Perangkat Keras 1 MacBook 2.1 GHz Intel Core 2 Duo, 1 GB 667 Mhz DDR2 SDRAM digunakan sebagai Authenticator pada Topologi-1 dan sebagai Supplicant pada Topologi-2. 2 Acer Aspire 4520 AMD Turion 1.9 GHz, 1 GB RAM digunakan sebagai Authentication Server pada Topologi-1 dan Topologi-2. 3 Access Point Linksys WRT-54GL yang digunakan sebagai Authenticator pada Topologi-2. Access Point beroperasi pada mode G dengan data rate 54Mbit/s dan channel yang digunakan adalah channel 6 (2.437 GHz). 4 Kabel UTP (Unshielded Twisted Pair) Category 5 digunakan untuk menghubungkan Authenticator dan Authentication server. Data rate yang digunakan adalah 100Mbit/s (Fast Ethernet). Perangkat Lunak 1 Mac OS X 10.5.8 akan digunakan sebagai Authenticator pada Topologi-1 dan Supplicant pada Topologi-2, wpa_supplicant 0.7.3 akan digunakan ketika difungsikan sebagai Authenticator, sedangkan driver default dari Mac OS akan digunakan ketika difungsikan sebagai Supplicant. OpenSSL 1.0.0d dan Wireshark 1.2.7 digunakan pada kedua topologi. 2 Ubuntu Linux 10.10 Desktop, FreeRADIUS 2.1.8, OpenSSL 0.9.8 akan digunakan sebagai Authentication Server pada kedua topologi. 3 Firmware DD-WRT v23 SP1 Final (05/16/06) std digunakan sebagai Authenticator pada Topologi-2. Pengujian Proses pengujian dilakukan sebanyak lima kali perulangan untuk masing-masing EAP
method dan pasangan ciphersuite yang akan digunakan adalah RSA-AES-SHA, RSA-3DESSHA, DSA-AES-SHA, dan DSA-3DES-SHA yang diatur dalam protokol TLS versi 1.0. Panjang kunci yang digunakan untuk sertifikat digital (RSA dan DSA) adalah sama yaitu 1024 bit, sedangkan pada AES adalah 128 bit dan 3DES adalah 112 bit. Teknik Pengambilan Data Proses pengumpulan data dilakukan dengan cara menangkap paket-paket autentikasi yang melewati jaringan menggunakan aplikasi Wireshark yang akan dijalankan di sisi klien. Wireshark akan dijalankan untuk menangkap paket-paket dengan jenis tertentu (RADIUS dan EAPOL) yang sudah didefinisikan sebelumnya, bukan semua jenis paket yang melewati jaringan. Setelah proses penangkapan paket selesai, maka akan dilakukan proses penghitungan secara offline, seperti terlihat pada Gambar 5, dari hasil penangkapan paket akan didapatkan waktu autentikasi, ukuran paket, dan jumlah langkah sesuai kriteria perbandingan yang digunakan.
HASIL DAN PEMBAHASAN Penelitian ini akan menggunakan dua tipe topologi yaitu Topologi-1 dengan dua komponen (Authenticator dan Authentication Server) dan Topologi-2 dengan tiga komponen (Supplicant, Authenticator dan Authentication Server). Dalam masing-masing topologi terdapat tiga EAP method yang digunakan yaitu EAP-TLS, EAP-TTLS, dan EAP-PEAP, dimana dalam masing-masing EAP method terdapat empat tipe ciphersuite yang digunakan yaitu RSA-AES-SHA, RSA-3DES-SHA, DSA-AESSHA, dan DSA-3DES-SHA. Dengan demikian, diperoleh total percobaan yang akan dilakukan
Gambar 5 Contoh hasil penangkapan paket autentikasi menggunakan Wireshark 7
Hasil perbandingan berdasarkan waktu yang dibutuhkan dari awal sampai proses autentikasi selesai untuk masing-masing EAP method dapat dilihat pada Tabel 4 dan ditampilkan dalam bentuk grafik batang pada Gambar 6. Hasil lengkap untuk semua perulangan dapat dilihat pada Lampiran 1. Tabel 4 Rata-rata waktu (millisecond) pada Topologi-1 Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AESSHA
62.642
48.609
74.601
RSA–3DESSHA
63.425
44.616
76.850
DSA-AESSHA
157.287
134.545
167.678
DSA-3DESSHA
157.625
135.277
162.887
Tabel 4 dan Gambar 6 menunjukkan bahwa EAP-TTLS memerlukan waktu yang paling sedikit di antara ketiga EAP method dalam menyelesaikan proses autentikasi untuk semua ciphersuite yang digunakan. EAP-TLS berada di urutan kedua dengan selisih yang cukup signifikan dari EAP-TTLS, yaitu 14.032 ms pada ciphersuite RSA-AES-SHA, 18.809 ms pada RSA-3DES-SHA, 22.743 ms pada DSAAES-SHA, dan 22.348 ms pada DSA-3DESSHA. Di lain pihak, EAP-PEAP berada di posisi terakhir dengan selisih yang cukup dekat dengan EAP-TLS, yaitu 11.959 ms pada
EAP-PEAP
ES
-S H
A
A -3 D
ES -3 D R SA
D SA
A -S H
-S H ES
waktu
-A
berdasarkan
R SA
Hasil perbandingan (millisecond)
EAP-TTLS
180 160 140 120 100 80 60 40 20 0 A
Perbandingan dilakukan menggunakan Topologi-1 dengan dua komponen yaitu authenticator dan authentication server. Dalam topologi ini hanya fokus kepada proses autentikasi saja, tanpa melibatkan komponen supplicant, gunanya adalah untuk mengetahui perbandingan secara murni, tanpa melibatkan proses lain seperti pembentukan dan pertukaran kunci enkripsi dari authenticator ke supplicant dalam protokol WPA Enterprise.
EAP-TLS
ES -S H
Hasil pengujian menggunakan Topologi-1
ciphersuite RSA-AES-SHA, 13.425 ms pada RSA-3DES-SHA, 10.391 ms pada DSA-AESSHA, dan 5.262 ms pada DSA-3DES-SHA.
D SA -A
adalah sebanyak 2 x 3 x 4 = 24 percobaan, dimana masing-masing percobaan akan dilakukan perulangan sebanyak lima kali dan diambil rata-ratanya.
Gambar 6 Grafik perbandingan berdasarkan waktu pada Topologi-1. Tabel 4 juga menunjukkan bahwa untuk ketiga EAP method dengan kunci simetrik yang sama pada ciphersuite, namun dengan sertifikat digital yang berbeda akan menghasilkan selisih waktu yang cukup tinggi, baik untuk RSA (RSA-AES-SHA dan RSA-3DES-SHA) maupun untuk DSA (DSA-AES-SHA dan DSA3DES-SHA). Di lain pihak, untuk penggunaan kunci simetrik yang berbeda dengan sertifikat digital yang sama, selisih waktu yang dihasilkan hampir tidak ada (tidak signifikan), baik untuk AES (RSA-AES-SHA dan DSA-AES-SHA) maupun 3DES (RSA-3DES-SHA dan DSA3DES-SHA). Dari hasil percobaan ini dapat diketahui bahwa pemilihan sertifikat digital (RSA atau DSA) akan sangat berpengaruh terhadap waktu, sedangkan pemilihan kunci simetrik (AES atau 3DES) tidak berpengaruh banyak. Hasil perbandingan berdasarkan besar paket (bytes) Hasil perbandingan berdasarkan besar paket (bytes) yang dikirimkan melalui jaringan selama proses autentikasi berlangsung untuk masingmasing EAP method dapat dilihat pada Tabel 5 dan ditampilkan dalam bentuk grafik batang pada Gambar 7. Hasil lengkap untuk semua perulangan dapat dilihat pada Lampiran 2.
8
Tabel 5 Rata-rata besar paket (bytes) pada Topologi-1
Gambar 8. Hasil lengkap untuk semua perulangan dapat dilihat pada Lampiran 3.
Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
Tabel 6 Rata-rata jumlah langkah pada Topologi-1
RSA–AES-SHA
6742
4567
5698
Ciphersuite
RSA–3DES-SHA
6726
4543
5634
EAPTLS
EAPTTLS
EAPPEAP
DSA-AES-SHA
8520
5553
6682
RSA–AES-SHA
14
14
20
DSA-3DES-SHA
8504
5530
6616
RSA–3DES-SHA
14
14
20
DSA-AES-SHA
18
16
22
DSA-3DES-SHA
18
16
22
Tabel 5 dan Gambar 7 menunjukkan bahwa EAP-TTLS memiliki ukuran paket yang paling kecil di antara ketiga EAP method untuk semua ciphersuite yang digunakan. Di lain pihak, EAP-PEAP berada di urutan kedua dan EAPTLS memiliki ukuran paket yang paling besar. Hal ini dikarenakan pada EAP-TLS, selain di sisi server, sertifikat digital di sisi klien juga dikirimkan melalui jaringan. Pemilihan algoritme sertifikat digital (RSA atau DSA) juga mempengaruhi besar ukuran paket dimana jika menggunakan DSA maka ukuran paket yang dihasilkan akan lebih besar daripada RSA. Sementara pemilihan algoritme kunci simetrik (AES atau 3DES) tidak memiliki pengaruh signifikan. EAP-TLS
EAP-TTLS
EAP-PEAP
Tabel 6 dan Gambar 8 menunjukkan bahwa EAP-TLS dan EAP-TTLS sama-sama memiliki jumlah langkah paling sedikit pada ciphersuite RSA-AES-SHA dan RSA-3DES-SHA yaitu dengan 14 langkah, sementara EAP-PEAP membutuhkan 20 langkah. Pada ciphersuite DSA-AES-SHA dan DSA-3DES-SHA, EAPTLS dan EAP-TTLS memiliki selisih 2 langkah dimana EAP-TTLS merupakan yang terbaik dengan 16 langkah, EAP-TLS dengan 18 langkah sementara EAP-PEAP dengan 22 langkah. EAP-TLS
EAP-TTLS
EAP-PEAP
25 20
9000 8000
15
7000 6000
10
5000 4000
5
3000 2000
jumlah
Hasil perbandingan berdasarkan jumlah langkah yang dibutuhkan selama proses autentikasi berlangsung untuk masing-masing EAP method dapat dilihat pada Tabel 6 dan ditampilkan dalam bentuk grafik batang pada
A
D SA -3 D ES -S H A
ES -S H SA -A D
A
Hasil pengujian berdasarkan langkah yang dibutuhkan
SA -A
ES -S H
Gambar 7 Grafik perbandingan berdasarkan besar paket pada Topologi-1.
R
A
D SA -3 D ES -S H A
ES -S H SA -A D
A ES -S H SA -A R
R SA -3 D ES -S H A
0
R SA -3 D ES -S H A
0
1000
Gambar 8 Grafik perbandingan berdasarkan jumlah langkah pada Topologi-1. Pemilihan algoritme sertifikat digital (RSA atau DSA) juga mempengaruhi jumlah langkah dimana jika menggunakan DSA maka jumlah langkah yang dihasilkan akan sedikit lebih banyak daripada RSA. Sementara pemilihan algoritme kunci simetrik (AES atau 3DES) tidak memiliki pengaruh signifikan. Detail urutan paket untuk EAP-TLS menggunakan RSA dapat dilihat pada Lampiran 4, sedangkan jika menggunakan DSA dapat 9
dilihat pada Lampiran 5. Terlihat bahwa jika menggunakan RSA dibutuhkan dua kali pengiriman sertifikat digital (server dan klien) dimana pengiriman untuk masing-masing sertifikat membutuhkan dua kali fragmentasi (pemecahan) karena satu sertifikat tidak bisa dikirimkan sekaligus karena ukuran yang lebih besar dari ukuran MTU (Maximum Transmission Unit). Sementara untuk DSA dibutuhkan tiga kali pemecahan karena memiliki ukuran yang lebih besar daripada RSA dan MTU.
Tabel 7 Rata-rata waktu (millisecond) pada Topologi-2
Untuk EAP-TTLS, detail urutan paket jika menggunakan RSA dapat dilihat pada Lampiran 6, sementara untuk DSA dapat dilihat pada Lampiran 7. Sementara detail urutan paket EAP-PEAP dapat dilihat pada Lampiran 8 untuk RSA dan Lampiran 9 untuk DSA. Pada EAPTTLS dan EAP-PEAP pengiriman sertifikat hanya dilakukan oleh server, dimana jika menggunakan RSA dibutuhkan dua kali pemecahan, sementara DSA butuh tiga kali pemecahan. EAP-TTLS dan EAP-PEAP memiliki langkah yang identik sampai pada fase-1, namun di fase-2 EAP-PEAP membutuhkan langkah yang lebih banyak daripada EAP-TTLS. Hal ini dikarenakan pada EAP-PEAP fase-2 yang menggunakan EAPMSCHAPv2 kembali dilakukan proses mutual authentication yang meliputi proses challengeresponse sehingga membutuhkan langkah tambahan, sementara pada EAP-TTLS proses mutual authentication tidak dilakukan kembali karena sudah dilakukan pada fase-1 menggunakan sertifikat digital.
135.224
159.704
RSA–3DES- 181.808 SHA
132.537
166.988
DSA-AESSHA
366.959
329.809
353.222
DSA-3DES- 375.730 SHA
313.682
360.241
Tabel 7 dan Gambar 9 menunjukkan bahwa EAP-TTLS memerlukan waktu yang paling sedikit untuk semua ciphersuite yang digunakan. EAP-PEAP berada di urutan kedua dengan selisih yang cukup signifikan dari EAPTTLS, yaitu 24.480 ms pada ciphersuite RSAAES-SHA, 34.451 ms pada RSA-3DES-SHA, 0.023413 ms pada DSA-AES-SHA, 46.559 ms pada DSA-3DES-SHA. Di lain pihak, EAP-TLS berada di posisi terakhir dengan selisih yang cukup dekat dengan EAP-PEAP, yaitu 19.986 ms pada ciphersuite RSA-AES-SHA, 14.820 ms pada RSA-3DES-SHA. Hasil perbandingan berdasarkan waktu pada Topologi-1 dan Topologi-2 memiliki perubahan urutan pada EAP-TLS dan EAP-PEAP, namun dengan selisih yang cukup dekat. Hal ini disebabkan adanya tambahan perangkat (Access Point) menambah delay tambahan dimana paket yang dihasilkan EAP-TLS lebih besar daripada EAPPEAP. EAP-TLS
EAP-TTLS
EAP-PEAP
400 350 300 250 200 150 100 50 -3 D ES -S H A DS A
DS A
-A ES
-S HA
0 -S H A
Hasil perbandingan berdasarkan waktu yang dibutuhkan dari awal sampai proses autentikasi selesai untuk masing-masing EAP method dapat dilihat pada Tabel 7 dan ditampilkan dalam bentuk grafik batang pada Gambar 9. Hasil lengkap untuk semua perulangan dapat dilihat pada Lampiran 10.
179.690
-3 D ES
waktu
RSA–AESSHA
RS A
berdasarkan
EAPPEAP
ES -S H A
Hasil perbandingan (millisecond)
EAPTTLS
-A
Perbandingan dilakukan menggunakan tiga komponen sesuai skema WPA Enterprise dengan protokol 802.1x. Proses penghitungan meliputi semua proses dari supplicant ke authenticator dan dari authenticator ke authentication server namun tidak termasuk proses pembangkitan dan pertukaran kunci untuk enkripsi pada WPA Enterprise.
EAPTLS
RS A
Hasil pengujian menggunakan Topologi-2
Ciphersuite
Gambar 9 Grafik perbandingan berdasarkan waktu pada Topologi-2.
10
Tabel 8 Rata-rata besar paket (bytes) pada Topologi-2 Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AES-SHA
9990
6917
8198
RSA–3DES-SHA
9958
6825
8134
DSA-AES-SHA
14715
8538
9933
DSA-3DES-SHA
14721
8566
9867
Tabel 8 dan Gambar 10 menunjukkan bahwa EAP-TTLS memiliki ukuran paket yang paling kecil di antara ketiga EAP method untuk semua ciphersuite yang digunakan. Di lain pihak, EAP-PEAP berada di urutan kedua dan EAPTLS memiliki ukuran paket yang paling besar. Hal ini dikarenakan pada EAP-TLS, selain di sisi server, sertifikat digital di sisi klien juga dikirimkan melalui jaringan. Hasil perbandingan berdasarkan besar paket pada Topologi-2 memiliki urutan yang sama seperti pada Topologi-1. Sama seperti Topologi-1, pemilihan algoritme sertifikat digital (RSA atau DSA) juga mempengaruhi besar ukuran paket dimana jika menggunakan DSA maka ukuran paket yang dihasilkan akan lebih besar daripada RSA. Sementara pemilihan algoritme kunci simetrik (AES atau 3DES) tidak memiliki pengaruh signifikan.
EAP-PEAP
14000 12000 10000 8000 6000 4000 2000
A
D SA -3 D ES -S H A
ES -S H SA -A D
A
R SA -3 D ES -S H A
0 ES -S H
Hasil perbandingan berdasarkan besar paket (bytes) yang dikirimkan melalui jaringan selama proses autentikasi berlangsung untuk masingmasing EAP method dapat dilihat pada Tabel 8 dan ditampilan dalam bentuk grafik batang pada Gambar 10. Hasil lengkap untuk semua perulangan dapat dilihat pada Lampiran 11.
EAP-TTLS
16000
SA -A
Hasil perbandingan berdasarkan besar paket (bytes)
EAP-TLS
R
Sama seperti Topologi-1, hasil perbandingan pada Topologi-2 juga menunjukkan bahwa pemilihan algoritme sertifikat digital (RSA atau DSA) mempengaruhi kecepatan/ waktu autentikasi dimana jika menggunakan RSA maka waktu autentikasi yang dibutuhkan lebih cepat daripada DSA. Sementara pemilihan algoritme kunci simetrik (AES atau 3DES) tidak memiliki pengaruh signifikan.
Gambar 10 Grafik perbandingan berdasarkan besar paket pada Topologi-2. Hasil pengujian berdasarkan langkah yang dibutuhkan
jumlah
Hasil perbandingan berdasarkan jumlah langkah yang dibutuhkan selama proses autentikasi berlangsung untuk masing-masing EAP method dapat dilihat pada Tabel 9 dan ditampilkan dalam bentuk grafik batang pada Gambat 11. Hasil lengkap untuk semua perulangan dapat dilihat pada Lampiran 12. Tabel 9 Rata-rata jumlah langkah pada Topologi-2 Ciphersuite
EAPTLS
EAPTTLS
EAPPEAP
RSA–AES-SHA
29
29
41
RSA–3DES-SHA
29
29
41
DSA-AES-SHA
37
33
45
DSA-3DES-SHA
37
33
45
Tabel 9 dan Gambar 11 menunjukkan bahwa EAP-TLS dan EAP-TTLS memiliki jumlah langkah paling sedikit pada ciphersuite RSAAES-SHA dan RSA-3DES-SHA yaitu dengan 29 langkah, sementara EAP-PEAP membutuhkan 41 langkah. Pada ciphersuite DSA-AES-SHA dan DSA-3DES-SHA, EAPTLS dan EAP-TTLS memiliki selisih 4 langkah dimana EAP-TTLS merupakan yang terbaik dengan 33 langkah, EAP-TLS dengan 37 langkah sementara EAP-PEAP berada di urutan terakhir dengan 45 langkah. Hasil perbandingan berdasarkan jumlah langkah pada Topologi-1 dan Topologi-2 memiliki urutan yang sama.
