Oleh : HADI RAHMAN

SKRIPSI IMPLEMENTASI HOTSPOT AUTHENTICATION DENGAN MENGGUNAKAN RADIUS SERVER DAN PROTOKOL EAP-TTLS (STUDI KASUS : SEKOLAH ISLAM FITRAH AL FIKRI DEPOK JAWA BARAT) Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer

Oleh : HADI RAHMAN 105091002797

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2011 M / 1432 H

PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.

Jakarta,

Juni 2011

Hadi Rahman 105091002797

ABSTRAK Hadi Rahman – 105091002797 Implementasi Hotspot Autentication dengan Menggunakan RADIUS SERVER dan Protokol EAP-TTLS Pada Jaringan Wireless Sekolah Islam Fitrah Al Fikri Depok. Dibimbing oleh Victor Amrizal dan Herlino Nanang. Sebagian besar jaringan wireless yang terdapat di berbagai fasilitas umum seperti sekolah, dan instansi yang membutuhkan informasi, terdapat berbagai kendala diantaranya kemanan jaringan. Dan juga pelayanan yang belum teradminstrasi dengan baik. Oleh karena itu penelitian ini bertujuan untuk mengimplementasikan protokol TTLS-MSCHAPv2 sebagai protokol otentikasi pengguna jaringan wireless untuk memudahkan dalam sisi administrasi jaringan. Berdasarkan penelitian didapatkan bahwa TTLS-MSCHAPv2 memberikan tingkat kemanan yang cukup baik tanpa harus mengurangi kinerja yang diperlukan untuk menangani

jumlah pengguna yang cukup banyak serta memudahkan administrator jaringan dalam mengatur infarstruktur jaringan yang ada. Keyword : Extensible Authentication Protocol (EAP), Tunneled Transport Layer Security (TTLS), Microsoft Challenge Handshake Authentication Protocol version 2 (MSCHAPv2), Protokol Otentikasi, Jaringan Wireless. V Bab + xxiii Halaman + 175 Halaman + 58 Gambar + 16 Tabel + 8 Lampiran + Pustaka + Lampiran Pustaka : (21, 1999-2011)

DAFTAR RIWAYAT HIDUP DATA PRIBADI Nama Tempat, Tgl. Lahir Jenis Kelamin Agama Kewarganegaraan Status Alamat KTP Telepon, HP & email

: Hadi Rahman : Jakarta, 11 Februari 1987 : Laki-laki : Islam : Indonesia : Belum Menikah : Jl. M. Kahfi II Rt 03 Rw 05 No. 42 Srengseng Sawah Jagakarsa Jakarta Selatan 12640 : 021-7868930(No. Rumah), 021-95996974 (No. HP)& [email protected] dan [email protected]

IDENTITAS KELUARGA Nama Orang Tua a. Ayah : Djuhana b. Ibu : Nurhasia Pekerjaan Orang Tua a. Ayah b. Ibu

: PURNAWIRAWAN TNI AD : IBU RUMAH TANGGA

LATAR BELAKANG PENDIDIKAN

A. FORMAL 1992-1993 1993-1999 1999-2002 2002-2005 2005-2011

: KB PERTIWI : SD NEGERI SRENGSENG SAWAH 01 : SLTP NEGERI 242 JAKARTA : SMA (MA NEGERI) 13 JAKARTA : UIN SYARIF HIDAYATULLAH JAKARTA

B. NON FORMAL 2002-2002 : Kursus English Training Specialist BBC 2002-2005 : Kursus Keterampilan Elektronika Komputer Madrsah Aliyah Negeri 13 Jakarta 2006-2006 : Seminar Nasional Bersama Kementrian Komunikasi dan Informatika “Strategi dan Tantangan Pengembangan Teknologi Informasi dan Komunikasi beserta Penerapan dalam Dunia Bisnis, Pendidikan, dan Pemerintahan” 2009-2009 : Workshop TIK untuk Proses Pembelajaran” Bersama Dr.Onno W. Purbo. 2010-2010 : Workshop “IT FOR HELP U, HELP ME AND HELP EACH OTHER” 2010-2010 : Workshop Aplikasi IT Pada Sistem Komunikasi Di Sekolah”

PENGALAMAN KERJA -

Praktek Kerja Lapangan Bertempat Universitas Darma Persada Periode : 10 Februari s.d 10 Maret 2009 Penelitian Tugas Akhir Sekolah Islam Fitrah Al Fikri Depok Jawa Barat Periode : 11 Juli s.d Desember 2010 Pengajar Bidang Studi Komputer Sekolah Menengah Pertama Islam Fitrah Al Fikri Depok Jawa Barat Periode : 1 Juli 2009 s.d 1 Juli 2010 Staf Teknik Informasi dan Komunikasi Sekolah Islam Fitrah Al Fikri Depok Jawa Barat Periode : 1 Juli 2010 s.d 1 Juni 2011

KATA PENGANTAR

Segala puji serta syukur kehadirat Allah SWT, atas segala limpahkan rahmat dan hidayah – Nya, hingga penulis dapat menyelesaikan skripsi ini. Penulisan skripsi ini merupakan salah satu syarat dalam menyelesaikan Program Studi Sarjana (S-1) Teknik Informatika Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta. Penulis menyadari bahwa Skripsi ini tidak dapat terlaksana dengan baik apabila tanpa bantuan dari berbagai pihak. Oleh karena itu, perkenankan penulis mengucapkan banyak terima kasih dan rasa syukur terutama kepada : 1. Allah SWT, yang telah memberikan rahmat, nikmat dan kesehatan sehingga penulis dapat menyelesaikan skripsi ini 2. Bapak Dr. Syopiansyah Jaya Putra, M.Sis selaku Dekan Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 5. Bapak Viktor Amrizal, M. Kom, selaku pembimbing pertama skripsi ini, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 6. Bapak Herlino Nanang, M.T, selaku pembimbing kedua, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 7. Kedua Orang Tua serta kedua kakakku. 8. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta.

9. Seluruh teman-teman kelas TI A 2005 yang telah memberikan banyak bantuan sehingga penulis dapat menyelesaikan skripsi ini. 10. Seluruh guru dan karyawan Sekolah Islam Fitrah Al Fikri. 11. Semua pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu. Akhirnya dengan segala keterbatasan dan kekurangan yang ada dalam penulisan skripsi ini, penulis mengucapkan terimakasih yang sebesar-besarnya, semoga skripsi ini dapat bermanfaat bagi semua pihak

Jakarta, Juni 2011

Hadi Rahman

LEMBAR PERSEMBAHAN

Skripsi ini penulis persembahkan kepada beberapa pihak yang telah memberi dukungan baik berupa dukungan moril maupun materil, diantaranya: 1. Terima kaih kepada Kedua Orang Tua atas segala yang telah diberikan dan doa yang telah diberikan 2.

kedua kakakku yang telah memberikan dukungan.

3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 5. Bapak Viktor Amrizal, M. Kom, selaku pembimbing pertama skripsi ini, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 6. Bapak Herlino Nanang, M.T, selaku pembimbing kedua, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 7. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 8. Seluruh teman-teman penulis Ariando, Bily, Dewi, Hadi, Nanang, Zein dan semua sahabat kelas yang telah memberikan banyak bantuan sehingga penulis dapat menyelesaikan skripsi ini. 9. Seluruh guru dan karyawan Sekolah Islam Fitrah Al Fikri. 10. Dan pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu. Semoga Allah membalas semua kebaikan dan ketulusan hati kalian. Amin.

Jakarta, Juni 2011

DAFTAR ISI Halaman HALAMAN SAMPUL ........................................................................

i

HALAMAN JUDUL ............................................................................

ii

LEMBAR PENGESAHAN PEMBIMBING ........................................

iii

LEMBAR PENGESAHAN UJIAN .....................................................

iv

LEMBAR PERNYATAAN …………………………………………. ..

v

LEMBAR ABSTRAK..........................................................................

vi

KATA PENGANTAR..........................................................................

vii

LEMBAR PERSEMBAHAN ...............................................................

ix

DAFTAR ISI .......................................................................................

x

DAFTAR GAMBAR ...........................................................................

xv

DAFTAR TABEL ................................................................................

xviii

DAFTAR LAMPIRAN ........................................................................

xix

DAFTAR ISTILAH ………………………………………………….. .

xx

BAB I

BAB II

PENDAHULUAN 1.1 Latar Belakang ......................................................

1

1.2 Rumusan Masalah...................................................

3

1.3 Batasan Masalah ....................................................

4

1.4 Tujuan Penelitian ....................................................

4

1.5 Manfaat Penelitian ..................................................

4

1.6 Metodologi Penelitian .............................................

5

1.6.1 Metodologi Pengumpulan Data ...................

5

1.6.2 Metode Pengembangan Sistem ....................

6

1.7 Sistematika Penulisan .............................................

6

LANDASAN TEORI 2.1

2.2

Wireless LAN .......................................................

9

2.1.1 Mode Pada Wireless LAN ...........................

9

2.1.2 Komponen Wireless LAN ...........................

11

2.1.3 Badan Standarisasi ......................................

14

2.1.4 Standar Wireless LAN ................................

15

Protokol Kemanan AAA .......................................

17

2.3

2.4

2.2.1 Remote Dial-in User Service (RADIUS) .....

19

2.2.1.1 Format Paket RADIUS ......................

20

2.2.1.2 Tipe Paket RADIUS………………...

22

2.2.1.3 Tahapan Koneksi ……………………

27

2.2.1.4 REALM……………………………..

29

Protokol Otentikasi ..............................................

30

2.3.1 Extensible Authentication Protocol (EAP)...

30

2.3.1.1 EAP Over RADIUS …………………

33

2.3.1.2 EAP Over LAN ……………………..

34

EAP Methods …………………………………… 2.4.1 EAP MD5 ……………………………….....

35 36

2.4.2 EAP TLS………………………………….. .

37

2.4.3 EAP TTLS …………………………………

37

2.5 Secure Socket Layer / Transport Layer Security…. 2.5.1 Protocol SSL Record ……………………… 2.5.2 Protocol SSL Handshake ………………….. 2.5.3 Protocol SSL Alert ………………………...

37 38 39 44

2.5.4 Arsitektur SSL / TLS ………………………

45

2.5.5 Sertifikat Digital …………………………...

46

2.5.6 Enkripsi Public Key ………………………..

49

2.5.7 Kriptografi Simetris ………………………..

49

2.5.8 Kriptografi Asimetris ………………………

51

2.6

2.5.8.1 RSA …………………………………

52

Open System Interconnetion (OSI)………………

53

2.6.1 Pengertian OSI …………………………….

53

2.6.2 Fungsi – fungsi layer OSI…………………..

54

2.7

2.8

BAB III

BAB IV

2.6.3 Komponen Jaringan dan Protokol Layer ….

57

Tools …………………….……………………….

60

2.7.1 freeRADIUS Server………………………..

60

2.7.2 JRADIUS Simulator……………………….

62

Network Develpoment Life Cycle (NDLC)..……

65

2.8.1 Tahapan NDLC …………………………..

65

METODOLOGI PENELITIAN 3.1 Metode Pengumpulan Data .....................................

71

3.1.1 Studi Lapangan / Observasi ...........................

71

3.1.2 Studi Pustaka dan Literatur ...........................

72

3.2 Metode Pengembangan Sistem ...............................

73

3.2.1 Tahapan Analisis...........................................

73

3.2.2 Tahapan Desain ............................................

74

3.2.3 Tahapan Simulasi Prototyping ……………..

74

3.2.4 Tahapan Penerapan (Implementation) …….. .

74

3.2.5 Tahapan Pengawasan (Monitoring) ………. ..

75

3.2.6 Tahapan Pengaturan (Management) ………..

75

3.3 Mekanisme Kerja Penelitian ...................................

75

HASIL DAN PEMBAHASAN 4.1

Perencanaan……………………………………… 77

4.2

Analisa…………………………………………… 78

4.3

4.2.1 Kebutuhan Sistem Kemanan EAP-TTLS ...

78

4.2.2 Komponen-komponen ..............................

80

4.2.3 Mekanisme EAP-TTLS .............................

82

Design (Perancangan)

4.3.1 Perancangan Topologi…………………….

94

4.3.2 Perancangan Sistem ……………………..

97

Simulation Prototyping…………………………

100

4.4.1 Simulasi Kinerja Server AAA………….. .

101

Implementasi……………………………………

105

4.5.1 Instalasi Server RADIUS ………………. .

107

4.5.2 Pembuatan Sertifikat Digital ……………..

107

4.5.3 Konfigurasi Server RADIUS …………… .

108

4.5.4 Konfigurasi Access Point……………….. .

111

4.5.5 Instalasi Sertifikat CA pada Client……….

111

4.5.6 Instalasi Database Server…………………

111

4.5.7 Konfigurasi Database Server …………….

111

4.6

Monitoring (Pengawasan) …………………….. .

112

4.7

Management (Manajemen)……………………..

114

4.4

4.5

BAB V

KESIMPULAN DAN SARAN.......................................

116

5.1

Kesimpulan ........................................................

116

5.2

Saran ...................................................................

117

DAFTAR PUSTAKA ..........................................................................

118

LAMPIRAN ........................................................................................

121

DAFTAR TABEL

Tabel 2.1 Perbandingan Standar Wireless LAN Tabel 2.2 Kode tipe pesan RADIUS Tabel 2.3 Paket Access-Request Tabel 2.4 Paket Access-Accept Tabel 2.5 Paket Access- Reject Tabel 2.6 Paket Access-Challenge Tabel 2.7 Alert Error Message Tabel 2.8 Model OSI

Tabel 3.1 Studi Literatur Tabel 4.1 Perbandingan EAP-TLS dan EAP-TTLS Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat Tabel 4.3 Spesifikasi Software Tabel 4.4 Spesifikasi Hardware Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses Tabel 4.6 Alamat IP Jaringan Wireless SIF AL Fikri Depok

DAFTAR GAMBAR

Gambar 2.1 Mode Jaringan Ad-Hoc Gambar 2.2 Model Jaringan Infrastruktur Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan. Gambar 2.4 Multiple Access Point dan Roaming Gambar 2.5 Penggunaan Extension Point Gambar 2.6 Format paket RADIUS Gambar 2.7. Paket Access-Request Gambar 2.8 Paket Access- Accept

Gambar 2.9 Paket Access- Reject Gambar 2.10 Paket Access- Challenge Gambar 2.11. Proses Pembentukan koneksi protokol RADIUS Gambar 2.12 Proses komunikasi protokol EAP antara supplicant, NAS dan authentication server Gambar 2.13 Komponen EAP Gambar 2.14 Skema port based authentication Gambar 2.15 Konversi pesan EAP dan pesan RADIUS Gambar 2.16. Format paket EAPOL Gambar 2.17 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS Gambar 2.18 Format SSL Record Gambar 2.19 Handshake Protocol Gambar 2.20 Arsitektur Protokol SSL Gambar 2.21 Peran CA dalam penerbitan sertifikat Gambar 2.22 Format X.509 Gambar 2.23 Kriptografi Simetris Gambar 2.24 Kriptografi asimetris Gambar 2.25 Log pada JRadius Gambar 2.26 Konfigurasi Sertifikat Client Gambar 2.27 Konfigurasi Attribute pada JRadius Gambar 2.28 Set up JRadius untuk dijalankan Gambar 2.29. NDLC Gambar 3.1 Siklus Network Development Life Cycle Gambar 3.2 Mekanisme Kerja Penelitian Gambar 4.1 Proses Otentikasi TTLS MSCHAPv2

Gambar 4.2 Capture paket EAP Response Identity Gambar 4.3 Capture Paket EAP Request-TLS start Gambar 4.4 Capture Paket Hello-TLS client Gambar 4.5 Capture Paket EAP Request Sertifikat Server Gambar 4.6 Capture Paket EAP Response-Client Key Exchange Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS complete Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2 Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2 Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success Gambar 4.13 Capture Paket EAP response/EAP-ms-chap v2 ack Gambar 4.14 Capture Paket EAP Success Gambar 4.15 Perancangan Topologi TTLS Gambar 4.16 Topologi Jaringan Wireless Sekolah Islam Al Fikri Gambar 4.17 Perancangan Sistem TTLS Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS, shared secret, dan authentication protocol Gambar 4.19 Setting Atribut Username dan Password Gambar 4.20 Hasil Simulasi Jradius Simulator Gambar 4.21 tampilan input username dan password pada sisi client windows 7 Gambar 4.22 tampilan input username dan password pada sisi client windows XP Gambar 4.23 tampilan input username dan password pada sisi client Ubuntu 10.10 desktop Gambar 4.24 mode debug freeRADIUS Gambar 4.25 Konfigurasi database dengan phpmyadmin

Gambar 4.26 Perbandingan Performa Server berdasarkan jumlah request otentikasi Gambar 4.27 Jumlah paket authentication request Gambar 4.28 Jumlah paket accounting request Gambar 4.29 manajemen akun pengguna Gambar 4.30 manajemen access point

DAFTAR LAMPIRAN Halaman Lampiran 1. Instalasi FreeRADIUS Server …………………………….... 121 Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server ……

126

Lampiran 3. Konfigurasi eap.conf ………………………………………. 133 Lampiran 4. Konfigurasi clients.conf …………………………………… 157 Lampiran 5. Konfigurasi pada File Users ……………………………….

167

Lampiran 6. Konfigurasi Access Point ………………………………….

175

Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien……

176

Lampiran 8 Wawancara dengan Staff IT Sekolah SIF Al Fikri…………

178

Lampiran 9 Pengujian Monitoring Secara Simulasi …………………….

180

DAFTAR ISTILAH Istilah Access read Account Active directory (AD)

Analysis

Anywhere access Application Programming Interface (API) Automatic teller machine (ATM)

Backend Backup Biometric

Blackbox

Browser

Arti Kemampuan untuk membaca file / berkas Representasi seorang pengguna Layanan direktori yang dimiliki oleh system operasi jaringan Microsof Windows 2000, Windows Server 2003 terdiri atas basis data dan juga layanan direktori. Suatu fase pada model pengembangan sistem diamana biasanya dilakukan proses perumusan masalah, identifikasi dan perbandingan terhadap komponen. Dapat diakses dimanapun Sekumpulan perintah, fungsi, dan protokol yang dapat digunakan oleh programmer saat membangun perangkat lunak untuk sistem operasi tertentu. Sebuah alat elektronik yang mengijinkan nasabah bank untuk mengambil uang dan mengecek rekening tabungan mereka tanpa perlu dilayani oleh seorang teller (manusia) Istilah umum yang mengacu pada tahap akhir dari sebuah proses Penyimpanan cadangan Meliputi metode untuk mengenali manusia secara unik berdasarkan satu atau lebih ciri-ciri fisik atau perilaku intrinsic Deskripsi penggunaan software termasuk spesifikasi, requirement, dan desain untuk pengujian. Pengujian (test) ini bias menjadi fungsional atau non-fungsional Antarmuka antara pemakai dan World Wide Web

Built-in cache proxy

Central Processing Unit (CPU) Certificate

Client

common name Common Internet File System (CIFS)

Community Enterprise OS Console

Container Copyleft

Copyright

Cost Design Device Directory service Distinguish Name (DN) Domain controller

yang menginterpretasikan hypertext link dan digunakan untuk melihat dan memandu dari simpul internet satu ke yang lain. Suatu produk yang di dalamnya sudah tergabung beberpa program atau produk sekaligus Menyimpan informasi (halaman, grafik, suara, URL) dari situs sehingga informasi tersebut dapat diperoleh dengan cepat. Perangkat keras komputer yang memahami dan melaksanakan perintah dan data dari perangkat lunak Dokumen elektronik yang menggunakan tanda tangan digital untuk mengikat kunci publik dengan informasi identitas seperti nama orang atau organisasi, alamat, dan sebagainya. Pada jaringan, client adalah suatu program aplikasi yang memungkinkan pengguna mengakses layanan dari computer server Atribut wajib dari suatu direktori digunakan untuk penamaan atribut Sebuah implementasi dari protokol berbagi berkas/file-sharing Server Message Block (SMB) yang telah diusulkan agar menjadi standar Internet (statusnya saat ini masih menjadi draft), sehingga dapat diperoleh secara mudah Komunitas skala perusahaan Mengacu kepada terminal yang terpasang pada minicomputer atau mainframe dan digunakan sebagai interface ke suatu system operasi serta memonitor status system. Wadah atau nama lain dari direktori Praktik penggunaan undang-undang hak cipta untuk meniadakan larangan dalam pendistribusian salinan dan versi yang telah dimodifikasi dari suatu karya kepada orang lain dan mengharuskan kebebasan yang sama diterapkan dalam versi-versi selanjutnya kemudian. Adalah hak eksklusif Pencipta atau Pemegang Hak Cipta untuk mengatur penggunaan hasil penuangan gagasan atau informasi tertentu. Salah satu fakor non-teknis ISO 9126 Perencanaan yang meletakkan dasar untuk pembuatan setiap objek atau sistem Perangkat keras komputer Layanan direktori Tanda pengenal yang unik untuk suatu entri pada LDAP Merupakan pusat dari sebuah domain yang

Domain Name System (DNS)

Domain server Download

Entry File Server

File Transfer Protocol (FTP) Free Software Foundation (FSF) Functionality Gateway

Generic Security Services Application Program Interface (GSSAPI) Graphical User Interface (GUI) Groupware

