IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN TEKNOLOGI UIN JAKARTA
Oleh : MUHAMMAD ARIEF FARUKI 105091002807
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2011 M / 1432 H
IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN TEKNOLOGI UIN JAKARTA
Skripsi Sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer Pada Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh :
MUHAMMAD ARIEF FARUKI 105091002807
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2011 M / 1432 H
ii
IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN TEKNOLOGI UIN JAKARTA
Skripsi Diajukan sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer Pada Jurusan Teknik Informatika
Disusun Oleh :
MUHAMMAD ARIEF FARUKI 105091002807
Menyetujui: Pembimbing I
Pembimbing II
Herlino Nanang, MT NIP. 197312092005011002
Andrew Fiade, M. Kom NIP.1982081120091201004
Mengetahui, Ketua Program Studi Teknik Informatika
Yusuf Durachman, MIT NIP. 197105222006041002
iii
PENGESAHAN UJIAN Skripsi berjudul “IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA INFRASTRUKTUR JARINGAN NIRKABEL (Studi Kasus : Fakultas Sains dan Teknologi UIN Jakarta)”, yang ditulis oleh Muhammad Arief Faruki, NIM : 105091002807 telah diuji dan dinyatakan lulus dalam sidang Munaqosyah Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta pada hari selasa, 15 Maret 2011. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar sarjana strata satu (S1) Program Studi Teknik Informatika. Jakarta, 15 Maret 2011 Menyetujui:
Penguji I
Penguji II
Husni Teja Sukmana, Ph.D NIP. 197710302001121003
Ria Hari Gusmita, M.kom NIP. 198208172009122002
Pembimbing I
Pembimbing II
Herlino Nanang, MT NIP. 197312092005011002
Andrew Fiade, M.kom NIP.1982081120091201004 Mengetahui:
Dekan Fakultas Sains dan Teknologi
Ketua Program Studi Teknik Informatika
Dr. Syopiansyah Jaya Putra, M.Sis NIP. 196801172001121001
Yusuf Durachman, MIT NIP. 197105222006041002
iv
PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENARBENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.
Jakarta, Maret 2011
Muhammad Arief Faruki
v
ABSTRAK
Muhammad Arief Faruki, Implementasi Protokol Keamanan PEAP Pada Jaringan Nirkabel. (Di bawah bimbingan: Herlino Nanang, MT dan Andrew Fiade, M.Kom).
Administrasi jaringan nirkabel berskala besar seperti di instansi pemerintahan, perusahaan dan universitas merupakan salah satu proses yang cukup rumit dan membutuhkan banyak sumber daya baik waktu, tenaga dan biaya. Kendala yang dihadapi dalam proses ini adalah dikarenakan solusi yang dikembanngkan harus dapat memberikan tingkat keamanan yang tinggi sekaligus tetap memberikan kemudahaan dan mobilitas yang tinggi pada pengguna. Penelitian ini bertujuan untuk mengimplementasikan
protokol PEAP-
MSCHAPv2 sebagai protokol otentikasi pengguna jaringan nirkabel untuk memberikan kemudahan pada sisi administrasi jaringan. Berdasarkan hasil penelitian didapatkan bahwa PEAP-MSCHAPv2 memberikan tingkat keamanan yang baik tanpa mengorbankan kinerja yang diperlukan untuk menangani jumlah pengguna yang cukup banyak serta memudahkan administrator jaringan untuk mengatur infrastruktur jaringan yang ada.
Keyword: Protected Extensible Authentication Protocol (PEAP), Microsoft Challenge Handshake Authentication Protocol version 2 (MSCHAPv2), Protokol Otentikasi, Jaringan Nirkabel.
vi
KATA PENGANTAR
Segala puji serta syukur kehadirat Allah SWT, atas segala limpahkan rahmat dan hidayah – Nya, hingga penulis dapat menyelesaikan skripsi ini. Penulisan skripsi ini merupakan salah satu syarat dalam menyelesaikan Program Studi Sarjana (S-1) Teknik Informatika Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta. Penulis menyadari bahwa Skripsi ini tidak dapat terlaksana dengan baik apabila tanpa bantuan dari berbagai pihak. Oleh karena itu, perkenankan penulis mengucapkan banyak terima kasih dan rasa syukur terutama kepada : 1. Allah SWT, yang telah memberikan rahmat, nikmat dan kesehatan sehingga penulis dapat menyelesaikan Skripsi ini. 2. Bapak DR. Syopiansyah Jaya Putra, M.Sis selaku Dekan Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 5. Bapak Herlino Nanang, MT, selaku pembimbing pertama skripsi ini, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 6. Bapak Andrew Fiade, MKom, selaku pembimbing kedua, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 7. Kedua Orang Tua, ummi dan abi serta kakakku dan adik-adikku atas doa, dukungan, dan perhatiannya selama penulisan skripsi ini. 8. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 9. Seluruh teman-teman kelas TI A 2005 yang telah memberikan banyak bantuan sehingga penulis dapat menyelesaikan penulisan skripsi ini.
vii
10. Saudara Adam selaku Staf Pusdatin FST UIN yang telah banyak membantu penulis dalam melakukan implementasi penelitian ini
di
Pusdatin. 11. Semua pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu. Akhirnya dengan segala keterbatasan dan kekurangan yang ada dalam penulisan skripsi ini, penulis mengucapkan terimakasih yang sebesar-besarnya, semoga skripsi ini dapat bermanfaat bagi semua pihak
Jakarta, Maret 2011
Muhammad Arief Faruki
viii
LEMBAR PERSEMBAHAN
Skripsi ini penulis persembahkan kepada beberapa pihak yang telah memberi dukungan baik berupa dukungan moril maupun materil, diantaranya: 1. Terima kaih kepada Kedua Orang Tua atas segala yang telah diberikan dan doa yang telah diberikan 2.
kedua kakakku yang telah memberikan dukungan.
3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 5. Bapak Herlino Nanang, MT, selaku pembimbing pertama skripsi ini, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 6. Bapak Andrew Fiade, MKom, selaku pembimbing kedua, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 7. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 8. Seluruh teman-teman penulis Hadi, Ariando, Ramdhan, dan teman teman TIA lainnya yang telah memberikan banyak bantuan sehingga penulis dapat menyelesaikan laporan Skripsi ini. 9. Dan pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu. Semoga Allah membalas semua kebaikan dan ketulusan hati kalian. Amin.
Jakarta, Maret 2011
ix
DAFTAR ISI
Halaman HALAMAN SAMPUL ………………………….…..............................
i
HALAMAN JUDUL ………………………………………………….
ii
LEMBAR PENGESAHAN PEMBIMBING …………………………..
iii
LEMBAR PENGESAHAN UJIAN …………………………................
iv
LEMBAR PERNYATAAN ……………………………………………
v
ABSTRAK ……………………………………………………………..
vi
KATA PENGANTAR …………………………………………………
vii
LEMBAR PERSEMBAHAN …………………………………………..
ix
DAFTAR ISI …………………………………………………………..
x
DAFTAR GAMBAR ………………………………………………….
xiv
DAFTAR TABEL ……………………………………………………..
xvii
DAFTAR LAMPIRAN ………………………………………………..
xviii
DAFTAR ISTILAH …………………………………………………….
xix
BAB I. PENDAHULUAN .......................................................................
1
1.1. Latar Belakang …………………………………………….
1
1.2. Perumusan Masalah ………………………………………..
4
1.3. Batasan Masalah ……………………………………………
4
1.4. Tujuan Penelitian …………….……………………………
5
1.5. Manfaat Penelitian ............................................……………
5
1.6. Metodologi Penelitian ..........................................................
6
1.6.1 Metode Pengumpulan Data …………………………...
6
1.6.3 Metode Pengembangan Sistem ......................................
6
1.7. Sistematika Penulisan ...........................................................
7
BAB II. LANDASAN TEORI ..................................................................
9
2.1. Wireless LAN …....…………………………………………
9
2.1.1. Mode Pada Wireless LAN ..……….…………………
9
2.1.2. Komponen Wireless LAN …….………… …………
11
.
x
2.1.3. Badan Standarisasi ……….……………………...........
14
2.1.4. Standar Wireless LAN …………..……………………
15
2.1.5. Teknik Enkripsi Wireless LAN ………………………
18
2.2. Protokol Keamanan AAA . …..……………………………..
20
2.2.1. Remote Dial-in User Service (RADIUS) ….………....
22
2.2.1.1. Format Paket RADIUS ….…….........................
22
2.2.1.2. Tipe Paket Pesan RADIUS ….……....................
24
2.2.1.3. Tahapan Koneksi RADIUS ….……..................
28
2.2.1.4. REALM ….……................................................
30
2.3. Protokol Otentikasi ………………..………..……….……..
30
2.3.1. Password Authentication Protocol ..............................
31
2.3.2. Challenge Handshake Authentication Protocol ...........
32
2.3.3. Extensible Authentication Protocol .............................
34
2.3.3.1. EAP Over RADIUS ............................................
36
2.3.3.1. EAP Over LAN ...................................................
38
2.4. EAP Methods
........……...……………………......………
39
2.4.1. EAP MD5 ......................................................................
40
2.4.2. EAP TLS .......................................................................
40
2.4.3. EAP TTLS .....................................................................
41
2.4.4. EAP PEAP MSCHAPv2 ...............................................
41
2.4.4.1. MSCHAPv2 .........................................................
41
2.5. Secure Socket Layer / Transport Layer Security ……………
44
2.5.1. Protocol SSL Record ………………………………....
45
2.5.2. Protocol SSL Handshake ……………………………..
46
2.5.3. Protocol SSL Alert ……………………………………
52
2.5.4. Arsitektur SSL / TLS …………………………………
53
2.5.5. Sertfikat Digital ………………………………………
54
2.5.6. Enkripsi Public Key ………………………………….
57
2.5.7. Kriprografi Simetris . ………………………………….
57
2.5.8. Kriprografi Asimetris . ………………………………..
58
2.5.8.1 Kriprografi Asimetris . …………………………..
60
xi
2.6. Tools
.....……………………………......……….................
60
2.6.1. FreeRADIUS Server .....................................................
60
2.6.2. JRadius Simulator .........................................................
62
BAB III. METODE PENELITIAN ...........................................................
66
3.1. Metode Pengumpulan Data ………………………………….
66
3.1.1. Studi Lapangan / Observasi ..………….........………...
66
2.1.2. Kepustakaan (Library Research) / Studi Literatur..........
67
3.2. Metode Pengembangan Sistem ...........................................
68
3.2.1. Tahapan Analisis ..………….........………...................
68
3.2.2. Tahapan Desain ..………….........……….....................
69
3.2.3. Tahapan Simulasi Prototyping ......………...................
69
3.2.4. Tahapan Penerapan ............... ......……….....................
70
3.2.5. Tahapan Pengawasan .....................………...................
70
3.2.6. Tahapan Pengaturan .....................……….....................
70
3.5. Mekanisme Kerja Penelitian ...............................................
70
BAB IV. HASIL DAN PEMBAHASAN ..................................................
72
4.1. Perencanaan ...... .....................................................................
72
4.2. Analisa ...............................………………………………….
73
4.2.1. Analisa Kebutuhan Sistem Keamanan EAP PEAP........
73
4.3.2. Analisa Komponen-komponen ......................................
75
4.3.2. Analisa Mekanisme PEAP ...........................................
77
4.3. Design . …..……………….……………………………........
89
4.3.1 Perancangan Topologi ...................................................
89
4.3.2 Perancangan Sistem .......................................................
93
4.4. Simulasi Prototyping ....................................................... .
95
4.4.1 Simulasi Kinerja Server AAA ........................................
96
4.5. Implementasi......................................................................
100
4.5.1 Instalasi FreeRADIUS………..……………………....
102
4.5.2 Pembuatan Sertifikat Digital ………..……………….
103
4.5.3 Konfigurasi server RADIUS ………..……………….
103
4.5.4 Konfigurasi Access Point ………..…………………...
104
xii
4.5.7 Instalasi Sertifikat CA pada Client ………………….
105
4.5.7 Instalasi Database Server …………...………..…….
105
4.5.7 Konfigurasi Database Server ………. ………………….
105
4.6. Monitoring .......................................................................
105
4.6.1 Pengujian Sistem …………………...………..…….
108
4.7. Management ....................................................................
110
4.8. Hasil dan Pembahasan …………………………………..
112
BAB V PENUTUP ……………………………………………………..
114
5.1 Kesimpulan …………………………………………………
114
5.2 Saran ………………………………………………………..
115
DAFTAR PUSTAKA ………..………………………………………...
116
LAMPIRAN ..............................................................................................
119
xiii
DAFTAR GAMBAR Halaman Gambar 2.1
Mode Jaringan Ad-Hoc ……………………………........
10
Gambar 2.2
Model Jaringan Infrastruktur ............................................
11
Gambar 2.3
Diagram Access Point yang terhubung ke jaringan ........
12
Gambar 2.4
Multiple Access Point dan Roaming .................................
12
Gambar 2.5
Penggunaan Extention Point ..............................................
13
Gambar 2.6
Format Paket RADIUS ...................................................
22
Gambar 2.7
Paket Access Request .......................................................
24
Gambar 2.8
Paket Access Accept .......................................................
28
Gambar 2.9
Paket Access Reject
26
........................................................
Gambar 2.10 Paket Access Challenge
..................................................
Gambar 2.11 Proses Pembentukan Koneksi Protokol RADIUS
27
.......
29
...........................................
32
Gambar 2.13 Proses CHAP 3-way Handshake ......................................
33
Gambar 2.12 Tahapan Otentikasi PAP
Gambar 2.14 Komunikasi Protokol EAP antara Supplicant, NAS dan Authentication server .......................................................
34
Gambar 2.15 Komponen EAP ...............................................................
35
Gambar 2.16 Skema Port Based Authentication ...................................
36
Gambar 2.17 Konversi Pesan EAP dan Pesan RADIUS ......................
38
Gambar 2.18 Format Paket EAPOL ......................................................
39
Gambar 2.19 Pemodelan Untuk Membawa Pesan pada Otentikasi dengan Metode TLS ................................................................... Gambar 2.20 Format SSL Record
40
.......................................................
46
Gambar 2.21 Handshake Protocol .......................................................
47
Gambar 2.22 Arsitektur Protokol SSL ..................................................
53
Gambar 2.23 Peran CA dalam Penerbitan Sertifikat .............................
54
Gambar 2.24 Format X.509 ...................................................................
56
Gambar 2.25 Kriptografi Simetris .......................................................
58
Gambar 2.26 Kriptografi Asimetris .......................................................
59
Gambar 2.27 Log pada Jradius
63
......................................................
xiv
Gambar 2.28 Konfigurasi Sertifikat Client ..........................................
64
Gambar 2.29 Konfigurasi Attribute pada Jradius
..............................
64
Gambar 2.30 Setup Jradius untuk dijalankan .......................................
65
Gambar 3.1 Siklus Network Development Life Cycle (NDLC) .............
68
Gambar 3.2. Mekanisme Kerja Penelitian
..........................................
72
Gambar 4.1 Proses Otentikasi PEAP MSCHAPv2 ................................
78
Gambar 4.2 Capture paket EAP Response Identity ……………………
80
Gambar 4.3 Capture Paket EAP Request –TLS Stara …………………
80
Gambar 4.4. Capture Paket Hello TLS Client …………………………
81
Gambar 4.5 Capture Paket EAP Request Sertifikat Server ……………..
82
Gambar 4.6 Capture Paket EAP Response –Client Key Exchange ……
83
Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS Complete …………………………………………….
84
Gambar 4.8 Capture Paket EAP-Request Identity-EAP-MS-CHAPv2…
85
Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2 ……………………………
85
Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge ………………………….
86
Gambar 4.11 Capture Paket EAP-Response/ EAP-MS-CHAP v2 Response ………………………….
86
Gambar 4.12 Capture Paket EAP-Request/ EAP-MS-CHAP v2 Success ……………………………
86
Gambar 4.13 Capture Paket EAP response/EAP-MSCHAP v2 ack…..
87
Gambar 4.14 Capture Paket EAP Success …………………………….
87
Gambar 4.15 Perancangan Topologi PEAP …………………………..
89
Gambar 4.16 Topologi Jaringan Nirkabel FST UIN Jakarta ………….
91
Gambar 4.17 Perancangan Sistem PEAP .............................................
93
Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS, shared secret, dan authentication protocol ........................
97
Gambar 4.19 Setting Atribut Username dan Password ..........................
99
Gambar 4.20 Hasil Simulasi Jradius Simulator ......................................
99
xv
Gambar 4.21 tampilan input username dan password pada sisi client windows 7 .................................................
100
Gambar 4.22 tampilan input username dan password pada sisi client windows XP .............................................................
101
Gambar 4.23 tampilan input username dan password pada sisi client Ubuntu 10.10 desktop ........................................................
101
Gambar 4.24 Mode Debug freeRADIUS ..............................................
102
Gambar 4.25 Konfigurasi database dengan phpmyadmin ……………..
105
Gambar 4.26 Perbandingan Beban Server Berdasarkan Jumlah Request Otentikasi …………………………………………….…
106
Gambar 4.27 Jumlah paket authentication request ………………...…..
107
Gambar 4.28 Jumlah paket accounting request ……………………......
107
Gambar 4.29 Konfigurasi AP SSID black_usb .......................................
108
Gambar 4.30 Konfigurasi Security mode WPA enterprise.......................
109
Gambar 4.31 scanning status AP black_usb …………………………...
109
Gambar 4.32 Capture paket data pada AP black_usb ...........................
110
Gambar 4.33 manajemen akun pengguna ...............................................
111
Gambar 4.34 manajemen access point ....................................................
111
xvi
DAFTAR TABEL Halaman Tabel 2.1 Perbandingan Standar Wireless LAN ...................................
17
Tabel 2.2 Kode Tipe Pesan RADIUS ...................................................
23
Tabel 2.3 Paket Access-Request ...........................................................
25
Tabel 2.4 Paket Access-Accept ............................................................
26
Tabel 2.5 Paket Access- Reject ...........................................................
27
Tabel 2.6 Paket Access-Challenge .......................................................
28
Tabel 2.7 Daftar Pesan Error MSCHAPv2 .........................................
43
Tabel 2.8 Alert Error Message .............................................................
52
Tabel 3.1 Studi Literatur ......................................................................
67
Tabel 4.1 Perbandingan EAP TLS dan PEAP ....................................
74
Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat ................................
75
Tabel 4.3 Spesifikasi Software ............................................................
76
Tabel 4.4 Spesifikasi Hardware ...........................................................
76
Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses ... ...................
88
Tabel 4.6 Alamat IP Jaringan Nirkabel FST UIN Jakarta ...................
92
Tabel 4.7 keterangan simbol diagram alur ..........................................
94
xvii
DAFTAR LAMPIRAN Halaman Lampiran 1. Instalasi FreeRADIUS Server ……………………………
119
Lampiran 2. Pembuatan Sertifikat Digital CA dan Server …………….
121
Lampiran 3. Konfigurasi eap.conf ……………………………………..
126
Lampiran 4. Konfigurasi clients.conf …………………………………
140
Lampiran 5. Konfigurasi pada File Users …………………………….
145
Lampiran 6. Konfigurasi Access Point ……………………………….
149
Lampiran 7. Instalasi dan Konfigurasi Sertifikat pada sisi klien ……..
