Blog

Kerberoasting maakt sterke wachtwoorden nog belangrijker

Geschreven door Jan-Willem Mentink | Feb 6, 2024 10:12:01 AM

“Heb je een sterk wachtwoord?” zit met “Heb je een herstart geprobeerd?” in het repertoire van iedere support-medewerker. Daar is een reden voor. Solide beveiliging vereist sterke wachtwoorden. Maak jij nog geen gebruik van ijzersterke wachtwoorden? Dan is de stijgende populariteit van de digitale aanvalsmethode Kerberoasting het zetje dat je nodig hebt.

Kerberos en Active Directory

Het beveiligingsprotocol Kerberos bestaat al heel lang en wordt door allerlei diensten en bedrijven gebruikt. Helaas zit er in de Kerberos-implementatie in Active Directory van Microsoft een zwakke plek. Als iemand toegang heeft tot Active Directory (bijvoorbeeld met gestolen logingegevens), dan kan die persoon vanuit die account potentieel heel veel schade aanrichten, zelfs als de gestolen account niet veel rechten heeft. En dat is precies waar we je in deze blog voor willen waarschuwen. 

Wat doet Kerberos?

In een ouderwets beveiligd netwerk (zonder Kerberos), logde je in door je gebruikersnaam en wachtwoord naar de server te sturen. De server controleerde deze combinatie en zette als alles klopte de (netwerk-)poort open. Dat kan veiliger met Kerberos. Kerberos voegt namelijk een extra server aan het proces toe. Naast jouw laptop en de server waar je toegang toe zoekt, is er een server waar Kerberos op draait. Je stuurt jouw inlogverzoek niet naar je bestemming, maar naar Kerberos. Dit systeem controleert jouw wachtwoord en gebruikersnaam. Komt deze combinatie overeen met de lijst? Dan krijgt jouw laptop een ‘toegangskaart tot een toegangskaart’ ofwel een Ticket Granting Ticket (TGT).  

Van ‘toegangskaart tot een toegangskaart’ naar een ‘service ticket’ 

Je bent er dan nog niet. Jouw systeem stuurt die toegangskaart terug naar een ander deel van Kerberos. Dat controleert jouw toegangskaart en kijkt of jouw gebruikersnaam en netwerkadres nog steeds hetzelfde zijn. Kloppen alle gegevens? Dan krijg je een toegangskaart voor de dienst op de server waar je eigenlijk heen wilt. Deze ‘service ticket gaat terug naar jouw laptop en wordt vanaf daar naar de server waar je eigenlijk heen wilt gestuurd. Die controleert de service ticket en geeft je vervolgens toegang.  

Lastig in proces - makkelijk in gebruik

Zo ingewikkeld als het klinkt, zo weinig merk je van Kerberos. Het hele proces ziet er vanachter het toetsenbord uit als een klik op de knop ‘inloggen’. Achter de schermen doen computers al het werk. Dankzij Kerberos hoeven de servers met de diensten jouw inloggegevens niet te hebben om je toegang te geven. Ze controleren alleen of Kerberos het goed vindt. Dat maakt het mogelijk om met één login verschillende dingen te doen.  

Het probleem: Kerberoasting

Active Directory werkt met verschillende soorten accounts. Niet alleen gebruikers (je medewerkers) maar ook diensten (bijvoorbeeld databases) hebben een eigen account. Accounts van diensten krijgen van Active Directory een zogenaamde Service Principal Name (SPN). Iemand met toegang tot het domein kan netwerkgereedschappen gebruiken om SPN-accounts te zoeken en in kaart te brengen. Vervolgens is met ander gereedschap een service ticket van zo’n account af te vangen. Uit dat ticket kan kraaksoftware het wachtwoord halen. Gewapend met het wachtwoord van een SPN-account kan een inbreker inloggen en (onder meer) gevoelige informatie uit jouw systemen halen.  

Kun je Kerberoasting voorkomen? 

Het gevaar van Kerberoasting zit in de (relatieve) subtiliteit. Een login in het netwerk en de aanvraag van tickets vallen op een druk netwerk niet op. De aanvaller haalt offline (en daarom voor jouw netwerkmonitoring niet zichtbaar) het wachtwoord uit een ticket. Zodra de aanvaller het wachtwoord van een SPN-account heeft, lijkt de login die daarop volgt legitiem waardoor ook dit moeilijk te detecteren is.  

Beveiligingsdiscipline 

Met goed wachtwoordbeheer is het risico op Kerberoasting relatief eenvoudig te verlagen. Goede beveiligingsdiscipline bij je medewerkers is de eerste verdedigingslinie. Als een aanvaller niet kan inloggen met een gestolen account, zijn er ook geen SPN-tickets op te vragen. Zorg daarom dat medewerkers met sterke wachtwoorden werken, en zet MFA (Multifactor Authentication) in als extra beveiliging. Met MFA moet er naast een wachtwoord ook een extra code (bijvoorbeeld via een app op de telefoon) gegeven worden waardoor een verloren wachtwoord niet automatisch toegang tot systemen aan derden geeft. Laat IT met een centraal beheertool gebruikersaccounts monitoren om (onder meer) het wachtwoordbeleid te handhaven. 

Sterke wachtwoorden maken je domein veiliger

Als SPN-accounts voorzien zijn van een sterk wachtwoord, gaat het risico op Kerberoasting verder omlaag. Om een wachtwoord te achterhalen, moet de indringer de gestolen ticket kraken. Hoe complexer het wachtwoord, hoe langer dat duurt. Om een idee te geven: met moderne hardware is een wachtwoord dat uit 8 getallen bestaat instant te kraken. Gebruik je 8 karakters (een mix van getallen, hoofletters, kleine letters en symbolen), dan kost het kraken van het wachtwoord gemiddeld 3 uur. Ga je voor 16 karakters met alleen cijfers, dan schiet de rekentijd omhoog naar 16 uur. Een mix van 16 karakters kraken, kost de gemiddelde computer ongeveer 3 biljoen jaar. Geef SPN-accounts daarom sterke wachtwoorden en verander die op gezette tijden (bijvoorbeeld om de 30 dagen).

Netwerkmonitoring

Regelmatige controle van je netwerk draagt bij aan een veilige digitale omgeving. Hier zijn uitstekende tools voor. Zet beheergereedschap in om oude accounts veilig te verwijderen en overbodige diensten uit te schakelen. Gebruik als het even kan ook tools om netwerkactiviteit te monitoren. Gebeurt er iets raars, dan slaat het systeem alarm en kun je actie nemen. Mocht er sprake van een inbraak zijn, dan kun je met monitoring in ieder geval zien wat er gebeurd is en heb je een goede kans om lekken te dichten (en aan de AVG te voldoen). 

Goede beveiliging volgt uit een zorgvuldige afweging van risico’s tegen kosten. Daar helpen we je graag bij. Fivespark adviseert over de inzet en uitvoering van een wachtwoordbeleid, monitoring van je netwerk én andere beveiliging van jouw digitale infrastructuur. Daarnaast leveren wij betrouwbare devices, uitstekende services én een prachtige digitale werkplek. Ben je benieuwd hoe wij jouw dataveiligheid kunnen verbeteren?

Plan een adviesgesprek in met onze security experts. We staan voor je klaar.

Lees verder over Security