2 Kerberos [ Ilah Nursika ] Kerberos merupakan layanan autentikasi yang dikembangkan oleh MIT (Massachusetts Institute of Technology) Amerika Serikat, dengan bantuan dari Proyek Athena.Tujuannya adalah untuk memungkinkan pengguna (user) dan layanan (service) untuk saling mengautentikasi satu dengan yang lainnya. Dengan kata lain, saling menunjukkan identitasnya. Tentu saja ada banyak cara untuk menunjukkan identitas pengguna kepada layanan tersebut. Salah satu cara yang paling umum adalah dengan penggunaan password. Seseorang “log in” ke dalam server dengan mengetikkan username dan password, yang idealnya hanya diketahui oleh pengguna dan server tersebut.Server tersebut kemudian diyakinkan bahwa orang yang sedang berusaha mengaksesnya adalah benar-benar pengguna. Namun, penggunaan password ini memiliki banyak kelemahan. Misalnya seseorang memilih password yang mudah ditebak oleh orang lain dalam beberapa kali usaha percobaan. Dalam hal ini dikatakan bahwa password tersebut lemah. Masalah lainnya timbul ketika password ini akan dikirimkan melalui jaringan: Password tersebut harus melalui jaringan tanpa dienkripsi. Dengan kata lain, jika ada orang lain yang “mendengarkan” jaringan tersebut dapat mencegat password itu dan mendapatkannya kemudian menggunakannya untuk masuk sebagai pengguna. Inovasi utama dalam Kerberos adalah gagasan bahwa password tersebut dapat dilihat sebagai suatu shared Makalah Keamanan Komputer & Jaringan – Kelompok 1 1
17
Embed
ilahmudtz.files.wordpress.com€¦ · Web viewAda suatu cara untuk membuktikan bahwa kita mengetahui rahasia tersebut tanpa mengirimnya ke jaringan.Dalam perkembangan teknologi
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
2 Kerberos [ Ilah Nursika ]
Kerberos merupakan layanan autentikasi yang dikembangkan oleh MIT
(Massachusetts Institute of Technology) Amerika Serikat, dengan bantuan dari Proyek
Athena.Tujuannya adalah untuk memungkinkan pengguna (user) dan layanan (service)
untuk saling mengautentikasi satu dengan yang lainnya. Dengan kata lain, saling
menunjukkan identitasnya.
Tentu saja ada banyak cara untuk menunjukkan identitas pengguna kepada layanan
tersebut. Salah satu cara yang paling umum adalah dengan penggunaan password.
Seseorang “log in” ke dalam server dengan mengetikkan username dan password, yang
idealnya hanya diketahui oleh pengguna dan server tersebut.Server tersebut kemudian
diyakinkan bahwa orang yang sedang berusaha mengaksesnya adalah benar-benar
pengguna.
Namun, penggunaan password ini memiliki banyak kelemahan. Misalnya
seseorang memilih password yang mudah ditebak oleh orang lain dalam beberapa kali
usaha percobaan. Dalam hal ini dikatakan bahwa password tersebut lemah. Masalah
lainnya timbul ketika password ini akan dikirimkan melalui jaringan: Password tersebut
harus melalui jaringan tanpa dienkripsi. Dengan kata lain, jika ada orang lain yang
“mendengarkan” jaringan tersebut dapat mencegat password itu dan mendapatkannya
kemudian menggunakannya untuk masuk sebagai pengguna.
Inovasi utama dalam Kerberos adalah gagasan bahwa password tersebut dapat
dilihat sebagai suatu shared secret, sesuatu rahasia yang hanya pengguna dan server yang
mengetahuinya. Menunjukkan identitas dilakukan tanpa pengguna harus membuka
rahasia tersebut. Ada suatu cara untuk membuktikan bahwa kita mengetahui rahasia
tersebut tanpa mengirimnya ke jaringan.Dalam perkembangan teknologi informasi yang
semakin berkembang pesat saat ini, manusia dituntut untuk bergerak lebih cepat
mendapatkan informasi yang terbaru di bidang teknologi informasi dan komunikasi agar
tidak ketinggalan karena pengetahuan tersebut selalu up to date setiap harinya. Hubungan
antara informasi dan komunikasi dengan dunia jaringan komputer sangatlah
dekat.Sekarang komputer banyak digunakan untuk mendapatkan informasi, dan juga
sebagai salah satu alat komunikasi.
Dan Kerberos dibuat untuk menangani masalah otentikasi.kerberos memungkinkan
server dan cliet saling melakukan otentikasi sebelum membuat suatu koneksi. Kerberos
dalam keamanan computer adalah merujuk kepada sebuah protocol autentikasi yang
Makalah Keamanan Komputer & Jaringan – Kelompok 1 1
dikembangkan oleh Massachusetts Institute Technology (MIT). Protokol Kerberos
memiliki tiga subprotokol agar dapat melakukan aksinya:
1. Authentication Service (AS) Exchange: yang digunakan oleh Key Distribution
Center (KDC) untuk menyediakan Ticket-Granting Ticket (TGT) kepada klien dan
membuat kunci sesi logon.
