Remote Authentication Dial In User Service (RADIUS) untuk Autentikasi Pengguna Wireless LAN

Remote Authentication Dial In User Service (RADIUS) untuk Autentikasi Pengguna Wireless LAN

Tugas Mata Kuliah EC-5010 Keamanan Sistem Informasi

Agung W. Setiawan 13200010 agungws1982 [at] yahoo [dot] com

DEPARTEMEN TEKNIK ELEKTRO FAKULTAS TEKNOLOGI INDUSTRI INSTITUT TEKNOLOGI BANDUNG 2005

EC-5010 Keamanan Sistem Informasi BAB I PENDAHULUAN

Salah satu perubahan utama di bidang telekomunikasi adalah penggunaan teknologi wireless. Teknologi wireless juga diterapkan pada jaringan komputer, yang lebih dikenal dengan wireless LAN (WLAN). Kemudahan-kemudahan yang ditawarkan wireless LAN menjadi daya tarik tersendiri bagi para pengguna komputer menggunakan teknologi ini untuk mengakses suatu jaringan komputer atau internet. Beberapa tahun terakhir ini pengguna wireless LAN mengalami peningkatan yang pesat. Peningkatan pengguna ini juga dibarengi dengan peningkatan jumlah hotspot yang dipasang oleh ISP (Internet Service Provider) di tempat-tempat umum, seperti kafe, mal, bandara. Banyak kantor maupun kampus yang telah memiliki hotspot, pada umumnya hotspot ini berada di ruangan rapat. Masalah yang akan kita hadapi apabila menerapkan wireless LAN adalah isu tentang keamanannya. Banyak pihak yang masih mempertanyakan tentang keamanan wireless LAN. Apabila kita mengimplementasikan wireless LAN, maka kita juga harus mengimplementasikan sistem keamanan apa yang akan kita terapkan. Banyak hotspot yang tidak menerapkan sistem keamanan yang memadai, sehingga memungkinkan pengguna yang tidak berhak (ilegal) dapat masuk ke jaringan komputer tersebut. Apabila hal ini sampai terjadi, maka pemilik hotspot tersebut secara langsung maupun tidak langsung akan dirugikan, penyusup itu dapat saja melakukan perbuatan yang tidak menyenangkan, seperti mengambil data, menyerang komputer-komputer yang ada di jaringan tersebut, kehilangan pendapatan (apabila pemilik hotspot adalah ISP.) Sistem keamanan yang paling umum diterapkan pada wireless LAN adalah dengan metode enkripsi, yaitu WEP (Wired Equivalent Privacy). WEP ini menggunakan satu kunci enkripsi yang digunakan bersama-sama oleh para pengguna wireless LAN. Hal ini menyebabkan WEP tidak dapat diterapkan pada hotspot yang dipasang di tempat-tempat umum. Dan karena lubang keamanan yang dimiliki WEP cukup banyak, sehingga mudah dibobol oleh pihak ketiga yang tidak berhak, maka penggunaannya tidak disarankan lagi. Sistem keamanan lainnya adalah WPA (Wi-Fi Protected Access), yang menggeser WEP dan menghasilkan keamanan yang lebih baik dari WEP. Implementasi WPA menggunakan 802.1x dan EAP (Extensible Authentication Protocol) menghasilkan proses autentikasi pengguna yang relatif lebih aman. Pada proses ini pengguna harus melakukan autentikasi ke sebuah server autentikasi, misalnya RADIUS, sebelum terhubung ke wireless LAN atau internet. Pada umumnya proses autentikasi ini menggunakan nama-pengguna dan password.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 2

EC-5010 Keamanan Sistem Informasi BAB II Remote Authentication Dial-In User Service (RADIUS)

