Wie funktioniert die Steigerung der Kerberos-Sicherheitsanfälligkeit?
Jede Sicherheitsmaßnahme und Vorsorge kommt mit seinen eigenen Kompromisse. Beispielsweise wird die Bereitstellung von Kerberos-Authentifizierungssystem auf Ihrem Server eine Schutzschicht gegen nicht autorisierte Benutzer Zugriff auf ihre Dateien hinzufügen. Aufstellen von dieser Schutzschicht mit Kerberos, macht jedoch Ihren Server anfälliger für Angriffe durch Hacker versuchen zu verhindern, dass jeder Benutzer Anmeldung bei dem Server.
Die Kerberos Key Distribution-Service
Kerberos Basis Authentifizierung für eine Sitzung geben einem Computer einen Authentifizierungsschlüssel, der Sie die Berechtigungen für das Benutzerkonto gibt dessen Anmeldeinformationen, die Sie zur Verfügung gestellt. Die Kerberos-Komponente, die Kontoanmeldeinformationen beteiligt und bietet Ihnen einen Schlüssel für eine Sitzung nennt (Key Distribution Center, KDC). Dies ist die öffentliche ausgerichteten Komponente Kerberos-Authentifizierung-System und das Element, das erhöht die Anfälligkeit des Servers zu bestimmten Arten von Angriffen durch Hacker.
Denial of Service Angriff
Denial of Service-Angriff ist der Versuch von Hackern auf Ihren Server zu senken, so dass legitime Besucher nicht darauf zugreifen können. Einfaches DoS-Angriffe können nehmen die Form von überschwemmt Ihr Server mit mehr Anfragen als es verträgt, aber komplexere Angriffe versuchen, die sehr Software läuft auf Ihrem Server abstürzen. Bogging Ihren Server mit einem Übermaß an Anforderungen kann Ihre Server-Geschwindigkeit bis zu dem Punkt verlangsamen, wo es durch regelmäßige Nutzer unbrauchbar, aber Absturz des Servers Software verhindert jeden Zugriff auf Ihren Server, bis Sie die erforderlichen Komponenten neu zu starten.
Kerberos DoS Vektoren
Hacker können dokumentierte Schwächen in 'Kerberos KDC zu versuchen, Ihre Server-Authentifizierungsdienst abstürzen. Das KDC lässt keine Benutzer, die Zugriff auf die Website direkt versuchen, Interaktion mit den wichtigsten Authentifizierungssoftware, aber hat die Anmeldeinformationen weiterleiten sie zur wichtigsten Software bieten, um sie zu authentifizieren. Hacker können versuchen, Ihren Server Kerberos-Bereitstellung senken, indem Sie speziell aufgrund eines fehlerhaften Anmeldeinformationsdaten. Solche fehlerhaften Daten können einen Pufferüberlauf verursacht, der Kerberos abstürzen wird. Während Hacker immer nach neuen Wegen, um solche einen Buffer-Overflow hervorzurufen Sondierung sind, kann alle Sicherheits-Patches von Ihrem Softwarehändler Kerberos anwenden den besten Schutz vor diesen Angriffen zur Verfügung Ihnen.
OpenSSL-Schwachstellen
Viele Implementierungen des Kerberos integrieren mit dem OpenSSL-Toolkit für die verschlüsselte Datenübertragung zwischen dem Clientcomputer und dem Server. OpenSSL hat seinen eigenen Satz von Schwachstellen, die Hacker als Angriffsvektoren verwenden können, um die Kerberos zu senken. Sicherheits-Patches von Ihrem Lieferanten Kerberos umfaßt OpenSSL-Sicherheits-Patches, nicht unbedingt, also eine vollständig gepatchte Version von Kerberos noch anfällig für DoS-Angriffe durch eine nicht vollständig gepatchte Version von OpenSSL werden konnte. Um die sicherste mögliche Server auszuführen, müssen Administratoren nehmen es auf sich, um sicherzustellen, dass sie alle notwendigen Patches auf diese beiden Software-Pakete angewendet haben.