2. Ticket-Granting Service (TGS) Exchange: yang digunakan oleh KDC untuk
mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan dengannya.
3. Client/Server (CS) Exchange: yang digunakan oleh klien untuk mengirimkan sebuah
tiket sebagai pendaftaran kepada sebuah layanan.
Sesi autentikasi Kerberos yang dilakukan antara klien dan server adalah sebagai berikut:
Gambar 5. Autentikasi Kerberos
Cara kerja protokol Kerberos
1. Informasi pribadi pengguna dimasukkan ke dalam komputer klien Kerberos, yang
kemudian akan mengirimkan sebuah request terhadap KDC untuk mengakses TGS
dengan menggunakan protokol AS Exchange. Dalam request tersebut terdapat
bukti identitas pengguna dalam bentuk terenkripsi.
2. KDC kemudian menerima request dari klien Kerberos, lalu mencari kunci utama
(disebut sebagai Master Key) yang dimiliki oleh pengguna dalam layanan direktori
Active Directory (dalam Windows 2000/Windows Server 2003) untuk selanjutnya
melakukan dekripsi terhadap informasi identitas yang terdapat dalam request yang
dikirimkan. Jika identitas pengguna berhasil diverifikasi, KDC akan meresponsnya
dengan memberikan TGT dan sebuah kunci sesi dengan menggunakan protokol AS
Exchange.
Makalah Keamanan Komputer & Jaringan – Kelompok 1 2
3. Klien selanjutnya mengirimkan request TGS kepada KDC yang mengandung TGT
yang sebelumnya diterima dari KDC dan meminta akses tehradap beberapa
layanan dalam server dengan menggunakan protokol TGS Exchange.
4. KDC selanjutnya menerima request, malakukan autentikasi terhadap pengguna,
dan meresponsnya dengan memberikan sebuah tiket dan kunci sesi kepada
pengguna untuk mengakses server target dengan menggunakan protokol TGS
Exchange.
5. Klien selanjutnya mengirimkan request terhadap server target yang mengandung
tiket yang didapatkan sebelumnya dengan menggunakan protokol CS Exchange.
Server target kemudian melakukan autentikasi terhadap tiket yang bersangkutan,
membalasnya dengan sebuah kunci sesi, dan klien pun akhirnya dapat mengakses
layanan yang tersedia dalam server.
6. Proses autentifikasinya cukup sederhana. Pertama kali pengguna hendak login ke
server, ia harus membuktikan keaslian dirinya kepada authentication server (AS).
Server ini akan membentuk session key dan encryption key bagi pengguna, untuk
mengacak password maupun isi percakapan yang terjadi antara pengguna dan
server.
7. Encryption key berfungsi sebagai tiket masuk, istilahnya ticket-granting-ticket, ke
dalam server. Dengannya, pengguna belum bisa melayangkan request layanan
(service). Selanjutnya, tiket ini akan dikirim kepada ticket granting server (TGS)
yang akan memberikan tiket untuk mengirim request layanan kepada service
server.
8. Tiket yang digunakan untuk melakukan request layanan dibatasi oleh rentang
waktu, biasanya 8 jam. Dengan demikan, potensi ancaman keamanan tiket ini
digunakan oleh orang lain di lain waktu dapat dikurangi.
2.1 Tahap – tahap Otentikasi
Cara kerja Kerberos melakukan otentikasi dapat dibagi menjadi empat tahap sebagai
berikut.
Makalah Keamanan Komputer & Jaringan – Kelompok 1 3
Gambar 6.Tahap 1 Authentication Exchange
Tahap pertama disebut Authentication Exchange.Pihak yang terlibat adalah
client dan KerberosAuthentication Server (AS). Untuk login ke jaringan, program di
sisi client (dikenal dengan kinit) akan meminta user untuk memasukkan username dan
password. Program ini akan menurunkan client key (KC) dari password dan
menghapus password sebenarnya di workstation tersebut. Usernameakan dikirim
melintasi jaringan ke AS. Jika username terdapat di database, maka AS akan
membuat Session Key 1 (SK1 atau KC,TGS) untuk komunikasi antara client dan
Ticket-granting Server (TGS).
Selain itu, AS juga membuat ticket untuk komunikasi antara client dan TGS
(disebut TicketgrantingTicket atau TGT atau TC,TGS). Selanjutnya KC,TGS dan
TC,TGS dienkripsi dengan TGS key (KTGS). Paket ini diperuntukkan untuk dibuka
hanya oleh TGS. Paket TGS dan KC,TGS dienkripsi dengan KC, lalu dikirimkan ke
client. Notasi untuk proses ini dapat ditunjukkan seperti di bawah ini: