Kerberos ist ein von MIT erstelltes Authentifizierungsprotokoll für Netzwerke, das geheime Schlüssel zum Sichern von Passwörtern verwendet — ohne Passwörter über das Netzwerk senden zu müssen. Das Authentifizieren mit Hilfe von Kerberos hält effizient unautorisierte Benutzer vom Versuch ab, Passwörter im Netzwerk abzufangen.
Die meisten herkömmlichen Netzwerksysteme verwenden passwortbasierte Authentifizierungs- schemata. Wenn sich ein Benutzer an einem Netzwerkserver authentifiziert, muss er einen Benutzernamen und Passwort für jeden Dienst angeben, der Authentifizierung erfordert. Unglücklicherweise, erfolgt die Übertragung von Authentifizierungsinformationen bei vielen Diensten im Klartext. Damit ein solches Schemata sicher ist, muss das Netzwerk vor Zugriff von Außen geschützt werden, und alle Computer und Benutzer auf dem Netwerk müssen sicher sein.
Auch wenn dies der Fall sein sollte, ist das Netzwerk erst einmal mit dem Internet verbunden, kann dessen Sicherheit nicht länger angenommen werden. Jeder Hacker, der Zugriff auf das Netzwerk und einen Paket-Analysierer (Packet Sniffer) hat, kann auf diese Weise versendete Passwörter knacken, was Benutzeraccounts und die Integrität der gesamten Sicherheitsinfrastruktur komprimitiert.
Primäres Ziel von Kerberos ist es, die Übertragung der Authentifizierungsinformationen über das Netzwerk zu beseitigen. Die richtige Verwendung von Kerberos vermindert spürbar die Gefahr, die Packet-Sniffer andernfalls für das Netzwerk bedeuten.
Dank Kerberos wird eine Bedrohung, die ganz allgemein für die Sicherheit im Netzwerk besteht, ausgeschaltet. Allerdings kann sich die Implementierung aus folgenden Gründen schwierig gestalten:
Das Migrieren von Benutzerpasswörtern von einer standardmäßigen UNIX-Passwortdatenbank wie zum Beispiel /etc/passwd oder /etc/shadow in eine Kerberos-Passwortdatenbank kann langwierig sein, da es zum Durchführen dieser Aufgabe keine automatisierten Mechanismen gibt. Für detailliertere Informationen, sehen Sie Frage Nummer 2.23 in den Kerberos FAQ, Online unter:
Kerberos ist nur teilweise mit dem Pluggable Authentication Modules-System (PAM-System) kompatibel, das die meisten Server unter Red Hat Linux verwenden. Weitere Informationen hierzu siehe Abschnitt 17.4.
Damit eine Anwendung Kerberos verwenden kann, müssen ihre Quellen so modifiziert werden, dass die geeigneten Aufrufe an die Kerberos-Bibliotheken gesendet werden können. Bei einigen Anwendungen kann dies aufgrund der Größe wie auch der Häufigkeit, mit der die krb-Bibliotheken aufgerufen werden müssen, recht problematisch sein. Für andere Anwendungen wiederum muss die Art und Weise geändert werden, in der Server und Clients miteinander kommunizieren. Auch dies kann unter Umständen einen zu großen Aufwand bedeuten. Hierbei stellen die Closed Source-Anwendungen ohne standardmäßigen Kerberos-Support den problematischsten Teil dar.
Kerberos nimmt an, dass Sie sichere Hosts auf einem unsicheren Netzwerk verwenden. Seine wichtigste Aufgabe ist es zu vermeiden, dass Passwörter im Klartext über das Netzwerk versendet werden. Wenn jedoch noch ein anderer als der richtige Benutzer Zugriff auf den Host hat, welcher die Tickets zur Authentifizierung ausstellt — Key Distribution Center (KDC) genannt — besteht die Gefahr, dass das gesamte Kerberos-Authentifizierungssystem komprimitiert wird.
Bei Kerberos handelt es sich um eine Alles-oder-Nichts-Lösung. Wenn Sie sich für den Einsatz von Kerberos im Netzwerk entscheiden, müssen Sie sich die Passwörter merken, die an einen Dienst übertragen werden, der Kerberos nicht zur Authentifizierung verwendet. Gleichzeitig besteht die Gefahr, dass die Passwörter von Packet Sniffern erfasst werden. D.h., es ergibt sich für Ihr Netzwerk keinerlei Vorteil aus der Verwendung von Kerberos. Wenn Sie Ihr Netzwerk durch Kerberos sichern möchten, müssen Sie entweder alle Anwendungen, die Passwörter im Klartext versenden, kerberisieren, oder Sie müssen ganz auf die Verwendung dieser Anwendungen in Ihrem Netzwerk verzichten.
Zurück | Zum Anfang | Vor |
Zusätzliche Informationsquellen | Zum Kapitelanfang | Kerberos-Terminologie |