kerberos

KERBEROS

KerberosUser Identifikasi dan Otentikasi Untuk mengakses sebuah server dibutuhkan identifikasi dan otentikasi Banyak cara untuk membuktikan identitas pengguna kepada layanan

tersebut, salah satunya adalah password Setiap server memiliki informasi account dan password dari tiap-tiap

user yang diperbolehkan mengakses server tersebut Contoh pada linux:

Account Information : berupa UID,GID, Default Shell,dll○ /etc/passwd

root:x:0:0:root:/root:/bin/bash

Authentication Information: password.○ /etc/shadow

root:$1$kZZNKr0/$.p/Eg3z6s4B7v9qX5oCT9/:13542:0:99999:7:::

Password dapat dilihat sebagai suatu shared secret , suatu rahasia yang hanya diketahui oleh pengguna dan server

Idealnya password hanya diketahui oleh user dan server

KerberosPermasalahan Otentikasi Pada Jaringan Tingkat kekuatan password yang dibuat lemah, sehingga

mudah ditebak orang lain (misalnya dengan Brute Force) Password sering dicuri dengan menggunakan tools oleh

cracker Aplikasi yang mengirim password tanpa dienkrip melalui

jaringan sangatlah rentan dan berbahaya Password yang dikirim melalui jaringan tidak dienkrip,

sehingga orang lain dapat “mendengar” dan mengetahui paket data yang sedang lewat di jaringan tersebut

Ada beberapa kelemahan menggunakan otentikasi lokal : User yang bisa mengambil /etc/passwd dan /etc/shadow, dengan

tools tertentu bisa mendapat seluruh password yang ada Jika kita sering berganti aplikasi dan setiap aplikasi butuh

otentikasi, berapa password yang harus dihafal

KerberosPermasalahan Otentikasi Pada Jaringan Internet tempat yang tidak aman Banyak protokol yang digunakan di internet tidak

memberikan sistem otentikasi yang aman Beberapa situs menggunakan Firewall untuk mengatasi

masalah keamanan jaringan Firewall itu hanya melindungi serangan dari luar saja Ancaman sering kali datang dari dalam Kerusakan dan kejahatan sering dilakukan dari dalam “Tidak ada komputer yang lebih aman daripada komputer

yang tidak terhubung ke dalam jaringan dan komputer tersebut mati”

KerberosSolusi

Dibutuhkan suatu protokol otentikasi jaringan yang dapat diandalkan

Perlu dilakukan pemusatan otentikasi untuk pengamanan dan pemanfaatannya untuk berbagai aplikasi.

Salah satunya adalah Kerberos

KerberosApa itu Kerberos?

Suatu protokol otentikasi jaringan Dirancang untuk memberikan otentikasi yang kuat

untuk aplikasi client/server Menggunakan secret key dan public key

cryptography

KerberosTujuan Kerberos

Untuk memungkinkan Client dan Server untuk saling mengotentikasi satu dengan yang lainnya

KerberosDasar-Dasar Kerberos Menciptakan suatu layanan yang tujuan satu-satunya

adalah untuk otentikasi Server tidak perlu mengurusi account pengguna Client dan Server harus mempercayai Kerberos

Authentication Server Authentication Server ini berperan sebagai pengenal

kepada mereka Pengguna dan layanan harus mempunyai shared secret

key yang telah terdaftar di Authentication Server Dikenal juga sebagai long-term key

Kerberos Kerberos tidak pernah mentransmisikan password di

dalam jaringan, terlepas dari apakah password sudah dienkripsi atau tidak

Menggunakan sistem tiket Kerberos menggunakan kunci cryptographic yang

disebut "tickets“ untuk mengendalikan akses terhadap sumber daya server jaringan

Pertukaran kunci Kerberos sangat sederhana tetapi sangat mengesankan

KerberosCara Kerja Kerberos Client membuat request kepada Authentication Server,

meminta untuk mengotentikasi dirinya terhadap server Request diberi digital signature oleh client yang dienkripsi

dengan menggunakan private key client (digitally signed client request)

Kerberos Client meng-enkripsi digitally signed request

menggunakan public key dari server Kerberos

Kerberos Client mengirimkan digitally signed and

encrypted request ke server Kerberos Server Kerberos men-dekripsi request

menggunakan private key-nya dan meng-otentifikasi pengirim request dengan cara mem-verifikasi digital signature pengirim menggunakan public key pengirim request Server Kerberos memiliki database yang

berisi seluruh public keys dari authorized users sehingga server Kerberos tidak perlu mengandalkan pengirim ataupun pihak ketiga untuk memverifikasi public key pengirim

Jika server Kerberos tidak memiliki public key pengirim request di dalam database-nya, maka digital signature tidak dapat diverifikasi

Demikian juga bila server Kerberos tidak memiliki public key pengirim request maka pengirim bukanlah seorang authorized user jaringan, sehingga request-nya akan ditolak

KerberosJika server Kerberos telah menerima request dan mengotentifikasi identitas pengirim request, maka server memverifikasi bahwa client memiliki otorisasi untuk mengakses sumber daya jaringan yang dimintaJika Kerberos telah menentukan bahwa client memiliki otoritas untuk mengakses server payroll, maka server Kerberos akan mengirimkan session ticket yang sama baik kepada client maupun ke server payrollUntuk mengirimkan session ticket kepada client, server Kerberos meng-enkripsi-nyamenggunakan public key dari cleintUntuk mengirimkan session ticket ke server payroll, server Kerberos menggunakan public key server payrollKetika menerima encrypted session ticket, baik client maupun server payroll akan mendekripsi-nya menggunakan private keys masing-masingSession ticket bisa di-tandatangani pula oleh server Kerberos untuk mencegah adanya ticket palsu yang dikirimkan ke client maupun ke sumber daya jaringan

KerberosClient kemudian mengirimkan copy dari ticket-nya ke server payrollSebelum mengirimkan ticket, client mengenkripsi ticket menggunakan public key server payroll

Kerberos Ketika menerima ticket yang di-enkripsi dari client, server

akan mendekripsi ticket menggunakan private key server Server payroll kemudian membandingkan ticket yang

diterima dari client dengan ticket yang berasal dari server Kerberosserver Jika ticket sesuai (match) maka client akan diperbolehkan untuk

terhubung ke server Jika ticket tidak sesuai maka client akan ditolak

Setelah koneksi terbentuk, sistem dapat meng-enkripsi komunikasi menggunakan session key atau public key dari client atau tidak menggunakan enkripsi sama sekali

KerberosKesimpulan

Proses otentikasi sangat kritikal dalam keamanan sistem komputer

Tanpa mengetahui identitas dari pengguna yang melakukan request terhadap suatu layanan, sulit menentukan apakah akan diizinkan atau tidak

Model otentikasi tradisional sudah tidak cocok lagi digunakan, karena hacker selalu mengawasi lalu lintas jaringan

Metode otentikasi yang kuat yang tidak menunjukkan password menjadi suatu keharusan

Untuk memenuhi kebutuhan tersebut, Kerberos merupakan sistem otentikasi yang cocok digunakan