Hvordan Kerberos øke sårbarheten?

Hvordan Kerberos øke sårbarheten?


Hver sikkerhetstiltak og forholdsregler kommer med sine egne avveininger. For eksempel vil distribuere Kerberos autentiseringssystemet på serveren din legger et lag av beskyttelse mot uautoriserte brukere tilgang til filer. Å sette opp dette laget av beskyttelse med Kerberos, men gjør serveren din mer sårbar for angrep av hackere som forsøker å forhindre at brukere kan logge seg inn på serveren.

Kerberos Key Distribution Service

Kerberos baserer godkjenning for en session på å gi en datamaskin en autentiseringsnøkkel, som gir deg tilgangsrettighetene for brukerkontoen som legitimasjon du har oppgitt. Kerberos komponenten som tar inn kontodetaljene og gir deg en nøkkel for en økt kalles Key Distribution Center (KDC). Dette er det offentlige overfor komponent i enhver Kerberos autentisering system og elementet som øker serverens sårbarhet for visse typer angrep fra hackere.

Denial of Service angrep

En denial of service angrep er et forsøk av hackere å få ned serveren din slik at legitime besøkende ikke vil være i stand til å få tilgang til det. Enkle DoS angrep kan ta form av oversvømt din server med flere forespørsler enn den kan håndtere, men mer sofistikerte angrep prøve å krasje veldig programvare som kjører på serveren din. Bogging ned serveren med en overdreven mengde forespørsler kan bremse serverens hastighet til et punkt der det er ubrukelig av vanlige brukere, men å krasje serveren programvaren vil hindre noen i å få tilgang serveren din til du relansere nødvendige komponenter.

Kerberos DoS Vektorer

Hackere kan bruke dokumenterte svakheter i Kerberos 'KDC å prøve og krasje serveren din autentiseringstjeneste. KDC lar ikke brukere prøver å få tilgang til nettstedet direkte kontakt med hoved godkjenning programvare, men har til stafett legitimasjon de leverer til de viktigste programvaren for å godkjenne den. Hackere kan prøve å få ned serverens Kerberos utplassering ved å tilby spesielt misformede legitimasjons data. Slike misdannede data kan forårsake en buffer overflow som vil krasje Kerberos. Mens hackere alltid sondering etter nye måter å indusere en slik buffer overflow, som gjelder alle sikkerhetsoppdateringer fra din Kerberos programvareleverandør kan gi deg den beste beskyttelse tilgjengelig fra disse angrepene.

OpenSSL Sikkerhetsproblemer

Mange Kerberos implementeringer integreres med OpenSSL Toolkit for overføring av krypterte data mellom klientmaskinen og serveren. OpenSSL har sitt eget sett av sikkerhetsproblemer som hackere kan bruke som angrepsvektorer for å få ned Kerberos. Sikkerhetsoppdateringer fra din Kerberos leverandøren vil ikke nødvendigvis omfatte sikkerhetsoppdateringer OpenSSL, så en fullt oppdatert versjon av Kerberos fremdeles være sårbare for DoS-angrep gjennom en ufullstendig oppdatert versjon av OpenSSL. For å kjøre den sikreste serveren mulig, administratorer må ta det på seg til å sørge for at de har brukt alle de nødvendige patcher til begge disse programvarepakkene.