kerberos
DESCRIPTION
KERBEROS. Kerberos. User Identifikasi dan Otentikasi Untuk mengakses sebuah server dibutuhkan identifikasi dan otentikasi Banyak cara untuk membuktikan identitas pengguna kepada layanan tersebut , salah satunya adalah password - PowerPoint PPT PresentationTRANSCRIPT
KERBEROS
KerberosUser Identifikasi dan Otentikasi Untuk mengakses sebuah server dibutuhkan identifikasi dan otentikasi Banyak cara untuk membuktikan identitas pengguna kepada layanan
tersebut, salah satunya adalah password Setiap server memiliki informasi account dan password dari tiap-tiap
user yang diperbolehkan mengakses server tersebut Contoh pada linux:
Account Information : berupa UID,GID, Default Shell,dll○ /etc/passwd
root:x:0:0:root:/root:/bin/bash
Authentication Information: password.○ /etc/shadow
root:$1$kZZNKr0/$.p/Eg3z6s4B7v9qX5oCT9/:13542:0:99999:7:::
Password dapat dilihat sebagai suatu shared secret , suatu rahasia yang hanya diketahui oleh pengguna dan server
Idealnya password hanya diketahui oleh user dan server
KerberosPermasalahan Otentikasi Pada Jaringan Tingkat kekuatan password yang dibuat lemah, sehingga
mudah ditebak orang lain (misalnya dengan Brute Force) Password sering dicuri dengan menggunakan tools oleh
cracker Aplikasi yang mengirim password tanpa dienkrip melalui
jaringan sangatlah rentan dan berbahaya Password yang dikirim melalui jaringan tidak dienkrip,
sehingga orang lain dapat “mendengar” dan mengetahui paket data yang sedang lewat di jaringan tersebut
Ada beberapa kelemahan menggunakan otentikasi lokal : User yang bisa mengambil /etc/passwd dan /etc/shadow, dengan
tools tertentu bisa mendapat seluruh password yang ada Jika kita sering berganti aplikasi dan setiap aplikasi butuh
otentikasi, berapa password yang harus dihafal
KerberosPermasalahan Otentikasi Pada Jaringan Internet tempat yang tidak aman Banyak protokol yang digunakan di internet tidak
memberikan sistem otentikasi yang aman Beberapa situs menggunakan Firewall untuk mengatasi
masalah keamanan jaringan Firewall itu hanya melindungi serangan dari luar saja Ancaman sering kali datang dari dalam Kerusakan dan kejahatan sering dilakukan dari dalam “Tidak ada komputer yang lebih aman daripada komputer
yang tidak terhubung ke dalam jaringan dan komputer tersebut mati”
KerberosSolusi
Dibutuhkan suatu protokol otentikasi jaringan yang dapat diandalkan
Perlu dilakukan pemusatan otentikasi untuk pengamanan dan pemanfaatannya untuk berbagai aplikasi.
Salah satunya adalah Kerberos
KerberosApa itu Kerberos?
Suatu protokol otentikasi jaringan Dirancang untuk memberikan otentikasi yang kuat
untuk aplikasi client/server Menggunakan secret key dan public key
cryptography
KerberosTujuan Kerberos
Untuk memungkinkan Client dan Server untuk saling mengotentikasi satu dengan yang lainnya
KerberosDasar-Dasar Kerberos Menciptakan suatu layanan yang tujuan satu-satunya
adalah untuk otentikasi Server tidak perlu mengurusi account pengguna Client dan Server harus mempercayai Kerberos
Authentication Server Authentication Server ini berperan sebagai pengenal
kepada mereka Pengguna dan layanan harus mempunyai shared secret
key yang telah terdaftar di Authentication Server Dikenal juga sebagai long-term key
Kerberos Kerberos tidak pernah mentransmisikan password di
dalam jaringan, terlepas dari apakah password sudah dienkripsi atau tidak
Menggunakan sistem tiket Kerberos menggunakan kunci cryptographic yang
disebut "tickets“ untuk mengendalikan akses terhadap sumber daya server jaringan
Pertukaran kunci Kerberos sangat sederhana tetapi sangat mengesankan
KerberosCara Kerja Kerberos Client membuat request kepada Authentication Server,
meminta untuk mengotentikasi dirinya terhadap server Request diberi digital signature oleh client yang dienkripsi
dengan menggunakan private key client (digitally signed client request)
Kerberos Client meng-enkripsi digitally signed request
menggunakan public key dari server Kerberos
Kerberos Client mengirimkan digitally signed and
encrypted request ke server Kerberos Server Kerberos men-dekripsi request
menggunakan private key-nya dan meng-otentifikasi pengirim request dengan cara mem-verifikasi digital signature pengirim menggunakan public key pengirim request Server Kerberos memiliki database yang
berisi seluruh public keys dari authorized users sehingga server Kerberos tidak perlu mengandalkan pengirim ataupun pihak ketiga untuk memverifikasi public key pengirim
Jika server Kerberos tidak memiliki public key pengirim request di dalam database-nya, maka digital signature tidak dapat diverifikasi
Demikian juga bila server Kerberos tidak memiliki public key pengirim request maka pengirim bukanlah seorang authorized user jaringan, sehingga request-nya akan ditolak
KerberosJika server Kerberos telah menerima request dan mengotentifikasi identitas pengirim request, maka server memverifikasi bahwa client memiliki otorisasi untuk mengakses sumber daya jaringan yang dimintaJika Kerberos telah menentukan bahwa client memiliki otoritas untuk mengakses server payroll, maka server Kerberos akan mengirimkan session ticket yang sama baik kepada client maupun ke server payrollUntuk mengirimkan session ticket kepada client, server Kerberos meng-enkripsi-nyamenggunakan public key dari cleintUntuk mengirimkan session ticket ke server payroll, server Kerberos menggunakan public key server payrollKetika menerima encrypted session ticket, baik client maupun server payroll akan mendekripsi-nya menggunakan private keys masing-masingSession ticket bisa di-tandatangani pula oleh server Kerberos untuk mencegah adanya ticket palsu yang dikirimkan ke client maupun ke sumber daya jaringan
KerberosClient kemudian mengirimkan copy dari ticket-nya ke server payrollSebelum mengirimkan ticket, client mengenkripsi ticket menggunakan public key server payroll
Kerberos Ketika menerima ticket yang di-enkripsi dari client, server
akan mendekripsi ticket menggunakan private key server Server payroll kemudian membandingkan ticket yang
diterima dari client dengan ticket yang berasal dari server Kerberosserver Jika ticket sesuai (match) maka client akan diperbolehkan untuk
terhubung ke server Jika ticket tidak sesuai maka client akan ditolak
Setelah koneksi terbentuk, sistem dapat meng-enkripsi komunikasi menggunakan session key atau public key dari client atau tidak menggunakan enkripsi sama sekali
KerberosKesimpulan
Proses otentikasi sangat kritikal dalam keamanan sistem komputer
Tanpa mengetahui identitas dari pengguna yang melakukan request terhadap suatu layanan, sulit menentukan apakah akan diizinkan atau tidak
Model otentikasi tradisional sudah tidak cocok lagi digunakan, karena hacker selalu mengawasi lalu lintas jaringan
Metode otentikasi yang kuat yang tidak menunjukkan password menjadi suatu keharusan
Untuk memenuhi kebutuhan tersebut, Kerberos merupakan sistem otentikasi yang cocok digunakan