Hardware

Host

Implementation Inetd International Organization for Standardization (ISO) Interoperability

menyimpan informasi-informasi Sebuah sistem yang menyimpan informasi tentang nama host maupun nama domain dalam bentuk basis data tersebar (distributed database) di dalam jaringan komputer Server domain Transfer data melalui jalur komunikasi digital dari sistem yang lebih besar atau pusat (server) ke sistem yang lebih kecil (client). Unit dasar dari direktori Komputer yang didedikasikan untuk menyimpan file dalam suatu lokasi terpusat selama diizinkan untuk mengakses ke komputer-komputer di dalam jaringan Salah satu protokol yang paling populer pada jaringan internet (berbasis TCP/IP) yang digunakan untuk kepentingan proses transfer file Organisasi nirlaba dan merupakan sponsor utama dari proyek GNU Funsionalitas, berhubungan dengan kesesuaian dari fungsi perangkat lunak Hardware atau software yang menjembatani dua aplikasi atau jaringan yang tidak kompatibel, sehingga data dapat ditransfer antar komputer Aplikasi interface pemrograman untuk program untuk mengakses layanan keamanan Metoda interaksi secara grafis antara pengguna dan computer Software yang dirancang untuk membantu orang yang umumnya menyangkut dalam tugas untuk mencapai tujuan mereka Perangkat keras mengacu kepada objek memungkinkan untuk disentuh seperti disket, disk drive , monitor, keyboard, dan lain-lain Sistem komputer yang diakses oleh pengguna yang bekerja pada lokasi yang jauh. Istilah host juga digunakan untuk menyebut komputer yang terhubung dengan jaringan TCP/IP, termasuk internet. Setiap host memiliki IP yang unik Implementasi Layanan server pada kebanyakan sistem Unix untuk mengatur layanan internet Badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standardisasi nasional setiap Negara Kemampuan sistem dapat berinteraksi dengan sistem lain

ip virtual

Alamat IP yang tidak terhubung ke komputer tertentu atau kartu antarmuka jaringan (NIC) pada komputer. Paket masuk akan dikirim ke alamat IP virtual, tapi semua perjalanan paket melalui antarmuka jaringan real / nyata. LDAP Account Manager Tampilan halaman depan web untuk mengatur (LAM) berbagai tipe account direktori LDAP Lightweight Directory Suatu protokol jaringan kelas ringan yang Access Protocol (LDAP) digunakan untuk mengakses direktori. Pengertian direktori disini adalah sekumpulan informasi yang disusun berdasarkan hirarki tertentu Local Area Network Network yang masing-masing node terpisah dalam (LAN) jarak yang lokal dan menggunakan link berupa jalur transmisi kabel. logical volume groups Gabungan dari pysical volumes yang menjadi satu logical volumes. Pembagian partisi dari logical volume groups, dimana difefinisikan dengan masing – masing mount point partisi yang dibutuhkan, misalkan / , /home, swap, /var dan lainnya, filesystem-nya bisa ext2 atau ext3 Mail server Server email Manageability Dapat dikelola Management Pengelolaan / pengaturan Minimum requirmen Kebutuhan / persyaratan minimum Monitoring Salah satu tahap dalam metode pengembagan NDLC. Didalamnya terdapat testing dan monitoring Mozilla Public License Merupakan suatu lisensi perangkat lunak bebas dan sumber terbuka Multitasking Suatu sistem operasi yang dapat menjalankan beberapa tugas sekaligus secara bersamaan Multiuser Suatu system operasi yang dapat digunakan beberapa user sekaligus secara bersamaan Network Information Sebuah protokol yang digunakan untuk menamai Service (NIS) dan menawarkan layanan direktori dalam beberapa platform UNIX Network Development Life Metode pengembangan sistem Cycle (NDLC) Network security Kemanan jaringan Open source Perangkat lunak sumber terbuka Open Source Edition Zimbra versi open source (free) Packet sniffing Perangkat lunak komputer atau perangkat keras komputer yang dapat mencegat dan log lalu lintas melewati jaringan digital atau bagian dari jaringan Password Kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sebuah sistem operasi yang mendukung banyak pengguna (multiuser) untuk memverifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut

Performance physical volumes Random Access Memory (RAM)

Kinerja Kapasitas fisik dari hardisk Sebuah tipe penyimpanan komputer yang isinya dapat diakses dalam waktu yang tetap tidak memperdulikan letak data tersebut dalam memori Redundant Array of Sebuah teknologi di dalam penyimpanan data Independent Disks (RAID) komputer yang digunakan untuk mengimplementasikan fitur toleransi kesalahan pada media penyimpanan komputer (utamanya adalah hard disk) dengan menggunakan cara redundansi (penumpukan) data, baik itu dengan menggunakan perangkat lunak, maupun unit perangkat keras RAID terpisah Request Perminataan Request for Comments Salah satu dari seri dokumen infomasi dan standar (RFC) Internet bernomor yang diikuti secara luas oleh perangkat lunak untuk digunakan dalam jaringan, Internet dan beberapa sistem operasi jaringan, mulai dari Unix, Windows, dan Novell NetWare Resource Sumber daya Server Message Block Istilah dalam teknologi informasi yang mengacu (SMB) kepada protokol client/server yang ditujukan sebagai layanan untuk berbagi berkas (file sharing) di dalam sebuah jaringan Simple Authentication and Framework untuk otentikasi dan keamanan data Security Layer (SASL) dalam Internet Protocols. Task Tugas Tools Alat Transport Layer Security Merupakan kelanjutan dari protokol kriptografi (TLS) yang menyediakan komunikasi yang aman di Internet Ttrusted server Server terpercaya User Pengguna. Biasanya ditujukan kepada pengguna suatu system yang umumnya adalah manusia. Misalnya pengguna computer User account Nama pengguna. Biasanya ditujukan kepada pengguna suatu system yang umumnya adalah manusia web caching Caching dokumen web (misalnya, halaman HTML, gambar) untuk mengurangi penggunaan bandwidth, server load, dan menanggapi ketidak lancaran Wide Area Network Network yang masing-masing node terletak di (WAN) lokasi yang berjauhan satu dengan yang lainnya dan menggunakan link berupa jalur transmisi jarak jauh Workgroups Istilah Microsoft untuk jaringan peer-to-peer komputer Windows X Window System Sistim grafis dan windowing bagi sistem operasi UNIX dan system operasi mirip UNIX yang dikembangkan di Massachusetts Institute of

Technology (MIT) sejak tahun 1984

BAB I

PENDAHULUAN

1.1 Latar Belakang Salah satu perubahan utama di bidang telekomunikasi adalah penggunaan teknologi wireless. Teknologi wireless juga diterapkan pada jaringan komputer, yang lebih dikenal dengan wireless LAN (WLAN). Kemudahan-kemudahan yang ditawarkan wireless LAN menjadi daya tarik tersendiri bagi para pengguna komputer menggunakan teknologi ini untuk

mengakses suatu jaringan komputer atau internet. Beberapa tahun terakhir ini pengguna wireless LAN mengalami peningkatan yang pesat. Dengan Hotspot kita bisa menikmati akses internet dimanapun kita berada selama di area Hotspot tanpa harus menggunakan kabel. Di lingkungan sekolah sendiri dengan adanya layanan Hotspot inilah yang nanti diharapkan akan mempercepat akses informasi bagi siswa, khususnya di dunia pendidikan yang mana diketahui sebagai barometer kemajuan teknologi informasi. Sekolah Islam Fitrah Al Fikri Depok (disingkat SIF Al Fikri) saat ini memiliki kapasitas bandwidth internet 1 Mbps. SIF Al Fikri saat ini juga sudah menyediakan layanan Hotspot yaitu sebuah area dimana pada area tersebut tersedia koneksi internet Wireless yang dapat diakses melalui Notebook, PDA maupun perangkat lainnya yang mendukung teknologi tersebut. Hotspot tersebut disediakan bagi guru, dan siswa untuk mengakses internet. Hotspot di SIF Al Fikri terdapat beberapa titik area jangkauan yaitu di Gedung Ibnu Sina dan Gedung Ibnu Kholdun. Pengguna jaringan wireless sebagain besar adalah guru dan siswa dengan kurang lebih 30 pengguna. Oleh karena itu penulis menganalisa bahwa dari kurang lebih 30 pengguna jaringan wireless dan tanpa menggunakan pengamanan wireless dan pembatasan akses ke dalam jaringan wireless dan juga tdak terdeteksi oleh pihak admistrator jaringan. Sebelum penelitian penulis melakukan wawancara pada pihak administrator jaringan (lampiran 8). kemudian penulis melakukan analisa dengan pendekatan literatur yang ada yaitu dengan protokol EAP-TLS (Ali Mahrudi 2006) dan Protokol PEAP (Muhammad Arief Faruqi 2010). Pada penulisan Ali Mahrudi 2006 menekankan pada sisi keamanan jaringan wireless, tetapi pada sisi implementasinya tidak efisien, dikarenakan ada sertifikat digital yang harus dilengkapi dari sisi klien dan server. Tetapi Muhammad Arief Faruqi memperbaiki dengan memasukan protokol PEAP pada penelitiannya. keunggulan dari protokol ini menggunakan sertifikat digital pada sisi administrator, sedangkan pada sisi klien

hanya menggunakan username dan password. kemudian penulis menganalisa dari kedua referensi diatas bahwa protokol yang sama implementasinya yaitu protokol EAP-TTLS, karena penulis melihat bahwa dari segi implementasi PEAP dan EAP-TTLS sama hanya saja yang membedakan adalah vendor atau distributor. EAP-TTLS dirancang untuk memberikan kemudahan implementasi otentikasi protokol EAP yang berbasis sertifikat digital. Implementasi EAP-TTLS hanya memerlukan sertifikat digital pada sisi authentication server, sedangkan sertifikat digital pada sisi wireless klien akan digantikan dengan menggunakan kombinasi username dan password. Penggunaan kombinasi username dan password untuk menggantikan sertifikat digital juga dapat meningkatkan mobilitas pengguna, karena pengguna tidak dibatasi pada perangkat tertentu. Sehingga untuk kondisi jaringan yang ada di SIF Al Fikri sesuai dengan data yang tertera diatas maka untuk proses authentikasi yang cocok adalah menggunakan protokol EAP-TTLS dan proses impelementasinya dilakukan pada penelitian tugas akhir ini dengan judul: “IMPLEMENTASI HOTSPOT AUTHENTICATION DENGAN MENGGUNAKAN RADIUS SERVER DAN PROTOKOL EAP-TTLS PADA JARINGAN WIRELESS SEKOLAH ISLAM FITRAH AL FIKRI DEPOK”. Diharapkan hasil penelitian ini dapat meningkatkan Quality of Service pada jaringan wireless di Sekolah Islam Fitrah Al Fikri Depok.

1.2 Rumusan Masalah Dalam penulisan skripsi ini, saya mencoba memaparkan beberapa permasalahan yang kemudian diusahakan untuk mendapatkan solusi pemecahannya. Beberapa masalah tersebut antara lain : 1. Bagaimana penerapan protokol EAP-TTLS untuk menangani proses otentikasi 30

pengguna jaringan wireless pada Sekolah Islam Fitrah Al Fikri Depok Jawa Barat.

2. Bagaimana Penerapan RADIUS Server pada jaringan wireless Sekolah Islam

Fitrah Al Fikri Depok Jawa Barat.

1.3 Batasan Masalah Untuk penulisan skripsi ini, penulis membatasi masalah dalam hal sebagai berikut: 1. Implementasi Otentikasi Hotspot 2. Protokol AAA yang yang digunakan untuk menangani proses otentikasi Terpusat (RADIUS) 3. Informasi pengguna berupa kombinasi username dan password akan disimpan dalam suatu database terpusat Database Terpusat 1.4 Tujuan Penelitian Tujuan dari penelitian ini adalah : 1. menerapkan autentifikasi server pada jaringan Wireless LAN (Hotspot) menggunakan Sistem operasi Linux, FreeRADIUS, Protokol EAP-TTLS dan DaloRadius, untuk autentifikasi dan identifikasi pengguna Hotspot di SIF Al Fikri. 2. administrator mempunyai media dalam memantau dan mengontrol user-user yang terhubung ke jaringan wireless

1.5 Manfaat Penelitian Manfaat yang diambil dari Skripsi ini adalah : 1. Hasil penelitian diharapkan dapat memberi manfaat bagi siapa saja yang ingin membangun infrastruktur jaringan hotspot dengan tingkat keamanan yang tinggi dan mudah untuk diimplementasikan.

2. Bagi Sekolah Islam Fitrah Al FIkri, hasil penelitian dapat digunakan menjadi bahan pertimbangan untuk diimplementasikan pada infrastruktur jaringan hotspot yang telah ada saat ini. Sehingga dapat memberikan layanan yang lebih bermutu. 3. Bagi penulis, dapat mempelajari, memahami dan menerapkan otentikasi hotspot dengan RADIUS dan penerapannya pada layanan AAA. Mempermudah dalam memanagement dan memonitoring user dalam jaringan wireless LAN. Berbasis open source sehingga dapat mengurangi ketergantungan pada software berbayar karena tidak perlu membeli lisensi. 4. Manfaat umum yaitu dapat digunakan sebagai acuan dalam penelitian berikutnya.

1.6 Metodologi Penelitian Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. 1.6.1 Metode Pengumpulan data Merupakan metode yang digunakan penulis dalam melakukan analisis data dan menjadikannya informasi yang akan digunakan untuk mengetahui permasalahan yang dihadapi.

1. Studi Lapangan Metode pengumpulan data dengan melakukan observasi dan melakukan wawancara untuk memperoleh keterangan untuk tujuan penelitian. 2. Studi Kepustakaan dan literatur Metode pengumpulan data melalui buku, jurnal, skripsi, dan laporan penelitian yang relevan serta mencari data di internet yang dijadikan acuan dalam penelitian yang dilakukan.

1.6.2 Metode Pengembangan sistem Metode pengembangan sistem yang digunakan dalam penelitian ini adalah metode pengembangan sistem Network Development Life Cycle (NDLC). siklus ini terdiri dari beberapa tahapan, yaitu : 1. Analisis 2. Desain (Perancangan) 3. Simulasi prototipe 4. Implementasi (Penerapan) 5. Monitoring 6. Manajemen

1.7 Sistematika Penulisan Dalam penyusunan tugas akhir ini, penulis menyajikan dalam 5 bab yang dijabarkan sebagai berikut : BAB I

PENDAHULUAN Bab ini membahas tentang latar belakang, perumusan masalah, batasan masalah, metodologi penelitian, tujuan dan manfaat penelitian dan sistematika penulisan pada penelitian ini.

BAB II

LANDASAN TEORI Bab ini menjelaskan teori-teori

yang digunakan sebagai landasan

dalam penelitian, seperti teori jaringan nirkabel, keamanan jaringan nirkabel, otentikasi, RADIUS. BAB III

METODOLOGI PENELITIAN Bab ini akan menjelaskan tentang tahapan-tahapan yang dilakukan dalam

melaksanakan

penelitian

ini.

Dalam

hal

ini

penulis

menggunakan

metodologi

penelitian

NDLC

atau

Network

Development Life Cycle. BAB IV

ANALISIS DAN IMPLEMENTASI Bab ini berisi analisis terhadap kebutuhan sistem, perancangan serta implementasi protokol otentikasi jaringan wireless pada Sekolah Islam Fitrah Al Fikri.

BAB V

KESIMPULAN DAN SARAN Bab ini merupakan bab penutup yang berisi kesimpulan serta saran yang dapat membantu pengembangan sistem ini di masa yang akan datang.

BAB II LANDASAN TEORI 2.1

Wireless LAN Wireless (jaringan nirkabel) menggunakan gelombang radio (RF) atau gelombang

mikro untuk membentuk kanal komunikasi antar komputer. Jaringan nirkabel adalah alternatif yang lebih modern terhadap jaringan kabel yang bergantung pada kabel tembaga dan serat optik antar jaringan. LAN atau Local Area Network merupakan jaringan komputer yang meliputi suatu area geografis yang relatif kecil (dalam satu lantai atau gedung). LAN dicirikan dengan kecepatan data yang relatif tinggi dan kecepatan error yang relatif rendah. (Kamus Lengkap Jaringan Komputer, 2004). 2.1.1 Mode pada Wireless LAN

WLAN sebenarnya memiliki kesamaan dengan jaringan LAN, akan tetapi setiap node pada WLAN menggunakan wireless device untuk berhubungan dengan jaringan. Node pada WLAN menggunakan channel frekuensi yang sama dan SSID yang menunjukkan identitas dari wireless device. Tidak seperti jaringan kabel, jaringan wireless memiliki dua mode yang dapat digunakan, yaitu:

a. Model Ad-Hoc Model ad-hoc merupakan mode jaringan nirkabel yang sangat sederhana, karena pada mode ini tidak memerlukan access point untuk host dapat saling berkomunikasi. Setiap host cukup memiliki transmitter dan reciever wireless untuk berkomunikasi secara langsung satu sama lain seperti tampak pada gambar 2.1. Kekurangan dari mode ini adalah komputer tidak bisa berkomunikasi dengan komputer pada jaringan yang menggunakan kabel. Selain itu, daerah jangkauan pada mode ini terbatas pada jarak antara kedua komputer tersebut.

Gambar 2.1 Mode Jaringan Ad-Hoc Sumber : http://oc.its.ac.id/ambilfile.php?idp=153

b. Model Infrastruktur Jika komputer pada jaringan wireless ingin mengakses jaringan kabel atau berbagi printer misalnya, maka jaringan wireless tersebut harus menggunakan mode

infrastruktur (gambar 2.2). Pada mode infrastruktur access point berfungsi untuk melayani komunikasi utama pada jaringan wireless. Access point mentransmisikan data pada PC dengan jangkauan tertentu pada suatu daerah. Penambahan dan pengaturan letak access point dapat memperluas jangkauan dari WLAN.

Gambar 2.2 Model Jaringan Infrastruktur Sumber : http://oc.its.ac.id/ambilfile.php?idp=153 2.1.2 Komponen Wireless LAN Dalam membangun sebuah jaringan WLAN, maka diperlukan beberapa perangkat keras agar komunikasi antara station dapat dilakukan. Secara umum, komponen wireless LAN terdiri atas perangkat berikut :

1) Access Point (AP) Pada wireless LAN, device transceiver disebut sebagai access point (AP), dan terhubung dengan jaringan (LAN) melalui kabel. Fungsi dari AP adalah mengirim dan menerima data, serta berfungsi sebagai buffer data antara wireless LAN dengan wired LAN. Satu AP dapat melayani sejumlah user (beberapa literatur menyatakan bahwa satu AP maksimal meng-handle sampai 30 user). Karena dengan semakin

banyak nya user terhubung ke AP maka kecepatan yang diperoleh tiap user juga akan semakin berkurang.

Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan. Sumber : http://www.hp.com/sbso/wireless/setup_wireless_network.html Bila AP dipasang lebih dari satu dan coverage tiap AP saling overlap, maka user/client dapat melakukan roaming. Roaming adalah kemampuan client untuk berpindah tanpa kehilangan koneksi dan tetap terhubung dengan jaringan.

Gambar 2.4 Multiple Access Point dan Roaming Sumber : http://ilmukomputer.org/2008/11/26/konsep-dasar-wlan/

2) Extension Point

Hanya berfungsi layaknya repeater untuk client ditempat yang jauh. Syarat dari AP yang digunakan sebagai extension point ini adalah terkait dengan channel frekuensi yang digunakan. Antara AP induk (yang terhubung langsung dengan backbone) dan AP repeater-nya harus memiliki frekuensi yang sama.

Gambar 2.5 Penggunaan Extension Point

Sumber : http://library.thinkquest.org/04oct/01721/wireless/faq.htm

3) Antena Digunakan untuk memperkuat daya pancar. Terdapat beberapa tipe antena yang dapat mendukung dalam implementasi wireless LAN. Ada yang tipe omni, sectorized serta directional.

4) Wireless LAN Card

WLAN card dapat berupa PCMCIA, USB card atau Ethernet card dan sekarang banyak dijumpai sudah embedded di terminal (notebook maupun HP). Biasa nya PCMCIA digunakan untuk notebook sedangkan yang lain nya digunakan untuk komputer desktop. WLAN card berfungsi sebagai interface antara sistem operasi jaringan client dengan format interface udara ke AP. (Gunadi, 2009) 2.1.3 Badan Standarisasi a. Federal Communication Commission (FCC) Federal Communiation Commission (FCC) adalah sebuah perwakilan independen dari pemerintah Amerika Serikat, didirikan oleh Communication Act pada tahun 1943.

FCC berhubungan dengan peraturan dibidang komunikasi

yang

menggunakan radio, televisi, wire, satelit, dan kabel baik di wilayah Amerika sendiri maupun untuk international. FCC membuat peraturan yang didalamnya berisi perangkat perangkat wireless LAN mana yang dapat beroperasi. FCC menentukan pada spectrum frequency radio yang mana wireless LAN dapat berjalan dan seberapa besar power yang dibutuhkan, teknologi transmisi mana yang digunakan, serta bagaimana dan dimana berbagai jenis hardware wireless LAN dapat digunakan. b. Internet Engineering Task Force (IETF) IETF adalah komunitas terbuka, yang anggota anggota nya terdiri atas para peneliti,

vendor,

dan

perancangan

jaringan.

Tujuan

IETF

adalah

mengkoordinasikan pegoperasian, pengelolaan, dan evolusi internet, dan memecahkan persoalan arsitektural dan protokol tingkat menengah. IETF mengadakan pertemuan tiga kali setahun dan laporan hasil pertemuan pertemuan itu secara lengkap termasuk kedalam IETF proceedings. c. Institute of Electrical and Electronics Engineers (IEEE)

Institute of Electrical and Electronics Engineers (IEEE) adalah pembuat kunci standar dari hampir semua hal yang berhubungan dengan teknologi dan informasi di Amerika Serikat. IEEE membuat standar dengan peraturan yang telah ditetapkan oleh FCC. IEEE telah menspesifikasikan begitu banyak standar teknologi. Seperti Public Key cryptography (IEEE 1363), Ethernet (IEEE 802.3), dan untuk Wireless LAN dengan standar IEEE 802.11. (Gunadi, 2009) 2.1.4 Standar Wireless LAN Standar yang lazim digunakan untuk WLAN adalah 802.11 yang ditetapkan oleh IEEE pada akhir tahun 1990. standar 802.11 kemudian dibagi menjadi tiga jenis, yaitu : a. IEEE 802.11a Menggunakan teknik modulasi Orthogonal Frequency Division Multiplexing (OFDM) dan berjalan pada frekuensi 5 GHz dengan kecepatan transfer data mencapai 54 Mbps. Kelebihan dari standar ini adalah kecepatan transfer data yang lebih tinggi dan lebih kecil potensi terjadinya interferensi dari perangkat nirkabel lainnya karena frekuensi ini jarang digunakan. Kelemahannya antara lain membutuhkan biaya yang lebih besar, jarak jangkaun lebih pendek karena frekuensi tinggi dan juga dapat menyebabkan sinyal mudah diserap oleh benda penghalang seperti tembok. b. IEEE 802.11b Menggunakan teknik modulasi direct sequence spread sprectrum (DSSS) dan berjalan pada pita frekuensi 2,4 Ghz dengan kecepatan transfer 11 Mbps. Kelebihan dari standar ini adalah biaya implementasi yang lebih sedikit dan jarak jangkauan yang lebih baik. Kelemahannya adalah kecepatan transfer yang lebih lambat dan rentan terhadap interferensi karena frekuansi 2,4 GHz juga banyak digunakan oleh perangkat lainnya.

c. IEEE 802.11g Menggunakan teknik modulasi OFDM dan DSSS sehingga memiliki karakteristik dari kedua standar 802.11b dan 802.11a. Standar ini bekerja pada frekuensi 2.4 GHz dengan kecepatan transfer data mencapai 54 Mbps tergantung dari jenis modulasi yang digunakan. Kelebihan dari standar ini adalah kecepatan transfer data yang tinggi (menyamai standar 802.11a), jarak jangkauan yang cukup jauh dan lebih tahan terhadap penyerapan oleh material tertentu karena bekerja pada frekuensi 2,4 GHz. Kelemahannya adalah rentan terhadap interferensi dari perangkat nirkabel lainya. (Gunadi, 2009) Secara umum perbandingan diantara standar WLAN yang dimaksud dapat dijabarkan seperti pada table 2.1 berikut : Tabel 2.1 Perbandingan Standar Wireless LAN Sumber : (Gunadi, 2009 ) 802.11b Standard approved Maximum data rate

July 1999

802.11a July 1999

802.11g

802.11n

June 2003

Not yet ratified

11 Mbps

54 Mbps

54 Mbps

600 Mbps

Modulation

DSSS or CCK

OFDM

DSSS or CCK or OFDM

DSSS or CCK or OFDM

RF band

2,4 GHz

5 GHz

2,4 GHz

2,4 GHz or 5 GHz

1

1

1, 2, 3, or 4

20 MHz

20 MHz

20 MHz or 40 MHz

802.11 a

802.11 b/g

802.11 b/g/n

Number of 1 spatial streams Channel 20 MHz width Compatible 802.11 b with …

2.2 Protokol Keamanan AAA Menurut Jonathan Hassel (2002) Konsep kerja server otentikasi dikenal dengan AAA (authentication, authorization, and accounting). Yang terdiri dari Otentikasi,

Otorisasi, dan Pendaftaran akun pengguna. Konsep

AAA mempunyai fungsi yang

berfokus pada tiga aspek dalam kontrol akses user, yaitu : a.

Authentication Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID / username dan password. jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan masuk dan sebaliknya.

b.

Authorization Otorisasi melibatkan penggunaan seperangkat aturan - aturan yang berlaku untuk memutuskan aktifitas apa saja yang dizinkan dalam sistem atau sumber daya jaringan tertentu untuk

pengguna yang

terotentikasi.

Proses Authorization merupakan

lanjutan dari proses Authentication. Proses Authorization dapat dianalogikan sebagai berikut: jika anda sudah mengizinkan tamu untuk masuk kerumah anda, tentu anda mempunyai aturan – aturan yang ditempel di dinding rumah anda, misalnya tamu hanya boleh masuk sampai dengan ruang tamu. Dengan aturan seperti ini tentu akan memudahkan seseorang untuk melakukan kontrol terhadap sumber daya jaringan tertentu. c. Accounting Proses Accounting merupakan proses dimana terdapat proses pencatatan berapa lama seorang pengguna sudah terkoneksi (waktu mulai / waktu stop) yang telah dilakukan selama pemakaian. Data dan informasi ini sangat berguna baik untuk pengguna

maupun administrator, biasanya laporan ini digunakan untuk melakukan auditing, membuat laporan pemakaian, membaca karakteristik jaringan, dan pembuatan billing tagihan. jadi pada intinya proses accounting berguna untuk mengetahui apa saja yang dilakukan oleh client dan service apa saja yang dilakukan oleh client. analogi sederhananya adalah mesin absensi dikantor, ia akan mencatat waktu datang dan waktu pulang, dengan demikian petugas dapat memonitoring karyawan dengan mudah. (Jonathan Hassel, 2002). 2.2.1 Remote Authentication Dial-In User Service (RADIUS) RADIUS merupakan singkatan dari Remote Acces Dial in User Service. Pertama kali di kembangkan oleh Livingston Enterprises. Merupakan network protokol keamanan komputer yang digunakan untuk membuat manajemen akses secara terkontrol pada sebuah jaringan yang besar. RADIUS didefinisikan di dalam RFC 2865 dan RFC 2866. RADIUS

biasa digunakan oleh perusahaan untuk

mengatur akses ke internet bagi client. RADIUS melakukan otentikasi, otorisasi, dan pendaftaran akun pengguna secara terpusat untuk mengakses sumber daya jaringan. Sehingga memastikan bahwa pengguna yang mengakses jaringan adalah pengguna yang sah. RADIUS berstandar IEEE 802.1x. Sering disebut “port based authentication”. RADIUS merupakan protokol client – server yang berada pada layer aplikasi pada OSI layer. Dengan protokol transport berbasis UDP. (Jonathan Hassel, 2002). 2.2.1.1 Format Paket RADIUS Protokol RADIUS menggunakan paket UDP untuk melewati transmisi antara client dan server. Protokol tersebut akan berkomunikasi pada port 1812. Berikut struktur paket RADIUS :

Gambar 2.6 Format paket RADIUS Format paket data RADIUS pada gambar 2.4 terdiri dari lima bagian, yaitu: 1. Code : memiliki panjang satu oktet, digunakan untuk membedakan tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal) dapat dilihat pada tabel 2.2 Tabel 2.2 Kode tipe pesan RADIUS Kode Tipe pesan RADIUS 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved

2. Identifier : Memiliki panjang satu oktet, bertujuan untuk

mencocokkan

permintaan. 3. Length : Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket. 4. Authenticator : Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password. 5. Attributes : Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat membawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, alamat IP access point (AP), pesan balasan. Tujuan

standar 802.1x IEEE adalah untuk menghasilkan kontrol akses, autentikasi, dan manajemen kunci untuk wireless LAN. Standar ini berdasarkan pada Internet Engineering Task Force (IETF) Extensible Authentication Protocol (EAP), yang ditetapkan dalam RFC 2284. 2.2.1.2 Tipe Paket Pesan RADIUS Ada empat jenis paket pesan RADIUS yang relevan dengan otentikasi dan otorisasi pada fase transaksi AAA yaitu : 1. Access-Request Paket Access-Request digunakan oleh layanan konsumen ketika meminta layanan tertentu dari jaringan. Client mengirimkan paket request ke RADIUS server dengan daftar layanan yang diminta. Faktor kunci dalam transmisi ini adalah kolom kode pada header paket, dimana header paket tersebut harus di set dengan nilai 1, yang merupakan nilai unik pada paket permintaan. RFC menyatakan bahwa balasan harus dikirimkan ke semua paket permintaan yang valid, apakah jawabannya adalah otorisasi atau penolakan.

Gambar 2.7. Paket Access-Request Sumber : RADIUS, O'Reilly Tabel 2.3 Paket Access-Request Sumber : RADIUS, O'Reilly Packet Type

Response

Code

1

Identifier

Unique per request

Length

Header length plus all additional attribute data

Authenticator

Request

Attribute Data

2 or more

2. Access-Accept Paket Access-Accept dikirim oleh RADIUS server

kepada client untuk

mengakui bahwa permintaan klien diberikan. Jika semua permintaan AccessRequest dapat diterima, maka server RADIUS harus mengatur paket respon dengan nilai 2 pada sisi client, setelah paket tersebut diterima, paket tersebut di cek apakah sama atau benar paket tersebut adalah paket respon dari RADIUS server dengan menggunakan identifier field. Jika terdapat paket yang tidak mengikuti standar ini maka paket tersebut akan dibuang. Paket Access-Accept dapat berisi banyak atau sedikit atribut informasi yang perlu untuk dimasukkan. Kemungkinan besar atribut informasi pada paket ini akan menjelaskan jenis layanan apa saja yang telah dikonfirmasi dan resmi sehingga client dapat menggunakan layanan tersebut. Namun, jika tidak ada atribut informasi yang disertakan, maka client menganggap bahwa layanan yang diminta adalah yang diberikan.

Gambar 2.8 Paket Access- Accept Sumber: RADIUS, O'Reilly Tabel 2.4 Paket Access-Accept

Sumber: RADIUS, O'Reilly Packet Type

Response

Code

2

Identifier

Identical to Access-Request per transaction

Length

Header length plus all additional attribute data

Authenticator

Response

Attribute Data

0 or more

3. Access-Reject RADIUS server dapat pula mengirimkan paket Access-Reject kembali ke client jika harus menolak salah satu layanan yang diminta client dalam paket Access-Request. Penolakan tersebut dapat didasarkan pada kebijakan sistem, hak istimewa yang tidak cukup, atau kriteria lain. Access-Reject dapat dikirim setiap saat selama waktu koneksi. Nilai yang diberikan untuk kode pada paket ini adalah 3.

Gambar 2.9 Paket Access- Reject Sumber : RADIUS, O'Reilly Tabel 2.5 Paket Access- Reject Sumber : RADIUS, O'Reilly

Packet Type

Response

Code

3

Identifier

Identical to Access-Request

Length

Header length plus all additional attribute data

Authenticator

Response

Attribute Data

0 or more

4. Access-Challenge Apabila server menerima informasi yang bertentangan dari user, atau membutuhkan informasi lebih lanjut, atau hanya ingin mengurangi risiko otentikasi palsu, server

dapat menerbitkan paket Access-Challenge untuk

client. Setelah client menerima paket Access-Challenge

client harus

memberikan paket Access-Request yang baru disertai atribut informasi yang diminta server. Nilai yang diberikan pada header paket ini adalah 11.

Gambar 2.10 Paket Access- Challenge Sumber : RADIUS, O'Reilly Tabel 2.6 Paket Access-Challenge Sumber : RADIUS, O'Reilly Packet Type

Response

Code

11

Identifier

Identical to Access-Request

Length

Header length plus all additional attribute data

Authenticator Response Attribute Data

0 or more

2.2.1.3 Tahapan Koneksi RADIUS Penggunaan RADIUS terhadap usaha pembentukan koneksi jaringan dapat dilakukan dengan melalui tahapan tahapan berikut: 1. Access server, access point menerima permintaan koneksi dari access client. 2. Access server dikonfigurasi agar dapat menggunakan RADIUS sebagai protokol yang melakukan proses otentikasi, otorisasi dan accounting, membuat sebuah pesan access request dan mengirimkannya ke server RADIUS. 3. Server RADIUS melakukan evaluasi pesan Access request 4. Jika dibutuhkan, server RADIUS mengirimkan pesan access challenge ke access server. Jawaban terhadap pesan tersebut dikirimkan dalam bentuk access request ke server RADIUS. 5. Surat kepercayaan dan otorisasi dari usaha pembentukan koneksi diverifikasi. 6. Jika usaha pembentukan koneksi dan diotorisasi, server RADIUS mengirimkan sebuah pesan access accept ke access server. Sebaliknya jika usaha tersebut ditolak maka server RADIUS mengirimkan sebuah pesan access reject ke access server. 7. Selama menerima pesan access accept, access server melengkapi proses koneksi dengan access client dan mengirimkan sebuah pesan accounting request ke server radius. 8. Setelah pesan accounting request diproses, server RADIUS mengirimkan sebuah pesan accounting response. (Zaenal Arifin, 2008)

Gambar 2.11. Proses

Pembentukan koneksi protokol RADIUS Sumber: http://www.wi-fiplanet.com/tutorials/article.php/3114511/UsingRADIUS-For-WLAN-Authentication-Part-I.htm

2.2.1.4 REALM RADIUS hadir dengan kemampuan untuk mengidentifikasi user berdasarkan desain dan area yang berlainan. atau disebut realm. Realm adalah identifier yang ditempatkan sebelum atau sesudah nilai yang biasanya berisikan atribut Username yang bisa digunakan server RADIUS untuk mengenal dan menghubungi server yang sedang digunakan untuk memulai proses AAA. Tipe pertama dari realm identifier yang dikenal sebagai realm prefix., yang mana nama realm ditempatkan sebelum username, dan kedua dipisahkan oleh karakter prekonfigurasi, seperti kebanyakan @, \, atau /. Untuk lebih lanjut, sebuah user bernama jhassel yang terdaftar di layanan central state internet (merupakan

realm dengan nama CSI) bisa mengatur klien untuk memberikan username seperti CSI/jhassel. Sintaks realm identifier lainnya adalah realm suffix, dimana username ditempatkan sebelum nama realm. Pemisah yang sama masih digunakan didalam sintaks ini hingga saat ini, lebih lanjut yang pada umum nya adalah tanda @. Sebagai contoh, user awatson mendaftar ke layanan northwest internet (nama realm : NWI) menggunakan

identifikasi suffix

realm

bisa

memberikan

username

seperti

awatson@NWI. (Jonathan Hussel, 2003).

2.3 Protokol Otentikasi Protokol adalah suatu kumpulan dari aturan-aturan yang berhubungan dengan komunikasi data antara alat-alat komunikasi supaya komunikasi data dapat dilakukan dengan benar. Jabatan tangan merupakan contoh dari protokol antara dua manusia yang akan berkomunikasi. Pada istilah komputer, jabatan tangan (handshaking) menunjukkan suatu protokol dari komunikasi data bila dua buah alat dihubungkan satu dengan yang lainnya untuk menentukan bahwa keduanya telah kompatibel. (Jogianto, 1999). Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID / username dan password, jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan masuk dan sebaliknya. (Jonathan Hassel). 2.3.1 Extensible Authentication Protocol (EAP)

EAP atau Extensible Authentication Protocol adalah suatu framework otentikasi yang menyediakan layanan transport dan penggunaan key material dan parameter yang dihasilkan oleh EAP pada awalnya dikembangkan untuk koneksi Point-to-Point atau PPP. Namun, saat ini EAP juga diimplementasikan dan banyak digunakan untuk otentikasi penggunaan pada jaringan nirkabel. EAP digunakan pada three-tier authentication, maka pada proses komunikasinya EAP akan menggunakan transport protokol yang berbeda. Pertama, pada komunikasi antara supplicant dan authenticator, EAP akan menggunakan data link protokol seperti PPP, Ethernet atau WLAN. Kedua, pada komunikasi mengunakan application layer protokol seperti RADIUS atau Diameter.

Gambar 2.12 Proses komunikasi protokol EAP antara supplicant, NAS dan authentication server Dalam EAP terdapat beberapa komponen diantaranya :

Gambar 2.13

Komponen EAP Sumber : Tom Rixom

1. Supplicant Merupakan Wireless Node yang ingin mengakses Jaringan disebut Supplicant. 2. Authenticator Merupakan perangkat yang memberikan akses menuju server. Authenticator merupakan device yang memproses apakah suatu supplicant dapat mengakses jaringan atau tidak. authenticator mengontrol dua jenis port yaitu yang disebut dengan controlled ports dan yang disebut dengan uncontrolled ports. Kedua jenis port tersebut merupakan logikal port dan menggunakan koneksi fisikal yang sama. Sebelum otentikasi berhasil, hanya port dengan jenis uncontrolled yang dibuka. Trafik yang diperbolehkan hanyalah EAPOL atau EAPOW. Setelah supplicant melakukan autentifikasi dan berhasil, port jenis controlled dibuka sehingga supplicant dapat mengakses LAN secara biasa. IEEE 802.1x mempunyai peranan penting dari standar 802.11i.

Gambar 2.14 Skema port based authentication Sumber : Standar IEEE 802.1x. Teori dan Implementasi 3. Authentication Server / RADIUS

yaitu server yang menentukan apakah suatu supplicant valid atau tidak. Authentication server adalah berupa RADIUS server [RFC2865]. 2.3.1.1 EAP Over RADIUS EAP over RADIUS merupakan sebuah mekanisme otentikasi yang dilakukan oleh access server (access point) untuk melewatkan pesan EAP dari jenis EAP apa pun ke RADIUS server untuk melakukan proses otentikasi. Sebuah pesan EAP dikirim diantara access client dan access server dengan menggunakan format attribute EAP Message RADIUS dan dikirim sebagai pesan RADIUS antara access server dan server RADIUS. Access server hanya menjadi perangkat yang melewatkan pesan EAP diantara client dan server RADIUS. Pemrosesan pesan EAP dilakukan oleh access client dan server RADIUS, tidak dilakukan oleh access server. EAP over RADIUS digunakan dalam lingkungan dimana RADIUS sebagai penyedia mekanisme otentikasi. Keuntungan yang bisa diperoleh dengan menerapkan EAP over RADIUS adalah jenis EAP tidak perlu diinstall pada setiap access server, cukup dilakukan pada server RADIUS. Tetapi, access server harus mendukung EAP sebagai protokol untuk melakukan kegiatan otentikasi dan melewatkan pesan EAP ke server RADIUS. Karena EAP merupakan bagian dari standar 802.1x, kita harus mengaktifkan otentikasi 802.1x untuk mengaktifkan AP agar dapat menggunakan EAP. Ketika koneksi dibuat, access client bernegosiasi dengan access server menggunakan EAP. Ketika client mengirimkan pesan EAP ke access server, access server membungkus pesan EAP dalam bentuk attribut EAP message kemudian diubah menjadi pesan RADIUS access Request dan mengirimkannya ke server RADIUS. Server RADIUS memproses attribute EAP-Message dan mengirimkan sebuah pesan EAP-Response dalam bentuk pesan RADIUS AccessChallenge ke access server. Selanjutnya, access server melewatkan pesan EAP ke access client.

Gambar 2.15 Konversi pesan EAP dan pesan RADIUS Sumber : (sistem pengamanan jaringan wireless, zaenal arifin)

2.3.1.2 EAP over LAN (EAPOL) EAPOL adalah suatu protokol yang menyediakan cara-cara mengenkapsulasi paketpaket EAP dalam protokol LAN atau Ethernet. EAPOL didesain untuk standarisasi IEEE 802.1X yang digunakan pada jaringan kabel maupun nirkabel. Berikut ini adalah beberapa jenis paket-paket EAPOL, yaitu: 1. EAPOL-Start : merupakan sebuah frame EAPOL yang baru. Frame ini dikembangkan untuk mekanisme network-sensing pada jaringan nirkabel. Pada saat permintaan akses, supplicant akan mengirimkan frame EAPOL start secara multicast ke beberapa alamat MAC yang telah dipersiapkan untuk 802.1x authenticator, sehingga authenticator dapat mengetahui apabila ada pengguna yang memerlukan ijin akses. 2. EAPOL-Key : frame ini dirancang untuk mendukung kombinasi antara proses otentikasi dan proses pendistribusian kunci, dimana authenticator akan mengirim kunci yang digunakan untuk enkripsi komunikasi data ke supplicant. 3. EAPOL-Packet : frame ini merupakan frame utama untuk protokol EAPOL, dimana frame ini bertugas untuk membawa paket atau pesan EAP. Semua tipe pesan EAP (EAP request, EAP response, EAP success dan EAP failure) dibawa oleh frame EAPOL-Packet.

4. EAPOL-Logoff : frame ini digunakan oleh supplicant untuk mengindikasikan bahwa pengguna ingin mengakhiri koneksi. Gambar 2.16. Format paket EAPOL

2.4 EAP Methods EAP sebenarnya hanya sebuah authentication framework dan tidak menyediakan mekanisme tertentu yang dapat digunakan untuk proses otentikasi. Tetapi, EAP menyediakan fungsi-fungsi umum dan negosiasi metode otentikasi yang disebut EAP methods. Beberapa EAP methods yang sering digunakan, yaitu EAP-MD5, EAP-OTP, EAP-GTC, EAP-SIM, EAP-AKA, EAP-TLS, EAP-TTLS dan PEAP. Ketiga EAP methods yang terakhir, yaitu EAP-TLS, EAP-TTLS dan PEAP adalah EAP methods yang sering digunakan pada jaringan nirkabel. EAP methods ini mendukung fitur mutual authentication dan penggunaan digital certificate. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada sisi client dan satu lagi pada sisi server. sedangkan pada EAP-TTLS dan PEAP, digital certificate pada sisi client bersifat optional dan dapat digantikan oleh kombinasi username dan password. (Madjid Nakhjiri)

Gambar 2.17 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS 2.4.1 EAP MD5

EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan tingkat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode dictionary attack, tidak ada mutual otentikasi, dan penurunan kunci, sehingga membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPA/WPA2 enterprise.

2.4.2 EAP TLS EAP-TLS [RFC2716], adalah IETF standar dan banyak didukung oleh vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi, semenjak TLS dianggap sebagai teknik enkripsi yang sukses pada mekanisme SSL. TLS menggunakan Public Key Infrastructure (PKI) untuk mengamankan komunikasi antara supplicant dan authentication server. EAP-TLS adalah standar EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya merupakan salah satu standar EAP yang paling aman dan secara universal didukung oleh semua manufaktur dari wireless LAN hardware dan software termasuk Microsoft. 2.4.3 EAP TTLS EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas disupport dan menawarkan tingkat keamanan yang bagus. Standar ini menggunakan PKI sertifikat hanya pada authentication server. 2.5 Secure Socket Layer (SSL) / Transport Layer Security (TLS) Secure socket layer dikembangkan oleh Netscape Communication Corp pada tahun 1994. SSL melindungi transmisi EAP dengan menambahkan lapisan enkripsi pengaman. SSL tidak hanya melindungi data yang dikirim tetapi juga dapat meyakinkan pihak pihak yang berkomunikasi bahwa lawan bicara mereka dapat dipercaya (melalui penggunaan sertifikat digital).

SSL memberikan tiga keamanan diantaranya : 1. Menjadikan saluran (kanal) sebagai saluran private. Enkripsi digunakan terhadap seluruh data setelah handshaking (protokol pembuka sebelum terjadi pertukaran data). Jadi, data data yang dikirim melalui internet ke tempat tujuan akan terjamin keamanannya. 2.

karnel diotentikasi, server selalu diotentikasi dan klien diotentikasi untuk menjaga keamanan data yang akan dikirimkan melalui jaringan. kernel yang andal, dimana setiap data yang disadap dan dimodifikasi saat data dikirim oleh pihak yang tidak bertanggung jawab dapat diketahui oleh pihak yang sedang berkirim data dengan menggunakan message integrity check.

2.5.1 Protocol SSL Record Digunakan untuk membungkus data yang dikirim dan diterima setelah protokol handshake digunakan untuk membangun parameter keamanan waktu terjadi pertukaran data. Protokol SSL record membagi data yang ada kebentuk blok-blok dan melakukan kompresi dengan cara ceksum (MAC).

Gambar 2.18 Format SSL Record

2.5.2 Protocol SSL Handshake

Berfungsi membangun parameter keamanan sebelum terjadinya pertukaran data antara dua sistem. Berikut tipe tipe pesan yang dikirimkan antara klien dan server :

Gambar 2.19

Handshake Protocol

Sumber

:

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-1/ssl.html

1. Client Hello Message Untuk memulai komunikasi antara klien dan server, sisi klien terlebih dahulu harus mengirimkan pesan client hello ke server. Isi dari pesan ini akan memberitahukan versi, nilai acak, ID sesi, cipher yang didukung dan metode kompresi data yang dapat digunakan/diproses oleh klien. Sebuah pesan client hello berisikan informasi berikut: a. Client_version. Bagian ini menginformasikan versi SSL paling tinggi yang dapat dimengerti oleh klien.

b. Random. Bagian ini berisi rangkaian/kombinasi acak yang dihasilkan oleh klien, dimana kombinasi ini nantinya akan digunakan untuk proses komputasi kriptografi pada protokol SSL. Keseluruhan 32-byte struktur bagian ini sebenarnya tidak sepenuhnya acak. Melainkan, 4-byte diambil dari informasi tanggal/waktu yang berguna untuk menghindari replay attacks. c. Session_id. Bagian ini berisikan identifier suatu sesi SSL. Bagian ini seharusnya tidak memiliki nilai atau kosong apabila klien ingin menghasilkan parameter keamanan yang baru. Apabila terdapat identifier suatu sesi, maka nilai dari bagian ini seharusnya berisi informasi dari sesi sebelumnya. d. Cipher_suites. Bagian ini berisi daftar kombinasi algoritma kriptografi yang didukung oleh klien. Hal ini memberikan kemudahan pada sisi klien, tetapi sisi server tetap menjadi penentu akan algoritma kriptografi yang akan digunakan. Apabila server tidak menemukan suatu pilihan dari daftar kombinasi yang diberikan oleh klien, maka server akan memberikan respons berupa pesan handshake failure alert dan kemudian mengakhiri koneksi tersebut. e. Compression_methods. Sama seperti bagian cipher_suites, bagian ini berisikan daftar kombinasi metode kompresi yang didukung oleh klien. Daftar ini disusun menurut kebutuhan/konfigurasi dari klien, tetapi sisi server yang akan memutuskan metode kompresi yang akan digunakan. Bagian jarang digunakan pada SSLv3 dan merupakan fitur pengembangan untuk TLSv1. 2. Server Hello Message Setelah server menerima dan memroses pesan client hello, maka server memiliki dua pilihan pesan yang dapat dikirim ke klien, yaitu pesan handshake failure alert dan server hello. Isi dari pesan server hello kurang lebih sama dengan pesan client hello. Perbedaannya adalah pada pesan client hello berisikan daftar dukungan

protokol pada sisi klien, sedangkan pesan server hello memutuskan/memberitahukan protokol yang akan digunakan kepada klien. Adapun isi dari pesan server hello, yaitu: a. Server_version. Bagian ini berisi versi protokol yang dipilih oleh server, dimana versi ini akan digunakan seterusnya untuk komunikasi dengan klien. Server memutuskan hal ini berdasarkan dukungan tertinggi pada kedua pihak. Sebagai contoh, apabila klien mendukung hingga versi SSLv3 dan server mendukung hingga versi TLSv1, maka server akan memilih SSLv3. b. Random. Bagian ini sama seperti yang terdapat pada sisi klien, yang berfungsi untuk proses komputasi kriptografi pada SSL. Nilai dari bagian ini harus bersifat independen dan berbeda dari apa yang dihasilkan pada sisi klien. c. Session_id. Bagian ini menyediakan informasi pengenal/identitas dari sesi yang sedang berjalan. Jika nilai dari session identifier adalah tidak kosong, maka server akan memeriksa dan mencocokan dengan yang terdapat pada session cache. Jika ditemukan nilai yang sama, maka server dapat membentuk sebuah koneksi baru dan melanjutkan status dari sesi yang dimaksud. d. Cipher_suite. Bagian ini mengindikasikan sebuah cipher suite yang dipilih oleh server berdasarkan daftar yang diberikan oleh klien. e. Compression_method.

Sama

seperti

bagian

cipher

suite,

bagian

ini

mengindikasikan sebuah metode kompresi yang dipilih oleh server berdasarkan daftar dukungan yang diberikan oleh klien 3. Server Certivicate Message Bersamaan dengan pengiriman pesan server hello, server juga mengirimkan sertifikat untuk proses otentikasi. Jenis sertifikat yang umum digunakan adalah x.509v3. sertifikat ini juga digunakan sebagai peertukaran kunci. Algoritma enkripsi yang digunakan berasal dari pemilihan cipher dari client. Nantinya pesan ini yang

akan digunakan sebagai public key oleh client saat untuk mengencrypt pesan ke server.

4. Server Key Exchange Pesan ini berisi efek dari pendistribusian kunci server dan algoritma enkripsi yang akan digunakan antara server dan client. 5. Certificate Request Message Pesan ini bertujuan untuk meminta sertifikat dari pihak client. Pengiriman pesan ini menandakan dua indicator : 1. mengindikasikan tipe algoritma yang digunakan pada sertifikat. 2. sertifikat yang diterima adalah sertifikat yang telah diakui oleh Certivicate Authority (CA). 6. Server Hello Done Message Pesan ini menandakan bahwa pesan server hello telah dikirim ke pihak client. Dan server menunggu respon dari client 7. Client Certificate Message Pesan ini adalah pesan pertama yang dikirimkan oleh client setelah server hello done message diterima client. Dalam pesan ini client mengirimakn sertifikat client ke server. Jika client tidak dapat mengirimkan sertifikat yang diminta server makan server akan memutuskan komunikasi dengan client. 8. Client Key Exchange Pesan ini membawa kunci untuk server. Tipe algoritma kunci yang digunakan dapat berupa RSA, atau yang lainnya. 9. Certificate Verify Message Pesan ini dikirimkan oleh client bertujuan agar server dapat melakukan verifikasi sertifikat client.

10. Finished Message Pada fase selanjutnya

client mengirimkan pesan yang berisi perubahan

spesifikasi cipher dibarengi dengan pengiriman pesan finished message. Apabila server menerima pesan finished message dari client. Server mengirimkan change cipher spec message dan mengirimkan finished message. Pada fase ini handshake protocol telah sempurna dan jalur ini selanjutnya dapat digunakan untuk transfer pesan atau data secara aman. (Steve Burnett at all, 2004). 2.5.3. Protocol SSL Alert Protokol ini akan memberikan tanda kondisi sudah tidak terkoneksi lagi

(jika

pengirim mengirimkan pesan dan yang akan menerima sedang offline maka pesan akan dipending sampai penerima terkoneksi lagi). SSL alert error message bisa dilihat pada tabel 2.x berikut ini : Tabel 2.7 Alert Error Message Sumber : http://msdn.microsoft.com/en-us/library/dd721886%28VS.85%29.aspx TLS or SSL alert

Schannel error code

SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_BAD_RECORD_MAC SEC_E_MESSAGE_ALTERED TLS1_ALERT_DECRYPTION_FAILED TLS1_ALERT_RECORD_OVERFLOW SSL3_ALERT_DECOMPRESSION_FAIL SSL3_ALERT_HANDSHAKE_FAILURE TLS1_ALERT_BAD_CERTIFICATE TLS1_ALERT_UNSUPPORTED_CERT TLS1_ALERT_CERTIFICATE_REVOKED

SEC_E_DECRYPT_FAILURE SEC_E_ILLEGAL_MESSAGE SEC_E_MESSAGE_ALTERED SEC_E_ILLEGAL_MESSAGE SEC_E_CERT_UNKNOWN SEC_E_CERT_UNKNOWN CRYPT_E_REVOKED

TLS1_ALERT_CERTIFICATE_EXPIRED TLS1_ALERT_CERTIFICATE_UNKNOWN SSL3_ALERT_ILLEGAL_PARAMETER TLS1_ALERT_UNKNOWN_CA TLS1_ALERT_ACCESS_DENIED TLS1_ALERT_DECODE_ERROR TLS1_ALERT_DECRYPT_ERROR

SEC_E_CERT_EXPIRED SEC_E_CERT_UNKNOWN SEC_E_ILLEGAL_MESSAGE SEC_E_UNTRUSTED_ROOT SEC_E_LOGON_DENIED SEC_E_ILLEGAL_MESSAGE SEC_E_DECRYPT_FAILURE

TLS1_ALERT_EXPORT_RESTRICTION TLS1_ALERT_PROTOCOL_VERSION TLS1_ALERT_INSUFFIENT_SECURITY TLS1_ALERT_INTERNAL_ERROR Default

SEC_E_ILLEGAL_MESSAGE SEC_E_UNSUPPORTED_FUNCTION SEC_E_ALGORITHM_MISMATCH SEC_E_INTERNAL_ERROR SEC_E_ILLEGAL_MESSAGE

2.5.4. Arsitektur SSL / TLS Protokol SSL didesain untuk bisa digunakan pada provider TCP yang dapat dipercaya layanan keamanannya. SSL tidak hanya menggunakan satu protokol, tetapi dua layer (lapis) protokol. SSL record protocol merupakan layanan keamanan dasar kelapisan protokol yang lebih tinggi. EAP bisa beroperasi dengan SSL/TLS. Arsitektur dari SSL dapat dilihat pada gambar 2.22 dbawah ini :

Gambar 2.20 Arsitektur Protokol SSL Sumber : http://technet.microsoft.com/en-us/library/Cc767139.f14-2_big%28enus,TechNet.10%29.gif 2.5.5. Sertifikat Digital Sertifikat digital adalah kunci publik dan informasi penting mengenai jati diri pemilik kunci tersebut, seperti misalnya nama, alamat, pekerjaan, jabatan, perusahaan, dan bahkan hash dari suatu informasi rahasia ysng ditandatangani oleh suatu pihak terpercaya. Sertifikat

digital tersebut ditandatangani oleh sebuah pihak yang terpercaya, yaitu Certificate Authority (CA).

Gambar 2.21 Peran CA dalam penerbitan sertifikat Sertifikat digital diterbitkan oleh CA, suatu perusahaan atau individu yang mendaftarkan diri kepada CA baru mereka akan mendapatkan sertifikat digital. CA bukan hanya bertugas menerbitkan sertifikat saja, tetapi juga melakukan pemeriksaan apakah sertifikat tersebut masih berlaku atau tidak, dan juga membatalkan sertifikat atas permintaan. Dengan demikian, berarti CA juga memiliki daftar sertifikat yang mereka buat, baik yang masih berlaku maupun yang sudah dibatalkan. Pada sertifikat digital terdapat tanggal kadaluarsa, sertifikat yang sudah kadaluarsa akan dihapus dari daftar CA dan masih bisa diperpanjang. Struktur standar dari sertifikat digital meliputi hal-hal berikut : a. Version : merupakan versi dari x.509 pada versi 1 yang memiliki fasilitas dari serial number sertifikat sampai dengan subject public key info, versi 2 ditambah dengan identitas subject yang unik, dan pada versi 3 diberi tambahan extention dari sertifikat digital. Lihat gambar 2.x b. Serial number merupakan bilang integer yang unik yang dibuat oleh CA. c. Signature Algoritma identifier

merupakan algoritma yang digunakan untuk

menandatangani sertifikat yang bersamaan dengan parameternya. d. Issuer name : nama dari pembuat dan yang mengeluarkan sertifikat

e. Period of validity : batas tanggal, bulan, dan tahun sertifikat bisa digunakan. f. Subject name : nama yang menggunakan sertifikat atau yang memiliki kunci private dari sertifikat tersebut. g. Subject public key information : public key subject, identifikasi algoritma kunci yang digunakan dan perusahaan mana yang mengeluarkan sertifikat tersebut h. Issuer unique identifier : identifikasi unik perusahaan i. Subject unique identifier : digunakan untuk membedakan subject yang satu dengan yang liannya j. Extention meliputi pemakaian kunci, identifikasi kunci public, identifikasi policy sertifikat, dan lainnya. k. Signature Salah satu layanan otentikasi adalah X.509 yang menyediakan layanan dan mengatur pendistribusian serta memperbaiki informasi user. Informasi user meliputi : i. username ii. alamat jaringan iii. serta atribut user X.509 merupakan suatu standar yang penting untuk menangani sertifikat digital karena struktur dari sertifikat digital dan protokol otentikasi terdapat pada X.509. X.509 beroperasi berdasarkan kunci publik dan tandatangan digital serta menggunakan algortima standar seperti RSA, format dari X.509 seperti gambar berikut :

Gambar 2.22 Format X.509 Sumber : Dony Ariyus, 2006 2.5.6. Enkripsi Public Key Public key memecahkan masalah pendistribusian karena tidak diperlukan suatu kunci untuk diditribusikan. Semua partisipan memiliki akses ke kunci public, dan kunci private dihasilkan secara local oleh setiap partisan sehingga tidak perlu untuk didistribusikan. Selama sistem mengontrol masing masing private key dengan baik, komunikasi bisa menjadi komunikasi yang aman. (Dony Ariyus, 2006) 2.5.7. Kriptografi Simetris Kriptografi simetris adalah metode enskripsi dimana pengirim dan penerima pesan memiliki kunci yang sama, atau dalam beberapa kasus kedua kunci berbeda namun mempunyai relasi dengan perhitungan yang mudah. Studi modern terfokuskan pada block cipher dan stream cipher serta aplikasinya. Block cipher adalah aplikasi modern dari Alberti’s polyphabetic cipher. Block cipher menerima masukan berupa blok plaintext dan sebuah kunci dan kemudian menghasilkan keluaran blok ciphertext dengan ukuran yang

sama. Dikarenakan pesan yang dikirim hampir selalu lebih panjang dari single block (blok tunggal), maka diperlukan metode penggabungan beberapa blok. Data Encryption Standard (DES) dan Advanced Encryption Standard (AES) adalah contoh block ciphers yang dijadikan standar kriptografi oleh pemerintahan Amerika Serikat. Walaupun AES telah diresmikan sebagai standar kriptografi terbaru, namun DES, khususnya varian triple- DES, masih banyak digunakan sebagai enkripsi ATM, keamanan surat elektronik (e-mail), dan secure remote access. Stream cipher adalah lawan dari block cipher, yakni menciptakan arus kunci yang panjang dan sembarang (arbitrarily long stream of key) yang dikombinasikan dengan plaintext bit-per-bit (bit-by-bit) dan karakter-per-karakter (character-bycharacter). Pada stream cipher, arus keluaran dibangkitkan berdasarkan keadaan internal (internal state) yang berubah-ubah seiring dengan jalannya cipher. Perubahaan tersebut diatur oleh kunci dan dibeberapa stream cipher diatur pula oleh plaintext cipher. RC4 dan adalah contoh dari stream cipher.

Gambar 2.23 Kriptografi Simetris 2.5.8. Kriptografi Asimetris Kriptografi simetris menggunakan kunci yang sama untuk enkripsi dan dekripsi . Hal tersebut menyebabkan masalah yang signifikan, yakni kunci harus dikelola dengan sangat aman. Idealnya setiap kelompok yang terlibat komunikasi memiliki kunci yang berbeda. Kebutuhan akan variasi kunci meningkat, seiring dengan pertumbuhan jaringan, sehingga

membutuhkan manajemen kunci yang kompleks untuk menjaga kerahasiaan tiap kunci. Masalah juga bertambah jika antara dua kelompok yang berkomunikasi tidak terdapat saluran aman (secure channel). Pada tahun 1976, Whitfield Diffie dan Martin Hellman mengajukan konsep kriptografi asimetri yang meggunakan dua kunci yang secara matematika berhubungan satu sama lain, yakni kunci publik (public key) dan kunci pribadi (private key). Kunci publik dibangkitkan sedemikian sehingga kunci pribadi sangat sulit untuk dihitung, walaupun keduanya sesungguhnya berhubungan satu sama lain. Dalam kriptografi asimetri, kunci publik dapat secara bebas disebarluaskan, sedangkan kunci pribadi harus senantiasa dijaga kerahasiaannya. Kunci publik digunakan untuk enkripsi, sedangkan kunci pribadi digunakan untuk dekripsi. Diffie dan Hellman membuktikan bahwa kriptografi asimetri adalah mungkin dengan menerapkan protokol pertukaran kunci Diffie-Hellman. Pada tahun 1978, Ronald Rivest, Adi Shamir, dan Len Adleman menemukan RSA, sebuah algoritma berdasarkan kriptografi asimetri. RSA juga akan dibahas secara mendalam pada bagian selanjutnya.

Gambar 2.24 Kriptografi Asimetris 2.5.8.1.

RSA

RSA algoritma melakukan pemfaktoran bilangan yang sangat besar. Oleh karena itu RSA dianggap aman. Untuk membangkitkan kedua kunci, dipilih dua bilangan prima acak yang besar. Skema yang dikembangkan oleh rivest, shamir, dan adleman yang

mengekspresikan bahwa plaintext dienkripsi menjadi blok blok, dimana setiap blok memiliki nilai biner yang diberi simbol ”n”, plaintext block ”m”, dan chipertext blok ”c”. Untuk melakukan enkripsi pesan ”m”, pesan dibagi kedalam blok blok numeric yang lebih kecil dari pada ”n”. (data biner dengan pangkat terbesar) jika bilangan prima panjangnya 200 digit, dan dapat menambah beberapa bit o dikiri bilangan untuk menjaga agar pesan tetap kurang dari nilai ”n”. Rumus enkripsi : C = M e mod n, dan rumus dekripsi M = C d mod n = (Me)d mod n = Med mod n. 2.6 Open System Interconnection (OSI) 2.6.1 Pengertian OSI Masalah utama dalam komunikasi antar komputer dari vendor yang berbeda adalah karena mereka mengunakan protokol dan format data yang berbeda-beda. Untuk mengatasi ini, International Organization for Standardization (ISO) membuat suatu arsitektur komunikasi yang dikenal sebagai Open System Interconnection (OSI) model yang mendefinisikan standar untuk menghubungkan komputer-komputer dari vendor-vendor yang berbeda. Model-OSI tersebut terbagi atas 7 layer, dan layer kedua juga memiliki sejumlah sublayer (dibagi oleh Institute of Electrical and Electronic Engineers (IEEE)). Perhatikan tabel berikut ini : Tabel 2.8 Model OSI Sumber : PENGERTIAN & FUNGSI 7 OSI LAYER « Disconnected32's Blog.htm 7th 6th 5th 4th 3rd 2nd 1st

- Layer : Application - Layer : Presentation - Layer : Session - Layer : Transport - Layer: Network - Layer: Data-Link - Layer: Physical

Services Services Communications Communications Communications Physical Connections Physical Connections

Layer-layer tersebut disusun sedemikian sehingga perubahan pada satu layer tidak membutuhkan perubahan pada layer lain. Layer teratas (5, 6 and 7) adalah lebih cerdas dibandingkan dengan layer yang lebih rendah; Layer Application dapat menangani protokol dan format data yang sama yang digunakan oleh layer lain, dan seterusnya. Jadi terdapat perbedaan yang besar antara layer Physical dan layer Application. 2.6.2 Fungsi – fungsi layer OSI 1) Layer Physical Ini adalah layer yang paling sederhana, berkaitan dengan electrical (dan optical) koneksi antar peralatan. Data biner dikodekan dalam bentuk yang dapat ditransmisi melalui media jaringan, sebagai contoh kabel, transceiver dan konektor yang berkaitan dengan layer Physical. Peralatan seperti repeater, hub dan network card adalah berada pada layer ini. 2) Layer Data-link Layer ini sedikit lebih “cerdas” dibandingkan dengan layer physical, karena menyediakan transfer data yang lebih nyata. Sebagai penghubung antara media network dan layer protokol yang lebih high-level, layer data link bertanggung-jawab pada paket akhir dari data binari yang berasal dari level yang lebih tinggi ke paket diskrit sebelum ke layer physical. Akan mengirimkan frame (blok dari data) melalui suatu network. Ethernet (802.2 & 802.3), Tokenbus (802.4) dan Tokenring (802.5) adalah protokol pada layer Data-link. 3) Layer Network Tugas utama dari layer network adalah menyediakan fungsi routing sehingga paket dapat dikirim keluar dari segment network lokal ke suatu tujuan yang berada pada suatu network lain. IP, Internet Protocol, umumnya digunakan untuk tugas ini. Protokol lainnya seperti IPX, Internet Packet eXchange. Perusahaan Novell telah

memprogram protokol menjadi beberapa, seperti SPX (Sequence Packet Exchange) & NCP (Netware Core Protocol). Protokol ini telah dimasukkan ke sistem operasi Netware. Beberapa fungsi yang mungkin dilakukan oleh Layer Network a. Membagi aliran data biner ke paket diskrit dengan panjang tertentu b. Mendeteksi Error c. Memperbaiki error dengan mengirim ulang paket yang rusak d. Mengendalikan aliran 4) Layer Transport Layer transport data, menggunakan protokol seperti UDP, TCP dan/atau SPX (Sequence Packet eXchange, yang satu ini digunakan oleh NetWare, tetapi khusus untuk koneksi berorientasi IPX). Layer transport adalah pusat dari mode-OSI. Layer ini menyediakan transfer yang reliable dan transparan antara kedua titik akhir, layer ini juga menyediakan multiplexing, kendali aliran dan pemeriksaan error serta memperbaikinya. 5) Layer Session Layer Session, sesuai dengan namanya, sering disalah artikan sebagai prosedur logon pada network dan berkaitan dengan keamanan. Layer ini menyediakan layanan ke dua layer diatasnya, Melakukan koordinasi komunikasi antara entiti layer yang diwakilinya. Beberapa protokol pada layer ini: NETBIOS: suatu session interface dan protokol, dikembangkan oleh IBM, yang menyediakan layanan ke layer presentation dan layer application. NETBEUI, (NETBIOS Extended User Interface), suatu pengembangan dari NETBIOS yang digunakan pada produk Microsoft networking, seperti Windows NT dan LAN Manager. ADSP (AppleTalk Data Stream Protocol). PAP (Printer Access Protocol), yang terdapat pada printer Postscript untuk akses pada jaringan AppleTalk.

6) Layer Presentation Layer presentation dari model OSI melakukan hanya suatu fungsi tunggal: translasi dari berbagai tipe pada syntax sistem. Sebagai contoh, suatu koneksi antara PC dan mainframe membutuhkan konversi dari EBCDIC character-encoding format ke ASCII dan banyak faktor yang perlu dipertimbangkan. Kompresi data (dan enkripsi yang mungkin) ditangani oleh layer ini.

7) Layer Application Layer ini adalah yang paling “cerdas”, gateway berada pada layer ini. Gateway melakukan pekerjaan yang sama seperti sebuah router, tetapi ada perbedaan diantara mereka. Layer Application adalah penghubung utama antara aplikasi yang berjalan pada satu komputer dan resources network yang membutuhkan akses padanya. Layer Application adalah layer dimana user akan beroperasi padanya, protokol seperti FTP, telnet, SMTP, HTTP, POP3 berada pada layer Application. 2.6.3 Komponen Jaringan dan Protokol Layer 1) Layer 1 – Physical Network components:

Protocols:



Repeater



IEEE 802 (Ethernet standard)



Multiplexer



IEEE 802.2 (Ethernet standard)



Hubs(Passive and Active)



ISO 2110



TDR



ISDN



Oscilloscope



Amplifier

2) Layer 2 – Datalink

Network components:

Protocols:



Bridge

Media Access Control:



Switch

Communicates with the adapter card



ISDN Router

Controls the type of media being



Intelligent Hub

used:



NIC



802.3 CSMA/CD (Ethernet)



Advanced Cable Tester



802.4 Token Bus (ARCnet)



802.5 Token Ring



802.12 Demand Priority

Logical Link Control 

error correction and flow control



manages

link

control

and

defines SAPs 802.2 Logical Link Control

3) Layer 3 (Network) Network components:

Protocols:



Brouter



IP,ARP,RARP,ICMP,RIP,OSFP,



Router



IGMP



Frame Relay Device



IPX



ATM Switch



NWLink



Advance Cable Tester



OSI



DDP



DECnet

4) Layer 4 – Transport Network components:

Protocols:



Gateway



TCP, ARP, RARP



Advance Cable Tester



SPX



Brouter



NWLink



NetBIOS / NetBEUI



ATP

5) Layer 5 – Session Network components: 

Gateway

Protocols: 

NetBIOS



Names Pipes



Mail Slots



RPC

6) Layer 6 – Presentation Network components: 

Gateway



Redirector

Protocols: 

None

7) Layer 7 – Application Network components: 

Gateway

Protocols: 

DNS, FTP



TFTP, BOOTP



SNMP, RLOGIN



SMTP, MIME



NFS, FINGER



TELNET, NCP



APPC, AFP



SMB

2.7 Tools 2.7.1 freeRADIUS Server freeRADIUS merupakan implementasi dari server RADIUS. Sebenarnya ada banyak implementasi server RADIUS lainnya seperti Cisco CNS Access Registrar (CAR) dan Windows Internet Authentication Service (IAS).

