W uwierzytelnianiu Kerberos bilet przyznawania biletów (TGT) to token uwierzytelniania użytkownika wystawiany przez centrum dystrybucji kluczy (KDC). Służy do żądania tokenów dostępu z usługi przyznawania biletów (TGS) dla określonych zasobów/systemów przyłączonych do domeny.
Korzystanie z biletu TGT zostało zaprojektowane w protokole Kerberos, aby uniknąć częstego pytania użytkownika o hasło – hasła używanego przez Kerberos do uzyskania klucza głównego – lub przechowywania klucza głównego na stacji roboczej.
CO TO JEST KINIT?
Komenda kinit pyta użytkownika o hasło, pobiera z KDC wstępny bilet uprawniający do przyznania biletu dla użytkownika i buforuje go.
CO TO JEST KLUCZ SESJI PRZYZNAWANIA BILETÓW?
W Kerberos klucz sesji jest tymczasowym kluczem używanym do pojedynczej sesji logowania zamiast wielokrotnego żądania podania hasła od użytkownika, z którego można uzyskać jego klucz główny. Gdy użytkownik się loguje, żąda biletu do Centrum dystrybucji kluczy (KDC). KDC odpowiada, tworząc klucz sesji logowania i bilet do usługi przyznawania biletów (TGS). Jedna kopia klucza sesji logowania jest osadzona w bilecie, a bilet jest zaszyfrowany za pomocą klucza głównego KDC. Kolejna kopia klucza sesji logowania jest szyfrowana przy użyciu klucza głównego użytkownika pochodzącego z hasła logowania użytkownika. Zarówno bilet, jak i zaszyfrowany klucz sesji są wysyłane do klienta.
Gdy klient otrzymuje odpowiedź KDC, odszyfrowuje klucz sesji logowania za pomocą klucza głównego uzyskanego z hasła użytkownika. Klient nie potrzebuje już klucza uzyskanego z hasła użytkownika, ponieważ będzie teraz używał klucza sesji logowania do odszyfrowania swojej kopii dowolnego klucza sesji serwera, który otrzyma z KDC. Klient przechowuje klucz sesji logowania w swojej pamięci podręcznej biletów wraz z biletem do TGS.
CO TO JEST BILET W SIECI?
Bilet to forma tokena uwierzytelniania i autoryzacji.
DLACZEGO POTRZEBUJEMY SYSTEMU BILETOWEGO?
System biletowy to zasadniczo system kontroli dostępu, który wymaga od użytkowników uwierzytelnienia i weryfikacji autoryzacji przed dostarczeniem biletów. Inaczej zwanych tokenami dostępu.
JAK ZŁOTY BILET ŁĄCZY SIĘ Z TGT?
Atak Golden Ticket ma miejsce wtedy, gdy osoba atakująca ma pełny i nieograniczony dostęp do całej domeny. Czyli do wszystkich komputerów, plików, folderów i, co najważniejsze, do samego systemu kontroli dostępu.
Ataki Golden Ticket mogą być przeprowadzane przeciwko domenom Active Directory. Kontrola dostępu jest realizowana za pomocą biletów Kerberos wystawianych uwierzytelnionym użytkownikom przez usługę dystrybucji kluczy. Atakujący uzyskuje kontrolę nad kontem usługi dystrybucji kluczy domeny (konto KRBTGT), kradnąc jego skrót NTLM. Dzięki temu osoba atakująca może generować bilety przyznawania biletów (TGT) dla dowolnego konta w domenie Active Directory. A mając ważne bilety TGT, atakujący może zażądać od usługi przyznawania biletów (TGS) dostępu do dowolnego zasobu/systemu w swojej domenie.
Ponieważ atakujący kontroluje komponent systemu kontroli dostępu, który jest odpowiedzialny za wydawanie biletów przyznawania biletów (TGT), ma złoty bilet na dostęp do dowolnego zasobu w domenie.
