目次
ケルベロス認証とは
ケルベロス認証とは、インターネットなどの信頼できないネットワーク上で、パスワードを送信することなく、信頼された複数のホスト間でサービス要求を検証するためのネットワーク認証プロトコルです。現代のネットワーク セキュリティ プロトコルにおける中核技術の1つとされ、共通鍵暗号方式に基づいて動作し、信頼されたサード パーティによる仲介を必要とします。
ケルベロスは1983年に公開され、強固な認証対策が求められる環境を中心に広く採用されています。多くのOSに実装されており、数多くのネットワーク セキュリティおよびシングル サイン オン(SSO)ソリューションの標準的な構成要素となっています。
ケルベロス認証のルーツをたどる
ケルベロス認証は、MIT、ディジタル・イクイップメント・コーポレーション (DEC)、IBMによる共同プロジェクト「Project Athena」の一環として1983年に開始されました。その目的は、キャンパス全体に広がる分散コンピューティング環境を教育用途向けに構築することでした。
「ケルベロス」という名称は、ギリシャ神話に登場する冥府の神ハデスを守る三つの頭を持つ番犬ケルベロスに由来しています。
これは、本プロトコルの構造を象徴するもので、クライアント、サーバー、およびキー配布センター(Key Distribution Center、以下KDC)という、相互に依存する3つの異なるコンポーネントから構成されていることを示しています。
ケルベロス認証が安全性を確保する仕組み
ケルベロスは、対称鍵暗号(共通鍵暗号)と信頼されたサード パーティであるKey Distribution Center(KDC)を用いて、クライアントとサーバー間のアプリケーション認証およびユーザー アイデンティティ(ID)の検証を行います。KDCは、認証サーバーを通じてクライアントにチケットを発行し、チケット発行サーバー(TGS)でサービス用チケットを提供します。これらのチケットはセッション キーで暗号化され、クライアントのIDを証明する役割を果たします。
ケルベロス認証のプロセスは、ユーザーがサービスへのアクセスを要求した時点で開始されます。クライアントはKDCの認証サーバーから初期チケットを取得し、要求したサービスに対応するチケットをKDCのチケット発行サーバーに要求します。このチケットとセッション キーにより、クライアントとサービスはパスワードを直接送信することなく、暗号化されたチケットに基づいてセキュアに通信できるようになります。ケルベロスが提供するクライアントとサーバー間の相互認証は、中間者攻撃に対する保護に役立ちます。
ケルベロス認証の導入で得られるメリット
ケルベロス認証は、ネットワークのセキュリティおよび管理において、どのようなメリットがあるでしょうか。以下の表をご覧ください。
メリット | 概要 |
|---|---|
相互運用性 | Windows/Unix/Linuxなど多様な環境で利用できるオープン標準プロトコル。 |
相互認証 | クライアントとサーバー双方を認証し、中間者攻撃のリスクを低減。 |
拡張性 | 大規模ネットワークでも多数のユーザー・サービスに対応可能。 |
シングルサインオン(SSO) | 1回のログインで複数サービスにアクセス可能。パスワード管理負荷とリスクを軽減。 |
強力な暗号化 | 対称鍵暗号により通信と認証を保護し、盗聴・改ざんのリスクを低減。 |
それぞれ解説します。
相互運用性
ケルベロスはオープン標準プロトコルとして、Windows、Unix、Linuxなど、さまざまなシステムやプラットフォームをサポートする相互運用性の高いソリューションです。
相互認証
ケルベロスは、クライアントとサーバーが互いのIDを検証する相互認証を提供します。これにより、攻撃者がサーバーやクライアントになりすまして通信内容を傍受する中間者攻撃(MITM)のリスクが低減されます。ケルベロスでは両者の認証が必須となるため、MITM攻撃を防止できます。
拡張性
インフラが規模に応じて更新される場合、ケルベロスは多数のユーザーやサービスを対象とする大規模ネットワークにおける認証リクエストに対応できるよう拡張できます。
シングル サイン オン(SSO)機能
ケルベロスはシングル サイン オン(SSO)をサポートしており、ユーザーは一度の認証で、再ログインを求められることなく複数のサービスにアクセスできます。加えて、複数のパスワード管理を不要にすることで、高いセキュリティ水準の維持にも貢献します。これにより、パスワード疲労を防ぎ、パスワード過多による不適切な運用のリスクを低減します。