Kenapa RADIUS? Ada beberapa alasan kenapa RADIUS dipilih, yaitu sederhana, efisien, dan mudah diimplementasikan [1]. RADIUS menjalankan sistem administrasi pengguna yang terpusat, sistem ini akan mempermudah tugas administrator. Dapat kita bayangkan berapa banyak jumlah pelanggan yang dimiliki oleh sebuah ISP, dan ditambah lagi dengan penambahan pelanggan baru dan penghapusan pelanggan yang sudah tidak berlangganan lagi. Apabila tidak ada suatu sistem administrasi yang terpusat, maka akan merepotkan administrator dan tidak menutup kemungkinan ISP akan merugi atau pendapatannya berkurang. Dengan sistem ini pengguna dapat menggunakan hotspot di tempat yang berbeda-beda dengan melakukan autentikasi ke sebuah RADIUS server. RADIUS merupakan suatu protokol yang dikembangkan untuk proses AAA (authentication, authorization, and accounting.) Berikut ini adalah RFC (Request For Comment) yang berhubungan dengan RADIUS [2]: • RFC2865 : Remote Authentication Dial-In User Service (RADIUS) • RFC 2866 : RADIUS Accounting • RFC 2867 : RADIUS Accounting for Tunneling • RFC 2868 : RADIUS Authentication for Tunneling • RFC2869 : RADIUS Extensions • RFC 3162 : RADIUS over IP6 • RFC 2548 : Microsoft Vendor-Specific RADIUS Attributes Pada awal pengembangannya, RADIUS menggunakan port 1645, yang ternyata bentrok dengan layanan “datametrics”. Sekarang, port yang dipakai RADIUS adalah port 1812 [3].

Gambar 1 Struktur paket data RADIUS [6]

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 3

EC-5010 Keamanan Sistem Informasi Struktur paket data RADIUS pada Gambar 1 terdiri dari lima bagian, yaitu: 1. Code Code memiliki panjang adalah satu oktet, digunakan untuk membedakan tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal) ialah: 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server 13 Status-Client 255 Reserved 2. Identifier Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan. 3. Length Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket. 4. Authenticator Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password. 5. Attributes Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat membawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, CHAP-password, alamat IP access point(AP), pesan balasan.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 4

EC-5010 Keamanan Sistem Informasi BAB III MEKANISME AUTENTIKASI

Tujuan standar 802.1x IEEE adalah untuk menghasilkan kontrol akses, autentikasi, dan manajemen kunci untuk wireless LANs. Standar ini berdasarkan pada Internet Engineering Task Force (IETF) Extensible Authentication Protocol (EAP), yang ditetapkan dalam RFC 2284. Standar 802.1x IEEE juga mendukung beberapa metode autentikasi, seperti smart cards, password yang hanya bisa digunakan oleh satu pengguna pada satu waktu, dan yang lebih baik lagi adalah biometrics. 802.1x terdiri dari tiga bagian, yaitu wireless node (supplicant), access point (autentikator), autentikasi server. Autentikasi server yang digunakan adalah Remote Authentication Dial-In Service (RADIUS) server dan digunakan untuk autentikasi pengguna yang akan mengakses wireless LAN. EAP adalah protokol layer 2 yang menggantikan PAP dan CHAP.

Gambar 2 Mekanisme Autentikasi menggunakan RADIUS server [4] Penjelasan Gambar 2: 1. Wireless Node (WN) / Supplicant meminta akses ke wireless network, Access Point (AP) akan menanyakan identitas Supplicant. Tidak ada trafik data selain EAP yang diperbolehkan sebelum Supplicant terautentikasi. Access point bukanlah sebuah autentikator, tetapi access point berisi autentikator.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 5

EC-5010 Keamanan Sistem Informasi 2. Setelah nama-pengguna dan password dikirim, proses autentikasi dimulai. Protokol yang digunakan antara Supplicant dan Autentikator adalah EAP, atau EAP Protocol over LAN (EAPoL). Autentikator mengenkapsulasi kembali pesan EAP kedalam format RADIUS, dan mengirimnya ke RADIUS server. Selama proses autentikasi, autentikator hanya menyampaikan paket antara Supplicant dan RADIUS server. Setelah proses autentikasi selesai, RADIUS server mengirimkan pesan sukses (atau gagal, apabila proses autentikasinya gagal.) 3. Apabila proses autentikasi sukses, Supplicant diperbolehkan untuk mengakses wireless LAN dan/atau internet. Pemfilteran alamat MAC Pengguna wireless LAN dapat difilter berdasarkan alamat MAC wireless card yang dimiliki pengguna. Hampir semua access point telah mempunyai fitur pemfilter alamat MAC. Administrator jaringan dapat memprogram access point, program ini yang berisi daftar alamat-alamat MAC yang dapat mengakses access point tersebut. Memprogram access point untuk memasukkan alamat-alamat MAC akan sangat merepotkan, terutama apabila jumlah alamat MAC yang ingin terhubung ke access point sangat banyak. Pemfilteran alamat MAC dapat diimplementasikan pada RADIUS server, alamat MAC beserta identitas pengguna dimasukkan ke dalam RADIUS server. Hal ini tentu akan mempermudah administrator untuk mengelola wireless LAN.

Gambar 3 Pemfilteran alamat MAC dengan menggunakan RADIUS Server [7] Berikut ini penjelasan dari Gambar 3 mengenai pemfilteran alamat MAC dengan RADIUS server: 1. Client (Wireless Node) meminta akses ke Access Point (AP). 2. AP meneruskan permintaan client ke RADIUS Server, di RADIUS Server alamat MAC client diperiksa apakah ada di database. 3. RADIUS memberikan tanggapan ke AP, apabila autentikasi di RADIUS Server berhasil maka client diperbolehkan untuk mengakses AP, dan apabila gagal maka client tidak diijinkan untuk mengakses AP tersebut.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 6

EC-5010 Keamanan Sistem Informasi Autentikasi menggunakan RADIUS Server yang dibarengi dengan pemfilteran alamat MAC diharapkan dapat menambah keamanan wireless LAN dari orangorang yang tidak mempunyai hak akses ke wireless LAN. Sistem ini cocok diterapkan di suatu instansi, baik itu swasta maupun pemerintahan. Karena alamat MAC yang dapat mengakses wireless LAN dibatasi, maka sistem ini kurang cocok apabila diterapkan pada hotspot yang terpasang di tempat-tempat umum, seperti kafe, mal, bandara. Alasan orang menggunakan hotspot yang berada di tempat-tempat umum adalah karena kemudahan yang ditawarkan oleh teknologi wireless. Apabila sistem ini diterapkan pada hotspot yang terdapat di tempattempat umum, ada kemungkinan para pelanggan yang menggunakan hotspot tidak tertarik lagi karena merasa repot.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 7

EC-5010 Keamanan Sistem Informasi BAB IV FREE RADIUS SERVER

Kenapa free RADIUS server? Alasan utama kenapa memilih free RADIUS server adalah karena mahalnya harga RADIUS server komersial. Sebagai contoh : Interlink’s Secure.XS harganya mulai dari $2375 untuk 250 pengguna, Funk Odyssey Server $2500, VOP Radius Small Business mulai dari $995 untuk 100 pengguna [8]. Harga RADIUS server komersial diatas kebanyakan tidak terjangkau bagi para pemilik hotspot, terutama bagi kalangan kampus. Salah satu contoh RADIUS server yang non-komersial adalah FreeRADIUS server. FreeRADIUS server ini tidak kalah dengan RADIUS server yang komersial. Salah satu buktinya adalah freeRADIUS server sudah mendukung beberapa Access Point (AP)/ Network Access Server (NAS) dibawah ini [6]: • 3Com/USR Hiper Arc Total Control • 3Com/USR NetServer • 3Com/USR TotalControl • Ascend Max 4000 family • Cisco Access Server family • Cistron PortSlave • Computone PowerRack • Cyclades PathRAS • Livingston PortMaster • Multitech CommPlete Server • Patton 2800 family FreeRADIUS dapat berjalan di berbagai sistem operasi, misalnya Linux, FreeBSD, OpenBSD, OSF. Selain FreeRADIUS, ada beberapa RADIUS server non-komersial yang lain, diantaranya adalah [5] : • Cistron RADIUS Server Cistron RADIUS dibuat oleh Miguel van Smoorenburg. Merupakan free software (dibawah lisensi GNU GPL). Cistron RADIUS dapat diperoleh di ftp://ftp.radius.cistron.nl/pub/radius dan http://www.radius.cistron.nl • ICRADIUS ICRADIUS merupakan varian dari Cistron. ICRADIUS menggunakan MySQL untuk menyimpan database nama-pengguna beserta password. ICRADIUS sudah berbasis web, hal ini akan memudahkan administrator untuk mengelola server ini. http://www.icradius.org

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 8

EC-5010 Keamanan Sistem Informasi •

•

•

•

XtRADIUS XtRadius adalah freeware RADIUS server yang berbasiskan pada Cistron RADIUS Server. Perbedaan utama antara XtRadius dengan RADIUS server yang lain adalah kita dapat mengeksekusi skript untuk menangani autentikasi. http://xtradius.sourceforge.net/ OpenRADIUS OpenRADIUS server dapat berjalan di beberapa sistem operasi unix. OpenRADIUS juga merupakan free software, bebas digunakan tanpa harus bayar, pengguna dapat melakukan modifikasi apabila dianggap perlu. http://www.openradius.net YARD RADIUS YARDRRADIUS adalah singkatan dari Yet Another Radius Daemon RADIUS. Tulisannya YARDRADIUS, tetapi membacanya Y-A-R-D RADIUS. YARDRADIUS merupakan free software yang berasal dari open source Livinston RADIUS Server 2.1. http://sourceforge.net/projects/yardradius JRadius Merupakan Java plug-in untuk FreeRADIUS. http://jradius.sourceforge.net

