Kerberos vs NTLM Nedir ? Nasıl Çalışır ?

Kerberos ve NTLM: Kimlik Doğrulama Protokolleri Karşılaştırması

Bilgi güvenliği dünyasında, kullanıcı kimlik doğrulama protokolleri kritik bir role sahiptir. İki yaygın kimlik doğrulama protokolü olan Kerberos ve NTLM (NT LAN Manager), özellikle ağ üzerinde güvenli erişim sağlama konusunda sıklıkla karşılaştırılır. Bu makalede, Kerberos ve NTLM’in nasıl çalıştığı, avantajları ve dezavantajları ile bu protokoller arasındaki farkları inceleyeceğiz.

Kerberos Nedir ve Nasıl Çalışır?

Kerberos, 1980’lerde MIT tarafından geliştirilen bir kimlik doğrulama protokolüdür. Üç aşamalı bir kimlik doğrulama mekanizması sunar ve ağ üzerindeki iletişimleri güvence altına alır. Kerberos, simetrik anahtar şifrelemesi kullanarak hem istemci hem de sunucunun kimliğini doğrular ve bu sayede güvenli bir iletişim sağlar.

Kerberos’un temel çalışma prensibi, bilet tabanlı bir sistemdir. Bir kullanıcı, oturum açtığında bir “Bilet Verici Sunucu” (Ticket Granting Server – TGS) ile kimliğini doğrular ve oturum boyunca kullanılacak bir bilet alır. Bu bilet, ağ üzerindeki kaynaklara erişim için tekrar tekrar şifre girmeyi gerektirmez ve tek oturumda birçok hizmete erişimi kolaylaştırır.

Kerberos, özellikle büyük ve güvenli ağlar için tasarlanmış merkezi bir kimlik doğrulama protokolüdür. Kullanıcılar ve hizmetler arasında güvenli kimlik doğrulaması sağlar. Kerberos, kullanıcının şifresini doğrudan ağ üzerinde iletmek yerine şifrelenmiş “bilet”ler kullanarak kimlik doğrulaması yapar. Bu süreçte, anahtar dağıtım merkezi olarak adlandırılan Key Distribution Center (KDC) önemli bir rol oynar. KDC, iki bileşene sahiptir: Authentication Server (AS), kullanıcının ilk kimlik doğrulamasını yapar ve ona bir Ticket Granting Ticket (TGT) sağlar. Daha sonra kullanıcı bu TGT’yi kullanarak Ticket Granting Server (TGS)‘ten bir servis bileti alır. Servis biletiyle, kullanıcı ağdaki hedef hizmete güvenli bir şekilde erişebilir. Kerberos’un temel avantajı, kimlik doğrulama işlemlerinin bir kez yapılması (Single Sign-On) ve şifrelerin ağda açık şekilde iletilmemesidir. Ancak, KDC’nin merkezi bir noktada olması, sistemin güvenliği açısından tek bir arıza noktası oluşturabilir.

Kerberos ve Key Distribution Center (KDC) birbirleriyle yakından ilişkili terimler olsa da farklı rollere sahiptirler.

• Kerberos: Merkezi kimlik doğrulama protokolüdür. Birden fazla kullanıcı ve hizmet arasında güvenli bir şekilde kimlik doğrulama işlemlerini gerçekleştirmek için kullanılır. Kullanıcıların kimlik bilgilerini şifreli biletlerle doğrular, böylece şifrelerin ağ üzerinde iletilmesini engeller.
• Key Distribution Center (KDC): Kerberos protokolünün kritik bir bileşenidir. KDC, iki ana parçadan oluşur:
  1. Authentication Server (AS): Kullanıcıların ilk kimlik doğrulamasını yapar ve Ticket Granting Ticket (TGT) verir.
  2. Ticket Granting Server (TGS): TGT’yi alıp, kullanıcının erişmek istediği servis için gerekli olan servis biletini (service ticket) sağlar.

