IIS-i integreeritud autentimismoodul rakendab kahte peamist autentimisprotokolli: NTLM ja Kerberose autentimisprotokoll. See kutsub üles kolme erinevat turvateenuse pakkujat (SSP): Kerberos, NTLM ja Negotiate. Need SSP-d ja autentimisprotokollid on tavaliselt saadaval ja neid kasutatakse Windowsi võrkudes. NTLM rakendab NTLM autentimist ja Kerberos rakendab Kerberos v5 autentimist. Läbirääkimised on erinevad, kuna see ei toeta ühtegi autentimisprotokolli. Kuna integreeritud Windowsi autentimine sisaldab mitmeid autentimisprotokolle, vajab see enne veebibrauseri ja serveri vahelise tegeliku autentimise toimumist läbirääkimisfaasi. Selle läbirääkimisfaasi ajal määrab läbirääkimiste pidamise SSP, millist autentimisprotokolli veebibrauseri ja serveri vahel kasutada.

Mõlemad protokollid on äärmiselt turvalised ja nad on võimelised kliente autentima ilma paroole võrgu kaudu mingil kujul edastama, kuid need on piiratud. NTLM-i autentimine ei tööta HTTP-puhverserverite kaudu, kuna selle nõuetekohaseks toimimiseks on vaja Interneti-brauseri ja serveri vahelist punkt-punkti ühendust. Kerberose autentimine on saadaval ainult IE 5.0 brauserites ja IIS 5.0 veebiserverites või uuemates. See töötab ainult masinates, kus töötab Windows 2000 või uuem ja nõuab tulemüürides avamiseks mõnda täiendavat porti. NTLM pole nii turvaline kui Kerberos, seetõttu soovitatakse Kerberot alati kasutada nii palju kui võimalik. Vaatame neid kahte lähemalt.

Mis on NTLM?

NT LAN-i haldur on väljakutse-vastusel põhinev autentimisprotokoll, mida kasutavad Windowsi arvutid, mis pole Active Directory'i domeeni liikmed. Klient algatab autentimise väljakutse / reageerimise mehhanismi kaudu, mis põhineb kliendi ja serveri vahelisel kolmekäigulisel käepigistusel. Klient alustab suhtlust, saates serverile sõnumi, milles täpsustatakse selle krüptimisvõimalused ja kasutaja konto nimi. Server genereerib 64-bitise juhusliku väärtuse, mida nimetatakse nonceks ja vastab kliendi päringule, tagastades selle nonce'i, mis sisaldab teavet tema enda võimaluste kohta. Seda vastust nimetatakse väljakutseks. Seejärel kasutab klient väljakutse stringi ja selle parooli vastuse arvutamiseks, mille ta serverile edastab. Seejärel valideerib server kliendilt saadud vastuse ja võrdleb seda NTLM-i vastusega. Kui need kaks väärtust on identsed, on autentimine edukas.

Mis on Kerberos?

Kerberos on piletipõhine autentimisprotokoll, mida kasutavad Windowsi arvutid, mis on Active Directory domeeni liikmed. Kerberose autentimine on parim meetod IIS-i sisemiste installide jaoks. Kerberos v5 autentimine töötati välja MIT-is ja see määratleti RFC 1510. Windows 2000 ja hiljem rakendab Kerberos Active Directory juurutamisel. Kõige parem on see, et see vähendab paroolide arvu, mida iga kasutaja peab meelde jätma, et kasutada kogu võrku üheks - Kerberose parooliks. Lisaks sisaldab see krüptimist ja sõnumite terviklikkust, tagamaks, et tundlikke autentimisandmeid ei saadeta kunagi võrgus selgelt. Kerberose süsteem töötab tsentraliseeritud võtmejaotuskeskuste (KDC) kaudu. Iga KDC sisaldab nii kasutajate kui ka Kerberose toega teenuste kasutajanimede ja paroolide andmebaasi.