Untuk melengkapi tulisan ini, dilakukan suatu percobaan instalasi free RADIUS server pada satu buah komputer, sistem operasi yang digunakan adalah SUSE Linux 9.0 dengan versi kernel 2.4.21. Ada beberapa free RADIUS server yang dicoba, yaitu: 1. FreeRADIUS SUSE Linux 9.0 ternyata sudah mempunyai paket RADIUS server yang terdiri dari: 1. Big Sister Paket ini merupakan Big Sister plug-in untuk pemonitoran sebuah RADIUS server. 2. FreeRADIUS Paket ini merupakan RADIUS server. 3. freeradius-devel Paket ini berisi file-file untuk pengembangan FreeRADIUS 4. pam_radius Pam_radius adalah suatu modul PAM yang digunakan untuk autentikasi pengguna pada RADIUS server. 5. radiusclient RADIUS client memberikan beberapa program untuk proses autentikasi melalui RADIUS server. 6. radiusd-livingston Radiusd-livingston adalah RADIUS server dari Lucent Technologies Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 9

EC-5010 Keamanan Sistem Informasi FreeRADIUS merupakan salah satu paket program yang terdapat di SUSE Linux 9.0, maka proses instalasinya relatif lebih mudah. Karena paket freeRADIUS bukan termasuk paket default yang otomatis terinstal apabila kita menginstal SUSE Linux 9.0, maka instalasinya harus dilakukan secara manual. Langkahlangkah proses instalasi paket freeRADIUS yang terdapat pada SUSE Linux 9.0 adalah sebagai berikut: 1. Kita dapat menggunakan program YaST. Ada dua cara untuk menjalankan program YaST, cara pertama : Start Menu → System → YaST, apabila kita login sebagai pengguna biasa (bukan super user),maka akan muncul window yang meminta password root. Sedangkan cara yang kedua adalah melalui konsole dan harus login sebagai root, kemudian ketik yast. Apabila window YaST Control Center sudah muncul, pada menu sebelah kiri pilih Software, kemudian pilih Install and Remove Software. Agar tidak terlalu binggung, kita dapat menggunakan fasilitas search untuk mencari paket RADIUS, pada menu filter pilih search, ketik radius pada kolom isian, tekan enter, maka akan muncul paket-paket RADIUS seperti yang telah disebutkan diatas. 2. Pilih paket yang ingin kita instal. 3. Tekan tombol accept apabila sudah selesai memilih paket yang akan diinstal. Untuk lebih memperjelas proses instalasi freeRADIUS di SUSE Linux 9.0 diatas, lihat Gambar 4 dibawah ini.

Gambar 4 YaST Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 10

EC-5010 Keamanan Sistem Informasi Apabila kita telah memilih freeRADIUS sebagai RADIUS server, maka kita tidak boleh memilih radiusd-livingston sebagai RADIUS server dan begitu juga sebaliknya. Apabila kita memilih freeRADIUS dan radiusd-livingston bersamasama, maka pada saat kita menekan tombol accept akan keluar window yang berisi peringatan bahwa ada konflik. Untuk menghindari konflik tersebut, maka kita harus memilih salah satu dari freeRADIUS dan radiusd-livingston yang akan digunakan sebagai RADIUS server. Dibawah ini merupakan cuplikan dari file /etc/raddb/users, file ini perlu diubah dengan cara menghilangkan tanda “#“ pada baris-baris yang berisi konfigurasi. # This is a complete entry for "steve". Note that there is no Fall-Through # entry so that no DEFAULT entry will be used. # steve Auth-Type = Local, Password = "testing" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 172.16.3.33, Framed-IP-Netmask = 255.255.255.255, Framed-Routing = Broadcast-Listen, Framed-Filter-Id = "std.ppp", Framed-MTU = 1500, Framed-Compression = Van-Jacobson-TCP-IP

