Glossar

Kerberos

Kerberos ist ein Dienst zur Authentifizierung der Server und Clients in offenen und deshalb als unsicher geltenden Netzwerken, zu denen in erster Linie das Internet gehört. Damit zählt sich Kerberos zu den Netzwerkprotokollen. Für die Entwicklung im Rahmen des Projekts Athena waren Clifford Neuman und Steve Miller vom Massachusetts Institute of Technology, MIT, zuständig. Sie orientierten sich dabei an der Funktionsweise des Needham-Schroeder-Protokolls. Die ersten drei Versionen wurden nur im hauseigenen Netzwerk des MIT verwendet. Die Version Kerberos 4.0 wurde für die Allgemeinheit verfügbar gemacht. Die Definition des Authentifizierungsdienstes ist im Standard RFC 4120 zu finden.

Wie funktioniert der Dienst Kerberos

Für die Authentifizierung wird ein besonderer Kerberos-Server verwendet, der sich zwischen den Client und den angesprochenen Server schaltet. Der bei Kerberos eingesetzte Server fungiert dabei sowohl als Server als auch als Client, denn er muss sich gegenüber dem Client und gegenüber dem Server zu erkennen geben. Dem berechtigten Client wird ein Ticket Granting Ticket, kurz TGT, erteilt. Das hat den Vorteil, dass der Client weitere vom Server angebotene Dienste nutzen kann, ohne dass dafür noch einmal die Anmeldeinformationen eingegeben werden müssen. Kerberos verwendet dafür ein Session Key, das auch für die Verschlüsselung der zu übertragenden Daten eingesetzt werden kann. Dabei erfolgt die Verschlüsselung nach den symmetrischen Algorithmen des Data Encryption Standards, kurz DES, in Kombination mit einem Prüfsummenverfahren.

Welches Ziel verfolgt Kerberos und wo wird es verwendet?

Mit dem von Kerberos zur Verfügung gestellten Authentifizierungsverfahren sollen in der Hauptsache „Man in the Middle“-Angriffe verhindert werden. Eigens dazu arbeitet Kerberos mit zeitlich begrenzt gültigen Tickets. Außerdem beugt die Nutzung von Kerberos dem Spoofing und dem Sniffing recht effizient vor. Beim Aufbau von Netzwerken mit dem Betriebssystem Windows ab der Version 2000 dient Kerberos als Standardprotokoll. Die für die Authentifizierung notwendigen Schlüssel werden in der Active Directory gespeichert. Bei Windows 2000 war das System allerdings noch anfällig für Brute-Force-Attacken. Dieser Nachteil konnte bei der Implementierung ab der Version Windows XP beseitigt werden. GNU Sishi ist die Bezeichnung für die bei Kerberos verwendete Technik bei den Betriebssystemen Unix und Linux. Dort kann alternativ auch MIT Kerberos als Implementierung eingesetzt werden. Diese Version hat den Vorteil, dass sie einerseits die Verschlüsselungstechniken AES, DES, 3DES und RC4 und andererseits die Prüfsummenverfahren CRC32, HMAC sowie MD5 und SHA-1 beherrscht. Eine Implementierung von Kerberos beim Betriebssystem MAC OS ist mit Heimdal Kerberos möglich.


Interessiert? Erfahren Sie mehr zum Thema "Kerberos" - kontaktieren Sie uns jetzt

We create for You

Unter der Überschrift „Kreation“ vereinen wir die 4 Kernkompetenzen von baseplus®: Das Design, die Entwicklung, das Online Marketing und Print, in der jeweils anmutenden Farbe. Das konsequente Color-Coding dient der optimierten Benutzerführung, die Claims kommunizieren jeden Bereich zusätzlich.

Klicken Sie hier, um zu sehen was wir meinen