Dieser Artikel befasst sich mit der Microsoft Implementierung des Kerberos v5 Protokolls in Verbindung mit Skype for Business- und Exchange-Server und stellt einen Abstract des nachfolgenden Whitepapers dar.
Das Kerberos-Protokoll - Worum geht's?
Das Kerberos-Protokoll ist ein ticketbasiertes Authentifizierungsprotokoll, welches als Implementierung für Unix/Linux und Microsoft zur Verfügung steht. Es wurde ursprünglich 1978 am Massachusetts Institute of Technology (MIT) entwickelt und liegt mittlerweile in der Version 5 vor. Um eine möglichst sichere Authentifizierung von Benutzern im Netzwerk zu gewährleisten, wurden verschiedene Sicherheitsmechanismen in das Protokoll implementiert. Hierzu gehört u.a., dass niemals ein Kennwort über das Netzwerk übertragen wird und dass die Kommunikation grundsätzlich verschlüsselt ist. Weiterhin kommen Sitzungsschlüssel und Zeitstempel zum Einsatz, um feststellen zu können, ob aufgezeichnete Netzwerk-Pakete erneut gesendet wurden.
Das Kerberos-Protokoll - Wie funktioniert's?
Das Kerberos Protokoll ist in der Microsoft Welt in das Active Directory implementiert. Das Kernelement des Kerberos Protokolls ist das sogenannte Ticket, welches dem jeweiligen Inhaber den authentifizierten Zugriff auf eine Ressource (Webserver, Dateifreigabe etc.) gewährt. Da die Ressource während des Benutzerzugriffs zwecks Authentifizierung nicht mit dem Ticket-ausgebenden-Server kommuniziert, nutzt einem Angreifer auch nicht das Aufzeichnen und Abspielen von Netzwerkverkehr gegen die Ressource.
Wenn gleich dies ein großer Vorteil ist, darf aber nicht verschwiegen werden, dass es auch Nachteile gibt. So sind alle im Zusammenhang mit der Authentifizierung von Benutzern und Ressourcen gespeicherten Daten im Active Directory mit einem einzigen Master-Schlüssel verschlüsselt abgespeichert. Wird dieser Schlüssel geknackt, besitzt der Angreifer das sogenannte Goldene Ticket.
Skype for Business und Exchange Server bieten ebenfalls die Möglichkeit, auf die Kerberos Authentifizierung umgestellt zu werden. Dies ermöglicht im internen Netzwerk eine vereinfachte Authentifizierung und eröffnet gleichzeitig neue Möglichkeiten. So können 3rd-Party Produkte in Verbindung mit der Kerberos Constrained Delegation Benutzer und Geräte im Auftrag authentifizieren. Dies wird z.B. eingesetzt, wenn auf mobilen Endgeräten keine Zugangsdaten für das Unternehmensnetzwerk gespeichert werden dürfen. Das Troubleshooting ist im Vergleich zu anderen Protokollen allerdings deutlich aufwendiger, da die gesamte Prozesskette während der Authentifizierung verschlüsselt abläuft.
Peter Schmelzer hat die Thematik der Kerberos Authentifizierung in der Microsoft Welt genau beleuchtet und ein umfassendes Whitepaper zum Thema geschrieben. Wenn Sie also nähere Informationen zur Thematik wünschen, können Sie sich das Whitepaper hier kostenfrei downloaden: