Bagaimana Cara Kerja Otentikasi Kerberos?

Diterbitkan: 2022-10-12

Meskipun Kerberos adalah sistem back-end, ia terintegrasi dengan mulus sehingga sebagian besar pengguna atau administrator mengabaikan keberadaannya.

Apa itu Kerberos, dan Bagaimana Cara Kerjanya?

Jika Anda menggunakan email atau layanan online lainnya yang memerlukan login untuk mengakses sumber daya, kemungkinan Anda mengautentikasi melalui sistem Kerberos.

Mekanisme otentikasi aman yang dikenal sebagai Kerberos menjamin komunikasi yang aman antara perangkat, sistem, dan jaringan. Tujuan utamanya adalah untuk melindungi data dan informasi login Anda dari peretas.

informasi masuk

Kerberos didukung oleh semua sistem operasi populer, termasuk Microsoft Windows, Apple macOS, FreeBSD, dan Linux.

Model keamanan lima tingkat yang digunakan oleh Kerberos terdiri dari otentikasi bersama dan kriptografi kunci simetris. Memverifikasi identitas seseorang memungkinkan pengguna yang berwenang untuk masuk ke sistem.

Ini menggabungkan database pusat dan enkripsi untuk mengkonfirmasi legitimasi pengguna dan layanan. Server Kerberos pertama-tama mengautentikasi pengguna sebelum mengizinkan mereka mengakses layanan. Mereka kemudian diberikan tiket yang dapat mereka gunakan untuk mengakses layanan jika mereka berhasil diautentikasi.

Intinya, Kerberos mengandalkan “tiket” untuk memungkinkan pengguna berkomunikasi satu sama lain dengan aman. Protokol Kerberos menggunakan Key Distribution Center (KDC) untuk membangun komunikasi antara klien dan server.

Saat menggunakan protokol Kerberos, server menerima permintaan dari klien. Setelah itu, server membalas dengan respons yang berisi token. Klien kemudian mengeluarkan permintaan ke server dan tiket.

Ini adalah metode penting yang menjamin keamanan data yang ditransfer di seluruh sistem. Ini dikembangkan oleh Massachusetts Institute of Technology (MIT) pada tahun 1980 untuk mengatasi masalah koneksi jaringan yang tidak aman dan sekarang termasuk dalam banyak sistem yang berbeda.

Dalam artikel ini, kita akan melihat secara spesifik keunggulan Kerberos, aplikasi praktis, cara pengoperasiannya selangkah demi selangkah, dan seberapa amannya.

Manfaat Otentikasi Kerberos

Dalam lingkungan komputasi terdistribusi yang luas, sistem komputer dapat dengan aman mengidentifikasi dan berkomunikasi satu sama lain karena protokol otentikasi jaringan yang dikenal sebagai Kerberos.

Menggunakan kriptografi kunci rahasia, Kerberos dimaksudkan untuk menawarkan otentikasi yang kuat untuk aplikasi klien/server. Protokol ini meletakkan dasar untuk keamanan aplikasi, dan enkripsi SSL/TLS sering digunakan dalam kombinasi dengannya.

Protokol otentikasi Kerberos yang banyak digunakan menawarkan beberapa keuntungan yang membuatnya lebih menarik bagi UKM dan perusahaan besar.

Pertama-tama, Kerberos sangat dapat dipercaya; itu telah diuji terhadap beberapa serangan yang paling kompleks dan telah terbukti kebal terhadap mereka. Selain itu, Kerberos mudah diatur, digunakan, dan diintegrasikan ke dalam beberapa sistem.

Manfaat unik

  • Sistem tiket unik yang digunakan oleh Kerberos memungkinkan autentikasi lebih cepat.
  • Layanan dan klien dapat saling mengotentikasi satu sama lain.
  • Periode otentikasi sangat aman karena cap waktu yang terbatas.
  • Memenuhi persyaratan sistem terdistribusi modern
  • Dapat digunakan kembali saat stempel waktu tiket masih berlaku, Keaslian mencegah pengguna memasukkan kembali informasi login mereka untuk mengakses sumber daya lainnya.
  • Beberapa kunci rahasia, otorisasi pihak ketiga, dan kriptografi memberikan keamanan terbaik.

Seberapa amankah Kerberos?

Kami telah melihat bahwa Kerberos menggunakan proses otentikasi yang aman. Bagian ini akan mengeksplorasi bagaimana penyerang dapat melanggar keamanan Kerberos.

securekerberos

Selama bertahun-tahun, protokol aman Kerberos telah digunakan: Sebagai ilustrasi, sejak peluncuran Windows 2000, Microsoft Windows telah menjadikan Kerberos sebagai mekanisme otentikasi standar.

