İyi günler Türk Hack Team ailesi.
Bugün sizlerle, Kerberos protokolü ile ilgili bir konu açmak istedim.
Umarım bu protokolün içeriğini güzel bir şekilde anlarsınız fazla uzatmadan konuya geçelim o zaman.
Asıl protokole geçmeden önce sizlere yunan mitolojisindeki yerini ve ardından bu protokolün adının nereden geldiğini anlayalım.
Kerberos aslında yeraltı kapısında bekçilik yapan üç başlı bir köpek. Kuyruğu bir yılan olan ve sırtında sayısız yılanbaşı bulunup, ısırıkları son derece zehirli. Dev zincirlerle bağlı olan bu köpeğin görevi yer altına giren ölülerin tekrar yeryüzüne çıkmalarını önlemektir.
Aynı zamanda Herakles(Herkül) 12 görevi arasından sonuncu görevi kerberos'u öldürmektir.
Görmüş olduğunuz resim Karadeniz Ereğli Sahil'de bulunan Heraklesin sonuncu görevinden bir anıt heykel.
Kerberos Nedir ?
MIT tarafından oluşturulan bir üçüncü taraf ağ kimlik doğrulama protokolüdür. Kerberos, güvenli olmayan ağlarda bile istemci/sunucu uygulamalarıyla güvenli kimlik doğrulaması sağlamak için gizli anahtar şifrelemesini kullanır.
************************************************************************************************
Yunan mitolojisindeki Kerberos adlı bekçi köpeğinin üç farklı başı Kerberos protokolünün üç farklı alt yapısını simgeler.
************************************************************************************************
[*] Anahtar Dağıtım Merkezi ( Key-Distribution-Center/KDC)
---------------------------------------------------------------------
[*]Kullanıcı ve hesabı
--------------------------
[*]İstenilen servisi sağlayan sunucu
---------------------------------------------------
Anahtar Dağıtım Merkezi, Active Directory Domain Kontrolörünün bir parçası olarak kurulur ve temel olarak iki farklı görevi vardır:
Kimlik doğrulama hizmeti (Authentication Service)
----------------------------------------------------------
Bilet Sağlama Hizmeti (Ticket-Granting Service)
-------------------------------------------------------
Herhangi bir kullanıcı ilk defa bir hizmet almak istediğinde ise sırasıyla aşamalarından geçmelidir.
Kimlik doğrulama hizmeti takası
---------------------------------------------------
Bilet sağlama hizmeti takası
---------------------------------------------------
Kullanıcı/Sunucu takası
---------------------------------------------------
Kullanıcı ilk olarak kullanıcı kimlik bilgilerini girerek Active Directory Domain Kontrolörüne kullanıcı olduğunu ispatlar.
Ve, bunun sonucu olarak Domain Kontrolöründeki Kimlik Doğrulama Hizmeti, kullanıcı bilgilerini kontrol edip onaylar.
Son olarak, kullanıcıya Bilet-Sağlayan-Bilet (Ticket Granting Ticket) sağlar ve bu bilet kullanıcıya gönderilmeden önce kullanıcının şifresi ile hash işlemine sokulur. Böylece, bu bilet ağ üzerinde kriptolu (şifreli) olarak hareket eder.
Sadece işlem yapan kullanıcı bilgisayarı ve kullanıcı şifresi bu kriptoyu açma yetkisine sahip olacaktır.
“Bilet Sağlayan Bilet” i bir nevi joker gibi düşünebilirsiniz. Kullanıcı ağ üzerindeki bir servisi kullanmak istediğinde bu bilet-sağlayan-bileti Domain Kontolörüne tekrar gönderen kullanıcı, Domain kontrolöründen elindeki bilete karşılık ulaşmak istediği servise ait bir bilet talep eder. Bu sefer kullanıcı Domain Kontrolöründeki bünyesindeki “Bilet Sağlama Hizmeti”nden yanıt alır. Bilet sağlama hizmeti kullanıcıya istediği hizmete ait “Servis Bileti”ni verir. Ve, kullanıcı bu servis biletiyle ulaşmak istediği ağ servisine bağlanarak istediği hizmeti alır.
