الاسم مأخوذ من الأساطير اليونانية. فقد كان كيربيروس (سيربيروس) كلبًا ذو ثلاثة رؤوس يحرس أبواب العالم السفلي. ولكن في حالة البروتوكول. تمثل رؤوس Kerberos الثلاثة العميل والخادم ومركز توزيع المفاتيح (KDC). حيث يعمل الأخير كخدمة مصادقة موثوقة لجهة خارجية.
ما هو بروتوكول كيربيروس؟
بروتوكول كيربيروس – Kerberos هو بروتوكول أمان شبكة كمبيوتر يقوم بتوثيق طلبات الخدمة بين مضيفين موثوقين أو أكثر عبر شبكة غير موثوقة، مثل الإنترنت. ويستخدم تشفير المفتاح السري (ecret-key cryptography ) وطرفًا ثالثًا موثوقًا به لمصادقة تطبيقات خادم العميل والتحقق من هويات المستخدمين.
منذ نظام التشغيل Windows 2000. استخدمت Microsoft بروتوكول Kerberos كطريقة المصادقة الافتراضية في Windows. وهو جزء لا يتجزأ من خدمة Windows Active Directory (AD). يستخدم موفرو خدمات النطاق العريض أيضًا البروتوكول لمصادقة أجهزة المودم الكبلية وأجهزة فك التشفير التي تصل إلى شبكاتهم.
يعتمد المستخدمون والأجهزة والخدمات التي تستخدم Kerberos على مركز توزيع المفاتيح (KDC) وحده. والذي يعمل كعملية واحدة توفر وظيفتين: المصادقة ومنح التذاكر. توفر “تذاكر” KDC المصادقة لجميع الأطراف. مما يسمح للعقد بالتحقق من هويتها بشكل آمن. تستخدم عملية مصادقة Kerberos تشفيرًا سريًا مشتركًا تقليديًا يمنع قراءة الحزم التي تنتقل عبر الشبكة أو تغييرها. بالإضافة إلى حماية الرسائل من هجمات التنصت وإعادة التشغيل (أو التشغيل).
استخدامات بروتوكول كيربيروس
على الرغم من أن Kerberos موجود في كل مكان في العالم الرقمي، إلا أنه يتم استخدامه بشكل كبير في الأنظمة الآمنة التي تعتمد على ميزات التدقيق والمصادقة الموثوقة ، حيث يتم استخدام Kerberos في مصادقة Posix وActive Directory وNFS وSamba. وهو أيضًا نظام مصادقة بديل لـ SSH وPOP وSMTP.
تشمل الاستخدامات الرئيسية لـ Kerberos ما يلي:
الدخول الموحد (SSO)
يمكّن Kerberos المستخدمين من المصادقة مرة واحدة والحصول على تذكرة. والمعروفة باسم تذكرة منح التذاكر Kerberos (TGT). يمكن استخدام TGT لطلب تذاكر الخدمة لموارد مختلفة دون تقديم بيانات الاعتماد بشكل متكرر ، وتعمل إمكانية الدخول الموحّد (SSO) هذه على تحسين راحة المستخدم وتقليل الحاجة إلى إدارة كلمات مرور متعددة.
مصادقة الشبكة
يوفر Kerberos آلية آمنة للتحقق من هوية خدمات الشبكة، مثل الخوادم والتطبيقات. حيث يمكن للعملاء طلب تذكرة خدمة من مركز توزيع المفاتيح (KDC) باستخدام TGT الخاص بهم. ويتم استخدام تذكرة الخدمة للمصادقة وإنشاء جلسة آمنة مع الخدمة المطلوبة.
المصادقة المتبادلة
يضمن Kerberos المصادقة المتبادلة، مما يعني أن كلاً من العميل والخادم يقومان بمصادقة بعضهما البعض أثناء عملية المصادقة الأولية. وهذا يمنع انتحال الشخصية وهجمات الوسيط من خلال التحقق من صحة كلا الطرفين المشاركين في الاتصال.