Layanan autentikasi Kerberos menggunakan enkripsi kunci rahasia, kriptografi, dan autentikasi pihak ketiga tepercaya untuk berhasil melindungi data sensitif saat transit.

Untuk meningkatkan keamanan, Advanced Encryption Standard (AES) digunakan oleh Kerberos 5, versi terbaru, untuk memastikan komunikasi yang lebih aman dan menghindari intrusi data.

Pemerintah AS telah mengadopsi AES karena sangat efektif dalam melindungi informasi rahasianya.

Namun, dikatakan bahwa tidak ada platform yang sepenuhnya aman, dan Kerberos tidak terkecuali. Meskipun Kerberos adalah yang paling aman, bisnis harus terus-menerus memeriksa permukaan serangan mereka untuk menjaga agar tidak dimanfaatkan oleh peretas.

Sebagai hasil dari penggunaannya yang luas, peretas berusaha untuk mengungkap celah keamanan dalam infrastruktur.

Berikut adalah beberapa tipikal serangan yang mungkin terjadi:

  • Serangan Tiket Emas: Ini adalah serangan yang paling merusak. Dalam serangan ini, penyerang membajak layanan distribusi kunci pengguna asli menggunakan tiket Kerberos. Ini terutama menargetkan lingkungan Windows dengan Active Directory (AD) yang digunakan untuk hak akses kontrol.
  • Serangan Tiket Perak: Tiket otentikasi layanan palsu disebut sebagai tiket perak. Seorang peretas dapat menghasilkan Tiket Perak dengan menguraikan kata sandi akun komputer dan menggunakannya untuk membuat tiket otentikasi palsu.
  • Lulus tiket: Dengan menghasilkan TGT palsu, penyerang membuat kunci sesi palsu dan menyajikannya sebagai kredensial yang sah.
  • Lulus serangan hash: Taktik ini memerlukan mendapatkan hash kata sandi NTLM dari pengguna dan kemudian mentransmisikan hash untuk otentikasi NTLM.
  • Kerberoasting: Serangan ini bertujuan untuk mengumpulkan hash sandi untuk akun pengguna Active Directory dengan nilai servicePrincipalName (SPN), seperti akun layanan, dengan menyalahgunakan protokol Kerberos.

Mitigasi Risiko Kerberos

Langkah-langkah mitigasi berikut akan membantu mencegah serangan Kerberos:

mitigasi risiko
  • Mengadopsi perangkat lunak modern yang memantau jaringan sepanjang waktu dan mengidentifikasi kerentanan secara real-time.
  • Least Privilege: Ini menyatakan bahwa hanya pengguna, akun, dan proses komputer yang harus memiliki izin akses yang diperlukan bagi mereka untuk melakukan pekerjaan mereka. Dengan melakukan ini, akses tidak sah ke server, terutama KDC Server dan pengontrol domain lainnya, akan dihentikan.
  • Mengatasi Kerentanan Perangkat Lunak , termasuk kerentanan zero-day.
  • Jalankan mode terlindung dari Layanan Subsistem Otoritas Keamanan Lokal (LSASS) : LSASS menghosting berbagai plugin, termasuk otentikasi NTLM dan Kerberos, dan bertanggung jawab menyediakan layanan masuk tunggal kepada pengguna.
  • Otentikasi Kuat : Standar untuk pembuatan kata sandi. Kata sandi yang kuat untuk akun administratif, lokal, dan layanan.
  • Serangan DOS (Denial of service) : Dengan membebani KDC dengan permintaan otentikasi, penyerang dapat meluncurkan serangan denial-of-service (DoS). Untuk mencegah serangan dan menyeimbangkan beban, KDC harus ditempatkan di belakang firewall, dan KDC redundan tambahan harus dikerahkan.

Apa saja langkah-langkah dalam Alur Protokol Kerberos?

Arsitektur Kerberos terutama terdiri dari empat elemen penting yang menangani semua operasi Kerberos:

  • Server Otentikasi (AS): Proses otentikasi Kerberos dimulai dengan Server Otentikasi. Klien harus terlebih dahulu masuk ke AS menggunakan nama pengguna dan kata sandi untuk menetapkan identitas mereka. Ketika ini selesai, AS mengirimkan nama pengguna ke KDC, yang kemudian mengeluarkan TGT.
  • Pusat Distribusi Kunci (KDC): Tugasnya adalah untuk melayani sebagai penghubung antara Server Otentikasi (AS) dan Layanan Pemberian Tiket (TGS), menyampaikan pesan dari AS dan mengeluarkan TGT, yang kemudian diteruskan ke TGS untuk enkripsi.
  • Tiket Pemberian Tiket (TGT): TGT dienkripsi dan berisi informasi tentang layanan mana yang diizinkan untuk diakses oleh klien, berapa lama akses tersebut diotorisasi, dan kunci sesi untuk komunikasi.
  • Layanan Pemberian Tiket (TGS): TGS adalah penghalang antara klien yang memiliki TGT dan berbagai layanan jaringan. TGS kemudian membuat kunci sesi setelah mengautentikasi TGT yang dibagikan oleh server dan klien.

