Makalah Seminar Kerja Praktek
METODE AUTENTIKASI PADA TACACS+ SERVER
Pandu Wicaksono (L2F007061)
Jurusan Teknik Elektro Fakultas Teknik Universitas Diponegoro Semarang
Abstrak Tacacs+ merupakan salah satu teknologi yang digunakan untuk memanajemen use r. Menggunakan konsep AAA yang terdiri dari Authentication, Authorization, dan Accounting. Authentication adalah melakukan pengecekan keabsahan user apakah terdaftar dalam database. Authorization adalah membatasi hak user agar tidak sembarang orang dapat mengakses sistem demi menjaga keamanan. Accounting adalah merekam aktivitas user selama dalam jaringan tersebut. Sebuah jaringan yang terhubung ke internet akan sangat rawan sekali jika tidak mempunyai pengaman seperti DDOS, IP Spoofing, dll . Tacacs+ memungkinkan untuk mencegah bahaya tersebut karena tidak semua orang dapat mengakses jaringan hanya user yang telah terdaftar saja yang dapat mengakses. Selain itu, jejak dari user dapat dipantau sehingga dapat diketahui jika ada pelanggaran yang membahayakan jaringan. Tacacs+ server dapat digunakan dalam berbagai macam topologi baik untuk autentikasi antar router yang tehubung dengan PPP, login user pada sebuah website, maupun login user pada sebuah hotspot. Autentikasi yang digunakan pada tacacs+ mengunakan username dan password. Data user dapat disimpan dalam berbagai media baik dalam flat file, MySQL, maupun LDAP. Keywords: Tacacs+, Keamanan, AAA, Autentikasi
1. Pendahuluan 1.1. Latar Belakang Keamanan merupakan perhatian penting untuk menjaga konsistensi data. Terutama jika sebuah jaringan lokal sudah terhubung ke internet maka mau tidak mau pihak luar dapat membobol jaringan lokal tanpa sepengatuhuan administrator jaringan.Oleh karena itu dibutuhkan sebuah pengamanan yang dapat membatasi pihak luar untuk mengakases jaringan lokal. Banyak metode yang dapat digunakan untuk menjaga keamanan data baik secara fisik dengan menggunakan firewall maupun dengan membatasi IP address, menggunakan metode autentikasi melalui username dan password, ataupun mengatur privilegges. Menggunakan metode- metode tersebut secara bersamaan juga dapat dilakukan
bahkan akan saling melengkapi dan menjadikan keamanan jaringan lebih kuat. Metode autentikasi mengggunakan username dan password banyak digunakan karena memiliki tingkat keamanan yang baik dan kemudahan dalam penggunaan. Susah sekali untuk menjebol password jika terdiri dari angka, huruf, dan simbol apalagi jika tidak ada kaitan khusus dengan pemiliknya, semisal nama orang terdekat, hari lahir, nomor telepon, dsb. Biasanya seorang hacker dapat menjebol password dengan menggunakan metode social engineering, yaitu mengenali target sehingga diperoleh beberapa alternatif password yang kemudian akan dicoba satu-persatu. Jika tidak ada hubungan antara password dengan pemiliknya, maka cara yang paling mungkin adalah brute force. Brute force adalah mencoba tiap karakter untuk mencebol
password. Jika password terdiri dari angka, huruf, dan simbol dan jumlahnya cukup banyak, maka akan sangat lama waktu yang dibutuhkan walaupun menggunakan superkomputer sekalipun. Penulisan laporan yang mengambil judul “METODE AUTENTIKASI PADA TACACS+ SERVER” dilakukan karena penulis merasa teknologi TACACS+ Server merupakan teknologi yang baik untuk menjaga keamanan jaringan. TACACS+ Server menggunakan autentikasi untuk melakukan pembatasan user yang dapat mengakses jaringan. Oleh karena itu, jaringan hanya dapat diatur oleh pihak-pihak yang berwenang sehingga keamanan data dalam jaringan terjamin. 1.2. Tujuan Tujuan penulis melakukan Kerja Praktek di PT TELKOM Semarang antara lain untuk mengetahui lebih jauh tentang keamanan jaringan yang merupakan komponen penting dari jaringan komputer dengan menggunakan metode autentikasi pada TACACS+. Disamping itu juga untuk memenuhi mata kuliah kerja praktek yang wajib ditempuh mahasiswa Teknik Elektro Universitas Diponegoro dengan bobot 2(dua) sks. 1.3. Pembatasan Masalah Dalam penyusunan Laporan Kerja Praktek ini, pembahasan hanya dibatasi pada autentikasi tacacs+ server dan database yang digunakan adalah MySQL. 2. Dasar Teori 2.1. TACACS+ TACACS+ merupakan produk dari CISCO untuk menangani masalah keamanan dengan mengaplikasikan AAA. TACACS+ mempunyai beberapa versi mulai dari yang gratis hingga versi komersial. TACACS+ versi gratis adalah TAC_PLUS sedangkan versi komersialnya adalah ASM.
