Kerberos dan Cara Kerjanya

Oleh : Elisabeth Vialliarvin 17/411853/EK/21503

Proses komunikasi pada zaman sekarang sebagian besar dilakukan melalui online. Namun,
keamanan pada proses pertukaran informasis secara online masih dianggap riskan dan kurang
dapat menjaga privasi. Protocol autentikasi konvensional dianggap sudah tidak relevan lagi Karena
tingkat kenyamanan dan keamanannya sudah tidak memenuhi kebutuhan user saat ini. Ancaman
serangan dapat terjadi dalam ebrbagai macam bentuk. Sehingga, orang-orang mulai menciptakan
suatu protocol baru yaitu protocol kerberos.
Protocol Kerberos merupakan protocol yang melibatkan pihak ketiga terpercaya, yang
nantinya akan memberikan autentikasi dua arah, baik terhadap client maupun servernya. Kerberos
dirancang untuk menyediakan autentifikasi menggunakan kombinasi secret key dan public key
kriptografi. Jadi, server tidak bertanggung jawab lagi atas account user, karena client dan server
sudah mempercayakan autentifikasi pada Kerberos. Kerberos menggunakan kunci kriptogradi
“tickets” untuk mengendalikan akses terhadap sumber daya server jaringan.

3 sub-protokol Kerberos :
1. Authentication Service (AS) Exchange : menyediakan Ticket Granting Ticket (TGT)
kepada klien dan membuat kunci sesi logon
2. Ticket Granting Ticket (TGT) Exchange : mendistribusikan kunci sesi layanan dan tiket
yang diasosiasikan
3. Client/Server (CS) Exchange : mengirimkan tiket sebagai pendaftaran kepada sebuah
layanan

Beberapa istilah pada Kerberos

1. Protocol : urutan yang disusun untuk menyelesaikan suatu tugas
2. Realm : jaringan yang menggunakan Kerberos
3. Ticket : sarana autentikasi antara user dengan server sekaligus petunjuk identitas
sementara yang dapat digunakan berkali-kali sampai expired time, dienkripsi dengan
server key
4. Principal : anggota yang identitasnya telah diverifikasi
5. Verifier : anggota jaringan Kerberos yang meminta jaminan identitas dari principal
6. Credential : kumpulan dari ticket dan authenticator yang dimiliki user

Komponen dari Kerberos

1. Application library : library penghubung client dan server
2. Encryption library : library untuk melakukan fungsi crypto
3. Database library : library yang mengatur database untuk Kerberos
4. Database administration program : mengatur operasi database Kerberos
5. Administration server : melayani perubahan database Kerberos
6. Authentication server : melakukan autentikasi dan membuat session key
7. Database propagation software : program yg mengatur replikasi dari database
8. User program : mengatur login dan password serta tiket
Cara kerja Kerberos
1. Informasi pribadi pengguna dimasukkan ke dalam computer klien Kerberos, lalu computer
tersebut mengirimkan request terhadap KDC untuk mengakses TGS dengan menggunakan
protocol AS exchange. Dalam request tersebut terdapat bukti identitas pengguna dalam
bentuk terenkripsi.
2. KDC menerima request dari klien Kerberos, lalu mencari master key yang dimiliki oleh
pengguna dalam layanan Active Directory untuk dienkripsi terhadap informasi identitas
yang terdapat dalam request yang dikirimkan. Jika identitas pengguna berhasil diverifikasi,
KDC akan meresponsnya dengan memberikan TGT dan sebuah session key dengan
menunjukkan protocol AS exchange.
3. Klien mengirimkan request TGS kepada KDC yang mengandung TGT yang sebelumnya
telah diterima, dan meminta akses terhadap beberapa layanan dalam server dengan
menggunakan protocol TGS exchange.
4. KDC selanjutnya menerima request, melakukan autentikasi terhadap pengguna, dan
merespon dengan memberikan tiket dan session key kepada pengguna untuk mengakses
server target dengan menggunakan protocol TGS Exchange.
5. Klien menerima request terhaadap server target yang mengandung tiket yang didapatkan
sebelumnya dengan menggunakan protocol CS exchange. Server target kemudian
melakukan autentikasi terhadap tiket yang bersangkutan, membalasnya dengan sebuah
session key sehingga klien dapat mengakses layanan yang tersedia dalam server.
6. Proses autentifikasi  ketika pengguna melakukan login, ia harus membuktikan keaslian
dirinya kepada Authentication Server. Server ini membentuk session key dan ecryption key
bagi pengguna, untuk mengacak password maupun isi percakapan.
7. Encryption key berfungsi sebagai tiket masuk, istilahhnya ticket-granting-ticket, ke dalam
server. Ticket akan dikirim kepada ticket granting server (TGS) yang akan memberikan
tiket untuk mengirim request layanan kepada server.
8. Tiket dibatasi rentang waktu, missal maksimal dapat digunakan dalam jangka waktu 8 jam.
Hal ini akan mengurangi potensi digunakannya tiket tersebut oleh orang lain.

Dari penjelasan di atas, dapat kita simpulkan bahwa Kerberos memberikan banyak keuntungan
baik bagi server maupun client. Namun, Kerberos juga memiliki keterbatasan.
Kelemahan Kerberos :
1. Walau menyediakan enkripsi kuat, Kerberos belum dapat mencegah serangan dengan
teknik password guessing
2. Kerberos menggunakan time stamp untuk mengetahui apakah authenticator yang dikirim
masih baru (bukan replay attack). Untuk itu dibutuhkan sinkronisasi waktu di seluruh jari
ngan. Program sinkronisasi waktu yang digunakan umumnya adalah ntpd. Namun, seperti
halnya service lain di jaringan, service ini juga memerlukan otentikasi. Jika tidak, maka
dapat terjadi lubang keamanan dalam bentuk replay attack.
3. Karena Kerberos belum menjadi standar sistem otentikasi, maka aplikasi yang
menggunakan Kerberos harus menambahkan suatu modul atau plugin agar dapat
menggunakan Kerberos.