কীভাবে কার্বেরোসের পূর্বসূত্রতা সুরক্ষা বাড়ায়?

11

এই এফএকিউ এন্ট্রি (এবং নিজেই আরএফসি ) জানিয়েছে যে প্রাক-প্রমাণীকরণের মাধ্যমে কার্বেরোসের প্রাথমিক প্রয়োগের একটি দুর্বলতা চিহ্নিত করা হয়েছে যা এটি অফলাইন অভিধান আক্রমণে ঝুঁকিপূর্ণ করে তুলেছে।

এফএকিউ রাষ্ট্র:

পূর্বাহুতের সহজতম রূপটি PA-ENC-TIMESTAMP নামে পরিচিত। এটি কেবল ব্যবহারকারীর কী সহ বর্তমান টাইমস্ট্যাম্প এনক্রিপ্ট করা।

যদি কোনও আক্রমণকারী এই পূর্বনির্ধারিত ডেটাযুক্ত কোনও প্যাকেট শুঁকতে পরিচালিত করে, এটি কি অভিধানের আক্রমণে ঝুঁকিপূর্ণ নয়? আমার সিফারটেক্সট আছে, আমি মূল টাইমস্ট্যাম্পটি জানি - এই দৃশ্যটি কীভাবে আলাদা?

security  kerberos  vulnerabilities 
শেদাতে এলিয়েন
সূত্র
আমি পার্টির জন্য একটু দেরি করছি :)। আমি মনে করি যে আক্রমণকারীটির মূল টাইমস্ট্যাম্প রয়েছে এই প্রশ্নটিতে সত্য নয়। এটি 'জ্ঞাত সাইফারটেক্সট' আক্রমণ 'জ্ঞাত প্লেইন টেক্সট' আক্রমণ নয়, অন্যথায় মজার হবে। আমরা ধরে নিতে পারি না যে আক্রমণকারীর প্লেইন টেক্সট এবং সিফারটেক্সট উভয়ই আছে, কারণ তিনিও অ্যালগরিদম জানেন, তাই এখানে কী চ্যালেঞ্জ ?? অথবা সম্ভবত আমি এখানে কিছু মিস করছি ...
আশকান
আমার পূর্ববর্তী মন্তব্যটির সমাপ্তির পরে, বিষয়টি পুনর্বিবেচনা করার পরে, আমি এই ধারণাটি নিয়ে এসেছি যে আমরা যদি আক্রমণটিকে 'জ্ঞাত প্লেইন্টেক্সট' আক্রমণ হিসাবে ধরে নিই (যার অর্থ আক্রমণকারী সঠিক টাইমস্ট্যাম্পটি জানে) তবে আপনি ঠিক বলেছেন, প্রাক-প্রমাণীকরণের পদক্ষেপটি করে অতিরিক্ত সুরক্ষা সরবরাহ করবেন না কারণ তিনি সম্ভাব্য সুরক্ষিতভাবে বেছে নেওয়া পাসওয়ার্ডগুলি চেষ্টা করতে পারেন এবং কীটি সন্ধান করতে পারেন, অন্যথায় এটি করে। সুতরাং আমি ভাবছি যে এটি কোন ধরণের আক্রমণ হবে?
আশকান

উত্তর:

16

আপনি যখন প্রাক-প্রমাণীকরণ প্রয়োগ করেন না, আক্রমণকারী সরাসরি প্রমাণীকরণের জন্য একটি ডামি অনুরোধ পাঠাতে পারে। কেডিসি একটি এনক্রিপ্ট করা টিজিটি ফিরিয়ে দেবে, এবং আক্রমণকারী এটি অফলাইনে জোর করে ফেলতে পারে। আপনি আপনার কেডিসি লগগুলিতে কোনও টিজিটি-র একক অনুরোধ ছাড়া কিছুই দেখতে পাবেন না।

আপনি যখন টাইমস্ট্যাম্প পূর্ব-প্রমাণীকরণ প্রয়োগ করেন, আক্রমণকারী সরাসরি কেডিসিগুলিকে এনক্রিপ্ট করা উপাদানের জন্য অফলাইনে ফসলের জন্য জিজ্ঞাসা করতে পারে না। আক্রমণকারীকে পাসওয়ার্ড সহ একটি টাইমস্ট্যাম্প এনক্রিপ্ট করতে হবে এবং কেডিসিতে এটি সরবরাহ করতে হবে। হ্যাঁ, তিনি এটি বার বার করতে পারেন, তবে প্রতিবার প্রেরিত ব্যর্থ হলে আপনি কেডিসি লগ এন্ট্রি দেখতে পাবেন।

সুতরাং, টাইমস্ট্যাম্পের পূর্ব-প্রমাণীকরণ কোনও সক্রিয় আক্রমণকারীকে বাধা দেয়। এটি কোনও নিষ্ক্রিয় আক্রমণকারীকে ক্লায়েন্টের এনক্রিপ্ট করা টাইমস্ট্যাম্প বার্তা কেডিসিতে স্নিগ্ধ করা থেকে বিরত রাখে না। আক্রমণকারী যদি সেই পুরো প্যাকেটটি স্নিগ্ধ করতে পারে তবে সে এটি অফলাইনে জোর করে ফেলতে পারে।

এই সমস্যার সমাধানের মধ্যে রয়েছে দীর্ঘ পাসওয়ার্ড এবং অফলাইন ব্রুটে-জোর করে অক্ষম করার জন্য একটি ভাল পাসওয়ার্ড ঘূর্ণন নীতি ব্যবহার করা বা PKINIT ( http://www.ietf.org/rfc/rfc4556.txt ) ব্যবহার করা

নামবিহীন
সূত্র
+1 সক্রিয় আক্রমণকারী এবং প্যাসিভ আক্রমণকারী মধ্যে পার্থক্য নির্দেশ করার জন্য ধন্যবাদ।
হার্ভে কোক
দ্রষ্টব্য, 2014 এ এখানে এই বিশদ সহ একটি সম্পূর্ণ নিবন্ধটি উপস্থিত হবে: social.technet.microsoft.com/wiki/contents/articles/…
মার্টিন সেরানো
5

আইইইই এক্সপ্লোরিতে একটি কাগজ ( আরসি 4-এইচএমএসি এনক্রিপশন ধরণের বিশ্লেষণের মাধ্যমে কার্বেরোস পাসওয়ার্ডগুলি এক্সট্র্যাক্ট করে) পেয়েছি যা এর সাথে কিছুটা প্রাসঙ্গিক। তারা বোঝাচ্ছে যে কোনও প্রাক-প্রমাণীকরণ প্যাকেট ধরা পরে, এটি আলাদা নয় it

যদি কোনও আক্রমণকারী পূর্বসূত্রীকরণের প্যাকেটগুলি ধারণ করতে সক্ষম হয় এবং কোনও বৈধ ব্যবহারকারীর পরিচয় নিতে চায় তবে কেডিসি সম্পাদিত পদ্ধতিগুলি আক্রমণকারীর প্রয়োজন perform আক্রমণকারীকে সম্মতি অনুসারে এনক্রিপশন ধরণে ডিক্রিপশন পদ্ধতিটি ব্যবহার করতে হবে এবং ধরা পড়া ডেটার বিপরীতে বিভিন্ন পাসওয়ার্ড চালানোর চেষ্টা করতে হবে। যদি এটি সফল হয় তবে আক্রমণকারীর ব্যবহারকারীর পাসওয়ার্ড রয়েছে।

শেদাতে এলিয়েন
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.