TACACS+ adalah suatu program yang berfungsi untuk autentikasi multiuser dalam pengaksesan suatu perangkat. Kelebihan dari software ini yaitu suatu perangkat (router/switch) bisa diakses dengan menggunakan username yang berbeda tanpa adanya tambahan config yang memberatkan di perangkat, atau dengan kata lain TACACS+ mempunyai tabel username yang berbeda dengan policy penerapan akses yang berbeda tiap-tiap usernya tanpa memperhatikan level user yang ada. Selain itu kelebihan dengan sentralisasi TACACS+ disamping setiap ada perubahan password cukup dengan update database di TACACS+ nya, program ini juga menawarkan fitur logging tiap-tiap user setiap kali user tersebut online dan semua aktivitas akan direkam dalam database. TACACS+ mempunyai beberapa fitur antara lain: 1. Autentikasi, yaitu mengecek apakah user terdaftar dalam database, sehingga sistem memberikan ijin kepada user yang terdaftar untuk bisa mengakses kedalam sistem. Proses pengenalan peralatan, sistem operasi, kegiatan, aplikasi dan identitas user yang terhubung dengan jaringan komputer. Autentikasi dimulai pada saat user login ke jaringan dengan cara memasukkan password. 2. Autorisasi, yaitu mengatur hak akses user sesuai privileges yang telah diatur dalam database. Pengaturan privileges bertujuan untuk membatasi user agar tidak dapat mengakses yang bukan haknya. Pembatasan ini penting karena user biasanya tidak hanya satu dan setiap user tidak sama haknya, sehingga perlu pembatasan untuk mencegah hal yang tidak diharapkan terjadi. 3. Accounting, yaitu mencatat semua kegiatan user dalam jaringan. Pada
TACACS+ Server yangg menggunakan MySQL, catatan kegiatan user ada pada database yaitu table accounting. Tabel tersebut menyimpan informasi penting yaitu berupa IP address dari user, waktu akses, dan kegiatan yang dilakukan. Accounting merupakan hal penting karena jika terjadi sesuatu hal yang tidak diharapkan dapat dicari tahu penyebabnya, seperti adanya user yang melakukan perubahan data sehingga menyebabkan sistem bekerja tidak pada semestinya.
