ما هو بروتوكول Kerberos ولماذا يُعد العمود الفقري لأمان Active Directory؟
اكتشف كيف يعمل بروتوكول Kerberos داخل Active Directory، ولماذا يُعتبر أكثر أمانًا من NTLM، وتعرّف على أهم طرق تأمينه ضد الهجمات الشائعة.
🧩 ما هو بروتوكول Kerberos وأهميته في المصادقة داخل Active Directory
🔹 المقدّمة
عندما تُسجّل الدخول إلى جهازك داخل شبكة العمل، قد لا تفكر كثيرًا في الطريقة التي يعرف بها النظام أنك المستخدم الصحيح.
لكن وراء هذه العملية اليومية البسيطة يعمل بروتوكول أمني معقّد وفعّال يُعرف باسم Kerberos.
يُعتبر Kerberos العمود الفقري لنظام المصادقة (Authentication) داخل بيئات Active Directory في Windows، وهو ما يضمن أن كل مستخدم أو خدمة على الشبكة يتم التحقق من هويتها بشكلٍ آمن قبل منحها أي صلاحية.
في هذا المقال سنتعرّف على مفهوم Kerberos، كيف يعمل، ولماذا يُعد أكثر أمانًا من الأنظمة القديمة مثل NTLM، بالإضافة إلى أبرز طرق تأمينه.
⚙️ أولًا: ما هو بروتوكول Kerberos؟
Kerberos هو بروتوكول مصادقة آمن (Secure Authentication Protocol) تم تطويره في الأصل في معهد ماساتشوستس للتكنولوجيا (MIT)، ويُستخدم للتحقق من هوية المستخدمين والخدمات في الشبكات التي تعتمد على نموذج العميل/الخادم (Client/Server).
يعتمد Kerberos على مبدأ التذاكر (Tickets) بدلًا من إرسال كلمات المرور عبر الشبكة.
وهذا يجعله أكثر أمانًا، لأن كلمات المرور لا تُنقل أبدًا بصيغة نصّية (Plain Text)، بل تُستبدل بتذاكر مؤقتة صالحة لفترة محددة.
🧱 ثانيًا: كيف يعمل Kerberos؟
🧩 المكونات الأساسية:
- Client (العميل): الجهاز أو المستخدم الذي يحاول الوصول إلى مورد على الشبكة.
- Server (الخادم): الخدمة أو الجهاز الذي يحوي المورد المطلوب.
- KDC (Key Distribution Center): المركز المسؤول عن إصدار التذاكر، ويتكوّن من جزئين:
- AS (Authentication Service): يتحقق من هوية المستخدم.
- TGS (Ticket Granting Service): يصدر تذاكر الوصول إلى الخدمات.
🔄 مراحل المصادقة في Kerberos:
عندما تحاول تسجيل الدخول إلى شبكة بها Active Directory:
- طلب تذكرة الوصول المبدئية (TGT Request):
- يرسل العميل طلبًا إلى KDC للتحقق من هويته.
- يستخدم KDC كلمة مرور المستخدم لتشفير تذكرة مبدئية تُعرف بـ TGT (Ticket Granting Ticket).
- الحصول على تذكرة الخدمة (Service Ticket):
- عندما يريد المستخدم الوصول إلى خادم معين (مثل خادم الملفات أو البريد)، يرسل TGT إلى TGS.
- يُصدر TGS تذكرة جديدة خاصة بتلك الخدمة.
- الوصول إلى الخدمة:
- يرسل العميل تذكرة الخدمة إلى الخادم المطلوب.
- إذا تم التحقق بنجاح، يتم السماح بالوصول دون إعادة إدخال كلمة المرور.
بهذه الطريقة، لا تُرسل كلمات المرور أبدًا عبر الشبكة، بل تُستخدم مفاتيح وتذاكر مؤقتة مشفّرة.
