Den IIS integréierten Windows Authentifikatiounsmodul implementéiert zwee grouss Authentifikatiounsprotokoller: den NTLM an de Kerberos Authentifikatiounsprotokoll. Et fuerdert dräi verschidde Sécherheetsdéngschtleeschter (SSPs): de Kerberos, NTLM, a Verhandlunge. Dës SSPs an Authentifikatiounsprotokoller sinn normalerweis verfügbar a benotzt op Windows Netzwierker. NTLM implementéiert NTLM Authentifikatioun a Kerberos implementéiert Kerberos v5 Authentifikatioun. Verhandelen ass anescht well et keng Authentifikatiounsprotokoller ënnerstëtzt. Well Integréiert Windows Authentifikatioun verschidde Authentifikatiounsprotokoller enthält, brauch se eng Verhandlungsphase ier déi tatsächlech Authentifikatioun tëscht Webbrowser a Server ka stattfannen. Wärend dëser Verhandlungsphase bestëmmt de Verhandlunge SSP wat Authentifikatiounsprotokoll tëscht dem Webbrowser an dem Server benotzt.

Béid Protokoller sinn extrem sécher a si fäeg sinn Clienten z'authentifizéieren ouni Passwierder iwwer d'Netzwierk an iergendenger Form ze iwwerdroen, awer se sinn limitéiert. D'NTLM Authentifikatioun funktionnéiert net iwwer HTTP Proxyen well et eng point-to-point Verbindung tëscht dem Webbrowser an dem Server brauch fir korrekt ze fonktionnéieren. Kerberos Authentifikatioun ass nëmme verfügbar op IE 5.0 Browser an IIS 5.0 Webserver oder méi spéit. Et funktionnéiert nëmme vu Maschinnen déi Windows 2000 oder méi héich hunn a verlaangt e puer zousätzlech Ports fir op Firewalls opzeginn. NTLM ass net sou sécher wéi Kerberos, dofir ass et ëmmer recommandéiert Kerberos sou vill wéi méiglech ze benotzen. Kucke mer déi zwee gutt kucken.

Wat ass NTLM?

NT LAN Manager ass en Challenge-Äntwert-baséiert Authentifikatiounsprotokoll vu Windows Computeren benotzt déi net Member vun engem Active Directory Domain sinn. De Client initiéiert d'Authentifikatioun duerch en Challenge / Äntwert Mechanismus baséiert op engem Dräi-Wee Handshake tëscht dem Client an dem Server. De Client fänkt d'Kommunikatioun un, andeems en e Message un de Server verschéckt mat senge Verschlësselungsfäegkeeten an dem Benotzernumm säi Kontennumm. De Server generéiert e 64-Bit Zufallwäert genannt den Nonce an reagéiert op d'Ufro vum Client andeems hien dësen Nonce zréckzitt deen Informatiounen iwwer seng eege Fäegkeeten enthält. Dës Äntwert nennt sech d'Erausfuerderung. De Client benotzt dann den Challenge String a säi Passwuert fir eng Äntwert ze berechnen, déi et op de Server iwwerdréit. De Server validéiert dann d'Äntwert, déi se vum Client krut, a vergläicht se mat der NTLM Äntwert. Wann déi zwee Wäerter identesch sinn, ass d'Authentifikatioun erfollegräich.

Wat ass Kerberos?

Kerberos ass e Ticketbaséierten Authentifizéierungsprotokoll vu Windows Computeren benotzt déi Member vun engem Active Directory Domain sinn. Kerberos Authentifikatioun ass déi bescht Method fir intern IIS Installatiounen. Kerberos v5 Authentifikatioun gouf am MIT entworf a definéiert am RFC 1510. Windows 2000 a spéider implementéiert Kerberos wann Active Directory ofgesat gëtt. Dee beschten Deel, et reduzéiert d'Zuel vun de Passwierder, déi all Benotzer muss memoriséieren, fir e ganzt Netzwierk zu engem ze benotzen - de Kerberos Passwuert. Zousätzlech integréiert et Verschlësselung a Message Integritéit fir ze garantéieren datt sensibel Authentifikatiounsdaten ni iwwer dem Netzwierk an der Kloer geschéckt ginn. De Kerberos System funktionéiert duerch eng Rei vu zentraliséierte Key Distribution Centres, oder KDCs. All KDC enthält eng Datebank mat Benotzernimm a Passwierder fir béid Benotzer an Kerberos-aktivéiert Servicer.