Berikut ini adalah alur bertahap dari Kerberos Authentication :

  • Login pengguna
  • Seorang klien meminta server yang memberikan tiket.
  • Server memeriksa nama pengguna.
  • Mengembalikan tiket klien setelah hibah.
  • Seorang klien mendapatkan kunci sesi TGS.
  • Seorang klien meminta server untuk akses ke layanan.
  • Sebuah server memeriksa layanan.
  • Kunci Sesi TGS diperoleh oleh server.
  • Server membuat Kunci Sesi Layanan.
  • Seorang klien menerima kunci sesi layanan.
  • Seorang klien menghubungi layanan.
  • Layanan Dekripsi.
  • Layanan memeriksa permintaan.
  • Layanan diautentikasi ke klien.
  • Seorang klien mengkonfirmasi layanan.
  • Seorang klien dan layanan berinteraksi.

Apa aplikasi dunia nyata yang menggunakan Kerberos?

Di tempat kerja modern yang berbasis internet dan terhubung, Kerberos secara signifikan lebih berharga karena sangat baik di Single-Sign-On (SSO).

Microsoft Windows saat ini menggunakan otentikasi Kerberos sebagai metode otorisasi standarnya. Kerberos juga didukung oleh Apple OS, FreeBSD, UNIX, dan Linux.

aplikasi kerberos

Selain itu, ini telah menjadi norma untuk situs web dan aplikasi Single-Sign-On di semua platform. Kerberos telah meningkatkan keamanan internet dan penggunanya sekaligus memungkinkan pengguna untuk melakukan lebih banyak tugas secara online dan di kantor tanpa mempertaruhkan keselamatan mereka.

Sistem operasi dan program perangkat lunak populer sudah menyertakan Kerberos, yang telah menjadi bagian penting dari infrastruktur TI. Ini adalah teknologi otorisasi standar Microsoft Windows.

Ini menggunakan kriptografi yang kuat dan otorisasi tiket pihak ketiga untuk mempersulit peretas mengakses jaringan perusahaan. Organisasi dapat menggunakan internet dengan Kerberos tanpa khawatir membahayakan keamanan mereka.

Aplikasi Kerberos yang paling terkenal adalah Microsoft Active Directory, yang mengontrol domain dan melakukan otentikasi pengguna sebagai layanan direktori standar yang disertakan dalam Windows 2000 dan yang lebih baru.

Apple, NASA, Google, Departemen Pertahanan AS, dan institusi di seluruh negeri termasuk di antara pengguna yang lebih terkenal.

Di bawah ini adalah beberapa contoh sistem dengan dukungan Kerberos bawaan atau yang dapat diakses:

  • Layanan Web Amazon
  • Google Cloud
  • Unix Hewlett Packard
  • Eksekutif IBM Advanced Interactive
  • Microsoft Azure
  • Microsoft Windows Server dan AD
  • Oracle Solaris
  • OpenBSD

Sumber daya tambahan

Pratinjau Produk Peringkat Harga
Kerberos: Panduan Definitif: Panduan Definitif Kerberos: Panduan Definitif: Panduan Definitif Belum ada peringkat $23,74 Beli di Amazon
Pratinjau Produk Peringkat Harga
Implementasi Keamanan Otentikasi dan Transaksi: Keamanan Jaringan menggunakan Kerberos Implementasi Keamanan Otentikasi dan Transaksi: Keamanan Jaringan menggunakan Kerberos Belum ada peringkat $48,00 Beli di Amazon
Pratinjau Produk Peringkat Harga
Konfigurasi Cepat Openldap dan Kerberos Di Linux dan Otentikasi Linux ke Active Directory Konfigurasi Cepat Openldap dan Kerberos Di Linux dan Otentikasi Linux ke Active Directory Belum ada peringkat $5,17 Beli di Amazon

Kesimpulan

Metode otentikasi yang paling banyak digunakan untuk melindungi koneksi client-server adalah Kerberos. Kerberos adalah mekanisme otentikasi kunci simetris yang menawarkan integritas data, kerahasiaan, dan otentikasi pengguna bersama.

Ini adalah dasar dari Microsoft Active Directory dan telah berkembang menjadi salah satu protokol yang ditargetkan oleh semua jenis penyerang untuk dieksploitasi.

Selanjutnya, Anda dapat memeriksa alat untuk memantau kesehatan Active Directory.