Pemilihan freeRADIUS adalah karena

software ini berplatform open source, bersifat gratis, performa yang stabil, dan banyak digunakan sebagai server otentikasi. Berdasarkan hasil tim survey freeRADIUS, lebih dari 10 juta pengguna yang menjadikan freeRADIUS sebagai server otentikasi dan lebih dari 100 juta user yang melakukan proses otentikasi dengan menggunakan freeRADIUS. FreeRADIUS juga banyak digunakan sebagai otentikasi server dalam penelitian – penelitian yang berhubungan dengan jaringan nirkabel. (http://freeradius.org/press/survey.html) freeRADIUS diperkenalkan oleh Alan Dekok dan Miquel van Smoorenburg pada bulan Agustus 2005. FreeRADIUS server merupakan modular dan produk open-source paling populer dan paling banyak digunakan di dunia sebagai RADIUS server yang berbasis sistem operasi UNIX. FreeRADIUS mendukung semua protokol umum otentikasi. freeRADIUS berjalan pada platform UNIX 32 bit dan 64 bit. freeRADIUS bersifat gratis dan dapat di download pada alamat http://freeradius.org/download.html (www.freeradius.org).

freeRADIUS memiliki beberapa feature, diantaranya : a) Performa dan Skalabilitas, freeRADIUS merupakan salah satu server yang tercepat dan produk yang memiliki tingkat skalabilitas yang tinggi. b) Mendukung penerapan protokol semua EAP method termasuk diantaranya EAPPEAP, protokol yang sering digunakan pada jaringan wireless Microsoft. c) Support untuk semua jenis database yang umum digunakan (file text seperti LDAP, SQL, dll) untuk authentication, authorization, dan accounting dalam protokol AAA. Disamping kelebihan kelebihan yang ada, salah satu kekurangan freeRADIUS adalah untuk konfigurasi masih berbasis command line. Berbeda dengan server IAS atau lainnya yang berbayar yang sudah berbasis Graphical User Interface (GUI). 2.8 Network Development Life Cycle (NDLC) 2.8.1 Tahapan Pada NDLC

Gambar 2.29. NDLC (Sumber : Applied Data Communications, A business-Oriented Approach, James E. Goldman, Philips T. Rawles, Third Edition, 2001, John Wiley & Sons : 470)

1) Analysis : Tahap awal ini dilakukan analisa kebutuhan, analisa permasalahan yang muncul, analisa keinginan user, dan analisa topologi / jaringan yang sudah ada saat ini. Metode yang biasa digunakan pada tahap ini diantaranya ;

a.

Wawancara, dilakukan dengan pihak terkait melibatkan dari struktur manajemen atas sampai ke level bawah / operator agar mendapatkan data yang

konkrit dan lengkap. Pada kasus di Computer

Engineering biasanya juga melakukan brainstorming juga dari pihak vendor untuk solusi yang ditawarkan dari vendor tersebut karena setiap mempunyai karakteristik yang berbeda. b.

survey langsung kelapangan, pada tahap analisis juga biasanya dilakukan survey langsung kelapangan untuk mendapatkan hasil sesungguhnya dan gambaran seutuhnya sebelum masuk ke tahap design, survey biasa dilengkapi dengan alat ukur seperti GPS dan alat lain sesuai kebutuhan untuk mengetahui detail yang dilakukan.

c.

membaca manual atau blueprint dokumentasi, pada analisis awal ini juga dilakukan dengan mencari informasi dari manual-manual atau blueprint dokumentasi yang mungkin pernah dibuat sebelumnya. Sudah menjadi keharusan dalam setiap pengembangan suatu sistem dokumentasi menjadi pendukung akhir dari pengembangan tersebut, begitu juga pada project network, dokumentasi menjadi syarat mutlak setelah sistem selesai dibangun.

d.

menelaah setiap data yang didapat

dari data-data

sebelumnya, maka perlu dilakukan analisa data tersebut untuk masuk ke tahap berikutnya. Adapun yang bisa menjadi pedoman dalam mencari data pada tahap analisis ini adalah ; 1.

User / people : jumlah user, kegiatan yang sering dilakukan, peta politik

2. Media H/W & S/W : peralatan yang ada, status jaringan, ketersedian data yang dapat diakses dari peralatan, aplikasi s/w yang digunakan

3.

Data : jumlah pelanggan, jumlah inventaris sistem, sistem keamanan yang sudah ada dalam mengamankan data.

4.

Network : konfigurasi jaringan, volume trafik jaringan, protokol monitoring network yang ada saat ini, harapan dan rencana pengembangan kedepan

5.

Perencanaan fisik : masalah listrik, tata letak, ruang khusus, system keamanan yang ada, dan kemungkinan akan pengembangan kedepan.

2)

Design : Dari data-data yang didapatkan sebelumnya, tahap Design ini akan membuat gambar design topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran seutuhnya dari kebutuhan yang ada. Design biasa berupa design struktur topology, design akses data, design data, design tata layout perkabelan, dan sebagainya yang akan memberikan gambaran jelas tentang project yang akan dibangun. Biasanya hasil dari design berupa :

a.

Gambar-gambar topologi (server farm, firewall, data center, storages, lasrmiles, perkabelan, titik akses dan sebagainya)

b.

3)

Gambar-gambar detailed estimasi kebutuhan yang ada

Simulasi Prototipe : network’s akan membuat dalam bentuk simulasi dengan bantuan Tools khusus di bidang network seperti BOSON, PACKET TRACERT, NETSIM, dan sebagaimana, hal ini dimaksudkan untuk melihat kinerja awal dari network yang akan dibangun dan sebagai bahan presentasi dan

sharing dengan team work lainnya. Namun karena keterbatasan perangkat lunak perangkat simulasi ini, banyak para networker’s yang hanya menggunakan alat bantu tools VISIO untuk membangun topologi yang akan didesign. 4)

Implementasi : di Tahapan ini akan memakan waktu yang lebih lama dari tahapan sebelumnya. Dalam implementasi networker’s akan menerangkan semua yang telah direncanakan dan di design sebelumnya. Implementasi merupakan tahapan yang sangat menentukan dari berhasilnya / gagalnya project yang akan dibangun dan tahapan inilah Team Work akan diuji dilapangan untuk menyelesaikan maslah teknis dan non teknis. Ada beberapa masalah-masalah yang sering muncul pada tahapan ini diantaranya : a.

Jadwal yang tidak tepat karena faktor-faktor penghambat

b.

Masalah dana / anggaran dan perubahan kebijakan

c.

Team work yang tidak solid

d.

Peralatan pendukung dari vendor

maka dibutuhkan manajemen project dan manajemen resiko untuk meminimalkan sekecil mungkin hambatan-hambatan yang ada. 5)

Monitoring : setelah implementasi tahapan monitoring merupakan tahapan yang penting agar jaringan komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan tujuan awal dari user pada awal analisis, maka perlu dilakukan kegiatan monitoring. Monitoring biasa berupa melakukan pengamatan pada : a.

Infrastruktur hardware : dengan mengamati kondisi reliability / kehandalan sistem yang telah dibangun (realibility = performance + availability + security)

b.

Memperhatikan jalannya packet data di jaringan (times, latency, peektime, troughput)

c.

Metode yang digunakan untuk mengamati “kesehatan” jaringan dan komunikasi secara umum, secara terpusat atau tersebar.

Pendekatan yang paling sering dilakukan adalah pendekatan Network Management, dengan pendekatan ini banyak perangkat baik yang lokal dan tersebar dapat di monitor secara utuh. 6)

Management, di management atau pengaturan, salah satu yang menjadi perhatian khusus adalah masalah Policy, kebijakan perlu dibuat untuk membuat / mengatur agar sistem yang telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsure Reliability terjaga. Policy akan sangat tergantung dengan kebijakan level management dan startegi bisnis perusahaan tersebut. IT sebisa mungkin harus dapat mendukung atau memanagement dengan starategi bisnis perusahaan.

BAB III

METODOLOGI PENELITIAN

Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. Berikut penjelasan kedua metode tersebut : 3.1

Metode Pengumpulan Data Pengumpulan data merupakan proses pengadaan data primer untuk keperluan

penelitian. Pengumpulan data merupakan proses yang penting pada metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk menguji rumusan hipotesis. Pengumpulan data adalah prosedur yang sistematis dan standar untuk memperoleh data yang diperlukan (Nazir, 2005). 3.1.1 Studi Lapangan / Observasi Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Penulis melakukan penelitian di Sekolah Islam Fitrah Al Fikri Depok Jl. Raden Saleh, Sukmajaya Depok dengan melakukan wawancara langsung dengan pihak administartor jaringan yang dilakukan pada penelitian sekitar bulan januari 2011 dan hasil dari wawancara dapat dilihat pada lampiran 8.

3.1.2 Studi Pustaka atau Literatur Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi tersebut berasal dari dokumen dokmen resmi RFC (Request for Comment) yang telah di standarisasikan oleh badan standarisasi seperti IEEE dan IETF. Referensi tersebut sebagai

acuan untuk membuat landasan teori. dan referensi – referensi lainnya yang digunakan oleh penulis dapat dilihat pada Daftar Pustaka. Studi literatur yang penulis gunakan sebagai referensi yaitu : Tabel 3.1 Studi Literatur No

JUDUL

PENULIS

TAHUN

1.

Analisis dan Perancangan Sistem Keamanan Jaringan Nirkabel Menggunakan EAPTLS

Ali Mahrudi

2006

2.

AUTENTIKASI PENGGUNA WIRELESS LAN BERBASIS RADIUS SERVER (Studi Kasus WLAN Universitas Bina Darma)

Oleh: Yesi 2007 Novaria Kunang & Ilman Zuhri Yadi Dosen Tetap Universitas Bina Darma

3.

Analisa Protokol Autentikasi Remote Access DialIn User Service dan Aspek Keamanannya

Ari 2003 Darmariyadi

PEMBAHASAN Skripsi ini menekankan pada analisa dan perancangan extensible authentication protocol – Transport Layer Protocol (EAP-TLS) sebagai solusi dari resiko terhadap gangguan keamanan jaringan nirkabel FST UIN Jakarta . EAP TLS merupakan protokol 802.1x mekanisme kerja otentikasi EAP-TLS memerlukan certificate pada sisi client dan server Skripsi ini menekankan pada analisa dan perancangan sistem autententikasi wireless berbasi RADIUS SERVER sebagai solusi dari resiko terhadap gangguan keamanan di Universitas Bina Darma)

RADIUS merupakan protokol yang digunakan untuk melakukan authentication, authorization and accounting (AAA) pada jaringan akses dengan menyediakan proteksi terhadap pencurian akses.

4.

3.2

Implementasi Authentikasi Wireless Security dengan protokol PEAP ( Studi kasus : PUSDATIN FST UIN Jakarta)

M. Arief Faruqi

2010

Mengimplentasikan Protokol PEAP pada FST UIN Jakarta. Dengan terfokus pada pengimplementasikan dengan membandingkan referensi sebelumnya yaitu EAP-TLS.

Metode Pengembangan Sistem Penulis menggunakan model pengembangan sistem NDLC (Network Development

Life Cycle). Secara spesifik NDLC dan kegiatan yang dilakukan penulis dalam penelitian ini adalah sebagai berikut :

Gambar 3.1 Siklus Network Development Life Cycle Sumber : Goldman, James E. & Rawles, 2001 Menurut (Goldman, 2001), NDLC adalah kunci dibalik proses perancangan jaringan komputer. NDLC merupakan model mendefenisikan siklus proses pembangunan atau pengembangan sistem jaringan komputer. Kata cycle (siklus) adalah kata kunci deskriptif dari siklus hidup pengembangan sistem jaringan yang menggambarkan secara eksplisit seluruh proses dan tahapan pengembangan sistem jaringan yang berkesinambungan. 3.2.1 Tahapan Analisis

Model pengembangan sistem NDLC dimulai pada fase analisis. Pada tahap ini dilakukan wawancara secara langsung dengan administrator jaringan dapat dilihat (lampiran 8) dan juga dilakukan observasi langsung kelapangan dapat dilihat pada bab 4.2 yaitu meliputi analisis kebutuhan, analisis permasalahan yang muncul, analisa komponenkomponen meliputi perangka keras dan perangkat lunak, dan analisis kebutuhan sistem kemanan EAP-TTLS, analisis mekanisme EAP-TTLS. 3.2.2 Tahapan Desain Tahapan selanjutnya adalah design. Pada tahap ini, penulis membaginya dalam dua kegiatan dapat dilihat pada bab 4.3, yaitu: desain topologi dapat dilihat pada gambar 4.15 dan desain sistem dapat dilihat pada gambar 4.17. Dari data - data yang didapatkan dari tahapan analisis, tahap perancangan ini akan membuat gambar rancangan topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran seutuhnya kebutuhan yang ada. pada tahap ini penulis membuat desain topologi dan sistem jaringan wireless. 3.2.3 Tahapan Simulasi Prototyping Tahapan ini bertujuan untuk melihat kinerja awal dari jaringan yang akan dibangun dan sebagai bahan pertimbangan. Sebelum jaringan benar benar akan diterapkan. Pada tahapan ini penulis melakukan simulasi protokol TTLS dalam network skala kecil, dimana pada tahap ini penulis dapat melihat dan meneliti apakah protokol TTLS yang akan diterapkan mengalami keberhasilan ataukah mengalami kegagalan. Dapat dilihat pada bab 4.4 yaitu melakukan simulasi instalasi freeRadius Server,dan kemudian Instalasi sertifikat digital pada sisi server dan dilanjutkan dengan instalasi sertifikat digital pada sisi klien. kemudian konfigurasi eap, konfigurasi

client, konfigurasi file user, dan yang terakhir

kemudian konfigurasi pada Access Point. Selanjutnya melakukan pengujian / monitoring 3 parameter seperti di sampaikan pada sub bab 2, yaitu dengan mengamati kondisi reliability /

kehandalan sistem yang diimplementasikan. kemudian pengujian paket data di jaringan dari proses waktu otentikasi dari klien ke server, dan yang terakhir yaitu komunikasi secara umum, secara terpusat atau tersebar proses monitoring dapat dilihat pada lampiran 9. 3.2.4 Tahapan Penerapan (Implementation) Tahapan selanjutnya adalah implementasi, dimana hasil dari tahapan sebelumnya diimplementasikan. Proses implementasi yang dilakukan adalah instalasi dan konfigurasi terhadap rancangan topologi. Dapat dilihat pada bab 4.5 yaitu supplicant dan authenticator. Pada sisi authenticator, perangkat ini harus mengetahui alamat IP dari server RADIUS dan kombinasi shared secret yang digunakan untuk dapat berkomunikasi dengan server RADIUS tersebut. 3.2.5 Tahapan Pengawasan (Monitoring) Pada NDLC proses pengawasan merupakan tahapan yang penting, agar jaringan komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan tujuan awal dari user pada tahap awal analisis, maka perlu dilakukan kegiatan monitoring. Tahapan ini dapat dilihat pada bab 4.6 yaitu melakukan beberapa pengujian yang diantaranya pengujian keandalan sistem, kemudian pengujian paket data pada jaringan. Dari semua proses monitoring yang telah dilakukan dapat disimpulkan bahwa server dapat melayani klien tanpa adanya kendala dari infarstruktur hardware dan pengujian data yang ada.

3.2.6 Tahapan Pengaturan (Management) Tahapan ini memiliki fungsi untuk membuat / mengatur agar sistem yang telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsur reliability terjaga. Dapat dilihat pada bab 4.7 yaitu dilakukan 2 bagian yang pertama adalah User management

atau administrasi pengguna dan yang kedua adalah NAS management atau administrasi NAS (WLAN access point). 3.3

Mekanisme Kerja Penelitian Pendefinisian gambaran umum proses kerja penelitian skripsi. Penulis mendefinisikan

dan merepresentasikan metode dan alur proses penelitian, elemen-elemen, beserta interkoneksinya satu sama lainnya yang penulis terapkan pada penelitian skripsi ini dengan menggunakan pendekatan terhadap model NDLC dengan menggunakan media diagram model proses berikut pada halaman 74:

Perencanaan Penelitian Skripsi Perumusan & Pendefinisian Masalah & Judul Penelitian Perumusan

Metode Pengembangan Sistem

Metode Pengumpulan Data

Jenis Penelitian

Penelitian

Network Development Life Cycle

Studi Observasi

Analysis

Wawanca

Design

Perancangan Topologi SDIF AL

Perancangan Sistem

Simulasi Prototyping

Mempersiapkan Lingkungan Virtual

Membangun Prototipe Simulasi

Implementation

Implementasi Topologi Jaringan

Implementasi Sistem Pendukung

Monitoring

Pemantauan

Management

Pengelola Administarsi

Perumusan

Implementasi Skema IEEE 802.1 EAP-TTLS

Pengelola Perangkat RADIUS client Pembuatan

Gambar 3.2 Mekanisme Kerja Penelitian

BAB IV ANALISIS DAN IMPLEMENTASI

Pada bab ini, penulis akan menjelaskan proses pengembangan sistem keamanan jaringan dengan menerapkan protokol otentikasi EAP Tunneled TLS Authentication Protocol (EAP-TTLS), studi kasus kendali akses dan pengamanan pada jaringan wireless Sekolah Islam Fitrah Al Fikri Depok dengan menerapkan landasan teori dan metode penelitian yang sudah dibahas pada bab sebelumnya. Metode penelitian yang penulis gunakan adalah NDLC (Network Development LifeCycle). Dengan NDLC, siklus pengembangan sistem jaringan didefinisikan pada jumlah fase berikut : analysis (analisis) design (perancangan), simulasi prototyping (prototipe simulasi), implementation (implementasi), monitoring (pengamatan), dan management (manajemen). 4.1

Analisa Metode pengembangan NDLC memulai siklus pengembangan sistem jaringan pada

tahap analisis. Pada tahap ini dilakukan analisa dengan melakukan perbandingan komponenkomponen yang terdapat pada model yang bertujuan untuk penulis menggunakan teknologi tersebut dalam penelitian ini. Pada tahap ini pula penulis menganalisa serta menentukan komponen yang digunakan secara detail. 4.2.1. Analisa Kebutuhan Sistem Kemanan EAP-TTLS Keamanan dan kendali akses merupakan isu yang banyak dibahas ketika mengimplementasikan jaringan wireless. Beberapa solusi dikembangkan untuk memenuhi akan adanya jaringan wireless yang aman. Namun beberapa solusi tersebut kurang tepat bila digunakan untuk jaringan wireless yang memiliki pengguna dalam jumlah besar. Pada

infrastruktur jaringan seperti ini model pengamanan yang tepat adalah three-tier autentication model, yang terdiri dari tiga komponen yaitu : supplicant (wireless client), authenticator (wireless access point ) dan authentication server. Pada penelitian sebelumnya, Ali Mahrudi telah mengimplementasikan protokol kemanan IEEE 802.1X yang dintegrasikan dengan IEEE 802.11 untuk mengamankan jaringan wireless di FST. Solusi ini menggunakan protokol otentikasi EAP-TLS. Protokol ini telah menjawab kebutuhan keamanan di FST. Namun, berdasarkan analisa penulis, protokol tersebut memiliki kesulitan pada fase implementasi. Hal ini dikarenakan, protokol EAP-TLS membutuhkan sertifikat digital pada dua sisi, yaitu di sisi klien dan sisi server. Hal ini akan menyulitkan pada tiga fase pengembangan jaringan, yaitu fase implementasi awal, administrasi pengguna dan pembuatan security policy atau kebijakan keamanan. Pada penelitian ini, penulis mengajukan protokol EAP-TTLS untuk menggantikan otentikasi pada sisi klien dengan menggunakan kombinasi username dan password. Dari sisi mobilitas, EAP-TTLS karena pengguna dapat mengakses menggunaan PC atau notebook lainnya untuk terkoneksi ke jaringan selama pengguna tersebut memiliki akun yang sah. Sedangkan EAP-TLS hanya dapat digunakan pada PC atau notebook pengguna yang telah terinstal sertifikat digital yang diberikan oleh network administrator. Perbandingan antara EAP TLS dan EAP-TTLS dapat dilihat pada tabel 4.1. Tabel 4.1 Perbandingan EAP-TLS dan EAP-TTLS Jenis Otentikasi EAP-TLS EAP-TTLS Internet – Draft RFC 2716 Spesifikasi 3 / 2003 Cisco, Funk, Meetinghouse, Client Funk, implementatio Microsoft, Meetinghouse Open1X (open ns source) Perbandingan

Supported client platforms

Authenticatio n server Implementati ons

Authenticatio n methods

Linux, Mac OS X,Windows 95/98/ME, Windows NT/2000/XP, Mac OS X Cisco ACS, Funk Odyssey, Interlink Secure.XS, Meetinghouse AEGIS, Microsoft IAS, FreeRADIUS X.509 Certifikat Only

Linux, MacOS X, Windows 95/98/ME, Windows NT/2000/XP

Funk, Meetinghouse, Interlink

CHAP, PAP, MS-CHAP, MS-CHAPv2, and EAP methods

Protocol operations

Basic protocol structure

Sesi pembentukan jalur TLS dan validasi sertifikat client dan server

Terdapat dua fase : 1. pembent ukan jalur TLS antara client dan server TTLS 2. Exchan ge attribute value pairs between client and server

Fast session reconnect

Tidak

Ya

Standard

Terbuka

Terbuka

Key Material

Ya

Ya

Ya

Ya

Supplicant : sertifikat

Supplicant : username-

Mutual Authentication Informasi Otentikasi

Proteksi terhadap identitas pengguna

Server : sertifikat

passsword Server : sertifikat

Tidak

Ya

4.2.2. Analisa Komponen-komponen Setelah menentukan protokol otentikasi user terpusat yang akan digunakan, yaitu jenis EAP-TTLS. Maka kegiatan selanjutnya adalah menganalisa dan menentukan komponen-komponen yang akan digunakan. Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat Sistem

Keterangan

Sitem otentikasi user Sistem otentikasi user terpusat berperan sebagai data terpusat

atau daftar user dan administrator yang ada, yang diberikan izin akses ke sistem atau jaringan.

Tabel 4.3 Spesifikasi Software No

Software

Versi

Keterangan

1

Ubuntu

10.10

Sistem

operasi

digunakan sebagai OS yang diinstall Ubuntu otentikasi

untuk user

terpusat. 2

Windows 7

7

Untuk

sistem

operasi client / user

3

Ubuntu

10.10

Untuk operasi

sistem komputer

sniffer 4

FreeRADIUS

2.1.10

Software

yang

digunakan

untuk

memberikan layanan

dan

pengolahan otentikasi/ akses

hak

user

/

pengguna 5

MySQL

5.1

Aplikasi

yang

digunakan

untuk

menyimpan

dan

mengelola database

user

secara terpusat 6

XAMPP

Linux

Sebagai web server

7

aircrack-ng

1.1

Software digunakan

yang untuk

uji coba serangan pada

jaringan

wireless 8

Wireshark

1.0.4

Software digunakan

yang untuk

meng-Capture paket TTLS dan paket

data

yang

ditransmisikan 0.9.8

Merupakan based

9

DaloRADIUS

yang

web

interface digunakan

dalam manajemen user. 0.8.7

Berfungsi

untuk

mengawasi yang 10

user

memakai

Cacti jaringan.

dan

memantau

beban

pada server 1.1 11

Capture paket data

Aerodam jaringan 6.1

Untuk

Meng

Capture

trafik

CommView 12

jaringan dari sisi Build 678 klien

dan

sisi

Server.

