OTENTIKASI PENGGUNAAN LAYANAN WIRELESS LAN DENGAN FreeRADIUS DAN CHILLISPOT
OTENTIKASI PENGGUNAAN LAYANAN WIRELESS LAN DENGAN FreeRADIUS DAN CHILLISPOT Achmad Julianto1, Migunani2, Rissal Efendi3 1
123 Program Studi Teknik Informatika STMIK ProVisi Semarang
[email protected],
[email protected],
[email protected]
Abstract Authentication System Using Wireless LAN Service with FreeRadius and Chillispot are in use in the management of Internet connection is an applied technology. This system design aims to build server integrated with System Information Academic (SIA) in service Wireless LAN with the aim to improve network security using authentication mechanisms, authorization, and user-activity reporting system connection.Methods in the design of this system used for data collection and information, requirements system design and process in system development. The data collection methods used method of literature study, observation, documentation methods to obtain requirements authentication system design. While method development system using the method PPDIOO (Prepare, Plan, Design, Implement, Operate and Optimize) that was developed by Cisco Systems. The result is a network authentication system integrated Wireless LAN with Systems information Academic (SIA) using FreeRadius and Chillispot. FreeRadius serves as an check access control and authenticate users who want to connect to the Internet, while Chillispot serves to giver ip address, security and permission in the Wireless LAN network connecting. This system integrated in a single authentication mechanism can improve network security internet. The system is also designed to be able to manage bandwidth usage on the network server that authenticated Wireless LAN. Case studies conducted in the Faculty of Engineering UNDIP DIII. Keyword : Authentication, Wireless LAN, FreeRADIUS, Chillispot
1.
Pendahuluan
1.1 Latar Belakang Perkembangan dunia teknologi dan informatika saat ini sangat pesat seiring dengan peningkatan kebutuhan layanan yang cepat dan efisien. Kemajuan produk jaringan yang mencakup alat penghubung nirkabel memungkinkan pengguna untuk tidak terikat serta dapat mengambil manfaat atas mobilitas penggunaan notebook yang bisa dibawa ke mana-mana dan fleksibilitas dari pemakaian internet. Penggunaan Teknologi wireless LAN banyak digunakan untuk pengganti kabel-kabel LAN karena penggunaan wireless LAN lebih efisien dan praktis. Dalam lingkungan kampus, seperti di DIII Fakultas Teknik UNDIP penggunaan notebook maupun smartphone semakin banyak. Pemasangan jaringan nirkabel pada lingkungan kampus diharapkan mampu meningkatkan aktivitas mahasiswa untuk memperoleh informasi yang dibutuhkan mahasiswa dari internet dengan mudah. Pemasangan jaringan wireless LAN diharapkan akan meningkatkan minat mahasiswa terhadap teknologi informasi. DIII Fakultas Teknik Universitas Diponegoro saat ini mendapatkan bandwidth internet sebesar 30 Mbps. Akses internet tersebut dimanfaatkan untuk
menunjang sistem pembelajaran dengan dilengkapi sistem informasi akademik (SIA), kuliah online (kulon), eprint , ejournal dan lain sebagainya. Salah satu solusi untuk mempercepat akses informasi, DIII Fakultas Teknik Universitas Diponegoro menyediakan layanan hotspot. Hotspot tersebut disediakan bagi dosen dan mahasiswa untuk mengakses internet. Hotspot di DIII Fakultas Teknik terdapat beberapa titik area jangkauan yaitu di DIII teknik kimia, teknik perkapalan, teknik arsitektur, teknik elektro, teknik sipil dan teknik perencanaan wilayah dan kota. Masing – masing jurusan memiliki 2 access point yang terpasang di setiap gedung perkuliahan. Jaringan Wireless LAN (Hotspot) di DIII Fakultas Teknik saat ini menggunakan security WEP (Wired Equivalent Privacy) sebagai security wireless untuk akses para pegawai dan dosen. Akses internet bagi mahasiswa tanpa menggunakan wireless security. Koneksi internet di DIII Fakultas teknik di bagi menjadi 8 VLAN (Virtual LAN). VLAN yang pertama di pakai untuk pegawai dan dosen dengan menggunakan kabel UTP (Unshielded Twisted Pair) dan Wireless LAN dengan security WEP. Pemakaian sistem keamanan dengan WEP masih bisa di hacking oleh mahasiswa ataupun dari luar lingkungan kampus.
1
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 4 Nomor 2 Agustus 2013 Solusi mengatasi keamanan jaringan internet dan pemantauan trafiknya bisa dengan menggunakan login page menggunakan perangkat mikrotik, otentikasi WEP dengan perangkat Linksys, dan otentikasi dengan FreeRadius dan Chilllispot . Solusi terbaik diharapkan dapat mengatasi masalah sistem keamanan tersebut adalah dengan membangun sistem hotspot yang berotentikasi, dengan adanya otentikasi ini sistem keamanan hotspot akan lebih aman karena memakai username dan password untuk bisa terhubung dengan akses internet. Keuntungan dari sistem otentikasi ini, sistem akan melakukan pencatatan, penghitungan, dan pelaporan aktifitas koneksi WLAN yang dilakukan user. Username dan password untuk bisa tehubung dengan akses internet. Sistem autentikasi menggunakan login biasa digunakan sebagai metode standar otentikasi. Dengan memanfaatkan FreeRadius dan Chilllispot yang dapat menggunakan server bayangan sebagai autentikasi akan memperkuat keamanannya. Keuntungan dari sistem otentikasi ini, sistem akan melakukan pencatatan, penghitungan, dan pelaporan aktifitas koneksi WLAN yang dilakukan user. Username dan password dari otentikasi tersebut bisa di integrasikan dengan Sistem Informasi Akademik di DIII Fakultas Teknik. Pengintegrasian dilakukan dengan cara menmperbaharui username dan password pegguna secara berkala di server Radius. Ketika pengguna terkoneksi ke internet, maka data pengguna internet tersebut akan tercatat di database, sehingga bisa di pantau aktifitasnya. Aktifitas pengguna internet meliputi username, ip address, start time, stop time, session time, upload, download yang semua itu harus dikelola secara oleh sistem. Dengan adanya server radius yang terkoneksi dengan database SIA, maka pengguna dalam hal ini mahasiswa yang mengganti password di sistem SIA. Secara otomatis password di FreeRadius hotspot juga akan berubah. 1.2 Tujuan Tujuan dari pembuatan proyek akhir ini adalah untuk membangun server authentikasi yang terintegrasi dengan Sistem Informasi Akademik (SIA) dalam layanan Wireless LAN dengan tujuan untuk meningkatkan keamanan jaringan menggunakan mekanisme otentikasi, otorisasi, dan pelaporan aktivitas koneksi oleh pengguna sistem yang terkoneksi ke internet dan membangun konfigurasi FreeRADIUS dan chillispot agar bisa di terapkan untuk authetikasi koneksi internet bagi mahasiswa di lingkungan DIII Fakultas Teknik. 1.3 Batasan Masalah Adapun batasan masalah dalam penelitian ini adalah : a. Server FreeRADIUS dan Chillispot yang digunakan adalah ubuntu server 8.04 yang di
2
b. c. d.
2.
install paket FreeRADIUS, chillispot, mysql, phpmyadmin, proxy dan aplikasi ezradius. Rancangan Sistem hanya diterapkan pada jaringan nirkabel DIII Fakultas Teknik sebagai studi kasus. Sistem hanya melakukan pengujian otentikasi dan login ke server FreeRADIUS. Sistem ini tidak di rancang untuk mengantisipasi Denial Of Service dan serangan hacker Tinjauan Pustaka
2.1 Protokol AAA Protokol AAA (Authentication, Authorizati on, Accounting) mengatur mekanisme bagaimana tata cara berkomunikasi, baik antara client ke domain-domain jaringan maupun antar client dengan domain yang berbeda dengan tetap menjaga keamanan pertukaran data (Warsito, 2004:4). AAA Framework, merupakan arsitektur kerja atau framework, digunakan sebagai background yang diperlukan untuk mengenali cara kerja RADIUS secara keseluruhan. Model AAA mempunyai fungsi yang berfokus pada tiga aspek dalam mengontrol akses sebuah user (Hassel, 2002:1), yaitu: A) Autentikasi (Authentication); yaitu proses pengesahan identitas pengguna (end user) untuk mengakses jaringan. Pro ses ini diawali dengan pengiriman kode unik misalnya, username, password, pin, sidik jari oleh pengguna kepada server. Di sisi server, sistem akan menerima kode unik tersebut, selanjutnya membandingkan dengan kode unik yang disimpan dalam database server. Jika hasilnya sama, maka server akan mengirimkan hak akses kepada pengguna. Namun jika hasilnya tidak sama, maka server akan mengirimkan pesan kegagalan dan menolak hak akses pengguna B) Autorisasi (Authorization); merupakan proses pengecekan wewenang pengguna, mana saja hak-hak akses yang diperbolehkan dan mana yang tidak. C) Pencatatan (Accounting); merupakan proses pengumpulan data informasi seputar berapa lama user melakukan koneksi dan billing time yang telah dilalui selama pemakaian. Proses dari perta ma kali seorang user mengakses sebuah sistem, apa saja yang dilakukan user di sistem tersebut dan sampai pada proses terputusnya hubu ngan komunikasi antara user tersebut dengan sistem, dicatat dan didokumentasikan di sebuah database MySQL server.
OTENTIKASI PENGGUNAAN LAYANAN WIRELESS LAN DENGAN FreeRADIUS DAN CHILLISPOT 2.2 Radius Radius merupakan suatu mekanisme akses kontrol yang mengecek dan mengautentifikasi (authentication) user atau pengguna berdasarkan pada mekanisme authentikasi yang sudah banyak digunakan sebelumnya, yaitu menggunakan metode challenge / response. Remote Access Dial In User Service (RADIU S) dikembangkan di pertengahan tahun 1990 oleh Livingstone Enter prise (sekarang Lucent Technologies). Pada awal nya perkembangan RADIUS menggunakan port 1645 yang ternyata bentrok dengan layanan datametrics. Sekarang port yang dipakai RADIUS adalah port 1812 yang format standarnya ditetapakan pada Request for Command (RFC). Protokol RADIUS merupakan protokol connectionless berbasis UDP yang tidak menggunakan koneksi langsung. Satu paket RADIUS ditandai dengan field UDP yang menggunakan port 1812. Beberapa pertimbangan RADIUS menggunakan lapisan transport UDP (Arif.,dkk , 2007 : 25) yaitu: 1) Jika permintaan autentikasi pertama gagal, mak a permintaan kedua harus dipertimbangkan, 2) Bersifat stateless yang menyederhanakan pr otokol pada penggunaan UDP, 3) UDP menyederhanakan implementasi dari sisi server. 2.2.1 Format Paket Data RADIUS Format paket RADIUS terdiri dari Code, Identifier, Length, Authenticator dan Attributes seperti ditunjukkan pada Gambar 2.2.
