Skip to content

Erkläre, wie die Kerberos-Authentifizierung mit TGTs und Service-Tickets funktioniert.

Kurzantwort

Kerberos stützt sich auf ein vertrauenswürdiges Key Distribution Center (KDC). Der Client authentifiziert sich einmal beim Authentication Server und erhält ein mit dem Schlüssel des KDC verschlüsseltes Ticket-Granting-Ticket (TGT). Um einen Dienst zu erreichen, legt er das TGT dem Ticket-Granting-Service vor und erhält ein mit dem Schlüssel dieses Dienstes verschlüsseltes Service-Ticket. Der Dienst entschlüsselt es und vertraut ihm. Passwörter durchqueren nie das Netz, und Tickets sind zeitlich begrenzt.

Kerberos ist das Rückgrat der Active-Directory-Authentifizierung und damit ein Klassiker für alle, die mit Unternehmensumgebungen zu tun haben. Der Interviewer will das Drei-Parteien-Modell und warum Passwörter nicht über die Leitung gehen.

Die Beteiligten

  • Client – der Benutzer oder die Maschine, die Zugriff will.
  • KDC (Key Distribution Center) – die vertrauenswürdige Instanz, aufgeteilt in den Authentication Server (AS) und den Ticket-Granting-Service (TGS). Es kennt den geheimen Schlüssel jedes Principals.
  • Dienst – die Ressource, die der Client will (eine Dateifreigabe, ein SQL-Server, eine Webanwendung).

Der Ticket-Tanz

  1. Ein TGT erhalten. Der Client beweist, dass er sein Passwort kennt, indem er einen Zeitstempel mit einem aus diesem Passwort abgeleiteten Schlüssel verschlüsselt. Der AS validiert das und gibt ein Ticket-Granting-Ticket (TGT) sowie einen Sitzungsschlüssel zurück. Das TGT ist mit dem eigenen Schlüssel des KDC verschlüsselt, sodass der Client es weder lesen noch fälschen kann.
  2. Ein Service-Ticket anfordern. Will der Client einen bestimmten Dienst, sendet er das TGT an den TGS. Der TGS stellt ein Service-Ticket aus, das mit dem geheimen Schlüssel dieses Dienstes verschlüsselt ist.
  3. Auf den Dienst zugreifen. Der Client legt das Service-Ticket vor. Der Dienst entschlüsselt es mit seinem eigenen Schlüssel, bestätigt den Inhalt und gewährt Zugriff – ohne je selbst das KDC zu kontaktieren.

Die entscheidende Eigenschaft: Das Passwort des Benutzers wird nur lokal zum Ableiten eines Schlüssels verwendet; es durchquert nie das Netz, und Dienste sehen es nie. Zeitstempel in den Tickets, gegen synchronisierte Uhren validiert, verhindern Wiederholungsangriffe – weshalb Kerberos empfindlich auf Zeitabweichungen reagiert (typischerweise eine Toleranz von 5 Minuten).

Der Blickwinkel des Angreifers

Da ein Service-Ticket mit dem Schlüssel des Dienstkontos verschlüsselt ist, kann ein Angreifer, der eines anfordert, es offline knacken, um das Passwort dieses Kontos zu gewinnen – das ist Kerberoasting, und schwache Dienstkonto-Passwörter machen es billig. Die Kompromittierung des Hauptschlüssels des KDC (des krbtgt-Kontos) ermöglicht Golden Tickets: beliebige gefälschte TGTs.

Worauf Interviewer achten

Die Rollen KDC/AS/TGS, den Austausch TGT-dann-Service-Ticket, „Passwörter durchqueren nie das Netz", die Rolle von Zeitstempeln und Uhrensynchronisation und idealerweise Kerberoasting als praktischen Angriff.

Wahrscheinliche Anschlussfragen

  • Was ist Kerberoasting und wie missbraucht es Service-Tickets?
  • Warum hängt Kerberos stark von synchronisierten Uhren ab?
  • Was ist ein Golden Ticket und was muss ein Angreifer dafür besitzen?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.