Kerberoksen eri haavoittuvuudet ja hyväksikäytön havaitseminen
Lehtinen, Miro (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202504298172
https://urn.fi/URN:NBN:fi:amk-202504298172
Tiivistelmä
Opinnäytetyössä tutkitaan syventävästi Kerberos-protokollan toimintaa sekä se vastaa kysymykseen, millä eri tavoin mahdollisen uhkatekijän voi havaita ympäristöstä. Työn tavoitteena oli luoda ja parantaa opitun tiedon avulla yritysympäristöissä käytettyjä Kerberokseen liittyviä valvontasääntöjä sekä lisätä yleisesti tietoisuutta protokollan toiminnasta.
Opinnäytetyössä tutkimusta tehtiin teoriatasolla ja käytännön kautta toteamisella. Työssä tutkittiin ensiksi Kerberoksen teoriaa RFC-dokumentaatiosta, jotta protokollan normaalitoiminta oli selkeää, ja pystyttiin analysoimaan yksittäisellä pakettitasolla protokollan kukin viesti. Tämän jälkeen rakennettiin testiympäristö virtuaalitietokoneilla, joihin kohdistettiin erilaisia Kerberos-protokollaa hyödyntäviä hyökkäyksiä. Hyökkäyksien tuottama loki analysoitiin hyödyntämällä aiemmin teorian ja normaalin liikenteen tarkastelun kautta opittuja malleja.
Lopputuloksena luotiin konkreettisia säännöstöjä, joilla tulevia uhkia voidaan torjua tehokkaammin ja varmemmin. Tarkastelun alaisena olivat myös olemassa olevat säännöt, joihin tehtiin muutoksia tarpeen mukaan. Opinnäytetyössä on esitelty Kerberoksen toiminta ja tehty syventävää tutkimusta Kerberoksen eri heikkouksista. Nämä antavat tietoa automaattisen valvonnan rinnalla tehtävän manuaalisen tutkinnan avuksi. Työ täyttää näiden perusteella sille asetetut tavoitteet.
Työtä voisi vielä kehittää tutkimalla muita Kerberoksen haavoittuvuuksia, sillä työssä ei käsitellä aivan kaikkein harvinaisimpia tapauksia. Microsoft myös päivittää Kerberosta jatkuvasti, joten työn asiasisältöön tulee varmasti pieniä muutoksia, vaikkakin protokolla pysyy pääpiirteiltään samanlaisena. Näiden kehityskohteiden lisäksi suurimpana jatkuvan kehityksen alaisena asiana tulisi olla tuotetut säännöstöt. Kun valvottava ympäristö muuttuu jollakin tapaa, voi tulla tilanne, jossa ennen täysin käyvät säännöt eivät ole enää sopivia, vaan ne tuottavat vääriä hälytyksiä tai eivät hälytyksiä lainkaan. Tällöin sääntöjä tulisi muuttaa tarpeen mukaan.
Opinnäytetyössä tutkimusta tehtiin teoriatasolla ja käytännön kautta toteamisella. Työssä tutkittiin ensiksi Kerberoksen teoriaa RFC-dokumentaatiosta, jotta protokollan normaalitoiminta oli selkeää, ja pystyttiin analysoimaan yksittäisellä pakettitasolla protokollan kukin viesti. Tämän jälkeen rakennettiin testiympäristö virtuaalitietokoneilla, joihin kohdistettiin erilaisia Kerberos-protokollaa hyödyntäviä hyökkäyksiä. Hyökkäyksien tuottama loki analysoitiin hyödyntämällä aiemmin teorian ja normaalin liikenteen tarkastelun kautta opittuja malleja.
Lopputuloksena luotiin konkreettisia säännöstöjä, joilla tulevia uhkia voidaan torjua tehokkaammin ja varmemmin. Tarkastelun alaisena olivat myös olemassa olevat säännöt, joihin tehtiin muutoksia tarpeen mukaan. Opinnäytetyössä on esitelty Kerberoksen toiminta ja tehty syventävää tutkimusta Kerberoksen eri heikkouksista. Nämä antavat tietoa automaattisen valvonnan rinnalla tehtävän manuaalisen tutkinnan avuksi. Työ täyttää näiden perusteella sille asetetut tavoitteet.
Työtä voisi vielä kehittää tutkimalla muita Kerberoksen haavoittuvuuksia, sillä työssä ei käsitellä aivan kaikkein harvinaisimpia tapauksia. Microsoft myös päivittää Kerberosta jatkuvasti, joten työn asiasisältöön tulee varmasti pieniä muutoksia, vaikkakin protokolla pysyy pääpiirteiltään samanlaisena. Näiden kehityskohteiden lisäksi suurimpana jatkuvan kehityksen alaisena asiana tulisi olla tuotetut säännöstöt. Kun valvottava ympäristö muuttuu jollakin tapaa, voi tulla tilanne, jossa ennen täysin käyvät säännöt eivät ole enää sopivia, vaan ne tuottavat vääriä hälytyksiä tai eivät hälytyksiä lainkaan. Tällöin sääntöjä tulisi muuttaa tarpeen mukaan.