红队笔记之Kerberos协议浅析

Kerberos是一种由麻省理工研发，用来来保护Project Athena提供的网络服务器。这个协议以希腊神话中的人物Kerberos命名，他在希腊神话中是Ha des的一条凶猛的三头保卫神犬。故Kerberos也被戏称为三只狗头。

Kerberos是一种网络身份验证协议。其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现

• 不依赖于主机操作系统的认证。
• 无需基于主机地址的信任。
• 不要求网络上所有主机的物理安全。
• 并假定网络上传送的数据包可以被任意地读取、修改和插入数据。

在以上情况下， Kerberos 作为一 种可信任的第三方认证服务，是通过传统的密码技术(如:共享 密钥)执行认证服务的。

Kerberos协议架构 (三只狗头)

Kerberos协议由三部分组成，俗称三只狗头，这三只狗头在整个认证过程有着不同的角色，下面对协议的基本架构进行介绍

• Client：认证发起方

• Server：服务提供方

• KDC(Key Distribution Center) ：KDC负责管理票据、认证票据、分发票据，KDC不是一个独立的服务，它主要由两个服务组成：

  • 1、Authentication Service: 为client生成TGT的服务
  • 2、Ticket Granting Service: 为client生成某个服务的ticket
  • 备注1：整个认证的过程中KDC还要与DC(Domain Controller)中的AD（Account Database）进行交互，AD中存储所有Client的白名单，只有存在于白名单的client才能顺利申请到TGT
  • 备注2：KDC服务框架中包含一个默认的KRBTGT账户，其对应的NTLM Hash用例加密生成TGT

Kerberos认证流程

Kerberos认证流程简述

1、Client与AS交互

Client向AS服务请求，希望获取访问Server的权限。 AS得到了这个消息，首先调用AD获取Client白名单，如Client在白名单中则返回TGT