الفرق بين نظام Kerberos وبروتوكول NTLM في الشبكات

يعتمد كل من بروتوكولي “NTLM” و”Kerberos” على إستراتيجية المفتاح المتماثل وكلاهما يعتبران أنظمة مصادقة قوية وذات صلة، وقد يبدو الاثنان متشابهين إلى حد كبير مع المستخدمين المبتدئين ومع ذلك فإنّ الفرق بين الاثنين واضح تماماً، و”NTLM” هو بروتوكول مصادقة قائم على التحدي يستخدم في نماذج “Windows” الأقدم، بينما “Kerberos” هو بروتوكول مصادقة قائم على التذاكر.

ما هو نظام Kerberos

نظام “Kerberos”: هو نظام مصادقة لإنشاء بطاقة يستخدم لتأكيد معلومات المستخدم أثناء تسجيل الدخول إلى النظام، ويعتمد على توحيد تشفير المفاتيح وهي تعتمد على الطرف الثالث المتسق وتؤدي على ترميز المفتاح الخاص أثناء مرحلة التأكيد.

أساسيات نظام Kerberos

تم تقديم إصدارات مختلفة من “Kerberos” لتكثيف الأمان في المصادقة، ويتم تنفيذ Kerberos” بشكل عام في منتجات “Microsoft”، مثل “Windows 2000″ و”Windows XP” والإصدارات الأحدث من “Windows”، وتم لقد تم قبوله باعتباره بروتوكول المصادقة القياسي لجميع أجهزة الكمبيوتر مباشرةً من طراز “Windows 2000” إلى الطرز الأخرى الأكثر حداثة، ويتضمن “Kerberos” العديد من المواصفات الهائلة مثل المصادقة المتبادلة وتسجيل دخول البطاقة الذكية.

وضمان أمان بروتوكول “Kerberos” لا مثيل له، حيث يستخدم طرفاً ثالثاً لمصادقة عمليات تسجيل الدخول، وهذا يضمن سلامة معززة ويقلل من ضعف البيانات السرية مون خلال العمل من خلال مراكز البيانات المركزية يضمن “Kerberos” مزيداً من الاستقرار والأمان.

• “NTLM” هي اختصار لـ “New Technology LAN Manager”.

ما هو بروتوكول NTLM

بروتوكول “NTLM”: هو عبارة عن مجموعة من بروتوكولات الأمان التي تقدمها “Microsoft” لهوية المستخدم الأصلية، وتأمين سلامة وصمت نشاطهم و”NTLM” هو جهاز تسجيل دخول واحد “SSO” يعتمد على بروتوكول رد فعل التحدي، ولدعم المستخدمين دون رغبتهم في تقديم كلمة مرور.

1- أساسيات بروتوكول NTLM

على الرغم من القابلية للتأثر لا يزال “NTLM” راسخاً على نطاق واسع وهذا أيضاً على الأنظمة الجديدة لإدارة التشابه مع عملاء وخوادم العقارات، ومع ذلك يدعم “Microsoft” حالياً “NTLM” ويحل “Kerberos” محل “NTLM” كبروتوكول التأكيد الافتراضي في نظام التشغيل “Windows 2000”.

وبعد بدء عملية المصادقة من قبل العميل تبدأ مصافحة ثلاثية بين العميل والخادم، كما تبدأ العملية بإرسال العميل رسالة تحدد اسم حسابه وإمكانيات التشفير، وبالتالي يستجيب الخادم بـ “64 بت” من “nonce”، وهذا الرد يسمى التحدي ويتكون رد العميل من هذه القيمة وكلمة المرور الخاصة به.

الأمان الذي توفره “NTLM” أقل شأناً من الأمان الذي توفره الإصدارات الأحدث من بروتوكولات المصادقة الأخرى، حيث لا يستخدم بروتوكول المصادقة هذا إجراء ثلاثي الأطراف ونتيجةً لذلك يعتبر أقل أماناً وعلاوة على ذلك لا يتم تسهيل عمليات تسجيل الدخول إلى البطاقة الذكية، والمصادقة المتبادلة والتفويض وما إلى ذلك بواسطة هذا البروتوكول القديم.

• “SSO” هي اختصار لـ “Single sign on”.

2- بروتوكول مصادقة NTLM

• يعرّف “NEGOTIATE_MESSAGE” رسالة مفاوضة “NTLM” التي يتم إرسالها من العميل إلى الخادم، وتسمح هذه الرسالة للعميل بتحديد خيارات “NTLM” المدعومة إلى الخادم.

• يحدد “CHALLENGE_MESSAGE” رسالة تحدي “NTLM” التي يتم إرسالها من الخادم إلى العميل ويستخدمها الخادم لتحدي العميل لإثبات هويته.

