Sicheres Single Sign-on in Kerberos-Umgebungen

Einmal anmelden, alles nutzen: Kerberos-basierter Single Sign-on-Zugang zu allen IT-Diensten im Unternehmen bietet nicht nur mehr Bequemlichkeit für die Benutzer, sondern theoretisch auch mehr Sicherheit – aber nur, wenn man es richtig aufsetzt. Welche Fehler man unbedingt vermeiden muss und wo versteckte Fallen lauern, erläutert der eintägige Workshop.

Der Workshop widmet sich der Sicherheit von Kerberos-basiertem Single Sign-on in Linux- und Windows-Umgebungen.

Der erste Teil behandelt die Sicherheit von MIT-Kerberos in Linux-Umgebungen. Dabei geht es zunächst um die Kerberos-Infrastruktur, konkret um die Absicherung der hochsensiblen KDC-Daten und wie diese in der Praxis umzusetzen ist. Dabei werden auch die Endsysteme betrachtet, auf denen sensible Daten in Form von so genannten Keytab-Dateien und Ticket-Caches vorliegen. Die Teilnehmer lernen die Sicherheitsrelevanz dieser Daten kennen und erhalten so das notwendige Verständnis, um mögliche Angriffsszenarien sowie deren Auswirkungen einschätzen zu können.

Praktisch werden in diesem Teil auch die verschiedenen Credential-Cache-Typen von MIT-Kerberos betrachtet und es wird auf die Notwendigkeit der Ticket-Validierung beim Einsatz von Kerberos-basierten PAM-Modulen eingegangen.

Im nächsten Teil dient eine Active-Directory-Umgebung als Beispiel, um so genannte Pass-the-Hash-Angriffe zu demonstrieren. Gefälschte Kerberos-Tickets – so genannte Silver- und Golden-Tickets – und wie Angreifer diese erzeugen können, soll hier ebenfalls vorgestellt werden.

Abschließend geht es noch einmal detailliert um die Funktionsweise des Kerberos-v5-Protokolls und die möglichen Angriffe auf dessen verschiedene verschlüsselte Elemente. Da solche Angriffe in der Praxis insbesondere bei Verwendung von einfachen Benutzerpasswörtern zum Tragen kommen, werden der Einsatz von Smartcards (PKINIT) und One-Time-Passwords (OTP) im Rahmen von Kerberos als sichere Mechanismen der Primärauthentisierung behandelt.

Termin: 19.09.2018    /    Teilnahmegebühr: 589,00 €     /    Ort: Brühl

Zum Ticketshop

Leistungen Ihres Workshoptickets

  • Workshopunterlagen
  • Tagungsgetränke & Verpflegung
  • Teilnahmebescheinigung

Der Workshop ist auf 20 Teilnehmer begrenzt!

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 14 Tage vorher durch das heise Events-Team informiert.

Sie möchten zusätzlich an den Internet Security Days 2018 an den Folgetagen teilnehmen? 

Dann nutzen Sie das Kombiticket, welches Sie ebenfalls über den Ticketshop beziehen können.

Kombiticket: 1.058,98 Euro

Kontakt

Haben Sie Fragen zu der Organisation oder der Veranstaltung? Gern antworte ich auf Ihre Anfrage per E-Mail!

Silvia Langer, Event-Manager // sil@heise.de

Agenda & Trainer

Mark Pröhl

Mark Pröhl ist studierter Physiker. Als Senior Solutions Architect beschäftigt er
sich mit den Themen Kerberos, LDAP und Active Directory. Er ist bei Puzzle ITC GmbH tätig und außerdem Autor des Kerberos-Buches.

09:00 - 09:30 Uhr:    Registrierung

09:30 - 11:00 Uhr:    Sicherheit von MIT-Kerberos unter Linux

11:00 - 11:30 Uhr:    Kaffeepause

11:30 - 13:00 Uhr:    Keytabs und Ticket-Caches unter Linux

13:00 - 14:00 Uhr:    Mittagspause

14:00 - 15:30 Uhr:    Angriffsszenarien bei Active Directory

15:30 - 16:00 Uhr:    Kaffeepause

16:00 - 18:00 Uhr:    Kerberos mit Smartcards und OTP

Hotelzimmer im Hotel MATAMBA:

Sie benötigen noch eine Übernachtungsmöglichkeit zur Teilnahme an unserem Workshop?

Wir haben Ihnen vom 18. bis 19. September und, bei zusätzlicher Teilnahme an der Konferenz, vom 18. bis 21. September ein Kontingent im Hotel hinterlegt. Melden Sie sich bei Interesse bis spätestens zwei Wochen vor der Veranstaltung bei uns unter events@heise.de