Kerberos’un Avantajları:

• Güvenlik: Şifreleme ve bilet sistemi ile şifreler ağ üzerinde asla düz metin olarak taşınmaz.
• Tek oturum açma (SSO): Bir kez kimlik doğrulandıktan sonra birçok kaynağa yeniden kimlik doğrulama yapmadan erişilebilir.
• Güçlü doğrulama: Hem istemci hem sunucu kimlik doğrulaması yapılarak güvenlik artırılır.

Dezavantajları:

• Kompleks yapı: Konfigürasyonu ve yönetimi diğer protokollere göre daha zordur.
• Zaman senkronizasyonu: Kerberos’un düzgün çalışması için tüm sistemlerin zaman senkronizasyonu gereklidir.
• Ölçeklenme sorunları: Çok büyük ağlarda karmaşık bilet işlemleri ve sunucu yükü artabilir.

NTLM Nedir ve Nasıl Çalışır?

NTLM, Microsoft tarafından geliştirilen eski bir kimlik doğrulama protokolüdür. Challenge-Response modelini kullanır ve her oturum açma işleminde istemci ile sunucu arasında bir dizi doğrulama mesajı gönderilir. NTLM, istemciden şifreli bir şifre isteği gönderir ve bu isteğe sunucu tarafından cevap verilir. Sunucu, istemcinin gönderdiği şifreli veriyi kendi veritabanındaki ile karşılaştırarak doğrulamayı tamamlar.

NTLM’nin Avantajları:

• Kolay yapılandırma: Kerberos’a göre daha basit bir yapıya sahiptir ve yapılandırılması daha kolaydır.
• Uyumluluk: Eski sistemlerde ve Kerberos’un desteklemediği ortamlarda kullanıma uygundur.
• Kurulum maliyeti düşük: Basitliği nedeniyle Kerberos’a kıyasla daha düşük maliyetle devreye alınabilir.

Dezavantajları:

• Düşük güvenlik: NTLM, modern standartlara göre daha zayıf bir güvenlik sunar. Şifreler, ağ üzerinden Kerberos’taki gibi tam anlamıyla güvenli değildir.
• Tek taraflı doğrulama: Sadece istemci kimlik doğrulaması yapılır, sunucu doğrulaması yapılmaz. Bu durum “man-in-the-middle” saldırılarına daha açık hale getirir.
• Yüksek işlem maliyeti: Her istekte yeniden kimlik doğrulama yapılması, özellikle büyük ağlarda performansı düşürebilir.

Kerberos ve NTLM Karşılaştırması

Özellik	Kerberos	NTLM
Güvenlik	Yüksek güvenlik sağlar, çift taraflı doğrulama	Güvenlik daha düşüktür, tek taraflı doğrulama
Kullanım Kolaylığı	Zor yapılandırma, karmaşık yönetim	Daha kolay yapılandırma ve yönetim
Performans	Tek oturum açma ile performans avantajı	Her oturumda kimlik doğrulama ile daha düşük performans
Ölçeklenebilirlik	Daha uygun, büyük ağlar için ideal	Küçük ağlar için daha uygundur

Hangi Durumda Hangi Protokol Kullanılır?

• Kerberos, güvenliğin ve merkezi kimlik doğrulamanın kritik olduğu büyük kurumsal ağlarda tercih edilir. Özellikle Active Directory tabanlı ortamlarda yaygın olarak kullanılır.
• NTLM, eski sistemlerle uyumluluk gerektiren durumlarda veya küçük ağlarda tercih edilebilir. Ancak, modern güvenlik standartları açısından Kerberos’un gerisinde kaldığı için yeni projelerde önerilmez.

Kerberos Nerelerde Kullanılır?