• يعرّف “AUTHENTICATE_MESSAGE” رسالة مصادقة “NTLM” التي يتم إرسالها من العميل إلى الخادم بعد معالجة “CHALLENGE_MESSAGE” بواسطة العميل.

الفرق بين نظام Kerberos وبروتوكول NTLM

الفرق في عمل برتوكول NTLM ونظام Kerberos

يتمثل الاختلاف بين “NTLM” و”Kerberos” في أنّ الأول هو بروتوكول مصادقة قائم على الاستجابة للتحدي بينما الأخير عبارة عن بروتوكول مصادقة قائم على التذاكر، كما يشير “NTLM” إلى بروتوكول المصادقة الذي تستخدمه طرز “Windows” الأقدم التي ليست أعضاء في مجال “Active Directory” بينما “Kerberos” هو أساساً بروتوكول مصادقة قائم على التذاكر، ويُستخدم في طرازات “Windows” الأحدث التي هي أعضاء في مجال “Active Directory”.

يتمثل الاختلاف الرئيسي بين “NTLM” و”Kerberos” في أنّ “NTLM” عبارة عن بروتوكول مصادقة “Microsoft” قائم على التحدي، والاستجابة يتم استخدامه في نماذج “Windows” الأقدم التي ليست أعضاء في مجال “Active Directory”، بينما “Kerberos” هو بروتوكول مصادقة قائم على بطاقة مستخدمة في الإصدار الأحدث المتغيرات من طراز “Windows”.

يدعم “Kerberos” تسجيل الدخول إلى البطاقة الذكية من خلال بروتوكول المصادقة الثنائي، كما لا يدعم “NTLM” تسجيل دخول البطاقة الذكية، ومن حيث الأمان يتمتع “Kerberos” بميزة على “NTLM” و”NTLM” أقل أماناً نسبياً من “Kerberos”، وميزة المصادقة المتبادلة متاحة مع “Kerberos” وعلى العكس من ذلك لا تقدم “NTLM” للمستخدم ميزة المصادقة المتبادلة هذه.

بينما يدعم “Kerberos” كلاً من التفويض وانتحال الهوية ويدعم “NTLM” فقط الانتحال، حيث تتضمن عملية المصادقة بموجب بروتوكول “NTLM” العميل والخادم، ومع ذلك بموجب بروتوكول “Kerberos” يكون الطرف الثالث الموثوق به مطلعاً على عملية المصادقة.

تستخدم طرازات “Windows” السابقة بروتوكول “NTLM” ويتضمن ذلك إصدارات مثل “Windows 95″ و”Windows 98″ و”NT 4.0” وما إلى ذلك، وبروتوكول “Kerberos” مثبت مسبقاً على الطرز الأحدث مثل “Microsoft Windows 2000″ و”XP” وأحدث الطرز الأخرى.

كما يُعد “NTLM” موضوعاً يتعلق بإمكانية الأمان المعروفة والمرتبطة بتجزئة كلمة المرور وتشويهها، حيث في بروتوكول “NTLM”، يتم تخزين كلمة المرور على الخادم ولا يتم تشويه جهاز المقاطعة ممّا يعني عدم إضافة سلسلة غير رسمية من الأحرف، وإلى كلمة المرور المجزأة للحفاظ عليها في المستقبل من تقنيات التقسيم.

وهذا يعني أنّ المتحدي الذي يمتلك تجزئة كلمة المرور لا يحتاج إلى كلمة المرور الأساسية لتأكيد الجلسة، كما يؤدي هذا إلى تعرض النظام لخطر هجمات قوة الوحش وهو عندما يبذل المهاجم جهداً لاختراق كلمة المرور عبر محاولات تسجيل دخول مختلفة، ومع ذلك إذا اختار المستخدم كلمة مرور ضعيفة فسيكون عرضة لمثل هذه الاستراتيجيات بسهولة.

كما يتفكك تشفير “HTML” للاستفادة من التقدم في الخوارزميات والتشفير ممّا يزيد بشكل ملحوظ من إمكانات الأمان، حيث يقترح الشركات أن تحاول الشركات تقليل استخدام “NTLM” في شبكتها قريباً ونظراً لوجود الكثير من المخاطر الأمنية، وبالنسبة للشركة التي لا تزال تعتمد على “NTLM” لغرض مماثل ويقدم المستخدم التوصية المحددة لزيادة الأمان وتقليل المخاطر.

للحصول على حماية كاملة من ضربة الترحيل “NTLM”، كما سيكون من الأفضل إذا سُمحت بتوقيع الخادم ووكالة حماية البيئة على جميع الخوادم المناسبة، وتأكد من أنّ أنظمتك مؤمنة تماماً من خلال تحديثات الأمان الأحدث من “Microsoft”.