家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

ケルベロス認証についてまとめてみました

セキュリティ

ランキング参加中
セキュリティ

ケルベロス認証とは

ケルベロス認証とは、サーバとクライアント間のネットワーク認証方式の1つです。
ケルベロス認証はクライアントとサーバとを相互認証でき、データの機密性のため、クライアントとサーバ間の通信を暗号化します。
ケルベロス認証はRFC4120やRFC4121で仕様が規定され、KRB5とも呼ばれています。
ケルベロス認証を使用したサービスにはMicrosoftのActive Directoryがあります。

 

 

 

ケルベロス認証の構成要素

ケルベロスの用語 説明
KDC(Key Distribution Center) サーバとユーザに関する信頼関係の情報を一括管理する中央データベース
AS(Authentication Server) KDCの要素で認証を行うサーバ。ユーザからの認証を受け付ける。
TGS(Ticket Granting Server) KDCの要素でチケットを発行するサーバ。各サーバを利用するためのチケットを発行する。
TGT(Ticket Granting Ticket) あらためてKDCに対して要求しなくても、TGTを持つクライアントは他のサーバへの追加チケットを取得できるようになる特殊なチケット。
プリンシパル(principal) KDCが認証を行うユーザやサーバのこと
レルム(realm) 同じKDCの配下にあるシステムをグループとして定義する論理ネットワーク

 

ケルベロス認証のシーケンス

f:id:iestudy:20190928150941p:plain

ケルベロス認証のシーケンスイメージ

tech.nikkeibp.co.jp

 

Kerberos認証のステップ

  1. ユーザがKDCに認証情報を提供する(AESによる暗号化)
  2. クライアント/TGS鍵が生成される
  3. TGTが生成される(あわせて、暗号化された対象鍵がクライアントに送られる)※クライアント側ではTGTを受理(インストール)し、自身のパスワードで対象カギを複合する
  4. クライアント/サーバチケットが生成される
  5. ユーザがサービスにアクセスする

 

ケルベロス認証の特徴

ケルベロス認証は、複数のユーザが複数のサーバを利用するようなケースで、一度だけ認証を受ければ複数のサービスを利用できるようになります。一度認証を受ければ、その後はユーザのアクセス権に応じてアクセスできます。そのため、SSO (シングルサインオン) の実装に適しています。
ケルベロス認証は通信にTCP及びUDPの88番ポート使用します。
ケルベロス認証の弱点としては、以下のものがあります。

  • KDCが単一障害点
  • 鍵がKDCより盗まれた場合、ユーザのなりすましが行われる
  • パスワード推測に体制がない

 

www.itmedia.co.jp

 

AD環境で注意が必要なイベントログ

AD環境でインシデント発生時に注意が必要なイベントログについてまとめます。

監査を必要とする重要なWindowsセキュリティイベントログ

 

イベントID 説明
4688

新規プロセスの作成

※デフォルトでは有効されていない場合がありますが、Windows ServerのCISベンチマークでは取得することが推奨されています。

また、2021年に発生した半田病院のランサムウェア感染に関する報告書において、今後の対策においてもログの取得が記載されています。

※以下の資料P30より

https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf
4768 アカウントログオンの成功
4771 アカウントログオンの失敗
このイベントはTGSがTGTの発行に失敗(認証失敗)時に発生します。
そのため、このイベントはドメインコントローラーでのみ生成されます。
また、エラーコードが「0x18」は「無効なパスワード」による失敗のため、注意が必要です。 

4771(F) Kerberos の事前認証に失敗しました。 (Windows 10) - Windows security | Microsoft Docs

「ログオン失敗」のエラーメッセージ一覧 | ADAudit Plus ナレッジベース
4624 ローカルログオンの成功
4625 ローカルログオンの失敗
これはローカルでのログオン失敗時に生成されます。
→そのマシンに対するログオン試行失敗を表します。

4625(F) アカウントのログオンに失敗しました。 (Windows 10) - Windows security | Microsoft Docs
4776 NTLM認証
NTLM認証はKerberos認証が使用できない場合の認証方式でActive Direcotryではダウンレベル(代替の)認証として利用されます。
共有フォルダなどにIPアドレス(例:\\192.168.XX.YY\share)でアクセスした場合はNTLM認証となります。

第2回 誰も教えてくれないActive DirectoryとLDAPの「本当の関係」[後編]:知られざるActive Directory技術の「舞台裏」|gihyo.jp … 技術評論社

social.technet.microsoft.com
4647 ユーザーが開始したログオフ
4778 ターミナルサービスセッションの再接続
4779 ターミナルサービスセッションの切断
5136 ADオブジェクトの変更
5137 ADオブジェクトの作成
5139 移動されたADオブジェクト
5141 削除されたADオブジェクト
4670 古い属性と新しい属性の許可変更
4663 ファイルアクセス
4659 削除するためのファイルアクセス

監査できるSMBイベント
4660 ファイル削除

 

参考にさせていただいたサイト

Windows セキュリティイベントログ監査レポート|ADAudit Plus

https://www.nic.ad.jp/ja/materials/iw/2015/proceedings/t9/t9-mizuno-20151124.pdf

https://digitalforensic.jp/wp-content/uploads/2021/02/a930b3e0fadd66c4697717bf767b049c.pdf

https://www.iij.ad.jp/dev/tech/techweek/pdf/171108_02.pdf

mkt-eva.hateblo.jp