توضح الأمثلة الحالية والتهديدات الإلكترونية أن الإنترنت ليس مكانًا آمنًا لأن العديد
من البروتوكولات المرتبطة بوظائفه لا تتضمن بالضرورة الأمان. يمكن للقراصنة استغلال
الحماية غير الآمنة للشبكات وتزوير كلمات المرور للوصول إلى أي نظام. على سبيل المثال
يمكن اختراق كلمات المرور غير المشفرة التي تتم مشاركتها عبر التطبيقات عبر الشبكة
بسهولة. بالإضافة إلى ذلك، فإن تقنيات التحقق من الهوية الحديثة عفا عليها الزمن بمعنى
أنه لا يمكنك التأكد من هوية الشخص الذي يقوم بالوصول إلى النظام.
تستخدم العديد من المواقع "جدران الحماية" كدرع ضد الاختراقات غير المرغوب فيها. يعتمد
هذا على افتراض أن "الأشرار" موجودون في الخارج. في الواقع، "المطلعون" هم المسؤولون عن
معظم عمليات التطفل الشديدة على البيانات. بالإضافة إلى ذلك، تؤثر جدران الحماية أيضًا
على قابلية استخدام "الإنترنت" ويمكن أن يكون هذا عائقًا رئيسيًا أمام الأداء السلس
للشركة.
لمواجهة هذه التهديدات الأمنية المرئية والملحوظة، تم تصور "كيربيروس" وإنشائه بواسطة
فريق معهد ماساتشوستس للتكنولوجيا. تم تقديم بروتوكول المصادقة في الأصل في
الثمانينيات، وقد خضع للعديد من التحسينات وهو متاح على جميع أنظمة تشغيل "ويندوز"
و"ماك" و"لينوكس" وما إلى ذلك.
ما هو كيربيروس؟
لفهم كيربيروس، دعونا أولاً نفهم المصطلح الذي يشير إليه. في الأساطير اليونانية، كان
كيربيروس هو الكلب ذو الرؤوس الثلاثة الذي يحرس أبواب الهاوية (الجحيم). أمّا نظام
بروتوكول الإنترنت كيربيروس يقوم بإنشاء نظام مصادقة قوي بين الخادم والعميل. يوفر
أدوات التحقق والتشفير عبر الشبكة. بهذه الطريقة، يمكنك تأمين ما يتم مشاركته من مؤسستك
بشكل أفضل.
غالبية التطبيقات "مدركة لـكيربيروس"، أي أنها مبرمجة لاستخدام مصادقة كيربيروس. في
الواقع، فإن كيربيروس مدمج في كل نظام "ويندوز" أو "ماك"؛ ومع ذلك، يتم تنشيطه فقط إذا
كان "كيربيروس" جزءًا من نظام مصادقة المستخدم للشبكة. هذا هو السبب وراء استخدام هذه
التكنولوجيا بشكل رئيسي من قبل الشركات.
كيف يعمل كيربيروس؟
يعتمد نظام أمان المؤسسة على مبدأ أساسي لأقل امتياز، أي يجب تقييد الوصول إلى الشبكة.
أثناء عملية المصادقة، يستخدم كيربيروس تشفيرًا تابعًا لجهة خارجية يسمى مركز توزيع
المفاتيح (KDC). في الوقت الذي يحاول فيه العميل المصادقة، يخزن كيربيروس تذكرة معينة
لتلك الجلسة على جهاز المستخدم. عندئذٍ ستبحث خدمة علم كيربيروس عن هذه التذكرة. بهذه
الطريقة، لا يُطلب من العميل المصادقة على نفسه من خلال كلمة مرور.
تشمل الكيانات الرئيسية لتدفق كيربيروس ما يلي:
العميل: يتصرف العميل نيابة عن المستخدم
ويبدأ الاتصال لطلب الخدمة.
الخادم: : الخادم الذي يرغب المستخدم في
الوصول إليه.
خادم المصادقة (AS): يقوم هذا الخادم
بمصادقة العميل. في حالة المصادقة الناجحة، يصدر خادم المصادقة تذكرة تُعرف باسم TGT
(تذكرة منح التذكرة). يمكن لـ TGT الترحيل إلى الخوادم الأخرى التي تمت مصادقة العميل
عليها.
مركز توزيع المفاتيح (KDC): في بيئة
كيربيروس، يتم فصل خادم المصادقة إلى ثلاثة أقسام:
أ. قاعدة البيانات (db)
ب. خادم المصادقة (AS) و
ج. خادم منح التذاكر (TGS).
هذه الأقسام الثلاثة، موجودة في خادم واحد وتعرف باسم مركز التوزيع الرئيسي.
خادم منح التذاكر (TGS):خادم التطبيق،
الذي يصدر التذاكر كخدمة.
