What is Kerberos? An Introduction to Secure Authentication

ما هو Kerberos؟ مقدمة حول المصادقة الآمنة

يتيح بروتوكول Kerberos للأجهزة والآلات المختلفة تبادل المعلومات بشكل مستمر وآمن. وبدون بروتوكول قوي مثل مصادقة Kerberos، تصبح هذه المعلومات عرضة للوصول غير المصرح به وحتى التلاعب بها - على سبيل المثال، باستخدام هجوم الوسيط .

طورت العديد من المنظمات بروتوكولات المصادقة الخاصة بها. يسمح بروتوكول المصادقة لمستخدم أو جهاز أو نظام واحد بالتحقق من هوية مستخدم أو جهاز أو نظام آخر يريد التواصل معه. بعد أن يقوم الكيانان بالمصادقة على هوية بعضهما البعض، يمكنهما الاطمئنان إلى أن اتصالاتهما لن يتم اعتراضها أو التلاعب بها من قبل مهاجمين ضارين.

أحد بروتوكولات المصادقة هذه هو Kerberos . إذن، ما هي مصادقة Kerberos بالضبط، وكيف يختلف بروتوكول Kerberos عن البدائل الأخرى؟ سنستعرض كل ما تحتاج إلى معرفته في هذا الدليل حول أمان Kerberos.

ما هو Kerberos؟

Kerberos هو بروتوكول مصادقة يسهل الاتصال الآمن بين جهازين أو جهازين على شبكة (MIT، 2023). تم تطوير Kerberos في البداية في معهد ماساتشوستس للتكنولوجيا في أواخر الثمانينيات، ومنذ ذلك الحين أصبح أحد أكثر بروتوكولات المصادقة شيوعًا. تم إصدار الإصدار الحالي من Kerberos ، الإصدار 5، لأول مرة في عام 1993.

ما هو استخدام Kerberos؟

تتضمن جميع أنظمة التشغيل الحديثة الرئيسية - Windows وmacOS وLinux - دعمًا لبروتوكول Kerberos. على وجه الخصوص، يعد Kerberos بروتوكول المصادقة الافتراضي المستخدم بواسطة Windows Active Directory، وهي خدمة دليل وقاعدة بيانات تساعد المستخدمين في تحديد موقع الموارد على شبكة الكمبيوتر (Microsoft، 2021). يمكن استخدام Kerberos لمجموعة واسعة من التطبيقات، بما في ذلك:

  • مصادقة المستخدم: يمكن لـ Kerberos التحقق من هويات المستخدمين على شبكة الكمبيوتر قبل منحهم حق الوصول إلى الموارد والأنظمة المميزة.
  • تسجيل الدخول الفردي (SSO): يمكن استخدام Kerberos لتنفيذ وظيفة تسجيل الدخول الفردي، مما يسمح للمستخدمين بمصادقة هوياتهم مرة واحدة فقط بدلاً من كل مرة يقومون فيها بالوصول إلى مورد جديد.
  • التحكم في الوصول إلى الموارد: يمكن لمسؤولي النظام نشر Kerberos بشكل استراتيجي لفرض سياسات التحكم في الوصول إلى تكنولوجيا المعلومات، والحد من وصول المستخدمين إلى موارد معينة استنادًا إلى هوياتهم.

ما هو بروتوكول Kerberos؟

المفهوم الرئيسي المستخدم في بروتوكول Kerberos هو مفهوم "التذكرة": وهي بنية بيانات تحتوي على معلومات تُستخدم للتحقق من صحة المستخدمين والأجهزة (IBM، 2021). تعمل التذكرة كدليل على أن خادم Kerberos قد قام بمصادقة مستخدم وتحتوي على بيانات مثل معرف المستخدم وعنوان IP ومدة صلاحية التذكرة.

