커버로스: Difference between revisions
From IT위키
(새 문서: * 미국 MIT대의 Athena Project에 의해 개발된 대칭키 방식에 의한 인증 시스템 * 인증 프로토콜이자 동시에 키분배센터(KDC)의 역할도 수행 * 신...) |
(→단점: 자채->자체 오타 수정) |
||
| (5 intermediate revisions by 3 users not shown) | |||
| Line 1: | Line 1: | ||
[[분류:보안]][[분류:정보보안기사]] | |||
;Kerberos; 커브로스; 커베로스; | |||
* 미국 MIT대의 Athena Project에 의해 개발된 대칭키 방식에 의한 인증 시스템 | * 미국 MIT대의 Athena Project에 의해 개발된 대칭키 방식에 의한 인증 시스템 | ||
* 인증 프로토콜이자 동시에 키분배센터(KDC)의 역할도 수행 | * 인증 프로토콜이자 동시에 키분배센터(KDC)의 역할도 수행 | ||
* 신뢰받은 제3자 기반의 인증 시스템의 초기 구현 형태이자 가장 많이 사용됨 | * 신뢰받은 제3자 기반의 인증 시스템의 초기 구현 형태이자 가장 많이 사용됨 | ||
* [[SSO]]를 구현하기 위한 표준으로 사용됨 | ** [[윈도우]] [[운영체제]]에서 Active Directory 도메인 내에서 사용되는 주요 인증 메커니즘 | ||
** [https://docs.microsoft.com/ko-kr/windows/security/threat-protection/security-policy-settings/kerberos-policy 마이크로소프트 윈도우 커버로스 정책 설정 안내] | |||
* 한번의 로그인으로 여러 서비스 이용 가능 | |||
** [[SSO]]를 구현하기 위한 표준으로 사용됨 | |||
== 서버 구성 == | == 서버 구성 == | ||
=== AS | === AS === | ||
;Authentication Server | |||
* | * 모든 사용자의 패스워드를 가지고 있으며, 초기 로그인 시에는 AS에서 패스워드로 인증 | ||
* 사용자 입장에선 AS에 한번 로그인하면 인증 과정 종료 | |||
=== TGS | |||
=== TGS === | |||
;Ticket Granting Service | |||
* AS에서 인증받은 사용자들에 대해 각 필요한 서비스의 티켓을 발행 | |||
=== 서비스 서버 === | === 서비스 서버 === | ||
;표준상의 공식적 구성요소는 아님. 이해를 돕기위한 것이며, 실무적으로 응당 있는 서버 | ;표준상의 공식적 구성요소는 아님. 이해를 돕기위한 것이며, 실무적으로 응당 있는 서버 | ||
* TGS에서 발급받은 티켓으로 이용 가능한 서비스 | |||
== 티켓 == | |||
=== 티켓 구성요소 === | |||
* 클라이언트가 접속 하기를 원하는 서버의 ID | |||
* 클라이언트의 ID | |||
* 클라이언트의 네트워크 주소 | |||
* 티켓의 유효 기간 | |||
* 클라이언트와 서버가 서비스 기간 동안 공유하는 세션키 | |||
=== TGT === | |||
;Ticket Granting Ticket | |||
* AS에서 발급 | |||
* 서버에서 인증을 받았다는 것을 증명하는 티켓으로, 로그인 세션마다 한번만 발급 | |||
=== SGT === | |||
;Service Granting Ticket | |||
* TGT를 보고 발행해주는 짧은 유효기간의 1회용 티켓 | |||
* 타임스탬프 연동을 통해 시간제한을 둠으로써 재사용 공격을 방지 | |||
== 버전 == | == 버전 == | ||
| Line 25: | Line 48: | ||
== 단점 == | == 단점 == | ||
* [[단일실패지점|단일실패지점(Single Point of Failure)]] 위험( | * [[단일실패지점|단일실패지점(Single Point of Failure)]] 위험([[SSO]]의 공통 문제) | ||
* 대칭키 교환에 따른 탈취 위험([[대칭키 암호화|대칭키 시스템]]의 공통 문제) | * 대칭키 교환에 따른 탈취 위험([[대칭키 암호화|대칭키 시스템]]의 공통 문제) | ||
* 요청이 많아질 경우 부하 집중([[KDC]]의 공통 문제) | * 요청이 많아질 경우 부하 집중([[KDC]]의 공통 문제) | ||
* 버전4는 [[DES|DES 알고리즘]]을 이용하므로 알고리즘 | * 버전4는 [[DES|DES 알고리즘]]을 이용하므로 알고리즘 자체의 취약성에 따른 위험 상존 | ||
Latest revision as of 14:34, 14 April 2024
- Kerberos; 커브로스; 커베로스;
- 미국 MIT대의 Athena Project에 의해 개발된 대칭키 방식에 의한 인증 시스템
- 인증 프로토콜이자 동시에 키분배센터(KDC)의 역할도 수행
- 신뢰받은 제3자 기반의 인증 시스템의 초기 구현 형태이자 가장 많이 사용됨
- 윈도우 운영체제에서 Active Directory 도메인 내에서 사용되는 주요 인증 메커니즘
- 마이크로소프트 윈도우 커버로스 정책 설정 안내
- 한번의 로그인으로 여러 서비스 이용 가능
- SSO를 구현하기 위한 표준으로 사용됨
서버 구성[edit | edit source]
AS[edit | edit source]
- Authentication Server
- 모든 사용자의 패스워드를 가지고 있으며, 초기 로그인 시에는 AS에서 패스워드로 인증
- 사용자 입장에선 AS에 한번 로그인하면 인증 과정 종료
TGS[edit | edit source]
- Ticket Granting Service
- AS에서 인증받은 사용자들에 대해 각 필요한 서비스의 티켓을 발행
서비스 서버[edit | edit source]
- 표준상의 공식적 구성요소는 아님. 이해를 돕기위한 것이며, 실무적으로 응당 있는 서버
- TGS에서 발급받은 티켓으로 이용 가능한 서비스
티켓[edit | edit source]
티켓 구성요소[edit | edit source]
- 클라이언트가 접속 하기를 원하는 서버의 ID
- 클라이언트의 ID
- 클라이언트의 네트워크 주소
- 티켓의 유효 기간
- 클라이언트와 서버가 서비스 기간 동안 공유하는 세션키
TGT[edit | edit source]
- Ticket Granting Ticket
- AS에서 발급
- 서버에서 인증을 받았다는 것을 증명하는 티켓으로, 로그인 세션마다 한번만 발급
SGT[edit | edit source]
- Service Granting Ticket
- TGT를 보고 발행해주는 짧은 유효기간의 1회용 티켓
- 타임스탬프 연동을 통해 시간제한을 둠으로써 재사용 공격을 방지
버전[edit | edit source]
- 주로 사용되는 버전은 4버전과 5버전이 있음
- Ver 4 : DES 사용
- Ver 5 : DES 이외의 다른 암호 알고리즘 등도 사용 가능
단점[edit | edit source]
- 단일실패지점(Single Point of Failure) 위험(SSO의 공통 문제)
- 대칭키 교환에 따른 탈취 위험(대칭키 시스템의 공통 문제)
- 요청이 많아질 경우 부하 집중(KDC의 공통 문제)
- 버전4는 DES 알고리즘을 이용하므로 알고리즘 자체의 취약성에 따른 위험 상존