強力な暗号化
ケルベロスは対称鍵暗号を使用して、認証プロセス自体を含むクライアントとサーバー間のデータ交換を保護します。暗号化に使用されるキーはネットワーク上で送信されることがなく、これにより傍受の可能性が低減され、通信中の盗聴やデータ改ざんから保護されます。
ケルベロス認証で克服すべき技術的な課題
ケルベロス認証には多くの利点がありますが、導入およびオペレーションにおいていくつかの課題も存在します。これらの課題は、プロトコルの設計、オペレーション要件、および環境要因に起因しています。
ケルベロス認証に関して一般的に挙げられる課題を表で整理しました。
課題 | 概要 |
|---|---|
複雑さと管理負荷 | 導入・設定・運用に専門知識が必要。キー管理やKDC保守が複雑で、管理不足は脆弱性を招く。 |
ドメイン間認証 | 異なるレルム間の設定やキー共有が手作業で複雑。複数ドメイン環境で運用が難しい。 |
相互運用性・互換性の制約 | すべてのプロトコルがケルベロス対応ではなく、異種環境との統合や非ネイティブサービス連携が困難。 |
ケルベロスチケット有効期限の制限 | チケット更新が必要。長時間アプリや長期セッションで期限切れが問題になる場合がある。 |
パスワードベースの攻撃リスク | キー配布センターに対してパスワード総当たり攻撃が可能。弱いパスワードは認証チケットの奪取につながる。 |
拡張性の問題 | キー配布センター集中型のため認証要求増加でボトルネック化しやすい。スケールには追加インフラと計画が必要。 |
単一障害点 | キー配布センター障害で認証が全停止し、全サービスアクセスが中断するリスクがある。 |
時刻同期への依存 | 時刻差が大きいと認証失敗。全エンティティ間で厳密な時刻同期が必要。 |
それぞれ解説します。
複雑さと管理上の負荷
ケルベロスプロトコルの複雑さは、大きな障壁となる可能性があります。ケルベロスシステムの構築と管理には、プロトコルに対する深い理解、慎重な設定、および継続的な運用管理が必要です。これには専門的な知識とリソースが求められるため、小規模な組織にとっては課題となる場合があります。
管理者は、キーの管理、サービスの正確な設定、およびKDCの継続的な保守を行う必要があります。これらの管理が不十分な場合、エラーや脆弱性が発生し、セキュリティが損なわれる可能性があります。加えて、各ネットワーク サービスには、それぞれ専用のケルベロスキーのセットが必要です。
ドメイン間認証の複雑さ
ケルベロスはもともと単一ドメイン内での利用を前提に設計されているため、異なる管理ドメイン間でのドメイン間認証やレルム間認証の設定や管理は複雑になりがちです。これには、異なるレルム間の関係を確立・維持する作業を手作業で行う必要があります。さらに、一方のKDCのキーをもう一方のKDCと共有する必要があります。
相互運用性および互換性の制約
すべてのプロトコルがケルベロス認証をサポートしているわけではないため、多様なサービスやプロトコルが混在する異種混在ネットワーク環境では、その利用が制約される場合があります。ケルベロスを多様なシステムやアプリケーションと統合する際、特にケルベロスをネイティブにサポートしていないものとの統合は困難になることがあり、追加の作業や、場合によってはカスタム ソリューションを必要とします。
ケルベロスチケットの制限
ケルベロスチケットには有効期限があります。その結果、チケットの有効期限切れにより、長時間実行されるアプリケーションや、チケットの有効期間を超えるセッションで問題が発生する場合があります。ユーザー セッションを中断させずにチケットを更新することは困難な場合があります。
パスワードベースの攻撃リスク
ブルート フォース アタック(パスワード総当たり攻撃)は、ドメイン接続ではなくKDCへの接続のみで実行できるため、ケルベロスに対して悪用される可能性があります。攻撃者は、ワード リストを用いて認証要求を繰り返し送信し、推測しやすいパスワードを試行することで、認証チケット(Ticket Granting Ticket、以下TGT)を取得し、ユーザーになりすますことが可能になります。
拡張性の問題
ケルベロスは拡張性のある設計ですが、集中管理型のKDCに依存しているため、認証要求の件数が増加するとボトルネックが生じる可能性があります。拡張をサポートするためには、追加インフラの導入に向けた慎重な計画と監督が必要となります。
単一障害点