MIT tarafından oluşturulan bir üçüncü taraf ağ kimlik doğrulama protokolüdür. Kerberos, güvenli olmayan ağlarda bile istemci/sunucu uygulamalarıyla güvenli kimlik doğrulaması sağlamak için gizli anahtar şifrelemesini kullanır.
************************************************************************************************
Yunan mitolojisindeki Kerberos adlı bekçi köpeğinin üç farklı başı Kerberos protokolünün üç farklı alt yapısını simgeler.
************************************************************************************************
[*] Anahtar Dağıtım Merkezi ( Key-Distribution-Center/KDC)
---------------------------------------------------------------------
[*]Kullanıcı ve hesabı
--------------------------
[*]İstenilen servisi sağlayan sunucu
---------------------------------------------------
Anahtar Dağıtım Merkezi, Active Directory Domain Kontrolörünün bir parçası olarak kurulur ve temel olarak iki farklı görevi vardır:
Kimlik doğrulama hizmeti (Authentication Service)
----------------------------------------------------------
Bilet Sağlama Hizmeti (Ticket-Granting Service)
-------------------------------------------------------
Herhangi bir kullanıcı ilk defa bir hizmet almak istediğinde ise sırasıyla aşamalarından geçmelidir.
Kimlik doğrulama hizmeti takası
---------------------------------------------------
Bilet sağlama hizmeti takası
---------------------------------------------------
Kullanıcı/Sunucu takası
---------------------------------------------------
Kullanıcı ilk olarak kullanıcı kimlik bilgilerini girerek Active Directory Domain Kontrolörüne kullanıcı olduğunu ispatlar.
Ve, bunun sonucu olarak Domain Kontrolöründeki Kimlik Doğrulama Hizmeti, kullanıcı bilgilerini kontrol edip onaylar.
Son olarak, kullanıcıya Bilet-Sağlayan-Bilet (Ticket Granting Ticket) sağlar ve bu bilet kullanıcıya gönderilmeden önce kullanıcının şifresi ile hash işlemine sokulur. Böylece, bu bilet ağ üzerinde kriptolu (şifreli) olarak hareket eder.
Sadece işlem yapan kullanıcı bilgisayarı ve kullanıcı şifresi bu kriptoyu açma yetkisine sahip olacaktır.
“Bilet Sağlayan Bilet” i bir nevi joker gibi düşünebilirsiniz. Kullanıcı ağ üzerindeki bir servisi kullanmak istediğinde bu bilet-sağlayan-bileti Domain Kontolörüne tekrar gönderen kullanıcı, Domain kontrolöründen elindeki bilete karşılık ulaşmak istediği servise ait bir bilet talep eder. Bu sefer kullanıcı Domain Kontrolöründeki bünyesindeki “Bilet Sağlama Hizmeti”nden yanıt alır. Bilet sağlama hizmeti kullanıcıya istediği hizmete ait “Servis Bileti”ni verir. Ve, kullanıcı bu servis biletiyle ulaşmak istediği ağ servisine bağlanarak istediği hizmeti alır.
Konuyu yazarken bu kaynaktan yardım aldım.
Kısa bir anlatım oldu ancak gayet yararlı bir içerik olduğunu düşünmekteyim.
Konuyu okuduğunuz için teşekkür ederim. Umarım bu protokolü bir nebzede olsa anlamışsınız. Sizlere katkıda bulunabildiysem ne mutlu bana iyi forumlar...
Konuyu okuduğunuz için teşekkür ederim. Umarım bu protokolü bir nebzede olsa anlamışsınız. Sizlere katkıda bulunabildiysem ne mutlu bana iyi forumlar...
Son düzenleme: