UDP Опасный Каталоги

Порт 88 (Kerberos)

Узнайте о порте 88 (Kerberos) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 88.

Краткая информация

Номер порта

Протокол

UDP

Сервис

Kerberos

Имя IANA

Kerberos

Описание сервиса

Сетевой порт UDP 88 обычно ассоциируется с протоколом Kerberos, который является протоколом сетевой аутентификации. Он разработан для предоставления надежной аутентификации для клиент-серверных приложений посредством использования секретной криптографии. Kerberos функционирует на основе доверенного третьего лица, известного как Key Distribution Center (KDC). KDC хранит секретные ключи всех пользователей и сервисов в сети. Когда клиент желает получить доступ к сервису, он запрашивает у KDC Ticket-Granting Ticket (TGT). Этот TGT затем используется для получения сервисного билета (service ticket), который позволяет клиенту аутентифицироваться на целевом сервисе.

Kerberos предотвращает передачу паролей по сети, вместо этого используя билеты, зашифрованные с использованием секретных ключей. Процесс включает в себя несколько этапов: аутентификация клиента в KDC, запрос сервисного билета для целевого сервиса и, наконец, использование этого билета для аутентификации на самом сервисе. UDP 88 часто используется для связи с KDC, в частности с Authentication Service (AS) и Ticket Granting Service (TGS). Хотя TCP порт 88 также может использоваться, особенно для больших билетов или в средах с проблемами фрагментации UDP, UDP является предпочтительным по умолчанию для запросов Kerberos.

## Рекомендации по настройке файрвола

Порт UDP 88 должен быть строго ограничен и разрешен только для доверенных источников, таких как серверы Kerberos и клиенты, которым требуется аутентификация. Блокировка порта 88 может прервать аутентификацию Kerberos и предотвратить доступ пользователей к сетевым ресурсам, поэтому крайне важно тщательно оценить влияние этого действия. В идеале, доступ к порту 88 должен быть ограничен внутренними сетями, а внешний доступ должен быть заблокирован. Необходимо использовать межсетевые экраны для фильтрации трафика, разрешая только соединения от известных и авторизованных клиентов и серверов. Регулярно проверяйте правила межсетевого экрана и журналы, чтобы выявлять подозрительную активность и обеспечивать правильную конфигурацию.

Информация о безопасности

Протокол Kerberos, хотя и надежный, не застрахован от уязвимостей. Распространенные атаки включают в себя атаки типа "pass-the-ticket", когда злоумышленник, получивший действующий билет Kerberos, может выдать себя за аутентифицированного пользователя. Также существуют атаки типа "golden ticket", при которых злоумышленник, скомпрометировавший ключ Kerberos, может создать билеты для любого пользователя или сервиса. Кроме того, неверные конфигурации, слабые пароли и отсутствие регулярной ротации ключей могут значительно увеличить поверхность атаки. Отсутствие защиты от перехвата трафика может позволить злоумышленнику получить билеты, если они не защищены дополнительными механизмами шифрования. Порт 88 является критически важным, поскольку это входная точка для аутентификации, и его компрометация может привести к масштабному нарушению безопасности сети.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2017-14943	MIT Kerberos 5 Vulnerability	Medium	MIT Kerberos 5 (aka krb5) before 1.15.4 and 1.16 before 1.16.1 has a NULL pointer dereference in krb5_klog_syslog in klog.c.
CVE-2021-37750	MIT Kerberos 5 Vulnerability	Medium	MIT Kerberos 5 (krb5) before 1.18.3 and 1.19 before 1.19.1 has a KDC crash related to an attempted duplicate entry in the global policy cache.