قد يدرك عشاق الأساطير اليونانية أن بروتوكول Kerberos يشترك في اسمه مع Kerberos (أو Cerberus)، الكلب ذو الرؤوس الثلاثة الذي يحرس مدخل العالم السفلي. في الواقع، حصل بروتوكول Kerberos على اسمه من نموذج الأمان ثلاثي الأطراف الذي يستخدمه. المكونات الرئيسية الثلاثة لـ Kerberos هي:

  • العميل، أي المستخدم أو الجهاز الذي يطلب المصادقة للوصول إلى موارد الشبكة أو الأنظمة المقيدة.
  • خادم مصادقة Kerberos المسؤول عن مصادقة هويات المستخدمين في البداية وتوفير تذاكر منح التذاكر (TGTs). تذاكر منح التذاكر عبارة عن ملفات بيانات صغيرة مشفرة يمكن استخدامها لطلب الوصول إلى موارد الشبكة الأخرى.
  • خادم منح التذاكر (TGS) الذي يقبل تذاكر TGT من المستخدمين ويوفر رموزًا إضافية للمستخدمين للوصول إلى مورد أو خدمة محددة.

كيف يختلف Kerberos عن البروتوكولات الأخرى؟

بالطبع، يعد Kerberos واحدًا فقط من العديد من بروتوكولات المصادقة المحتملة التي يمكن للأجهزة استخدامها للاتصال الآمن. تشمل البدائل لـ Kerberos NTLM وLDAP وRADIUS. إذن، ما الذي يجعل Kerberos مختلفًا عن هذه البروتوكولات الأخرى؟

  • NTLM عبارة عن مجموعة من بروتوكولات الأمان من Microsoft للمساعدة في التحقق من هويات المستخدمين على الشبكة، وخاصة في بيئات Windows. وفي حين لا تزال Microsoft تدعم NTLM، فقد تم استبدالها إلى حد كبير بـ Kerberos لحالات الاستخدام مثل Active Directory بسبب بعض الثغرات الأمنية.
  • LDAP هو بروتوكول يستخدم بشكل أساسي للوصول إلى خدمات الدليل وإدارتها. وعلى عكس Kerberos، يستخدم LDAP مصادقة مركزية: يتم تخزين بيانات الاعتماد مثل اسم المستخدم وكلمة المرور في مكان واحد، مما يعني أنه يتعين على المستخدمين إعادة إدخال بيانات الاعتماد هذه في كل مرة يقومون فيها بالوصول إلى خدمة جديدة.
  • RADIUS هو بروتوكول أمان يوفر مصادقة وتفويضًا ومحاسبة مركزية (AAA) لوصول المستخدمين إلى شبكة الكمبيوتر. يوفر RADIUS المصادقة عند نقطة محددة في الشبكة ولكنه لا يستطيع منح مصادقة إضافية لموارد وخدمات محددة، كما يفعل Kerberos.

هل Kerberos آمن؟

قبل أن تبدأ في استخدام بروتوكول مصادقة Kerberos، يجب أن تكون على دراية بموضوع أمان Kerberos. يُعتبر Kerberos عمومًا بروتوكولًا آمنًا وقد حل إلى حد كبير محل البدائل الأقل أمانًا مثل NTLM.

لسوء الحظ، لا يمكن لأي بروتوكول مصادقة أن يكون خاليًا من الأخطاء تمامًا، وينطبق الأمر نفسه على Kerberos. بروتوكول Kerberos عرضة لهجمات مثل:

