Com­pu­ter­netz­wer­ke sind anfällig für Angriffe, wenn sie nicht aus­rei­chend gesichert sind. Schließ­lich möchte man nicht, dass jeder beliebige Nutzer Zugriff auf die geteilten Daten und Dienste erhält. Damit die richtigen Teil­neh­mer sich mit­ein­an­der verbinden können, müssen daher ge­si­cher­te Eingänge in das ansonsten ge­schlos­se­ne Netz bestehen. Dafür sind bestimmte Si­cher­heits­pro­ze­du­ren notwendig. Microsoft hat mit dem NT LAN Manager (NTLM) bereits früh ein Au­then­ti­fi­zie­rungs­ver­fah­ren ein­ge­führt, das heute al­ler­dings als veraltet gilt. Wie funk­tio­niert das Protokoll?

Was ist NTLM?

NTLM ist eine Sammlung von Au­then­ti­fi­zie­rungs­pro­to­kol­len des Software-Ent­wick­lers Microsoft. Gestartet als pro­prie­tä­res Protokoll, ist NTLM in­zwi­schen auch für Systeme, die nicht Windows verwenden, verfügbar. Der NT LAN Manager er­mög­licht, dass sich ver­schie­de­ne Computer und Server un­ter­ein­an­der au­then­ti­fi­zie­ren können. Die meisten Netzwerke wollen den Zugang von un­be­fug­ten Teil­neh­mern ver­hin­dern. Deshalb muss ein Über­prü­fungs­ver­fah­ren im­ple­men­tiert sein: Nur, wenn der Client ent­spre­chend au­to­ri­siert ist, darf er in das Netzwerk auf­ge­nom­men werden bzw. die Dienste des Netzes in Anspruch nehmen.

Das Protokoll sieht vor, dass sich ein Client mit Nut­zer­na­men und da­zu­ge­hö­ri­gem Passwort au­then­ti­fi­ziert. Dafür findet ein Austausch zwischen dem Gerät des Nutzers und einem Server statt. Letzterem sind die Log-in-Daten bekannt, weshalb der Server den Zugriff über­prü­fen und dann freigeben kann.

Wie funk­tio­niert die NTLM Au­then­ti­ca­ti­on?

NTLM verwendet ein Challenge/Response-Verfahren, um die Echtheit eines Netz­teil­neh­mers zu über­prü­fen. Dafür durch­lau­fen Client und Host mehrere Schritte:

  1. Der Client sendet einen Be­nut­zer­na­men an den Host.
  2. Der Host antwortet mit einer Zu­falls­zahl, der Challenge.
  3. Der Client erzeugt aus dieser Zahl und dem Be­nut­zer­pass­wort einen Hashwert und sendet diesen als Response zurück.
  4. Auch der Host, dem das Passwort ebenfalls bekannt ist, bildet den Hashwert und kann diesen dann mit der Antwort des Clients ab­glei­chen.
  5. Wenn beide Werte über­ein­stim­men, ist die Au­then­ti­zi­tät des Clients bestätigt und der Zugriff kann frei­ge­ge­ben werden. Sollte keine Über­ein­stim­mung statt­fin­den, wird der Client blockiert.
Bild: Austausch zwischen Client und Server bei der NTLM Authentication
Bei NTLM muss der Client erst eine Challenge erfüllen, bevor der Zugang zu Netz­werk­diens­ten frei­ge­ge­ben wird.
Fakt

Damit das Passwort bei der Über­tra­gung über das Netz nicht einfach von un­be­fug­ten Dritten aus­ge­le­sen werden kann, setzt man eine Hash­funk­ti­on ein. Dabei wird mithilfe einer ma­the­ma­ti­schen Funktion das Passwort in eine un­ver­ständ­li­che Zei­chen­fol­ge um­ge­wan­delt. Da diese Um­wand­lung nicht ohne weiteres rück­gän­gig gemacht werden kann, spielen Hash­funk­tio­nen in der Kryp­to­lo­gie eine große Rolle.

Bei der Ver­hand­lung zwischen Client und Host werden In­for­ma­tio­nen zum Teil in Form von NTLM Flags über­mit­telt. Dabei handelt es sich um einen Code mit einer Länge von 4 Byte. Die Nego­tia­ti­on­Flags, die sich zum Teil nur in einem Bit von­ein­an­der un­ter­schei­den, liefern In­for­ma­tio­nen über den Status des An­mel­de­ver­fah­rens.

An­wen­dungs­ge­bie­te von NTLM

Das NTLM Protocol ist dafür kon­zi­piert worden, mehrere Windows-Maschinen un­ter­ein­an­der oder mit einem Server zu verbinden. Das Verfahren sorgt dabei für Si­cher­heit, indem es die Zu­gangs­be­rech­ti­gung von Clients überprüft. Windows setzt NTLM als Single-Sign-on-Verfahren (SSO) ein: Nutzer müssen sich also nur einmal anmelden und haben dann Zugang zu ver­schie­de­nen An­wen­dun­gen innerhalb der Domäne.

In­zwi­schen gilt NTML als überholt und Microsoft setzt statt­des­sen auf Kerberos. Das neuere Au­then­ti­fi­zie­rungs­pro­to­koll ist sicherer. NTLM wird jedoch immer noch ein­ge­setzt, dann al­ler­dings vor allem, um ältere Dienste zu un­ter­stüt­zen. Als Ad­mi­nis­tra­tor eines größeren Netz­wer­kes kann es sinnvoll sein, das NTLM Protocol zu un­ter­bin­den, wenn dieses ei­gent­lich nicht benötigt wird. So kann man sicher sein, dass sich kein Client ver­se­hent­lich darüber einloggt und somit eine Si­cher­heits­lü­cke entsteht.

NTLM Protocol: Vor- und Nachteile der Methode

Vor­teil­haft ist, dass man für die Au­then­ti­fi­zie­rung per NTLM kein Passwort un­ge­si­chert über das Netz versenden muss. Nur in Form des Hashwerts findet eine Über­tra­gung von Client zum Server statt. Das sorgt durchaus für ein erhöhtes Si­cher­heits­ni­veau. Der Hashwert hat al­ler­dings den Nachteil, dass dieser äqui­va­lent zu einem Passwort ist. Wenn die Über­tra­gung ab­ge­fan­gen wird, kann die Si­cher­heit, die das System ei­gent­lich ver­spricht, dennoch in Gefahr geraten. Die Ver­schlüs­se­lung des Passworts geschieht per MD4. Dieses Verfahren gilt in­zwi­schen als unsicher. Mit relativ wenig Aufwand können solche Hashwerte ent­schlüs­selt werden.

Ein weiterer Nachteil ist die Tatsache, dass NTLM keine Multi Factor Au­then­ti­ca­ti­on (MFA) vorsieht. Besonders bei sensiblen Daten ist es mehr als sinnvoll, mehrere Me­cha­ni­ken zur Ab­si­che­rung zu im­ple­men­tie­ren. Das Challenge/Response-Verfahren bei NTLM er­mög­licht aber nur eine einzelne Au­then­ti­fi­zie­rungs­me­tho­de – und zwar per Nut­zer­na­me und Passwort.

Zum Hauptmenü