Gambar 1 Format paket data RADIUS (Hassel, 2002:23) Keterangan: 1) Code memiliki panjang 1 byte (8 bit), digunakan untuk membedakan tipe pesan RADIUS yang dikirim. Tipe pe san RADIUS dapat berupa access request, access accept, access reject dan access challenge. 2) Identifier memilik panjang 1 byte yang digunakan untuk menyesuaikan antara paket permintaan dan respon dari server RADIUS. 3) Length memiliki panjang 2 byte, memberika n informasi mengenai panjang paket. Jika paket kurang atau lebih dari yang
diidentifikasikan pada length maka paket akan dibuang. 4) Authenticator memiliki panjang 16 byte yang digunakan untuk mengautentikasi tanggapan dari server RADIUS 5) Attributes memiliki panjang yang tidak tetap, berisi autentikasi, autorisasi dan informasi. Contoh atribut RADIUS yaitu, username dan password. 2.2.2 Prinsip Kerja Radius RADIUS merupakan protokol security yang bekerja menggunakan sistem clientserver terdistribusi yang banyak digunakan be rsama AAA untuk mengamankan jaringan pengguna dari yang tidak berhak memakainya. RADIUS melakukan otentikasi user melalui serangkaian komunikasi antara client dan server. Prinsipnya bila user berhasil melakukan otentikasi, maka user tersebut dapat menggunaka n layanan yang disediakan oleh jaringan (Arif,.dkk., 2007:25 dan Darmariyadi, 2003:5).
Gambar 2 Autentikasi antara NAS dengan Server RADIUS Keterangan: 1) User melakukan dial in menggunakan modem pada Network Acc ess Server (NAS). NAS akan meminta user memasukan nama dan password jika koneksi modem berhasil dibangun. 2) NAS akan membangun paket data berupa informasi, yang dinamakan accessrequest. Informasi ini diberikan NAS pada server RADIUS berisi informasi spesifik dari NAS itu sendiri yang meminta access-request, port yang digunakan untuk koneksi modem serta nama dan password. Untuk proteksi dari hackers, NAS yang bertindak sebagai RADIUS client, melakukan enkripsi password sebelum dikirimkan pada RADIUS server. Accessrequest ini dikirimkan pada jaringan dari RADIUS client ke RADIUS server. Jika RADIUS server tidak dapat dijangkau, RADIUS client dapat melakukan pemindahan rute p ada server alternatif pada konfigurasi NAS. 3) Ketika accessrequest diterima, server autentikasi akan memvalidasi permintaan tersebut dan melakukan dekripsi paket data untuk memperoleh informasi nama dan password. Jika nama d
3
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 4 Nomor 2 Agustus 2013 an password sesuai dengan basis data pada server, server akan mengirimkan access-accept yang berisi informasi kebutuhan sistem network yang harus disediakan oleh user, misal RADIUS server akan menyampaikan pada NAS bahwa user memerlukan TCP/IP dan/atau Netware menggunakan PP P (Point-to-Point Protocol) atau user memerlukan SLIP (Serial Line Internet Protocol) untuk dapat terhubung pada jaringan. Selain itu access-accept ini dapat berisi informasi untuk membatasi akses user pada jaringan . Jika proses login tidak menemui kesesuaian, maka RADIUS server akan mengirimkan access-reject pada NAS dan user tidak dapat mengakses jaringan. 4) Untuk menjamin permintaan user benar-benar diberikan pada pihak yang benar, RADIUS server mengirimkan authent ication key atau signature, yang menandakan keberadaannya pada RADIUS client 2.3 Chillispot Chillispot, merupakan open source captive portal atau Wireless LAN access point controller yang digunakan untuk mengotentikasi user dari sebuah jaringan Wireless LAN. Chillispot mendukung login berbasis web yang merupakan standar untuk hotspot sekarang ini. Chillispot juga dapat dipakai sebagai media authentikasi, authorisasi dan accounting (AAA) yang merupakan framework atau arsitektur kerja dari sebuah RADIUS server. Chillispot support dua jenis metode authentikasi , yaitu : 1) Universal Access Method (UAM) , dengan UAM wireless client request sebu ah IP address, dan dialokasikan oleh chillispot ketika seorang user membuka sebuah web browser, chillispot akan menangkap koneksi TCP tersebut dan di redirect browser tersebut ke authentikasi web server. Web server meminta user untuk username dan password, password dienkripsi dan dikirim kembali ke Chillispot, 2) Wireless Protected Access (WPA), dengan WPA metode authentikasi dihandel oleh access point dan subsequently di forward dari acce ss point ke chillispot. Jika WPA digunakan, maka koneksi yang terjadi antara access point dan user dienkripsi.
4
Gambar 3 Arsitektur Jaringan Chillispot (Febyatmoko.,dkk , 2006: 69) 2.4 Wifi Wifi adalah salah satu standar wireless networking ( spesifikasi transfer data WLAN), dengan menggunakan peralatan yang sesuai user bisa terkoneksi ke jaringan tanpa menggunakan kabel. Saat ini secara umum berlaku standar IEEE 802.11b, IEEE 802.11a, dan IEE 802.11g. Wifi (Wireless Fidelity) suatu spesifikasi transfer WLAN. Wifi terdapat dalam IEEE 802.11 yang memiliki jarak komunikasi wireless yang pendek, spesifikasi 802.11 g dapat mencapai kejauhan hingga 100 meter dengan kecepatan 54 Mbps. Wifi di rancang berdasarkan spesifikasi IEEE 802.11. Sekarang ini ada empat variasi dari 802.11 yaitu 802.11a, 802.11b, 802.11g dan 802.11 n. Spesifikasi b merupakan produk pertama wifi. Tabel di bawah ini menunjukkan spesifikasi dari wifi. Tabel 1 Spesifikasi Wifi (Yani, 2008:24) Standart
3.