Erinevus NTLMi ja Kerberose vahel

NTLM-i ja Kerberose protokoll

- NTLM on väljakutse-vastusel põhinev autentimisprotokoll, mida kasutavad Windowsi arvutid, mis pole Active Directory'i domeeni liikmed. Klient algatab autentimise väljakutse / reageerimise mehhanismi kaudu, mis põhineb kliendi ja serveri vahelisel kolmekäigulisel käepigistusel. Kerberos seevastu on piletipõhine autentimisprotokoll, mis töötab ainult masinates, kus töötab Windows 2000 või uuem ja töötab Active Directory domeenis. Mõlemad autentimisprotokollid põhinevad sümmeetrilisel võtme krüptograafial.

Toetus

- Üks peamisi erinevusi kahe autentimisprotokolli vahel on see, et Kerberos toetab nii esinemist kui ka delegeerimist, samas kui NTLM toetab ainult esinemist. Delegeerimine on põhimõtteliselt sama mõiste kui kehastamine, mis hõlmab pelgalt toimingute tegemist kliendi identiteedi nimel. Esinemine toimib aga ainult ühe masina piires, samal ajal kui delegeerimine töötab ka kogu võrgus. See tähendab, et algse kliendi identiteedi autentimispilet saab edastada teise võrgus asuvasse serverisse, kui algselt juurdepääsetaval serveril on selleks luba.

Turvalisus

 - Ehkki mõlemad autentimisprotokollid on turvalised, pole NTLM sama turvaline kui Kerberos, kuna selle nõuetekohaseks toimimiseks on vaja Interneti-brauseri ja serveri vahelist punkt-punkti ühendust. Kerberos on turvalisem, kuna see ei edasta kunagi paroole võrgu kaudu. See on ainulaadne piletite kasutamisel, mis tõestavad kasutaja identiteedi antud serveris ilma võrgu kaudu paroole saatmata või kohaliku kasutaja kõvaketta paroolid vahemällu salvestamata. Kerberose autentimine on parim meetod IIS-i sisemiste installide jaoks (veebisaidid, mida kasutavad ainult domeenikliendid).

Autentimine

- Kerberose üks peamisi eeliseid NTLM-i ees on see, et Kerberos pakub vastastikust autentimist ja on suunatud kliendi-serveri mudelile, mis tähendab, et kontrollitakse nii kliendi kui ka serveri autentsust. Kuid nii teenus kui ka klient peavad töötama Windows 2000 või uuemas versioonis, vastasel juhul autentimine ebaõnnestub. Erinevalt NTLM-ist, mis hõlmab ainult IIS7 serverit ja klienti, hõlmab Kerberose autentimine ka Active Directory domeenikontrollerit.

NTLM vs Kerberos: võrdlusdiagramm

NTLM Vs kokkuvõte Kerberos

Ehkki mõlemad protokollid suudavad kliente autentida ilma paroole võrgus mingil kujul edastamata, autentib NTLM kliente väljakutse / reageerimise mehhanismi abil, mis põhineb kliendi ja serveri vahelisel kolmekäigulisel käepigistusel. Kerberos on seevastu piletipõhine autentimisprotokoll, mis on turvalisem kui NTLM ja toetab vastastikust autentimist, mis tähendab, et kontrollitakse nii kliendi kui ka serveri autentsust. Lisaks toetab Kerberos nii esinemist kui ka delegeerimist, samas kui NTLM toetab ainult esinemist. NTLM pole nii turvaline kui Kerberos, seetõttu soovitatakse Kerberot alati kasutada nii palju kui võimalik.

Viited

  • Kujutise krediit: https://upload.wikimedia.org/wikipedia/commons/thumb/4/4e/Kerberos.svg/500px-Kerberos.svg.png
  • Kujutise krediit: https://commons.wikimedia.org/wiki/File:Metasploit-27-cainsuccesshalflm.png
  • LeBlanc, David ja Michael Howard. Turvakoodi kirjutamine. London, Suurbritannia: Pearson Education, 2002. Prindi
  • Macdonald, Matthew ja Mario Szpuszta. Pro Asp.Net 2.0, C # 2005. Hoboken, New Jersey: John Wiley & Sons, 2005. Prindi
  • Clercq, Jan De. Windows Server 2003 turbeinfrastruktuurid: peamised turbefunktsioonid. Amsterdam, Holland: Elsevier, 2004. Trükk