KDCはケルベロス認証モデルにおける中央認証機関として機能するため、KDCに障害が発生した場合や侵害を受けた場合(ハードウェア障害、ネットワーク障害、またはサイバー攻撃など)、認証プロセス全体が停止します。これにより、ケルベロスに依存して認証を行うすべてのサービスへのアクセスが中断される可能性があります。
時刻同期への依存
ケルベロスは、リプレイ攻撃を防止するためにタイム スタンプを使用します(リプレイ攻撃とは、攻撃者が正規の通信データを再送信して正規ユーザーになりすます攻撃です)。この攻撃を防ぐには、ケルベロスシステム内のすべてのエンティティ間で時刻同期を確立する必要があります。同期に失敗すると、認証が失敗する原因となります。クライアント マシンとサーバー間のローカル システム時刻の差が5分(デフォルト値)を超えると、クライアント マシンは認証できなくなります。
ただし、このような時刻同期は、大規模な分散ネットワーク全体で維持することが難しい場合があります。特に、クロックの精度や安定性が環境ごとに異なる場合には、その難易度が高まります。
実際にどう動く?ケルベロス認証の一連の流れ
ケルベロスプロトコルのフローで使用される主な構成要素は、対称鍵暗号方式とKDCです。KDCには、次の3つの主要要素があります。
- 認証サーバー(AS)—ユーザーがサービスへのアクセスを要求した際の初期認証を処理し、チケットを発行
- チケット発行サーバー(TGS)—認証済みクライアントを受け入れ、要求されたサービス サーバー(SS)にユーザーを接続
- ケルベロスデータベース—検証済みのすべてのユーザーの識別子を格納
なお、KDCによって発行されるすべてのチケットには有効期限があります。
ケルベロスプロトコルのフローは、クライアント、サーバー、およびKDC間の一連のやり取りによって機能します。各セッションでは、暗号化されたチケット(つまりセッション キー)が生成され、要求元ユーザーのデバイスに保存されます。要求されたサービスは、パスワードを使用する代わりに、この情報を用いて要求者を認証します。
ケルベロスプロトコルのフローは、おおよそ4つのステップで構成されます。このフローにより、ユーザーのパスワードがネットワーク上で送信されることがなくなり、傍受のリスクから保護されます。
1. ケルベロス初期認証サービス要求
ユーザーはログイン試行を開始し、ケルベロス認証サービス要求メッセージを使用して、KDCの認証サーバー(AS)に認証を要求します。この要求には、ユーザー プリンシパル名(UPN)(すなわちユーザーのID)が含まれますが、パスワードは含まれません。また、チケットの有効期間とその有効期限の情報も含まれます。この情報はユーザーのパスワード ハッシュを用いて暗号化され、ASはTGTを生成します。
2. ケルベロス TGTの発行
ASがサービス要求を受信すると、KDCはユーザーのパスワード ハッシュを使用してメッセージの復号を試みます。メッセージの復号に成功し、かつタイム スタンプが有効期限内である場合、ASはセッション キーとTGTを生成し、後に続く要求の暗号化に使用するためクライアントに送信します。
TGTには、クライアントのID、ネットワーク アドレス、および有効期間が含まれます。ユーザーのシステムはパスワードを使用してセッション キーを復号しますが、TGT自体はTGSのシークレット キーで暗号化されています。
3. ケルベロスサービス チケット要求
その後、クライアントはTGSに対して要求を送信します。この要求には、以前に受信した暗号化済みのTGTと、セッション キーで暗号化されたサービス要求が含まれます。サービスは自身のシークレット キーを使用してチケットを復号し、その有効性を検証しようとします。サーバーがサービス チケットの復号と要求の認証に成功した場合、クライアントのIDを確認し、アクセスを許可します。
4. ケルベロスサービス アクセス
認証が完了すると、クライアントはサービス チケットをサーバーに提示します。サーバーがサービス チケットの復号に成功した場合、クライアントにアクセスを許可します。
知っておきたいケルベロス認証の脆弱ポイント
他のセキュリティ対策と同様に、ケルベロス認証も侵害を完全に防げるわけではありません。 ケルベロス認証が侵害される可能性のある状況には、以下のようなものがあります。
脅威名 | 想定される影響 |
|---|---|
KDCの侵害 | ネットワーク全体の無制限アクセス、全システムの完全な掌握につながる。 |
ゴールデン チケット攻撃 | レルム全体への永続的・不可視のアクセスを攻撃者が獲得。 |
シルバー チケット攻撃 | 侵害されたサービスに対して任意ユーザーになりすまし、認証を回避してアクセス可能。 |
