Kerberos

Was ist Kerberos?

Kerberos ist ein Authentifizierungsdienst, der dazu eingesetzt wird, digitale Daten zu schützen. Mittels einer speziellen Verschlüsselung, der Kerberos Authentication, können Nutzer damit Sicherheitslücken schließen. Das Konzept der Entwickler galt seinerzeit als revolutionär. Somit wurde die Authentifizierung über Kerberos eine Standardlösung für Webseiten weltweit.

Entwickelt wurde Kerberos in den Achtzigerjahren an der renommierten US-Universität MIT in Cambridge. Dort nutzte man den Dienst mehrere Jahre im Intranet. Erst Ende der Achtzigerjahre wurde die Version 4 für eine öffentliche Verwendung freigegeben.

Was ist ein Authentifizierungsdienst?

Eingesetzt werden diese Dienste häufig in einem offenen bzw. unsicheren Netzwerk. Das betrifft in erster Linie das Internet. Im Rahmen einer Authentifizierung wird die Identität einer Person oder eines Clients überprüft. Hinter dem Begriff Client verbirgt sich eine Software oder Hardware, die mit einem Server Daten austauscht. Durch die Authentifizierung soll zum einen festgestellt werden, ob die Person, die den Client nutzt, real ist. Zum anderen wird überprüft, ob der Client berechtigt ist, auf die Daten bzw. die Systeme zuzugreifen.

Auf diese Weise erhalten dann zum Beispiel nur Personen Zugang zu einem firmeneigenen Netzwerk oder zu einer webbasierten Anwendung, die dazu berechtigt sind. Ein Hackerangriff oder das Ausspähen von Daten können verhindert werden, indem nur Netzwerkzugriffe auf den Client zugelassen werden, die dazu autorisiert wurden. Für den Prozess der Autorisierung kommen drei verschiedene Methoden zur Anwendung:

• Single-Faktor-Authentifizierung
• Zwei-Faktor-Authentifizierung
• Multi-Faktor-Authentifizierung

Die Single-Faktor-Authentifizierung (SFA)

Von Single-Faktor-Authentifizierung spricht man, wenn sich ein User nur mittels seines Anmeldenamens und eines Passworts im Konto einer Anwendung online anmeldet. Diese sehr einfache Form der Authentifizierung führt leider oft zu einem Angriff von Hackern. Hier kommt die sogenannte Brute-Force-Methode zum Einsatz. Sie funktioniert durch Trial und Error. Das bedeutet, dass wahllos Zeichenkombinationen durchprobiert werden, um Passwörter zu knacken. Hacker nutzen dazu Schadprogramme, die binnen einer Stunde ein Passwort aus acht Zeichen entschlüsseln können. Experten empfehlen, dass sichere Passwörter mindestens aus 12 Zeichen bestehen sollten. Es sollten darin Groß- und Kleinbuchstaben, Zahlen und wenn möglich auch Sonderzeichen vorkommen. Je weniger das Passwort Sinn ergibt, desto besser ist der Schutz vor Angriffen.

Der Nachteil dieser Methode ist, dass sich diese Passwörter nur schwer merken lassen. Da dringend empfohlen wird, für jedes Konto einen anderen Zugangscode zu verwenden, kommt da im Handumdrehen eine unübersichtliche Anzahl an Passwörtern zusammen. Vor allem im Berufsalltag sorgt das für Stress und Probleme. Deswegen vergeben Netzadministratoren von beruflichen Netzwerken bei der Single-Faktor-Authentifizierung oft niederschwellige Passwörter. Das geht dann allerdings zulasten der Sicherheit.

Die Zwei-Faktor-Authentifizierung (2FA)

Das 2FA-Verfahren ist um ein Vielfaches sicherer als die Single-Faktor-Authentifizierung. Selbst wenn Hacker das ursprüngliche Passwort herausbekommen, können sie sich noch nicht im Konto des Nutzers einloggen. Die Identität des Users ist sicher.