Kecepatan (Transfer Rate) 11 Mbps
IEEE 802.11 b IEEE 54 Mbps 802.11 a IEEE 54 Mbps 802.11 g IEEE 100 Mbps 802.11 n Metode dan Perancangan
Frekuensi
Type
2.4 GHz
b
5 GHz
a
2.4 GHz
b,g
2.4 GHz
b,g,n
3.1 Objek Penelitian Objek penelitian dalam skripsi ini adalah mahasiswa, karyawan dan dosen di DIII Fakultas Teknik Universita Diponegoro. yang berlokasi di jalan Prof.H.Soedharto,SH, Tembalang – Semarang, Indonesia 50275. DIII Fakultas Teknik memiliki 7 Program Studi, antara lain : (1) Teknik Kimia, (2) Teknik Sipil, (3) Teknik Mesin, (4) Teknik Elektro, (5) Teknik Perkapalan, (6) Teknik Desain Arsitektur, (7) Teknik Perencanaan Wilayah dan Kota. Teknik Desain Arsitektur dan Perencanaan Wilayah dan
OTENTIKASI PENGGUNAAN LAYANAN WIRELESS LAN DENGAN FreeRADIUS DAN CHILLISPOT Kota berada pada lokasi yang berbeda, karena jadi satu gedung dengan program Sarjana. 3.2 Jenis Data Jenis data dalam skripsi ini adalah : 1. Data Primer Data Primer adalah data yang diperoleh langsung dari sumbernya melalui observasi di lingkungan DIII Fakultas Teknik UNDIP seperti arsitektur jaringan, alokasi alamat IP Address dan koneksi internet yang digunakan serta wawancara kepada IT Support dan dosen. 2. Data Sekunder Data Sekunder adalah data yang diperoleh secara tidak langsung dari sumbernya, seperti arsip dan dokumentasi penataan jaringan internet di DIII Fakultas Teknik UNDIP. 3.3
Analisis Kebutuhan dan Perancangan Sistem
3.3.1 Tahap Prepare dan Plan Pada fase ini, analisis kebutuhan merupakan proses identifikasi dan meneliti permasalahanpermasalahan yang ada, sehingga sistem yang akan dibangun nanti sesuai dengan kriteria kebutuhan yang telah ditetapkan untuk sistem keamanan dan pengaturan jaringan internet. Otentikasi pengguna layanan wireless LAN dengan FreeRADIUS dan Chillispot ini dibuat untuk memenuhi kebutuhan sebagai berikut: a. Sistem otentikasi ini di pakai untuk memudahkan admin jaringan untuk mengelola koneksi intenet wireless LAN agar optimal. b. Sistem dapat melakukan pencatatan login mahasiswa, dosen dan admin atau sebagai log saat user melakukan akses internet di area DIII Fakultas Teknik UNDIP dan memberi informasi user akan status mereka. Berdasarkan kriteria kebutuhan sistem tersebut adalah sebuah layanan yang digunakan untuk memasukkan data user yang memilih komunikasi internetnya berdasarkan username dan password dari SIA (Sistem Informasi Akademik). Sistem hotspot ini diharapkan mampu menghasilkan sebuah implementasi mengelola pemakaian bandwidth yang bisa di pantau oleh admin jaringan. Tahap selanjutnya adalah melakukan beberapa analisis teknis operasional, antara lain : 1. Analisa kebutuhan perangkat keras (hardware) jaringan utama pada DIII Fakultas Teknik Universtas Diponegoro yang akan di gunakan dalam perancangan atau aristektur jaringan, seperti komputer server, switch cisco, dan access point. 2. Analisis kebutuhan konfigurasi Wireless LAN sebagai media akses terhadap server.
3.
Mendesain aristektur jaringan yang sudah diimplementasikan pada DIII Fakultas Teknik UNDIP. Ketiga tahapan tersebut akan dilakukan pada tahap perencanaan untuk membangun Otentikasi Wireless LAN dengan FreeRADIUS dan chillispot. Tahap selanjutnya adalah analisis terhadap kebutuhan jaringan sebelum mendesain arsitektur jaringan secara keseluruhan. Pemakaian perangkat seperti server, switch, accesss point merupakan kebutuhan utama dalam arsitektur jaringan yang akan dedesain, begitu juga dengan pemberian alokasi IP address. 3.3.2 Tahap Design Pada tahap design, perlu dilakukan observasi terhadap arsitektur jaringan lokal, koneksi internet dan pengalokasian IP address yang sudah diterapkan saat ini. Pada konfigurasi server hotspot untuk pemakai disisi client menggunakan protokol dinamis DHCP, sehingga client akan mendapatkan alamat IP address secara otomatis. Selanjutnya perlunya pengalokasian sejumlah alamat ip ke dalam pool IP, konfigurasi ini dilakukan pada chillispot. Access Point dan di setting dengan mode bridge dipakai agar ip address yang diperoleh oleh pemakai hotspot didapatkan secara DHCP dari server hotspot FreeRADIUS dan Chillispot. 4
Hasil dan Pembahasan