في المقتطف أدناه، سترى جميع الخطوات المتضمنة في مصادقة كيربيروس:
1. عندما يقوم العميل بتسجيل الدخول إلى المجال، يتم إرسال طلب الحصول على تذكرة (TGT)
عبر مركز توزيع المفاتيح (KDC)
2. يستجيب مركز توزيع مفاتيح كيربيروس عن طريق إرجاع تذكرة ومفتاح جلسة إلى العميل.
3. ثم يتلقى مركز توزيع مفاتيح كيربيروس طلب بطاقة من خادم التطبيق. يتألف هذا الطلب من
كمبيوتر العميل الشخصي وخادم المصادقة والموثق.
4. ثم يتلقى كمبيوتؤر العميل الشخصي تذكرة ومفتاح جلسة من مركز توزيع المفاتيح.
5. ثم تصل التذكرة إلى خادم التطبيق. يقوم الخادم بعد ذلك بمصادقة كمبيوتر العميل
الشخصي.
6. يرسل الخادم إلى كمبيوتر العميل مصادقًا آخر. عند استلام المصادق، يقوم العميل
بمصادقة الخادم.
تتم أيضًا المحافظة على كيربيروس بواسطة دخول "ريميدي" الموحّد في نظام، من الممكن
أيضًا إنشاء عملية مصادقة كيربيروس بداخل هذا النظام.
يتم أيضًا مشاركة شرح مفصل لجميع الخطوات أدناه:
الخطوة الأولى
تتكون الخطوة الأولى من طلب المصادقة الأولي. هنا يطلب العميل من خادم المصادقة للحصول
على تذكرة منح التذكرة (TGT). يتم إرسال الطلب من خلال معرّف العميل ولا يتم إرسال كلمة
المرور / مفتاح سر المستخدم الخاص بالعميل
الخطوة الثانية
يبحث خادم المصادقة عن مدى توفر العميل و خادم منح التذاكر في قاعدة البيانات. إذا لم
يتم العثور عليها، فسيتم إرسال رسالة خطأ إلى العميل. إذا كان كلا الكيانين متاحين،
فسيتم إنشاء مفتاح سر العميل من خلال تجزئة كلمة مرور المستخدم. كلمة المرور متاحة في
قاعدة البيانات ويتم أيضًا حساب المفتاح السري لخادم منح التذاكر.
يتشارك العميل و خادم منح التذاكر في مفتاح جلسة (SK1) الذي يتم إنشاؤه بواسطة خادم
المصادقة. يتم تشفير SK1 باستخدام مفتاح العميل السري.
ينشئ خادم المصادقة الـ TGT الذي يتكون من هوية العميل وعنوان شبكة العميل والعمر
والطابع الزمني ومفتاح الجلسة (SK1). يقوم المفتاح السري TGS بتشفير التذكرة، بحيث لا
يتمكن سوى TGS من فك تشفير محتوياتها
تتكون رسالة الرد التي يتم إرسالها أخيرًا إلى العميل من TGT و SK1. ثم يتم تشفير نص
الرسالة بالمفتاح السري. هذا يضمن أن العميل فقط سيكون قادرًا على فك تشفير الرسالة.
هذا يضمن أن العميل فقط سيكون قادرًا على فك تشفير الرسالة.
الخطوة الثالثة
ثم يستخدم العميل المفتاح السري لفك تشفير الرسالة واستخراج SK1 و TGT. يتم إنشاء
المصدق، والذي يستخدم للتحقق من صحة العميل باستخدام TGS. يتكون المصدق من معرف العميل
وعنوان شبكة العميل والطابع الزمني لجهاز العميل. ثم يتم تشفير ذلك باستخدام SK1
المستخرج. ثم يرسل العميل المصدق واستخراج TGT إلى TGS. ثم يطلب العميل تذكرة من
الخادم.
الخطوة الرابعة
باستخدام المفتاح السري TGS، يقوم TGS بفك تشفير TGT واستخراج SK1. يسمح هذا المفتاح لـ
TGS بفك تشفير المصدق والتحقق مما إذا كان هناك تطابق بين معرف العميل وعنوان شبكة
العميل من TGT. يتحقق النظام أيضًا مما إذا كانت TGT منتهية الصلاحية أم لا. يتم ذلك
باستخدام الطابع الزمني المستخرج.
بعد الانتهاء من جميع عمليات التحقق، يتم إنشاء مفتاح جلسة خدمة آخر (SK2). يتم مشاركة
مفتاح الجلسة هذا بين العميل والخادم الهدف.
ثم يتم إنشاء بطاقة خدمة تتكون من معرف العميل وعنوان شبكة العميل والطابع الزمني
ومفتاح الخدمة (SK2). يتم تشفير هذه التذكرة بالمفتاح السري الذي يتم الحصول عليه من
قاعدة البيانات
يتلقى العميل نص رسالة يتكون من ومفتاح الخدمة (SK2). وتذكرة الخدمة. ثم يتم تشفير
الرسالة بـ مفتاح الخدمة (SK1) (المعروف من العميل).