152
Lampiran 8. Wawancara dengan Bagian Pusdatin ……………………
158
xviii
DAFTAR ISTILAH Istilah Access Point (AP)
Access Layer Advanced Encryption Standard (AES) AES-based Cipher Block Chaining Message Authentication Code Protocol (CCMP) Analysis
Anonym Application layer
Attributes Dictionary Authentication framework Backbone Block cipher
Browsing buffer Byte Capture
Arti Merupakan sebuah node yang telah dikonfigurasikan secara khusus pada sebuah jaringan wireless LAN. AP bertindak sebagai pusat pemancar dan penerima untuk sinyal sinyal radio WLAN. Merupakan station akhir, perangkat access layer biasanya berplatform switching. Standar algoritma enkripsi di Amerika Serikat yang menggntikan standar DES yang lebih lama dan lebih lemah Teknik enkripsi yang digunakan oleh WPA versi 2
Suatu fase pada model pengembangan sistem diamana biasanya dilakukan proses perumusan masalah, identifikasi dan perbandingan terhadap komponen. Orang dengan nama yang tidak dikenal Layer paling atas (layer 7) dalam model referensi OSI yang menyediakan layanan komunikasi seperti email dan transfer file, terdiri atas antar muka antara lingkungan OSI dan aplikasi pengguna Bentuk item informasi yang disediakan oleh layanan direktori. Basis informasi direktori terdiri atas masukan masukan, masing masing berisi satu atau lebih attribut. Kerangka dan aturan untuk proses otentikasi Jaringan dengan jalur dan perangkat berkecapatan tinggi yang menghubungkan jaringan jaringan lain yang lebih kecil dengan kecepatan rendah menjadi satu. skema algoritma sandi yang akan membagi-bagi teks terang yang akan dikirimkan dengan ukuran tertentu (disebut blok) dengan panjang t, dan setiap blok dienkripsi dengan menggunakan kunci yang sama. Pada umumnya, block-cipher memproses teks terang dengan blok yang relatif panjang lebih dari 64 bit, untuk mempersulit penggunaan pola-pola serangan yang ada untuk membongkar kunci. Aktifitas menjelajah internet melalui world wide web Tempat penyimpanan sementara untuk data yang sedang transit, dirancang bertujuan untuk mengimbangi perbedaan dalam kecepatan transmisi Adalah sebuah rangkaian bit bit Proses dimana analis sniffer mencatat lalu lintas data jaringan untuk diterjemahkan
xix
Certificate
Certificate Authority (CA) Challenge Channel Cisco CNS Access Registrar (CAR) Ciphertext
Client
Closed source Core layer Coverage Cracker
Database server Data Encryption Standard
Design Device Dictionary attack Directional Direct sequence spread sprectrum (DSSS) Distribution layer
Dokumen Elektronik yang menggunakan tanda tangan digital untuk mengikat kunci publik dengan informasi identitas seperti nama orang atau organisasi, alamat, dan sebagainya. Entitas yang menerbitkan sertifikat digital (khususnya sertifikat X.509) dan menjamin keterikatan item item data dalam suatu sertifikat Paket yang dikirimkan oleh server untuk meminta informasi yang diperlukan Jalur komunikasi yang cukup lebar untuk memungkinkan sebuah transmisi RF tunggal Menyediakan layanan RADIUS yang dikeluarkan oleh Cisco Data yang telah di transformasikan melalui enkripsi sehingga kandungan informasi semantiknya (maksud dari data tersebut) tidak dapat langsung dietahui Pada jaringan, client adalah suatu program aplikasi memungkinkan pengguna mengakses layanan dari komputer server kode aplikasi bersifat tertutup, tidak dipublikasikan lapisan yang menghubungkan jaringan lokal kejaringan external, kecepatan transmisi yang tinggi, Liputan, Daerah cakupan Seseorang yang berusaha untuk mengakses sistem komputer tanpa izin orang ini kebanyakan memiliki niat jahat Database yang dipasang sebagai komponen sebuah algoritma enkripsi sandi blok kunci simetrik dengan ukuran blok 64-bit dan ukuran kunci 56-bit. DES untuk saat ini sudah dianggap tidak aman lagi. Penyebab utamanya adalah ukuran kuncinya yang sangat pendek (56-bit). Sejak beberapa tahun yang lalu DES telah digantikan oleh Advanced Encryption Standard (AES). Perencanaan yang meletakkan dasar untuk pembuatan setiap objek atau sistem Perangkat keras komputer metode dengan memanfaatkan dictionary / database yang berisi password Arah metode untuk mengirimkan data dimana sistem pengirim dan penerima keduanya berada pada set frekuensi yang lebarnya adalah 22 MHz. Merupakan layer yang dikatakan “pintar” dalam model three layer model, karena didalamnya terdapat proses routing, filtering dan kebijakan QoS
xx
Download
Draft Embedded
Encrypt Error FQDN (Fully Qualified Domain Named) Frame
General Public License (GPL) Generate Graphical User Interface (GUI) Handle Handshake Hardware
Hashing Initialization Vector (IV) Internet
Key Load balancing
Transfer data melalui jalur komunikasi digital dari sistem yang lebih besar atau pusat (server) ke sistem yang lebih kecil (client). Konsep Melekat, Embedded system adalah sistem elektronika yang didalamnya terdapat mikroprosesor sebagai pengendali kerja system. mengenkripsi Kesalahan Merupakan nama lengkap sistem. Misalnya “uad” adalah hostname dan FQDN nya adalah “uad.ac.id” Pengelompokan byte secara khusus yang ditata menurut aturan logika yang sudah ditentukanuntuk membentuk informasi yang dibagi bagi untuk protokol khusus merupakan suatu lisensi perangkat lunak bebas menghasilkan Metoda interaksi secara grafis antara pengguna dan komputer Menangani Bagian dari prosedur untuk menyiapkan koneksi komunikasi data Perangkat keras mengacu kepada objek memungkinkan untuk disentuh seperti disket, disk drive , monitor, keyboard, dan lain-lain Metode pencarian yang memanfaatkan fungsi hash Vektor awal Jaringan komputer global yang memungkinkan dua komputer atau lebih berkoneksi dengan nya untuk mentransfer file dan tukar menukar email dan pesan pesan real time Kunci
Management
Pada routing, kemampuan suatu router untuk mendistribusikan aliran data lewat semua port jaringannya yang berjarak sama dari alamat tujuan Network yang masing-masing node terpisah dalam jarak yang lokal dan menggunakan link berupa jalur transmisi kabel. Tindakan mengadakan koneksi dengan suatu sistem komputer dan memasukkan identifikasi pengguna serta informasi password Pengelolaan / pengaturan
Message integrity check
Proses pengecekan keutuhan pesan
MK (master session key)
Kunci yang digunakan bersama oleh semua pihak yang
Local Area Network (LAN)
Logon
xxi
Monitoring Mutual l authentication Network Development Life Cycle (NDLC) network-sensing
berpartisipasi dalam penggunaaan suatu EAP method yang telah kompilt / sukses Salah satu tahap dalam metode pengembagan NDLC. Didalamnya terdapat testing dan monitoring Otentikasi dua arah antara dua device yang akan melakukan proses komunikasi Metode pengembangan sistem Pengindaraan jaringan
Node
Titik suatu koneksi atau sambungan dalam jaringan
Open authentication
Metode otentikasi null. Setiap station bisa berasosiasi dengan setiap akses poin yang menggunakan otentikasi sistem terbuka asalkan memiliki SSID yang tepat. Kebalikan dari closed source, kode aplikasi bersifat terbuka. pilihan sebuah teknik transmisi yang menggunakan beberapa buah frekuensi (multicarrier) yang saling tegak lurus (orthogonal) Tumpang tindih
Open-source Optional Orthogonal Frequency Division Multiplexing (OFDM) Overlap Password
PCMCIA Plaintext PMK Port based authentication Pre-shared Key (PSK) Quality of Service(QOS)
Random Access Memory (RAM) Re-authentication Relational Database Management System (RDMS)
Kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sebuah sistem operasi yang mendukung banyak pengguna (multiuser) untuk memverifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut Protokol otentikasi yang berbasis port Data yang kandungan informasi semantiknya (maksud dari data tersebut dapat langsung dietahui Kunci yang diturunkan dari MK mekanisme otentikasi 802.1x berbasis port yang terdapat pada authenticator Lihat Shared secret key Satuan pengukuran kinerja suatu sistem transmisi yang merefleksikan kualitas transmisi dan ketersediaan layanan. Sebuah tipe penyimpanan komputer yang isinya dapat diakses dalam waktu yang tetap tidak memperdulikan letak data tersebut dalam memori Proses otentikasi ulang seperangkat program komputer yang didisain untuk mengatur/memanajemen sebuah basisdata sebagai sekumpulan data yang disimpan secara terstruktur, dan melakukan operasi-operasi atas data atas
xxii
permintaan penggunanya. Repeater Perangkat yang memperluas jangkauan maksimal suatu kabel yang dapat digunakan dalam sebuah jaringan Request Perminataan Request for Comments (RFC) Salah satu dari seri dokumen infomasi dan standar Internet bernomor yang diikuti secara luas oleh perangkat lunak untuk digunakan dalam jaringan, Internet dan beberapa sistem operasi jaringan, mulai dari Unix, Windows, dan Novell NetWare Response Balasan Rogue Tersamar / palsu Scanning Melakukan teknik analisis yang bersifat nonintrusif yang mengidentifikasi port terbuka yang terdapat pada setiap perangkat jaringan Security policy Kebijakan keamanan Setting Tata cara Service Layanan Shared secret key kunci yang akan dibagikan ke komputer dan juga kepada client secara transparant Simulator Alat yang digunakan untuk melakukan simulasi Spread Spectrum teknik pengiriman sinyal informasi yang menggunakan suatu kode untuk menebarkan spectrum energi sinyal informasi dalam bandwidth yang jauh lebih lebar dibanding bandwidth sinyal informasi. Stand-alone Berdiri sendiri Stream cipher algoritma sandi yang mengenkripsi data persatuan data, seperti bit, byte, nible atau per lima bit(saat data yang di enkripsi berupa data Boudout). Setiap mengenkripsi satu satuan data di gunakan kunci yang merupakan hasil pembangkitan dari kunci sebelum. Temporal Key Integrity Protokol keamanan yang digunakan pada jaringan Protocol (TKIP) standar wireless IEEE 802.11 three-tier Layer Hierarichical Model jaringan enterprise dari cisco terdiri dari lapisan Design : core, distribution, dan akses Transport Layer Security Merupakan kelanjutan dari protokol kriptografi yang (TLS) menyediakan komunikasi yang aman di Internet Tools Alat Transceiver (transmitterPerangkat fisik yang menghubungkan antar muka host receiver) dengan local area network, seperti ethernet User Pengguna. Biasanya ditujukan kepada pengguna suatu sistem yang umumnya adalah manusia. Misalnya pengguna komputer Web based interface Metoda interaksi dengan tampilan berbasiskan web
xxiii
Wi-Fi Alliance
Windows Internet Authentication Service (IAS). Wireless networks Wire
Aliansi industri yang mempromosikan penggunaan jaringan nirkabel yang berdasarkan pada spesifikasi 802.11. produk yang telah mendapat persetujuan dari aliansi tersebut menerima sertifikat segel interoperabilitas Wi-Fi RADIUS server dari Microsoft Jaringan yang menggunakan gelombang radio untuk membentuk kanal komunikasi antar komputer Kawat / kabel
xxiv
2
dua protokol keamanan pada jaringan nirkabel yang banyak digunakan untuk menjawab kebutuhan tersebut. Baik WEP maupun WPA menggunakan sebuah shared secret key yang digunakan untuk mengendalikan akses ke jaringan. Setiap pengguna yang ingin terhubung ke jaringan harus mengetahui kombinasi shared secret key yang digunakan oleh access point (Ilman Zuhri Yadi). Penggunaan shared secret key ini pada jaringan skala besar seperti di perusahaan, instansi pemerintahan dan/atau universitas dapat menimbulkan celah keamanan yang baru dikarenakan kombinasi key yang digunakan sama untuk setiap pengguna. Selain itu penggunaan WEP dan WPA juga menimbulkan kerumitan proses administrasi jaringan. Untuk mengatasi hal ini, badan IEEE mengeluarkan protokol baru yang menerapkan protokol IEEE 802.1X pada jaringan nirkabel. Penggunaan IEEE 802.1X atau port based authentication protocol memungkinkan proses otentikasi dilakukan secara terpusat. Pada penelitian sebelumnya (Ali Mahrudi, 2006), IEEE 802.1X telah diterapkan untuk menjawab masalah keamanan dan kendali akses pada jaringan nirkabel di Fakultas Sains dan Teknologi (FST) UIN Jakarta. Namun, pada penelitian tersebut otentikasi protokol yang digunakan adalah EAP-TLS. Dari sisi keamanan, solusi ini telah menjawab semua permasalahan yang ada, tetapi penggunaan EAP-TLS mengharuskan penggunaan sertifikat digital pada sisi wireless klien (RFC 2716). Hal ini membuat proses implementasi menjadi lebih rumit dan membutuhkan waktu yang lebih lama karena sertifikat digital tersebut harus didistribusikan pada tiap-tiap klien dimana setiap sertifikat digital tersebut bersifat unik untuk setiap wireless klien. Selain itu, solusi ini juga membuat
3
proses administrasi pengguna, seperti penambahan, penghapusan serta perubahan informasi pengguna menjadi lebih rumit. PEAP dirancang untuk memberikan kemudahan implementasi otentikasi protokol EAP yang berbasis sertifikat digital. Implementasi PEAP hanya memerlukan sertifikat digital pada sisi authentication server, sedangkan sertifikat digital pada sisi wireless klien akan digantikan dengan menggunakan kombinasi username dan password. Penggunaan kombinasi username dan password untuk menggantikan sertifikat digital juga dapat meningkatkan mobilitas pengguna, karena pengguna tidak dibatasi pada perangkat tertentu. Berdasarkan permasalahan tersebut, penulis ingin memberikan solusi untuk mengatasi kekurangan tersebut dengan menerapkan protokol PEAP sebagai protokol otentikasinya. protokol PEAP memiliki tingkat keamanan yang hampir sama sepeti protokol EAP TLS. Perbedaan kedua protokol tersebut terletak pada kemudahan protokol PEAP untuk diimplementasikan dan diterapkan. Beranjak dari permasalahan di atas, pada penelitian tugas akhir ini penulis mengambil
judul:
“Implementasi
Protokol
Otentikasi
PEAP
Pada
Infrastruktur Jaringan Nirkabel Fakultas Sains dan Teknologi UIN Jakarta”. Diharapkan hasil penelitian ini dapat meningkatkan Quality of Service pada jaringan nirkabel di Fakultas Sains dan Teknologi UIN Jakarta.
4
1.2. Perumusan Masalah Pada skripsi kali ini, penulis merumuskan masalah sebagai berikut: 1. Bagaimana penerapan protokol IEEE 802.1x untuk menangani kendali akses pada jaringan nirkabel. 2. Bagaimana penerapan protokol Protected Extensible Authentication Protocol (PEAP) untuk menangani proses otentikasi pengguna jaringan nirkabel pada FST UIN Jakarta. 3. Bagaimana mekanisme protokol PEAP untuk menangani proses otentikasi pengguna jaringan nirkabel.
1.3. Batasan Masalah Untuk penulisan skripsi ini, penulis membatasi masalah dalam hal sebagai berikut: 1. Implementasi otentikasi protokol PEAP pada jaringan nirkabel FST UIN Jakarta. 2. Protokol AAA yang digunakan menangani proses otentikasi secara terpusat adalah Remote Dial-in User Service (RADIUS). 3. Pada penelitian ini, algoritma kriptografi yang digunakan adalah RSAAES-SHA. 4. Manajemen User pada Implemetasi PEAP berbasis Web. 5. Informasi pengguna berupa kombinasi username dan password akan disimpan dalam suatu database terpusat.
5
1.4. Tujuan Penelitian Tujuan dari penelitian ini adalah: 1. Menerapkan protokol PEAP untuk meningkatkan Quality of Service pada infrastruktur jaringan nirkabel FST UIN. 2. Memberikan kemudahan pada administrator jaringan dalam melakukan manajemen pengguna yang terpusat. 3. Mengembangkan sistem otentikasi jaringan wireless yang terpusat.
1.5. Manfaat Penelitian Manfaat yang diharapkan dari penelitian ini adalah : a. Hasil penelitian diharapkan dapat memberi manfaat bagi siapa saja yang ingin membangun infrastruktur jaringan nirkabel dengan tingkat keamanan yang tinggi dan mudah untuk diimplementasikan. b. Bagi Fakultas Sains dan Teknologi, hasil penelitian dapat digunakan menjadi
bahan
pertimbangan
untuk
diimplementasikan
pada
infrastruktur jaringan nirkabel yang telah ada saat ini. Sehingga dapat memberikan layanan yang lebih bermutu, baik dari sisi kinerja dan keamanannya. c. Bagi penulis, dapat mempelajari, memahami dan menerapkan otentikasi protokol PEAP dan penerapannya pada layanan AAA.
6
1.6. Metodologi Penelitian Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem.
1.6.1. Metode Pengumpulan data Merupakan metode yang digunakan penulis dalam melakukan analisis data dan menjadikannya informasi yang akan digunakan untuk mengetahui permasalahan yang dihadapi. 1. Studi Lapangan Metode pengumpulan data dengan melakukan observasi dan melakukan wawancara untuk memperoleh keterangan untuk tujuan penelitian. 2. Studi Kepustakaan dan literatur Metode pengumpulan data melalui buku, jurnal, skripsi, dan laporan penelitian yang relevan serta mencari data di internet yang dijadikan acuan dalam penelitian yang dilakukan.
1.6.2. Metode Pengembangan sistem Metode pengembangan sistem yang digunakan dalam penelitian ini adalah metode pengembangan sistem Network Development Life Cycle (NDLC). siklus ini terdiri dari beberapa tahapan, yaitu : 1. Analisis
7
2. Desain (Perancangan) 3. Simulasi prototipe 4. Implementasi (Penerapan) 5. Monitoring 6. Manajemen
1.7. Sistematika Penulisan Dalam penyusunan tugas akhir ini, penulis menyajikan dalam 5 bab yang dijabarkan sebagai berikut : BAB I
PENDAHULUAN Bab ini membahas tentang latar belakang, perumusan masalah, batasan masalah, metodologi penelitian, tujuan dan manfaat penelitian dan sistematika penulisan pada penelitian ini.
BAB II
LANDASAN TEORI Bab ini menjelaskan teori-teori yang digunakan sebagai landasan dalam penelitian, seperti teori jaringan nirkabel, keamanan jaringan nirkabel, otentikasi protokol EAP, RADIUS.
BAB III
METODOLOGI PENELITIAN Bab ini akan menjelaskan tentang tahapan-tahapan yang dilakukan dalam melaksanakan penelitian ini. Dalam hal ini
8
penulis menggunakan metodologi penelitian NDLC atau Network Development Life Cycle. BAB IV
ANALISIS DAN IMPLEMENTASI Bab ini berisi analisis terhadap kebutuhan sistem, perancangan serta implementasi protokol otentikasi PEAP pada jaringan nirkabel FST UIN Jakarta.
BAB V
KESIMPULAN DAN SARAN Bab ini merupakan bab penutup yang berisi kesimpulan serta saran yang dapat membantu pengembangan sistem ini di masa yang akan datang.
BAB I PENDAHULUAN
1.1. Latar Belakang Teknologi jaringan nirkabel atau WLAN menggunakan gelombang radio sebagai media transmisinya. Hal ini membuat teknologi tersebut memberikan mobilitas yang lebih baik daripada jaringan kabel (Neil Reid, 2010). Tetapi, penggunaan gelombang radio juga memberikan dampak negatif, yaitu tidak adanya perlindungan fisik dan kendali akses pada jaringan nirkabel. Setiap pengguna yang berada dalam jangkauan daya pancar suatu access point (AP) maka akan dengan mudah terkoneksi dan menggunakan layanan serta sumber daya yang ada pada jaringan. Dampak negatif lainnya adalah komunikasi yang terjadi akan dengan mudah disadap oleh pihak ketiga (Zaenal Arifin, 2008). Beberapa solusi dikembangkan untuk mengatasi celah-celah keamanan tersebut. Protokol keamanan ini bertujuan untuk membatasi akses ke jaringan nirkabel serta mengamankan komunikasi yang terjadi agar tidak dapat disadap oleh pihak-pihak yang tidak berwenang. Untuk tujuan tersebut maka dikembangkan protokol yang mendukung fitur otentikasi dan enkripsi. Otentikasi bertujuan untuk melakukan verifikasi identitas pengguna sehingga hanya pengguna yang terdaftar/sah yang dapat terhubung ke jaringan (Jonathan Hassel, 2002). Sedangkan, fitur enkripsi bertujuan untuk mengamankan proses komunikasi agar tidak dapat disadap oleh pihak ketiga. WEP (Wired Equivalent Privacy) dan WPA (Wi-fi Protected Access) merupakan
1
BAB II LANDASAN TEORI
2.1
Wireless LAN Wireless (jaringan nirkabel) menggunakan gelombang radio (RF) atau
gelombang mikro untuk membentuk kanal komunikasi antar komputer. Jaringan nirkabel adalah alternatif yang lebih modern terhadap jaringan kabel yang bergantung pada kabel tembaga dan serat optik antar jaringan. LAN atau Local Area Network Merupakan jaringan komputer yang meliputi suatu area geografis yang relatif kecil (dalam satu lantai atau gedung). LAN dicirikan dengan kecepatan data yang relatif tinggi dan kecepatan error yang relatif rendah. (Kamus Lengkap Jaringan Komputer, 2004). Jaringan nirkabel memungkinkan user untuk melakukan komunikasi, mengakses aplikasi dan informasi tanpa kabel. Hal tersebut memberikan kemudahan dan kebebasan untuk bergerak dan kemampuan memperluas aplikasi ke berbagai bagian gedung, kota, atau hampir ke semua tempat di dunia.
2.1.1
Mode pada Wireless LAN WLAN sebenarnya memiliki kesamaan dengan jaringan LAN, akan tetapi
setiap node pada WLAN menggunakan wireless device untuk berhubungan dengan jaringan. Node pada WLAN menggunakan channel frekuensi yang sama dan SSID yang menunjukkan identitas dari wireless device. Tidak seperti jaringan kabel, jaringan wireless memiliki dua mode yang dapat digunakan, yaitu:
9
10
a. Model Ad-Hoc
Model ad-hoc merupakan mode jaringan nirkabel yang sangat sederhana, karena pada mode ini tidak memerlukan access point untuk host dapat saling berkomunikasi. Setiap host cukup memiliki transmitter dan reciever wireless untuk berkomunikasi secara langsung satu sama lain seperti tampak pada gambar 2.1. Kekurangan dari mode ini adalah komputer tidak bisa berkomunikasi dengan komputer pada jaringan yang menggunakan kabel. Selain itu, daerah jangkauan pada mode ini terbatas pada jarak antara kedua komputer tersebut.
Gambar 2.1 Mode Jaringan Ad-Hoc Sumber : http://oc.its.ac.id/ambilfile.php?idp=153
b. Model Infrastruktur
Jika komputer pada jaringan wireless ingin mengakses jaringan kabel atau berbagi printer misalnya, maka jaringan wireless tersebut harus menggunakan
mode
infrastruktur
(gambar
2.2).
Pada
mode
infrastruktur access point berfungsi untuk melayani komunikasi utama pada jaringan wireless. Access point mentransmisikan data pada PC
11
dengan jangkauan tertentu pada suatu daerah. Penambahan dan pengaturan letak access point dapat memperluas jangkauan dari WLAN.
Gambar 2.2 Model Jaringan Infrastruktur Sumber : http://oc.its.ac.id/ambilfile.php?idp=153
2.1.1
Komponen Wireless LAN
Dalam membangun sebuah jaringan WLAN, maka diperlukan beberapa perangkat keras agar komunikasi antara station dapat dilakukan. Secara umum, komponen wireless LAN terdiri atas perangkat berikut :
1. Access Point (AP) Pada wireless LAN, device transceiver disebut sebagai access point (AP), dan terhubung dengan jaringan (LAN) melalui kabel. Fungsi dari AP adalah mengirim dan menerima data, serta berfungsi sebagai buffer data antara wireless LAN dengan wired LAN. Satu AP dapat melayani sejumlah user (beberapa literatur menyatakan bahwa satu AP maksimal
12
meng-handle sampai 30 user). Karena dengan semakin banyak nya user terhubung ke AP maka kecepatan yang diperoleh tiap user juga akan semakin berkurang.
Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan. Sumber : http://www.hp.com/sbso/wireless/setup_wireless_network.html
Bila AP dipasang lebih dari satu dan coverage tiap AP saling overlap, maka user/ client dapat melakukan roaming. Roaming adalah kemampuan client untuk berpindah tanpa kehilangan koneksi dan tetap terhubung dengan jaringan.
Gambar 2.4 Multiple Access Point dan Roaming Sumber : http://ilmukomputer.org/2008/11/26/konsep-dasar-wlan/
13
2. Extension Point
Hanya berfungsi layaknya repeater untuk client ditempat yang jauh. Syarat dari AP yang digunakan sebagai extension point ini adalah terkait dengan channel frekuensi yang digunakan. Antara AP induk (yang terhubung langsung dengan backbone) dan AP repeater-nya harus memiliki frekuensi yang sama.
Gambar 2.5 Penggunaan Extension Point Sumber : http://library.thinkquest.org/04oct/01721/wireless/faq.htm
3. Antena
Digunakan untuk memperkuat daya pancar. Terdapat beberapa tipe antena yang dapat mendukung dalam implementasi wireless LAN. Ada yang tipe omni, sectorized serta directional.
