NTLM (Yeni Teknoloji LAN Yöneticisi), 30 yılı aşkın süredir Windows'ta temel bir kimlik doğrulama protokolü olmuştur. İşletmelerin eski LAN Yöneticisi kimlik doğrulamasından modern kurumsal ağlara geçişine yardımcı olmuştur.
Ama zaman değişti. Duyuruldu. Microsoft Geçtiğimiz günlerde, Windows'un yeni sürümlerinde NTLM'yi varsayılan olarak devre dışı bırakma planını duyurdu. Bu, 1993'teki lansmanından bu yana kurumsal kimlik doğrulama biçimi olan protokolün sonunu işaret ediyor.
Bu hamle, eski güvenlik modellerinin günümüzün "güvensizlik odaklı" dünyasında artık uygun olmadığını gösteriyor. Aşağıda, NTLM'nin neden kullanımdan kaldırılıp Kerberos ile değiştirildiğine dair bir analiz yer almaktadır.
NTLM'nin kısa bir özeti
Yeni Teknolojiler için Ağ Yönetimi (NTLM) LAN, kurumsal ağların nispeten küçük ve ofisin fiziksel sınırları içinde kaldığı 1990'larda geliştirilmiştir. Ayrıca, bir meydan okuma-yanıt kimlik doğrulama protokolü olarak NTLM, parolayı ağ üzerinden iletmek yerine, parolanın karma (hashed) bir sürümünü kullanır.
NTLM, merkezi bir etki alanı denetleyicisi olmayan yerel ağların bulunduğu ve cihazların etki alanları yerine çalışma gruplarında çalıştığı ortamlar için daha uygundu.
Ancak NTLM, hibrit ağlar, uzaktan çalışanlar, bulut tabanlı ortamlar ve modern tehditler için özel olarak tasarlanmamıştır. Bu sınırlamalara rağmen tamamen ortadan kalkmaz. Kerberos kullanılamadığında yedek bir kimlik doğrulama yöntemi olarak hizmet verecektir.
Microsoft neden NTLM'yi kapatıyor?
Microsoft'un NTLM sanal makinesini devre dışı bırakma kararı, temelde şu gerçeğe dayanıyor: NTLM, modern standartlara göre esasen güvensizdir. İşte bazı nedenler:
- NTLM, zayıf şifreleme kullanır ve modern siber saldırı tekniklerine karşı savunmasız olan eski hash algoritmalarına büyük ölçüde bağımlıdır. Hashcat, John the Ripper ve Rainbow Tables gibi araçlar kullanarak, bilgisayar korsanları NTLM hash algoritmalarından şifreleri kolayca çıkarabilirler.
- Bu protokol, ele geçirme saldırılarına karşı savunmasızdır. Ele geçirme saldırısında, saldırganlar kullanıcıları kötü amaçlı bir sunucuya kimlik doğrulaması yapmaya yönlendirir. Kimlik doğrulama isteklerini ele geçirerek, saldırganlar yetkisiz erişim elde etmek için bunları başka bir sunucuya yönlendirir. Buna karşılık, Kerberos özellikle bu istismarı önlemek için tasarlanmıştır.
- NTLM yıllar önce tasarlandığı için Sıfır Güven Güvenliği, Bulut Kimlik Yönetimi veya Çok Faktörlü Kimlik Doğrulama (MFA) gibi modern güvenlik modellerini desteklemez.
Kerberos Girişi
NTLM tarafından kullanılan parola karma algoritması değişim sisteminden farklı olarak, Kerberos Bilet tabanlı bir kimlik doğrulama sistemidir. Her ölçekteki kuruluş için bir güvenlik çözümü sunar. Windows 2000'den itibaren, etki alanına bağlı her Windows cihazı için varsayılan kimlik doğrulama protokolü haline gelmiştir.
Bu protokol, kullanıcı kimliklerini doğrulamak için simetrik anahtarlı şifreleme ve Anahtar Dağıtım Merkezi (KDC) kullanır. KDC, bir Biletleme Sistemi (TGS), parolaları saklamak için bir Kerberos veritabanı ve bir kimlik doğrulama sunucusundan oluşur.
İlk kimlik doğrulama işlemi sırasında, Kerberos protokolü seçilen bileti son kullanıcının cihazında saklar. Hizmet, parola aramak yerine bu bileti doğrular. Bu nedenle, Kerberos kimlik doğrulaması, KDC'nin bir ana bilgisayarı, kullanıcıyı veya hizmeti doğrulama yetkisine sahip olduğu kendi ortamında gerçekleşir.
Kerberos neden?
Kerberos kullanmanın en önemli avantajlarından biri karşılıklı kimlik doğrulamadır. Kerberos, kullanıcıların ve diğer hizmet sistemlerinin birbirlerini doğrulamalarını sağlar. Tüm süreç boyunca, sunucu ve kullanıcılar birbirlerinin güvenilirliğinin farkında olurlar.
Ayrıca, her bilet zaman damgası ve geçerlilik süresi verileriyle birlikte gelirken, yöneticiler kimlik doğrulama süresini kontrol eder. Yeniden kullanılabilir bir kimlik doğrulama sistemiyle, her kullanıcı Kerberos protokolünde yalnızca bir kez doğrulanır. Bundan sonra, kullanıcının kişisel bilgilerini tekrar girmesine gerek kalmaz.
Yoruma kapalı.