December 22
Ogni misura di sicurezza e precauzione viene fornito con i propri compromessi. Ad esempio, la distribuzione del sistema di autenticazione Kerberos sul server aggiungerà uno strato di protezione contro gli utenti non autorizzati che accedono i suoi file. Mettendo su questo strato di protezione con Kerberos, tuttavia, rende il server più vulnerabile agli attacchi da parte di hacker che cercano di evitare agli utenti di accedere al server.
Kerberos basa l'autenticazione per una sessione sul dare un computer una chiave di autenticazione, che vi dà le autorizzazioni di accesso per l'account utente le cui credenziali che hai fornito. Il componente Kerberos che prende in credenziali di account e vi fornisce una chiave per una sessione è chiamato il Key Distribution Center (KDC). Questo è il componente pubblica di fronte a qualsiasi sistema di autenticazione Kerberos e l'elemento che aumenta la vulnerabilità del server a certi tipi di attacchi da parte di hacker.
Un attacco denial of service è un tentativo da parte di hacker per far cadere il server in modo che i visitatori legittimi non saranno in grado di accedervi. Semplici attacchi DoS possono assumere la forma di inondare il server con più richieste di quello che può gestire, ma gli attacchi più sofisticati cercare di mandare in crash il software molto in esecuzione sul server. Impantanarsi il server con una quantità eccessiva di richieste possono rallentare la velocità del server al punto in cui è inutilizzabile dagli utenti normali, ma crash del software del server impedirà a chiunque di accedere al server di fino a rilanciare il componenti necessari.
Gli hacker possono usare le debolezze documentati in Kerberos 'KDC per cercare di mandare in crash il servizio di autenticazione del server. Il KDC non consente agli utenti cercando di accedere al sito interagire direttamente con il software di autenticazione principale, ma deve trasmettere le credenziali che forniscono al software principale per autenticare esso. Gli hacker possono provare a portare giù l'implementazione di Kerberos del server, fornendo dati credenziali appositamente malformati. Tali dati malformati possono causare un buffer overflow che andrà in crash Kerberos. Mentre gli hacker sono sempre sondando nuovi modi per indurre tale buffer overflow, applicando tutte le patch di sicurezza dal software Kerberos fornitore può dare la migliore protezione disponibile da questi attacchi.
Molte implementazioni di Kerberos si integrano con il toolkit OpenSSL per il trasferimento di dati crittografati tra la macchina client e il server. OpenSSL ha una propria serie di vulnerabilità che gli hacker possono utilizzare come vettori di attacco per abbattere Kerberos. Le patch di protezione dal fornitore di Kerberos non necessariamente includono patch di sicurezza OpenSSL, quindi una versione completamente modificata di Kerberos potrebbe essere ancora vulnerabile ad attacchi DoS attraverso una versione modificata di modo incompleto OpenSSL. Per eseguire il server più sicuro possibile, gli amministratori devono prendere su di sé per assicurarsi che essi hanno applicato tutte le patch necessarie per entrambi questi pacchetti software.