4. Wireless LAN Card
14
WLAN card dapat berupa PCMCIA, USB card atau Ethernet card dan sekarang banyak dijumpai sudah embedded di terminal (notebook maupun HP). Biasa nya PCMCIA digunakan untuk notebook sedangkan yang lain nya digunakan untuk komputer desktop. WLAN card berfungsi sebagai interface antara sistem operasi jaringan client dengan format interface udara ke AP. (Gunadi, 2009)
2.1.2
Badan Standarisasi a. Federal Communication Commission (FCC) Federal Communiation Commission (FCC) adalah sebuah perwakilan independen dari pemerintah Amerika Serikat,
didirikan oleh
Communication Act pada tahun 1943. FCC berhubungan dengan peraturan peraturan dibidang komunikasi yang menggunakan radio, televisi, wire, satelit, dan kabel baik di wilayah Amerika sendiri maupun untuk international. FCC membuat peraturan yang didalamnya berisi perangkat perangkat wireless LAN mana yang dapat beroperasi. FCC menentukan pada spectrum frequency radio yang mana wireless LAN dapat berjalan dan seberapa besar power yang dibutuhkan, teknologi transmisi mana yang digunakan, serta bagaimana dan dimana berbagai jenis hardware wireless LAN dapat digunakan. b. Internet Engineering Task Force (IETF) IETF adalah komunitas terbuka, yang anggota anggota nya terdiri atas para peneliti, vendor, dan perancangan jaringan. Tujuan IETF adalah
15
mengkoordinasikan pegoperasian, pengelolaan, dan evolusi internet, dan memecahkan persoalan arsitektural dan protokol tingkat menengah. IETF mengadakan pertemuan tiga kali setahun dan laporan hasil pertemuan pertemuan itu secara lengkap termasuk kedalam IETF proceedings. c. Institute of Electrical and Electronics Engineers (IEEE) Institute of Electrical and Electronics Engineers (IEEE) adalah pembuat kunci standar dari hampir semua hal yang berhubungan dengan teknologi dan informasi di Amerika Serikat. IEEE membuat standar dengan peraturan yang telah ditetapkan oleh FCC. IEEE telah menspesifikasikan begitu banyak standar teknologi. Seperti Public Key cryptography (IEEE 1363), Ethernet (IEEE 802.3), dan untuk Wireless LAN dengan standar IEEE 802.11. (Gunadi, 2009)
2.1.3
Standar Wireless LAN Standar yang lazim digunakan untuk WLAN adalah 802.11 yang
ditetapkan oleh IEEE pada akhir tahun 1990. standar 802.11 kemudian dibagi menjadi tiga jenis, yaitu : a. IEEE 802.11a Menggunakan
teknik
modulasi
Orthogonal
Frequency
Division
Multiplexing (OFDM) dan berjalan pada frekuensi 5 GHz dengan kecepatan transfer data mencapai 54 Mbps. Kelebihan dari standar ini adalah kecepatan transfer data yang lebih tinggi dan lebih kecil potensi
16
terjadinya interferensi dari perangkat nirkabel lainnya karena frekuensi ini jarang digunakan. Kelemahannya antara lain membutuhkan biaya yang lebih besar, jarak jangkuan lebih pendek karena frekuensi tinggi dan juga dapat menyebabkan sinyal mudah diserap oleh benda penghalang seperti tembok. b. IEEE 802.11b Menggunakan teknik modulasi direct sequence spread sprectrum (DSSS) dan berjalan pada pita frekuensi 2,4 Ghz dengan kecepatan transfer 11 Mbps. Kelebihan dari standar ini adalah biaya implementasi yang lebih sedikit dan jarak jangkauan yang lebih baik. Kelemahannya adalah kecepatan transfer yang lebih lambat dan rentan terhadap interferensi karena frekuansi 2,4 GHz juga banyak digunakan oleh perangkat lainnya. c. IEEE 802.11g Menggunakan teknik modulasi OFDM dan DSSS sehingga memiliki karakteristik dari kedua standar 802.11b dan 802.11a. Standar ini bekerja pada frekuensi 2.4 GHz dengan kecepatan transfer data mencapai 54 Mbps tergantung dari jenis modulasi yang digunakan. Kelebihan dari standar ini adalah kecepatan transfer data yang tinggi (menyamai standar 802.11a), jarak jangkauan yang cukup jauh dan lebih tahan terhadap penyerapan oleh material tertentu karena bekerja pada frekuensi 2,4 GHz. Kelemahannya adalah rentan terhadap interferensi dari perangkat nirkabel lainya. (Gunadi, 2009)
17
Secara umum perbandingan diantara standar WLAN yang dimaksud dapat dijabarkan seperti pada table 2.1 berikut : Tabel 2.1 Perbandingan Standar Wireless LAN Sumber : (Gunadi, 2009 ) Standard approved Maximum data rate Modulation RF band Number of spatial streams Channel width Compatible with …
802.11b July 1999
802.11a
802.11g
802.11n
July 1999
June 2003
Not yet ratified
54 Mbps
54 Mbps
600 Mbps
5 GHz
DSSS or CCK or OFDM 2,4 GHz
DSSS or CCK or OFDM 2,4 GHz or 5 GHz
1
1
1
1, 2, 3, or 4
20 MHz
20 MHz
20 MHz
20 MHz or 40 MHz
802.11 b
802.11 a
802.11 b/g
802.11 b/g/n
11 Mbps DSSS or CCK 2,4 GHz
OFDM
d. IEEE 802.11i IEEE 802.11i atau yang juga sebagai WPA2 merupakan standarisasi pada 802.11 yang khusus menspesifikasikan mekanisme keamanan untuk jaringan nirkabel. Draft standarisasi ini yang disetujui pada 24 Juni 2004 dirancang untuk menggantikan protokol WEP yang memiliki celah keamanan yang besar. Wi-Fi Alliance sebelumnya telah mengeluarkan standarisasi WPA sebagai solusi sementara untuk mengganti WEP. WPA2 adalah perbaikan dan versi final dari WPA. 802.11i menggunakan algoritma enkripsi AES block cipher, sedangkan WEP dan WPA menggunakan RC4 stream cipher. Arsitektur 802.11i terdiri dari beberapa komponen, 802.1x untuk otentikasi, RSN (Robust Secure Network) untuk memantau status
18
assosiasi,
dan
AES-based
Cipher
Block
Chaining
Message
Authentication Code Protocol (CCMP) untuk menyediakan fasilitas confidentiality, integrity, dan data encryption. Selain itu, komponen penting lainnya dalam proses otentikasi 802.11 adalah proses 4-way handshake. (Reza Fuad R)
2.1.4
Teknik Enkripsi Wireless LAN Dalam jaringan nirkabel dikenal ada beberapa teknik enkripsi yang biasa
digunakan, antara lain : 1. Wired Equivalent Privacy (WEP) Teknik enkripsi WEP menggunakan kunci (key) yang disebar antara accsess point dengan kliennya dalam satu jaringan supaya masing – masing dapat melakukan proses enkripsi dan dekripsi, karena kedua proses tersebut hanya mungkin dilakukan jika memiliki key yang sama. key yang digunakan pada WEP standar adalah 64 bit, 40 bit adalah key dan 24 bit sisa nya adalah Initialization Vector (IV) yang dikirimkan berupa teks untuk proses otentikasi. Andaikan key yang digunakan pada enkripsi tidak dikenali oleh klien yang seharusnya melakukan dekripsi, maka frame tersebut akan ditolak. Enkripsi ini kemudian menjadi kurang popular karena dikatahui terdapat kelemahan yaitu memiliki IV yang pendek, sehingga memungkinkan terjadinya pengulangan IV yang digunakan untuk setiap jumlah frame yang dikirimkan, tergantung pada luas jaringan
19
dan jumlah pengguna yang terhubung (tingkat kesibukan jaringan) dan membuat cracker bisa dengan mudah menerka IV dan menembus enkripsi WEP. Namun WEP masih tetap menjadi pilihan untuk keamanan minimal yang biasa digunakan pada jaringan nirkabel rumahan. 2. Wi – Fi Protected Access (WPA) WPA dibuat sebagai tindak lanjut atas kelemahan WEP dengan menggunakan algoritma enkripsi baru menggunakan key yang dinamis dan berubah secara periodik. WPA yang telah dikembangkan saat ini adalah WPA yang digunakan pada jaringan nirkabel yang sudah umum dan WPA 2. Teknik enkripsi yang digunakan WPA bisa dibagi menjadi dua jenis, yaitu Temporal Key Integrity Protocol (TKIP) yang dibuat sebagai pengganti WEP dengan menggunakan key sepanjang 128 bit dan berubah untuk setiap frame yang akan dikirimkan serta Advance Encryption Standard (AES) yang menggunakan algoritma yang lebih baik namun membutuhkan sumber daya yang lebih besar dan digunakan pada WPA2. WPA sendiri dapat digolongkan menjadi 2 jenis, yaitu WPA Personal yang
menggunakan
Pre-shared
Key
(PSK)
dan
WPA
Enterprise.Penggunaan PSK ditujukan pada jaringan yang berada di lingkungan rumah atau kantor kecil dimana tidak ada pengguna server ontentikasi kompleks. WPA Enterprise kebanyakan digunakan pada jaringan perusahaan dimana keamanan adalah sesuatu yang penting
20
bagi mereka sehingga menggunakan server otentikasi sendiri seperti Remote Authentication Dial-in User Service (RADIUS). Extensible Authentication Protocol (EAP) digunakan pada jenis WPA ini yang hanya mengizinkan pemakaian sebuah port untuk mengirimkan paket – paket EAP dari klien ke server otentikasi. EAP akan menutup semua lalu lintas data lainnya yang menuju server sampai terbukti bahwa pengguna adalah pemakai yang sah. (Ilman Zuhri Yadi).
2.2 Protokol Keamanan AAA Menurut Jonathan Hassel (2002) Konsep kerja Server Otentikasi dikenal dengan AAA (authentication, authorization, and accounting). Yang terdiri dari Otentikasi, Otorisasi, dan Pendaftaran akun pengguna. Konsep AAA mempunyai
fungsi yang berfokus pada tiga aspek dalam kontrol akses user, yaitu : a.
Authentication Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID / username dan password. jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan masuk dan sebaliknya.
21
b.
Authorization Ototrisasi melibatkan penggunaan seperangkat aturan aturan yang berlaku untuk memutuskan aktifitas apa saja yang dizinkan dalam sistem atau sumber daya jaringan tertentu untuk pengguna yang terotentikasi. Proses Authorization merupakan lanjutan dari proses Authentication. Proses Authorization dapat dianalogikan sebagai berikut :
jika anda sudah
mengizinkan tamu untuk masuk kerumah anda, tentu anda mempunyai aturan – aturan yang ditempel di dinding rumah anda, misalnya tamu hanya boleh masuk sampai dengan ruang tamu. dengan aturan seperti ini tentu akan memudahkan seseorang untuk melakukan kontrol terhadap sumber daya jaringan tertentu. c. Accounting Proses Accounting merupakan proses dimana terdapat proses pencatatan berapa lama seorang pengguna sudah terkoneksi (waktu mulai / waktu stop) yang telah dilakukan selama pemakaian. data dan informasi ini sangat berguna baik untuk pengguna maupun administratornya. biasanya laporan ini digunakan untuk melakukan auditing, membuat laporang pemakaian, membaca karakteristik jaringan, dan pembuatan billing tagihan. jadi pada intinya proses accounting berguna untuk mengetahui apa saja yang dilakukan oleh client dan service apa saja yang dilakukan oleh client. analogi sederhananya adalah mesin absensi dikantor, ia akan mencatat waktu datang dan waktu pulang, dengan demikian petugas dapat memonitoring karyawan dengan mudah. (Jonathan Hassel, 2002).
22
2.2.1
Remote Authentication Dial-In User Service (RADIUS) RADIUS merupakan singkatan dari Remote Acces Dial in User Service.
Pertama kali di kembangkan oleh Livingston Enterprises. Merupakan network protokol keamanan komputer yang digunakan untuk membuat manajemen akses secara terkontrol pada sebuah jaringan yang besar. RADIUS didefinisikan di dalam RFC 2865 dan RFC 2866. RADIUS biasa digunakan oleh perusahaan untuk mengatur akses ke internet atau interner bagi client. RADIUS melakukan otentikasi, otorisasi, dan pendaftaran akun pengguna secara terpusat untuk mengakses sumber daya jaringan. Sehingga memastikan bahwa pengguna yang mengakses jaringan adalah pengguna yang sah. RADIUS berstandar IEEE 802.1x. Sering disebut “port based authentication”. RADIUS merupakan protokol client – server yang berada pada layer aplikasi pada OSI layer. Dengan protokol transport berbasis UDP. (Jonathan Hassel, 2002).
2.2.1.1 Format Paket RADIUS Protokol RADIUS menggunakan paket UDP untuk melewati transmisi antara client dan server. Protokol tersebut akan berkomunikasi pada port 1812. Berikut struktur paket RADIUS :
Gambar 2.6 Format paket RADIUS
Format paket data RADIUS pada gambar 2.4 terdiri dari lima bagian, yaitu:
23
1. Code : memiliki panjang satu oktet, digunakan untuk membedakan tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal) dapat dilihat pada tabel 2.2 Tabel 2.2 Kode tipe pesan RADIUS Kode 1 2 3 4 5 11 12 13 255
Tipe pesan RADIUS Access-Request Access-Accept Access-Reject Accounting-Request Accounting-Response Access-Challenge Status-Server (experimental) Status-Client (experimental) Reserved
2. Identifier : Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan. 3. Length : Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket. 4. Authenticator : Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password. 5. Attributes : Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat membawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, alamat IP access point (AP), pesan balasan. Tujuan standar 802.1x IEEE adalah untuk menghasilkan kontrol akses, autentikasi, dan manajemen kunci untuk wireless LANs. Standar ini
24
berdasarkan pada Internet Engineering Task Force (IETF) Extensible Authentication Protocol (EAP), yang ditetapkan dalam RFC 2284.
2.2.1.2 Tipe Paket Pesan RADIUS Ada empat jenis paket pesan RADIUS yang relevan dengan otentikasi dan otorisasi pada fase transaksi AAA yaitu : 1. Access-Request Paket Access-Request
digunakan oleh layanan konsumen ketika
meminta layanan tertentu dari jaringan. Client mengirimkan paket request ke RADIUS server dengan daftar layanan yang diminta. Faktor kunci dalam transmisi ini adalah kolom kode pada header paket, dimana header paket tersebut harus di set dengan nilai 1, yang merupakan nilai unik pada paket permintaan. RFC menyatakan bahwa balasan harus dikirimkan ke semua paket permintaan yang valid, apakah jawabannya adalah otorisasi atau penolakan.
Gambar 2.7. Paket Access-Request Sumber : RADIUS, O'Reilly
25
Tabel 2.3 Paket Access-Request Sumber : RADIUS, O'Reilly Packet Type
Response
Code
1
Identifier
Unique per request
Length
Header length plus all additional attribute data
Authenticator
Request
Attribute Data
2 or more
2. Access-Accept Paket Access-Accept dikirim oleh RADIUS server kepada client untuk mengakui bahwa permintaan klien diberikan. Jika semua permintaan Access-Request dapat diterima, maka server RADIUS harus mengatur paket respon dengan nilai 2 pada sisi client, setelah paket tersebut diterima, paket tersebut di cek apakah sama atau benar paket tersebut adalah paket respon dari RADIUS server dengan menggunakan identifier field. Jika terdapat paket yang tidak mengikuti standar ini maka paket tersebut akan dibuang. Paket Access-Accept dapat berisi banyak atau sedikit atribut informasi yang perlu untuk dimasukkan. Kemungkinan besar atribut informasi pada paket ini akan menjelaskan jenis layanan apa saja
yang telah
dikonfirmasi dan resmi sehingga client dapat menggunakan layanan tersebut. Namun, jika tidak ada atribut informasi yang disertakan, maka client menganggap bahwa layanan yang diminta adalah yang diberikan.
26
Gambar 2.8 Paket Access- Accept Sumber: RADIUS, O'Reilly
Tabel 2.4 Paket Access-Accept Sumber: RADIUS, O'Reilly Packet Type
Response
Code
2
Identifier
Identical to Access-Request per transaction
Length
Header length plus all additional attribute data
Authenticator
Response
Attribute Data
0 or more
3. Access-Reject RADIUS server dapat pula mengirimkan paket Access-Reject kembali ke client jika harus menolak salah satu layanan yang diminta client dalam paket Access-Request. Penolakan tersebut dapat didasarkan pada kebijakan sistem, hak istimewa yang tidak cukup, atau kriteria lain. Access-Reject dapat dikirim setiap saat selama waktu koneksi. Nilai yang diberikan untuk kode pada paket ini adalah 3.
Gambar 2.9 Paket Access- Reject
27
Sumber : RADIUS, O'Reilly
Tabel 2.5 Paket Access- Reject Sumber : RADIUS, O'Reilly Packet Type
Response
Code
3
Identifier
Identical to Access-Request
Length
Header length plus all additional attribute data
Authenticator
Response
Attribute Data
0 or more
4. Access-Challenge Apabila server menerima informasi yang bertentangan dari user, atau membutuhkan informasi lebih lajut, atau hanya ingin mengurangi risiko otentikasi palsu, server
dapat menerbitkan paket Access-Challenge
untuk client. Setelah client menerima paket Access-Challenge client harus memberikan paket Access-Request yang baru disertai atribut informasi yang diminta server. Nilai yang diberikan pada header paket ini adalah 11.
Gambar 2.10 Paket Access- Challenge Sumber : RADIUS, O'Reilly
28
Tabel 2.6 Paket Access-Challenge Sumber : RADIUS, O'Reilly Packet Type
Response
Code
11
Identifier
Identical to Access-Request
Length
Header length plus all additional attribute data
Authenticator
Response
Attribute Data
0 or more
2.2.1.3 Tahapan Koneksi RADIUS Penggunaan RADIUS terhadap usaha pembentukan koneksi jaringan dapat dilakukan dengan melalui tahapan tahapan berikut: 1. Access server, access point menerima permintaan koneksi dari access client 2.
Access server dikonfigurasi agar dapat menggunakan RADIUS sebagai protokol yang melakukan proses otentikasi, otorisasi dan accounting,
membuat
sebuah
pesan
access
request
dan
mengirimkannya ke server RADIUS. 3. Server RADIUS melakukan evaluasi pesan Access request 4. Jika dibutuhkan, server RADIUS mengirimkan pesan access challenge ke access server. Jawaban terhadap pesan tersebut dikirimkan dalam bentuk access request ke server RADIUS. 5. Surat kepercayaan dan otorisasi dari usaha pembentukan koneksi diverifikasi.
29
6. Jika usaha pembentukan koneksi dan diotorisasi, server RADIUS mengirimkan sebuah pesan access accept ke access server. Sebaliknya jika usaha tersebut ditolak maka server RADIUS mengirimkan sebuah pesan access reject ke access server. 7. Selama menerima pesan access accept, access server melengkapi proses koneksi dengan access client dan mengirimkan sebuah pesan accounting request ke server radius. 8. Setelah pesan accounting request diproses, server RADIUS mengirimkan sebuah pesan accounting response. (Zaenal Arifin, 2008)
Gambar 2.11. Proses Pembentukan koneksi protokol RADIUS Sumber: http://www.wi-fiplanet.com/tutorials/article.php/3114511/UsingRADIUS-For-WLAN-Authentication-Part-I.htm
30
2.2.1.4 Realm RADIUS hadir dengan kemampuan untuk mengidentifikasi user berdasarkan desain dan area yang berlainan. atau disebuat realm. Realm adalah identifier yang ditempatkan sebelum atau sesudah nilai yang biasanya berisikan atribut Username yang bisa digunakan server RADIUS untuk mengenal dan menghubungi server yang sedang digunakan untuk memulai proses AAA. Tipe pertama dari realm identifier yang dikenal sebagai realm prefix., yang mana nama realm ditempatkan sebelum username, dan kedua dipisahkan oleh karakter prekonfigurasi, seperti kebanyakan @, \, atau /. Untuk lebih lanjut, sebuah user bernama jhassel yang terdaftar di layanan central state internet (merupakan realm dengan nama CSI) bisa mengatur klien untuk memberikan username seperti CSI/jhassel. Sintaks realm identifier lainnya adalah realm suffix, dimana username ditempatkan sebelum nama realm. Pemisah yang sama masih digunakan didalam sintaks ini hingga saat ini, lebih lanjut yang pada umum nya adalah tanda @. Sebagai contoh, user awatson mendaftar ke layanan northwest internet (nama realm : NWI) menggunakan identifikasi suffix realm bisa memberikan username seperti awatson@NWI. (Jonathan Hussel, 2003).
2.3 Protokol Otentikasi Protokol adalah suatu kumpulan dari aturan-aturan yang berhubungan dengan komunikasi data antara alat-alat komunikasi supaya komunikasi data dapat dilakukan dengan benar. Jabatan tangan merupakan contoh dari protokol antara
31
dua manusia yang akan berkomunikasi. Pada istilah komputer, jabatan tangan (handshaking) menunjukkan suatu protokol dari komunikasi data bila dua buah alat dihubungkan satu dengan yang lainnya untuk menentukan bahwa keduanya telah kompatibel. (Jogianto, 1999). Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID / username dan password. jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan masuk dan sebaliknya. (Jonathan Hassel).
2.3.1
Password Authentication Protocol (PAP) PAP secara lebih spesifik dibahas dalam RFC 1334. Algoritma yang
digunakan untuk menyembunyikan informasi User-Password terdiri dari banyak proses. Pertama, RADIUS klien akan mendeteksi nilai identifier dan shared secret, lalu mengirimkannya untuk diproses dengan MD5 hashing. Informasi password pengguna akan diteruskan pada proses XOR dan hasil dari kedua proses ini akan dimasukkan pada atribut User-Password. Lalu server RADIUS yang menerima paket tersebut akan melakukan prosedur sebelumnya tetapi dengan urutan terbalik, sehingga server RADIUS dapat menentukan otorisasi bagi pengguna. Mekanisme penyembunyian password ini digunakan untuk mencegah
32
pengguna mengetahui penyebab kegagalan proses otentikasi apakah disebabkan kesalahan pada password atau shared secret. (TCP/IP Guide, Charles M. Kozierok).
Gambar 2.12 Tahapan Otentikasi PAP Sumber : http://www.orbit-computer-solutions.com/images/pap.jpg
2.3.2
Challenge Handshake Authentication Protocol (CHAP) CHAP dikembangkan dengan alasan bahwa password seharusnya tidak
ditransmisikan melalui jaringan. CHAP secara dinamis mengenkripsi informasi username dan password. Pada otentikasi CHAP terdapat 3 proses yang dikenal dengan 3 wayHanshake, proses proses tersebut adalah : 1. Challenge : authenticator membuat sebuah
frame yang dinamakan
Challenge dan dikirimkan initiator. frame ini berisi text sederhana yang disebut challenge text.. 2. Response : The initiator menggunakan password untuk melakukan proses encrypt pada challenge text. Kemudian challenge text yang sudah terencrypt dikirimkan kepada authenticator.
33
3. Success or Failure: authenticator melakukan sesi pencocokan pesan yang di encrpt
tersebut dengan challenge text milik nya yang di
encrypte dengan password yang sama. Jika hasil encrypt initiator sama dengan hasil encrypt authenticator maka authenticator menyatakan proses otentikasi sukses. Sebalik nya jika tidak ditemukan kecocokan maka proses otentikasi failure. (TCP/IP Guide, Charles M. Kozierok).
Gambar 2.13 Proses CHAP 3-way Handshake Sumber : http://www.orbit-computer-solutions.com/images/CHAP3.jpg
34
2.3.3
Extensible Authentication Protocol (EAP) EAP atau Extensible Authentication Protocol adalah suatu framework
otentikasi yang menyediakan layanan transport dan penggunaan keying material dan parameter yang dihasilkan oleh EAP methods. EAP pada awalnya dikembangkan untuk koneksi Point-to-Point atau PPP. Namun, saat ini EAP juga diimplementasikan dan banyak digunakan untuk otentikasi pengguna pada jaringan nirkabel. EAP digunakan pada three-tier authentication, maka pada proses komunikasinya EAP akan menggunakan transport protokol yang berbeda. Pertama, pada komunikasi antara supplicant dan authenticator, EAP akan menggunakan data link protocol seperti PPP, Ethernet atau WLAN. Kedua, pada komunikasi antara authenticator dan authentication system, EAP akan menggunakan application layer protocol seperti RADIUS atau Diameter.
Gambar 2.14 Proses komunikasi protokol EAP antara supplicant, NAS dan authentication server Dalam EAP terdapat beberapa komponen diantaranya :
35
Gambar 2.15 Komponen EAP Sumber : Tom Rixom 1. Supplicant Merupakan Wireless Node yang ingin mengakses Jaringan disebut Supplicant.
2. Authenticator merupakan perangkat yang memberikan akses menuju server. Authenticator merupakan device yang memproses apakah suatu supplicant dapat mengakses jaringan atau tidak. authenticator mengontrol dua jenis port yaitu yang disebut dengan controlled ports dan yang disebut dengan uncontrolled ports. Kedua jenis port tersebut merupakan logikal port dan menggunakan koneksi fisikal yang sama. Sebelum otentikasi berhasil, hanya port dengan jenis uncontrolled yang dibuka. Trafik yang diperbolehkan hanyalah EAPOL atau EAPOW. Setelah supplicant melakukan autentifikasi dan berhasil, port jenis controlled dibuka sehingga supplicant dapat mengakses LAN
36
secara biasa. IEEE 802.1x mempunyai peranan penting dari standar 802.11i.
Gambar 2.16 Skema port based authentication Sumber : Standar IEEE 802.1x. Teori dan Implementasi 3. Authentication Server / RADIUS yaitu server yang menentukan apakah suatu supplicant valid atau tidak. Authentication server adalah berupa RADIUS server [RFC2865].
2.3.3.1
EAP Over RADIUS EAP over RADIUS merupakan sebuah mekanisme otentikasi yang
dilakukan oleh access server (access point) untuk melewatkan pesan EAP dari jenis EAP apa pun ke RADIUS server untuk melakukan proses otentikasi. Sebuah pesan EAP dikirim diantara access client dan access server dengan menggunakan format attribute EAP Message RADIUS dan dikirim sebagai pesan RADIUS antara access server dan server RADIUS. Access server hanya menjadi perangkat
37
yang melewatkan pesan EAP diantara client dan server RADIUS. Pemrosesan pesan EAP dilakukan oleh access client dan server RADIUS, tidak dilakukan oleh access server. EAP over RADIUS digunakan dalam lingkungan dimana RADIUS sebagai penyedia mekanisme otentikasi. Keuntungan yang bisa diperoleh dengan menerapkan EAP over RADIUS adalah jenis EAP tidak perlu diinstall pada setiap access server, cukup dilakukan pada server RADIUS. Tetapi, access server harus mendukung EAP sebagai protokol untuk melakukan kegiatan otentikasi dan melewatkan pesan EAP ke server RADIUS. Karena EAP merupakan bagian dari standar 802.1x, kita harus mengaktifkan otentikasi 802.1x untuk mengaktifkan AP agar dapt menggunakan EAP. Ketika koneksi dibuat, access client bernegosiasi dengan access server menggunakan EAP. Ketika client mengirimkan pesan EAP ke access server, access server membungkus pesan EAP dalam bentuk attribut EAP message kemudian diubah menjadi pesan RADIUS access Request dan mengirimkannya ke server RADIUS. Server RADIUS memproses attribute EAP-Message dan mengirimkan sebuah pesan EAP-Response dalam bentuk pesan RADIUS AccessChallenge ke access server. Selanjutnya, access server melewatkan pesan EAP ke access client.
