Kerberos ve LM-NTLM-NTLM2, kimlik doğrulama protokolleri olup, özellikle Microsoft Windows işletim sistemlerinde kullanılırlar. Kerberos, daha güvenli bir protokol olarak kabul edilirken, LM-NTLM-NTLM2, daha eski ve güvenliği zayıf bir protokol setidir.
- LM (LAN Manager): LM, Windows NT 4.0 ve öncesinde kullanılan bir kimlik doğrulama protokolüdür. Parola bilgisini tersine çevirerek saklama ve veri alışverişi sırasında şifrelememe gibi güvenlik zafiyetleri içerir. Bu nedenle, LM parola tabanlı kimlik doğrulama için güvenli olmayan bir protokoldür.
- NTLM (NT LAN Manager): NTLM, Windows NT tabanlı sistemlerde kullanılan bir kimlik doğrulama protokolüdür. LM’den daha güvenli kabul edilir, ancak hala bazı güvenlik zafiyetleri vardır. NTLM, parolayı daha güvenli bir şekilde saklar ve şifreleme kullanır. Ancak çeşitli güvenlik açıklarına sahip olduğu için Kerberos’a tercih edilmez.
- NTLMv2: NTLMv2, Windows NT 4.0 Service Pack 4 ve sonraki sürümlerde kullanılan bir geliştirme versiyonudur. NTLMv2, NTLM’deki bazı güvenlik açıklarını giderir ve daha güvenli bir kimlik doğrulama protokolü sunar. Parola tabanlı kimlik doğrulama için daha güvenli bir seçenektir, ancak hala bazı sınırlamalara sahiptir.
- Kerberos: Kerberos, MIT (Massachusetts Institute of Technology) tarafından geliştirilen ve Microsoft tarafından Windows ortamında kullanılan bir ağ kimlik doğrulama protokolüdür. Kerberos, simetrik anahtar şifreleme kullanarak güvenli bir iletişim sağlar. İstemci, KDC (Kerberos Dağıtım Merkezi) denilen bir sunucudan bilet alır ve bu bilet, diğer sunuculara erişim sağlamak için kullanılır. Kerberos, güvenlik için tek noktadan kimlik doğrulama sağlar ve saldırılara karşı daha dirençlidir.
Kerberos nasıl çalışır?
erberos, aşağıdaki adımları takip ederek çalışır:
- İstemci Kimlik Doğrulama İsteği: İstemci, bir sunucuya erişmek istediğinde kimlik doğrulama yapar. Bu istek, istemcinin KDC’ye (Authentication Server – AS) kimlik doğrulama isteği olarak gönderilir.
- TGT (Ticket Granting Ticket) İsteği: KDC, istemcinin kimliğini doğruladıktan sonra, TGT (Ticket Granting Ticket) adı verilen bir oturum bileti oluşturur ve istemciye gönderir. TGT, istemcinin kimliğini doğrulamak için kullanılır ve istemci bu bileti saklar.
- Hizmet Bileti İsteği: İstemci, sunucuya erişmek istediğinde, TGT’sini kullanarak bir hizmet bileti (Service Ticket) talep eder. Bu hizmet bileti, sunucuya erişimi sağlamak için kullanılır.
- Hizmet Bileti ve İletişim: KDC, istemcinin TGT’sini doğrular ve geçerliyse, hizmet bileti oluşturur ve istemciye gönderir. İstemci, sunucuya hizmet biletiyle birlikte erişim isteğini iletebilir.
- Sunucu Kimlik Doğrulama: Sunucu, gelen isteği alır ve hizmet biletiyle birlikte KDC’ye doğrulama yapar. KDC, hizmet biletiyi doğrular ve geçerliyse, sunucuya istemciye ait olduğunu onaylar.
- İletişim ve Güvenli Veri Aktarımı: Kimlik doğrulama başarılı olduğunda, istemci ve sunucu arasında güvenli bir iletişim kanalı oluşturulur. Bu kanal, verilerin şifrelenmesini sağlar ve güvenli bir şekilde aktarılmasını sağlar.
Kerberos, simetrik anahtar şifreleme kullanarak güvenli bir iletişim sağlar. İstemci ve sunucu arasında paylaşılan bir gizli anahtar kullanılır. Kimlik doğrulama işlemi sırasında, taraflar bu gizli anahtar ile şifreleme ve doğrulama işlemlerini gerçekleştirirler. Bu sayede, veriler güvende kalır ve kimlik doğrulama süreci güvenli bir şekilde tamamlanır.