Active Directory | 인증 | NTLM vs Kerberos

NTLM(NTLAN Manager)과 Kerberos 마이크로소프트 윈도우 기반 네트워크에서 사용되는 두 가지 다른 인증 프로토콜이다.

 

NTLM(NTLAN Manager)과 Kerberos

1. NTLM과 Kerberos는 윈도우 기반 환경에서 사용할 수 있는 인증 프로토콜임

 

2. NTLM은 윈도우 NT에 도입된 오래된 인증 프로토콜이며 일부 레거시 시스템에서 여전히 사용되고 있음

3. NTLM은 간단히 말하면,

   1) 클라이언트에서 서버로 해시처리된 사용자 암호를 전송하고,
   2) 미리 저장되어 있는 해시처리된 암호와 비교해서 사용자를 인증처리 하는 것

 

4. Kerberos는 NTLM 다음으로 도입된 보다 안전한 인증 프로토콜

5. Kerberos는 네트워크를 통해 해시된 암호를 보내는 대신

   신뢰할 수 있는 키 배포 센터(KDC) 를 사용하여 사용자를 인증

6. Kerberos 인증에서 클라이언트는 KDC에서 티켓을 요청한 다음 KDC를 사용하여 서버를 인증

7. 이렇게 하면 네트워크를 통해 해시된 암호를 전송할 필요가 없으므로 NTLM보다 훨씬 안전

 

NTML 취약점

오래된 인증 프로토콜인 만큼 취약점이 존재

 

1. 재생 공격(Replay Attacks)

 : NTLM 인증은 네트워크를 통해 해시된 버전의 사용자 암호를 전송하는 것을 포함하며,
   이 암호를 공격자가 가로채면 무단 액세스 권한을 얻을 수 있음

2. 중간자 공격(Man-in-the-middle attack)

 : NTLM은 중간자 공격에 취약.

  공격자가 클라이언트와 서버 간의 통신을 가로채고 중요한 정보에 액세스하기 위해 당사자 중 한 명을 가장할 수 있음.

3. 암호 크래킹(Password Cracking)

 : NTLM 해시는 브루트 포스 또는 사전 공격 방법을 사용하여 쉽게 크래킹할 수 있으므로

   공격자가 중요한 정보에 액세스할 수 있음

4. 해시 전달 공격(Pass-the-hash attack)

 : NTLM에서 사용자 암호의 해시는 인증에 사용되며,

   이 해시는 공격자가 도용하여 실제 암호를 알지 못한 채 리소스에 액세스하는 데 사용될 수 있음

5. LM hash

 : NTLM은 LM 해시를 사용.

   이 해시는 약하고 쉽게 깨질 수 있어 공격에 취약한 것으로 간주

 

그래도 NTLM 인증을 사용하는 경우는?

 

1.레거시 시스템 (Legacy systems)

 : 일부 오래된 시스템은 인증을 위해 NTLM만 지원될 수 있음.

   이러한 시스템을 업그레이드하거나 교체하는데 드는 리스크가

   보안 취약점으로부터 발생하는 리스크보다 큰 경우 유지할 수 밖에 없음. (감수하고 가는 것)

2. 이전 시스템과의 상호 운용성 (Interoperability with older systems)

 :  NTLM만 지원하는 시스템이나 네트워크 연결이 필요한 조직일 수 있음.

   상호 운용성을 유지하기 위해 어쩔 수 없이 NTLM을 사용하는 케이스.

3. 특정 애플리케이션과의 호환성

 : 일부 애플리케이션은 NTLM과만 호환될 수도 있음.

   즉, 다른 인증 프로토콜을 사용하면 문제가 발생하거나 지원되지 않을 수 있는 경우도 있ㅇ다

이러한 경우 NTLM의 취약점을 인지하고,

이를 보완하기 위해 강력한 암호 정책 및 암호화와 같은 추가적인 보안 조치를 구현하는 것이 중요.

또한 네트워크에서 의심스러운 활동의 징후가 있는지 정기적으로 모니터링하고,

발생하는 보안 사고를 해결하기 위한 단계가 필요함.