  • Kerberosting: في هجوم Kerberosting، يحاول المهاجمون الضارون اختراق كلمات مرور حسابات الخدمة، وهي حسابات خاصة تستخدم للمصادقة على خدمات أو تطبيقات شبكة معينة وتفويضها. يطلب المهاجم تذكرة خدمة Kerberos ثم يحاول اختراق هذا الحساب باستخدام تقنيات اختراق كلمة المرور دون اتصال بالإنترنت، مما يساعد في تجنب الاكتشاف.
  • هجمات التذكرة الذهبية: في هجوم "التذكرة الذهبية"، يحاول المجرمون الخبيثون تزوير تذكرة ذهبية خاصة (تسمى "تذكرة ذهبية"). يتم الحصول على هذه التذكرة الذهبية من خلال سرقة كلمة المرور لحساب KRBTGT، وهو حساب خاص يتحكم في قاعدة بيانات مركز توزيع المفاتيح (KDC). يمكن للمهاجم بعد ذلك إنشاء تذاكر ذهبية صالحة باستخدام هذه "التذكرة الذهبية"، مما يسمح للمستخدمين بالوصول غير المحدود إلى أي موارد أو خدمات على الشبكة.
  • هجمات التذكرة الفضية: في هجوم "التذكرة الفضية"، يحاول الجهات الخبيثة تزوير TGS (يُطلق عليها "التذكرة الفضية"). يتطلب هذا النوع من الهجمات أن يكون المهاجم قد استولى بالفعل على السيطرة على نظام مستهدف (على سبيل المثال، من خلال إصابة بالبرامج الضارة). بمجرد حصول المهاجم على حق الوصول الإداري إلى النظام، يمكن إنشاء "تذكرة فضية" مزورة لـ TGS، مما يسمح للمهاجم بانتحال شخصية هذا النظام. وكما يوحي الاسم، فإن هجمات التذكرة الفضية أكثر محدودية في نطاقها من هجمات التذكرة الذهبية - فهي تقتصر على تطبيق أو خدمة واحدة فقط.

كيف يمكن التخفيف من ثغرات Kerberos؟

على الرغم من انتشار استخدامه على نطاق واسع، فإن Kerberos لديه نصيبه من نقاط الضعف. والخبر السار هو أن هناك طرقًا مختلفة لمعالجة هذه نقاط الضعف وتحسين أمان Kerberos. للمساعدة في التخفيف من نقاط ضعف Kerberos، اتبع النصائح وأفضل الممارسات مثل:

  • تنفيذ سياسات كلمات المرور القوية: تعتمد نقاط ضعف Kerberos، مثل هجمات "التذكرة الذهبية"، على قدرة المهاجم على اختراق كلمة المرور. وكلما كان اختراق كلمة المرور أكثر صعوبة، كلما أصبح الهجوم الناجح أكثر صعوبة. ينبغي للمؤسسات تشجيع المستخدمين على استخدام كلمات مرور طويلة ومعقدة لا يمكن تخمينها بسهولة من خلال القوة الغاشمة.
  • تطبيق تحديثات الأمان بانتظام: يجب تحديث جميع أنظمة Kerberos، وخاصة مركز توزيع المفاتيح (KDC)، بانتظام بأحدث ترقيات الأمان. يساعد هذا في إصلاح العيوب الأمنية المعروفة، وتعزيز البنية الأساسية للشبكة والحد من عدد نقاط الدخول المحتملة للمهاجمين.
  • نشر أدوات المراقبة وكشف الاختراقات: تعتمد العديد من نقاط ضعف Kerberos على قدرة المهاجمين على التحرك دون أن يتم اكتشافهم في جميع أنحاء الشبكة. عندما يبدأ هجوم إلكتروني، يجب تنبيه المؤسسات في أقرب وقت ممكن لاتخاذ التدابير الوقائية. يمكن أن تساعد أنظمة كشف الاختراقات (IDS) وأنظمة منع الاختراقات (IPS) في تحديد الأنشطة المشبوهة وحظرها، ووضع حد للهجمات الإلكترونية قبل أن تبدأ.
  • استخدم مبدأ الحد الأدنى من الامتيازات: في مجال الأمن السيبراني، يشير "مبدأ الحد الأدنى من الامتيازات" إلى مفهوم مفاده أنه ينبغي منح المستخدمين حق الوصول فقط إلى الموارد والخدمات المحددة التي يحتاجون إليها - وليس أكثر من ذلك. يساعد هذا في تقييد حركة المهاجمين إذا تمكنوا من الاستيلاء على السيطرة على حساب مستخدم. يجب على المؤسسات تنفيذ مبدأ الحد الأدنى من الامتيازات عند تعيين الأذونات داخل نطاق Kerberos.