Kerberos, daha modern ve güvenli bir kimlik doğrulama protokolü olduğu için genellikle büyük ağlar ve merkezi yönetim gerektiren ortamlarda kullanılır. Aşağıdaki uygulama ve ortamlarda yaygındır:

1. Active Directory: Kerberos, Microsoft Active Directory ortamında varsayılan kimlik doğrulama protokolüdür. Bu, özellikle büyük kurumsal ağlarda yaygın olarak kullanılır. Kullanıcıların ve makinelerin merkezi bir dizin üzerinden kimlik doğrulaması yapılır.
2. Modern Windows Sürümleri: Windows Server 2000 ve sonrasında Kerberos, NTLM’in yerini almış ve varsayılan kimlik doğrulama yöntemi haline gelmiştir. Windows 7, 8, 10, 11 ve modern Windows Server sürümleri genellikle Kerberos kullanır.
3. Ağ Hizmetleri: Birçok ağ tabanlı hizmette Kerberos kullanılır. Dosya paylaşımı (SMB), e-posta hizmetleri (Exchange), veritabanı sistemleri (SQL Server) gibi ağ üzerindeki uygulamalarda kimlik doğrulama için Kerberos tercih edilir.
4. Web Uygulamaları: Kerberos, IIS ve diğer web sunucuları üzerinde çalışan modern web uygulamalarında, özellikle Single Sign-On (SSO) çözümlerinde yaygın olarak kullanılır. Örneğin, Kerberos’u destekleyen web uygulamaları ile kullanıcılar, bir kez oturum açarak birçok servise erişebilir.
5. UNIX/Linux Sistemleri: Kerberos, yalnızca Windows’ta değil, aynı zamanda UNIX ve Linux sistemlerde de yaygın olarak kullanılır. Özellikle, NFS (Network File System) gibi ağ dosya sistemleri için Kerberos kullanımı güvenli erişim sağlar.
6. Büyük Kurumsal Ağlar: Kerberos, büyük ve merkezi yönetilen ağlarda, özellikle finans, sağlık ve hükümet sistemlerinde güvenli kimlik doğrulama sağlamak için kullanılır. Bu tür ortamlarda yüksek güvenlik standartlarına uymak önemlidir ve Kerberos, bu ihtiyaca cevap verir.

NTLM Nerelerde Kullanılır?

NTLM, genellikle eski veya uyumlu olmadığı durumlarda tercih edilir. Aşağıdaki uygulama ve ortamlarda daha yaygın olarak kullanılır:

1. Eski Microsoft Uygulamaları: NTLM, Windows NT döneminden beri kullanılan bir protokoldür ve eski Windows sürümleri ile çalışmak için geliştirilmiştir. Bu nedenle, Windows NT, Windows 2000, XP, ve 2003 Server gibi eski sistemlerde yaygındır.
2. Workgroup Ortamları: Active Directory olmayan, merkezi yönetimi bulunmayan küçük ağlarda NTLM hala kullanılmaktadır. Workgroup yapısında olan bilgisayarlarda kimlik doğrulama protokolü olarak NTLM kullanılır.
3. Dosya ve Yazıcı Paylaşımı: SMB (Server Message Block) protokolü ile birlikte, dosya paylaşımı veya yazıcı paylaşımı için NTLM kullanılır. Özellikle eski SMB versiyonları (SMBv1) NTLM ile entegredir.
4. Remote Desktop Protocol (RDP): Özellikle Kerberos’u desteklemeyen ortamlarda uzak masaüstü bağlantılarında NTLM kullanılır.
5. Eski Web Uygulamaları: NTLM, Microsoft Internet Information Services (IIS) üzerinde çalışan bazı eski web uygulamalarında ve intranet sitelerinde hala kimlik doğrulama mekanizması olarak kullanılmaktadır.

Özet

• NTLM: Daha çok eski Microsoft ürünleri, küçük ağlar (workgroup), eski web uygulamaları ve eski sistemler için uygundur. Günümüzde Kerberos desteklemeyen ortamlarda veya uyumluluk gerektiren durumlarda kullanılır.
• Kerberos: Active Directory, modern Windows sistemleri, büyük kurumsal ağlar, web tabanlı SSO çözümleri ve UNIX/Linux tabanlı sistemlerde yaygın olarak tercih edilir. Hem güvenlik hem de performans açısından NTLM’e göre üstün bir protokoldür.

Sonuç olarak, Kerberos, güçlü güvenlik özellikleri ve performans avantajlarıyla NTLM’den daha üstün bir protokol olarak öne çıkar. Ancak, NTLM’in basitliği ve uyumluluğu, özellikle eski sistemlerde hala geçerli bir seçenek olarak kalmaktadır.