Wie funktioniert die Zwei-Faktor-Authentifizierung? Neben dem SFA-Verfahren erfolgt eine zweite Passwortabfrage. Dieses Passwort wird von einem Passwortgenerator erzeugt. Dabei gibt es verschiedene Methoden:

• Authentifizierung per Einmalkennwort

In der Regel zeigt das Programm oder die Webseite beim Einloggen einen QR-Code. Dieser wird mit dem Handy gescannt. Mittels einer Authenticator-App wird der Code in eine sechsstellige Zeichenfolge umgewandelt. Dieser Code ist in der Regel nur für einen bestimmten Zeitraum gültig.

• Authentifizierung per SMS oder Anruf

Hierbei wird ein zweites, zufällig generiertes Passwort als SMS verschickt oder von einer Computerstimme via Anruf mitgeteilt.

• Authentifizierung via E-Mail

Bei dieser Methode wird das zweite Passwort dem Nutzer als E-Mail zugesandt. Haben Hacker jedoch den E-Mail-Account geknackt, können sie auch auf dieses Passwort zugreifen. Daher gilt diese Art der Zwei-Faktor-Authentifizierung als verhältnismäßig unsicher. Sie kommt selten zur Anwendung.

• Authentifizierung via USB-Stick

Hierbei handelt es sich um eines der sichersten Authentifizierungsverfahren. Anstelle eines zweiten Passwortes kommt ein USB Token zum Einsatz. Dieser USB-Stick dient nur dem Zweck der Authentifizierung. Er wird vom Nutzer in die USB-Schnittstelle des Computers gesteckt. Dann müssen der Nutzername und das Passwort eingegeben werden. Es erfolgt eine Bestätigung, die der Nutzer wiederum durch das Drücken einer Taste am USB-Stick authentifizieren muss.

Die Multifaktor-Authentifizierung (MFA)

Die Multifaktor-Authentifizierung erweitert das 2-FA-Verfahren. Eingesetzt werden Authentifizierungsmethoden, die auf voneinander unabhängigen Anmeldeinformationen aufbauen. Ein wichtiger Aspekt ist dabei die Identität des Users. Dieser Gesichtspunkt stimmt mit der Authentifizierungsmethode von Kerberos überein.

So schafft die Multifaktor-Authentifizierung einen mehrschichtigen Schutzschild, der sehr stabil gegen Angriffe auf ein Netzwerk ist. Ist eine Sicherheitskomponente geknackt, bleiben noch weitere Hürden, die zu überwinden sind. Die drei am meisten zusammen genutzten Sicherheitskategorien bei der MFA-Methode sind:

• Wissensbasierte Authentifizierung

Hier soll die Identität des Users durch etwas nachgewiesen werden, dass er weiß. Dafür wird zum Beispiel auf einfache Passwörter, Identifikations-PINs oder Einmalpasswörter zurückgegriffen. Zu dieser Authentifizierungsmethode gehört zum Beispiel auch das Einkaufen mit einer EC-Karte oder das Herunterladen eines Clients für ein privates Netzwerk zum Einloggen via VPN-Verschlüsselung.

• Besitzbasierte Authentifizierung

Diese Methode basiert darauf, dass der User etwas Bestimmtes in seinem Besitz hat. Das kann zum Beispiel eine EC-Karte, ein gechipter Ausweis, eine SIM-Karte oder ein USB-Token sein.

• Authentifizierung mithilfe von Inhärenzfaktoren

Unter Inhärenzfaktoren versteht man biologische bzw. biometrisch Merkmale des Users. Dazu gehören unter anderem: Authentifizierung via Spracherkennung oder Gesichtserkennung, digitale Unterschriften, Fingerabdruck-Scanner oder ein Netzhaut-Scan.

Was ist das Besondere an der Kerberos-Authentifizierung?

Das Sicherheitspaket von Kerberos basiert auf einem Netzwerkprotokoll. Ein Protokoll legt Standards und Normen fest, nach denen Datenübertragung zwischen verschiedenen Peripheriegeräten, Rechnersystemen und über Netzwerke funktioniert. Beim Zugriff auf Netzwerkdienste wendet Kerberos zur Authentifizierung sogenannte symmetrische Kryptografie an. Das bedeutet, dass zur Verschlüsselung von Daten durch Kerberos ein Schlüssel generiert wird. Dieser Schlüssel ist symmetrisch: Er wird sowohl für das Ver- als auch für das Entschlüsseln des Zugangscodes verwendet.

