CyberGlossary

Identidad y acceso

Kerberos

También conocido como: Protocolo Kerberos

Definición

Protocolo de autenticación de red basado en tickets que utiliza criptografía simétrica y un Centro de Distribución de Claves de confianza para ofrecer inicio de sesión único seguro.

Kerberos se desarrolló en el MIT y se estandarizó en el RFC 4120. El cliente se autentica ante el Centro de Distribución de Claves (KDC), que emite un Ticket-Granting Ticket (TGT). Con ese TGT, el cliente solicita tickets de servicio para cada servidor concreto, evitando reenviar la contraseña. Los tickets están limitados en el tiempo y cifrados con claves compartidas, lo que aporta autenticación mutua y resistencia frente a repetición. Kerberos sustenta la autenticación en Active Directory, muchos reinos Linux/Unix y despliegues Hadoop. Tiene puntos débiles conocidos: ataques contra contraseñas débiles de cuentas de servicio (Kerberoasting), tickets falsificados (Golden/Silver Ticket) y problemas por desfases de reloj; las defensas modernas combinan secretos fuertes en cuentas de servicio, cifrado sólo AES y delegación restringida.

Ejemplos

  • Un usuario de Active Directory recibe un TGT del controlador de dominio Windows y luego un ticket de servicio para acceder a SharePoint.
  • Hadoop usando Kerberos para autenticar la comunicación entre NameNode y DataNode.

Términos relacionados