Hasil rancang bangusn sistem authentikasi adalah server authentikasi yang terintegrasi dengan Sistem Informasi Akademik (SIA) dalam layanan Wireless LAN menggunakan mekanisme otentikasi, otorisasi, dan pelaporan aktivitas koneksi oleh pengguna sistem yang terkoneksi ke internet dan dan membangun konfigurasi FreeRADIUS chillispot agar bisa di terapkan untuk authetikasi koneksi internet. Sehingga pada tahap implementasi akan dipasang perangkat lunak pendukung diantaranya FreeRadius, MySql server, PhpMyadmin, Chillispot dan Ezradius. Sedangkan pada tahap pengujian dilakukan untuk mengetahui keberhasilan dari sistem otentikasi yang telah di buat, sehingga sistem bisa bekerja dengan baik. 4.1 Implement Pada tahap implement serangkaian kegiatan yang dilakukan berdasarkan analisa kebutuhan dan desain arsitektur jaringan, yaitu : 4.1.1
Pemasangan Komputer Server
Sesuai dengan perancangan, komputer server nirkabel dipasang pada jaringan berkabel yang sudah ada. Studi kasus pada DIII Fakultas Teknik dibuat 2
5
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 4 Nomor 2 Agustus 2013 komputer server nirkabel. Satu server di Fakultas Teknik, dan satu server di DIII Hal ini dimaksudkan untuk menguji penggunaan server FreeRADIUS terpusat pada jaringan nirkabel. Diagram pemasangan kedua komputer server tersebut dapat dilihat pada gambar 4
dengan basisdata Sistem Informasi Akademik. Server MySQL dapat diinstal dengan menggunakan perintah: # apt-get install mysql-server-5.0
Server MySQL perlu dikonfigurasi supaya dapat diakses selain dari localhost (127.0.0.1) . Hal ini bertujuan untuk mengijinkan server FreeRADIUS luar atau pengembang yang ingin mengakses basisdata pada mesin ini, misalkan untuk konfigurasi basisdata pengguna terpusat atau saat pembuatan antarmuka web untuk FreeRADIUS. Berkas konfigurasi yang diubah adalah /etc/mysql/my.cnf. Cari baris yang terdapat teks bind-address = 127.0.0.1, kemudian jadikan baris ini komentar dengan cara memberi tanda # pada awal baris, sehingga yang awalnya: bind-address = 127.0.0.1
menjadi #bind-address = 127.0.0.1
simpan berkas tersebut kemudian restart MySQL dengan perintah: # /etc/init.d/mysql restart
4.1.5 Instalasi dan Konfigurasi Apache
Gambar 4 Diagram pemasangan komputer server di Dekanat FT dan DIII Masing-masing server minimal membutuhkan 2 LAN Card. LAN Card pertama digunakan untuk koneksi dari dan ke luar jaringan internet sedangkan LAN Card kedua terhubung ke port LAN/WAN dari access point. 4.1.2 Konfigurasi Access Point (AP)
Model autentifikasi Chillispot yang digunakan adalah UAM (Universal Access Method), untuk itu server membutuhkan Apache sebagai web server yang dilengkapi modul SSL dan PHP. Kegiatan menginstal Apache dan PHP dapat dilakukan dengan perintah: root@d3-teknik:~# apt-get install phpmyadmin
Modul SSL pada Apache digunakan untuk mengenkripsi data antara perambah pengguna dengan Apache. Kegiatan menginstal modul SSL pada Apache dibutuhkan paket OpenSSL dan sslcert: # apt-get install openssl ssl-cert
Perangkat keras AP yang digunakan harus mampu bekerja sebagai wireless bridge, tidak harus AP yang memiliki kemampuan routing dan DHCP karena kedua hal tersebut ditangani oleh chillispot. Fasilitas routing dan DHCP pada AP harus dimatikan dan hanya dikonfigurasi sebagai wireless bridge. 4.1.3 Sistem Operasi Ubuntu Server 8.04 Sistem yang digunakan dalam pembuatan server adalah ubuntu server 8.04. Alasan pemakaianya karena sesuai dengan sistem versi server yang digunakan untuk sistem SIA sebagai sumber inputan database untuk server FreeRadius. Instalasi ubuntu menggunakan paket instalasi dari CD booting Ubuntu server 8.04. 4.1.4 Instalasi dan Konfigurasi MySQL
Modul SSL tidak aktif secara default, untuk mengaktifkannya membutuhkan sertifikat SSL dan konfigurasi situs SSL. #mkdir /etc/apache2/ssl #make-ssl-cert /usr/share/ ssl-cert/ ssleay.cnf /etc/apache2/ssl/apache.pem
Pada tahap di atas user akan disuguhkan beberapa pertanyaan mengenai organisasi yang akan menggunakan sertifikat SSL tesebut. Modul SSL perlu diaktifkan setelah instalasi selesai dengan perintah: root@d3-teknik:~# a2enmod ssl Module ssl installed; /etc/init.d/apache2 force-reload enable.
Membuat satu situs khusus untuk akses HTTPS (HTTP lewat SSL): # cp /etc/apache2/sites-available/default /etc/apache2/sites-available/ssl
Edit
berkas /etc/apache2/sitesubah 3 baris teratas menjadi seperti snippet berikut ini:
available/ssl,
Server MySQL diperlukan untuk menyimpan semua basisdata pengguna dan untuk sinkronisasi
NameVirtualHost *:443
6
run to
OTENTIKASI PENGGUNAAN LAYANAN WIRELESS LAN DENGAN FreeRADIUS DAN CHILLISPOT
ServerAdmin webmaster@localhost SSLEngine On SSLCertificateFile /etc/Apache2/ssl/apache.pem #baris selanjutnya biarkan saja .....
Enable situs SSL yang baru dibuat tadi kemudian ubah situs default supaya tidak berbenturan dengan situs SSL. root@d3-teknik:~# a2ensite ssl Site ssl installed; run /etc/init.d/apache2 reload to enable # vim /etc/apache2/sitesavailable/default
Ubah
2
baris
teratas
/etc/Apache2/sites-available/default
berkas menjadi
seperti snippet berikut ini: NameVirtualHost *:80 #baris berikutnya biarkan saja.....
Apache juga harus mendengarkan port 443 untuk menerima permintaan HTTP, untuk itu edit berkas /etc/apache2/ports.conf menjadi: Listen 80 Listen 443
Simpan berkas tersebut kemudian reload apache: # /etc/init.d/apache2 force-reload * Reloading web server config apache2 [ OK ]
d3-teknik:~# cd /usr/share/doc/freeradius/examples/ d3-teknik:/usr/share/doc/freeradius/ examples# gunzip mysql.sql.gz d3-teknik:/usr/share/doc/freeradius/ examples# mysql -u root -p Enter password:
Basisdata MySQL sudah siap, selanjutnya mengkonfigurasi FreeRADIUS. Edit berkas vim /etc/freeradius/sql.conf # Connect info server = "localhost" login = "radiusft" password = "radiusft" radius_db = "d3radiusft"
Berkas kedua yang perlu diubah adalah vim /etc/freeradius/ clients.conf. Berkas ini mengatur komputer atau NAS mana saja yang boleh mengakses server FreeRADIUS ini berserta kata sandi yang digunakan. Server pada dekanat FT ini bertindak sebagai server untuk dirinya sendiri dan untuk server pada DIII mempunyai alamat IP 10.41.11.254. Baris 35 (untuk kedua versi FreeRADIUS) merupakan baris yang mengatur kata sandi yang digunakan 127.0.0.1 atau localhost untuk menghubungi server FreeRADIUS ini. Kata sandi default adalah testing123. Penambahan IP 10.41.11.254 di berikan untuk mengakses FreeRADIUS ini, tambahkan baris berikut pada akhir berkas: client 10.41.11.254 { secret = testing123 nastype = other
4.1.6 Instalasi dan Konfigurasi FreeRADIUS FreeRADIUS yang akan di instal pada server hotspot adalah FreeRADIUS versi 1.1.7, karena sudah mendukung system otentikasi yang di perlukan oleh server. Pemakaian FreeRADIUS ini untuk menghubungkan basisdata MySQL dan sistem perhitungan lamanya user memakai internet. Penginstalan FreeRADIUS pada ubuntu 8.04 dengan menggunakan perintah: # apt-get mysql
install
freeradius
freeradius-
Tahap selanjutnya adalah menyiapkan basisdata MySQL yang akan digunakan FreeRADIUS. FreeRADIUS telah menyediakan skema basisdata yang dibutuhkan pada direktori /usr/share/doc/freeradius/examples/. Selain menyiapkan skema basis data, admin juga harus menyediakan satu pengguna MySQL yang akan digunakan FreeRADIUS untuk membuat koneksi ke server MySQL. Penulis menggunakan basisdata dengan nama d3radiusft, sedangkan nama pengguna MySQL radiusft dengan kata sandi radiusft . Tahap-tahap konfigurasi dapat dilihat pada perintah berikut (yang dicetak tebal adalah perintah yang penulis gunakan):
shortname
= Server DIII FT
}
Penambahan klien tinggal menambahkan barisbaris seperti model di atas pada akhir berkas. 4.1.7 Instalasi dan Konfigurasi Chillispot Ubuntu Server 8.04 menyediakan chillispot versi 1.0. Chillispot dapat diinstal menggunakan perintah apt-get install chillispot. Ketika proses download selesai, pada proses instalasi akan diajukan beberapa pertanyaan untuk konfigurasi awal chillispot. Proses ini akan mempengaruhi isi berkas /etc/chilli.conf. Kegiatan selanjutnya mengubah isi berkas chilli.conf secara manual. Padanan antara pertanyaan yang diajukan dengan berkas /etc/chilli.conf. Tabel 2 Pertanyaan saat instalasi chillispot nomor Jawaban 127.0.0.1 1
/etc/chilli.conf Baris 99
2
Baris 106
127.0.0.1
Keterangan Alamat IP serverFreeRAD IUS pertama Alamat IP serverFreeRAD IUS pertama
7
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 4 Nomor 2 Agustus 2013 3
testing123 Baris 125
4
eth1
5
https://19 2.168.182. 1/uam/hots potlogin.p hp
Baris 176
Baris 196
6
http://192 .168.182.1 /uam/index .php
Baris 203
7
testing123 Baris 207
Selanjutnya ubah berkas secara manual.
Kata sandi yang akan digunakan komputer ini untuk mengakses serverFreeRAD IUS Ethernet yang akan digunakan oleh Chillispot untuk menerima koneksi dari klien nirkabel, dengan kata lain, LAN card yang terhubung ke wireless Access Point Halaman web atau berkas yang menampilkan halaman loginpengguna Halaman web atau berkas yang akan tampil pertama kali sebelum pengguna login. Kata sandi antara perambah webdengan Chillispot
/etc/chilli.conf
Tabel 3 Lanjutan konfigurasi chillispot Baris Isi dengan dns1 59 192.168.1.95 dns1 66 192.168.1.47 domain 72 d3.ft.undip.ac. id 212 224
Keterangan Alamat IP serverDNS pertama. Alamat IP serverDNS kedua. Nama domain serverChillispot yang akan diberikan ke pengguna nirkabel. uamlisten Alamat IP dari devais 192.168.182.1 TUN. uamallowed Alamat IP atau nama 10.31.12.0/24, hostyang 192.168.182.0/2 diperbolehkan untuk 4, diakses oleh pengguna 192.168.1.47, tanpa loginterlebih 127.0.0.1 dahulu. Alamat IP serverFreeRADIUS harus dicantumkan di sini. Sebaiknya alamat IP serverDNS juga dicantumkan di sini.