Will sich ein Nutzer in ein System oder in einem Netzwerk einloggen, muss der Client aus seinem Peripheriegerät mit einem Host Server kommunizieren. Diese Kommunikation erfolgt bei Kerberos über die Shared-Key-Kryptografie. Diese Methode ermöglicht einen sicheren Zugriff auf den generierten Schlüssel sowohl vonseiten des Clients als auch durch den Server. Durch das Erstellen dieser Schlüssel, der sogenannten Kerberos Tickets, ist eine dritte Partei bei der Verifizierung eingebunden. Das erhöht die Sicherheit. Gleichzeitig wird verhindert, dass andere Prozesse Zugriff auf die ausgetauschten Daten erhalten. Jeder Zugriff ohne Autorisierung wird geblockt. Außerdem nutzt Kerberos einen Port, der sicher ist.

Netzwerkzugriff via Kerberos: Ticket benötigt

Der entscheidende Unterschied zu anderen Sicherheits – bzw. Authentifizierungsdiensten ist allerdings, dass Kerberos ein Ticket ausstellt, dass den Usern den Zugriff auf ein Netzwerk oder einen Service erlaubt. Genauso wie zum Beispiel Fahrkarten für den ÖPNV sind diese Kerberos-Tickets nur für einen bestimmten Zeitraum gültig. Sind sie abgelaufen, wird der Zugang für den Benutzer gesperrt und er muss sich durch Kerberos ein neues Ticket ausstellen lassen. In der Regel funktioniert das automatisch.

Der große Vorteil dieses Ticket-Systems ist, dass Passwörter nicht unverschlüsselt über das Netzwerk gesendet werden. Sie können also nicht von Dritten abgefangen werden. Selbst wenn einfache Nutzerpasswörter entschlüsselt werden, kann damit niemand etwas anfangen, denn zum Zugriff auf das Netzwerk benötigt man von Kerberos den Schlüssel für das Ticket. Dass die Ticketanfrage über mehrere Instanzen verläuft, bis der Benutzer freigeschaltet wird, macht die Authentifizierung via Kerberos zu einer besonders sicheren end to end Verschlüsselung.

Spart Zeit beim Zugriff via Kerberos: SSO

Wie andere Authentifizierungsdienste auch unterstützt Kerberos SSO. Dies Abkürzung steht für Single Sign-On. Dahinter verbirgt sich ein Service zur Nutzer-Identifikation, der zentralisiert ist. Das bedeutet, dass der Benutzer Zugriff auf mehrere Anwendungen oder Web-Apps erhält, ohne sich jedes Mal neu registrieren zu müssen. So kann man sich zum Beispiel bei Google einloggen und dadurch automatisch Zugriff auf seinen Facebook-Account erhalten, ohne dazu ein Login-Verfahren durchlaufen zu müssen.

Was bedeutet Kerberos?

Die Bezeichnung Kerberos leitet sich aus der griechischen Mythologie ab. Kerberos, auch Zerberus oder Cerberus, ist der Höllenhund: Ein dreiköpfiges Ungetüm, dessen Schwanz aus einer giftigen Schlange besteht und dass die Pforte zum Hades bewacht. Eigentlich ist Kerberos unsterblich, nur Herakles gelingt es, das Ungetüm zu besiegen.

Es leuchtet ein, dass die Entwickler ihren Authentifizierungsdienst nach diesem nahezu unüberwindbaren Torwächter benannt haben. Genauso wie an diesem Höllenhund kommt man an dem Sicherheitsprotokoll von Kerberos nur mittels Schlüssel vorbei.

Wo wird Kerberos eingesetzt?

Seit der Einführung von Windows Version 2000 dient Kerberos Microsoft standardmäßig als Authentifizierungsprotokoll. Das Kerberos Protokoll ersetzte die Technologie NTLM (NT LAN Manager), die bis zur Windows Version NT genutzt wurde.

