autenticación Kerberos bases para una sesión en dar una clave de autenticación de una computadora, que le da los permisos de acceso de la cuenta de usuario cuyas credenciales que ha proporcionado. El componente de Kerberos que tiene las credenciales de la cuenta y le proporciona una clave para una sesión se llama el Centro de distribución de claves ( KDC ) . Este es el componente del lado público de cualquier sistema de autenticación Kerberos y el elemento que aumenta la vulnerabilidad de su servidor a ciertos tipos de ataques de hackers .
Ataque de denegación de servicio
ataque de denegación de servicio es un intento de los hackers para derribar el servidor para que los visitantes legítimos no puedan acceder a ella. Ataques DoS sencillos pueden tomar la forma de inundar el servidor con más solicitudes de las que puede manejar , pero los ataques más sofisticados tratar de bloquear el software que se ejecuta en el servidor. Empantanamiento su servidor con una cantidad excesiva de peticiones puede ralentizar la velocidad de su servidor en el punto en el que no se puede utilizar por los usuarios regulares, pero se estrella el software de su servidor que nadie pueda acceder a su servidor hasta que vuelve a lanzar los componentes necesarios.
Kerberos DoS Vectores
Los hackers pueden utilizar debilidades documentadas en Kerberos KDC ' para tratar de bloquear el servicio de autenticación de su servidor. El KDC no permitir a los usuarios que intentan acceder al sitio de interactuar directamente con los principales programas de autenticación, sino que tiene que transmitir las credenciales que proporcionan a los principales programas con el fin de autenticar . Los hackers pueden intentar derribar implementación de Kerberos del servidor , proporcionando datos de credenciales específicamente malformados . Estos datos mal formados pueden causar un desbordamiento de búfer que se colgará Kerberos. Mientras que los hackers están siempre investigando nuevas maneras de inducir a un desbordamiento de búfer como , la aplicación de todos los parches de seguridad de su proveedor de software Kerberos le puede dar la mejor protección disponible contra estos ataques .
OpenSSL Vulnerabilidades
Muchas implementaciones de Kerberos se integran con el kit de herramientas OpenSSL para la transferencia de datos cifrados entre el equipo cliente y el servidor. OpenSSL tiene su propio conjunto de vulnerabilidades que los hackers pueden utilizar como vectores de ataque para derribar Kerberos. Los parches de seguridad de su proveedor de Kerberos no incluirán necesariamente los parches de seguridad de OpenSSL , por lo que una versión con todos los parches de Kerberos aún podría ser vulnerable a los ataques de denegación de servicio a través de una versión incompleta parcheado de OpenSSL . Para ejecutar posibles el servidor más seguro, los administradores tienen que tomar sobre sí mismos para asegurarse de que se han aplicado todos los parches necesarios para estos dos paquetes de software.