WindowsのActive Directory環境下では主要な認証プロトコルとしてKerberosが用いられるため、認証に関するトラブルシューティングや攻撃手法の調査・解析を行う際にはKerberos認証のネットワーク通信を詳細に調べる必要があります。
一方でKerberos認証の通信データや互いにやり取りされるチケットは肝心な部分が各種の「鍵」で暗号化されており、Wiresharkでそのままパケットを表示させてもすべてを平文で見ることはできません。
本実践講座では基本的なKerberos認証の流れを説明するとともに、Active Directory環境下におけるKerberos認証の通信データをWireshark上で復号する手法について解説します。
【資料】http://www.sec-pro.net/WiresharkKerberosDecryption.pdf
【サンプルデータ】http://www.sec-pro.net/WiresharkKerberosDecryption.zip
Comments