2.2. Penerapan TACACS+ server TACACS+ Server dapat digunakan untuk berbagai macam kebutuhan yang membutuhkan pengamanan autentikasi. Berikut ini adalah beberapa penerapan TACACS+ Server. 1. Pengamanan untuk hubungan antar Router pada jaringan WAN. Pada WAN antar router dihubungkan oleh kabel serial dan agar terjadi koneksi dibutuhkan protokol seperti PPP. TACACS+ disini berfungsi untuk mengelola keamanan PPP agar tidak dapat dijebol oleh pihak luar. 2. Manajemen user pada wifi hotspot. Agar dapat bekerja sebelumnya aplikasi wifi diatur sebagai TACACS+ Client. Salah satu contoh aplikasi wifi yang dapat bekerja dengan TACACS+ adalah Chilli Hotspot. 3. Manajemen user pada website. Pada kasus ini TACACS+ berfungsi sebagai pengganti autentikasi dengan menggunakan php biasa. Penggunaan TACACS+ akan meningkatkan keamanan website. Pada webserver
perlu diinstall WEB_TAC agar dapat terhubung dengan TACACS+ Server.
2.3. Kebutuhan Pe rangkat Keras dan Perangkat Lunak TACACS+ Server membutuhkan perangkat keras antara lain: 1. Komputer server, merupakan komputer dimana TACACS+ diinstall. Komputer dapat satu atau lebih tergantung berapa kebutuhan TACACS+ Server dalam sebuah jaringan. Pada kasus ini database juga diinstal pada komputer ini, sehingga TACACS+ dan MySQL berada satu komputer. Sistem operasi yang digunakan pada komputer ini adalah UBUNTU 10.04. 2. Router, berfungsi sebagai TACACS+ Client dimana akan meminta kepada TACACS+ Server untuk mengecek apakah suatu user terdaftar dalam database. User tidak secara langsung mengakses TACACS+ Server tetapi melalui TACACS+ Client. 3. Laptop, berfungsi sebagai user untuk menguji apakah TACACS+ Server sudah benar pengaturannya. TACACS+ Server perangkat lunak antara lain:
membutuhkan
1. TAC_PLUS, yaitu TACACS+ versi gratis. 2. SECURID, yaitu library yang dibutuhkan untuk TAC_PLUS. Tanpa library ini TAC_PLUS tidak dapat bekerja. 3. MySQL, yaitu database yang berguna menyimpan informasi host, user, privileges, data accounting, dsb.
2.4. Bagan TACACS+ Server Berikut ini adalah bagan TACACS+ Server secara sederhana. Bagan ini hanya merupakan dasar saja, kemudian dari ini dapat dikembangkan menjadi kompleks mengikuti kebutuhan infrastruktur dari jaringan yang bersangkutan.
Gambar 4.1 Bagan TACA CS+ Server
TACACS+ Server diinstall disebuah server atau beberapa buah server tergantung pada kebutuhan. Jika user dalam jaringan tersebut banyak maka satu server saja tidak akan mampu menangani permintaan tersebut. Menggunakan lebih dari satu TACACS+ Server harus memperhatikan database user karena kedua server harus mempunyai database yang sama. Solusinya dapat menggunakan server database terpisah dan beberapa TACACS+ Server akan mengecek user di dalam database tersebut, sehingga dalam TACACS+ Server tidak terdapat database user sama sekali. TACACS+ Client bertugas untuk menerima permintaan dari user untuk terhubung dengan jaringan. Kemudian permintaan tersebut diteruskan ke TACACS+ Sever untuk diautentikasi. Sebelumnya TACACS+ Client harus dikonfigurasi terlebih dahulu agar dapat mengenali TACACS+ Server.
3. Autentikasi Pada TACACS+ Autentikasi di TACACS+ Server memerlukan beberapa pengaturan. Berikut adalah langkah- langkahnya. 1. Menyiapkan TACACS+ Server mulai dari download hingga instalasi. Jika menggunakan dbms sebagai media penyimpanan data user dan sebagainya maka perlu melakukan instalasi dbms misalnya MySQL. Agar TACACS+ Server dapat mengenali MySQL perlu dilakukan pengaturan yaitu file konfigurasi pada TACACS+ server dan pemberian hak akses pada MySQL. 2. Menyiapkan TACACS+ Client yang berfungsi menerima input dari user yang akan melakukan autentikasi. TACACS+ Client yang digunakan adalah router.