⚠️ ثالثًا: لماذا Kerberos أكثر أمانًا من NTLM؟
| المقارنة | NTLM | Kerberos |
|---|---|---|
| طريقة التحقق | تبادل تجزئة كلمة المرور (Hash Exchange) | نظام تذاكر مؤقتة مشفّرة |
| قابلية التشفير | ضعيفة ويمكن كسرها بسهولة | تشفير قوي باستخدام AES وDES |
| الاعتماد على الخادم | كل مصادقة تُرسل للخادم | KDC يوزّع التذاكر تلقائيًا |
| الحماية من الهجمات | عرضة لهجمات Pass-the-Hash | أكثر مقاومة بفضل التذاكر المؤقتة |
| السرعة والكفاءة | بطيء نسبيًا | أسرع وأكثر أمانًا في بيئات AD |
بالتالي، يُعتبر Kerberos النظام القياسي والأكثر أمانًا في بيئات Microsoft الحديثة.
🧰 رابعًا: أشهر الهجمات على Kerberos
رغم قوته، إلا أن سوء الإعداد أو ضعف كلمات المرور قد يُعرّض النظام لهجمات خطيرة، منها:
🔸 1. Pass-the-Ticket
يتم فيها سرقة تذكرة خدمة (Service Ticket) من ذاكرة النظام واستخدامها للوصول إلى موارد الشبكة دون الحاجة إلى كلمة المرور.
🔸 2. Kerberoasting
يستغل المهاجم تذاكر الخدمة التي تُخزن جزئيًا بتشفير يعتمد على كلمة مرور حساب الخدمة،
ثم يحاول كسر كلمة المرور Offline باستخدام أدوات مثل Rubeus أو Impacket.
🔸 3. Golden Ticket Attack
يُعد من أخطر الهجمات، حيث يقوم المهاجم باختراق خادم الـ KDC (Domain Controller) وإنشاء تذاكر مزيفة تُمنحه صلاحيات كاملة على الشبكة.
🧱 خامسًا: كيفية تأمين Kerberos
🛡️ 1. حماية خوادم KDC وDomain Controller
لأنها القلب النابض لـ Kerberos، يجب تأمينها من أي وصول غير مصرح به باستخدام:
- جدران حماية (Firewalls)
- المراقبة اللحظية (Real-time Monitoring)
- تحديثات أمنية مستمرة
🔑 2. استخدام كلمات مرور قوية لحسابات الخدمات
يجب أن تكون كلمات مرور حسابات الخدمة (Service Accounts) طويلة ومعقّدة،
ويُفضل استخدام Managed Service Accounts (MSA) التي تُحدّث كلمات المرور تلقائيًا.
🧩 3. تفعيل التشفير الحديث (AES Encryption)
قم بإيقاف خوارزميات التشفير القديمة مثل DES،
واستخدم AES128 أو AES256 داخل إعدادات الحسابات في Active Directory.
🧰 4. مراقبة التذاكر باستخدام أدوات متقدمة
مثل:
- Microsoft Defender for Identity
- SIEM solutions (مثل Splunk أو Sentinel)
لرصد أي محاولات استخدام تذاكر غير صالحة أو مشبوهة.
🔒 5. تفعيل سياسات انتهاء التذاكر (Ticket Expiration)
اضبط عمر التذاكر ليكون قصيرًا (مثل 8 ساعات) لتقليل فرصة استغلالها.
📋 الملخص
- Kerberos هو نظام مصادقة آمن يعتمد على التذاكر المشفّرة.
- يعمل من خلال KDC الذي يتحقق من الهوية ويصدر التذاكر.
- أكثر أمانًا من NTLM ويُعد العمود الفقري لـ Active Directory.
- يجب تأمينه من هجمات مثل Pass-the-Ticket وGolden Ticket.
- الحماية الفعالة تتطلب تشفير AES، كلمات مرور قوية، ومراقبة مستمرة.
🧭 الخاتمة
بروتوكول Kerberos ليس مجرد وسيلة تحقق، بل نظام أمان متكامل يحمي المؤسسات من الهجمات التي تستهدف الهوية والصلاحيات.
حمايته تعني حماية شبكة الشركة بأكملها، لأن أي اختراق في KDC يعني السيطرة الكاملة على المجال.
لذا، تأكد دائمًا أن بيئة Kerberos لديك مؤمّنة بإعدادات دقيقة وتحديثات مستمرة.
