Πρακτική εφαρμογή και ανίχνευση επιθέσεων στο πρωτόκολλο Kerberos χρησιμοποιώντας SIEM

Abstract

Η παρούσα διπλωματική εργασία διερευνά την πρακτική εφαρμογή και ανίχνευση επιθέσεων έναντι του πρωτοκόλλου Kerberos, διεξάγοντας μια ολοκληρωμένη ανάλυση της δομής, της λειτουργίας και των τρωτών σημείων ασφαλείας του. Αρχίζοντας με την επισκόπηση του πρωτοκόλλου Kerberos, στη συνέχεια εμβαθύνουμε σε βασικά στοιχεία όπως το Key Distribution Center (KDC), τον Service Server (SS) και το Service Principle Name (SPN). Εξετάζουμε τους διάφορους τύπους Ticket που χρησιμοποιούνται στον έλεγχο ταυτότητας, συμπεριλαμβανομένων των Ticket Granting Ticket (TGT) και Service Ticket, καθώς και τη λεπτομερή διαδικασία των αιτημάτων ελέγχου ταυτότητας και των απαντήσεων (AS_REQ, TGS_REQ, TGS_REP, AP_REQ). Αναλύουμε γνωστές επιθέσεις στο πρωτόκολλο Kerberos, συμπεριλαμβανομένων των Kerberoasting, DCSync, Pass-the-Ticket, Golden και Silver Ticket, AS-REP-Roasting, απεικονίζοντάς τες, μέσω πρακτικών προσομοιώσεων σε ελεγχόμενο περιβάλλον. Επιπλέον, η διατριβή διερευνά τον αντίκτυπο αυτών των επιθέσεων στην ασφάλεια του Active Directory και τον ρόλο των συστημάτων Security Information and Event Management (SIEM) στον εντοπισμό και την αντιμετώπιση τέτοιων απειλών. Παρουσιάζονται στρατηγικές για την ενίσχυση της ανθεκτικότητας του Kerberos, προσφέροντας πληροφορίες για μέτρα ασφαλείας και αντίμετρα κατά της εκμετάλλευσης των ευπαθειών του πρωτοκόλλου. Τέλος, υπογραμμίζεται η σημασία των πρακτικών ασφαλείας για την προστασία των συστημάτων ελέγχου ταυτότητας που βασίζονται στο Kerberos στις σύγχρονες υποδομές.This master’s thesis investigates the practical application and detection of attacks against the Kerberos protocol, conducting a comprehensive analysis of its structure, functionality, and security vulnerabilities. Starting with an overview of the Kerberos protocol, the thesis delves into key components such as the Key Distribution Center (KDC), the Service Server (SS), and the Service Principal Name (SPN). We examine the various types of tickets used in authentication, including the Ticket Granting Ticket (TGT) and Service Ticket, as well as the detailed process of authentication requests and responses (AS_REQ, TGS_REQ, TGS_REP, AP_REQ). Known attacks on the Kerberos protocol, such as Kerberoasting, DCSync, Pass-the-Ticket, Golden Ticket, Silver Ticket, and AS-REP-Roasting, are analyzed and illustrated through practical simulations in a controlled environment. Additionally, the thesis explores the impact of these attacks on Active Directory security and the role of Security Information and Event Management (SIEM) systems in detecting and mitigating such threats. Strategies for enhancing Kerberos resilience are presented, offering insights into security measures and countermeasures against the exploitation of protocol vulnerabilities. Finally, we emphasize the importance of security practices in safeguarding Kerberos-based authentication systems in modern infrastructures is emphasized.