التفويض
يمكن أيضًا استخدام Kerberos لفرض سياسات التحكم في الوصول. بمجرد مصادقة العميل، تتضمن تذكرة Kerberos معلومات حول هوية العميل وأذونات الوصول. حيث يمكن للخوادم استخدام هذه المعلومات لفرض قواعد التفويض ومنح أو رفض الوصول إلى موارد محددة بناءً على امتيازات العميل.
ماذا يفعل بروتوكول مصادقة كيربيروس ؟
طور معهد ماساتشوستس للتكنولوجيا هذا البروتوكول لمشروع اسمه أثينا. حصل على اسمه من كلب هاديس ذو الرؤوس الثلاثة. الذي كان يحرس الجحيم في الأساطير اليونانية. وقد اختاروا هذا الاسم لأن بروتوكول Kerberos يمثل الأشياء الثلاثة التالية:
- عميل – client
- موارد الشبكة (خادم التطبيقات)
- مركز التوزيع الرئيسي (KDC)
باستخدام هذه المكونات الثلاثة، يتيح Kerberos مصادقة المضيف الموثوق به عبر الشبكات غير الموثوق بها. حيث يضمن Kerberos أن المستخدمين المصرح لهم فقط هم من يمكنهم الوصول إلى موارد الشبكة. بالإضافة إلى ذلك، فهو يوفر أمان AAA: المصادقة والترخيص والمحاسبة.
قام مطورو معهد ماساتشوستس للتكنولوجيا (MIT) بتطوير Kerberos لمصادقة أنفسهم على أنظمتهم المطلوبة بشكل آمن. لكن Kerberos سُمح أيضًا للمستخدمين ، وقد تم تطوير Kerberos عندما قامت معظم الأنظمة بنقل كلمات مرور غير مشفرة. وهذا يعني أن المتسللين يمكنهم الحصول على وصول غير مصرح به ، لذلك كان تطوير Kerberos بدافع الضرورة.
في Kerberos، يمنح KDC التذاكر تسمح هذه للمضيفين المختلفين بإثبات هويتهم. بالإضافة إلى ذلك قصد المطورون مصادقة Kerberos التي تدعم التفويضات. وهذا يعني أن العميل الذي تمت مصادقته بواسطة Kerberos لديه حق الوصول أيضًا.
كيف يعمل بروتوكول كيربيروس – Kerberos
فيما يلي نظرة أكثر تفصيلاً على ماهية مصادقة كيربيروس بالإضافة إلى كيفية عمله من خلال تقسيمه إلى مكوناته الأساسية ، فيما يلي الكيانات الرئيسية المشاركة في سير عمل كيربيروس وهي:
- العميل: يتصرف العميل نيابة عن المستخدم ويبدأ الاتصال لطلب الخدمة
- الخادم: يستضيف الخادم الخدمة التي يريد المستخدم الوصول إليها
- خادم المصادقة (AS): يقوم AS بإجراء مصادقة العميل المطلوب ، إذا تمت المصادقة بنجاح، يصدر AS للعميل تذكرة تسمى TGT (تذكرة منح التذكرة) تؤكد هذه التذكرة للخوادم الأخرى أنه تمت مصادقة العميل
- مركز توزيع المفاتيح (KDC): في بيئة Kerberos، يتم فصل خادم المصادقة منطقيًا إلى ثلاثة أجزاء: قاعدة بيانات (db)، وخادم المصادقة (AS)، وخادم منح التذاكر (TGS) ، وهذه الأجزاء الثلاثة بدورها موجودة في خادم واحد يسمى مركز توزيع المفاتيح
- خادم منح التذاكر (TGS): TGS هو خادم تطبيقات يصدر تذاكر الخدمة كخدمة
الآن دعونا نحلل تدفق البروتوكول :
هناك ثلاثة مفاتيح سرية مهمة مرتبطة بتدفق كيربيروس ، حيث توجد مفاتيح سرية فريدة للعميل/المستخدم وTGS والخادم المشترك مع AS.
