Ogni misura di sicurezza e precauzione è dotato di una propria compromessi. Ad esempio, la distribuzione del sistema di autenticazione Kerberos sul server aggiungerà uno strato di protezione agli utenti non autorizzati l'accesso ai suoi file. Mettendo su questo strato di protezione con Kerberos, tuttavia, rende il vostro server più vulnerabile agli attacchi degli hacker tentando di impedire qualsiasi agli utenti di accedere al server.
Il servizio di distribuzione chiave Kerberos
Kerberos si basa l'autenticazione per una sessione sul dare un computer una chiave di autenticazione, che vi dà le autorizzazioni di accesso per l'account utente le cui credenziali fornite. Il componente di Kerberos che contiene le credenziali dell'account e fornisce una chiave per una sessione viene chiamato il centro distribuzione chiave (KDC). Questo è il componente di fronte pubblico di qualsiasi sistema di autenticazione di Kerberos e l'elemento che aumenta la vulnerabilità del server per determinati tipi di attacco da parte di hacker.
Attacco Denial of Service
Un attacco denial of service è un tentativo da parte di hacker per portare giù il server in modo che i visitatori legittimi non sarà in grado di accedervi. Attacchi DoS semplici possono assumere la forma di inondando il server con più richieste di rispetto può gestire, ma cercano di attacchi più sofisticati crash molto software in esecuzione sul server. Impantanando giù il server con un numero eccessivo di richieste può rallentare la velocità del server al punto dove è inutilizzabile dagli utenti regolari, ma schiantarsi software del tuo server impedirà a chiunque di accedere al server fino a quando non si rilanciare i componenti necessari.
Vettori di DoS di Kerberos
Gli hacker possono utilizzare debolezze documentate in 'Kerberos KDC per cercare e crash il servizio di autenticazione del server. Il KDC non consentire agli utenti cercando di accedere direttamente al sito di interagire con il software di autenticazione principale, ma ha di inoltrare le credenziali forniscono al software principale per autenticarlo. Gli hacker possono cercare di abbattere distribuzione Kerberos del tuo server, fornendo in particolare i dati delle credenziali non valido. Tali dati non validi possono causare un buffer overflow che andrà in crash Kerberos. Mentre gli hacker sono sempre sondaggio di nuovi modi per indurre un overflow del buffer, applicando tutte le patch di sicurezza dal tuo fornitore di software di Kerberos può darvi la migliore protezione disponibile da questi attacchi.
Vulnerabilità di OpenSSL
Molte implementazioni di Kerberos si integrano con OpenSSL toolkit per il trasferimento di dati crittografati tra computer client e il server. OpenSSL ha una propria serie di vulnerabilità che gli hacker possono utilizzare come vettori di attacco per far cadere Kerberos. Le patch di protezione dal fornitore di Kerberos non includerà necessariamente le patch di sicurezza di OpenSSL, quindi una versione completamente patchata di Kerberos potrebbe ancora essere vulnerabile agli attacchi DoS attraverso una versione patchata in modo incompleto di OpenSSL. Per eseguire il server più sicuro possibile, gli amministratori devono prendere su di sé per assicurarsi che hanno applicato tutte le patch necessarie per entrambi questi pacchetti software.