Ënnerscheed tëscht NTLM a Kerberos

Protokoll vun NTLM a Kerberos

- NTLM ass en Challenge-Äntwert-baséiert Authentifikatiounsprotokoll vu Windows Computeren benotzt déi net Member vun engem Active Directory Domain sinn. De Client initiéiert d'Authentifikatioun duerch en Challenge / Äntwert Mechanismus baséiert op engem Dräi-Wee Handshake tëscht dem Client an dem Server. Kerberos, op der anerer Säit, ass e Ticketbaséierten Authentifikatiounsprotokoll deen nëmme funktionnéiert op Maschinnen déi Windows 2000 oder méi héich hunn an an engem Active Directory Domain lafen. Béid Authentifikatiounsprotokoller baséieren op symmetresche Schlësselkryptografie.

Ënnerstëtzung

- Ee vun de wichtegsten Ënnerscheeder tëscht den zwee Authentifikatiounsprotokoller ass datt Kerberos souwuel Impersonatioun wéi Delegatioun ënnerstëtzt, während NTLM nëmmen Impressioun ënnerstëtzt. Delegatioun ass am Fong datselwecht Konzept wéi Empersonatioun wat nëmmen Aktiounen am Numm vun der Identitéit vum Client mécht. Wéi och ëmmer, Impersonatioun funktionnéiert just am Spillraum op enger Maschinn, während Delegatioun och am Netzwierk funktionnéiert. Dëst bedeit datt d'Authentifikatiounskaart vun der Identitéit vum originale Client op engem anere Server am Netz ka weiderginn, wann den ursprénglechen accesséierten Server d'Recht huet dëst ze maachen.

Sécherheet

 - Wärend souwuel d'Authentifikatiounsprotokoller sécher sinn, ass NTLM net sou sécher wéi Kerberos, well et e punkt-zu-Punkt Verbindung tëscht dem Webbrowser an dem Server brauch fir korrekt ze fonktionnéieren. Kerberos ass méi sécher well et ni Passwierder iwwer d'Netzwierk iwwerdréit. Et ass eenzegaarteg a senger Benotzung vun Ticketen, déi d'Benotzung vun engem Benotzer hir Identitéit un engem bestëmmte Server beweisen, ouni Passwierder iwwer d'Netzwierk ze schécken oder Passwuert ze cache op der Festplack vum lokalen User. Kerberos Authentifikatioun ass déi bescht Method fir intern IIS Installatiounen (Websäite benotzt nëmme vu Domain Clienten).

Authentifikatioun

- Ee vun de wichtegste Virdeeler vu Kerberos iwwer NTLM ass datt Kerberos géigesäiteg Authentifikatioun offréiert an op e Client-Server-Modell zielt, dat heescht datt de Client an d'Authentizitéit vum Server souwuel verifizéiert sinn. Wéi och ëmmer, souwuel de Service wéi de Client mussen op Windows 2000 oder méi héich lafen, soss ass d'Authentifikatioun net. Am Géigesaz zum NTLM, deen nëmmen den IIS7 Server an de Client involvéiert ass, betrëfft Kerberos Authentifikatioun och en Active Directory Domain Controller.

NTLM vs. Kerberos: Verglach Chart

Zesummefaassung vun NTLM Vs. Kerberos

Während béid d'Protokoller fähig sinn Clienten z'authentifizéieren ouni Passwierder iwwer d'Netzwierk an iergendenger Form ze iwwerdroen, authentifizéiert NTLM Clienten obwuel en Challenge / Äntwert Mechanismus baséiert op engem Dräi-Wee Handschlag tëscht dem Client an dem Server. Kerberos, op der anerer Säit, ass e Ticketbaséierten Authentifikatiounsprotokoll dat méi sécher ass wéi NTLM an ënnerstëtzt géigesäiteg Authentifikatioun, wat heescht datt de Client an d'Authentizitéit vum Server souwuel verifizéiert sinn. Zousätzlech ënnerstëtzt Kerberos souwuel Impressioun an Delegatioun, während NTLM nëmmen Impressioun ënnerstëtzt. NTLM ass net sou sécher wéi Kerberos, dofir ass et ëmmer recommandéiert Kerberos sou vill wéi méiglech ze benotzen.

Referenze

  • Bildkredit: https://upload.wikimedia.org/wikipedia/commons moment/4/4e/Kerberos.svg/500px-Kerberos.svg.png
  • Bildkredit: https://commons.wikimedia.org/wiki/File:Metasploit-27-cainsuccesshalflm.png
  • LeBlanc, David a Michael Howard. Séchert Code Schreiwen. London, Vereenegt Kinnekräich: Pearson Education, 2002. Drécken
  • Macdonald, Matthew a Mario Szpuszta. Pro Asp.Net 2.0 zu C # 2005. Hoboken, New Jersey: John Wiley & Sons, 2005. Drécken
  • Clercq, Jan De. Windows Server 2003 Sécherheetsinfrastrukturen: Core Sécherheetsfeatures. Amsterdam, Holland: Elsevier, 2004. Drécken