38
Gambar 2.17 Konversi pesan EAP dan pesan RADIUS Sumber : (sistem pengamanan jaringan wireless, zaenal arifin)
2.3.3.2
EAP over LAN (EAPOL) EAPOL
adalah
suatu
protokol
yang
menyediakan
cara-cara
mengenkapsulasi paket-paket EAP dalam protokol LAN atau Ethernet. EAPOL didesain untuk standarisasi IEEE 802.1X yang digunakan pada jaringan kabel maupun nirkabel. Berikut ini adalah beberapa jenis paket-paket EAPOL, yaitu: 1. EAPOL-Start : merupakan sebuah frame EAPOL yang baru. Frame ini dikembangkan untuk mekanisme network-sensing pada jaringan nirkabel. Pada saat permintaan akses, supplicant akan mengirimkan frame EAPOL start secara multicast ke beberapa alamat MAC yang telah dipersiapkan untuk 802.1x authenticators, sehingga authenticator dapat mengetahui apabila ada pengguna yang memerlukan ijin akses. 2. EAPOL-Key : frame ini dirancang untuk mendukung kombinasi antara proses otentikasi dan proses pendistribusian kunci, dimana authenticator akan mengirim kunci yang digunakan untuk enkripsi komunikasi data ke supplicant.
39
3. EAPOL-Packet : frame ini merupakan frame utama untuk protokol EAPOL, dimana frame ini bertugas untuk membawa paket atau pesan EAP. Semua tipe pesan EAP (EAP request, EAP response, EAP success dan EAP failure) dibawa oleh frame EAPOL-Packet. 4. EAPOL-Logoff
:
frame
ini
digunakan
oleh
supplicant
untuk
mengindikasikan bahwa pengguna ingin mengakhiri koneksi.
Gambar 2.18. Format paket EAPOL
2.4 EAP Methods EAP sebenarnya hanya sebuah authentication framework dan tidak menyediakan mekanisme tertentu yang dapat digunakan untuk proses otentikasi. Tetapi, EAP menyediakan fungsi-fungsi umum dan negosiasi metode otentikasi yang disebut EAP methods. Beberapa EAP methods yang sering digunakan, yaitu EAP-MD5, EAP-OTP, EAP-GTC, EAP-SIM, EAP-AKA, EAP-TLS, EAP-TTLS dan PEAP. Ketiga EAP methods yang terakhir, yaitu EAP-TLS, EAP-TTLS dan PEAP adalah EAP methods yang sering digunakan pada jaringan nirkabel. EAP methods ini mendukung fitur mutual authentication dan penggunaan digital certificate. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada sisi client dan satu lagi pada sisi server. sedangkan pada EAP-TTLS dan PEAP, digital certificate pada sisi client bersifat optional dan dapat digantikan oleh kombinasi username dan password. (Madjid Nakhjiri)
40
Gambar 2.19 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS
2.4.1 EAP MD5 EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan tingkat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode dictionary attack, tidak ada mutual otentikasi, dan penurunan kunci; sehingga membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPA/WPA2 enterprise.
2.4.2
EAP TLS EAP-TLS [RFC2716], adalah IETF standar dan banyak disupport oleh
vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi, semenjak TLS dianggap sebagai teknik enkripsi yang sukses pada mekanisme SSL. TLS menggunakan Public Key Infrastructure (PKI) untuk mengamankan komunikasi antara supplicant dan authentication server. EAP-TLS adalah standar EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya merupakan salah satu standar EAP yang paling aman dan secara universal
41
disupport oleh semua manufaktur dari wireless LAN hardware dan software termasuk Microsoft.
2.4.3
EAP TTLS EAP-Tunneled
TLS
atau
EAP-TTLS
merupakan
standar
yang
dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas disupport dan menawarkan tingkat keamanan yang bagus. Standar ini menggunakan PKI sertifikat hanya pada authentication server.
2.4.4
PEAP MSCHAP v2 Protected EAP (PEAP), sama seperti EAP-TTLS, memakai TLS-tunnel.
Sertifika supplicant untuk PEAP tidak diperlukan, tetapi untuk sertifikat server (AS) dibutuhkan. PEAP dikembangkan oleh Microsoft, Cisco System, dan RSA Security.
2.4.4.1 Microsoft PPP CHAP Extensions Version 2 (MSCHAPv2) Berdasarkan dokumen RFC 2759, Microsoft PPP CHAP Extensions Version 2
(MSCHAPv2), merupakan pengembangan dari protokol otentikasi
Challenge Hanshake Authentication Protocol (CHAP) yang dikembangkan oleh tim dari
Microsoft, MSCHAP v2 memiliki kemiripan dengan protokol
MSCHAPv1 dan protokol CHAP standard nya. Perbedaan mendasar antara protokol MSCHAPv1 dan MSCHAPv2 adalah, pada versi 2 menyediakan fitur mutual authentication antara otentikator dan peer (client).
42
a. Format Paket MSCHAPv2 1. Challenge Packet Format paket challenge identik dengan format paket challenge pada CHAP standard. Pada paket ini authenticator akan mengirimkan kepada peer nilai challenge sepanjang 16 oktet. 2. Response Packet Format paket Response identik dengan format paket challenge pada CHAP standard. Format paket terdiri dari : - 16 oktet : peer challenge, merupakan nilai random yang dihasilkan dari sisi peer. - 8 oktet : nilai cadangan, harus diisi kosong / zero - 24 oktet : NT response, berisi password yang terenkrisi dan username - 1 oktet : flag, diisi dengan nilai kosong / zero 3. Success Packet Format paket Success identik dengan format paket Success pada CHAP standard. Paket ini terdiri dari 42 oktet. Paket ini merupakan pesan response dari authenticator apabila paket response yang dikirimkan peer memiliki nilai yang sesuai. Format paket ini adalah : “S=
M=<Message>”. 4. Failure Packet Format paket Filure identik dengan format paket Failure pada CHAP standard. Paket ini dikirimkan apabila paket response dari peer tidak ditemukan kesamaan atau tidak sesuai. Format paket ini terdiri dari
43
”E=eeeeeeeeee R=r C=cccccccccccccccccccccccccc V=vvvvvvvvvv M=<msg>”. - eeeeeeeeee, merupakan representasi nilai desimal dari pesan error. Berikut daftar pesan error dalam paket ini : Tabel 2.7 Daftar Pesan Error MSCHAPv2 Sumber : RFC 2759 Kode
Pesan
646
ERROR_RESTRICTED_LOGON_HOURS
647
ERROR_ACCT_DISABLED
648
ERROR_PASSWD_EXPIRED
649
ERROR_NO_DIALIN_PERMISSION
691
ERROR_AUTHENTICATION_FAILURE
709
ERROR_CHANGING_PASSWORD
- r, merupakan flag, diset dengan nilai ”1” jika diizinkan, dan diset dengan nilai “0” jika tidak diizinkan. Nilai ini untuk mengaktifkan dan menonaktifkan short timeouts. - cccccccccccccccccccccccccc, merupakan nilai challenge, dalam hexadesimal memiliki panjang 32 oktet. Nilai challenge wajib ada. - vvvvvvvvvv, dalam ASCII merepresentasikan kode versi dalam desimal. Kode dalam 10 digit. Mengindikasikan perubahan password pada protokol versi yang disupport oleh server. Pada MSCHAPv2, nilai ini harus selalu di set dengan 3.
44
-<msg>, merupakan text yang dapat dibaca dan dipahami menggunakan bahasa manusia. 5. Change-Password Packet Format paket Change-Password Packet tidak sama pada CHAP dan MSCHAPv1. paket ini memungkinkan peer mengubah password pada account yang telah ditetapkan pada paket response sebelumnya. Paket ni dikirimkan oleh peer kepada authenticator apabila authenticator melaporkan pesan (648) ERROR_PASSWD_EXPIRED. Pada paket Failure. Format paket ini terdiri dari : - 1 oktet, code, di set dengan nilai 7 - 1 oktet, identifier, mencocokkan antara request and replies. Nilai ini berasal dari nilai paket failure ditambah 1 - 516 oktet password terenkripsi - 16 oktet, hash terenkripsi - 16 oktet peer-challenge - 8 oktet cadangan - 24 oktet, server response - 2 oktet, flags.
2.5 Secure Socket Layer (SSL) / Transport Layer Security (TLS) Secure socet layer dikembangkan oleh netscape communication corp pada tahun 1994. SSL melindungi transmisi EAP dengan menambahkan lapisan enkripsi pengaman. SSL tidak hanya melindungi data yang dikirim tetapi juga
45
dapat meyakinkan pihak pihak yang berkomunikasi bahwa lawan bicara mereka dapat dipercaya (melalui penggunaan sertifikat digital). SSL memberikan tiga keamanan diantaranya : 1. Menjadikan saluran (kanal) sebagai saluran private. Enkripsi digunakan terhadap seluruh data setelah handshaking (protokol pembuka sebelum terjadi pertukaran data). Jadi, data data yang dikirim melalui internet ke tempat tujuan akan terjamin keamanannya. 2. karnel diotentikasi, server selalu diotentikasi dan klien diotentikasi untuk menjaga keamanan data yang akan dikirimkan melalui jaringan. 3. kernel yang andal, dimana setiap data yang disadap dan dimodifikasi saat data dikirim oleh pihak yang tidak bertanggung jawab dapat diketahui oleh pihak yang sedang berkirim data dengan menggunakan message integrity check. 2.5.1
Protocol SSL Record Digunakan untuk membungkus data yang dikirim dan diterima setelah protokol handshake digunakan untuk membangun parameter keamanan waktu terjadi pertukaran data. Protokol SSL record membagi data yang ada kebentuk blok blok dan melakukan kompresi dengan cara ceksum (MAC).
46
Gambar 2.20 Format SSL Record
2.5.2
Protocol SSL Handshake Berfungsi membangun parameter keamanan sebelum terjadinya pertukaran
data antara dua sistem. Berikut tipe tipe pesan yang dikirimkan antara klien dan server :
47
Gambar 2.21 Handshake Protocol Sumber : http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_11/ssl.html
1. Client Hello Message Untuk memulai komunikasi antara klien dan server, sisi klien terlebih dahulu harus mengirimkan pesan client hello ke server. Isi dari pesan ini akan memberitahukan versi, nilai acak, ID sesi, cipher yang didukung dan metode kompresi data yang dapat digunakan/diproses oleh klien. Sebuah pesan client hello berisikan informasi berikut:
48
a. Client_version. Bagian ini menginformasikan versi SSL paling tinggi yang dapat dimengerti oleh klien. b. Random. Bagian ini berisi rangkaian/kombinasi acak yang dihasilkan oleh klien, dimana kombinasi ini nantinya akan digunakan untuk proses komputasi kriptografi pada protokol SSL. Keseluruhan 32byte struktur bagian ini sebenarnya tidak sepenuhnya acak. Melainkan, 4-byte diambil dari informasi tanggal/waktu yang berguna untuk menghindari replay attacks. c. Session_id. Bagian ini berisikan identifier suatu sesi SSL. Bagian ini seharusnya tidak memiliki nilai atau kosong apabila klien ingin menghasilkan parameter keamanan yang baru. Apabila terdapat identifier suatu sesi, maka nilai dari bagian ini seharusnya berisi informasi dari sesi sebelumnya. d. Cipher_suites. Bagian ini berisi daftar kombinasi algoritma kriptografi yang didukung oleh klien. Hal ini memberikan kemudahan pada sisi klien, tetapi sisi server tetap menjadi penentu akan algoritma kriptografi yang akan digunakan. Apabila server tidak menemukan suatu pilihan dari daftar kombinasi yang diberikan oleh klien, maka server akan memberikan respons berupa pesan handshake failure alert dan kemudian mengakhiri koneksi tersebut. e. Compression_methods. Sama seperti bagian cipher_suites, bagian ini berisikan daftar kombinasi metode kompresi yang didukung oleh
49
klien. Daftar ini disusun menurut kebutuhan/konfigurasi dari klien, tetapi sisi server yang akan memutuskan metode kompresi yang akan digunakan. Bagian jarang digunakan pada SSLv3 dan merupakan fitur pengembangan untuk TLSv1. 2. Server Hello Message Setelah server menerima dan memroses pesan client hello, maka server memiliki dua pilihan pesan yang dapat dikirim ke klien, yaitu pesan handshake failure alert dan server hello. Isi dari pesan server hello kurang lebih sama dengan pesan client hello. Perbedaannya adalah pada pesan client hello berisikan daftar dukungan protokol pada sisi klien, sedangkan pesan server hello memutuskan/memberitahukan protokol yang akan digunakan kepada klien. Adapun isi dari pesan server hello, yaitu: a. Server_version. Bagian ini berisi versi protokol yang dipilih oleh server, dimana versi ini akan digunakan seterusnya untuk komunikasi dengan klien. Server memutuskan hal ini berdasarkan dukungan tertinggi pada kedua pihak. Sebagai contoh, apabila klien mendukung hingga versi SSLv3 dan server mendukung hingga versi TLSv1, maka server akan memilih SSLv3. b. Random. Bagian ini sama seperti yang terdapat pada sisi klien, yang berfungsi untuk proses komputasi kriptografi pada SSL. Nilai dari bagian ini harus bersifat independen dan berbeda dari apa yang dihasilkan pada sisi klien.
50
c. Session_id. Bagian ini menyediakan informasi pengenal/identitas dari sesi yang sedang berjalan. Jika nilai dari session identifier adalah tidak kosong, maka server akan memeriksa dan mencocokan dengan yang terdapat pada session cache. Jika ditemukan nilai yang sama, maka server dapat membentuk sebuah koneksi baru dan melanjutkan status dari sesi yang dimaksud. d. Cipher_suite. Bagian ini mengindikasikan sebuah cipher suite yang dipilih oleh server berdasarkan daftar yang diberikan oleh klien. e. Compression_method. Sama seperti bagian cipher suite, bagian ini mengindikasikan sebuah metode kompresi yang dipilih oleh server berdasarkan daftar dukungan yang diberikan oleh klien 3. Server Certivicate Message Bersamaan dengan pengiriman pesan server hello, server juga mengirimkan sertifikat untuk proses otentikasi. Jenis sertifikat yang umum digunakan adalah x.509v3. sertfikat ini juga digunakan sebagai peertukaran kunci. Algoritma enkripsi yang digunakan berasal dari pemilihan cipher dari client. Nantinya pesan ini yang akan digunakan sebagai public key oleh client saat untuk mengencrypt pesan ke server. 4. Server Key Exchange Pesan ini berisi efek dari pendistribusian kunci server dan algoritma enkripsi yang akan digunakan antara server dan client. 5. Certificate Request Message
51
Pesan ini bertujuan untuk meminta sertifikat dari pihak client. Pengiriman pesan ini menandakan dua indicator : 1. mengindikasikan tipe algoritma yang digunakan pada sertifikat. 2. sertifikat yang diterima adalah sertifikat yang telah diakui oleh Certivicate Authority (CA). 6. Server Hello Done Message Pesan ini menandakan bahwa pesan server hello telah dikirim ke pihak client. Dan server menunggu respon dari client 7. Client Certificate Message Pesan ini adalah pesan pertama yang dikirimkan oleh client setelah server hello done message diterima client. Dalam pesan ini client mengirimakn sertifikat client ke server. Jika client tidak dapat mengirimkan sertifikat yang diminta server makan server akan memutuskan komunikasi dengan client. 8. Client Key Exchange Pesan ini membawa kunci untuk server. Tipe algoritma kunci yang digunakan dapat berupa RSA, atau yang lainnya. 9. Certificate Verify Message Pesan ini dikirimkan oleh client bertujuan agar server dapat melakukan verifikasi sertifikat client. 10. Finished Message Pada fase selanjutnya client mengirimkan pesan yang berisi perubahan spesifikasi cipher dibarengi dengan pengiriman pesan finished message. Apabila server menerima pesan finished message dari client. Server
52
mengirimkan change cipher spec message dan mengirimkan finished message. Pada fase ini handshake protocol telah sempurna dan jalur ini selanjutnya dapat digunakan untuk transfer pesan atau data secara aman. (Steve Burnett at all, 2004).
2.5.3
Protocol SSL Alert Protokol ini akan memberikan tanda kondisi sudah tidak terkoneksi lagi
(jika pengirim mengirimkan pesan dan yang akan menerima sedang offline maka pesan akan dipending sampai penerima terkoneksi lagi). SSL alert error message bisa dilihat pada tabel 2.x berikut ini : Tabel 2.8 Alert Error Message Sumber : http://msdn.microsoft.com/en-us/library/dd721886%28VS.85%29.aspx
TLS or SSL alert
Schannel error code
SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_BAD_RECORD_MAC
SEC_E_MESSAGE_ALTERED
TLS1_ALERT_DECRYPTION_FAILED
SEC_E_DECRYPT_FAILURE
TLS1_ALERT_RECORD_OVERFLOW
SEC_E_ILLEGAL_MESSAGE
SSL3_ALERT_DECOMPRESSION_FAIL
SEC_E_MESSAGE_ALTERED
SSL3_ALERT_HANDSHAKE_FAILURE TLS1_ALERT_BAD_CERTIFICATE
SEC_E_ILLEGAL_MESSAGE SEC_E_CERT_UNKNOWN
TLS1_ALERT_UNSUPPORTED_CERT
SEC_E_CERT_UNKNOWN
TLS1_ALERT_CERTIFICATE_REVOKED CRYPT_E_REVOKED TLS1_ALERT_CERTIFICATE_EXPIRED
SEC_E_CERT_EXPIRED
TLS1_ALERT_CERTIFICATE_UNKNOWN SEC_E_CERT_UNKNOWN SSL3_ALERT_ILLEGAL_PARAMETER
SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_UNKNOWN_CA
SEC_E_UNTRUSTED_ROOT
TLS1_ALERT_ACCESS_DENIED TLS1_ALERT_DECODE_ERROR
SEC_E_LOGON_DENIED SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_DECRYPT_ERROR
SEC_E_DECRYPT_FAILURE
TLS1_ALERT_EXPORT_RESTRICTION
SEC_E_ILLEGAL_MESSAGE
53
TLS1_ALERT_PROTOCOL_VERSION
SEC_E_UNSUPPORTED_FUNCTION
TLS1_ALERT_INSUFFIENT_SECURITY
SEC_E_ALGORITHM_MISMATCH
TLS1_ALERT_INTERNAL_ERROR
SEC_E_INTERNAL_ERROR
Default
SEC_E_ILLEGAL_MESSAGE
2.5.4
Arsitektur SSL / TLS Protokol SSL didesain untuk bisa digunakan pada provider TCP yang
dapat dipercaya layanan keamanannya. SSL tidak hanya menggunakan satu protokol, tetapi dua layer (lapis) protokol. SSL record protocol merupakan layanan keamanan dasar kelapisan protokol yang lebih tinggi. EAP bisa beroperasi dengan SSL/TLS. Arsitektur dari SSL dapat dilihat pada gambar 2.22 dbawah ini :
Gambar 2.22 Arsitektur Protokol SSL Sumber : http://technet.microsoft.com/en-us/library/Cc767139.f14-2_big%28enus,TechNet.10%29.gif
54
2.5.5
Sertifikat Digital sertifikat digital adalah kunci publik dan informasi penting mengenai jati
diri pemilik kunci tersebut, seperti misalnya nama, alamat, pekerjaan, jabatan, perusahaan, dan bahkan hash dari suatu informasi rahasia ysng ditandatangani oleh suatu pihak terpercaya. Sertifikat digital tersebut ditandatangani oleh sebuah pihak yang terpercaya, yaitu Certificate Authority (CA).
Gambar 2.23 Peran CA dalam penerbitan sertifikat Sertifikat digital diterbitkan oleh CA, suatu perusahaan atau individu yang mendaftarkan diri kepada CA baru mereka akan mendapatkan sertifikat digital. CA bukan hanya bertugas menerbitkan sertifikat saja, tetapi juga melakukan pemeriksaan apakah apakah sertifikat tersebut masih berlaku atau tidak, dan juga membatalkan sertifikat atas permintaan. Dengan demikian, berarti CA juga memiliki daftar sertifikat yang mereka buat, baik yang masih berlaku maupun yang sudah dibatalkan. Pada sertifikat digital terdapat tanggal kadaluarsa, sertifikat yang sudah kadaluarsa akan dihapus dari daftar CA dan masih bisa diperpanjang. Struktur standar dari sertifikat digital meliputi hal-hal berikut :
55
a. Version : merupakan versi dari x.509 pada versi 1 yang memiliki fasilitas dari serial number sertifikat sampai dengan subject public key info, versi 2 ditambah dengan identitas subject yang unik, dan pada versi 3 diberi tambahan extention dari sertifikat digital. Lihat gambar 2.x b. Serial number merupakan bilang integer yang unik yang dibuat oleh CA. c. Signature Algoritma identifier
merupakan algoritma yang digunakan
untuk menandatangani sertifikat yang bersamaan dengan parameternya. d. Issuer name : nama dari pembuat dan yang mengeluarkan sertifikat e. Period of validity : batas tanggal, bulan, dan tahun sertifikat bisa digunakan. f. Subject name : nama yang menggunakan sertifikat atau yang memiliki kunci private dari sertifikat tersebut. g. Subject public key information : public key subject, identifikasi algoritma kunci yang digunakan dan perusahaan mana yang mengeluarkan sertifikat tersebut h. Issuer unique identifier : identifikasi unik perusahaan i. Subject unique identifier : digunakan untuk membedakan subject yang satu dengan yang liannya j. Extention meliputi pemakaian kunci, identifikasi kunci public, identifikasi policy sertifikat, dan lainnya. k. Signature
56
Salah satu layanan otentikasi adalah X.509 yang menyediakan layanan dan mengatur pendistribusian serta memperbaiki informasi user. Informasi user meliputi : a.
username
b.
alamat jaringan
c.
serta atribut user
X.509 merupakan suatu standar yang penting untuk menangani sertifikat digital karena struktur dari sertifikat digital dan protokol otentikasi terdapat pada X.509. X.509 beroperasi berdasarkan kunci publik dan tandatangan digital serta menggunakan algortima standar seperti RSA, format dari X.509 seperti gambar berikut :
Gambar 2.24 Format X.509 Sumber : Dony Ariyus, 2006
57
2.5.6
Enkripsi Public Key Public key memecahkan masalah pendistribusian karena tidak diperlukan
suatu kunci untuk diditribusikan. Semua partisipan memiliki akses ke kunci public, dan kunci private dihasilkan secara local oleh setiap partisan sehingga tidak perlu untuk didistribusikan. Selama sistem mengontrol masing masing private key dengan baik, komunikasi bisa menjadi komunikasi yang aman. (Dony Ariyus, 2006)
2.5.7
Kriptografi Simetris Kriptografi simetris adalah metode enskripsi dimana pengirim dan
penerima pesan memiliki kunci yang sama, atau dalam beberapa kasus kedua kunci berbeda namun mempunya relasi dengan perhitungan yang mudah. Studi modern terfokuskan pada block cipher dan stream cipher serta aplikasinya. Block cipher adalah aplikasi modern dari Alberti’s polyphabetic cipher. Block cipher menerima masukan berupa blok plaintext dan sebuah kunci dan kemudian menghasilkan keluaran blok ciphertext dengan ukuran yang sama. Dikarenakan pesan yang dikirim hampir selalu lebih panjang dari single block (blok tunggal), maka diperlukan metode penggabungan beberapa blok. Data Encryption Standard (DES) dan Advanced Encryption Standard (AES) adalah contoh block ciphers yang dijadikan standar kriptografi oleh pemerintahan Amerika Serikat. Walaupun AES telah diresmikan sebagai standar kriptografi terbaru, namun DES, khususnya varian triple- DES, masih banyak
58
digunakan sebagai enkripsi ATM, keamanan surat elektronik (e-mail), dan secure remote access. Stream cipher adalah lawan dari block cipher, yakni menciptakan arus kunci yang panjang dan sembarang (arbitrarily long stream of key) yang dikombinasikan dengan plaintext bit-per-bit (bit-by-bit) dan karakter-per-karakter (character-bycharacter). Pada stream cipher, arus keluaran dibangkitkan berdasarkan keadaan internal (internal state) yang berubah-ubah seiring dengan jalannya cipher. Perubahaan tersebut diatur oleh kunci dan dibeberapa stream cipher diatur pula oleh plaintext cipher. RC4 dan adalah contoh dari stream cipher.
Gambar 2.25 Kriptografi Simetris
2.5.8
Kriptografi Asimetris Kriptografi simetris menggunakan kunci yang sama untuk enkripsi dan
dekripsi . Hal tersebut menyebabkan masalah yang signifikan, yakni kunci harus dikelola dengan sangat aman. Idealnya setiap kelompok yang terlibat komunikasi memiliki kunci yang berbeda. Kebutuhan akan variasi kunci meningkat, seiring dengan pertumbuhan jaringan, sehingga membutuhkan manajemen kunci yang
59
kompleks untuk menjaga kerahasiaan tiap kunci. Masalah juga bertambah jika antara dua kelompok yang berkomunikasi tidak terdapat saluran aman (secure channel). Pada tahun 1976, Whitfield Diffie dan Martin Hellman mengajukan konsep kriptografi asimetri yang meggunakan dua kunci yang secara matematika berhubungan satu sama lain, yakni kunci publik (public key) dan kunci pribadi (private key). Kunci publik dibangkitkan sedemikian sehingga kunci pribadi sangat sulit untuk dihitung, walaupun keduanya sesungguhnya berhubungan satu sama lain. Dalam
kriptografi
asimetri,
kunci
publik
dapat
secara
bebas
disebarluaskan, sedangkan kunci pribadi harus senantiasa dijaga kerahasiaannya. Kunci publik digunakan untuk enkripsi, sedangkan kunci pribadi digunakan untuk dekripsi. Diffie dan Hellman membuktikan bahwa kriptografi asimetri adalah mungkin dengan menerapkan protokol pertukaran kunci Diffie-Hellman. Pada tahun 1978, Ronald Rivest, Adi Shamir, dan Len Adleman menemukan RSA, sebuah algoritma berdasarkan kriptografi asimetri. RSA juga akan dibahas secara mendalam pada bagian selanjutnya.
Gambar 2.26 Kriptografi asimetris
60
2.5.8.1 RSA RSA algoritma melakukan pemfaktoran bilangan yang sangat besar. Oleh karena itu RSA dianggap aman. Untuk membangkitkan kedua kunci, dipilih dua bilangan prima acak yang besar. Skema yang dikembangkan oleh rivest, shamir, dan adleman yang mengekspresikan bahwa plaintext dienkripsi menjadi blok blok, dimana setiap blok memiliki nilai biner yang diberi simbol ”n”, plaintext block ”m”, dan chipertext blok ”c”. Untuk melakukan enkripsi pesan ”m”, pesan dibagi kedalam blok blok numeric yang lebih kecil dari pada ”n”. (data biner dengan pangkat terbesar) jika bilangan prima panjangnya 200 digit, dan dapat menambah beberapa bit o dikiri bilangan untuk menjaga agar pesan tetap kurang dari nilai ”n”. Rumus enkripsi : C = M e mod n, dan rumus dekripsi M = C d mod n = (Me)d mod n = Med mod n.
2.6 Tools 2.6.1
freeRADIUS Server freeRADIUS merupakan implementasi dari server RADIUS. Sebenarnya
ada banyak implementasi server RADIUS lainnya seperti Cisco CNS Access Registrar (CAR) dan Windows Internet Authentication Service (IAS). Pemilihan freeRADIUS adalah karena software ini berplatform open source, bersifat gratis, performa yang stabil, dan banyak digunakan sebagai server otentikasi. Berdasarkan hasil tim survey freeRADIUS, lebih dari 10 juta pengguna yang menjadikan freeRADIUS sebagai server otentikasi dan lebih dari 100 juta user yang
melakukan
proses
otentikasi
dengan
menggunakan
freeRADIUS.
61
FreeRADIUS juga banyak digunakan sebagai otentikasi server dalam penelitian penelitian
yang
berhubungan
dengan
jaringan
nirkabel.
(http://freeradius.org/press/survey.html) freeRADIUS
diperkenalkan
oleh
Alan
Smoorenburg pada bulan Agustus 2005.
Dekok
dan
Miquel
van
FreeRADIUS server merupakan
modular dan produk open-source paling populer dan paling banyak digunakan di dunia sebagai RADIUS server yang berbasis sistem operasi UNIX. FreeRADIUS mendukung semua protokol umum otentikasi.
freeRADIUS berjalan pada
platform UNIX 32 bit dan 64 bit. freeRADIUS bersifat gratis dan dapat di download
pada
alamat
http://freeradius.org/download.html
.
(www.freeradius.org). freeRADIUS memiliki beberapa feature, diantaranya : a. Performa dan Skalabilitas,
freeRADIUS merupakan salah satu
server yang tercepat dan produk yang memiliki tingkat skalabilitas yang tinggi. b. Mendukung penerapan protokol semua EAP method termasuk diantaranya EAP-PEAP, protokol yang sering digunakan pada jaringan wireless Microsoft. c. Support untuk semua jenis database yang umum digunakan (file text seperti LDAP, SQL, dll) untuk authentication, authorization, dan accounting dalam protokol AAA. Disamping kelebihan kelebihan yang ada, salah satu kekurangan freeRADIUS adalah untuk konfigurasi masih berbasis command line. Berbeda
62
dengan server IAS atau lainnya yang berbayar yang sudah berbasis Graphical User Interface (GUI).
2.6.2
JRADIUS Simulator JRADIUS Simulator merupakan utility / tools yang digunakan untuk
melakukan testing dan uji coba performa server RADIUS, tools ini digunakan untuk mengirimkan pesan pesan otentikasi RADIUS secara simultan, sehingga akan diketahui berapa banyak jumlah otentikasi yang dapat di handle oleh server RADIUS dalam waktu tertentu. JRADIUS Simulator merupakan project dari coova.org berplatform JAVA dan merupakan aplikasi
berbasis open-source
yang stand-alone. Aplikasi ini menggunakan JRadius Client API dan di generate dari JRadius Attributes Dictionary untuk mempermudah saat simulasi RADIUS saat dijalankan. JRadius Simulator memiliki karakteristik sebagai berikut : 1. menggunakan graphical user interface untuk menciptakan dan mengirimkan paket paket RADIUS. 2. menetapkan suatu kebijakan berupa atribut apa saja yang dikirimkan, dari apa jenis paket nya dan value yang digunakan. 3. untuk atribut RADIUS memiliki nilai nilai yang telah ditentukan, Jradius
menyediakan
penggunaan.
menu
drop-down
untuk
kemudahan
63
4. JRadius support untuk penggunaan beberapa metode otentikasi diantaranya, PAP, CHAP, MSCHAPv2, EAP-MD5, EAP-TLS, PEAP, dan EAP TTLS/PAP 5. JRadius memberikan kemudahan dalam memverifikasi lalu lintas RADIUS dengan mengikuti berbagai standar, diantaranya standar Intel IRAP 6. Aplikasi ini dapat di jalankan dan di simpan konfigurasinya, tidak diperlukan setting ulang kembali. Jradius dapat di-download, diekstrak dan di-run dengan dengan perintah perintah berikut : wget http://dev.coova.org/mvn/net/jradius/jradiusclient/1.1.3/jradius-client-1.1.3-release.zip unzip jradius-client-1.1.3-release.zip cd jradius sh simulator.sh
berikut adalah screenshot dari tampilan menu menu yang terdapat pada JRadius Simulator :
Gambar 2.27 Log pada JRadius
64
Gambar 2.28 Konfigurasi Sertifikat Client
Gambar 2.29 Konfigurasi Attribute pada JRadius
65
Gambar 2.32 Set up JRadius untuk dijalankan
BAB III METODOLOGI PENELITIAN
Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. Berikut penjelasan kedua metode tersebut :
3.1
Metode Pengumpulan Data Pengumpulan data merupakan proses pengadaan data primer untuk
keperluan penelitian. Pengumpulan data merupakan proses yang penting pada metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk menguji rumusan hipotesis. Pengumpulan data adalah prosedur yang sistematis dan standar untuk memperoleh data yang diperlukan (Nazir, 2005).
3.1.1
Studi Lapangan / Observasi Metode pengumpulan data dengan melakukan pengamatan atau datang
langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Penulis melakukan penelitian di PUSDATIN (Pusat Data dan Informasi) Fakultas Sains dan Teknologi, Universitas Islam Negeri (UIN) Syarif Hidayatullah Jakarta, Jl. Ir. H. Juanda no. 95 Ciputat 15412. PUSDATIN dipilih sebagai lokasi penelitian karena ketersediaan
66
67
fasilitas (perangkat dan sumber daya) yang dibutuhkan untuk mendukung proses penelitian.
3.1.2
Studi Pustaka atau Literatur Metode pengumpulan data melalui buku atau browsing internet yang
dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi tersebut berasal dari dokumen dokmen resmi RFC (Request for Comment) yang telah di standarisasikan oleh badan standarisasi seperti IEEE dan IETF. Referensi tersebut sebagai acuan untuk membuat landasan teori. dan referensi – referensi lainnya yang digunakan oleh penulis dapat dilihat pada Daftar Pustaka. Studi literatur yang penulis gunakan sebagai referensi yaitu : Tabel 3.1 Studi Literatur No
JUDUL
1.
Analisis dan Perancangan Sistem Keamanan Jaringan Nirkabel Menggunakan EAPTLS
PENULIS
TAHUN
Ali Mahrudi
2006
PEMBAHASAN Skripsi ini menekankan pada analisa dan perancangan extensible authentication protocol – Transport Layer Protocol (EAP-TLS) sebagai solusi dari resiko terhadap gangguan keamanan jaringan nirkabel FST UIN Jakarta . EAP TLS merupakan protokol 802.1x mekanisme kerja otentikasi EAP-TLS memerlukan certificate pada sisi client dan server
68
3.1 Metode Pegembangan Sistem Penulis menggunakan model pengembangan sistem NDLC (Network Development Life Cycle). Secara spesifik NDLC dan kegiatan yang dilakukan penulis dalam penelitian ini adalah sebagai berikut : analysis
management
design
monitoring
Simulation prototyping implementation
Gambar 3.1 Siklus Network Development Life Cycle Sumber : Goldman, James E. & Rawles, 2001
Menurut (Goldman, 2001), NDLC adalah kunci dibalik proses perancangan jaringan komputer. NDLC merupakan model mendefenisikan siklus proses pembangunan atau pengembangan sistem jaringan komputer. Kata cycle (siklus) adalah kata kunci deskriptif dari siklus hidup pengembangan sistem jaringan yang menggambarkan secara eksplisit seluruh proses dan tahapan pengembangan sistem jaringan yang berkesinambungan.
3.1.1
Tahapan Analisis Model pengembangan sistem NDLC dimulai pada fase analisis. Dimana
pada tahap ini dilakukan proses perumusan masalah, mengidentifikasi konsep dari
69
otentikasi user terpusat dengan menggunakan protokol PEAP. Pada tahap ini dilakukan analisis kebutuhan, analisis permasalahan yang muncul, analisa perangkat keras dan perangkat lunak, dan analisis keamanan sistem. Dapat dilihat pada bab 4.2
3.1.2
Tahapan Desain Tahapan selanjutnya adalah design. Pada tahap ini, penulis membaginya
dalam dua kegiatan, yaitu: desain topologi dan desain sistem. Dari data data yang didapatkan dari tahapan analisis, tahap perancangan ini akan membuat gambar rancangan topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran seutuhnya kebutuhan yang ada. pada tahap ini penulis membuat desain topologi dan sistem jaringan wireless. Topologi yang spesifik dapat dilihat pada bab 4.3
3.1.3
Tahapan Simulasi Prototyping Tahapan ini bertujuan untuk melihat kinerja awal dari jaringan yang akan
dibangun dan sebagai bahan pertimbangan. Sebelum jaringan benar benar akan diterapkan. Pada tahapan ini penulis melakukan simulasi protokol PEAP dalam network skala kecil, dimana pada tahap ini penulis dapat melihat dan meneliti apakah protokol PEAP yang akan diterapkan mengalami keberhasilan ataukah mengalami kegagalan. Dapat dilihat pada bab 4.4
70
3.1.4
Tahapan Penerapan (implementation) Tahapan selanjutnya adalah implementasi, dimana hasil dari tahapan
sebelumnya diimplementasikan. Proses implementasi yang dilakukan adalah instalasi dan konfigurasi terhadap rancangan topologi. Dapat dilihat pada bab 4.5
3.1.5
Tahapan Pengawasan (Monitoring) Pada NDLC proses pengawasan merupakan tahapan yang penting, agar
jaringan komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan tujuan awal dari user pada tahap awal analisis, maka perlu dilakukan kegiatan monitoring. Tahapan ini dapat dilihat pada bab 4.6
3.1.6
Tahapan Pengaturan (Management) Tahapan ini memiliki fungsi untuk membuat / mengatur agar sistem yang
telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsur reliability terjaga. Dapat dilihat pada bab 4.7
3.2 Mekanisme Kerja Penelitan Pendefinisian gambaran umum proses kerja penelitian skripsi. Penulis mendefinisikan dan merepresentasikan metode dan alur proses penelitian, elemenelemen, beserta interkoneksinya satu sama lainnya yang penulis terapkan pada penelitian skripsi ini dengan menggunakan pendekatan terhadap model NDLC dengan menggunakan media diagram model proses berikut ini :
71
Perencanaan Penelitian Skripsi Perumusan & Pendefinisian Masalah & Judul Penelitian
Perumusan Hipotesis
Metode Pengembangan Sistem
Metode Pengumpulan Data
Network Development Life-Cycle
Network Development Life Cycle
Jenis Penelitian
Penelitian Experimental
Identify Studi Pustaka Understand
Observasi Waktu penelitian
Wawancara
Lokasi penelitian
Analyze
Ananlysis
Perangkat penelitian
Report
Design
Simulation Prototyping
Implementation
Perancangan topologi jaringan FST
Mempersiapkan lingkungan virtual
Implementasi topologi jaringan
Monitoring
Pemantauan Kinerja Server
Management
Pengelolaan administrasi pengguna jaringan
Perumusan Kesimpulan
Perancangan sistem otentikasi PEAP
Membangun prototipe simulasi sistem
Implementasi sistem pendukung
Implementasi skema IEEE 802.1x EAP PEAP
pengelolaan Perangkat RADIUS client
Pembuatan Laporan
Gambar 3.2 Mekanisme Kerja Penelitian
BAB IV ANALISA DAN IMPLEMENTASI
Pada bab ini, penulis akan menjelaskan proses pengembangan sistem keamanan jaringan dengan menerapkan protokol otentikasi protected extensible authentication protocol (PEAP), studi kasus kendali akses dan pengamanan pada jaringan nirkabel Fakultas Sains dan Teknologi UIN Jakarta dengan menerapkan landasan teori dan metode penelitian yang sudah dibahas pada bab bab sebelumnya. Metode penelitian yang penulis gunakan adalah metode NDLC (Network Development Life-Cycle). Dengan NDLC, siklus siklus pengembangan sistem jaringan didefinisikan pada sejumlah fase berikut : analysis (analisis) design (perancangan), simulation protoyping (prototipe simulasi), implementation (implementasi), monitoring (pengamatan), dan management (manajemen).
4.1
Perencanaan Pada tahap ini, penulis melakukan sejumlah perencanaan berupa langkah
langkah awal yang dibutuhkan untuk membangun sistem otentikasi nirkabel yang terpusat. Persiapan ini meliputi sejumlah kegiatan berikut : pengumpulan data dan informasi (berupa berbagai jenis referensi melalui berbagai media) dengan menggunakan metode kepustakaan atau studi literatur (library research) dan pengamatan terhadap ketersediaan alat dan kondisi fasilitas pendukung sebagai
72
73
persiapan penentuan laboratorium riset sebagai lokasi penelitian (laboratorybased research).
4.2
Analysis (Analisa) Metode pengembangan NDLC memulai siklus pengembangan sistem
jaringan pada tahap analisis. Pada tahap ini dilakukan analisa dengan melakukan perbandingan komponen-komponen yang terdapat pada model yang bertujuan untuk penulis menggunakan teknologi tersebut dalam penelitian ini. Pada tahap ini pula penulis menganalisa serta menentukan komponen yang digunakan secara detail.
4.2.1
Analisa Kebutuhan Sistem Keamanan EAP PEAP Keamanan dan kendali akses merupakan isu yang banyak dibahas ketika
mengimplementasikan jaringan nirkabel. Beberapa solusi dikembangkan untuk memenuhi akan adanya jaringan nirkabel yang aman. Namun, beberapa solusi tersebut kurang tepat bila digunakan untuk jaringan nirkabel yang memiliki pengguna dalam jumlah besar. Pada infrastruktur jaringan seperti ini model pengamanan yang tepat adalah three-tier authentication model, yang terdiri dari tiga komponen yaitu : supplicant (wireless client), authenticator (wireless access point) dan authentication server. Pada penelitian sebelumnya, Ali Mahrudi telah mengimplementasikan protokol keamanan IEEE 802.1X yang diintegrasikan dengan IEEE 802.11 untuk mengamankan jaringan nirkabel di FST. Solusi ini menggunakan protokol
74
otentikasi EAP-TLS. Protokol ini telah menjawab kebutuhan keamanan di FST. Namun, berdasarkan analisa penulis, protokol tersebut memiliki kesulitan pada fase implementasi. Hal ini dikarenakan, protokol EAP-TLS membutuhkan sertifikat digital pada dua sisi, yaitu di sisi klien dan di sisi server. Hal ini akan menyulitkan pada tiga fase pengembangan jaringan, yaitu fase implementasi awal, administrasi pengguna dan pembuatan security policy atau kebijakan keamanan. Pada penelitian ini,
penulis
mengajukan
protokol
PEAP
untuk
menggantikan EAP-TLS. Dari sisi mekanisme otentikasi, PEAP memiliki banyak kesamaan desain dengan EAP-TLS. Keduanya menggunakan protokol TLS untuk mengamankan semua pertukaran pesan dan komunikasi EAP. Namun, PEAP menggantikan otentikasi pada sisi klien dengan menggunakan kombinasi username dan password. Dari sisi mobilitas, PEAP juga lebih baik daripada EAPTLS karena pengguna dapat mengakses menggunakan PC atau notebook lainnya untuk terkoneksi ke jaringan selama pengguna tersebut memiliki akun yang sah. Sedangkan EAP-TLS hanya dapat digunakan pada PC atau notebook pengguna yang telah terinstall sertifikat digital yang diberikan oleh network administrator. Perbandingan antara EAP TLS dan PEAP dapat dilihat pada tabel 4.1. Tabel 4.1 Perbandingan EAP TLS dan PEAP Sumber : TTLS and PEAP Comparison, Matthew Gast Jenis Otentikasi Perbandingan Spesifikasi Client implementations
EAP TLS RFC 2716 Cisco, Funk, Meetinghouse, Microsoft, Open1X (open source)
PEAP Internet – Draft 3 / 2003 Cisco, Microsoft, Funk, Meetinghouse
75
Supported client platforms
Authentication server implementations
Linux, Mac OS X,Windows 95/98/ME, Windows NT/2000/XP, Mac OS X Cisco ACS, Funk Odyssey, Interlink Secure.XS, Meetinghouse AEGIS, Microsoft IAS, FreeRADIUS
Linux, MacOS X, Windows Cisco ACS, Microsoft IAS, Interlink Secure.XS, Meetinghouse, Funk, FreeRADIUS
Basic protocol structure
Sesi pembentukan jalur TLS dan validasi sertifikat client dan server
Fast session reconnect
Tidak
Terdapat dua fase : 1. pembentukan jalur TLS anatara client dan server PEAP 2. menjalankan inner EAP didalam tunnel TLS Ya
Standard
Terbuka
Terbuka
Key Material
Ya
Ya
Mutual Authentication
Ya
Ya
Informasi Otentikasi
Supplicant : sertifikat Server : sertifikat
Supplicant : usernamepasssword Server : sertifikat
Proteksi terhadap identitas pengguna
Tidak
Ya
4.2.2
Analisa Komponen Komponen Setelah menentukan protokol
otentikasi user terpusat yang akan
digunakan, yaitu jenis EAP PEAP. maka kegiatan selanjutnya adalah menganalisa dan menentukan komponen-komponen yang akan digunakan. Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat Sistem Keterangan Sitem otentikasi user Sistem otentikasi user terpusat berperan sebagai data terpusat atau daftar user dan administrator yang ada, yang diberikan izin akses ke sistem atau jaringan.
76
Tabel 4.3 Spesifikasi Software No 1
Software Ubuntu
Versi 10.10
2 3 4
Windows 7 Ubuntu freeRADIUS
7 10.10 2.1.10
5
MySQL
5.1
6 7
XAMPP aircrack-ng
Linux 1.1
8
Wireshark
1.0.4
9
JRADIUS Simulator
1.3
10
daloRADIUS
0.9.8 0.8.7
11
Cacti
Keterangan Sistem operasi digunakan sebagai OS yang diinstall Ubuntu untuk otentikasi user terpusat. Untuk sistem operasi client / user Untuk sistem operasi komputer sniffer Software yang digunakan untuk memberikan layanan dan pengolahan otentikasi/ hak akses user / pengguna Aplikasi yang digunakan untuk menyimpan dan mengelola database user secara terpusat Sebagai web server Software yang digunakan untuk uji coba serangan pada jaringan wireless Software yang digunakan untuk mengCapture paket PEAP dan paket data yang ditransmisikan Sebagai Simulator untuk membangkitkan request otentikasi secara simultan. Merupakan web based interface yang digunakan dalam manajemen user. Berfungsi untuk mengawasi user yang memakai jaringan. dan memantau beban pada server
Tabel 4.4 Spesifikasi Hardware N o 1
2
Perangkat
Spesifikasi
Jumla Keterangan h Komputer Prosesor : 1 Digunakan sebagai server Server Core2Duo 2,2 GHz otentikasi terpusat AAA / RAM : 2 GB menggunakan FreeRADIUS, RADIUS Harddisk : 250 GB serta manajemen dan server LAN Card : pengelolaan database user Realtek RTL8168B yang terpusat. WLAN Card : Atheros AR9285 Access Point WRT54GL 2 Sebagai access server / (AP) Prosesor : device yang menghantarkan Broadcom paket EAP antara client dan BCM5352 @ 200 server otentikasi
77
4
Komputer Client
5
Komputer Penyadap
4.2.3
MHz RAM : 16 MB Flash : 4 MB Prossesor : Core2Duo T5800 2,0GHz 1 RAM : 3 GB Harddisk : 250 GB WLAN card : Broadcom 802.11 g Fungsi : client terotentikasi Prossesor : Intel Core Duo T2250 1.6GHz 1 RAM : 1 GB DDR2 Harddisk : 120 GB WLAN card : Integrated 802.11b/g
Digunakan sebagai komputer client yang terotentikasi dan memiliki hak akses.
Digunakan sebagai komputer / pengguna yang tidak terotentikasi / sniffer
Analisa Mekanisme PEAP Proses otentikasi protokol EAP-TLS dan protokol PEAP MSCHAPv2
memiliki beberapa tahapan yang sama, tahapan tersebut yaitu pada saat terjadinya pembentukan jalur komunikasi dengan menggunakan tranport layer security (TLS). PEAP dalam fase awal pembentukan jalur komunikasinya menggunakan handshake protocol, dimana handshake protokol merupakan bagian dari proses pembentukan jalur protokol TLS. Berikut adalah mekanisme PEAP :
78
CA
Supplicant (EAP peer)
Authenticator AAA Server
User database
EAPOL EAP over RADIUS
EAPOL Start
AP memblok semua request sampai proses otentikasi komplit / selesai
EAP request identity
Fase 1 : PEAP
EAP response / user ID
RADIUS access request
EAP request, PEAP start
RADIUS access challenges / EAP request, PEAP start EAP response / client Hello EAP request / server Hello
Sertifikat server / key exchange request Server hello complete Sertifikat client / key exchange verify Complete / TLS handshake done Change cipher spec EAP success
EAP request identity Tunneled identity response Fase 2 : PEAP
EAP request identity - type X Tunneled response for EAP type X EAP type X exchange EAP request (crypto binding) EAP response CSK EAP success EAP success Transmisi Data diproteksi Wpa key management
Gambar 4.1 Proses Otentikasi PEAP MSCHAPv2 Proses otentikasi PEAP terjadi dalam dua tahapan : 1. Fase pertama menggunakan EAP dan jenis PEAP EAP untuk membuat sebuah channel TLS.
79
2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk mengotentikasi akses ke jaringan. dalam hal ini EAP yang digunakan adalah MSCHAPv2. Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan perangkat access point yang memanfaatkan RADIUS server untuk melakukan proses transaksi paket paket PEAP - MSCHAPv2 sebagai berikut : Pembuatan channel TLS : 1. Asosiasi dan Meminta Identitas Ketika sebuah client wireless berasosiasi dengan access point, client akan mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point memproeses penerimaan pesan EAP-start, access point akan mengirimkan sebuah pesan EAP-Request/Identity ke client wireless. 2. EAP-Response/Identity Jika tidak terdapat user yang logon melalui client wireless, access point akan mengirimkan sebuah EAP-Response/identity yang berisi nama komputer. Untuk client windows yang dikirim berupa FQDN (Fully Qualified Domain Named) dari account komputer. Jika terdapat user yang logon, access point akan mengirimkan EAPResponse identity yang berisi username. Dalam proses PEAP, username yang dikirimkan berupa anonim. Access Point akan melewatkan pesan Response/identity ke server RADIUS dalam bentuk RADIUS access request. Berikut hasil capture paket wireshark.
ini dengan menggunakan tools
80
Gambar 4.2 Capture paket EAP Response Identity Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client, berisi anonim dengan panjang paket 11 byte. 3. EAP-request dari Server RADIUS (TLS dimulai) Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi sebuah pesan EAP-request dengan jenis EAP yang digunakan pada proses TLS, permintaan ini menunjukkan bahwa proses otentikasi TLS dimulai.
Gambar 4.3 Capture Paket EAP Request-TLS start Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server otentikasi, yang menandakan bahwa fase TLS dimulai. Tipe otentikasi yang digunakan adalah PEAP. Panjang paket ini adalah 6 byte. 4. EAP-Response dari Client wireless (paket Hello TLS client) Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP yang digunakan, hal ini dikenal dengan proses pengiriman paket hello TLS. Access Point akan melewatkan pesan EAP ke server RADIUS dalam
81
bentuk pesan RADIUS access-request. Berikut hasil capture paket hello TLS client.
Gambar 4.4 Capture Paket Hello-TLS client Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client, berisi paket client hello. Paket ini membawa atribut : random session ID, cipher suites, metode compression. dengan panjang paket 116 byte. 5. EAP request dari Server RADIUS (sertifikat milik RADIUS) Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi pesan EAP request dengan jenis EAP yang digunakan pada PEAP dan berisi rangkaian server hello, sertifikat dari RADIUS server, dan pesan server hello done. Access point melewatkan pesan EAP ke client. Berikut hasil capture paket sertifikat server.
82
Gambar 4.5 Capture Paket EAP Request Sertifikat Server Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server, berisi paket server certificate dan paket server hello done. panjang paket ini adalah 1024 byte. 6. EAP-Response dari client wireless Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat dari client wireless. Access point melewatkan pesan EAP tersebut ke server RADIUS. Pada PEAP sertifikat pada sisi client tidak dikirim. Selanjutnya paket yang akan dikirim adalah client key exchange dan change cipher spec. berikut hasil capture paket tersebut.
83
Gambar 4.6 Capture Paket EAP Response-Client Key Exchange Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client, berisi paket client key exchange dan paket change cipher spec. panjang paket ini adalah 336 byte. 7. EAP-Request dari server RADIUS (bentuk cipher, TLS lengkap) RADIUS mengirimkan sebuah pesan RADIUS access challenge / paket EAP request yang berisi sebuah pesan EAP request yang berisi cipher suite dan sebuah indikasi yang menyatakan pertukaran pesan pada otentikasi TLS telah selesai dilakukan. Access point melewatkan pesan EAP ke client.
84
Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS complete Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server, berisi paket change cipher. panjang paket ini adalah 65 byte. Server 8. EAP-Success dari server RADIUS Server RADIUS memperoleh unicast session key dari proses otentikasi TLS. Pada fase ini jalur TLS telah terbentuk dan siap digunakan untuk fase selanjutnya. Diakhir negosiasi PEAP, server RADIUS mengotentikasi dirinya ke client. Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS dengan menggunakan public key, dan bukan password. Semua rangkaian pesan EAP dikirim diantara client dan server RADIUS secara terenkripsi. Setelah jalur PEAP-TLS dibuat, langkah berikut yang digunakan untuk mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2 Otentikasi menggunakan MSCHAPv2 :
85
Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara clear text, karena paket paket tersebut sudah berada pada jalur TLS yang terenkripsi. 1. Server RADIUS mengirimkan pesan EAP-request / identity
Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2 2. Client merespon dengan pesan EAP-Response / identity yang berisi identitas (nama user/nama komputer) dari client
Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2 3. Server RADIUS mengirimkan sebuah EAP-request /EAP-ms-chap v2 challenge yang berisi serangkaian string challenge
86
Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge 4. Client merespon dengan pesan EAP-response/EAP-ms-chap v2 Response yang berisi Response (jawaban) string challenge untuk server RADIUS
Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response 5. Server RADIUS menerima pesan EAP request/ EAP-ms-chap v2 success. Yang mengindikasikan jawaban dari client adalah benar dan berisi response challenge string ke client
Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success
87
6. Client merespon dengan pesan EAP response/EAP-ms-chap v2 ack, mengindikasikan bahwa respon dari server RADIUS adalah benar.
Gambar 4.13 Capture Paket EAP response/EAP-ms-chap v2 ack 7. Server RADIUS mengirimkan sebuah pesan EAP success
Gambar 4.14 Capture Paket EAP Success Akhir dari proses saling mengotentikasi ini adalah client dan server RADIUS dapat membuktikan kebenaran password yang digunakan dan pertukaran terjadi didalam jalur yang terenkripsi oleh jalur TLS. Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci MK (master session key) Kunci MK akan menghasilkan kunci PMK yang akan berubah secara dinamis yang akan di gunakan bersama oleh access point dan client pada proses enkripsi WPA dalam metransmisikan data nya. Proses distribusi kunci ini disebut 4 way handshake. Performa PEAP dipengaruhi dengan jumlah transaksi pengiriman pesan EAP Request dan EAP response, jumlah transaksi ini terdiri dari beberapa roundtrip. Round-trip adalah jumlah satu kali paket request dan paket response antara
88
supplicant dan server PEAP. Berikut adalah data paket paket PEAP dalam satu kali proses otentikasi nya. Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses Urutan Pesan 1. 2. 3.
Sumber
Nama Pesan
client server client
identity PEAP-start Client -Hello
4.
server
1.server-hello 2.certificate 3. server key exchange 3.server hello done
5.
client
6.
server
7.
client
8.
server
9.
client
10.
server
11.
client
12.
server
13.
client
14.
server
15.
client
16.
server
17.
client
18.
server Total
Response-peap version 1.Server-hello 2.certificate 3. server key exchange 3.server hello done 1. client key exchange 2. change cipher spec 3. encrypted handshake message 1. change cipher spec 2. encrypted handshake message Resonse-type Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data EAP-Success client
PEAP MSCHAPv2 Ukuran Paket Total Waktu (byte) (milisecond) 194 0.00 119 0.767 178 0.729
1132
20.869
112
1.480
1087
0.221
262
27.916
165
8.708
112
1.605
143
0.344
202
1.744
159
0.321
266
6.719
191
0.889
186
2.001
143
0.496
234
1.870
208 1746
0.534 77.213
89
server
4.3
3347
Design (Perancangan) Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem
yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan spesfikasi rancangan sistem yang akan dibangun. Penulis membagi proses perancangan menjadi :
4.3.1
Perancangan Topologi Pada tahap ini, penulis menentukan topologi dari simulasi dari penerapan
protokol PEAP yang akan dibangun dan mendefinisikan parameter – parameter konfigurasi yang dibutuhkan untuk menjamin sistem keamanan jaringan yang akan dibangun dapat berjalan dengan baik. Pada tahap ini dirancang suatu skema implementasi infrastruktur PEAP-MSCHAPv2 dengan hasil sebagai berikut :
Client 1
AP 1
DB Server
Client 2 AP 2
FR Server Client 3 AP 3
internet
Gambar 4.15 Perancangan Topologi PEAP
90
Rincian keterangan dari gambar rancangan topologi sistem
jaringan
nirkabel diatas adalah sebagai berikut : 1. Jenis topologi yang ditrapkan adalah mode jaringan nirkabel infrastruktur 2. seluruh alamat IP client dan access point yang digunakan menggunakan kelas C (subnet-mask 255.255.255.0); direpresentasikan dengan format CIDR (/24). 3. pada segmen jaringan terdapat : a. Client : mendefinisikan client dari WLAN internal. b. Server : mendefinisikan dan merepresentasikan mesin server pada sistem jaringan komputer c. Access point (AP) : mendefinisikan sebagai device yang menjadi perantara antara komunikasi berbasis kabel dan udara Hasil dari pembangunan sistem ini adalah sistem keamanan jaringan nirkabel yang secure dan mudah untuk di implementasikan serta sistem ini dapat melakukan proses otentikasi secara terdistribusi. Penggunaan sertifikat digital pada sisi client pada protokol EAP-TLS dirubah dengan menggunakan kombinasi username
dan
password.
Topologi
PEAP
yang
dirancang
ini
akan
diimplemetasikan pada jaringan nirkabel FST UIN. Berikut adalah topologi jaringan wireless FST UIN saat ini :
91
Jaringan UIN Jakarta
RADIUS server
portal E - learning
Email File sharing server FTP internet
Lantai 3 Pusdatin FST UIN Jurusan / Prodi
Access Layer
Lantai 2 Dekanat Fakultas
Lantai 4 International Class
Lantai 1 Distribution Layer
internet
FSH UIN Jakarta Core Layer
Gambar 4.16 Topologi Jaringan Nirkabel FST UIN Jakarta Secara umum jaringan UIN menggunakan pemodelan Cisco system yaitu three-tier Layer Hierarichical Design yang terdiri dari core layer, distribution layer, dan access layer. Pada Fakultas Sains dan Teknologi UIN Jakarta, Jaringan WLAN diterapkan pada lantai 2 dengan akses point berjumlah 2 buah AP, lantai 3 dengan akses point berjumlah 4 buah AP, dan lantai 4 berjumlah 2 buah AP.
92
Masing masing akses point seluruhnya dihubungkan kedalam jaringan LAN dan dikonfigurasikan didalam Pusat Data dan Informasi (PUSDATIN) FST UIN. Didalam PUSDATIN terdapat 6 buah server aktif, salah satu diantaranya server tersebut digunakan sebagai server otentikasi dengan menggunakan RADIUS. Untuk menghubungkan akses point dan server otentikasi menggunakan IP kelas B, 172.27.1.2 sedangkan pada sisi client di set dengan menggunakan IP dinamis / DHCP dengan IP kelas C. Berikut penggunaan IP untuk masing masing akses point dan server RADIUS. Tabel 4.6 Alamat IP Jaringan Nirkabel FST UIN Jakarta No
Lokasi
Lokasi
Kelas IP
IP
1.
RADIUS Server (Pusdatin)
PUSDATIN
B
172.27.1.2
2
AP Lantai 2
Dekanat FST
C
192.168.x.x
3
AP Lantai 2
Ruang Sidang
C
192.168.x.x
4
AP Lantai 3
PUSDATIN
C
192.168.x.x
5
AP Lantai 3
Prodi TI/SI
C
192.168.x.x
6
AP Lantai 3
Prodi Agribisnis
C
192.168.x.x
7
AP Lantai 3
Prodi Biologi
C
192.168.x.x
8
AP Lantai 4
Prodi International Program TI/SI
C
192.168.x.x
9
AP Lantai 4
Lobi
C
192.168.x.x
10
Client Mobile
Lantai 2, 3, dan 4 FST
C
Range : 192.168.1.2 192.168.1.254
93
4.3.2
Perancangan Sistem Setelah rancangan topologi jaringan dibuat, langkah selanjutnya adalah
membuat
rancangan
sistem
sistem
baru
yang
akan
dibangun
dan
diimplementasikan, yang akan menjadi solusi berbagai rumusan permasalahan. Penulis menggunakan diagram alur untuk menggambarkan dan mendefinisikan alur koneksi fungsionalitas sistem yang akan penulis bangun, sehingga dapat dengan jelas diidentifikasi dan dipahami dengan lebih mudah. Gambar 4.20 menspesifikasikan diagram alur dari sistem otentikasi PEAP MSCHAPv2.
ACCESS POINT
CLIENT
SERVER OTENTIKASI/ SERVER RADIUS
MULAI
mem-forward paket usernamepassword ke server RADIUS
input Username password
Memproses dan Mencocokkan dengan database
Database User
YA
selesai
User terotentikasi ?
Connected
User terdaftar di database ?
TIDAK YA
selesai
disconnect Memproses paket dari server
Server mengirimkan paket access accept ke Access point
Server mengirimkan paket access reject ke Access point
Gambar 4.17 Perancangan Sistem PEAP Keterangan dari simbol simbol diatas adalah sebagai berikut :
TIDAK
94
Tabel 4.7 keterangan simbol diagram alur Model
Simbol
Terminal Manual input Process, report
Keterangan Mendefinisikan awal atau akhir proses Mendefinisikan input data secara manual Mendefinisikan suatu kegiatan yang terjadi atau hasil dari kegiatan tersebut. Mendefinisikan kondisi pilihan dari
decision
sejumlah kemungkinan dari suatu proses tertentu Mendefinisikan data yang tersimpan pada suatu sistem atau media
Stored data
penyimpana, untuk nantinya dapat dimanfaatkan oleh proses atau sistem lain
Display
Sequence
Mendefinisikan output dalam layar / display
Urutan terjadinya proses-proses
Diagram alur diatas dapat dijelaskan sebagai berikut : 1. Saat client ingin bergabung dan masuk kedalam jaringan, client diwajibkan untuk melakukan input kombinasi username dan password. 2. Data username dan password tersebut akan diterima oleh access point . oleh access point data tersebut tidak diproses oleh AP melainkan diforward ke server otentikasi
95
3. Oleh server otentikasi, data username dan password tersebut dicocokkan dengan data username dan password yang tersimpan didalam database nya . 4. Jika ditemukan kecocokan data, maka server otentikasi akan mengirimkan paket
RADIUS access accept. Paket ini selanjutnya
dikirimkan ke access point 5. Namun jika tidak ditemukan kecocokan, maka server otentikasi mengirimkan paket RADIUS access reject. Paket ini selanjutnya juga akan dikirimkan ke access point 6. Oleh access point paket yang diterima dari server otentikasi akan diproses untuk memutuskan apakah client dapat terkoneksi dan bergabung kedalam jaringan ataukah tidak. Jika paket yang diterima oleh access point adalah access accept. Maka AP akan memberikan hak akses kepada client untuk masuk kedalam jaringan. 7. Jika paket yang diterima oleh AP dari server otentikasi adalah paket RADIUS access reject. Maka AP akan memblok dan meminta input username dan password kembali kepada client.
4.4
Simulation Prototyping (Prototipe Simulasi) Pada tahap ini penulis membangun prototipe dari sistem baru yang akan
dibangun dan diimplementasikan pada lingkungan WLAN dengan menggunakan server
virtual
pada
lingkungan
virtual.
Simulation
mendemonstrasikan fungsionalitas sistem yang akan dibangun.
prototyping
96
Penulis
menggunakan
Virtual
Box
versi
3.1.6
r59338
untuk
memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan prototipe, dimaksudkan untuk memenuhi sejumlah tujuan : 1. Menjamin efektivitas fungsionalitas dari interkoneksi antar komponen sistem 2. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi sistem pada lingkungan nyata. 3. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi perancangan sistem dan sudah menjadi solusi dari rumusan permasalahan 4. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan, pembangunan dan implementasi
tidak menganggu
dan
tidak
mempengaruhi lingkungan sistem nyata.
4.4.1
Simulasi Kinerja Server AAA Pada tahapan simulasi bertujuan untuk melalukan ujicoba terhadap
infrastruktur AAA (Authentication, Autoritation, Accounting) yang akan digunakan oleh klien pada saat otentikasi. Selain itu, tahapan ini bertujuan untuk mengetahui
kinerja
dari
server
AAA
dalam
menyelesaikan
setiap
transaksi/komunikasi. Pada fase ini, penulis menggunakan aplikasi RADIUS JRADIUS Simulator yang dapat membangkitkan paket-paket atau pesan-pesan RADIUS yang nantinya akan dikirimkan ke RADIUS server. Dari sisi server RADIUS,
97
pesan-pesan akan terlihat sama dengan pesan-pesan yang diterima dari perangkat yang sebenarnya, yaitu authenticator dalam hal ini adalah wireless access point. Aplikasi JRADIUS Simulator akan menggantikan komponen supplicant dan authenticator dari sebuah infrastruktur AAA. JRADIUS Simulator membangkitkan pesan-pesan RADIUS yang identik dengan pesan yang dikirim dalam komunikasi yang sebenarnya. Dengan menggunakan sistem ini maka proses simulasi dapat mengirimkan pesan/paket otentikasi dalam jumlah yang banyak dalam satu waktu. Hal ini bertujuan untuk mengetahui batas kemampuan server RADIUS dan bagaimana kondisi server RADIUS pada saat beban puncak. Hal ini juga nantinya dapat menjadi parameter yang perlu dipertimbangkan pada saat proses upgrade jaringan. Berikut screenshoot dari setting dan konfigurasi
JRADIUS Simulator,
Simulator ini dijalankan pada komputer selain server RADIUS.
Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS, shared secret, dan authentication protocol
98
Berikut parameter yang akan disetting untuk melakukan simulasi ini, 1. Transport : protokol yang diset adalah UDP. Karena protokol yang berjalan pada RADIUS adalah protokol UDP. 2. RADIUS server : memasukkan alamat IP RADIUS server yang akan di lihat performanya. Dalam testing simulasi ini alamat IP yang dimasukkan adalah 192.168.1.10 yang merupakan alamat IP server RADIUS pada tahap simulasi. 3. Shared Secret : merupakan kunci yang digunakan untuk komunikasi antara server RADIUS dengan Access Point. Shared secret yang diinput adalah ”testing123”. 4. Auth port dan acct port : merupakan port otentikasi dan pendaftaran akun pengguna. port yang digunakan adalah 1812 dan 1813. 5. Send Time out : merupakan waktu tunggu yang digunakan untuk mengirim ulang paket request ke server RADIUS. Secara default field ini di set dengan nilai 10 second. 6. Send retries : jika paket request yang dikirimkan selama waktu yang disetting tidak direspon maka jRADIUS simulator akan mengirim ulang paket tersebut. 7. Requester Threads : merupakan jumlah request per thread 8. Request per thread : merupakan jumlah paket yang akan dikirim dalam satu thread 9. Simulation type : setting dengan jenis Auth only
99
10. Authentication Protocol: merupakan jenis protokol otentikasi yang akan digunakan. Setting dengan jenis tipe otentikasi PEAP 11. Verify Standard : none
Gambar 4.19 Setting Atribut Username dan Password 12. Kemudian setting pada tab attributes, masukkan parameter berupa username kemudian centang access req dan input nilai attribute value “sqltest” 13. Lalu masukkan attribute user-password, kemudian centang access req dan input attribute value ”testpwd” Selanjutnya melakukan
simulasi dengan menekan tombol start. Pada
tahapan simulasi ini terlihat jumlah paket request otentikasi yang dapat di-handle oleh server RADIUS sebanyak 62,86 request / second.
Gambar 4.20 Hasil Simulasi Jradius Simulator
100
4.5
Implementasi Setelah
selesai
melakukan
tahapan
simulasi,
penulis
kemudian
mengimplementasikan solusi ini pada perangkat yang sebenarnya. Pengaturan yang dilakukan adalah pada dua komponen yaitu supplicant dan authenticator. Pada sisi authenticator, perangkat ini harus mengetahui alamat IP dari server RADIUS
dan
kombinasi
shared
secret
yang digunakan
untuk
dapat
berkomunikasi dengan server RADIUS tersebut. Sedangkan pada sisi supplicant, perangkat ini terlebih dahulu diinstall sertifikat digital untuk CA atau sertifikat digital dari server RADIUS. Hal ini bertujuan, agar supplicant terhindar dari serangan rogue access point dan rogue RADIUS server, sehingga informasi username dan password pengguna tidak jatuh ke pihak yang tidak sah. Sertifikat digital ini memastikan bahwa supplicant terkoneksi dan melakukan otentikasi ke server RADIUS yang sebenarnya. Mekanisme ini juga disebut dengan server authentication. Setelah konfigurasi pada supplicant dan authenticator selesai dilakukan, maka pengguna telah dapat mengakses jaringan nirkabel menggunakan akunnya masing-masing. Adapun tampilan yang akan terdapat pada sisi pengguna adalah seperti yang terlihat pada gambar 4.32 (windows 7), gambar 4.33 (windows XP), dan gambar 4.34 (ubuntu 10.10).
Gambar 4.21 tampilan input username dan password pada sisi client windows 7
101
Gambar 4.22 tampilan input username dan password pada sisi client windows XP
Gambar 4.31 tampilan input username dan password pada sisi client Ubuntu 10.10 desktop Proses implementasi meliputi beberapa tahap-tahapan berikut ini:
102
4.5.1
Instalasi Server RADIUS Server RADIUS merupakan server AAA yang bertugas untuk menangani
proses otentikasi, otorisasi, dan accounting. Dalam penelitian kali ini, penulis mengimplementasikan
server
RADIUS
dengan
menggunakan
aplikasi
FreeRADIUS. Berikut perintah untuk menginstal aplikasi freeRADIUS. Tahapan instalasi freeRADIUS secara lengkap dapat dilihat pada halaman lampiran 1. # apt-get update # apt-get install freeradius
Aplikasi freeRADIUS berbasis command-line, semua perintah dan konfigurasi aplikasi ini berbasis teks. Berikut perintah untuk mengaktifkan aplikasi ini : # freeradius start
Untuk menjalankan freeRADIUS dalam mode debug : # freeradius –X
Saat mode debug, freeRADIUS siap digunakan setelah menyatakan ready to process request, berikut tampilan nya :
Gambar 4.24 mode debug freeRADIUS
4.5.2
Pembuatan Sertifikat Digital Sertifikat ini nantinya akan didistribusikan kepada setiap client yang
terdaftar untuk melakukan koneksi kedalam jaringan. Hal ini bertujuan, agar supplicant terhindar dari serangan rogue access point dan rogue RADIUS server.
103
sertifikat yang dibuat adalah sertfikat CA, sertifikat ini akan didistribusikan kepada para masing masing pengguna/client. Berikut konfigurasi pembuatan certifkat. Selengkapnya dapat dilihat pada Lampiran 2. mkdir CA mkdir CA/signed_certs mkdir CA/private chmod 700 CA/private cp /etc/ssl/openssl.cnf /home/arief/CA/ nano /home/arief/CA/openssl.cnf dir = /home/arief/CA certs = $dir/ new_certs_dir = $dir/signed_certs
4.5.3
konfigurasi server RADIUS setelah menginstall aplikasi freeRADIUS, terdapat file konfigurasi yang
di akan di setting, yaitu : a. konfigurasi eap.conf bertujuan untuk mengaktifkan protokol EAP, Selengkapnya dapat dilihat pada Lampiran 3. berikut settingannya : #nano EAP.conf
Selanjutnya menyesuaikan data berikut : TLS { certdir = /home/arief/CA2 [arahkan ke dir CA] cadir = /home/arief/CA2 private_key_password = qwerty private_key_file = ${certdir}server_key.pem CA_file = ${cadir}/cacert.pem dh_file = ${certdir}/dh [diffie halffman] random_file = ${certdir}/random } }
104
b. Konfigurasi sql.conf melakukan setting dan konfigurasi database, berikut settinganya : sql { database = "mysql" driver = "rlm_sql_${database}" server = "localhost" port = 3306 login = "radius" password = "radpass" radius_db = "radiusdb" acct_table1 = "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" usergroup_table = "radusergroup" sqltrace = no sqltracefile = ${logdir}/sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 lifetime = 0 nas_table = "nas" $INCLUDE sql/${database}/dialup.conf }
c. Konfigurasi clients.conf file ini bertujuan untuk melakukan konfigurasi berupa penambahan maupun pengurangan client baru, yang dimaksud client disini adalah Access point. client 192.168.1.11 { secret = testing123 shortname = simulator nastype = other }
4.5.4
Konfigurasi Access Point Pada Access point dilakukan Setting alamat IP, mengubah security mode
menjadi WPA enterprise dan setting nama SSID. Selengkapnya dapat dilihat pada Lampiran 7.
