NTLM: come funziona il protocollo

Le reti informatiche sono vulnerabili agli attacchi se non sono protette adeguatamente. L’obiettivo è quindi di impedire l’accesso non autorizzato ai dati e ai servizi condivisi da parte di terzi. Per permettere agli utenti legittimi di connettersi tra loro, è quindi necessario creare accessi sicuri alla rete che altrimenti sarebbe chiusa. A tal fine sono necessarie alcune procedure di sicurezza. Con NT LAN Manager (NTLM) Microsoft ha svolto la funzione di pioniere nell’introduzione di una procedura di autenticazione, considerata però adesso obsoleta. Come funziona il protocollo?

Che cos’è NTLM?

NTLM è un insieme di protocolli di autenticazione sviluppato da Microsoft. Avviato inizialmente come protocollo proprietario, NTLM è ora disponibile anche per i sistemi che non utilizzano Windows. NT LAN Manager consente l’autenticazione reciproca di computer e server diversi. La maggior parte delle reti ha l’obiettivo di impedire l’accesso a partecipanti non autorizzati. Per questo motivo è necessario attuare una procedura di verifica: solo se il client dispone delle autorizzazioni necessarie, può accedere alla rete o utilizzare i suoi servizi.

Il protocollo prevede l’autenticazione di un client mediante un nome utente e una password associata. A tal fine, avviene uno scambio tra il dispositivo dell’utente e un server. Quest’ultimo conosce i dati di login e quindi può controllare l’accesso e autorizzarlo.

Come funziona l’autenticazione NTLM?

Per verificare l’autenticità di un partecipante della rete, NTLM utilizza un metodo challenge-response. A tale scopo, il client e l’host svolgono diversi passaggi:

  1. Il client invia un nome utente all’host.
  2. L’host risponde con un numero casuale, la “sfida” o challenge.
  3. Il client genera da questo numero e dalla password utente un valore hash e lo invia come risposta.
  4. Anche l’host, che conosce la password, determina il valore hash e può quindi confrontarlo con quello della risposta del client.
  5. Se entrambi i valori corrispondono, l’autenticità del client viene confermata e l’accesso può essere concesso. Se invece non c’è corrispondenza, il client viene bloccato.
Scambio tra client e server durante l’autenticazione NTLM
Con il protocollo NTLM il client deve superare una “sfida” prima di poter accedere ai servizi di rete.
Fatto

Per evitare che durante la trasmissione in rete la password venga letta facilmente da terzi non autorizzati, si utilizza la funzione di hash. Si tratta di una funzione matematica che converte la password in una stringa incomprensibile. Poiché questa conversione non può essere prontamente invertita, le funzioni hash svolgono un ruolo importante nella crittologia.

Durante la negoziazione tra client e host, le informazioni vengono trasmesse in parte sotto forma di flag NTLM, che consistono in un codice lungo 4 byte. I Negotiation Flags, che in parte si differenziano tra loro anche di un solo bit, forniscono informazioni sullo stato della procedura di login.

Campi di applicazione di NTLM

Il protocollo NTLM è progettato per connettere più computer Windows tra loro o a un server. Il metodo garantisce la sicurezza controllando l’autorizzazione di accesso dei client. Windows utilizza NTLM come metodo Single Sign-On (SSO). Questo significa che gli utenti devono accedere una sola volta per utilizzare diverse applicazioni all’interno del dominio.

NTML è ormai considerato obsoleto e Microsoft lo sta rimpiazzando con Kerberos che offre un protocollo di autenticazione più sicuro. NTLM viene comunque ancora utilizzato, ma principalmente per supportare i servizi più datati. Per gli amministratori di reti più grandi può essere utile disabilitare il protocollo NTLM se non è effettivamente necessario. In questo modo, si impedisce a un client di effettuare l’accesso accidentalmente creando una falla di sicurezza.

Protocollo NTLM: vantaggi e svantaggi del metodo

Un vantaggio di NTML è che per l’autenticazione non bisogna inviare sulla rete password non protette. La trasmissione dal client al server avviene unicamente sotto forma di valore hash. Questo garantisce certamente un maggiore livello di sicurezza. Il valore hash ha, tuttavia, lo svantaggio di essere l’equivalente di una password. Se la trasmissione viene intercettata, può venir meno la sicurezza promessa dal sistema. La password è crittografata tramite MD4, una procedura considerata ormai poco sicura. Tali valori hash possono essere decodificati abbastanza facilmente.

Un ulteriore svantaggio è che NTLM non supporta l’autenticazione multifattore (MFA, Multi Factor Authentication). Soprattutto quando si tratta di dati sensibili, si consiglia di mettere in atto diversi meccanismi di protezione, mentre il metodo challenge-response di NTLM consente un solo metodo di autenticazione e cioè quello tramite nome utente e password.

Articoli simili

Autenticazione SMTP: e-mail sicure contro lo spam con il protocollo SMTP-Auth

Autenticazione SMTP: e-mail sicure contro lo spam con il protocollo SMTP-Auth

  • Tecnica e-mail

Il vostro server è configurato con SMTP-Auth? Gli spammer professionali approfittano di ogni relay aperto utilizzandolo per la distribuzione della loro posta indesiderata. Ciò non arreca disturbo soltanto ai destinatari della vostra posta elettronica, ma aumenta inutilmente il traffico sul vostro server e danneggia la vostra reputazione online. Una lacuna di sicurezza colmabile con un’unica…

Autenticazione SMTP: e-mail sicure contro lo spam con il protocollo SMTP-Auth
Che cos’è il protocollo Internet (IP)?

Che cos’è il protocollo Internet (IP)?

  • Know How

I protocolli ricoprono un ruolo fondamentale nella connessione dei sistemi di computer. Così ad esempio il protocollo Internet, che è stato rilasciato in una prima specificazione già nel 1981, è una base irrinunciabile per consentire senza difficoltà l’invio e la ricezione dei pacchetti. Ma che cosa si nasconde dietro lo standard RFC? E come funziona il protocollo Internet nello specifico?

Che cos’è il protocollo Internet (IP)?
ICMP: che cos’è e come viene utilizzatoagsandrewShutterstock

ICMP: che cos’è e come viene utilizzato

  • Know How

Sono numerosi i protocolli che assicurano la comunicazione e il trasferimento di dati nelle reti di computer. Il più importante è l’Internet Protocol, che pur ricoprendo un ruolo fondamentale non sarebbe così versatile senza le sue molteplici estensioni. L’Internet Control Message Protocol (ICMP), ad esempio, gestisce lo scambio dei messaggi di errore e dei report di stato: vediamo che cos’è…

ICMP: che cos’è e come viene utilizzato
Porte TCP e UDP: lista delle porte più importanti

Porte TCP e UDP: lista delle porte più importanti

  • Know How

I protocolli regolano la comunicazione su Internet. Affinché i pacchetti di dati possano entrare e uscire dai sistemi, è necessario aprire le porte. Queste cosiddette porte rappresentano quindi un aspetto importante di Internet. Esistono oltre 65.000 possibili porte UDP e TCP, divise in Well Known Ports, Registered Ports e porte dinamiche. Quali sono quelle importanti?

Porte TCP e UDP: lista delle porte più importanti
Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie. Scopri di più sull’uso dei cookie e sulla possibilità di modificarne le impostazioni o negare il consenso.