Tabel 4.4 Spesifikasi Hardware No

Perangkat

Spesifikasi

Jumlah

Keterangan

1

Komputer

Prosesor :

1

Server

Core2Duo 2,2 GHz

otentikasi

AAA /

RAM : 3 GB

menggunakan

RADIUS

Harddisk : 250 GB

FreeRADIUS,

server

LAN

Card

:

Digunakan sebagai server terpusat

manajemen

serta dan

Realtek RTL8168B

pengelolaan database user

WLAN

yang terpusat.

Card

:

Atheros AR9285 2

2

Sebagai access server /

Access

WRT54GL

Point (AP)

Prosesor :

device

Broadcom

menghantarkan paket EAP

BCM5352 @ 200

antara client dan server

MHz

otentikasi

yang

RAM : 16 MB Flash : 4 MB 4

Komputer

Prossesor :

Digunakan

Client

Core2Duo T5800

komputer

2,0GHz

1

RAM : 1 GB

sebagai client

yang

terotentikasi dan memiliki hak akses.

Harddisk : 250 GB WLAN card : Broadcom 802.11 g Fungsi

:

client

terotentikasi 5

Komputer

Prossesor : Intel

Digunakan

sebagai

Penyadap

Core Duo T2250 1.6GHz

komputer / pengguna yang 1

tidak terotentikasi / sniffer

RAM : 1 GB DDR2 Harddisk : 120 GB WLAN card : Integrated 802.11b/g

4.2.1 Analisa Mekanisme EAP-TTLS Proses otentikasi protokol EAP-TLS dan protokol TTLS MSCHAPv2 memiliki beberapa tahapan yang sama, tahapan tersebut yaitu pada saat terjadinya pembentukan jalur komunikasi dengan menggunakan tranport layer security (TLS). TTLS dalam fase awal pembentukan jalur komunikasinya menggunakan handshake protocol, dimana handshake protocol merupakan bagian dari proses pembentukan jalur protokol TLS. Berikut adalah mekanisme TTLS :

Gambar 4.1 Proses Otentikasi TTLS MSCHAPv2 Proses otentikasi TTLS terjadi dalam dua tahapan : 1. Fase pertama menggunakan EAP dan jenis TTLS EAP untuk membuat sebuah channel TLS. 2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk mengotentikasi akses ke jaringan. dalam hal ini EAP yang digunakan adalah MSCHAPv2.

Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan perangkat access point yang memanfaatkan RADIUS server untuk melakukan proses transaksi paket paket TTLS-MSCHAPv2 sebagai berikut : Pembuatan channel TLS : 1. Asosiasi dan Meminta Identitas Ketika sebuah client wireless berasosiasi dengan access point, client akan mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point memproeses penerimaan pesan EAP-start, access point akan mengirimkan sebuah pesan EAPRequest/Identity ke client wireless. 2. EAP-Response/Identity Jika tidak terdapat user yang logon melalui client wireless, access point akan mengirimkan sebuah EAP-Response/identity yang berisi nama komputer. Untuk client windows yang dikirim berupa FQDN (Fully Qualified Domain Named) dari account komputer. Jika terdapat user yang logon, access point akan mengirimkan EAP-Response identity yang berisi username. Dalam proses TTLS, username yang dikirimkan berupa anonim. Access Point akan melewatkan pesan Response/identity ke server RADIUS dalam bentuk RADIUS access request. Berikut hasil capture paket

ini dengan

menggunakan tools wireshark.

Gambar 4.2 Capture paket EAP Response Identity Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client, berisi anonim dengan panjang paket 11 byte.

3. EAP-request dari Server RADIUS (TLS dimulai) Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi sebuah pesan EAP-request dengan jenis EAP yang digunakan pada proses TLS, permintaan ini menunjukkan bahwa proses otentikasi TLS dimulai.

Gambar 4.3 Capture Paket EAP Request-TLS start Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server otentikasi, yang menandakan bahwa fase TLS dimulai. Tipe otentikasi yang digunakan adalah TTLS. Panjang paket ini adalah 6 byte. 4. EAP-Response dari Client wireless (paket Hello TLS client) Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP yang digunakan, hal ini dikenal dengan proses pengiriman paket hello TLS. Access Point akan melewatkan pesan EAP ke server RADIUS dalam bentuk pesan RADIUS access-request. Berikut hasil capture paket hello TLS client.

Gambar 4.4 Capture Paket Hello-TLS client Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client, berisi paket client hello. Paket ini membawa atribut : random session ID, cipher suites, metode compression. dengan panjang paket 116 byte. 5. EAP request dari Server RADIUS (sertifikat milik RADIUS) Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi pesan EAP request dengan jenis EAP yang digunakan pada TTLS dan berisi rangkaian server hello, sertifikat dari RADIUS server, dan pesan server hello done. Access point melewatkan pesan EAP ke client. Berikut hasil capture paket sertifikat server.

Gambar 4.5 Capture Paket EAP Request Sertifikat Server Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server, berisi paket server certificate dan paket server hello done. panjang paket ini adalah 1024 byte. 6. EAP-Response dari client wireless Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat dari client wireless. Access point melewatkan pesan EAP tersebut ke server RADIUS. Pada TTLS sertifikat pada sisi client tidak dikirim. Selanjutnya paket yang akan dikirim adalah client key exchange dan change cipher spec. berikut hasil capture paket tersebut.

Gambar 4.6 Capture Paket EAP Response-Client Key Exchange Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client, berisi paket client key exchange dan paket change cipher spec. panjang paket ini adalah 336 byte. 7. EAP-Request dari server RADIUS (bentuk cipher, TLS lengkap) RADIUS mengirimkan sebuah pesan RADIUS access challenge / paket EAP request yang berisi sebuah pesan EAP request yang berisi cipher suite dan sebuah indikasi yang menyatakan pertukaran pesan pada otentikasi TLS telah selesai dilakukan. Access point melewatkan pesan EAP ke client.

Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS complete

Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server, berisi paket change cipher. panjang paket ini adalah 65 byte. Server 8. EAP-Success dari server RADIUS Server RADIUS memperoleh unicast session key dari proses otentikasi TLS. Pada fase ini jalur TLS telah terbentuk dan siap digunakan untuk fase selanjutnya. Diakhir negosiasi TTLS, server RADIUS mengotentikasi dirinya ke client. Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS dengan menggunakan public key, dan bukan password. Semua rangkaian pesan EAP dikirim diantara client dan server RADIUS secara terenkripsi. Setelah

jalur

TTLS-TLS dibuat,

langkah

berikut

yang

digunakan untuk

mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2.

Otentikasi menggunakan MSCHAPv2 : Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara clear text, karena paket paket tersebut sudah berada pada jalur TLS yang terenkripsi. 1. Server RADIUS mengirimkan pesan EAP-request / identity

Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2

2. Client merespon dengan pesan EAP-Response / identity yang berisi identitas (nama user/nama komputer) dari client

Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2 3. Server RADIUS mengirimkan sebuah EAP-request /EAP-ms-chap v2 challenge yang berisi serangkaian string challenge

Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge 4. Client merespon dengan pesan EAP-response/EAP-ms-chap v2 Response yang berisi Response (jawaban) string challenge untuk server RADIUS

Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response

5. Server RADIUS menerima pesan EAP request/ EAP-ms-chap v2 success. Yang mengindikasikan jawaban dari client adalah benar dan berisi response challenge string ke client

Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success 6. Client merespon dengan pesan EAP response/EAP-ms-chap v2 ack, mengindikasikan bahwa respon dari server RADIUS adalah benar.

Gambar 4.13 Capture Paket EAP response/EAP-ms-chap v2 ack 7. Server RADIUS mengirimkan sebuah pesan EAP success

Gambar 4.14 Capture Paket EAP Success Akhir dari proses saling mengotentikasi ini adalah client dan server RADIUS dapat membuktikan kebenaran password yang digunakan dan pertukaran terjadi didalam jalur yang terenkripsi oleh jalur TLS.

Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci MK (master session key) Kunci MK akan menghasilkan kunci PMK yang akan berubah secara dinamis yang akan di gunakan bersama oleh access point dan client pada proses enkripsi WPA dalam metransmisikan data nya. Proses distribusi kunci ini disebut 4 way handshake. Performa TTLS dipengaruhi dengan jumlah transaksi pengiriman pesan EAP Request dan EAP response, jumlah transaksi ini terdiri dari beberapa round-trip. Round-trip adalah jumlah satu kali paket request dan paket response antara supplicant dan server TTLS. Berikut adalah data paket paket TTLS dalam satu kali proses otentikasinya. Tabel 4.5 Ukuran Pesan EAP dan Waktu Proses

Urutan Pesan

Sumber

Nama Pesan

TTLS MSCHAPv2 Ukuran Total Paket Waktu (byte) (milisecond) 194 0.00

1.

Client

Identity

2.

Server

TTLS-start

119

0.767

3.

Client

Client –Hello

178

0.729

1132

20.869

112

1.480

1087

0.221

262

27.916

1.server-hello 2.certificate 4.

Server 3. server key exchange 3.server hello done

5.

Client

Response-TTLS version 1.Server-hello 2.certificate

6.

Server 3. server key exchange 3.server hello done

7.

Client

1. client key exchange

2. change cipher spec 3. encrypted handshake message 1. change cipher spec 8.

server

2. encrypted handshake

165

8.708

112

1.605

143

0.344

202

1.744

159

0.321

266

6.719

191

0.889

186

2.001

143

0.496

234

1.870

EAP-Success

208

0.534

Client

1746

77.213

message 9.

Client

10.

server

Resonse-type Encrypted Application data Encrypted Application

11.

client data Encrypted Application

12.

Server data Encrypted Application

13.

Client data Encrypted Application

14.

Server data Encrypted Application

15.

Client data Encrypted Application

16.

Server data Encrypted Application

17.

Client data

18.

Server Total

Server

4.3

3347

Design (Perancangan) Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem yang akan

dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan spesfikasi rancangan sistem yang akan dibangun. Penulis membagi proses perancangan menjadi : 4.3.1 Perancangan Topologi Pada tahap ini, penulis menentukan topologi dari simulasi dari penerapan protokol TTLS yang akan dibangun dan mendefinisikan parameter – parameter konfigurasi yang dibutuhkan untuk menjamin sistem keamanan jaringan yang akan dibangun dapat berjalan dengan baik. Pada tahap ini dirancang suatu skema implementasi infrastruktur TTLSMSCHAPv2 dengan hasil sebagai berikut : C lient 1

AP 1

DB Server

C lient 2 AP 2

FR Server C lient 3 AP 3

internet

Gambar 4.15 Perancangan Topologi TTLS Rincian keterangan dari gambar rancangan topologi sistem jaringan wireless diatas adalah sebagai berikut : 1. jenis topologi yang diterapkan adalah mode jaringan wireless infrastruktur

2. seluruh alamat IP client dan access point yang digunakan menggunakan kelas C (subnet-mask 255.255.255.0); direpresentasikan dengan format Classless InterDomain Routing (disingkat menjadi CIDR) (/24). 3. pada segmen jaringan terdapat : a. Client : mendefinisikan client dari WLAN internal. b. Server : mendefinisikan dan merepresentasikan mesin server pada sistem jaringan komputer c. Access point (AP) : mendefinisikan sebagai device yang menjadi perantara antara komunikasi berbasis kabel dan udara Hasil dari pembangunan sistem ini adalah sistem keamanan jaringan wireless yang secure dan mudah untuk di implementasikan serta sistem ini dapat melakukan proses otentikasi secara terdistribusi. Penggunaan sertifikat digital pada sisi client pada protokol EAP-TLS dirubah dengan menggunakan kombinasi username dan password. Topologi TTLS yang dirancang ini akan diimplementasikan pada jaringan Wireless Sekolah Islam AL Fikri. Berikut adalah topologi jaringan wireless Sekolah Islam AL Fikri saat ini :

Gambar 4.16 Topologi Jaringan Wireless Sekolah Islam Al Fikri Secara umum jaringan SIF Al Fikri menggunakan pemodelan Topologi Extended Star (Extended Star Topology) yaitu. Merupakan perkembangan dari topologi star. Memiliki beberapa

titik

yang

terhubung

ke

satu

titik

utama

http://hendri.staff.uns.ac.id/2009/10/topologi-jaringan-komputer/#more-554). Pada Sekolah Islam Fitrah AL Fikri, Jaringan WLAN diterapkan pada 2 Gedung berbeda, yaitu Gedung Ibnu Sina lantai 1 dengan akses point berjumlah 1 buah AP, lantai 2 dengan akses point berjumlah 1 buah AP dan Gedung Ibnu Kholdun lantai 1 dengan akses point berjumlah 1 buah AP, lantai 3 dengan akses point berjumlah 1 buah AP. Masing masing akses point seluruhnya dihubungkan kedalam jaringan LAN dan dikonfigurasikan didalam Ruang IT Sekolah. Sedangkan pada sisi client di set dengan menggunakan IP dinamis / DHCP dengan IP kelas C. Berikut penggunaan IP untuk masing masing akses point.

Tabel 4.6 Alamat IP Jaringan Wireless SIF AL Fikri Depok

No

Lokasi

Lokasi

Kelas IP

IP Address

Ruang IT

C

192.168.x.x

C

192.168.x.x

C

192.168.x.x

C

192.168.x.x

AP Lantai 1 1

2

Gedung Ibnu Sina AP Lantai 2

Ruang Guru

Gedung Ibnu Sina

SMP

AP Lantai 1 Ruang Guru SD 3

4

Gedung Ibnu Kholdun AP Lantai 3

Ruang Learning

Gedung Ibnu Kholdun

Support Center Range : Lantai 1 192.168.2.100-

5

Client Mobile

Gedung Ibnu

C 192.168.2.254

Sina

Lantai 2,3 Client Mobile 6

Client Mobile 7

Client Mobile 8

4.3.2 Perancangan sistem

Gedung Ibnu

Range: C

192.168.3.100-

Sina

192.168.3.254

Lantai 1,2

Range:

Gedung Ibnu

C

192.168.4.100-

Kholdun

192.168.4.254

Lantai 3

Range:

Gedung Ibnu Kholdun

C

192.168.1.100192.168.254

Setelah rancangan topologi jaringan dibuat, langkah selanjutnya adalah membuat rancangan sistem sistem baru yang akan dibangun dan diimplementasikan, yang akan menjadi solusi berbagai rumusan permasalahan. Penulis menggunakan diagram alur untuk menggambarkan dan mendefinisikan alur koneksi fungsionalitas sistem yang akan penulis bangun, sehingga dapat dengan jelas diidentifikasi dan dipahami dengan lebih mudah. Gambar 4.17 menspesifikasikan diagram alur dari sistem otentikasi TTLS MSCHAPv2.

Gambar 4.17 Sistem TTLS

Keterangan dari simbol simbol diatas adalah sebagai berikut : Tabel 4.7 keterangan simbol diagram alur Model Terminal

Simbol

Keterangan Mendefinisikan awal atau akhir proses

Mendefinisikan input data secara Manual input manual Process, report

Mendefinisikan suatu kegiatan yang terjadi atau hasil dari kegiatan tersebut. Mendefinisikan kondisi pilihan dari

decision

sejumlah kemungkinan dari suatu proses tertentu Mendefinisikan data yang tersimpan pada suatu sistem atau media

Stored data

penyimpana, untuk nantinya dapat dimanfaatkan oleh proses atau sistem lain Mendefinisikan output dalam layar /

Display display

Sequence

Urutan terjadinya proses-proses

Diagram alur diatas dapat dijelaskan sebagai berikut : 1. Saat client ingin bergabung dan masuk kedalam jaringan, client diwajibkan untuk melakukan input kombinasi username dan password. 2. Data username dan password tersebut akan diterima oleh access point, oleh access point data tersebut tidak diproses oleh AP melainkan di-forward ke server otentikasi. 3. Oleh server otentikasi, data username dan password tersebut dicocokkan dengan data username dan password yang tersimpan didalam database nya

4. Jika ditemukan kecocokan data, maka server otentikasi akan mengirimkan paket RADIUS access accept. Paket ini selanjutnya dikirimkan ke access point. 5. Namun jika tidak ditemukan kecocokan, maka server otentikasi mengirimkan paket RADIUS access reject. Paket ini selanjutnya juga akan dikirimkan ke access point. 6. Oleh access point paket yang diterima dari server otentikasi akan diproses untuk memutuskan apakah client dapat terkoneksi dan bergabung kedalam jaringan ataukah tidak. Jika paket yang diterima oleh access point adalah access accept. Maka AP akan memberikan hak akses kepada client untuk masuk kedalam jaringan. 7. Jika paket yang diterima oleh AP dari server otentikasi adalah paket RADIUS access reject. Maka AP akan memblok dan meminta input username dan password kembali kepada client.

4.4

Simulation Prototyping (Prototipe Simulasi) Pada tahap ini penulis membangun prototipe dari sistem baru yang akan dibangun dan

diimplementasikan pada lingkungan WLAN dengan menggunakan server virtual pada lingkungan virtual. Simulation prototyping mendemonstrasikan fungsionalitas sistem yang akan dibangun. Penulis menggunakan Virtual Box versi 3.1.6 r59338 untuk memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi.

Fase pembangunan prototipe

(lampiran 1 s/d 7). Hasil pengujian monitoring secara simulasi dapat dilihat pada lampiran 9.

4.5

Implementasi

Setelah selesai melakukan tahapan simulasi, penulis kemudian mengimplementasikan solusi ini pada perangkat yang sebenarnya. Pengaturan yang dilakukan adalah pada dua komponen yaitu supplicant dan authenticator. Pada sisi authenticator, perangkat ini harus mengetahui alamat IP dari server RADIUS dan kombinasi shared secret yang digunakan untuk dapat berkomunikasi dengan server RADIUS tersebut. Sedangkan pada sisi supplicant, perangkat ini terlebih dahulu diinstall sertifikat digital untuk CA atau sertifikat digital dari server RADIUS. Hal ini bertujuan, agar supplicant terhindar dari serangan rogue access point dan rogue RADIUS server, sehingga informasi username dan password pengguna tidak jatuh ke pihak yang tidak sah. Sertifikat digital ini memastikan bahwa supplicant terkoneksi dan melakukan otentikasi ke server RADIUS yang sebenarnya. Mekanisme ini juga disebut dengan server authentication. Setelah konfigurasi pada supplicant dan authenticator selesai dilakukan, maka pengguna telah dapat mengakses jaringan wireless menggunakan akunnya masingmasing. Adapun tampilan yang akan terdapat pada sisi pengguna adalah seperti yang terlihat pada gambar 4.21 (windows 7), gambar 4.22 (windows XP), dan gambar 4.23 (ubuntu 10.10).

Gambar 4.21 tampilan input username dan password pada sisi client windows 7

Gambar 4.22 tampilan input username dan password pada sisi client windows XP

Gambar 4.23 tampilan input username dan password pada sisi client Ubuntu 10.10 desktop Proses implementasi meliputi beberapa tahap-tahapan berikut ini: 4.5.1 Instalasi Server RADIUS Server RADIUS merupakan server AAA yang bertugas untuk menangani proses otentikasi, otorisasi, dan accounting. Dalam penelitian kali ini, penulis mengimplementasikan server RADIUS dengan menggunakan aplikasi FreeRADIUS. Berikut perintah untuk

menginstal aplikasi freeRADIUS. Tahapan instalasi freeRADIUS secara lengkap dapat dilihat pada halaman lampiran 1. # apt-get update # apt-get install freeradius Aplikasi freeRADIUS berbasis command-line, semua perintah dan konfigurasi aplikasi ini berbasis teks. Berikut perintah untuk mengaktifkan aplikasi ini : # freeradius start Untuk menjalankan freeRADIUS dalam mode debug : # freeradius –X Saat mode debug, freeRADIUS siap digunakan setelah menyatakan ready to process request, berikut tampilan nya :

Gambar 4.24 mode debug freeRADIUS 4.5.2 Pembuatan Sertifikat Digital Sertifikat ini nantinya akan didistribusikan kepada setiap client yang terdaftar untuk melakukan koneksi kedalam jaringan. Hal ini bertujuan, agar supplicant terhindar dari serangan rogue access point dan rogue RADIUS server. sertifikat yang dibuat adalah sertfikat CA, sertifikat ini akan didistribusikan kepada para masing masing pengguna/client. Berikut konfigurasi pembuatan certifkat. Selengkapnya dapat dilihat pada Lampiran 2. mkdir CA mkdir CA/signed_certs mkdir CA/private chmod 700 CA/private cp /etc/ssl/openssl.cnf /home/radius/CA/

nano /home/arief/CA/openssl.cnf dir

= /home/radius/CA

certs

= $dir/

new_certs_dir = $dir/signed_certs

4.5.3 Konfigurasi Server RADIUS setelah menginstall aplikasi freeRADIUS, terdapat file konfigurasi yang di akan di setting, yaitu : a. Konfigurasi eap.conf Bertujuan untuk mengaktifkan protokol EAP, Selengkapnya dapat Lampiran 3. berikut settingannya : #nano EAP.conf Selanjutnya menyesuaikan data berikut : TLS { certdir = /home/radius/CA2 [arahkan ke dir CA] cadir = /home/radius/CA private_key_password = qwerty private_key_file = ${certdir}server_key.pem CA_file = ${cadir}/cacert.pem dh_file = ${certdir}/dh [diffie halffman] random_file = ${certdir}/random } }

b. Konfigurasi sql.conf

dilihat pada

Melakukan setting dan konfigurasi database, berikut settinganya : sql { database = "mysql" driver = "rlm_sql_${database}" server = "localhost" port = 3306 login = "radius" password = "radpass" radius_db = "radiusdb" acct_table1 = "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" usergroup_table = "radusergroup" sqltrace = no sqltracefile = ${logdir}/sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 lifetime = 0 nas_table = "nas" $INCLUDE sql/${database}/dialup.conf }

c. Konfigurasi clients.conf file ini bertujuan untuk melakukan konfigurasi berupa penambahan maupun pengurangan client baru, yang dimaksud client disini adalah Access point. client 192.168.1.11 { secret

= testing123

shortname = simulator nastype = other }

4.5.4 Konfigurasi Access Point Pada Access point dilakukan Setting alamat IP, mengubah security mode menjadi WPA enterprise dan setting nama SSID. Selengkapnya dapat dilihat pada Lampiran 6. 4.5.5 Instalasi Sertifikat CA pada Client Tahapan instalasi ini dapat dilihat selengkapnya pada Lampiran 7 4.5.6 Instalasi Database Server Aplikasi database server yang digunakan adalah MYSQL, berikut adalah perintah untuk melakukan instalasi database MYSQL, lebih lengkapnya dapat dilihat pada lampiran x. # apt-get update # apt-get install mysql-server

4.5.7 Konfigurasi Database Server Konfigurasi database menggunakan phpmyadmin, berikut screenshot konfigurasi database.

Gambar 4.25 Konfigurasi database dengan phpmyadmin

4.6 Monitoring (Pengawasan) Pada tahapan ini penulis melakukan pegujian keandalaan sistem dengan melihat performa dari sisi server ketika melakukan otentikasi dari sisi klien, dapat dilihat pada gambar 4.26

Gambar 4.26 Perbandingan Performa Server berdasarkan jumlah request otentikasi

4.6.1

Pengujian realibility (keandalan sistem) Untuk Membuktikan sistem otentikasi aman dimana data yang ditransmisikan

terenkripsi maka penulis melakukan pengujian dengan menggunakan tools Aerodam 1.1. berbasis linux. Tools ini biasanya digunakan dengan melakukan scanning untuk mengetahui alamat SSID, jenis otentikasi dan enkripsi yang digunakan, serta channel yang dipakai pada jaringan wireless. Setelah dilakukan scanning selanjutnya paket hasil

scanning tersebut di buka dengan menggunakan tools wireshark. Tools wireshark digunakan untuk melihat secara detail suatu paket data yang di transmisikan pada jaringan. Pertama-tama dengan mensetting Access Point dengan SSID black_usb,

Gambar 4.27 Konfigurasi AP SSID black_usb Pada tahap kedua alamat IP diset dengan IP 192.168.1.11, RADIUS server dengan IP 192.168.1.10, client 192.168.1.12 dan sniffer 192.168.1.13. pada AP black_usb di setting dengan mode security WPA enterprise, WPA alghoritm AES, RADIUS port 1812, dan shared secret “testing123”. Gambar 4.28 Konfigurasi Security mode WPA enterprise Dikondisika n AP dengan SSID black_usb telah

aktif,

client mengirimkan paket “ping” ke server. Komputer sniffer selanjutnya melakukan scanning dan Capture paket yang terdapat didalam jaringan nirkabel. Berikut hasil Capture dari scanning dengan menggunakan Aerodam 1.1 Gambar 4.31 scanning status AP black_usb T erlihat pada SSID black_us b menggunakan channel wlan 11, nilai AUTH adalah MGT, nilai MGT bermakna menggunakan server RADIUS untuk proses otentikasinya. cipher nya adalah CCMP dan data enkripsi bernilai WPA. Berikut hasil interface paket data yang diCapture tersebut :

Gambar 4.29 Capture paket data pada AP black_usb Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada jaringan WLAN yang menggunakan WPA Enterprise data tersebut telah terenkripsi. Berdasarkan hasil ini terbukti bahwa dengan menggunakan WPA Enterprise (TTLS), dapat mengamankan paket paket data yang ditransmisikan

4.6.2

Pengujian paket data jaringan.

