerberos sicher?
Sicherheitspraktiker weltweit betrachten Kerberos als sicher. Es verfügt über eine starke Verschlüsselung, um Daten zu sichern. Sicherheitsforscher haben nur wenige Möglichkeiten gefunden, um die Sicherheitsfunktionen von Kerberos zu durchbrechen.
Keine Sicherheitsmaßnahme ist zu 100 % uneinnehmbar, und Kerberos ist da keine Ausnahme. Da es schon so lange existiert, hatten Hacker bereits viele Jahre Zeit, um eventuelle Lücken zu identifizieren und verschiedene Versuche zu starten. Trotzdem ist Keberos immer noch eines der besten Sicherheitszugriffsprotokolle, die heute verfügbar sind.
Ob Windows Server 2016, Windows Server 2019 oder Windows Server 2022, bei Softwarekaufen24 finden Sie die Serverbetriebssysteme von Microsoft zu einem herausragenden Preis-Leistungs-Verhältnis. Setzen Sie die modernsten Technologien und Authentifizierungsprotokolle schon nach wenigen Schritten in unserem Online Shop ein.