パス ザ チケット攻撃 | チケットの有効期間中、攻撃者が正規ユーザーとして自由にアクセス可能。 |
内部脅威 | 外部防御を無効化し、重要サービスへの直接アクセスが可能となる。 |
中間者攻撃 | 認証情報の盗聴・改ざん、セッション乗っ取りのリスク。 |
パスワード推測攻撃 | 攻撃者が正規ユーザーとしてKDCからTGTを取得し、不正アクセス可能。 |
リプレイ攻撃 | チケットの再利用による不正認証・不正アクセス。 |
以下、それぞれ解説します。
KDCの侵害
KDCはケルベロス認証プロセスの中核を担うため、侵害されると、攻撃者はレルム(ドメイン)内に存在する任意のユーザーに対し、任意のサービス向けに正規のチケットを発行できるようになります。これにより、攻撃者はネットワーク全体に対して無制限のアクセス権限を取得する可能性があります。
ゴールデン チケット攻撃
ゴールデン チケット攻撃では、攻撃者がレルム(ドメイン)におけるKDCの秘密鍵を不正に入手します。これにより、攻撃者は任意のユーザーとして任意のサービスに対して無制限のアクセス権限を付与するTGTを生成できるようになります。
これらのチケットは、有効期間を長期間に設定できるため、広範かつ永続的なアクセスを提供します。また、ゴールデン チケットは正規のチケットと判別できないため、検知は非常に困難です。
シルバー チケット攻撃
ゴールデン チケット攻撃と同様、シルバー チケット攻撃はより小規模に実行されます。シルバー チケット攻撃では、攻撃者が標的としたサービスの秘密鍵を不正に入手し、そのサービス向けの有効なサービス チケットを作成できるようになります。
シルバー チケットはゴールデン チケットほど広範なアクセスは提供しませんが、攻撃者が侵害されたサービスに属する任意のユーザーになりすまし、通常の認証チェックを回避することを可能にします。ゴールデン チケットと同様、通信にKDCが関与しないため、シルバー チケットは検知されないままになる可能性があります。
パス ザ チケット攻撃
パス ザ チケット攻撃では、攻撃者が有効なTGTを窃取し、それを悪用して正規のユーザーになりすまし、サービスに不正アクセスします。ケルベロス認証は対話型のパスワード交換ではなくチケットに基づいているため、有効なチケットを入手した攻撃者は妨げられることなくそれを使用できます。この種の攻撃は、ケルベロスチケット システムにおける信頼関係を悪用するものであり、チケットの有効期間が長い場合やチケットの更新が有効になっている場合に攻撃が成立しやすくなります。
内部脅威
内部関係者(例:従業員、契約社員、または内部ネットワークにアクセスできる人物)が、ケルベロス認証インフラの機密性の高い領域(KDCを含む)への正当なアクセス権限を持つ場合、外部防御を回避し、機密情報を保持するサービスにアクセスできる可能性があります。
中間者攻撃
ケルベロスは相互認証を保証することで中間者(MITM)攻撃を防止するよう設計されていますが、特定の設定不備やネットワークの脆弱性により、攻撃者がクライアントとKDC間、またはクライアントとサービス サーバー間の通信を傍受できる可能性があります。
パスワード推測攻撃
ケルベロス認証でよく悪用される脆弱性の一因として、ユーザーが設定したパスワードの強度があります。初期認証ではユーザーのパスワードから生成される秘密鍵に依存するためです。
ユーザーが設定したパスワードの強度が弱い場合、攻撃者はブルート フォース攻撃または辞書攻撃を用いてパスワードの推測に成功します。検証済みのパスワードを入手すると、攻撃者はKDCからTGTを要求し、ユーザーになりすましてサービスに不正にアクセスできるようになります。
リプレイ攻撃
リプレイ攻撃は、ケルベロスが使用するタイム スタンプを悪用します。大部分のチケットは有効期間が短く設定されていますが、有効なチケットを入手した攻撃者は、許可された時間枠内でそれを再送し、不正アクセスを行います。
まとめ
ケルベロスは、セキュリティが十分でないネットワーク上でもセキュアな認証を提供するため、現代のネットワークで広く利用されています。
ケルベロスは広く利用されている一方で、制限もあります。ケルベロス認証のセキュリティを維持するには、ネットワーク上に分散した各要素間で時刻同期を確保することや、致命的な被害につながる可能性のある侵害からKDCを保護することなど、慎重な設定と管理が必要です。
ただし、組織は適切なリソースと専門知識を活用することで、こうした問題やその他の問題を軽減し、分散型ネットワーク環境におけるユーザーおよびサービスの認証フレームワークとしてケルベロス認証を活用できます。