3.1.
Konfigurasi Autentikasi TACACS+ Server Agar TACACS+ Server dapat autentikasi maka perlu dilakukan pengaturan terlebih dahulu. Pengaturan disesuaikan dengan TACACS+ Server yang akan dibuat. TACACS+ Server dengan menggunakan database MySQL perlu menambahkan sintaks sebagai berikut pada file konfigurasi. key=mykey default db = mysql://tacacs: tacacspassword@localhost/tacacs
File konfigurasi dalam kasus ini dinamakan tacacs.conf. Dari file ini akan dieksekusi dan TACACS+ dapat dijalankan. Isi yang terdapat dari file tacacs.conf ini adalah data user beserta autorisasinya untuk TACACS+ dengan menggunakan flat file. Dapat pula untuk mengenali database luar
seperti MySQL atau jika menggunakan LDAP. Maksud file diatas adalah key yang digunakan adalah mykey. Key berfungsi agar TACACS+ Client dapat dikenali oleh TACACS+ Server, karena client juga perlu dibatasi supaya tidak sembarang orang dapat menjadi client. Default db adalah database yang digunakan untuk menyimpan data user yang berupa autentikasi, autorisasi, dsb. Dengan menggunakan database maka semuanya diatur dalam database. DBMS yang digunakan adalah MySQL seperti yang tertera pada file konfigurasi tersebut. Penulisan URI di atas mengunakan skema berikut “mysql://username:password@databasehost/ database”. Username yang digunakan pada file konfigrasi di atas adalah “tacacs” dan password yang digunakan adalah “tacacspassword”. Username dan password ini digunakan untuk memberikan privileges kepada TACACS+ Server untuk mengakses MySQL. Maksud dari localhost adalah database server berada pada satu mesin dengan TACACS+ Server, dan nama databsae yang digunakan adalah tacacs.
3.2.
Konfigurasi Pada MySQL Pertama, MySQL perlu melakukan import database terlebih dahulu. Database telah disediakan pada paket instalasi TAC_PLUS sehingga tidak perlu membuat database sendiri. Perintah yang perlu dilakukan untuk import database adalah sebagai berikut. mysql> \. /usr/local/src/ tac_plus-4.4/tac_plus.sql
Selanjutnya, memberikan hak akses kepada TACACS+ Server untuk mengakses MySQL. Maksud dari “GRANT ALL PRIVILEGES” adalah memberikan hak akses penuh kepada file yang bernama
“tacacs.*”. Tanda “*” menandakan hak akses diberikan kepada file tacacs dengan ekstensi apapun. Hak akses diberikan untuk mengakses database “tacacs” yang berada pada komputer server yang sama dengan database server. Ini ditandai dengan perintah “tacacs@localhost”. Password yang digunakan adalah “tacacspassword”. Berikut adalah penulisan perintah tersebut pada MySQL. mysql> GRANT ALL PRIVILEGES ON tacacs.* TO tacacs@localhost IDENTIFIED BY ‘tacacspassword’;
3.3.
Konfigurasi TACACS+ Client Tacacs+ Client dalam hal ini adalah router harus dilakukan pengaturan terlebih dahulu agar dapat mengenali TACACS+ Server. Akan tetapi, TACACS+ Server tidak perlu mengenali TACACS+ Client. TACACS+ Client merupakan pihak yang ingin diakses oleh user. Tetapi untuk dapat mengakses TACACS+ Client sebelumnya user harus melakukan autentikasi terlebih dahulu. Autentikasi dilakukan di TACACS+ Client tetapi data user tidak terdapat pada TACACS+ Client, melainkan terdapat pada TACACS+ server. Berikut adalah pengaturan TACACS+ Client di Router. 1.
Router>enable
2.
Router#configure terminal
3.
Router(config)#interface FastEthernet0
4.
Router(config-if)#ip address 192.168.56.103 255.255.255.0
5.