Der Dienst Kerberos ist jedoch nicht nur mit jeder heute gängigen Version von Windows kompatibel: Auch andere Betriebssysteme wie Linux, Apple OS oder UNIX nutzen die Kerberos Authentifizierung.

Wie funktioniert bei Kerberos die Authentifizierung?

Aus Sicherheitsgründen ist bei Kerberos die Authentifizierung verschachtelt. Das ist der Grund, warum mehrere Prozesse nötig sind, um Zugang zum Netzwerk zu erhalten. Dabei gliedert sich die Kerberos Authentifizierung im Groben in acht Schritte auf:/p>

1. Der User gibt am Client seine Zugangsdaten inklusive Passwort ein. Diese Daten werden verschlüsselt an einen Authentifizierungsserver gesendet.
2. Der Authentifizierungs-Server erhält die Anfrage des Clients und gleicht das Passwort via User-ID ab. Stimmen die eingegebenen Daten, werden sie verifiziert. Dann setzt Kerberos die Authentifizierung fort.
3. Der Authentifizierungsserver stellt ein Ticket-Granting-Ticket (TGT) aus. Dieses wird verschlüsselt zurück an den Client geschickt.
4. Das TGT wird über den Client zum Ticket-Granting-Server (TGS) geleitet. Auf diesem ist ein geschützter Schlüssel hinterlegt, den sowohl der Authentifizierungsserver als auch der TGS kennen. Diese beiden Server werden bei Kerberos als Key Distribution Center (KDC) bezeichnet.
5. Konnte das Ticket Granting Ticket mit dem gemeinsamen Schlüssel vom Key Distribution Center verifiziert werden, erfolgt die Ausstellung von einem Service Ticket. Dieses wird an den Client übermitteln.
6. Der Client sendet das TGT an den Hosting-Server. Dieser Server stellt den Dienst zur Verfügung, zu dem der Nutzer Zugriff erlangen möchte. Der Hosting-Server nutzt wiederum einen anderen Schlüssel, der auch dem Ticket Granting Server bekannt ist. So kann er die Echtheit des Ticket-Granting-Tickets ebenfalls mittels Key Distribution erkennen.
7. Der Host-Server gestattet dem Client Zugriff für einen bestimmten Zeitraum.
8. Ist die vordefinierte Zeit abgelaufen, erlischt das Kerberos-Ticket. Die Dauer der Nutzung kann allerdings ausgeweitet werden. Es wird ein sogenannter Kinit-Befehl ausgeführt. Dieser bewirkt, dass die Kerberos-Authentifizierung erneut von vorn gestartet wird.

Kerberos und SSH

Oft nutzen Netzwerke neben Kerberos SSH, um ein Entschlüsseln durch Hacker zu verhindern. SSH ist die Abkürzung für Secure Shell. Dabei handelt es sich um ein Netzwerkprotokoll, das zwei Peripheriegeräten ermöglicht, Zugriff auf ein Netzwerk zu bekommen, ohne dass Dritte sich von außen dazwischenschalten können. Dazu werden genauso wie bei Kerberos bei SSH verschiedene Schlüssel verwendet. Auch hier erfolgt eine Identifizierung in mehreren Schritten, nur findet diese zwischen zwei Clients und dem Server statt.

TenMedia: Wir bieten Schutz vor Netzwerk-Angriffen

Seit 2011 steht der Name TenMedia für dynamische Software-Lösungen auf hohem Niveau. Aus unserem Office in Berlin entwickeln und designen wir Business Software, Datenbanken, Intranet Software oder Webseiten. Bei uns können Sie sich auch eine App entwickeln lassen. Auf Wunsch übernehmen wir auch weiter IT-Services wie Hosting oder Monitoring.

TenMedia steht für Qualität und sauberes Coden. Darüber hinaus sind wir immer up-to-date was die aktuellen Sicherheitsstandards angeht. Wir nutzen die modernsten Authentifizierungs-Protokolle und binden diese auch in unsere Anwendungen ein. Als zuverlässiger IT Partner sorgen wir für eine sichere Verschlüsselung aller Daten. Unseren Service bieten wir bundesweit und rund um die Uhr an. Gern beraten wir Sie. Unverbindlich und kostenlos.