NTLM vs Kerberos

agnusdei·2025년 8월 25일
0

CTF

목록 보기
69/154

🔐 NTLM vs Kerberos 상세 비교

1. 기본 개념 및 동작 방식

🔸 NTLM (NT LAN Manager)

  • Challenge-Response 기반 인증

  • 흐름:

    1. 클라이언트 → 서버 : 사용자 이름 전송
    2. 서버 → 클라이언트 : 난수(Challenge) 제공
    3. 클라이언트 : Challenge를 비밀번호 해시(NT Hash)로 암호화하여 응답
    4. 서버 : 도메인 컨트롤러(DC)에 해당 해시 전달 → SAM/NTDS에서 비교 검증

➡️ 비밀번호 해시 기반 비교 방식이라, 패스-더-해시(PT-H) 공격이 대표적 위협

🔸 Kerberos

  • 대칭키 기반 티켓 인증 프로토콜 (RFC 4120, MIT Kerberos 기원)

  • Active Directory에서는 KDC = Domain Controller

  • 흐름:

    1. AS-REQ (Authentication Service Request)
      클라이언트 → KDC : 사용자 인증 요청 (ID + timestamp)
    2. AS-REP
      KDC → 클라이언트 : TGT 발급 (사용자 암호 해시로 보호됨)
    3. TGS-REQ (Ticket Granting Service Request)
      클라이언트가 TGT 제시 + 서비스 접근 요청
    4. TGS-REP
      KDC가 서비스 티켓(Service Ticket) 발급
    5. AP-REQ / AP-REP
      클라이언트가 서비스에 접속 시 Service Ticket 제시 → 서버가 검증 후 세션 시작

➡️ 양방향 인증(Mutual Authentication) 가능, 세션 키 기반 보안성 높음

2. 보안적 차이

구분NTLMKerberos
인증 구조Challenge-Response (서버 ↔ 클라이언트)티켓 기반 (KDC: AS + TGS)
신뢰 모델서버 단독 비교 (도메인 컨트롤러 필요 시 SAM/NTDS 참조)중앙 집중식 신뢰 모델 (KDC/DC 필수)
인증 방향단방향 (클라이언트 → 서버)양방향 (클라이언트 ↔ 서버)
암호화 방식해시(NT Hash, LM Hash - 구버전)대칭키 기반 암호화 (AES, DES, RC4 등)
주요 취약점- Pass-the-Hash (자격 증명 탈취)
- Replay Attack
- 무차별 대입 공격		- Pass-the-Ticket 공격
- Golden Ticket, Silver Ticket 공격 (KDC 키 유출 시 치명적)
- 시간 동기화 취약성
보안 강도낮음 → 현대 환경에서는 Legacy 호환용높음 → AD 환경의 기본 표준

3. 운영 및 관리 측면

  • NTLM

    • 도메인 컨트롤러 없이도 사용 가능 → 단순한 워크그룹 환경에서 유용
    • 하지만 도메인 기반 엔터프라이즈 환경에서는 보안 취약
    • Microsoft는 장기적으로 폐기(Deprecate) 방향

  • Kerberos

    • AD 환경 표준 (Windows 2000 이후 기본)
    • 시간 동기화 필수 (Kerberos 티켓 유효기간 기본 10시간, 5분 오차 허용)
    • 티켓 기반이라 Single Sign-On (SSO) 지원 → 기업 환경 적합

4. 공격 관점 비교 (Red Team / Pentest 관점)

  • NTLM

    • 공격: Pass-the-Hash, NTLM Relay 공격
    • 툴: Mimikatz, Responder 등
    • 대응: NTLM 비활성화, SMB 서명 사용

  • Kerberos

    • 공격:

      • Golden Ticket (KRBTGT 계정 해시 탈취 → 모든 티켓 위조 가능)
      • Silver Ticket (Service Account 해시 탈취 → 특정 서비스 접근 위조)
      • Pass-the-Ticket (티켓 재사용)

    • 툴: Mimikatz, Rubeus

    • 대응:

      • KRBTGT 주기적 변경
      • Kerberos Armoring (FAST)
      • Monitoring (Event ID 4768, 4769)

5. 정리 (기술사 수준 요약 문장)

  • NTLM 은 해시 기반 Challenge-Response 모델로, 워크그룹 호환성은 뛰어나나 Pass-the-Hash 공격에 근본적으로 취약하다.
  • Kerberos 는 중앙 집중식 KDC와 티켓 기반 인증 모델을 활용하여 SSO, 양방향 인증, 암호화된 세션 키 제공 등 현대 보안 요구사항에 적합하나, KDC(도메인 컨트롤러)가 신뢰의 단일 장애점(SPOF)이 되며, KRBTGT 키가 유출될 경우 Golden Ticket 공격으로 전체 도메인이 위협받는다.

➡️ 따라서 실무에서는 Kerberos를 기본으로 사용하되, 레거시 시스템 호환성 때문에 남아 있는 NTLM을 점진적으로 제거하는 것이 보안 모범 사례이다.

profile
agnusdei
DevSecOps ⚙️ + CTF🚩
이전 포스트

windows log

다음 포스트

https (TLS handshake) process

0개의 댓글