الخطوة الخامسة
يفك العميل تشفير الرسالة باستخدام مفتاح الخدمة(SK1) ويستخرج مفتاح الخدمة (SK2). يتم
بعد ذلك إنشاء مصدق جديد يتكون من هوية العميل والطابع الزمني وعنوان شبكة العميل. ثم
يقوم SK2 بتشفير هذا المصدق.
ثم يتلقى الخادم المستهدف المصدق و تذكرة الخدمة من العميل.
الخطوة السادسة
يستخدم الخادم الهدف المفتاح السري للخادم لفك تشفير تذكرة الخدمة. ثم يتم استخراج
مفتاح الخدمة (SK2) من بطاقة الخدمة. في الخطوة التالية، يقوم (SK2) ومعرف العميل بفك
تشفير المصدق لاستخراج عنوان شبكة العميل والطابع الزمني.
ثم يتم إجراء فحوصات محددة لمطابقة هوية العميل وعناوين شبكة العميل من بطاقة الخدمة
والمصدق.
عند استيفاء جميع عمليات التحقق، يقوم الخادم الهدف بإصدار رسالة تتكون من الطابع الزمني
بالإضافة إلى 1، مشفرة بـ مفتاح خدمة (SK2) إلى العميل.
هذا يتحقق من المصادقة بين العميل والخادم. يمكن أن تبدأ جلسة خدمة موثوقة الآن.
مزايا كيربيروس
-
• يسمح بروتوكول المصادقة للعملاء والخدمات بمصادقة أنفسهم بشكل متبادل.
-
• وهي متوفرة على جميع أنظمة التشغيل.
-
• التذاكر في كيربيروس تبقى لفترة زمنية محدودة. في حالة سرقة التذاكر، من الصعب
جدًا إعادة استخدام التذكرة، نظرًا لوجود متطلبات مصادقة قوية.
-
• تدخل كلمات المرور غير المشفرة في الشبكة.
• تعد المفاتيح السرية المشتركة في كيربيروس أكثر كفاءة
عيوب استخدام كيربيروس
نقاط ضعف كيربيروس هي:
-
• يمكن أن يتعرض نظام المصادقة للخطر إذا تمكن شخص غير مصرح له من الوصول إلى
مركز توزيع المفاتيح.
-
• لا يتم دعم كيربيروس إلا من خلال تطبيقات كيربيروس المدركة. قد يكون من الصعب
كتابة التعليمات البرمجية لتطبيقات أخرى.
خدمات Identity and Access Management من ISSQUARED
تدمج حلول Identity and Access Management من ISSQUARED نظام مصادقة كيربيروس لفرض ضوابط
أمنية مناسبة. تلبي عناصر التحكم هذه جميع متطلبات الامتثال وتنشئ وصولاً آمنًا بين
العميل والخادم.
تسهل مجموعة Identity and Access Management "ORSUS" من ISSQUARED إدارة حساب كيربيروس.
يوفر عملية مبسطة وآمنة لإدارة حسابات كيربيروس، بما في ذلك تجهيز الأنظمة المستهدفة،
وإضافتها إلى مجموعات الوصول، والسماح للمستخدمين النهائيين بإمكانية الخدمة الذاتية
لطلبها، والتحقق من صحتها من خلال حملات المراجعة.
-
أ. توفير حسابات كيربيروس للأنظمة المستهدفة
-
ب. إدارة المجموعة لحسابات كيربيروس
-
ج. طلبات الخدمة الذاتية لحسابات كيربيروس الجديدة
-
د. مهام سير عمل قابلة للتخصيص لإعداد حسابات كيربيروس الجديدة
-
ه. عمليات إعادة التصديق والحملات لحسابات كيربيروس
-
و. التدقيق / الامتثال وإعداد التقارير عن حسابات كيربيروس
الخلاصة
ناقشنا في هذه المدونة روح نظام بروتوكول الإنترنت كيربيروس وكيف أصبح جزءًا لا يتجزأ من
ضمان الوصول الآمن وتبادل المعلومات بين العميل والخادم. ناقشنا أيضًا العملية خطوة
بخطوة حول كيفية عمل كيربيروس ثم نظرنا إلى خدمات Identity and Access Management
الخاصة بـ ISSQUARED، والتي تدمج إرشادات كيربيروس في محفظة Identity and Access
Management الخاصة بها، وبالتالي توفر أقصى درجات الأمان. للحصول على مزيد من المعلومات
حول خدمات Identity and Access Management الخاصة بنا، يمكنك الاتصال بأحد خبرائنا
هنا.ئنا هنا.