Pada tahap ini dilakukan dengan melakukan pengujian paket data yang pada jaringan ada, dengan melihat dari sisi waktu dan paket otentikasi dan proses pingiriman pesan dari klien ke server. dapat dilihat pada gambar 4.27.

Gambar 4.30 Jumlah paket authentication request Pada gambar diatas terlihat bahwa sistem memproses paket authentication request rata-rata 3 paket/detik dengan nilai maksimum adalah 7 paket/detik. Dengan total paket authentication Response 3 paket/detik dan nilai maksimum 7 paket perdetik. Akses yang ditolak sebanyak 2 paket authentication dan nilai maksimum 4 paket / detik

Gambar 4.31 Jumlah paket accounting request Pada gambar diatas terlihat bahwa sistem memproses paket accounting request ratarata 4 paket/detik dan nilai maksimum adalah 10 paket/detik. Begitu pula pada proses accounting response, rata-rata 4 paket /detik dan nilai maksimum 10 paket/detik.

Dari semua proses monitoring yang telah dilakukan dapat disimpulkan bahwa server dapat melayani klien tanpa adanya kendala dari infarstruktur hardware dan pengujian data yang ada. 4.7

Management (Manajemen) Pada tahap ini penulis hanya melakukan manajemen user dan perangkat jaringan

wireless yang telah diterapkan. Administrasi yang dilakukan dibagi menjadi dua bagian, yaitu: 1. User management atau administrasi pengguna 2. NAS management atau administrasi NAS (WLAN access point) Pada bagian user management, sysadmin dapat melakukan beberapa konfigurasi, yaitu penambahan pengguna baru, menghapus dan mengubah informasi pengguna.

Gambar 4.32 manajemen akun pengguna Sedangkan pada bagian NAS management, dalo radius dapat menambahkan accses point yang dapat berkomunikasi dengan server RADIUS.

Gambar 4.33 manajemen access point

BAB V KESIMPULAN DAN SARAN

5.1

Kesimpulan Kesimpulan dari penelitian yang telah penulis lakukan adalah sebagai berikut: 1. Penerapan Protokol Tunneleed TLS EAP (TTLS-EAP) dapat digunakan untuk menangani protokol otentikasi pada jaringan wireless serta mudah pada sisi administrasinya dapat dilihat pada gambar 4.21 2. Penerapan RADIUS Server dengan menggunakan tambahan protokol EAP-TTLS pada jaringan wireless. 3. Dengan otentikasi user terpusat memudahkan administrator dan user atau pengguna baik dalam mengatur dan menggunakan sumber daya jaringan. dapat dilihat pada gambar 4.29 dan gambar 4.30.

5.2

Saran Saran dari penulis untuk pengembangan penelitian selanjutnya yang berkaitan dengan

sistem otentikasi terpusat dengan TTLS-EAP ini yaitu: 1. Kinerja protokol EAP-TTLS dipengaruhi oleh spesifikasi hardware yang digunakan. Untuk jumlah pengguna yang semakin bertambah dan meningkat, kedepan diperlukan suatu mekanisme load balancing, dengan sistem load balancing pembagian beban dan kinerja server otentikasi dibagi secara merata ke beberapa server yang ada sehingga dapat mempertahankan Quality of Service dari jaringan tersebut. 2. Hasil dari penelitian ini dapat dilanjutkan dengan melakukan analisa pada fitur reauthentication pada protokol EAP-TTLS MSCHAPv2. Fitur re-authentication

merupakan fitur untuk mengurangi waktu yang diperlukan untuk menyelesaikan proses otentikasi. 3. Dari proses penelitian yang dilakukan otentikasi user terpusat ini masih tergolong sederhana. Penulis menyarankan bagi yang ingin meneliti lebih dalam lagi, mengerti sedikit tentang linux / open source dan konsep EAP-TTLS.

DAFTAR PUSTAKA

Arifin, Zaenal. 2008. Sistem Pengamanan Jaringan Wireless LAN berbasis Protokol 802.1x & Sertifikat. Yogyakarta : Andi. Ariyus, Dony. 2006. Computer Security. Yogyakarta : Andi. Burnett Steve, Stephene Paine. 2000. RSA Security’s Official Guide to Cryptography. California : RSA Press. Gast,

Matthew.

TTLS

and

PEAP

Comparison.

[Online]

Tersedia

:

http://www.opus1.com/www/whitepapers/ttlsandpeap.pdf [5 November 2010]. Charles M. Kozierok. TCP/IP Guide. [Online] tersedia : http://www.tcpipguide.com. [3 Agustus 2010]. Goldman, James E. Rawles, Philip T. 2001. Applied Data Communication : a business Oriented Approach 3rd edition. New York : Wiley John and Sons Inc. Hantoro, Gunandi Dwi. 2009. WiFi (Wireless LAN) Jaringan Komputer Tanpa Kabel. Bandung : Informatika. Hartono, Jogiyanto, MBA, PhD. 1999. Pengenalan Komputer. Yogyakarta : Andi Hassel, Jonathan. 2002. RADIUS. Cambridge, Massachusetts : O'Reilly Media. Internet Draft. EAP-TTLS Version 2 [Online] : http://tools.ietf.org/html/draft-josefssonpppext-eap-tls-eap-10 [25 Agustus 2010].

Madjid Nakhjiri, Mahsa Nakhjiri. 2005. AAA and Network Security for Mobile Access RADIUS, DIAMETER, EAP, PKI AND IP Mobility. Chichester : John Wiley & Sons Ltd. Nazir, Moh. 2005. Metode Penelitian. Bogor : Ghalia Indonesia

Reid, Neil. 2010. Wireless Mobility the Way of Wireless. New York : McGraw-Hill Companies. Reza Fuad R. Standar IEEE 802.1x Teori dan Implementasi. [online] tersedia : http://oc.its.ac.id/ambilfile.php?idp=129 [1 Agustus 2010]. RFC

2716.

PPP

EAP

TLS

Authentication

Protocol.

[Online]

tersedia

:

tersedia

:

tersedia

:

http://tools.ietf.org/html/rfc2716 [25 Agustus 2010]. RFC 2759.

Microsoft PPP

CHAP

Extensions,

Version 2.

[online]

http://tools.ietf.org/html/rfc2759 [25 Agustus 2010 ]. RFC

3748.

Extensible

Authentication

Protocol

(EAP).

[Online]

http://tools.ietf.org/html/rfc3748 [25 Agustus 2010]. RFC 4017. Extensible Authentication Protocol (EAP) Method Requirements for Wireless LANs. [Online] tersedia : http://tools.ietf.org/html/rfc4017 [25 Agustus 2010] Setiawan, Deris. 2009. Fundamental Internetworking Development & design Life Cycle. [online]

tersedia

:

http://ilkom.unsri.ac.id/deris/materi/jarkom/

network_development_cycles.pdf [29 Juli 2010]. Tim Penelitian dan Pengembangan Wahana Komputer. 2004. Kamus Lengkap Jaringan Komputer. Semarang : Salemba Infotek. Yadi, Ilman Zuhri, Yesi Novaria Kunang. Keamanan Wireless LAN : Teknik Pengamannan Access

Point.

[online]

tersedia

http://blog.binadarma.ac.id/yesinovariakunang/wpcontent/uploads/2010/08/IlmanYessi-Wireless-LAN.pdf [28 Juli 2010].

:

Lampiran 1. Instalasi FreeRADIUS Server 1. Hal pertama yang dilakukan adalah melakukan update repository database package ubuntu. masuk sebagai root kemudian ketik : apt-get update

2. perintah untuk proses instalasi freeRADIUS: root@ns1:/home/vpnserver# apt-get install freeradius

3. untuk proses instalasi RADIUS server dengan dukungan EAP, maka paket yang digunakan harus dibuat sendiri, tidak bisa dari repository ubuntu. Oleh karena akan dibuat built environment sendiri. Apt-get install build-essential

4. Setelah proses install build environemt selesai Maka kita selanjutnya mengunduh paket source freeradius dengan perintah berikut: wget

http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg-

1ubuntu1.dsc

wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg.orig.tar.gz

wget

http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg-

1ubuntu1.diff. 5. selanjutnya mengekstrak paket tar.gz pada paket paket freeradius yang telah di download tadi dengan perintah : dpkg-source -x *.dsc $ cd freeradius-2.1.8 $ dpkg-buildpackage –rfakeroot 6. Cek repository dependencies yang diperlukan agar freeradius dapat berjalan dengan normal : nano debian/control 7. selanjutnya Perintah untuk menginstal semua software dependencies agar freeradius dapat berjalan dengan normal : apt-get install quilt autotools-dev libtool libltdl3-dev libpam0g-dev libmysqlclient-dev libgdbm-dev libldap2-dev libiodbc2-dev libkrb5-dev libperl-dev libsnmp-dev libpq-dev libssldev python-dev libpcap-dev debhelper ssl-cert

8. selanjutnya meng-compile seluruh source code menjadi deb dengan perintah berikut : sudo dpkg buildpackage sudo dpkg –i libfreeradius2*.deb sudo dpkg –i freeradius-common*.deb sudo dpkg –i freeradius_2*.deb 121 apt-get install libltdl7 apt-get install libper15.10 apt-get install ssl-cert

Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server 

Masuk ke root dengan mengetik “sudo su” masukkan password root nya



Buat folder baru dengan mengetik :

~ $ mkdir CA ~ $ mkdir CA/signed_certs ~ $ mkdir CA/private ~ $ chmod 700 CA/private 

Lakukan copy file openssl.conf ke yang dipilih

~ $ cp /etc/ssl/openssl.cnf /home/radius/CA/ 

Buka file konfigurasi open ssl yang telah di-copy sebelumnya :

nano /home/radius/CA/openssl.cnf 

Ubah settingan pada file tersebut sebagai berikut

35 [ CA_default ] 36 37 dir = /home/radius/CA # Where everything is kept 38 certs = $dir/ # Where the issued certs are kept 39 crl_dir = $dir/crl # Where the issued crl are kept 40 database = $dir/index.txt # database index file. 41 #unique_subject = no # Set to 'no' to allow creation of 42 # several ctificates with same subject. 43 new_certs_dir = $dir/signed_certs # default place for new certs. 44 45 certificate = $dir/cacert.pem # The CA certificate

46 serial = $dir/serial # The current serial number 47 crlnumber = $dir/crlnumber # the current crl number 48 # must be commented out to leave a V1 CRL 49 crl = $dir/crl.pem # The current CRL 50 private_key = $dir/private/cakey.pem# The private key 51 RANDFILE = $dir/private/.rand # private random number file 52 53 x509_extensions = usr_cert # The extentions to add to the cert Tambahkan konfigurasi pada file openssl.cnf dengan (baris paling bawah) 316 # Windows XP TLS Extenstions 317 [ xpclient_ext ] 318 extendedKeyUsage=1.3.6.1.5.5.7.3.2 319 [ xpserver_ext ] 320 extendedKeyUsage=1.3.6.1.5.5.7.3.1 

Berikut perintah untuk membuat sertifikat CA :

~/CA $ openssl req -new -keyout private/cakey.pem -out careq.pem -config ./openssl.cnf 

Masukkan password / kunci private CA. kunci ini nantinya akan digunakan untuk konfirmasi setiap sertifikat yang akan diterbitkan oleh CA

Selanjutnya, buat sertifikat CA, isi dengan data berikut : 

Buat index.txt pada didalam dir CA

touch index.txt 

Perintah untuk menandatangani Certifikat digital yang dibuat : ~/CA

$

openssl

ca -create_serial -out cacert.pem

–keyfile

private/cakey.pem

-

selfsign -extensions v3_ca -config ./openssl.cnf -in careq.pem



Perintah untuk mengubah file .pem ke .der (file .der agar sertifikat CA yang dibuat dapat di-import ke sistem operasi berbasis windows).

~/CA $ openssl x509 -inform PEM -outform DER -in cacert.pem -out cacert.der 

Membuat sertifikat server untuk RADIUS server :

~/CA $ openssl req -new -config ./openssl.cnf -keyout server_key.pem -out server_req.pem 

Selanjutnya sertifikat server tersebut ditandatangi dulu oleh CA dengan perintah

berikut : CA $ openssl ca -config ./openssl.cnf -in server_req.pem -out server_cert.pem



Buat parameter 1024-bit Diffie-Hellman dengan perintah : ( pada folder CA) openssl dhparam -out dh 1024

dd

if=/dev/urandom

of=random

count=2

Lampiran 3. Konfigurasi eap.conf # -*- text -*## ## eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.) ## ## $Id$ ####################################################################### # # Whatever you do, do NOT set 'Auth-Type := EAP'. The server # is smart enough to figure this out on its own. The most # common side effect of setting 'Auth-Type := EAP' is that the # users then cannot use ANY other authentication method. # # EAP types NOT listed here may be supported via the "eap2" module. # See experimental.conf for documentation. # eap { # Invoke the default supported EAP type when # EAP-Identity response is received. # # The incoming EAP messages DO NOT specify which EAP # type they will be using, so it MUST be set here. # # For now, only one default EAP type may be used at a time. #

# If the EAP-Type attribute is set by another module, # then that EAP type takes precedence over the # default type configured here. # default_eap_type = ttls # A list is maintained to correlate EAP-Response # packets with EAP-Request packets. After a # configurable length of time, entries in the list # expire, and are deleted. # timer_expire = 60 # There are many EAP types, but the server has support # for only a limited subset. If the server receives # a request for an EAP type it does not support, then # it normally rejects the request. By setting this # configuration to "yes", you can tell the server to # instead keep processing the request. Another module # MUST then be configured to proxy the request to # another RADIUS server which supports that EAP type. # # If another module is NOT configured to handle the # request, then the request will still end up being # rejected. ignore_unknown_eap_types = no # Cisco AP1230B firmware 12.2(13)JA1 has a bug. When given

# a User-Name attribute in an Access-Accept, it copies one # more byte than it should. # # We can work around it by configurably adding an extra # zero byte. cisco_accounting_username_bug = no # # Help prevent DoS attacks by limiting the number of # sessions that the server is tracking. Most systems # can handle ~30 EAP sessions/s, so the default limit # of 4096 should be OK. max_sessions = 4096 # Supported EAP-types # # # We do NOT recommend using EAP-MD5 authentication # for wireless connections. It is insecure, and does # not provide for dynamic WEP keys. # md5 { } # Cisco LEAP # # We do not recommend using LEAP in new deployments. See: # http://www.securiteam.com/tools/5TP012ACKE.html

# # Cisco LEAP uses the MS-CHAP algorithm (but not # the MS-CHAP attributes) to perform it's authentication. # # As a result, LEAP *requires* access to the plain-text # User-Password, or the NT-Password attributes. # 'System' authentication is impossible with LEAP. # leap { } # Generic Token Card. # # Currently, this is only permitted inside of EAP-TTLS, # or EAP-PEAP. The module "challenges" the user with # text, and the response from the user is taken to be # the User-Password. # # Proxying the tunneled EAP-GTC session is a bad idea, # the users password will go over the wire in plain-text, # for anyone to see. # gtc { # The default challenge, which many clients # ignore.. #challenge = "Password: "

# The plain-text response which comes back # is put into a User-Password attribute, # and passed to another module for # authentication. This allows the EAP-GTC # response to be checked against plain-text, # or crypt'd passwords. # # If you say "Local" instead of "PAP", then # the module will look for a User-Password # configured for the request, and do the # authentication itself. # auth_type = PAP } ## EAP-TLS # # See raddb/certs/README for additional comments # on certificates. # # If OpenSSL was not found at the time the server was # built, the "tls", "ttls", and "peap" sections will # be ignored. # # Otherwise, when the server first starts in debugging # mode, test certificates will be created. See the

# "make_cert_command" below for details, and the README # file in raddb/certs # # These test certificates SHOULD NOT be used in a normal # deployment. They are created only to make it easier # to install the server, and to perform some simple # tests with EAP-TLS, TTLS, or PEAP. # # # See also: # # http://www.dslreports.com/forum/remark,9286052~mode=flat # # Note that you should NOT use a globally known CA here! # e.g. using a Verisign cert as a "known CA" means that # ANYONE who has a certificate signed by them can # authenticate via EAP-TLS! This is likey not what you want. tls { # # These is used to simplify later configurations. # certdir = /home/arief/CA cadir = /home/arief/CA private_key_password = qwerty private_key_file = ${certdir}/server_key.pem

# If Private key & Certificate are located in # the same file, then private_key_file & # certificate_file must contain the same file # name. # # If CA_file (below) is not used, then the # certificate_file below MUST include not # only the server certificate, but ALSO all # of the CA certificates used to sign the # server certificate. certificate_file = ${certdir}/server_cert.pem # Trusted Root CA list # # ALL of the CA's in this list will be trusted # to issue client certificates for authentication. # # In general, you should use self-signed # certificates for 802.1x (EAP) authentication. # In that case, this CA file should contain # *one* CA certificate. # # This parameter is used only for EAP-TLS, # when you issue client certificates. If you do # not use client certificates, and you do not want # to permit EAP-TLS authentication, then delete

# this configuration item. CA_file = ${cadir}/cacert.pem # # For DH cipher suites to work, you have to # run OpenSSL to create the DH file first: # # openssl dhparam -out certs/dh 1024 # dh_file = ${certdir}/dh random_file = ${certdir}/random # # This can never exceed the size of a RADIUS # packet (4096 bytes), and is preferably half # that, to accomodate other attributes in # RADIUS packet. On most APs the MAX packet # length is configured between 1500 - 1600 # In these cases, fragment size should be # 1024 or less. # # fragment_size = 1024 # include_length is a flag which is # by default set to yes If set to # yes, Total Length of the message is # included in EVERY packet we send. # If set to no, Total Length of the

# message is included ONLY in the # First packet of a fragment series. # # include_length = yes # Check the Certificate Revocation List # # 1) Copy CA certificates and CRLs to same directory. # 2) Execute 'c_rehash '. # 'c_rehash' is OpenSSL's command. # 3) uncomment the line below. # 5) Restart radiusd # check_crl = yes CA_path = ${cadir} # # If check_cert_issuer is set, the value will # be checked against the DN of the issuer in # the client certificate. If the values do not # match, the cerficate verification will fail, # rejecting the user. # # In 2.1.10 and later, this check can be done # more generally by checking the value of the # TLS-Client-Cert-Issuer attribute. This check # can be done via any mechanism you choose. #

# check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" # # If check_cert_cn is set, the value will # be xlat'ed and checked against the CN # in the client certificate. If the values # do not match, the certificate verification # will fail rejecting the user. # # # This check is done only if the previous # "check_cert_issuer" is not set, or if # the check succeeds. # # In 2.1.10 and later, this check can be done # more generally by checking the value of the # TLS-Client-Cert-CN attribute. This check # can be done via any mechanism you choose. # # check_cert_cn = %{User-Name} # # Set this option to specify the allowed # TLS cipher suites. The format is listed # in "man 1 ciphers". cipher_list = "DEFAULT" #

# # This configuration entry should be deleted # once the server is running in a normal # configuration. It is here ONLY to make # initial deployments easier. # make_cert_command = "${certdir}/bootstrap" # # Session resumption / fast reauthentication # cache. # # The cache contains the following information: # # session Id - unique identifier, managed by SSL # User-Name - from the Access-Accept # Stripped-User-Name - from the Access-Request # Cached-Session-Policy - from the Access-Accept # # # The "Cached-Session-Policy" is the name of a # policy which should be applied to the cached # session. This policy can be used to assign # VLANs, IP addresses, etc. It serves as a useful # way to re-apply the policy from the original # Access-Accept to the subsequent Access-Accept

# for the cached session. # # On session resumption, these attributes are # copied from the cache, and placed into the # reply list. # # You probably also want "use_tunneled_reply = yes" # when using fast session resumption. # cache { # # Enable it. The default is "no". # Deleting the entire "cache" subsection # Also disables caching. # # You can disallow resumption for a # particular user by adding the following # attribute to the control item list: # # Allow-Session-Resumption = No # # If "enable = no" below, you CANNOT # enable resumption for just one user # by setting the above attribute to "yes". #

enable = no # # Lifetime of the cached entries, in hours. # The sessions will be deleted after this # time. # lifetime = 24 # hours # # The maximum number of entries in the # cache. Set to "0" for "infinite". # # This could be set to the number of users # who are logged in... which can be a LOT. # max_entries = 255 } # # As of version 2.1.10, client certificates can be # validated via an external command. This allows # dynamic CRLs or OCSP to be used. # # This configuration is commented out in the # default configuration. Uncomment it, and configure # the correct paths below to enable it. #

verify { # A temporary directory where the client # certificates are stored. This directory # MUST be owned by the UID of the server, # and MUST not be accessible by any other # users. When the server starts, it will do # "chmod go-rwx" on the directory, for # security reasons. The directory MUST # exist when the server starts. # # You should also delete all of the files # in the directory when the server starts. # tmpdir = /tmp/radiusd # The command used to verify the client cert. # We recommend using the OpenSSL command-line # tool. # # The ${..CA_path} text is a reference to # the CA_path variable defined above. # # The %{TLS-Client-Cert-Filename} is the name # of the temporary file containing the cert # in PEM format. This file is automatically # deleted by the server when the command # returns.