105
4.5.5
Instalasi Sertifikat CA pada Client Tahapan instalasi ini dapat dilihat selengkapnya pada Lampiran 8
4.5.6
Instalasi Database Server Aplikasi database server yang digunakan adalah MYSQL, berikut adalah
perintah untuk melakukan instalasi database MYSQL, lebih lengkapnya dapat dilihat pada lampiran x. # apt-get update # apt-get install mysql-server
4.5.7
Konfigurasi Database Server Konfigurasi database menggunakan phpmyadmin, berikut screenshot konfigurasi
database.
Gambar 4.25 Konfigurasi database dengan phpmyadmin
4.6
Monitoring (Pengawasan) Tahapan monitoring berguna untuk memantau beban pada server.
Penggunaan kriptograpi pada protokol otentikasi akan menambah proses komputasi pada sisi server setiap kali pengguna meminta akses ke jaringan. Proses
106
monitoring juga berguna untuk mengetahui kapasitas server yang digunakan dan jumlah pengguna yang dapat ditangani dalam satu satuan waktu tertentu. Adapun sumber daya yang akan dipantau adalah penggunaan CPU, RAM dan trafik pada jaringan. Gambar 4.33 menggambarkan perbedaan beban server untuk 1, 20, 30, dan 40 proses otentikasi.
Gambar 4.26 Perbandingan beban Server berdasarkan jumlah request otentikasi
Pada tahap ini penulis juga melakukan sebuah monitoring dengan menggunakan tools Cacti.
107
Gambar 4.27 Jumlah paket authentication request Pada gambar diatas terlihat bahwa sistem memroses paket authentication request rata-rata 3 paket/detik dengan nilai maksimum adalah 7 paket/detik. Dengan total paket authentication Response 3 paket/detik dan nilai maksimum 7 paket perdetik. Akses yang ditolak sebanyak 2 paket authentication dan nilai maksimum 4 paket / detik
Gambar 4.28 Jumlah paket accounting request Pada gambar diatas terlihat bahwa sistem memroses paket accounting request rata-rata 4 paket/detik dan nilai maksimum adalah 10 paket/detik. Begitu
108
pula pada proses accounting response, rata-rata 4 paket /detik dan nilai maksimum 10 paket/detik
4.6.1
Pengujian Sistem Untuk Membuktikan sistem otentikasi PEAP aman dimana data yang
ditransmisikan
terenkripsi
maka
penulis
melakukan
pengujian
dengan
menggunakan tools Aerodam 1.1. berbasis linux. Tools ini biasanya digunakan dengan melakukan scanning untuk mengetahui alamat SSID, jenis otentikasi dan enkripsi yang digunakan, serta channel yang dipakai pada jaringan wireless. Setelah dilakukan scanning selanjutnya paket hasil scanning tersebut di buka dengan menggunakan tools wireshark. Tools wireshark digunakan untuk melihat secara detail suatu paket data yang di transmisikan pada jaringan. Pertama-tama dengan mensetting Access Point dengan SSID black_usb,
Gambar 4.29 Konfigurasi AP SSID black_usb
109
Pada tahap kedua alamat IP
diset dengan IP 192.168.1.11, RADIUS
server dengan IP 192.168.1.10, client 192.168.1.12 dan sniffer 192.168.1.13. pada AP black_usb di setting dengan mode security WPA enterprise, WPA alghoritm AES, RADIUS port 1812, dan shared secret “testing123”.
Gambar 4.30 Konfigurasi Security mode WPA enterprise Dikondisikan AP dengan SSID black_usb telah aktif, client mengirimkan paket “ping” ke server. Komputer sniffer selanjutnya melakukan scanning dan Capture paket yang terdapat didalam jaringan nirkabel.
Berikut hasil Capture dari
scanning dengan menggunakan Aerodam 1.1
Gambar 4.31 scanning status AP black_usb
110
Terlihat pada SSID black_usb menggunakan channel wlan 11, nilai AUTH adalah MGT, nilai MGT bermakna menggunakan server RADIUS untuk proses otentikasinya. cipher nya adalah
CCMP dan data enkripsi bernilai
WPA.
Berikut hasil interface paket data yang diCapture tersebut :
Gambar 4.32 Capture paket data pada AP black_usb Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada jaringan WLAN yang menggunakan WPA Enterprise data tersebut telah terenkripsi. Berdasarkan hasil ini terbukti bahwa dengan menggunakan WPA Enterprise (PEAP), dapat mengamankan paket paket data yang ditransmisikan.
4.7
Management (Manajemen) Pada tahap ini penulis hanya melakukan manajemen user dan perangkat
jaringan nirkabel yang telah diterapkan. Pada tahapan ini penulis menggunakan tools DaloRadius. Administrasi yang dilakukan dibagi menjadi dua bagian, yaitu:
111
1. User management atau administrasi pengguna Pada bagian user management, sysadmin dapat melakukan beberapa konfigurasi, yaitu penambahan pengguna baru, menghapus dan mengubah informasi pengguna.
Gambar 4.33 manajemen akun pengguna 2. NAS management atau administrasi NAS (WLAN access point) Pada bagian NAS management, dalo radius dapat menambahkan akses point yang dapat berkomunikasi dengan server RADIUS.
Gambar 4.34 manajemen access point
BAB V PENUTUP
5.1
Kesimpulan Kesimpulan dari penelitian yang telah penulis lakukan adalah sebagai
berikut: 1. Penerapan protokol PEAP dapat memudahkan kerja administrator jaringan dalam memanage hak akses pengguna secara terpusat terlihat pada gambar 4.33 dan gambar 4.34. 2. Penerapan Protected EAP (PEAP) dapat digunakan untuk menangani protokol otentikasi pada jaringan nirkabel secara aman terlihat pada sub bab 4.6.1. 3. Urutan paket paket data pada proses otentikasi PEAP dapat dilihat dengan menggunakan tools wireshark. Seperti terlihat pada gambar 4.2 – gambar 4.14. 4. Untuk tahapan monitoring dalam melihat kinerja server PEAP dapat digunakan tools cacti. Terlihat pada gambar 4.27 dan gambar 4.28 5. Kita dapat melihat dan memanage daftar akun pengguna serta daftar NAS dengan menggunakan aplikasi DaloRadius yang berbasis Web.
5.2
Saran Saran dari penulis untuk pengembangan penelitian selanjutnya yang
berkaitan dengan sistem otentikasi terpusat dengan PEAP ini yaitu:
109
115
5.2
Saran Saran dari penulis untuk pengembangan penelitian selanjutnya yang
berkaitan dengan sistem otentikasi terpusat dengan PEAP ini yaitu: 1. Kinerja protokol PEAP dipengaruhi oleh spesifikasi hardware yang digunakan. Untuk jumlah pengguna yang semakin bertambah dan meningkat, kedepan diperlukan suatu mekanisme load balancing, dengan sistem load balancing pembagian beban dan kinerja server otentikasi dibagi secara merata ke beberapa server yang ada sehingga dapat mempertahankan Quality of Service dari jaringan tersebut. 2. Hasil dari penelitian ini dapat dilanjutkan dengan melakukan analisa pada fitur re-authentication pada protokol PEAP MSCHAP. Fitur reauthentication merupakan fitur untuk mengurangi waktu yang diperlukan untuk menyelesaikan proses otentikasi.
119
Lampiran 1. Instalasi FreeRADIUS Server 1. Hal pertama yang dilakukan adalah melakukan update repository database package ubuntu. masuk sebagai root kemudian ketik : apt-get update 2. perintah untuk proses instalasi freeRADIUS: root@ns1:/home/vpnserver# apt-get install freeradius
3. untuk proses instalasi RADIUS server dengan dukungan EAP, maka paket yang digunakan harus dibuat sendiri, tidak bisa dari repository ubuntu. Oleh karena akan dibuat built environment sendiri. Apt-get install build-essential
4. Setelah proses install build environemt selesai Maka kita selanjutnya mengunduh paket source freeradius dengan perintah berikut:
120
wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg1ubuntu1.dsc wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg.orig.tar.gz wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg1ubuntu1.diff.
5. selanjutnya mengekstrak paket tar.gz pada paket paket freeradius yang telah di download tadi dengan perintah : dpkg-source -x *.dsc $ cd freeradius-2.1.8 $ dpkg-buildpackage –rfakeroot
6. Cek repository dependencies yang diperlukan agar freeradius dapat berjalan dengan normal : nano debian/control 7. selanjutnya Perintah untuk menginstal semua software dependencies agar freeradius dapat berjalan dengan normal : apt-get install quilt autotools-dev libtool libltdl3-dev libpam0g-dev libmysqlclient-dev libgdbm-dev libldap2-dev libiodbc2-dev libkrb5-dev libperl-dev libsnmp-dev libpq-dev libssl-dev python-dev libpcap-dev debhelper ssl-cert 8. selanjutnya meng-compile seluruh source code menjadi deb dengan perintah berikut : sudo dpkg buildpackage sudo dpkg –i libfreeradius2*.deb sudo dpkg –i freeradius-common*.deb sudo dpkg –i freeradius_2*.deb
121
apt-get install libltdl7 apt-get install libper15.10 apt-get install ssl-cert
Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server
Masuk ke root dengan mengetik “sudo su” masukkan password root nya
Buat folder baru dengan mengetik : ~ ~ ~ ~
$ $ $ $
mkdir mkdir mkdir chmod
CA CA/signed_certs CA/private 700 CA/private
Lakukan copy file openssl.conf ke yang dipilih ~ $ cp /etc/ssl/openssl.cnf /home/arief/CA/
Buka file konfigurasi open ssl yang telah di-copy sebelumnya : nano
/home/arief/CA/openssl.cnf
Ubah settingan pada file tersebut sebagai berikut
35 [ CA_default ] 36 37 dir 38 certs are kept 39 crl_dir are kept 40 database 41 #unique_subject creation of 42 same subject. 43 new_certs_dir certs. 44 45 certificate 46 serial number 47 crlnumber 48 to leave a V1 CRL 49 crl 50 private_key
= /home/arief/CA = $dir/
# Where everything is kept # Where the issued certs
= $dir/crl
# Where the issued crl
= $dir/index.txt = no
# database index file. # Set to 'no' to allow # several ctificates with
= $dir/signed_certs
# default place for new
= $dir/cacert.pem = $dir/serial
# The CA certificate # The current serial
= $dir/crlnumber
# the current crl number # must be commented out
= $dir/crl.pem # The current CRL = $dir/private/cakey.pem# The private key
122
51 RANDFILE file 52
= $dir/private/.rand
# private random number
53 x509_extensions = usr_cert add to the cert
# The extentions to
Tambahkan konfigurasi pada file openssl.cnf dengan (baris paling bawah) 316 317 318 319 320
# Windows XP TLS Extenstions [ xpclient_ext ] extendedKeyUsage=1.3.6.1.5.5.7.3.2 [ xpserver_ext ] extendedKeyUsage=1.3.6.1.5.5.7.3.1
Berikut perintah untuk membuat sertifikat CA : ~/CA $ openssl req -new -keyout private/cakey.pem -out careq.pem -config ./openssl.cnf
Masukkan password / kunci private CA. kunci ini nantinya akan digunakan untuk konfirmasi setiap sertifikat yang akan diterbitkan oleh CA
Selanjutnya, buat sertifikat CA, isi dengan data berikut :
123
Buat index.txt pada didalam dir CA touch index.txt
Perintah untuk menandatangani Certifikat digital yang dibuat : ~/CA $ openssl ca -create_serial -out cacert.pem –keyfile private/cakey.pem -selfsign -extensions v3_ca -config ./openssl.cnf -in careq.pem
Perintah untuk mengubah file .pem ke .der (file .der agar sertifikat CA yang dibuat dapat di-import ke sistem operasi berbasis windows). ~/CA $ openssl x509 -inform PEM -outform DER -in cacert.pem out cacert.der
Membuat sertifikat server untuk RADIUS server : ~/CA $ openssl req -new -config ./openssl.cnf -keyout server_key.pem -out server_req.pem
124
Selanjutnya sertifikat server tersebut ditandatangi dulu oleh CA dengan perintah berikut : ~/CA $ openssl ca -config ./openssl.cnf -in server_req.pem -out server_cert.pem
125
Buat parameter 1024-bit Diffie-Hellman dengan perintah : ( pada folder CA) openssl dhparam -out dh 1024
126
dd if=/dev/urandom of=random count=2
Lampiran 3. Konfigurasi eap.conf
# -*- text -*## ## eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.) ## ## $Id$ ################################################################## ##### # # Whatever you do, do NOT set 'Auth-Type := EAP'. The server # is smart enough to figure this out on its own. The most # common side effect of setting 'Auth-Type := EAP' is that the # users then cannot use ANY other authentication method. # # EAP types NOT listed here may be supported via the "eap2" module. # See experimental.conf for documentation. # eap { # Invoke the default supported EAP type when # EAP-Identity response is received. #
127
#
The incoming EAP messages DO NOT specify which
#
type they will be using, so it MUST be set
# #
For now, only one default EAP type may be used
# #
If the EAP-Type attribute is set by another
EAP here. at a time. module, # then that EAP type takes precedence over the # default type configured here. # default_eap_type = ttls # # #
A list is maintained to correlate EAP-Response packets with EAP-Request packets. After a configurable length of time, entries in the
list #
expire, and are deleted. # timer_expire = 60 #
There are many EAP types, but the server has
#
for only a limited subset.
#
a request for an EAP type it does not support,
#
it normally rejects the request.
#
configuration to "yes", you can tell the server
#
instead keep processing the request.
# #
MUST then be configured to proxy the request to another RADIUS server which supports that EAP
# #
If another module is NOT configured to handle
#
request, then the request will still end up
support If the server
receives then By setting
this to Another
module type. the being # rejected. ignore_unknown_eap_types = no # Cisco AP1230B firmware 12.2(13)JA1 has a bug.
When
given # a User-Name attribute in an Access-Accept, it copies one # more byte than it should. # # We can work around it by configurably adding an extra # zero byte. cisco_accounting_username_bug = no
128
# #
Help prevent DoS attacks by limiting the number
#
sessions that the server is tracking.
#
can handle ~30 EAP sessions/s, so the default
of Most
systems limit # of 4096 should be OK. max_sessions = 4096 # Supported EAP-types # # #
We do NOT recommend using EAP-MD5
#
for wireless connections.
authentication It is insecure, and
does # not provide for dynamic WEP keys. # md5 { } # Cisco LEAP # # We do not recommend using LEAP in new deployments. See: # http://www.securiteam.com/tools/5TP012ACKE.html # # Cisco LEAP uses the MS-CHAP algorithm (but not # the MS-CHAP attributes) to perform it's authentication. # # As a result, LEAP *requires* access to the plain-text # User-Password, or the NT-Password attributes. # 'System' authentication is impossible with LEAP. # leap { } # # #
Generic Token Card.
#
or EAP-PEAP.
#
text, and the response from the user is taken
# # #
the User-Password. Proxying the tunneled EAP-GTC session is a bad
#
the users password will go over the wire in
Currently, this is only permitted inside of
EAP-TTLS, The module "challenges" the user
with to be
idea, plain-text,
129
# for anyone to see. # gtc { # The default challenge, which many clients # ignore.. #challenge = "Password: " #
The plain-text response which comes
# # #
is put into a User-Password attribute, and passed to another module for authentication. This allows the EAP-
#
response to be checked against plain-
# # #
or crypt'd passwords.
#
the module will look for a User-
back
GTC text, If you say "Local" instead of "PAP",
then Password # configured for the request, and do the # authentication itself. # auth_type = PAP } ## EAP-TLS # # # # #
See raddb/certs/README for additional comments on certificates.
#
built, the "tls", "ttls", and "peap" sections
# # #
be ignored.
#
mode, test certificates will be created.
#
"make_cert_command" below for details, and the
# # #
file in raddb/certs
#
deployment.
#
to install the server, and to perform some
# #
tests with EAP-TLS, TTLS, or PEAP.
If OpenSSL was not found at the time the server
was will Otherwise, when the server first starts in
debugging See
the README These test certificates SHOULD NOT be used in a
normal They are created only to make it
easier simple #
130
# See also: # # http://www.dslreports.com/forum/remark,9286052~mode=flat # # Note that you should NOT use a globally known CA here! # e.g. using a Verisign cert as a "known CA" means that # ANYONE who has a certificate signed by them can # authenticate via EAP-TLS! This is likey not what you want. tls { # # These is used to simplify later configurations. # certdir = /home/arief/CA cadir = /home/arief/CA private_key_password = qwerty private_key_file = ${certdir}/server_key.pem # If Private key & Certificate are located in # the same file, then private_key_file & # certificate_file must contain the same file # name. # # If CA_file (below) is not used, then the # certificate_file below MUST include not # only the server certificate, but ALSO all # of the CA certificates used to sign the # server certificate. certificate_file = ${certdir}/server_cert.pem # # #
Trusted Root CA list
#
to issue client certificates for
ALL of the CA's in this list will be
trusted authentication. # # In general, you should use self-signed # certificates for 802.1x (EAP) authentication. # In that case, this CA file should contain # *one* CA certificate. # # This parameter is used only for EAPTLS,
131
#
when you issue client certificates.
If
#
not use client certificates, and you do
#
to permit EAP-TLS authentication, then
you do not want delete # this configuration item. CA_file = ${cadir}/cacert.pem # #
For DH cipher suites to work, you have
#
run OpenSSL to create the DH file
to first: # # openssl dhparam -out certs/dh 1024 # dh_file = ${certdir}/dh random_file = ${certdir}/random # #
This can never exceed the size of a
#
packet (4096 bytes), and is preferably
# #
that, to accomodate other attributes in RADIUS packet. On most APs the MAX
#
length is configured between 1500 -
RADIUS half packet 1600
#
#
# In these cases, fragment size should be # 1024 or less. # fragment_size = 1024
# include_length is a flag which is # by default set to yes If set to # yes, Total Length of the message is # included in EVERY packet we send. # If set to no, Total Length of the message is included ONLY in the # First packet of a fragment series. # # include_length = yes # # #
Check the Certificate Revocation List
#
2) Execute 'c_rehash
1) Copy CA certificates and CRLs to
same directory. Directory>'.
#
# 'c_rehash' is OpenSSL's command. # 3) uncomment the line below. # 5) Restart radiusd check_crl = yes
132
CA_path = ${cadir} # #
If check_cert_issuer is set, the value
#
be checked against the DN of the issuer
will in #
the client certificate. If the values do not # match, the cerficate verification will
fail, # # #
rejecting the user.
#
more generally by checking the value of
#
TLS-Client-Cert-Issuer attribute.
#
can be done via any mechanism you
In 2.1.10 and later, this check can be
done the This
check choose. # # check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" # # # #
If check_cert_cn is set, the value will be xlat'ed and checked against the CN in the client certificate. If the
#
do not match, the certificate
# #
will fail rejecting the user.
# # # # #
This check is done only if the previous "check_cert_issuer" is not set, or if the check succeeds.
#
more generally by checking the value of
#
TLS-Client-Cert-CN attribute.
#
can be done via any mechanism you
values verification #
In 2.1.10 and later, this check can be
done the This
check choose. # # #
check_cert_cn = %{User-Name} # Set this option to specify the allowed # TLS cipher suites. The format is listed # in "man 1 ciphers". cipher_list = "DEFAULT" #
#
133
#
This configuration entry should be
deleted # once the server is running in a normal # configuration. It is here ONLY to make # initial deployments easier. # make_cert_command = "${certdir}/bootstrap" # #
Session resumption / fast
reauthentication # # #
cache. The cache contains the following
information: # #
session Id - unique identifier, managed
# #
User-Name - from the Access-Accept Stripped-User-Name - from the Access-
#
Cached-Session-Policy - from the
by SSL Request Access-Accept # # #
The "Cached-Session-Policy" is the name
#
policy which should be applied to the
#
session.
#
VLANs, IP addresses, etc.
#
way to re-apply the policy from the
#
Access-Accept to the subsequent Access-
# # #
for the cached session.
#
copied from the cache, and placed into
of a cached This policy can be used to
assign It serves as
a useful original Accept On session resumption, these attributes
are the # reply list. # # You probably also want "use_tunneled_reply = yes" # when using fast session resumption. # cache { # # Enable it. The default is "no". # Deleting the entire "cache" subsection # Also disables caching. #
134
# #
You can disallow resumption for a particular user by adding the
#
attribute to the control item
following list: # #
Allow-Session-Resumption =
No # #
If "enable = no" below, you
#
enable resumption for just one
#
by setting the above attribute to
CANNOT user "yes". # enable = no # #
Lifetime of the cached entries,
#
The sessions will be deleted
in hours. after this # time. # lifetime = 24 # hours # #
The maximum number of entries in
#
cache.
# #
This could be set to the number
#
who are logged in... which can be
the Set to "0" for
"infinite". of users a LOT. # max_entries = 255 } # #
As of version 2.1.10, client
#
validated via an external command.
#
dynamic CRLs or OCSP to be used.
#
This configuration is commented out in
#
default configuration.
certificates can be This allows # the Uncomment it,
and configure # the correct paths below to enable it. # verify {
135
#
A temporary directory where the
#
certificates are stored.
#
MUST be owned by the UID of the
#
and MUST not be accessible by
#
users.
#
"chmod go-rwx" on the
#
security reasons.
# # #
exist when the server starts.
#
in the directory when the
client This
directory server, any other When the server starts,
it will do directory, for The
directory MUST You should also delete all of
the files server starts. # #
tmpdir = /tmp/radiusd The command used to verify the client cert. # We recommend using the OpenSSL
command-line # # #
tool.
#
the CA_path variable defined
# #
The %{TLS-Client-Cert-Filename}
#
of the temporary file
#
in PEM format.
#
deleted by the server when the
The ${..CA_path} text is a
reference to above. is the name containing the cert This file is
automatically command # returns. # client = "/path/to/openssl verify -CApath ${..CA_path} %{TLS-Client-Cert-Filename}" } } # The TTLS module implements the EAP-TTLS protocol, # which can be described as EAP inside of Diameter, # inside of TLS, inside of EAP, inside of RADIUS... # # Surprisingly, it works quite well. # # The TTLS module needs the TLS module to be installed # and configured, in order to use the TLS tunnel
136
#
inside of the EAP packet.
You will still need
#
configure the TLS module, even if you do not
#
to deploy EAP-TLS in your network.
#
be able to request EAP-TLS, as it requires them
# # # #
have a client certificate. EAP-TTLS does not require a client certificate.
to want Users will
not to
You can make TTLS require a client cert by
setting # # #
EAP-TLS-Require-Client-Cert = Yes
# # in the control items for a request. # ttls { # The tunneled EAP session needs a default #
EAP type which is separate from the one
#
the non-tunneled EAP module.
#
TTLS tunnel, we recommend using EAP-
# #
If the request does not contain an EAP conversation, then this configuration
for Inside of
the MD5. entry # is ignored. default_eap_type = md5 #
The tunneled authentication request
# # # #
not usually contain useful attributes like 'Calling-Station-Id', etc. These attributes are outside of the tunnel, and normally unavailable to the
#
authentication request.
