NTLM

Z AMP Sec
Přejít na: navigace, hledání

NTLM (NT LAN Manager) je autentifikační protokol společnosti Microsoft používaný spolu se SMB protokolem. Podobným protokolem je MS-CHAP který je používaný pro autentifikaci oproti Microsoft protokolu na vzdálený přístup. Kryptografická kalkulace je identická s MS-CHAP a je dokumentována jako dokumente RFC 2433 (pro verzi v1) a v dokumentu RFC 2759 pro verzi v2.Oba MS-CHAP (v1 a v2) byly prolomeny.

Jak protokol funguje

  • 1. Klient odešle serveru packet obsahující informace o podporovaných nebo požadovaných funkcích (velikosti šifrovacích klíčů, požadavek na vzájemnou autentizaci atd.)
  • 2. Server odpoví, jaké funkce umí, podporuje. Tím se vlastně dohodnou na vzájemných komunikačních podmínkách + náhodná výzva, která je o délce 8bitů
  • 3. Klient nakonec akcetuje serverem odeslaný paket, uživatelské jméno, heslo k výpočtu odpovědi. Tyto výpočetní metody jsou prováděny v md4, md5, šifrování DES. Pokud jsou informace správě "vyřešeny" dojde k autentizaci klienta.

HTTP Autentizace

Využívá se jako zapouzdření HTTP protokolu, případně i s proxy. Komunikace před GET nebo jiným požadavkem vypadá následovně:

  1. Klient: odešle požadavek.
  2. Server/proxy: odpoví chybou (nerozumí požadavku) a pošle NTLM (salt) (WWW-Authenticate: NTLM …).
  3. Klient: požadavek zopakuje + zašle NTLM info o sobě a spojí je s odpovědí ze serveru a zahashuje.

Dále na tomto otevřeném TCP socketu další NTML autentizaci neopakuje.