NTLM (NEW TECHNOLOGY LOCAL AREA NETWORK MANAGER/YENİ TEKNOLOJİ YEREL ALAN AĞI YÖNETİCİSİ) VE KERBEROS NEDİR?
NTLM (New Technology Local Area Network Manager/Yeni Teknoloji Yerel Alan Ağı Yöneticisi), sınama-yanıt (challenge-response) yapıyla şifrelenmemiş kullanıcı adı ve parola bilgisi yerine Windows kimlik bilgileri ile doğrulamayı gerçekleştirmektedir. Etki Alanı Adı (Domain Name), kullanıcı adı ve kullanıcının parolasının tek yönlü bir özeti NTLM kimlik bilgilerini oluşturmaktadır. Etkileşimli NTLM kimlik doğrulaması, kullanıcının kimlik doğrulama talep ettiği bir istemci sistemi ve kullanıcının parolasıyla ilgili bilgilerin saklandığı bir Etki Alanı Denetleyicisi (Domain Controller) sisteminden oluşmaktadır. Etkileşimsiz kimlik doğrulamada ise istemci (client), sunucu (server) ve sunucu adına (server name) kimlik doğrulama hesaplamalarını yapan bir Etki Alanı Denetleyicisi (Domain Controller) sistemi mevcuttur. Genellikle saldırgan veya saldırganlar Pass the Hash adıyla adlandırılan saldırıyı tercih etmektedir. Ekstradan belirtilmesi gereken noktalardan birisiyse "https://www.infinitumit.com.tr/pass-the-hash-atagi-nedir-nasil-onlenebilir/" bağlantısından NTLM sistemine yönelik atağın teknik detaylarına bakabilirsiniz.
Kerberos, ağ üzerinden yetkilendirme yapan bir sistemdir. Söz konusu yetkilendirme, client-server (istemci-sunucu) ilişkisi içerisindedir. Simetrik Anahtar Şifreleme (Symmetric Key Encryption) yöntemini kullanmaktadır ve üçüncü taraf bir doğrulayıcıya ihtiyaç duymaktadır. Ayrıca Ticket (Bilet) adı verilen sisteme sahip bir sistemdir. Ağdaki trafik esnasında parolalar yerine ticketler kullanılmaktadır. Ticketlere yönelik saldırılardan genellikle karşılaşılan Pass the Ticket (Bileti Geç) adıyla adlandırılan saldırıdır. Ekstradan belirtilmesi gereken noktalardan birisiyse "https://attack.mitre.org/techniques/T1558/" bağlantısından Kerberos ticket sistemine yönelik atakların teknik detaylarına bakabilirsiniz.