# # # #
By setting this configuration entry to 'yes', any attribute which NOT in the tunneled authentication request, but which IS available outside of the
does
tunneled #
tunnel, # is copied to the tunneled request. # # allowed values: {no, yes} copy_request_to_tunnel = no #
The reply attributes sent to the NAS
#
usually based on the name of the user
are
137
# # # # #
'outside' of the tunnel (usually 'anonymous'). If you want to send the reply attributes based on the user name inside of the tunnel, then set this configuration entry to 'yes', and the
#
to the NAS will be taken from the reply
reply to #
the tunneled request. # # allowed values: {no, yes} use_tunneled_reply = no # # # # # #
The inner tunneled request can be sent through a virtual server constructed specifically for this purpose. If this entry is commented out, the
inner # tunneled request will be sent through # the virtual server that processed the # outer requests. # virtual_server = "inner-tunnel" # #
This has the same meaning as the
same field in the "tls" module, above. # The default value here is "yes". # include_length = yes } ################################################## # # !!!!! WARNINGS for Windows compatibility !!!!! # ################################################## # # If you see the server send an Access-Challenge, # and the client never sends another Access-
Request, # # # # #
then STOP! The server certificate has to have special
OID's #
in it, or else the Microsoft clients will silently # fail. See the "scripts/xpextensions" file for # details, and the following page: # # http://support.microsoft.com/kb/814394/en-
us # #
For additional Windows XP SP2 issues, see:
138
# #
http://support.microsoft.com/kb/885453/en-
us # # #
If is still doesn't work, and you're using
Samba, # you may be encountering a Samba bug. See: # # https://bugzilla.samba.org/show_bug.cgi?id=6563 # # Note that we do not necessarily agree with their # explanation... but the fix does appear to work. # ################################################## # #
The tunneled EAP session needs a default EAP
#
which is separate from the one for the non-
# # # #
EAP module. Inside of the TLS/PEAP tunnel, we recommend using EAP-MS-CHAPv2.
# #
and configured, in order to use the TLS tunnel inside of the EAP packet. You will still need
#
configure the TLS module, even if you do not
#
to deploy EAP-TLS in your network.
#
be able to request EAP-TLS, as it requires them
# # #
have a client certificate. EAP-PEAP does not require a client certificate.
type tunneled
The PEAP module needs the TLS module to be
installed to want Users will
not to
# # #
You can make PEAP require a client cert by
setting # # EAP-TLS-Require-Client-Cert = Yes # # in the control items for a request. # peap { # The tunneled EAP session needs a default #
EAP type which is separate from the one
#
the non-tunneled EAP module.
for the
Inside of
139
#
PEAP tunnel, we recommend using MS-
#
as that is the default type supported
CHAPv2, by # Windows clients. default_eap_type = mschapv2 #
the PEAP module also has these
#
items, which are the same as for TTLS.
configuration copy_request_to_tunnel = no use_tunneled_reply = no #
When the tunneled session is proxied,
#
home server may not understand EAP-
#
Set this entry to "no" to proxy the
the MSCHAP-V2. tunneled #
# EAP-MSCHAP-V2 as normal MSCHAPv2. proxy_tunneled_request_as_eap = yes # # # # # #
The inner tunneled request can be sent through a virtual server constructed specifically for this purpose. If this entry is commented out, the
inner # # #
tunneled request will be sent through the virtual server that processed the outer requests.
# virtual_server = "inner-tunnel" } # # # #
This takes no configuration. Note that it is the EAP MS-CHAPv2 sub-module,
not # # #
the main 'mschap' module.
#
the main 'mschap' module MUST ALSO be
# #
This module is the *Microsoft* implementation
#
in EAP.
#
of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS
#
currently support.
Note also that in order for this sub-module to
work, configured. of MS-CHAPv2 There is another (incompatible)
implementation does not
140
# # mschapv2 { } }
Lampiran 4. Konfigurasi clients.conf # # Each client has a "short name" that is used to distinguish it from # other clients. # # In version 1.x, the string after the word "client" was the IP # address of the client. In 2.0, the IP address is configured via # the "ipaddr" or "ipv6addr" fields. For compatibility, the 1.x # format is still accepted. # client localhost { # Allowed values are: # dotted quad (1.2.3.4) # hostname (radius.example.com) ipaddr = 127.0.0.1 # OR, you can use an IPv6 address, but not both # at the same time. ipv6addr = :: # any. ::1 == localhost
#
# # addresses # the # # DNS, # # # and # # #
A note on DNS:
We STRONGLY recommend using IP
rather than host names.
Using host names means that
server will do DNS lookups when it starts, making it dependent on DNS. i.e. If anything goes wrong with the server won't start! The server also looks up the IP address from DNS once, only once, when it starts. If the DNS record is later updated, the server WILL NOT see that update.
#
One client definition can be applied to an entire
#
e.g. 127/8 should be defined with "ipaddr = 127.0.0.0"
#
"netmask = 8"
network. and # # addresses
A note on DNS:
We STRONGLY recommend using IP
141
#
rather than host names.
Using host names means that
# #
server will do DNS lookups when it starts, making it dependent on DNS. i.e. If anything goes wrong with
# # #
the server won't start!
# # #
only once, when it starts. If the DNS record is later updated, the server WILL NOT see that update.
#
One client definition can be applied to an entire
#
e.g. 127/8 should be defined with "ipaddr = 127.0.0.0"
# # # # #
"netmask = 8"
We do NOT recommend using anything other than 32.
#
are usually other, better ways to achieve the same
#
Using netmasks of other than 32 can cause security
the DNS, The server also looks up the IP address from DNS once,
and
network. and If not specified, the default netmask is 32 (i.e. /32)
There goal. issues. # # You can specify overlapping networks (127/8 and 127.0/16) # In that case, the smallest possible network will be used # as the "best match" for the client. # # Clients can also be defined dynamically at run time, based # on any criteria. e.g. SQL lookups, keying off of NASIdentifier, # etc. # See raddb/sites-available/dynamic-clients for details. # # #
netmask = 32 #
The shared secret use to "encrypt" and "sign" packets
#
the NAS and FreeRADIUS.
# # #
default, otherwise it's not a secret any more!
between You MUST change this secret
from the The secret can be any string, up to 8k characters in
length. # # # #
Control codes can be entered vi octal encoding, e.g. "\101\102" == "AB" Quotation marks can be entered by escaping them,
142
# # #
e.g. "foo\"bar" A note on security:
#
depends COMPLETELY on this secret!
# # #
shared secret that is composed of:
The security of the RADIUS
protocol We recommend using
a
#
upper case letters lower case letters numbers
# # # And is at LEAST 8 characters long, preferably 16 characters in # length. The secret MUST be random, and should not be words, # phrase, or anything else that is recognizable. # # The default secret below is only for testing, and should # not be used in any real environment. # secret = testing123 # # #
Old-style clients do not send a Message-Authenticator in an Access-Request. RFC 5080 suggests that all
clients # SHOULD include it in an Access-Request. The configuration # item below allows the server to require it. If a client # is required to include a Message-Authenticator and it does # not, then the packet will be silently discarded. # # allowed values: yes, no require_message_authenticator = no # # The short name is used as an alias for the fully qualified # domain name, or the IP address. # # It is accepted for compatibility with 1.x, but it is no # longer necessary in 2.0 # # shortname = localhost # # the following three fields are optional, but may be used by # checkrad.pl for simultaneous use checks # #
143
# The nastype tells 'checkrad.pl' which NAS-specific method to # use to query the NAS for simultaneous use. # # Permitted NAS types are: # # cisco # computone # livingston # max40xx # multitech # netserver # pathras # patton # portslave # tc # usrhiper # other # for all other types # nastype
# #
= other
# localhost isn't usually a NAS...
# # The following two configurations are for future use. # The 'naspasswd' file is currently used to store the NAS # login name and password, which is used by checkrad.pl # when querying the NAS for simultaneous use. # login = !root password = someadminpas # #
As of 2.0, clients can also be tied to a virtual
server. # This is done by setting the "virtual_server" configuration # item, as in the example below. # # virtual_server = home1
# }
# # A pointer to the "home_server_pool" OR a "home_server" # section that contains the CoA configuration for this # client. For an example of a coa home server or pool, # see raddb/sites-available/originate-coa coa_server = coa
# IPv6 Client #client ::1 { # secret = testing123 # shortname = localhost #} # # All IPv6 Site-local clients #client fe80::/16 {
144
# # #}
secret shortname
= testing123 = localhost
#client some.host.org { # secret = testing123 # shortname = localhost #} # # You can now specify one secret for a network of clients. # When a client request comes in, the BEST match is chosen. # i.e. The entry from the smallest possible network. # #client 192.168.0.0/24 { # secret = testing123-1 # shortname = private-network-1 #} # #client 192.168.0.0/16 { # secret = testing123-2 # shortname = private-network-2 #} #client # file. # # # by # # # # #} #}
10.10.10.10 { # secret and password are mapped through the "secrets" secret = testing123 shortname = liv1 # the following three fields are optional, but may be used # checkrad.pl nastype = login = password =
for simultaneous usage checks livingston !root someadminpas
################################################################## ##### # # Per-socket client lists. The configuration entries are exactly # the same as above, but they are nested inside of a section. # # You can have as many per-socket client lists as you have "listen" # sections, or you can re-use a list among multiple "listen" sections. # # Un-comment this section, and edit a "listen" section to add: # "clients = per_socket_clients". That IP address/port combination # will then accept ONLY the clients listed in this section. # #clients per_socket_clients {
145
# # # #}
client 192.168.3.4 { secret = testing123 }
client 192.168.1.11 { secret shortname nastype
= testing123 = simulator = other
}
Lampiran 5. Konfigurasi pada File Users # # Please read the documentation file ../doc/processing_users_file, # or 'man 5 users' (after installing the server) for more information. # # This file contains authentication security and configuration # information for each user. Accounting requests are NOT processed # through this file. Instead, see 'acct_users', in this directory. # # The first field is the user's name and can be up to # 253 characters in length. This is followed (on the same line) with # the list of authentication requirements for that user. This can # include password, comm server name, comm server port number, protocol # type (perhaps set by the "hints" file), and huntgroup name (set by # the "huntgroups" file). # # If you are not sure why a particular reply is being sent by the # server, then run the server in debugging mode (radiusd X), and # you will see which entries in this file are matched. # # When an authentication request is received from the comm server, # these values are tested. Only the first match is used unless the # "Fall-Through" variable is set to "Yes". # # A special user named "DEFAULT" matches on all usernames.
146
# You can have several DEFAULT entries. All entries are processed # in the order they appear in this file. The first entry that # matches the login-request will stop processing unless you use # the Fall-Through variable. # # If you use the database support to turn this file into a .db or .dbm # file, the DEFAULT entries _have_ to be at the end of this file and # you can't have multiple entries for one username. # # Indented (with the tab character) lines following the first # line indicate the configuration values to be passed back to # the comm server to allow the initiation of a user session. # This can include things like the PPP configuration values # or the host to log the user onto. # # You can include another `users' file with `$INCLUDE users.other' # # # For a list of RADIUS attributes, and links to their definitions, # see: # # http://www.freeradius.org/rfc/attributes.html # # # Deny access for a specific user. Note that this entry MUST # be before any other 'Auth-Type' attribute which results in the user # being authenticated. # # Note that there is NO 'Fall-Through' attribute, so the user will not # be given any additional resources. # #lameuser Auth-Type := Reject # Reply-Message = "Your account has been disabled." # # Deny access for a group of users. # # Note that there is NO 'Fall-Through' attribute, so the user will not # be given any additional resources. # #DEFAULT Group == "disabled", Auth-Type := Reject
147
# Reply-Message = "Your account has been disabled." # # # This is a complete entry for "steve". Note that there is no Fall-Through # entry so that no DEFAULT entry will be used, and the user will NOT # get any attributes in addition to the ones listed here. # #steve Cleartext-Password := "testing" # Service-Type = Framed-User, # Framed-Protocol = PPP, # Framed-IP-Address = 172.16.3.33, # Framed-IP-Netmask = 255.255.255.0, # Framed-Routing = Broadcast-Listen, # Framed-Filter-Id = "std.ppp", # Framed-MTU = 1500, # Framed-Compression = Van-Jacobsen-TCP-IP # # This is an entry for a user with a space in their name. # Note the double quotes surrounding the name. # #"John Doe" Cleartext-Password := "hello" # Reply-Message = "Hello, %{User-Name}" "sqltest" "arief"
Cleartext-Password := "testpwd" Reply-Message = "Hello, %{User-Name}" Cleartext-Password := "mautauaja" Reply-Message = "Hello, %{User-Name}"
# # Dial user back and telnet to the default host for that port # #Deg Cleartext-Password := "ge55ged" # Service-Type = Callback-Login-User, # Login-IP-Host = 0.0.0.0, # Callback-Number = "9,5551212", # Login-Service = Telnet, # Login-TCP-Port = Telnet # # Another complete entry. After the user "dialbk" has logged in, the # connection will be broken and the user will be dialed back after which # he will get a connection to the host "timeshare1". # #dialbk Cleartext-Password := "callme" # Service-Type = Callback-Login-User, # Login-IP-Host = timeshare1, # Login-Service = PortMaster, # Callback-Number = "9,1-800-555-1212"
148
# # user "swilson" will only get a static IP number if he logs in with # a framed protocol on a terminal server in Alphen (see the huntgroups file). # # Note that by setting "Fall-Through", other attributes will be added from # the following DEFAULT entries # #swilson Service-Type == Framed-User, Huntgroup-Name == "alphen" # Framed-IP-Address = 192.168.1.65, # Fall-Through = Yes # # If the user logs in as 'username.shell', then authenticate them # using the default method, give them shell access, and stop processing # the rest of the file. # #DEFAULT Suffix == ".shell" # Service-Type = Login-User, # Login-Service = Telnet, # # The rest of this file contains the several DEFAULT entries. # DEFAULT entries match with all login names. # Note that DEFAULT entries can also Fall-Through (see first entry). # A name-value pair from a DEFAULT entry will _NEVER_ override # an already existing name-value pair. # # # Set up different IP address pools for the terminal servers. # Note that the "+" behind the IP address means that this is the "base" # IP address. The Port-Id (S0, S1 etc) will be added to it. # #DEFAULT Service-Type == Framed-User, Huntgroup-Name == "alphen" # Framed-IP-Address = 192.168.1.32+, # Fall-Through = Yes # # Sample defaults for all framed connections. # #DEFAULT Service-Type == Framed-User # Framed-IP-Address = 255.255.255.254, # Framed-MTU = 576, # Service-Type = Framed-User, # Fall-Through = Yes #
149
# Default for PPP: dynamic IP address, PPP mode, VJ-compression. # NOTE: we do not use Hint = "PPP", since PPP might also be autodetected # by the terminal server in which case there may not be a "P" suffix. # The terminal server sends "Framed-Protocol = PPP" for auto PPP. # DEFAULT Framed-Protocol == PPP Framed-Protocol = PPP, Framed-Compression = Van-Jacobson-TCP-IP # # Default for CSLIP: dynamic IP address, SLIP mode, VJcompression. # DEFAULT Hint == "CSLIP" Framed-Protocol = SLIP, Framed-Compression = Van-Jacobson-TCP-IP # # Default for SLIP: dynamic IP address, SLIP mode. # DEFAULT Hint == "SLIP" # # Last default: rlogin to our main server. # #DEFAULT # Service-Type = Login-User, # Login-Service = Rlogin, # Login-IP-Host = shellbox.ispdomain.com # # # # #
# # Last default: shell on the local terminal server. # DEFAULT Service-Type = Administrative-User
# On no match, the user is denied access.
Lampiran 6. Konfigurasi Access Point
Buka browser dan masukkan alamat IP access point pada address bar
Masuk ke menu “setup” pilih menu “basic setup” Setting pembagian alamat IP client dengan opsi “Automatic Configuration - DHCP” dan
150
alamat IP access point dengan IP = 192.168.1.11. kemudian centangkan pilihan DHCP Server “enable”.
Setting IP access point
Klik “Save Setting”. Selanjutnya untuk mengakses menu setting Access point kembali samakan Network IP
komputer yang terhubung yang
melakukan setting IP Access Point dengan alamat network IP akses point yang baru.
Buka browser dan masukkan alamat IP access point yang baru yaitu “192.168.1.11” pada address bar
Selanjutnya klik menu “wireless”. Lalu klik menu “basic wireless setting” setting “ Wireless Network name (SSID)” dengan “black_usb”
151
Setting SSID Wireless
Selanjutnya klik menu “wireless security”. setting “security mode” menjadi WPA Enterprise dan “WPA Algorithms” menggunakan AES, selanjutnya menambahkan alamat IP “RADIUS server address” dengan alamat IP 192.168.1.10, “RADIUS port” 1812, dan input “shared key” dengan “testing123”. berikut tampilan setting pada akses point :
152
Gambar 4.37 Setting Wireless Security
Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien
Pilih file sertifikat CA dalam extensi .der
lakukan double klik file sertifikat CA yang akan di install
153
klik “install certificate” untuk mengimport file sertifikat tersebut. akan muncul window “certificate import wizard”, klik next
selanjutnya akan muncul window yang meminta konfirmasi peletakan sertifikat apakah secara otomatis atau manual. Pilih manual, klik browse
Maka akan muncul window “Select Certification Store”, pilih folder / root “Trusted Root Certification Authorities”. Klik ok.
154
klik nex, akan muncul window “complete the certificate import wizard”. Klik “finish”
selanjutnya akan ada alert “security warning” yang menandakan windows meminta confirmasi atas certifikat CA yang telah kita install tersebut. klik “yes”. Maka akan muncul window “certificate import wizard” bahwa proses import sertifikat berhasil
155
Selanjutnya setting penggunaan dan manajemen sertifkat pada windows 7. Masuk ke windows > control panel > view network status and task > manage wireless network > pilih jaringan wireless yang telah di create sebelumnya (dalam penelitian ini adalah jaringan wireless dengan SSID “black_usb”) > klik kanan properties
Selanjutnya akan muncul window “wirelesss network properties”, klik tab “security”
setting dengan “security type” adalah
“encryption type” adalah
“wpa enterprise”,
AES, dan pilih “network authentication
method” adalah “Microsoft Protected EAP (PEAP)”.
156
Untuk mensetting validasi sertifikat pada sisi klien, klik tombol setting pada window “wireless network properties”. Maka akan muncul window “protected EAP properties”.
Centangkan “validate server certificate”,
masukkan alamat IP server RADIUS, dalam penelitian ini alamat server RADIUS memiliki IP 192.168.1.10. selanjutnya pada pilihan “trused root certification authorities” pilih sertifikat CA PEAP yang telah di install sebelumnya.
157
Klik
tombol
“configure”
dan
hilangkan
centang
pada
pilihan
“automatically use my windows logon name and password (and domain if any)”.
Klik ok untuk window EAP MSCHAPv2 properties dan klik ok kembali pada window protected EAP properties
158
Lampiran 8. Wawancara dengan Bagian Pusdatin
Responden
: Fachroni Arbi Murod, S.Kom (Staf Pusdatin FST UIN Jakarta)
Penanya
: Muhammad Arief Faruki
Pertanyaan 1 : Bagaiamana model infrastruktur jaringan nirkabel FST UIN Jakarta ? Jawaban 1
: Secara umum jaringan di FST menggunakan model jaringan tree
tier hierrarical design, merupakan model jaringan dari Cisco System, yang terdiri dari core layer, distribution layer, dan access layer. Core layer berada pada FSH UIN Jakarta, Accesss layer berada pada lantai dasar FST UIN dan access layer dimana jaringan yang terdapat accesss point berada pada lantai 2, lantai 3, dan lantai 4. masing masing access point terhubung dengan switch yang ada di setiap lantai tersebut. masing masing switch tersebut terhubung ke switch yang berada pada lantai 1 FST.
Pertanyaan 2 : Bagaimana kebijakan penggunaan jaringan wireless ? teknologi wireless yang digunakan ? Jawaban 2
: dalam implementasi jaringan wireless FST UIN memiliki
beberapa kebijakan diantaranya : 1. mobilitas yang tinggi, terutama untuk mengakses jaringan tanpa menggunakan media berbasis kabel. 2. tingkat kinerja sistem yang baik dalam merespon akses dari luar kedalam maupun sebaliknya. Adapun teknologi jaringan wireless yang digunakan adalah captive portal
159
(hotspot). Untuk terhubung kedalam jaringan pengguna harus memasukkan serangkaian string kode / password.
Pertanyaan 3 : Hardware apa saja yang digunakan pada jaringan wireless ? dan dimana saja lokasi access point berada ? dan bagaimana pengalamatan IP pengguna ? Jawaban 3
: Sebagai akses wireless FST menggunakan cisco aironet 1100
access point dan WRT54GL access point dengan menggunakan IP DHCP / dinamis kelas c. adapun lokasi access point berada pada lantai 2 terdapat 1 unit di ruang dekanat dan 1 unit diruang sidang. Pada lantai 3 terdapat 1 unit di PUSDATIN, 1 unit di ruang prodi TI/SI, 1 unit diruang agribisnis, dan 1 unit diruang prodi biologi. Pada lantai 4 terdapat 1 unit di ruang prodi international class dan 1 unit di ruang lobby. Jadi total access point yang digunakan berjumlah 8 unit.
Pertanyaan 4 : service / layanan apa saja yang terdapat dalam jaringan FST UIN ? Jawaban 4
: di FST UIN terdapat 6 buah server aktif yang berada di ruang
PUSDATIN lantai 3. masing masing server tersebut digunakan sebagai : email server, web portal, e-learning, akademik, router, file sharing FTP, dan server RADIUS.
DAFTAR PUSTAKA
Arifin, Zaenal. 2008. Sistem Pengamanan Jaringan Wireless LAN berbasis Protokol 802.1x & Sertifikat. Yogyakarta : Andi. Ariyus, Dony. 2006. Computer Security. Yogyakarta : Andi. Burnett Steve, Stephene Paine. 2000. RSA Security’s Official Guide to Cryptography. California : RSA Press. Gast,
Matthew.
TTLS
and
PEAP
Comparison.
[Online]
http://www.opus1.com/www/whitepapers/ttlsandpeap.pdf
Tersedia
:
[5 November
2010]. Charles
M.
Kozierok.
TCP/IP
Guide.
[Online]
tersedia
:
http://www.tcpipguide.com. [3 Agustus 2010]. Goldman, James E. Rawles, Philip T. 2001. Applied Data Communication : a business Oriented Approach 3rd edition. New York : Wiley John and Sons Inc. Hantoro, Gunandi Dwi. 2009. WiFi (Wireless LAN) Jaringan Komputer Tanpa Kabel. Bandung : Informatika. Hartono, Jogiyanto, MBA, PhD. 1999. Pengenalan Komputer. Yogyakarta : Andi Hassel, Jonathan. 2002. RADIUS. Cambridge, Massachusetts : O'Reilly Media. Internet Draft. Protected EAP Protocol (PEAP) Version 2 [Online] : http://tools.ietf.org/html/draft-josefsson-pppext-eap-tls-eap-10 [25 Agustus 2010].
116
117
Madjid Nakhjiri, Mahsa Nakhjiri. 2005. AAA and Network Security for Mobile Access RADIUS, DIAMETER, EAP, PKI AND IP Mobility. Chichester : John Wiley & Sons Ltd. Nazir, Moh. 2005. Metode Penelitian. Bogor : Ghalia Indonesia Reid, Neil. 2010. Wireless Mobility the Way of Wireless. New York : McGrawHill Companies. Reza Fuad R. Standar IEEE 802.1x Teori dan Implementasi. [online] tersedia : http://oc.its.ac.id/ambilfile.php?idp=129 [1 Agustus 2010]. RFC 2716. PPP EAP TLS Authentication Protocol. [Online] tersedia : http://tools.ietf.org/html/rfc2716 [25 Agustus 2010]. RFC 2759. Microsoft PPP CHAP Extensions, Version 2. [online] tersedia : http://tools.ietf.org/html/rfc2759 [25 Agustus 2010 ]. RFC 3748. Extensible Authentication Protocol (EAP). [Online] tersedia : http://tools.ietf.org/html/rfc3748 [25 Agustus 2010]. RFC 4017. Extensible Authentication Protocol (EAP) Method Requirements for Wireless LANs. [Online] tersedia : http://tools.ietf.org/html/rfc4017 [25 Agustus 2010] Setiawan, Deris. 2009. Fundamental Internetworking Development & design Life Cycle. [online] tersedia : http://ilkom.unsri.ac.id/deris/materi/jarkom/ network_development_cycles.pdf [29 Juli 2010]. Tim Penelitian dan Pengembangan Wahana Komputer. 2004. Kamus Lengkap Jaringan Komputer. Semarang : Salemba Infotek.
118
Yadi, Ilman Zuhri, Yesi Novaria Kunang. Keamanan Wireless LAN : Teknik Pengamannan
Access
Point.
[online]
tersedia
:
http://blog.binadarma.ac.id/yesinovariakunang/wpcontent/uploads/2010/08 /Ilman-Yessi-Wireless-LAN.pdf [28 Juli 2010].
LAMPIRAN