كيف يمكن لـ C|PENT المساعدة في Kerberos

على الرغم من بعض القيود والثغرات الأمنية، لا يزال بروتوكول مصادقة Kerberos مستخدمًا على نطاق واسع اليوم. وهذا يعني أن محترفي الأمن السيبراني يجب أن يتعرفوا على Kerberos وبروتوكولات المصادقة الأخرى كجزء من عملهم لحماية الأصول الرقمية.

يعلم برنامج Certified Penetration Testing Professional (C|PENT) التابع لمجلس EC-Council الطلاب عن بروتوكولات المصادقة مثل Kerberos، بالإضافة إلى كيفية مهاجمتها باستخدام تقنيات مثل Kerberosting. تتضمن دورة C|PENT 40 ساعة من التعليم عبر 14 وحدة متعمقة حول مفاهيم اختبار الاختراق الأساسية.

مراجع

IBM. (2021). تذكرة Kerberos. https://www.ibm.com/docs/en/sc-and-ds/8.1.0?topic=concepts-kerberos-ticket

Microsoft. (2021). نظرة عامة على مصادقة Kerberos. https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview

معهد ماساتشوستس للتكنولوجيا (2023). Kerberos: بروتوكول مصادقة الشبكة. https://web.mit.edu/kerberos/

هل أنت مستعد للانتقال بمسيرتك المهنية في مجال الأمن السيبراني إلى المستوى التالي؟ لا تبحث أبعد من شهادات CPENT وLPT، وهي الشهادات الأكثر قيمة في عالم اختبار الاختراق اليوم. تعد هذه الشهادات من بين شهادات الأمن الأعلى أجراً على مستوى العالم، ويمكنها أن تفتح لك أبواب فرص عمل مربحة في صناعة الأمن السيبراني.

أطلق العنان لإمكانياتك مع شهادات CPENT وLPT!

مع مجموعة CPENT iLearn

مع مجموعة CPENT iLearn بسعر 969 دولارًا فقط، يمكنك الحصول على شهادتين دوليتين مرموقتين في نفس الوقت: CPENT وLPT من EC-Council. تتضمن هذه المجموعة الشاملة كل ما تحتاجه للتحضير لامتحان CPENT واجتيازه، بما في ذلك قسيمة امتحان CPENT ، والتي تتيح لك إجراء الامتحان عبر الإنترنت من خلال RPS في أي وقت يناسبك خلال 12 شهرًا.

توفر دورة الفيديو التعليمية ذاتية التوجيه عبر الإنترنت CPENT ، المتاحة على منصة iClass التابعة لـ EC-Council، إرشادات عملية وعملية لجعل استعدادك للاختبار سلسًا. مع إمكانية الوصول لمدة عام واحد، ستتلقى تعليمات من خبراء وإرشادات خطوة بخطوة، مما يضمن لك الاستعداد الجيد للنجاح في الاختبار.

ولكن هذا ليس كل شيء - تتضمن مجموعة CPENT iLearn أيضًا:

  • البرامج التعليمية الإلكترونية
  • الوصول إلى CyberQ Labs لمدة ستة أشهر
  • شهادة إتمام الدورة
  • دورة Cyber ​​Range لمدة 30 يومًا على نظام Aspen التابع لـ EC-Council لسيناريوهات التدريب الواقعية، مما يعزز فرصك في تحقيق درجة عالية في الامتحان.

عند الدفع، سوف تتلقى رمز LMS ورمز قسيمة الاختبار الخاص بك في غضون 1-3 أيام عمل، مما يضمن لك القدرة على بدء استعداداتك دون تأخير.

لا تفوت هذه الفرصة للارتقاء بمسيرتك المهنية في مجال الأمن السيبراني من خلال الحصول على شهادات CPENT وLPT. سجل اليوم وافتح عالمًا من الإمكانات!

قم بشراء مجموعة CPENT iLearn الخاصة بك هنا واحصل عليها خلال 1 - 3 أيام!

العودة إلى المدونة

اترك تعليقا

يرجى ملاحظة أن التعليقات تحتاج إلى الموافقة قبل نشرها.