# client = "/path/to/openssl verify -CApath ${..CA_path} %{TLS-Client-Cert-Filename}" } } # The TTLS module implements the EAP-TTLS protocol, # which can be described as EAP inside of Diameter, # inside of TLS, inside of EAP, inside of RADIUS... # # Surprisingly, it works quite well. # # The TTLS module needs the TLS module to be installed # and configured, in order to use the TLS tunnel # inside of the EAP packet. You will still need to # configure the TLS module, even if you do not want # to deploy EAP-TLS in your network. Users will not # be able to request EAP-TLS, as it requires them to # have a client certificate. EAP-TTLS does not # require a client certificate. # # You can make TTLS require a client cert by setting # # EAP-TLS-Require-Client-Cert = Yes # # # in the control items for a request. #

ttls { # The tunneled EAP session needs a default # EAP type which is separate from the one for # the non-tunneled EAP module. Inside of the # TTLS tunnel, we recommend using EAP-MD5. # If the request does not contain an EAP # conversation, then this configuration entry # is ignored. default_eap_type = md5 # The tunneled authentication request does # not usually contain useful attributes # like 'Calling-Station-Id', etc. These # attributes are outside of the tunnel, # and normally unavailable to the tunneled # authentication request. # # By setting this configuration entry to # 'yes', any attribute which NOT in the # tunneled authentication request, but # which IS available outside of the tunnel, # is copied to the tunneled request. # # allowed values: {no, yes} copy_request_to_tunnel = no # The reply attributes sent to the NAS are

# usually based on the name of the user # 'outside' of the tunnel (usually # 'anonymous'). If you want to send the # reply attributes based on the user name # inside of the tunnel, then set this # configuration entry to 'yes', and the reply # to the NAS will be taken from the reply to # the tunneled request. # # allowed values: {no, yes} use_tunneled_reply = no # # The inner tunneled request can be sent # through a virtual server constructed # specifically for this purpose. # # If this entry is commented out, the inner # tunneled request will be sent through # the virtual server that processed the # outer requests. # virtual_server = "inner-tunnel" # This has the same meaning as the # same field in the "tls" module, above. # The default value here is "yes".

# include_length = yes } ################################################## # # !!!!! WARNINGS for Windows compatibility !!!!! # ################################################## # # If you see the server send an Access-Challenge, # and the client never sends another Access-Request, # then # # STOP! # # The server certificate has to have special OID's # in it, or else the Microsoft clients will silently # fail. See the "scripts/xpextensions" file for # details, and the following page: # # http://support.microsoft.com/kb/814394/en-us # # For additional Windows XP SP2 issues, see: # # http://support.microsoft.com/kb/885453/en-us #

# # If is still doesn't work, and you're using Samba, # you may be encountering a Samba bug. See: # # https://bugzilla.samba.org/show_bug.cgi?id=6563 # # Note that we do not necessarily agree with their # explanation... but the fix does appear to work. # ################################################## # # The tunneled EAP session needs a default EAP type # which is separate from the one for the non-tunneled # EAP module. Inside of the TLS/PEAP tunnel, we # recommend using EAP-MS-CHAPv2. # # The PEAP module needs the TLS module to be installed # and configured, in order to use the TLS tunnel # inside of the EAP packet. You will still need to # configure the TLS module, even if you do not want # to deploy EAP-TLS in your network. Users will not # be able to request EAP-TLS, as it requires them to # have a client certificate. EAP-PEAP does not # require a client certificate. #

# # # You can make PEAP require a client cert by setting # # EAP-TLS-Require-Client-Cert = Yes # # in the control items for a request. # peap { # The tunneled EAP session needs a default # EAP type which is separate from the one for # the non-tunneled EAP module. Inside of the # PEAP tunnel, we recommend using MS-CHAPv2, # as that is the default type supported by # Windows clients. default_eap_type = mschapv2 # the PEAP module also has these configuration # items, which are the same as for TTLS. copy_request_to_tunnel = no use_tunneled_reply = no # When the tunneled session is proxied, the # home server may not understand EAP-MSCHAP-V2. # Set this entry to "no" to proxy the tunneled # EAP-MSCHAP-V2 as normal MSCHAPv2. # proxy_tunneled_request_as_eap = yes

# # The inner tunneled request can be sent # through a virtual server constructed # specifically for this purpose. # # If this entry is commented out, the inner # tunneled request will be sent through # the virtual server that processed the # outer requests. # virtual_server = "inner-tunnel" } # # This takes no configuration. # # Note that it is the EAP MS-CHAPv2 sub-module, not # the main 'mschap' module. # # Note also that in order for this sub-module to work, # the main 'mschap' module MUST ALSO be configured. # # This module is the *Microsoft* implementation of MS-CHAPv2 # in EAP. There is another (incompatible) implementation # of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not # currently support.

# # mschapv2 { } }

Lampiran 4 Konfigurasi clients.conf # # Each client has a "short name" that is used to distinguish it from # other clients. # # In version 1.x, the string after the word "client" was the IP # address of the client. In 2.0, the IP address is configured via # the "ipaddr" or "ipv6addr" fields. For compatibility, the 1.x # format is still accepted. # client localhost { # Allowed values are: # dotted quad (1.2.3.4) # hostname (radius.example.com) ipaddr = 127.0.0.1 # OR, you can use an IPv6 address, but not both # at the same time. # ipv6addr = :: # any. ::1 == localhost # # A note on DNS: We STRONGLY recommend using IP addresses # rather than host names. Using host names means that the # server will do DNS lookups when it starts, making it # dependent on DNS. i.e. If anything goes wrong with DNS, # the server won't start! #

# The server also looks up the IP address from DNS once, and # only once, when it starts. If the DNS record is later # updated, the server WILL NOT see that update. # # One client definition can be applied to an entire network. # e.g. 127/8 should be defined with "ipaddr = 127.0.0.0" and # "netmask = 8" # # A note on DNS: We STRONGLY recommend using IP addresses # rather than host names. Using host names means that the # server will do DNS lookups when it starts, making it # dependent on DNS. i.e. If anything goes wrong with DNS, # the server won't start! # # The server also looks up the IP address from DNS once, and # only once, when it starts. If the DNS record is later # updated, the server WILL NOT see that update. # # One client definition can be applied to an entire network. # e.g. 127/8 should be defined with "ipaddr = 127.0.0.0" and # "netmask = 8" # # If not specified, the default netmask is 32 (i.e. /32) # # We do NOT recommend using anything other than 32. There

# are usually other, better ways to achieve the same goal. # Using netmasks of other than 32 can cause security issues. # # You can specify overlapping networks (127/8 and 127.0/16) # In that case, the smallest possible network will be used # as the "best match" for the client. # # Clients can also be defined dynamically at run time, based # on any criteria. e.g. SQL lookups, keying off of NAS-Identifier, # etc. # See raddb/sites-available/dynamic-clients for details. # # netmask = 32 # # The shared secret use to "encrypt" and "sign" packets between # the NAS and FreeRADIUS. You MUST change this secret from the # default, otherwise it's not a secret any more! # # The secret can be any string, up to 8k characters in length. # # Control codes can be entered vi octal encoding, # e.g. "\101\102" == "AB" # Quotation marks can be entered by escaping them, # e.g. "foo\"bar" #

# A note on security: The security of the RADIUS protocol # depends COMPLETELY on this secret! We recommend using a # shared secret that is composed of: # # upper case letters # lower case letters # numbers # # And is at LEAST 8 characters long, preferably 16 characters in # length. The secret MUST be random, and should not be words, # phrase, or anything else that is recognizable. # # The default secret below is only for testing, and should # not be used in any real environment. # secret = testing123 # # Old-style clients do not send a Message-Authenticator # in an Access-Request. RFC 5080 suggests that all clients # SHOULD include it in an Access-Request. The configuration # item below allows the server to require it. If a client # is required to include a Message-Authenticator and it does # not, then the packet will be silently discarded. # # allowed values: yes, no

require_message_authenticator = no # # The short name is used as an alias for the fully qualified # domain name, or the IP address. # # It is accepted for compatibility with 1.x, but it is no # longer necessary in 2.0 # # shortname = localhost # # the following three fields are optional, but may be used by # checkrad.pl for simultaneous use checks # # # The nastype tells 'checkrad.pl' which NAS-specific method to # use to query the NAS for simultaneous use. # # Permitted NAS types are: # # cisco # computone # livingston # max40xx # multitech # netserver

# pathras # patton # portslave # tc # usrhiper # other # for all other types # nastype = other # localhost isn't usually a NAS... # # The following two configurations are for future use. # The 'naspasswd' file is currently used to store the NAS # login name and password, which is used by checkrad.pl # when querying the NAS for simultaneous use. # # login = !root # password = someadminpas # # As of 2.0, clients can also be tied to a virtual server. # This is done by setting the "virtual_server" configuration # item, as in the example below. # # virtual_server = home1 # # A pointer to the "home_server_pool" OR a "home_server" # section that contains the CoA configuration for this

# client. For an example of a coa home server or pool, # see raddb/sites-available/originate-coa # coa_server = coa } # IPv6 Client #client ::1 { # secret = testing123 # shortname = localhost #} # # All IPv6 Site-local clients #client fe80::/16 { # secret = testing123 # shortname = localhost #} #client some.host.org { # secret = testing123 # shortname = localhost #} # # You can now specify one secret for a network of clients. # When a client request comes in, the BEST match is chosen. # i.e. The entry from the smallest possible network. # #client 192.168.0.0/24 {

# secret = testing123-1 # shortname = private-network-1 #} # #client 192.168.0.0/16 { # secret = testing123-2 # shortname = private-network-2 #} #client 10.10.10.10 { # # secret and password are mapped through the "secrets" file. # secret = testing123 # shortname = liv1 # # the following three fields are optional, but may be used by # # checkrad.pl for simultaneous usage checks # nastype = livingston # login = !root # password = someadminpas #} #} ####################################################################### # # Per-socket client lists. The configuration entries are exactly # the same as above, but they are nested inside of a section. # # You can have as many per-socket client lists as you have "listen"

# sections, or you can re-use a list among multiple "listen" sections. # # Un-comment this section, and edit a "listen" section to add: # "clients = per_socket_clients". That IP address/port combination # will then accept ONLY the clients listed in this section. # #clients per_socket_clients { # client 192.168.3.4 { # secret = testing123 #} #} client 192.168.1.11 { secret = testing123 shortname = simulator nastype = other }

Lampiran 5 Konfigurasi pada File Users # # Please read the documentation file ../doc/processing_users_file, # or 'man 5 users' (after installing the server) for more information. # # This file contains authentication security and configuration # information for each user. Accounting requests are NOT processed # through this file. Instead, see 'acct_users', in this directory. # # The first field is the user's name and can be up to # 253 characters in length. This is followed (on the same line) with # the list of authentication requirements for that user. This can # include password, comm server name, comm server port number, protocol # type (perhaps set by the "hints" file), and huntgroup name (set by # the "huntgroups" file). # # If you are not sure why a particular reply is being sent by the # server, then run the server in debugging mode (radiusd -X), and # you will see which entries in this file are matched. # # When an authentication request is received from the comm server, # these values are tested. Only the first match is used unless the # "Fall-Through" variable is set to "Yes". # # A special user named "DEFAULT" matches on all usernames.

# You can have several DEFAULT entries. All entries are processed # in the order they appear in this file. The first entry that # matches the login-request will stop processing unless you use # the Fall-Through variable. # # If you use the database support to turn this file into a .db or .dbm # file, the DEFAULT entries _have_ to be at the end of this file and # you can't have multiple entries for one username. # # Indented (with the tab character) lines following the first # line indicate the configuration values to be passed back to # the comm server to allow the initiation of a user session. # This can include things like the PPP configuration values # or the host to log the user onto. # # You can include another `users' file with `$INCLUDE users.other' # # # For a list of RADIUS attributes, and links to their definitions, # see: # # http://www.freeradius.org/rfc/attributes.html # # # Deny access for a specific user. Note that this entry MUST

# be before any other 'Auth-Type' attribute which results in the user # being authenticated. # # Note that there is NO 'Fall-Through' attribute, so the user will not # be given any additional resources. # #lameuser Auth-Type := Reject # Reply-Message = "Your account has been disabled." # # Deny access for a group of users. # # Note that there is NO 'Fall-Through' attribute, so the user will not # be given any additional resources. # #DEFAULT Group == "disabled", Auth-Type := Reject # Reply-Message = "Your account has been disabled." # # # This is a complete entry for "steve". Note that there is no Fall-Through # entry so that no DEFAULT entry will be used, and the user will NOT # get any attributes in addition to the ones listed here. # #steve Cleartext-Password := "testing" # Service-Type = Framed-User, # Framed-Protocol = PPP,

# Framed-IP-Address = 172.16.3.33, # Framed-IP-Netmask = 255.255.255.0, # Framed-Routing = Broadcast-Listen, # Framed-Filter-Id = "std.ppp", # Framed-MTU = 1500, # Framed-Compression = Van-Jacobsen-TCP-IP # # This is an entry for a user with a space in their name. # Note the double quotes surrounding the name. # #"John Doe" Cleartext-Password := "hello" # Reply-Message = "Hello, %{User-Name}" "sqltest" Cleartext-Password := "testpwd" Reply-Message = "Hello, %{User-Name}" "arief" Cleartext-Password := "mautauaja" Reply-Message = "Hello, %{User-Name}" # # Dial user back and telnet to the default host for that port # #Deg Cleartext-Password := "ge55ged" # Service-Type = Callback-Login-User, # Login-IP-Host = 0.0.0.0, # Callback-Number = "9,5551212", # Login-Service = Telnet, # Login-TCP-Port = Telnet

# # Another complete entry. After the user "dialbk" has logged in, the # connection will be broken and the user will be dialed back after which # he will get a connection to the host "timeshare1". # #dialbk Cleartext-Password := "callme" # Service-Type = Callback-Login-User, # Login-IP-Host = timeshare1, # Login-Service = PortMaster, # Callback-Number = "9,1-800-555-1212" # # user "swilson" will only get a static IP number if he logs in with # a framed protocol on a terminal server in Alphen (see the huntgroups file). # # Note that by setting "Fall-Through", other attributes will be added from # the following DEFAULT entries # #swilson Service-Type == Framed-User, Huntgroup-Name == "alphen" # Framed-IP-Address = 192.168.1.65, # Fall-Through = Yes # # If the user logs in as 'username.shell', then authenticate them # using the default method, give them shell access, and stop processing # the rest of the file. #

#DEFAULT Suffix == ".shell" # Service-Type = Login-User, # Login-Service = Telnet, # # The rest of this file contains the several DEFAULT entries. # DEFAULT entries match with all login names. # Note that DEFAULT entries can also Fall-Through (see first entry). # A name-value pair from a DEFAULT entry will _NEVER_ override # an already existing name-value pair. # # # Set up different IP address pools for the terminal servers. # Note that the "+" behind the IP address means that this is the "base" # IP address. The Port-Id (S0, S1 etc) will be added to it. # #DEFAULT Service-Type == Framed-User, Huntgroup-Name == "alphen" # Framed-IP-Address = 192.168.1.32+, # Fall-Through = Yes # # Sample defaults for all framed connections. # #DEFAULT Service-Type == Framed-User # Framed-IP-Address = 255.255.255.254, # Framed-MTU = 576, # Service-Type = Framed-User,

# Fall-Through = Yes # # Default for PPP: dynamic IP address, PPP mode, VJ-compression. # NOTE: we do not use Hint = "PPP", since PPP might also be auto-detected # by the terminal server in which case there may not be a "P" suffix. # The terminal server sends "Framed-Protocol = PPP" for auto PPP. # DEFAULT Framed-Protocol == PPP Framed-Protocol = PPP, Framed-Compression = Van-Jacobson-TCP-IP # # Default for CSLIP: dynamic IP address, SLIP mode, VJ-compression. # DEFAULT Hint == "CSLIP" Framed-Protocol = SLIP, Framed-Compression = Van-Jacobson-TCP-IP # # Default for SLIP: dynamic IP address, SLIP mode. # DEFAULT Hint == "SLIP" # # Last default: rlogin to our main server. # #DEFAULT # Service-Type = Login-User,

# Login-Service = Rlogin, # Login-IP-Host = shellbox.ispdomain.com ## # # Last default: shell on the local terminal server. ## # DEFAULT # Service-Type = Administrative-User # On no match, the user is denied access.

Lampiran 6 Konfigurasi Access Point 

Buka browser dan masukkan alamat IP access point pada address bar



Masuk ke menu “setup” pilih menu “basic setup” Setting pembagian alamat IP client dengan opsi “Automatic Configuration - DHCP” dan

alamat IP access point dengan IP = 192.168.1.11. kemudian centangkan pilihan DHCP Server “enable”. Setting IP access point Klik “Save Setting”. Selanjutnya untuk mengakses menu setting Access point kembali samakan Network IP komputer yang terhubung yang melakukan setting IP Access Point dengan alamat network IP akses point yang baru. Buka browser dan masukkan alamat IP access point yang baru yaitu “192.168.1.11” pada address bar Selanjutnya klik menu “wireless”. Lalu klik menu “basic wireless setting” setting “ Wireless Network name (SSID)” dengan “black_usb” Setting SSID Wireless Selanjutnya klik menu “wireless security”. setting “security mode” menjadi WPA Enterprise dan “WPA Algorithms” menggunakan AES, selanjutnya menambahkan alamat IP “RADIUS server address” dengan alamat IP 192.168.1.10, “RADIUS port” 1812, dan input “shared key” dengan “testing123”. berikut tampilan setting pada akses point : Gambar 4.37 Setting Wireless Security

Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien Pilih file sertifikat CA dalam extensi .der lakukan double klik file sertifikat CA yang akan di install klik “install certificate” untuk mengimport file sertifikat tersebut. akan muncul window “certificate import wizard”, klik next, selanjutnya akan muncul window yang meminta konfirmasi peletakan sertifikat apakah secara otomatis atau manual. Pilih manual, klik browse, Maka akan muncul window “Select Certification Store”, pilih folder / root “Trusted Root Certification Authorities”. Klik ok. klik next, akan muncul window “complete the certificate import wizard”. Klik “finish” selanjutnya akan ada alert “security warning” yang menandakan windows meminta confirmasi atas certifikat CA yang telah kita install tersebut. klik “yes”. Maka akan muncul window “certificate import wizard” bahwa proses import sertifikat berhasil 

Selanjutnya setting penggunaan dan manajemen sertifkat pada windows 7. Masuk ke windows > control panel > view network status and task > manage wireless network > pilih jaringan wireless yang telah di create sebelumnya (dalam penelitian ini adalah jaringan wireless dengan SSID “black_usb”) > klik kanan properties



Selanjutnya akan muncul window “wirelesss network properties”, klik tab “security” setting dengan “security type” adalah “wpa enterprise”, “encryption type” adalah AES, dan pilih “network authentication method” adalah “Microsoft Protected EAP (PEAP)”.



Untuk mensetting validasi sertifikat pada sisi klien, klik tombol setting pada window “wireless network properties”. Maka akan muncul window “protected EAP properties”. Centangkan “validate server certificate”, masukkan alamat IP server RADIUS, dalam penelitian ini alamat server RADIUS memiliki IP 192.168.1.10. selanjutnya pada pilihan “trused root certification authorities” pilih sertifikat CA PEAP yang telah di install sebelumnya. Klik tombol “configure” dan hilangkan centang pada pilihan “automatically use my windows logon name and password (and domain if any)”. Klik ok untuk window EAP MSCHAPv2 properties dan klik ok kembali pada window protected EAP properties.

Lampiran 8 Wawancara dengan Staf IT Sekolah SIF Al Fikri Responden : Rama Saputra, S.Kom (Staff IT Sekolah Al Fikri) Penanya : Hadi Rahman Pertanyaan 1 : Bagaiamana model infrastruktur jaringan wireless SIF Al Fikri Depok ? Jawaban 1 : Secara umum jaringan SIF Al Fikri menggunakan pemodelan Topologi Extended Star (Extended Star Topology) yaitu. Merupakan perkembangan dari topologi star. Pertanyaan 2 : Bagaimana kebijakan penggunaan jaringan wireless ? teknologi wireless yang digunakan ? Jawaban 2 : dalam implementasi jaringan wireless SIF Al FIkri memiliki beberapa kebijakan diantaranya : 1. mobilitas yang tinggi, terutama untuk mengakses jaringan tanpa menggunakan media berbasis kabel. 2. tingkat kinerja sistem yang baik dalam merespon akses dari luar kedalam maupun sebaliknya. Adapun teknologi jaringan wireless yang digunakan adalah captive portal (hotspot). Untuk terhubung kedalam jaringan pengguna harus memasukkan serangkaian string kode / password. Pertanyaan 3 : Hardware apa saja yang digunakan pada jaringan wireless ? dan dimana saja lokasi access point berada ? dan bagaimana pengalamatan IP pengguna ? Jawaban 3 : Sebagai akses wireless SIF Al Fikri menggunakan access point dan WRT54G access point dengan menggunakan IP DHCP / dinamis kelas c. adapun lokasi access point berada pada lantai 1 terdapat 1 unit di ruang IT dan 1 unit diruang guru SMP dan 1 unit diruang guru SD Pertanyaan 4 : service / layanan apa saja yang terdapat dalam jaringan SIF Al Fikri ? Jawaban 4 : di SIF Al Fikri terdapat share data, dan print. Kemudian jaringan internet.

Lampiran 9 Pengujian Monitoring Secara Simulasi 1. Pengujian realibility (keandalan sistem) Pada pengujian ini dilakukan dengan menggunkan server virtual. yaitu dengan menggunakan virtual box Virtual Box versi 3.1.6 r59338. dan menggunakan tools CommView untuk melihat bagaimana server dilihant dari keandalan sistemnya. dapat dilihat pada hasil capture dibawah ini :

Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada jaringan WLAN yang menggunakan WPA Enterprise data tersebut telah terenkripsi. Berdasarkan hasil ini terbukti bahwa dengan menggunakan WPA Enterprise (TTLS), dapat mengamankan paket paket data yang ditransmisikan. 2. Pengujian Paket Data Pada Jaringan

Pada tahap ini dilakukan dengan melakukan pengujian paket data yang pada jaringan ada, dengan melihat dari sisi waktu dan paket otentikasi dan proses pingiriman pesan dari klien ke server.

Dari semua proses monitoring yang telah dilakukan dapat disimpulkan bahwa server dapat melayani klien tanpa adanya kendala dari infarstruktur hardware dan pengujian data yang ada. 3. Metode umum Kesehatan jaringan Penulis melakukan metode untuk melihat kesehatan jaringan secara umum menggunakan monitoring jaringan secara umum menggunakan CommView pada IP mana saja yan

terkoneksi kedalm jaringan untuk melihat paket yang masuk dan dapat dilihat pada gambar dibwah ini :