11
Sama seperti Topologi-1, pemilihan algoritme sertifikat digital (RSA atau DSA) juga mempengaruhi jumlah langkah dimana jika menggunakan DSA maka jumlah langkah yang dihasilkan akan sedikit lebih banyak daripada RSA. Sementara pemilihan algoritme kunci simetrik (AES atau 3DES) tidak memiliki pengaruh signifikan. Detail urutan paket untuk EAP-TLS menggunakan RSA dapat dilihat pada Lampiran 13, sedangkan jika menggunakan DSA dapat dilihat pada Lampiran 14. Untuk EAP-TTLS, detail urutan paket jika menggunakan RSA dapat dilihat pada Lampiran 15, sementara untuk DSA dapat dilihat pada Lampiran 16. Lampiran 17 menunjukkan detail urutan paket EAP-PEAP jika menggunakan RSA dan Lampiran 18 untuk DSA. Terlihat bahwa jumlah langkah pada Topologi-2 adalah dua kali lipat jumlah langkah pada Topologi-1 ditambah satu langkah awal yaitu EAP-Request/Identity. EAP-TLS
EAP-TTLS
EAP-PEAP
A
D SA -3 D ES -S H A
ES -S H SA -A D
A ES -S H SA -A R
R SA -3 D ES -S H A
50 45 40 35 30 25 20 15 10 5 0
Gambar 11 Grafik perbandingan berdasarkan jumlah langkah pada Topologi-2.
KESIMPULAN DAN SARAN
setelah EAP-TTLS, walaupun EAP-PEAP merupakan yang terburuk pada kriteria jumlah langkah yang harus diselesaikan dalam proses autentikasi, namun sama seperti EAP-TTLS, penggunaannya yang sederhana menjadi nilai lebih dari EAP-PEAP. Selain itu, adanya dukungan default di hampir semua sistem operasi termasuk Microsoft Windows yang masih memiliki pengguna terbanyak di dunia menjadi faktor penentu penggunaan EAP method ini. EAP-TLS merupakan EAP method yang terburuk di antara ketiganya, selain terburuk pada kriteria ukuran paket (untuk kedua topologi) karena adanya kebutuhan sertifikat digital di sisi klien menambah besar ukuran paket yang akan dikirimkan selama proses autentikasi. Walaupun memiliki selisih waktu yang cukup dekat dengan EAP-PEAP, namun kebutuhan akan PKI (Public Key Infrastructure) menjadi pertimbangan tersendiri untuk penggunaan EAP method ini, selain manajemen dan distribusi yang lebih rumit, juga karena pengguna awam lebih terbiasa untuk menggunakan username dan password daripada harus menggunakan sertifikat digital. Walaupun begitu, EAP-TLS sangat cocok diterapkan pada jaringan existing yang sudah memiliki infrastruktur PKI dimana faktor keamanan yang tinggi menjadi nilai plus pada EAP-TLS. Hasil penelitian ini juga menunjukkan bahwa pemilihan algoritme sertifikat digital (RSA atau DSA) akan sangat berpengaruh terhadap semua kriteria perbandingan, dari hasil perbandingan dalam penelitian ini dapat disimpulkan bahwa RSA lebih cepat daripada DSA dalam proses autentikasi untuk ketiga EAP method pada jaringan nirkabel. Selain itu, dapat juga diketahui bahwa pemilihan algoritme kunci simetrik (AES atau 3DES) tidak memiliki pengaruh yang signifikan terhadap proses autentikasi.
Kesimpulan
Saran
EAP-TTLS merupakan EAP method yang terbaik di semua kriteria perbandingan, baik di Topologi-1 maupun Topologi-2, namun tidak adanya dukungan default di Windows menjadi salah satu kekurangan tidak langsung dari EAP method ini. Selain itu, penggunaannya yang sederhana tanpa harus menggunakan sertifikat digital di sisi klien juga menjadi nilai lebih dari EAP-TTLS.
Penelitian ini dapat dikembangkan lebih lanjut ke perbandingan : 1 Benchmarking seperti penggunaan CPU dan RAM. 2 Concurrent/ simultaneous authentication, yaitu perbandingan masing-masing EAP method dalam menangani autentikasi secara bersamaan/ serentak. 3 Penggunaan session resumption untuk mengurangi waktu pada proses TLS.
EAP-PEAP merupakan yang kedua terbaik
12