Sampai langkah ini, chillispot belum bisa dijalankan karena ada satu berkas lagi yang harus dikonfigurasi yaitu berkas
8
/etc/default/chillispot
di ubah menjadi seperti
berikut: # /etc/default/chillispot # # Enable on system start? # Change to 1 if you want it to be enabled. # Please make sure you have configured chillispot first. ENABLED=1 # # chillispot default configuration CHILLICFG=/etc/chilli.conf # # daemon arguments DAEMON_ARGS="--conf $CHILLICFG --coaport 3779"
Berkas di atas mengatur supaya chillispot dapat dijalankan ketika komputer menyala, dengan tambahan argumen --coaport 3779. Argumen ini ditambahkan supaya admin dapat memutus koneksi dari pengguna yang sedang terhubung. 4.1.8
Uamhomepage
Halaman perambah pengguna yang belum terautentifikasi akan dialihkan ke halaman uamhomepage ini ketika mencoba mengakses situs luar dan tidak terdaftar di uamallowed. Syarat utama dari halaman yang akan dijadikan uamhomepage adalah harus menyertakan link ke uamserver. Pada konfigurasi sebelumnya, sever menggunakan https://192.168.182.1/uam/hotspotlogin.
php
sebagai uamserver, untuk itu halaman web uamhomepage harus terdapat link ke http://192.168.182.1:3990/prelogin. Ketika pengguna mengaktifkan link ini, user akan disuguhkan dengan halaman login sebagaimana terdapat pada https://192.168.182.1 /uam /hotspotlogin.php. Halaman yang dihasilkan hanya sebuah berkas index.php. Berkas index.php ini disimpan di /var/www/uam sesuai dengan pengaturan pada /etc/chilli.conf.
4.1.9 Administrasi FreeRADIUS Berbasis Web Antarmuka untuk mengatur FreeRADIUS diimplementasikan menggunakan bahasa PHP sehingga bisa diakses lewat perambah internet. Administrator tidak perlu menginstal aplikasi tertentu (selain perambah internet) dan tidak tergantung pada satu sistem operasi tertentu untuk mengakses aplikasi administrasi FreeRADIUS ini. Aplikasi ini dinamakan ezradius. Versi terbaru dari aplikasi ini dapat diunduh pada http://sourceforge.net/projects/ezradius. Ekstrak berkas yang sudah diunduh ke /var/www sehingga ada direktori ezradius-d3. Ubah kepemilikan
OTENTIKASI PENGGUNAAN LAYANAN WIRELESS LAN DENGAN FreeRADIUS DAN CHILLISPOT direktori beserta seluruh berkas di dalamnya menggunakan perintah : chown -R www-data.www-data ezradius-d3
/var/www/
Pada perintah di atas, www-data dianggap sebagai pengguna yang menjalankan server web Apache. Akses halaman ezradius menggunakan perambah internet dengan memasukkan URL http://10.41.11.254/ezradius-d3.Ketika administrator mengakses halaman ezradius, ia akan disuguhkan halaman login. Pada halaman editor konfigurasi ini pula, administrator dapat melakukan pengaturan versi FreeRADIUS dan konfigurasi server basisdata MySQL yang digunakan oleh FreeRADIUS. Administrator dapat melihat pengguna yang sedang menggunakan jaringan nirkabel melalui menu View -> Online Users.
server MySQL) terbuka atau tidak, menggunakan perintah: root@d3-teknik:~# netstat 3306|grep LISTEN tcp 0 0 0.0.0.0:3306
-tan|grep 0.0.0.0:*
4.2.2 Pengujian Apache Periksa dulu apakah Apache sudah mendengarkan port 80 (permintaan HTTP) dan port 443 (HTTPS) dengan menggunakan perintah: # nmap -A localhost|grep Apache 80/tcp open http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.26 with Suhosin-Patch mod_ssl/2.2.8 OpenSSL/0.9.8g) 443/tcp open ssl/http Apache httpd 2.2.8 ((Ubuntu) PHP/5.2.4-2ubuntu5.26 with Suhosin-Patch mod_ssl/2.2.8 OpenSSL/0.9.8g)
4.2.3 Pengujian FreeRADIUS Kegiatan pertama dengan menguji konfigurasi FreeRADIUS sudah benar atau belum. Jalankan FreeRADIUS dalam mode debug sehingga jika ada kesalahan konfigurasi akan ditampilkan di layar. Jalankan FreeRADIUS dengan baris perintah freeradius -X. Pengujian autentifikasi menggunakan perangkat lunak radtest bawaan FreeRADIUS dengan format perintah sebagai berikut:
Gambar 5 Daftar pengguna yang sedang online Halaman ini secara automatis akan diperbarui setiap 60 detik. Pada tabel daftar pengguna online terdapat link 'Kick user'. Link ini digunakan untuk memutus paksa koneksi internet pengguna
radtest nama_pengguna passwordnya ip_server_FreeRADIUS sembarang_nas_port password_untuk_nas
Hasil pengujian untuk pengguna ' test ' jika berhasil login (nama pengguna dan kata sandi benar) adalah sebagai berikut: d3-teknik:/home/antok# radtest test 127.0.0.1 0 testing123
test
Sending Access-Request of id 0 to 127.0.0.1 port 1812 User-Name = "test" User-Password = "test" NAS-IP-Address=255.255.255.255 NAS-Port = 0 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=0, length=20