Router(config-if)#no shutdown
6.
Router(config-if)#exit
7.
Router(config)#aaa new-model
8.
Router(config)#aaa authentication login default local group tacacs+
9.
Router(config)#tacacs-server host 192.168.56.102 key mykey
Pengaturan autentikasi pada Router berada pada config. Mengetikkan “aaa newmodel” untuk menandai bahwa fungsi aaa telah diaktifkan pada Router. Kemudian mengetikkan perintah autentikasi yaitu “aaa authentication login default local group tacacs+”. Perintah tersebut berarti autentikasi dilakukan dengan menggunakan TACACS+. Selain TACACS+, Router juga dapat melakukan autentikasi menggunakan RADIUS.
3.4.
Pengujian TACACS+ Serve r Pengujian TACACS+ Server dapat dilakukan dengan menggunakan Router. Setelah pengaturan pada Router selesai, Router di-reload menggunakan perintah reload. Pada layar akan muncul username yang harus diisi sesuai dengan yang ada pada database. Sesuai dengan database, username diisi dengan “admin”. Kemudian muncul password yang harus diisi. Saat diisi tidak akan muncul tulisan apapun pada password, tetapi sebetulnya password terisi sesuai dengan yang diketikkan pada keyboard. Jika username atau password yang diisikan salah, maka akan muncul tulisan “Authentication failed” dan muncul kembali username yang harus diisi. Jika autentikasi berhasil akan menuju pada user EXEC di Router dan dapat digunakan seperti menggunakan Router biasa.
Gambar 4.2 Pengujian TA CACS+ Melalui Router
4. Penutup 4.1. Kesimpulan Setelah melakukan Kerja Praktek selama di PT TELKOM Semarang, penulis dapat mengambil kesimpulan: 1. TACACS+ adalah suatu program yang berfungsi untuk autentikasi multiuser dalam pengaksesan suatu perangkat dengan menerapkan AAA. 2. TACACS+ mempunyai beberapa versi mulai dari yang gratis hingga versi komersial. Versi gratis TACACS+ adalah TAC_PLUS dan versi komersialnya adalah ASM. 3. TACACS+ dapat digunakan untuk pengamanan untuk hubungan antar Router pada jaringan WAN, manajemen user pada wifi hotspot, dan manajemen user pada website. 4. User pada TACACS+ dapat disimpan dalam berbagai media seperti flat file, MySQL, dan LDAP. 5. TACACS+ Client bertugas untuk menerima permintaan dari user secara langsung untuk autentikasi kemudian diteruskan ke TACACS+ Server untuk diproses.
DAFTAR PUSTAKA 1. --, Konfigurasi TACACS+, http://gho.no/tacacss, Oktober 2010. 2. --, Pengaturan Ubuntu untuk TACACS+, www.debianhelp.co.uk/tacas.htm, Oktober 2010. 3. --, Dokumentasi TACACS+, http://www.gazi.edu.tr/tacacs/index.php? page=documents, Oktober 2010. 4. Kadir, Abdul, Mudah Mempelajari Database MySQL, Penerbit Andi, Yogyakarta, 2010. 5. Wijaya, Hendra, Cisco Router Edisi Baru untuk Mengambil Sertifikat CCNA (640-801), PT. Elex Media Komputindo, Jakarta, 2004. BIODATA PENULIS Pandu Wicaksono (L2F007061) Lahir di Purwokerto, 1 April 1989. Memulai pendidikan di TK Wijaya Kusuma Yogyakarta, kemudian melanjutkan ke SDN Teluk 5, SMPN 8 Purwokero, SMAN 1 Purwokerto. Saat ini penulis sedang menempuh pendidikan di Teknik Elektro Universitas Diponegoro dan mengambil konsentrasi Teknik Informatika dan Komputer.
Semarang, Mei 2011 Dosen Pembimbing
Ir.Kodrat Iman Satoto, MT. NIP 196310281993031002