- العميل/المستخدم: التجزئة مشتقة من كلمة مرور المستخدم
- مفتاح TGS السري: تجزئة كلمة المرور المستخدمة في تحديد TGS
- المفتاح السري للخادم: تجزئة كلمة المرور المستخدمة لتحديد الخادم الذي يقدم الخدمة.
يتكون تدفق البروتوكول من الخطوات التالية:
الخطوة 1: طلب المصادقة الأولي للعميل: يطلب المستخدم تذكرة منح التذكرة (TGT) من خادم المصادقة (AS) ، ويتضمن هذا الطلب معرف العميل.
الخطوة 2: تتحقق KDC من بيانات اعتماد العميل ، يتحقق AS من قاعدة البيانات الخاصة بالعميل ومدى توفر TGS ، إذا عثر AS على كلتا القيمتين، فإنه يقوم بإنشاء مفتاح سري للعميل/المستخدم، باستخدام تجزئة كلمة المرور الخاصة بالمستخدم.
الُخطوة 3: يقوم العميل بفك تشفير الرسالة ، يستخدم العميل المفتاح السري للعميل/المستخدم لفك تشفير الرسالة واستخراج SK1 و TGT، وإنشاء المصادق الذي يتحقق من صحة TGS للعميل.
الخطوة 4: يستخدم العميل TGT لطلب الوصول ، حيث يطلب العميل تذكرة من الخادم الذي يقدم الخدمة عن طريق إرسال TGT المستخرج والموثق الذي تم إنشاؤه إلى TGS.
الخِطوة 5: يقوم مركز التوزيع الرئيسي (KDC) بإنشاء تذكرة لخادم الملفات ، و يستخدم TGS بعد ذلك مفتاح TGS السري لفك تشفير TGT المستلم من العميل واستخراج SK1 ، ثم يقوم TGS بفك تشفير المصادق والتحقق مما إذا كان يطابق معرف العميل وعنوان شبكة العميل.
إذا أجرت العملية جميع عمليات التحقق بنجاح، فسيقوم مركز التوزيع الرئيسي (KDC) بإنشاء مفتاح جلسة الخدمة (SK2) الذي تتم مشاركته بين العميل والخادم الهدف.
وأخيرًا، يقوم مركز التوزيع الرئيسي (KDC) بإنشاء تذكرة خدمة تتضمن معرف العميل وعنوان شبكة العميل والطابع الزمني وSK2. كما يتم بعد ذلك تشفير هذه التذكرة باستخدام المفتاح السري للخادم الذي تم الحصول عليه من قاعدة البيانات ، ثم يتلقى العميل رسالة تحتوي على تذكرة الخدمة و SK2، وكلها مشفرة باستخدام SK1.
خطوات مابعد تلقي رسالة تذكرة خدمة وSK2
الخِطوة 6: يستخدم العميل تذكرة الملف للمصادقة ، حيث يقوم العميل بفك تشفير الرسالة باستخدام SK1 واستخراج SK2 ، تنشئ هذه العملية مصدقًا جديدًا يحتوي على عنوان شبكة العميل ومعرف العميل والطابع الزمني المشفر باستخدام SK2، وترسله مع تذكرة الخدمة إلى الخادم الهدف.
الخطوة 7: يتلقى الخادم الهدف فك التشفير والمصادقة ، حيث يستخدم الخادم الهدف المفتاح السري للخادم لفك تشفير تذكرة الخدمة واستخراج ملف SK2 ، كما يستخدم الخادم SK2 لفك تشفير المصدق، وإجراء عمليات التحقق للتأكد من تطابق معرف العميل وعنوان شبكة العميل من المصدق وتذكرة الخدمة ، كما يتحقق الخادم أيضًا من تذكرة الخدمة لمعرفة ما إذا كانت منتهية الصلاحية.
