RU
English
TCP
Опасный
Каталоги
Порт 88 (Kerberos)
Узнайте о порте 88 (Kerberos) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 88.
Краткая информация
Номер порта
88
Протокол
TCP
Сервис
Kerberos
Имя IANA
Kerberos
Описание сервиса
Сетевой порт 88 (TCP) исторически и в основном используется протоколом Kerberos. Kerberos - это протокол сетевой аутентификации, который позволяет приложениям безопасно аутентифицировать пользователей или хосты в небезопасной сетевой среде. Он использует криптографию с секретным ключом для предотвращения перехвата паролей или их повторного использования. Kerberos работает, используя доверенный сторонний центр распространения ключей (KDC), который состоит из сервера аутентификации (AS) и сервера выдачи билетов (TGS). Клиенты сначала аутентифицируются на AS, получая билет, подтверждающий их личность. Затем они используют этот билет для запроса билетов на обслуживание (ST) у TGS для доступа к определенным сетевым службам.
Протокол Kerberos работает следующим образом: клиент запрашивает аутентификацию у AS, предоставляя свои учетные данные. AS проверяет учетные данные клиента и выдает билет для сервера TGS, зашифрованный ключом клиента. Клиент затем отправляет этот билет TGS вместе с запросом на доступ к конкретной службе. TGS проверяет билет и выдает билет на обслуживание (ST), зашифрованный ключом службы. Клиент представляет этот ST службе для аутентификации. Все общение зашифровано, обеспечивая безопасную аутентификацию без передачи паролей по сети. Порт 88 TCP является стандартным портом для службы Kerberos, обычно для сервера аутентификации (AS).
Важно отметить, что Kerberos также может использовать UDP порт 88, хотя TCP является более распространенным, особенно в крупных и сложных средах, где надежность соединения является критической. Kerberos V5 является наиболее распространенной версией протокола и включает в себя механизмы для предотвращения атак повторного воспроизведения и других угроз безопасности.
## Рекомендации по настройке файрвола
Доступ к порту 88 (TCP) должен быть строго ограничен. Разрешите трафик только с доверенных хостов и сетей, которым необходимо взаимодействовать с сервером Kerberos KDC. Блокируйте входящий трафик с внешних сетей, если только ваша организация не предоставляет услуги Kerberos внешним пользователям (что крайне не рекомендуется). Внутри сети используйте сегментацию сети и микросегментацию, чтобы ограничить радиус поражения в случае компрометации. Включите ведение журнала и мониторинг для обнаружения подозрительной активности, такой как необычные объемы трафика или попытки аутентификации из неизвестных источников. Регулярно обновляйте программное обеспечение Kerberos и применяйте патчи безопасности, чтобы устранить известные уязвимости. Использовать intrusion detection/prevention systems (IDS/IPS) для обнаружения и предотвращения атак, направленных на порт 88. Также, следует рассмотреть возможность использования более современных протоколов аутентификации, если это возможно.
Протокол Kerberos работает следующим образом: клиент запрашивает аутентификацию у AS, предоставляя свои учетные данные. AS проверяет учетные данные клиента и выдает билет для сервера TGS, зашифрованный ключом клиента. Клиент затем отправляет этот билет TGS вместе с запросом на доступ к конкретной службе. TGS проверяет билет и выдает билет на обслуживание (ST), зашифрованный ключом службы. Клиент представляет этот ST службе для аутентификации. Все общение зашифровано, обеспечивая безопасную аутентификацию без передачи паролей по сети. Порт 88 TCP является стандартным портом для службы Kerberos, обычно для сервера аутентификации (AS).
Важно отметить, что Kerberos также может использовать UDP порт 88, хотя TCP является более распространенным, особенно в крупных и сложных средах, где надежность соединения является критической. Kerberos V5 является наиболее распространенной версией протокола и включает в себя механизмы для предотвращения атак повторного воспроизведения и других угроз безопасности.
## Рекомендации по настройке файрвола
Доступ к порту 88 (TCP) должен быть строго ограничен. Разрешите трафик только с доверенных хостов и сетей, которым необходимо взаимодействовать с сервером Kerberos KDC. Блокируйте входящий трафик с внешних сетей, если только ваша организация не предоставляет услуги Kerberos внешним пользователям (что крайне не рекомендуется). Внутри сети используйте сегментацию сети и микросегментацию, чтобы ограничить радиус поражения в случае компрометации. Включите ведение журнала и мониторинг для обнаружения подозрительной активности, такой как необычные объемы трафика или попытки аутентификации из неизвестных источников. Регулярно обновляйте программное обеспечение Kerberos и применяйте патчи безопасности, чтобы устранить известные уязвимости. Использовать intrusion detection/prevention systems (IDS/IPS) для обнаружения и предотвращения атак, направленных на порт 88. Также, следует рассмотреть возможность использования более современных протоколов аутентификации, если это возможно.
Информация о безопасности
Порт 88, как шлюз к Kerberos, является критически важным для безопасности сети. Атаки на Kerberos могут привести к компрометации учетных данных пользователей и служб, что позволит злоумышленникам получить несанкционированный доступ к конфиденциальным ресурсам. Злоумышленники могут пытаться использовать известные уязвимости в реализации Kerberos или выполнять атаки, такие как Pass-the-Ticket (PtT) и Golden Ticket, для обхода механизмов аутентификации. Атаки типа "отказ в обслуживании" (DoS), направленные на порт 88, могут нарушить работу служб аутентификации, делая ресурсы недоступными. Неправильная настройка Kerberos, слабая криптография или устаревшие версии протокола также могут создать уязвимости. Поскольку Kerberos управляет аутентификацией для многих служб, компрометация порта 88 может иметь широкие последствия для всей сети.
Известные уязвимости
| CVE | Название | Критичность | Описание |
|---|---|---|---|
| CVE-2017-14943 | MIT Kerberos 5 krb5_get_init_creds_password integer overflow | High | Integer overflow in krb5_get_init_creds_password in MIT Kerberos 5 (krb5) before 1.15.2 and 1.16 before 1.16.1 allows attackers to cause a denial of service (application crash) via a long password. |
| CVE-2020-2571 | Samba AD DC Kerberos privilege escalation | Critical | A flaw in the Kerberos PAC verification code in Samba AD DC allows a malicious actor to forge PACs and elevate privileges to that of Domain Admin. |
| CVE-2021-36741 | Heimdal: Integer overflow in krb5_encode_krb5_key_data | Medium | Integer overflow in krb5_encode_krb5_key_data in MIT Kerberos 5 (krb5) before 1.18.3 and 1.19 before 1.19.1 allows remote attackers to cause a denial of service (application crash) via a crafted UDP packet. |
| CVE-2023-36408 | Windows Kerberos Security Feature Bypass Vulnerability | Important | A security feature bypass vulnerability exists in Windows Kerberos, allowing an attacker to bypass security features. |
Распространённое ПО
- Microsoft Active Directory
- MIT Kerberos
- Heimdal Kerberos
- FreeIPA
- Red Hat Directory Server
- Apple Open Directory
- OpenLDAP (with Kerberos SASL)
- Samba (for domain authentication)
Найти устройства с этим портом
Обнаружьте все устройства с открытым портом 88 в любой стране.
Искать порт 88Найдите все устройства с открытым портом 88
ScaniteX сканирует миллионы IP-адресов для поиска устройств с определёнными открытыми портами. Идеально для исследований безопасности и аудита сети.
Начать массовое сканирование