Gambar 6 Memutus koneksi pengguna 4.2 Operate Pada tahap operate di lakukan beberapa aktivitas uji coba berdasarkan hasil dari tahap implement. Aktivitas uji coba tersebut antar lain : 4.2.1 Pengujian Server MySQL
Misalkan pengguna salah memasukkan kata sandi, keluarannya menjadi: d3-teknik:/home/antok# radtest test tes 127.0.0.1 0 testing123 Sending Access-Request of id 110 to 127.0.0.1 port 1812 User-Name = "test" User-Password = "tes" NAS-IP-Address = 255.255.255.255 NAS-Port = 0 rad_recv: Access-Reject packet from host 127.0.0.1:1812, id=110, length=20
Pemeriksaan server basisdata MySQL sudah berjalan dengan melihat port 3306 (port standard
9
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 4 Nomor 2 Agustus 2013 4.2.4 Pengujian Chillispot
5.2 Saran
Pengujian ini dilakukan dengan memeriksa konfigurasi, chillispot dijalankan pada foreground dan mode debug dengan perintah berikut:
Perlu pengembangan lebih lanjut dalam mengoperasikan dan pemeliharaan server FreeRadius dan Chillispot pada dekanat Fakultas Teknik UNDIP antara lain : 1. Kemanan server dapat ditingkatkan dengan tidak menjalankan squid pada satu komputer dengan server chillispot. Sebaiknya squid dijalankan pada mesin lain. 2. Pengujian tingkat keamanan sistem dapat dilakukan dengan lebih lengkap, misalnya dengan pengujian penetrasi menggunakan packet sniffer dan spoofing . 3. Antarmuka web dapat dikembangkan untuk kebutuhan komersial yaitu untuk hotspot berbayar. Hal ini dapat dilakukan dengan menambahkan mekanisme pembuatan dan penjualan tiket/paket layanan nirkabel 4. Implementasi dan pengujian dapat ditambah dengan menguji pengaturan pembatasan bandwith dan waktu pemakaian 5. Perlu adanya spesifikasi hardware yang bagus khusus untuk server.
root@d3-teknik:~# chilli --fg --debug ChilliSpot version 1.0 started. chillispot[13366]: ChilliSpot 1.0. Copyright 2002-2005 Mondru AB. Licensed under GPL. See http://www.chillispot.org for credits. Waiting for client request...
Chillispot membuat sebuah devais virtual tun0 yang digunakan untuk melewatkan paket internet dari klien nirkabel. Hal ini dapat di periksa dari keluaran perintah ifconfig. 4.2.6 Pengujian Pada Smartphone dan Notebook Pengujian dilakukan dengan cara mengasosiasikan jaringan nirkabel smartphone, notebook dan netbook ke SSID AP kemudian mengakses internet. Pengujian dilakukan menggunakan perambah internet bawaan smartphone dan aplikasi browser yang terinstall di notebook atau netbook seperti mozilla firefox dan google chrome 5.
Kesimpulan Dan Saran
5.1 Kesimpulan Hasil dari Otentikasi Penggunaan Layanan Wireless LAN Dengan FreeRadius Dan Chillispot pada DIII Fakultas Teknik UNDIP perlu disimpulkan : 1. Sistem Otentikasi dan otorisasi dengan menggunakan FreeRADIUS dan Chillispot memberikan level keamanan jaringan wireless LAN yang lebih baik. Hanya user yang mempunyai login SIA dan yang terdaftar di sistem yang dapat menggunakan koneksi internet. 2. Mekanisme pelaporan yang detail tentang koneksi yang dilakukan user, memudahkan administrator jaringan dalam memonitoring penggunaan layanan jaringan internet. 3. Firewall bekerja sesuai rancangan, namun tidak menjamin keamanan sistem karena pengguna masih dapat melakukan bypass halaman login dengan teknik proxy (akibat dari squid dijalankan pada komputer yang sama dengan server Chillispot) 4. Sistem yang dibangun stabil paling lama 3 hari sejak server dan Access Point menyala, setelah itu server dan Access Point harus direboot. Hal ini mungkin disebabkan oleh ketidakstabilan Access Point yang digunakan. 5. Sistem hotspot FreeRADIUS dan Chillispot sudah diterapkan di DIII Fakultas Teknik.
10
DAFTAR PUSTAKA Arif,T.Y., Syahrial., dan Zulkiram. 2007. Studi Protokol Autentikasi pada Layanan Internet Service Provider (ISP), Jurnal Rekayasa ELektrika, Vol.6 (No.1), 21-28 Darmariyadi, A. 2003. Remote Access Dial-In User Service dan Aspek Keamanannya. Laporan Akhir . Bandung : Institut Teknologi Bandung Febyatmoko, G. S., Hidayat, T., dan Andri, S. M. 2006. Sistem Otentikasi Otorisasi dan Pelaporan Koneksi User Pada Jaringan Wireless Menggunakan Chillispot dan Server Radius. Jurnal Media Informatika,Vol.4 (No.1), 67-79 Jonathan, H. 2002. RADIUS. Sebastopol ca : O’Reilly Media Inc Ventura, H. 2002. DIAMETER Next Generation’s AAA Protocol. Master Thesis in information Theory. Linköpings : Linköpings Tekniska Högskola University Warsito. 2004. Sistem Kemanan Jaringan Multi Domain Menggunakan Protokol DIAMETER. Laporan Tugas Akhir. Bandung : Institut Teknologi Bandung Yani, A. 2008. Panduan Menjadi Teknisi Jaringan Komputer. Jakarta : Kawan Pustaka