بمجرد استيفاء عمليات التحقق، يرسل الخادم الهدف إلى العميل رسالة تتحقق من أن العميل والخادم قد قاما بمصادقة بعضهما البعض ، يمكن للمستخدم الآن المشاركة في جلسة آمنة.
أمثلة على بعض الأنظمة التي تستخدم بروتوكول كيربيروس – Kerberos
يتم استخدام بروتوكول كيربيروس لمصادقة الكيانات التي تطلب الوصول إلى موارد الشبكة ، خاصة في الشبكات الكبيرة لدعم تسجيل الدخول الموحد (SSO) ، كما يتم استخدام البروتوكول بشكل افتراضي في العديد من أنظمة الشبكات المستخدمة على نطاق واسع ، تتضمن بعض الأنظمة التي تم دمج دعم Kerberos فيها ما يلي:
- Amazon Web Services
- Apple macOS
- Google Cloud
- Hewlett Packard Unix
- IBM Advanced Interactive eXecutive
- Microsoft Azure
- Microsoft Windows Server and AD
- Oracle Solaris
- Red Hat Linux
- FreeBSD
- OpenBSD
هل يعتبر كيربيروس آمن؟
بالتأكيد يعتبر بروتوكول كيربيروس – Kerberos آمنًا ، فقد تم تطبيقه على نطاق واسع منذ عقود، ويعتبر آلية ناضجة وآمنة لمصادقة المستخدمين فهو يستخدم تشفيرًا قويًا، بما في ذلك تشفير المفتاح السري، لحماية البيانات الحساسة.
يقوم الباحثون الأمنيون بالتحقيق في Kerberos منذ نشره لأول مرة. لكن تم العثور على نقاط ضعف في تطبيقات محددة لـ كيربيروس. وكذلك في البروتوكول نفسه ، وقد تمت معالجة نقاط الضعف هذه، ويظل كيربيروس بروتوكولاََ أساسيًا للمصادقة على الإنترنت.
على الرغم من اعتبار Kerberos آمن ولديه تشفير قوي لتأمين البيانات، ومع ذلك فقد وجد الباحثون الأمنيون طرقًا قليلة لهزيمته وشملت ما يلي:
- هجوم تمرير المفتاح: يعد هذا أحد أشكال هجوم تمرير التجزئة حيث ينتحل المهاجمون شخصية المستخدمين المصرح لهم من خلال إعادة تشغيل بيانات الاعتماد الخاصة بهم.
- هجوم تمرير التذكرة : يعترض المهاجمون التذاكر المرسلة إلى أو من مستخدم معتمد. ويعيدون استخدامها لانتحال شخصيته وإعادة استخدام تذاكر الخدمة الخاصة بهم.
- هجوم التذكرة الذهبية : هذا هجوم يستخدم الوصول إلى وحدة تحكم مجال Windows لإنشاء بيانات اعتماد تمنح وصولاً غير محدود إلى خدمات التطبيقات.
الخاتمة
عندما يصل المستخدمون إلى أنظمة الكمبيوتر، فإن ذلك يتم غالباََ من خلال إدخال كلمة مرور، التحدي الذي يواجه طريقة المصادقة هذه هو أنه إذا حصل المتسللون على كلمة المرور، فيمكنهم انتحال هوية المستخدم والوصول إلى شبكة المؤسسة ، بالتالي تحتاج المؤسسات إلى طريقة أفضل لحماية أنظمتها ومستخدميها ، و هذا هو المكان الذي يأتي فيه بروتوكول كيربيروس – Kerberos.
يمكننا القول أن كيربيروس هو نظام أو جهاز توجيه يوفر بوابة بين المستخدمين والإنترنت. ولذلك، فهو يساعد على منع المهاجمين السيبرانيين من الدخول إلى شبكة خاصة ، إنه خادم، يُشار إليه باسم “الوسيط” لأنه ينتقل بين المستخدمين النهائيين وصفحات الويب التي يزورونها عبر الإنترنت.
