Kerberos İletişim Protokolü

Kerberos, bilgisayar ağlarında kimlik doğrulama (authentication) amacıyla kullanılan bir kriptografik protokoldür. Protokol, kullanıcıların veya servislerin birbirlerinin kimliğini güvenli bir şekilde doğrulamasını sağlar. Geliştirilme amacı, güvenilmeyen bir ağ ortamında şifrelerin veya kimlik bilgilerinin üçüncü taraflarca ele geçirilmesini önlemektir.

Kerberos, 1980’li yıllarda Massachusetts Institute of Technology (MIT) bünyesindeki Project Athena kapsamında geliştirilmiştir. MIT, çok kullanıcılı dağıtık sistemlerde merkezi kimlik doğrulama sağlamak için bu protokolü tasarlamıştır. C dilinde yazılmıştır. İlk sürümü olan Kerberos V4, kısıtlı güvenlik özellikleri nedeniyle zamanla yerini daha gelişmiş olan Kerberos V5 sürümüne bırakmıştır. Kerberos V5, 2005 yılında Internet Engineering Task Force (IETF) tarafından yayımlanan RFC 4120 ile tanımlanmıştır (IETF, 2005).

Kerberos ismi, Antik Yunan mitolojisindeki üç başlı köpek Cerberus'tan (Yunanca: Κέρβερος) esinlenerek verilmiştir. Cerberus, yeraltı dünyasının kapılarını koruyan ve ölülerin dışarı çıkmasını engelleyen bekçi köpektir. MIT’de Kerberos protokolü geliştirilirken, bu mitolojik figür sembolik olarak yetkisiz erişimleri engelleyen ve güvenli geçişi kontrol eden bir bekçi rolünü temsil ettiği için tercih edilmiştir.

Çalışma Prensibi

Kerberos, simetrik anahtar kriptografisi kullanır ve üç ana bileşen üzerinde çalışır:

1. Client (İstemci): Sisteme kimliğini kanıtlamak isteyen kullanıcı veya servis.
2. KDC (Key Distribution Center): Kimlik doğrulama ve servis erişimi için bilet üreten merkezi sunucudur; AS (Authentication Server) ve (TGS Ticket Granting Server) olmak üzere iki bileşenden oluşur.
3. Application Server: İstemcinin erişmek istediği hizmeti sağlayan sunucu.

Süreç şu şekilde işler:

1. Kullanıcı, kullanıcı adı ile AS’ye kimlik doğrulama talebinde bulunur.
2. AS, kullanıcının şifresinden türetilmiş bir anahtar ile şifrelenmiş bir TGT ve oturum anahtarı gönderir.
3. Kullanıcı, bu TGT’yi TGS’ye sunarak erişmek istediği servis için bilet talep eder.
4. TGS, erişim bileti ile birlikte oturum anahtarı gönderir.
5. Kullanıcı, bu bilet ile hedef servise kimliğini kanıtlar ve bağlantı kurar.

Bu sistemde kimlik bilgileri her servis isteğinde iletilmez; bunun yerine bilet yapısı kullanılır.

Protokol İşleyişi

• AS_REQ: İstemci, Kimlik Doğrulama Sunucusu'na (AS) kimlik doğrulama isteği gönderir.
• AS_REP: AS, istemciye bir Ticket Granting Ticket (TGT) ve bir oturum anahtarı gönderir.
• TGS_REQ: İstemci, TGT'yi kullanarak Ticket Granting Server'dan (TGS) belirli bir hizmet için bilet talep eder.
• TGS_REP: TGS, istemciye hizmet bileti ve yeni bir oturum anahtarı gönderir.
• AP_REQ: İstemci, hizmet bileti ve authenticator ile hizmet sunucusuna erişim talebinde bulunur. kerberos.org
• AP_REP: (İsteğe bağlı) Hizmet sunucusu, istemciye kimliğini doğruladığını belirten bir yanıt gönderir.

Kerberos protokolünde, kimlik doğrulama sürecinde kullanılan biletler; başlangıçta alınan initial tickets, süreleri uzatılabilen renewable tickets ve başka sistemlere aktarılabilen forwardable tickets olmak üzere üç ana kategoriye ayrılır.

Kerberos protokolü, güvenliği büyük ölçüde timestamp (zaman damgası) kullanımına dayandırır. Bu nedenle istemci ve sunucular arasında saat farkı genellikle 5 dakikadan fazla olmamalıdır. Bu gereklilik, Network Time Protocol (NTP) gibi senkronizasyon mekanizmalarının kullanılmasını zorunlu kılar.

Güvenlik Özellikleri

• Parola açık olarak ağda taşınmaz.
• Tekrar saldırılarına (replay attacks) karşı zaman damgaları ile korunur.
• Kimlik gizliliği bilet ve şifreli iletişim sayesinde sağlanır.
• Yetkilendirme yalnızca kimliği doğrulanmış kullanıcılara yapılır.

Kullanım Alanları ve Uygulamalar

Kerberos, başta Windows Active Directory altyapısı olmak üzere birçok işletim sistemi ve ağ hizmeti tarafından desteklenmektedir. Microsoft, Windows 2000’den itibaren Active Directory yapısında Kerberos V5’i kimlik doğrulama protokolü olarak kullanmaktadır. Linux ve Unix tabanlı sistemlerde de MIT Kerberos, Heimdal gibi açık kaynak uygulamalarla yaygın olarak kullanılmaktadır. Ayrıca Kerberos, GSS-API (Generic Security Services Application Program Interface) üzerinden güvenli ağ uygulamaları geliştirmek için de kullanılabilir.

Kerberos protokolü, merkezi kimlik doğrulama yönetimi ve tek seferlik oturum açma (SSO) gibi özellikleri sayesinde kullanıcıların farklı servislerde şifre girmeden güvenli şekilde oturum açmasını sağlar ve simetrik anahtar kriptografisine dayalı bir güvenlik altyapısı kullanır. Ancak bu sistemin doğru çalışabilmesi için istemci ve sunucular arasında sıkı bir saat senkronizasyonu gereklidir; bu durum kimlik doğrulama işlemlerinin başarısız olmasına neden olabilir. Ayrıca, Kerberos’un merkezinde yer alan Key Distribution Center (KDC) hizmet dışı kalırsa sistem genelinde kimlik doğrulama mümkün olmaz. Bununla birlikte yalnızca simetrik şifreleme kullanıldığı için anahtar yönetiminin dikkatli ve güvenli bir şekilde yapılması zorunludur.