Skip to content

Explica cómo funciona la autenticación Kerberos con TGT y tickets de servicio.

Respuesta breve

Kerberos depende de un centro de distribución de claves (KDC) de confianza. El cliente se autentica una vez ante el servidor de autenticación y obtiene un ticket de concesión de tickets (TGT) cifrado con la clave del KDC. Para alcanzar un servicio, presenta el TGT al servicio de concesión de tickets y recibe un ticket de servicio cifrado con la clave de ese servicio. El servicio lo descifra y confía en él. Las contraseñas nunca atraviesan la red, y los tickets tienen tiempo limitado.

Kerberos es la columna vertebral de la autenticación de Active Directory, así que es un básico para cualquiera que toque entornos empresariales. El entrevistador quiere el modelo de tres partes y por qué las contraseñas se mantienen fuera de la red.

Los actores

  • Cliente: el usuario o la máquina que quiere acceso.
  • KDC (centro de distribución de claves): la autoridad de confianza, dividida en el servidor de autenticación (AS) y el servicio de concesión de tickets (TGS). Conoce la clave secreta de cada principal.
  • Servicio: el recurso que el cliente quiere (un recurso compartido de archivos, un servidor SQL, una aplicación web).

El baile de los tickets

  1. Obtener un TGT. El cliente prueba que conoce su contraseña cifrando una marca de tiempo con una clave derivada de esa contraseña. El AS lo valida y devuelve un ticket de concesión de tickets (TGT) más una clave de sesión. El TGT está cifrado con la clave propia del KDC, así que el cliente no puede leerlo ni falsificarlo.
  2. Solicitar un ticket de servicio. Cuando el cliente quiere un servicio concreto, envía el TGT al TGS. El TGS emite un ticket de servicio cifrado con la clave secreta de ese servicio.
  3. Acceder al servicio. El cliente presenta el ticket de servicio. El servicio lo descifra con su propia clave, confirma el contenido y concede el acceso, sin contactar nunca con el propio KDC.

La propiedad crucial: la contraseña del usuario solo se usa localmente para derivar una clave; nunca cruza la red, y los servicios nunca la ven. Las marcas de tiempo en los tickets, validadas contra relojes sincronizados, evitan la repetición, por lo que Kerberos es sensible al desfase horario (normalmente una tolerancia de 5 minutos).

El ángulo del atacante

Como un ticket de servicio está cifrado con la clave de la cuenta de servicio, un atacante que solicite uno puede romperlo sin conexión para recuperar la contraseña de esa cuenta: esto es Kerberoasting, y las contraseñas débiles de cuentas de servicio lo hacen barato. Comprometer la clave maestra del KDC (la cuenta krbtgt) habilita los golden tickets: TGT falsificados arbitrarios.

Qué buscan los entrevistadores

Los roles KDC/AS/TGS, el intercambio TGT-luego-ticket-de-servicio, «las contraseñas nunca cruzan la red», el papel de las marcas de tiempo y la sincronización de relojes, e idealmente el Kerberoasting como ataque práctico.

Posibles preguntas de seguimiento

  • ¿Qué es el Kerberoasting y cómo abusa de los tickets de servicio?
  • ¿Por qué Kerberos depende en gran medida de relojes sincronizados?
  • ¿Qué es un golden ticket y qué necesita poseer un atacante para obtenerlo?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.