Kerberos Armoring

By | 11 de novembro de 2015
Print Friendly, PDF & Email

Existe um técnica hacker que permite um ataque off-line por dicionário contra as senhas de logon. Isso é da arquitetura do Kerberos o que torna certos ambientes menos seguro. 

O que faz o ambiente ficar inseguro é por exemplo permitir que um ataque MITM (Man-In-The-Middle) ou capturas de pacotes em modo promiscuo esteja acontecendo em sua rede. Isso possibilita um atacante fazer uso de ferramentas como o KerbSniff e o Kerbcrack e comprometer as credenciais kerberos, principalmente quando se adiciona máquinas no domínio.

Uma RFC 6113 definida como Flexible Authentication Secure Tunnel (FAST) prove um mecanismo de segurança para o processo de troca do Authentication Service (AS) e do Ticket Granting Service (TGS) entre o Cliente Kerberos e o Key Distribution Center (KDC).

Figura 1 – Autenticação Kerberos

O Windows Server 2012 suporte o Flexible Authentication Secure Tunnel (FAST) que é conhecido como Kerberos Armoring (ou seja a blindagem do kerberos).
A sua implementação cria um canal de proteção entre a máquina que está no domínio e o controlador de domínio, ele também protege os dados de autenticação durante a associação (fase 1), sendo então a contramedida para o ataque acima citado.
Criptografando não só as mensagens do Kerberos como também os sinais de erros. Isso aumenta o processamento do ticket, mas não altera o seu tamanho.

Kerberos Armoring resolve alguns problemas de segurança em ambientes do mundo real. Além disso, é a base para autenticação para o Controle de Acesso Dinâmico (DAC), um novo recurso do Windows Server 2012.

O Kerberos Armoring é suportado apenas Pelo Windows Server 2012 e o Windows 8. Você deve configurar via GPO: Computer Configuration > Policies > Administrative Templates> KDC:
KDC support form claims, compount authentication and Kerberos armoring.

Muitas configurações adicionais para o Kerberos Armoring estão em Computer Configuration > Policies > Administrative Templates> Kerberos:

Conclusão: Inevitavelmente vamos alcançar o nível de segurança do Kerberos Armoring e teremos que evoluir nossos sistemas para Windows 8 e Windows Server 2012. Kerberos e FAST são protocolos não exclusivos da Microsoft, ela apenas está trabalhando de acordo com as RFCs para manter um nível de segurança mais elevado em seus sistemas operacionais.
Além do que recursos como o DAC são o futuro do controle de acesso a arquivos e é claro que iremos querer essa melhoria no gerenciamento dados.