Diferencia entre NTLM y Kerberos

El módulo de autenticación de Windows integrado de IIS implementa dos protocolos de autenticación principales: el protocolo de autenticación NTLM y Kerberos. Llama a tres proveedores de servicios de seguridad (SSP) diferentes: Kerberos, NTLM y Negotiate. Estos SSP y protocolos de autenticación están comúnmente disponibles y se usan en redes de Windows. NTLM implementa la autenticación NTLM y Kerberos implementa la autenticación Kerberos v5. La negociación es diferente porque no admite ningún protocolo de autenticación. Debido a que la autenticación integrada de Windows incluye varios protocolos de autenticación, requiere una fase de transacción antes de que pueda realizarse la autenticación entre el navegador web y el servidor. Durante esta fase de negociación, SSP Negotiate determina qué protocolo de autenticación usar entre el navegador web y el servidor.

Ambos protocolos son altamente seguros y capaces de autenticar clientes sin transmitir contraseñas a través de la red de ninguna forma, pero son limitados. La autenticación NTLM no funciona con servidores proxy HTTP porque requiere una conexión punto a punto entre el navegador web y el servidor para funcionar correctamente. La autenticación Kerberos solo está disponible en navegadores IE 5.0 y servidores web IIS 5.0 o posteriores. Solo funciona en máquinas que ejecutan Windows 2000 o superior y requiere que algunos puertos adicionales estén abiertos en los firewalls. NTLM no es tan seguro como Kerberos, por lo que siempre se recomienda utilizar Kerberos tanto como sea posible. Echemos un buen vistazo a ambos.

6 1″ src=”http://www.difference between.net/wp-content/uploads/2019/05/Difference-Between-NTLM-and-Kerberos.png” alt=”” width=”500″ height=” 189″>

¿Qué es NTLM?

NT LAN Manager es un protocolo de autenticación basado en desafío y respuesta que utilizan las computadoras con Windows que no son miembros de un dominio de Active Directory. El cliente inicia la autenticación a través de un mecanismo de desafío/respuesta basado en un protocolo de enlace de tres vías entre el cliente y el servidor. El cliente inicia la comunicación enviando un mensaje al servidor especificando sus capacidades de cifrado y que contiene el nombre de la cuenta del usuario. El servidor genera un valor aleatorio de 64 bits llamado nonce y responde a la solicitud del cliente devolviendo este nonce que contiene información sobre sus propias capacidades. Esta respuesta se llama el desafío. Luego, el cliente usa la cadena de desafío y su contraseña para calcular una respuesta, que transmite al servidor. Luego, el servidor valida la respuesta que recibió del cliente y la compara con la respuesta NTLM. Si ambos valores son iguales, la autenticación tiene éxito.

Descubre también la:  Diferencia entre MapReduce y Spark

¿Qué es Kerberos?

Kerberos es un protocolo de autenticación basado en vales que utilizan las computadoras con Windows que son miembros de un dominio de Active Directory. La autenticación Kerberos es el método preferido para las instalaciones internas de IIS. La autenticación Kerberos v5 fue diseñada por MIT y definida en RFC 1510. Windows 2000 y posteriores implementan Kerberos cuando se implementa Active Directory. Lo mejor de todo es que la cantidad de contraseñas que cada usuario debe memorizar para usar una red completa se reduce a una: la contraseña de Kerberos. Además, incorpora cifrado e integridad de mensajes para garantizar que los datos confidenciales de autenticación no se envíen a través de la red de forma clara. El sistema Kerberos opera a través de un conjunto de Centros de distribución centralizados o KDC. Cada KDC contiene una base de datos de nombres de usuario y contraseñas para usuarios y servicios habilitados para Kerberos.

Diferencia entre NTLM y Kerberos

Protocolo NTLM y Kerberos

– NTLM es un protocolo de autenticación basado en desafío y respuesta que utilizan las computadoras con Windows que no son miembros de un dominio de Active Directory. El cliente inicia la autenticación a través de un mecanismo de desafío/respuesta basado en un protocolo de enlace de tres vías entre el cliente y el servidor. Kerberos, por otro lado, es un protocolo de autenticación basado en tickets que solo funciona en máquinas que ejecutan Windows 2000 o superior y se ejecutan en un dominio de Active Directory. Ambos protocolos de autenticación se basan en criptografía de clave simétrica.

Apoyo

– Una de las principales diferencias entre los dos protocolos de autenticación es que Kerberos admite la suplantación y la delegación, mientras que NTLM solo admite la suplantación. La delegación es básicamente el mismo concepto que la suplantación de identidad, que solo implica realizar acciones en nombre de la identidad del cliente. Sin embargo, la suplantación solo funciona dentro del alcance de una sola máquina y la delegación también funciona en toda la red. Esto significa que el ticket de autenticación de ID de cliente original se puede reenviar a otro servidor en la red si el servidor al que se accedió originalmente tiene permiso para hacerlo.

Descubre también la:  Diferencia entre Norton y Avast

Seguridad

– Aunque ambos protocolos de autenticación son seguros, NTLM es menos seguro que Kerberos porque requiere una conexión punto a punto entre el navegador web y el servidor para funcionar correctamente. Kerberos es más seguro porque no transmite contraseñas a través de la red de forma clara. Es único en su uso de tickets que establecen la identidad de un usuario en un servidor específico sin enviar contraseñas a través de la red o almacenar contraseñas en el disco duro local del usuario. La autenticación Kerberos es el método preferido para las instalaciones internas de IIS (sitios web que solo usan clientes de dominio).

Autenticación

– Una de las principales ventajas de Kerberos sobre NTLM es que Kerberos proporciona autenticación mutua y se centra en un modelo cliente-servidor, lo que significa que tanto el cliente como el servidor están autenticados. Sin embargo, tanto el servicio como el cliente deben ejecutarse en Windows 2000 o superior, o la autenticación fallará. A diferencia de NTLM, que solo involucra el servidor y el cliente IIS7, la autenticación Kerberos también involucra un controlador de dominio de Active Directory.

NTLM frente a Kerberos: un

Resumen de NTLM vs. cerbero

Si bien ambos protocolos son capaces de autenticar a los clientes sin transmitir contraseñas a través de la red de ninguna forma, NTLM autentica a los clientes a través de un mecanismo de desafío/respuesta basado en un protocolo de enlace de tres vías entre el cliente y el servidor. Por otro lado, Kerberos es un protocolo de autenticación basado en tickets que es más seguro que NTLM y admite la autenticación mutua, lo que significa que se verifica la autenticidad tanto del cliente como del servidor. Además, Kerberos admite la suplantación y la delegación, mientras que NTLM solo admite la suplantación. NTLM no es tan seguro como Kerberos, por lo que siempre se recomienda utilizar Kerberos tanto como sea posible.

Photo of Wlip.es

Wlip.es

Somos entusiastas de la tecnología, la ciencia y sus avances. Nuestra curiosidad nunca se sacia y por eso intentamos investigar y conocer cada día más cosas. Te traemos las diferencias más curiosas sobre conceptos, cosas y mucho más.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *