有缺陷的部署会损害Kerberos的安全性

　　大家肯定都有部署Kerberos，但是真的安全吗?研究人员近日发现不适当部署可能削弱安全身份认证

　　研究人员近日研究发现，基于Kerberos身份验证服务器的常见配置中存在的问题可能会允许攻击者更加容易地躲避依赖开放认真标准的网络中的安全保护措施。

　　研究人员发现几个常见配置问题可能会允许攻击者严重打击Kerberos提供的安全保护。

　　企业通常都是在微软Active Directory环境或者大型Unix或者Linux网络中使用Kerberos验证以允许用户在完成中央服务器的身份验证后访问不同网络资源。而iSEC Partners公司创始人兼高级顾问Scott Stender表示，攻击者可能会导致验证服务器使数据加密或者etype(用于验证器交换)降级，“etype的降级会让服务器的加密算法降级到可以用蛮力破解的程度。”

　　Kerberos 版本4 属于硬编码化地使用数据加密标准(DES)，这种64位标准不再被视为是强大的加密形式，只有56位提供有意义的安全性。虽然该加密协议的最新版本，Kerberos版本5允许任何合适的加密形式，攻击者仍然能够阻止该验证系统使用更安全的高级加密标准(AES)。

　　虽然多年来，数据加密标准满足企业的安全需求，但随着攻击者对软件和硬件的突破使他们能够轻松地破解加密标准。在今年早些时候举行的黑帽大会行，总部位于西雅图的高性能计算机制造商Pico电脑公司展示了一款专业计算机，每秒能够处理2899亿DES密钥，按照这个速度，DES密钥可以在三天内破解。

　　最新的Kerberos版本已经解决了这个问题，但是大部分部署却没有从中受益，或者出于兼容原因考虑，明确允许用户可以降级到DES，Stender表示。

　　“在Windows世界，默认设置破坏一切安全放心，而最新版本的操作系统的默认设置同样是不安全，”Stender表示。Windows 2008和Windows Vista都允许降级到DES etype，麻省理工学院Kerberos版本1.7及以下版本也将接受DES etype。

　　身份验证系统需要花费很多精力来维护和升级，所以很多公司倾向于以最包容的模式来部署身份验证系统，然而却又不调整系统的安全性，远程访问软件制造商NCP工程公司执行副总裁Martin Hack表示，“然而不幸的是，很多客户认为，对于身份验证系统，只要完成安装，就完成了，这是绝对不正确的。”

　　在8月下旬公布的报告中，iSEC Partners公司建议企业审查所有基于Kerberos身份验证服务器的配置，并且禁用基于DES验证器。并且，在更改配置以前，管理员将必须重新向所有域名控制器发布证书。

　　研究人员表示，降级身份验证到较弱的加密形式的能力并不是唯一的Kerberos缺陷，该公司还发现了默认Windows部署中的缺陷，该缺陷影响公司使用智能卡登录到他们的身份验证服务器。

　　“实际上，支持智能卡的服务器有着非常广泛的升级能力，”iSEC公司顾问Brad Hill表示，“在早期Windows 2000操作系统中(在标准最终确定以前)，在如何验证方面存在不一致的地方，所以这里可能出现问题。”

　　在其报告中，iSEC公司还建议企业限制可以添加系统到域的用户的数量，这样做能够帮助防止攻击者利用智能卡验证漏洞。总体而言，企业只需要做一些相对简单的配置更改就能够避免攻击者攻击他们验证服务器的风险。

　　“我们很高兴我们能够找到解决这些问题的配置更新，”Stender表示。