Salam əziz oxucular,
Bugünkü məqaləmizdə sizə kompüter şəbəkələrinin təhlükəsizlik dünyasında çox mühüm yerə sahib olan iki autentifikasiya protokolundan – NTLM və Kerberos-dan bəhs edəcəyik. Bu iki sistem, xüsusilə Windows əməliyyat sistemlərində istifadəçi identifikasiyası və giriş təhlükəsizliyi üçün istifadə olunur. Məqaləmizdə NTLM və Kerberos-un nə olduğunu, necə işlədiyini, fərqlərini və hansının daha güvənli olduğunu sadə və texniki olmayan dillə izah edəcəyik ki, həm mütəxəssislər, həm də bu sahəyə yeni başlayanlar rahat anlaya bilsin. Hazırsınızsa, başlayaq!
NTLM nədir?
NTLM (NT LAN Manager), Microsoft-un yaratdığı və Windows sistemlərində istifadə olunan köhnə autentifikasiya protokoludur. Bu protokol istifadəçi adı və şifrə əsaslı identifikasiya təmin edir. NTLM, istifadəçi şifrəsini heç vaxt birbaşa şəbəkə üzərindən ötürmür, əvəzinə şifrədən yaradılan hash-dən istifadə edir. NTLM Challenge-Response üsulu ilə işləyir: server istifadəçiyə sorğu (challenge) göndərir, istifadəçi isə cavab (response) göndərir. Bu cavab yalnız düzgün parolla yaradıla bilər. NTLM sistemləri domain kontroller olmadan işləyə bilər və “workgroup” şəbəkələrində dəstək verilir. Lakin, NTLM zəif təhlükəsizlik təklif etdiyinə görə müasir sistemlərdə əvəzlənmişdir. NTLM replay və brute-force hücumlarına qarşı zəifdir. NTLM v1 və v2 versiyaları mövcuddur, NTLMv2 daha güvənlidir. NTLM, Active Directory ilə uyğun işləyir, amma Kerberos qədər müasir deyil. Windows hələ də bəzi hallarda NTLM-i ehtiyat olaraq saxlayır. Təhlükəsizlik baxımından NTLM istifadə edilməməsi tövsiyə olunur.
Kerberos nədir?
Kerberos, MIT tərəfindən hazırlanmış və Windows domain mühitlərində geniş istifadə olunan müasir autentifikasiya protokoludur. Kerberos, qarşılıqlı identifikasiyanı dəstəkləyir: həm istifadəçi serveri, həm də server istifadəçini təsdiqləyir. Bu protokol biletlərlə işləyir – yəni istifadəçi öz kimliyini sübut etdikdən sonra “bilet” alır və bu biletlə sistemlərə daxil olur. Kerberos simmetrik şifrələmə və zaman möhürləri (timestamp) istifadə edərək təhlükəsizliyi təmin edir. Kerberos-un əsas komponentləri KDC (Key Distribution Center), TGS (Ticket Granting Server) və AS (Authentication Server)-dır. İstifadəçi əvvəlcə AS-dən TGT (Ticket Granting Ticket) alır, sonra TGS-dən xidmət üçün bilet tələb edir. Bu biletlər avtomatik şəkildə istifadə olunur, istifadəçidən hər dəfə şifrə istənmir. Kerberos şəbəkə üzərindən parol ötürmədiyi üçün daha təhlükəsizdir. Zaman sinxronizasiya vacibdir, çünki vaxt fərqi çox olarsa autentifikasiya alınmaz. Kerberos, Active Directory mühitlərində əsas autentifikasiya üsuludur. Müasir təşkilatlar üçün daha təhlükəsiz və effektiv metod hesab olunur.
NTLM və Kerberos arasındakı fərqlər
NTLM və Kerberos hər ikisi istifadəçi identifikasiyası üçün istifadə olunur, amma texniki işləmə və təhlükəsizlik baxımından ciddi fərqləri var. NTLM köhnə və daha zəif bir sistemdir, yalnız Challenge-Response metodu ilə işləyir. Kerberos isə biletlərə əsaslanan müasir və daha güclü bir mexanizmdir. NTLM istifadəçi məlumatlarını hash formasında ötürür, Kerberos isə biletlərlə işləyərək parolun şəbəkədə ötürülməsinin qarşısını alır. Kerberos qarşılıqlı autentifikasiya dəstəkləyir, NTLM isə yalnız istifadəçini təsdiqləyir. NTLM domain olmayan mühitlərdə də işləyə bilir, Kerberos yalnız domain əsaslı şəbəkələrdə işləyir. Kerberos daha sürətli və effektivdir, çünki istifadəçi bir dəfə giriş etdikdən sonra digər xidmətlərə daxil olmaq üçün təkrar şifrə daxil etməyə ehtiyac yoxdur. NTLM replay və brute-force hücumlara qarşı zəifdir, Kerberos isə zaman möhürləri və simmetrik şifrələmə ilə bu riskləri azaldır. Microsoft 2000 və sonrası sistemlərdə əsas olaraq Kerberos istifadə edir, NTLM isə ehtiyat metod kimi qalır. Təhlükəsizlik baxımından Kerberos daha üstün seçimdir.