Untuk menjalankan freeRADIUS dari konsole gunakan perintah: radiusd , dan untuk memastikan bahwa radiusd sudah berjalan, ketik ps –ax. Apabila ada radiusd dalam daftar proses yang sedang berjalan, maka RADIUS server sudah dapat digunakan. Uji coba untuk mengetahui apakah RADIUS server yang kita instal tadi sudah berjalan dengan baik atau tidak, dapat dilakukan dengan menggunakan perintah radtest. Aturan pemakaian radtest harus menurut skript dibawah ini: radtest user passwd radius-server[:port] nas-port-number secret [ppphint] [nasname]

Dari file /etc/raddb/users diatas, kita dapat menggunakan user “steve” dan password “testing”. Perintah radtest diatas menjadi: linux:/home/agungws # radtest steve testing localhost:1812 10 testing123

Pada RADIUS server akan muncul: Sending Access-Request of id 125 to 127.0.0.1:1812 User-Name = "steve" User-Password = "testing" NAS-IP-Address = linux NAS-Port = 10 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=125, length=71 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 172.16.3.33 Framed-IP-Netmask = 255.255.255.255 Framed-Routing = Broadcast-Listen Filter-Id = "std.ppp" Framed-MTU = 1500 Framed-Compression = Van-Jacobson-TCP-IP

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 11

EC-5010 Keamanan Sistem Informasi Dari file diatas dapat kita lihat ada kata Access-Accept, yang berarti permintaan client telah diterima oleh RADIUS server. Sedangkan apabila permintaan client ditolak oleh RADIUS server maka akan muncul kata Access-Reject. OpenRADIUS Selain menggunakan freeRADIUS yang terdapat dalam paket SUSE Linux 9.0 sebagai RADIUS server, dilakukan juga percobaan menggunakan OpenRADIUS. OpenRADIUS dapat diperoleh secara gratis di alamat situs yang telah disebutkan diatas. Versi OpenRADIUS yang digunakan adalah openradius-0.9.10. Proses instalasi: 1. Pastikan bahwa program “GNU make” telah terinstal 2. Ekstrak file openradius-0.9.10.tar.gz, perintah yang dapat digunakan adalah tar –zxvf openradius-0.9.10.tar.gz 3. Pindah ke direktori openradius-0.9.10 4. Ketik make –f Makefile.gnu 5. Ketik make –f Makefile.gnu install File konfigurasi terdapat di direktori ./openradius-0.9.10/etc/openradius. Ada dua buah file yang dapat diubah apabila diperlukan dalam direktori tersebut, yaitu: • configuration File ini berisi nomor port dan alamat yang digunakan oleh RADIUS server. • behaviour File ini digunakan untuk menangani permintaan yang masuk. Untuk menjalankan server: • Dari direktori openradius-0.9.10 ketik perintah: ./server/radiusd -dall –b • Untuk mengetahui apakah program radiusd telah berjalan, dapat dilakukan dengan mengetik perintah ps –ax. • Lakukan permintaan ke RADIUS server, dari direktori openradius-0.9.10 ketik perintah : ./bin/radtest evbergen welcome1 localhost h1dd3n Di server akan muncul : [recv] job_new: Received request: INTERNAL:None:Timestamp = 1117759304 INTERNAL:None:IP-Source = 127.0.0.1 INTERNAL:None:IP-Dest = 0.0.0.0 INTERNAL:None:UDP-Source = 32768 INTERNAL:None:UDP-Dest = 1812 UDP-PKT:Any:RAD-Packet = "\x01`\x006W\xefA\xde\x02a`\x96f\x02\xd6\x0a\xe0\xbc\xb1\xd7\x01\x0aevbergen\x04\x0 6\x0a\x00\x00\x0a\x02\x12\xc1\xec\x9d\xae/\xad\x9ej\x8a\xcc\x22@\x03!\x1a\x0f" RAD-PKT:None:RAD-Code = Access-Request RAD-PKT:None:RAD-Identifier = 96 RAD-PKT:None:RAD-Length = 54 RAD-PKT:None:RAD-Authenticator = "W\xefA\xde\x02a`\x96f\x02\xd6\x0a\xe0\xbc\xb1\xd7" RAD-ATR:None:User-Name = "evbergen" RAD-ATR:None:NAS-IP-Address = 10.0.0.10 RAD-ATR:None:User-Password = "\xc1\xec\x9d\xae/\xad\x9ej\x8a\xcc\x22@\x03!\x1a\x0f"

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 12

EC-5010 Keamanan Sistem Informasi [send] Sending Access-Accept (2) from 0.0.0.0:1812 for request from NAS 10.0.0.10 via 127.0.0.1 for evbergen [welcome1]

Pada kalimat terakhir file diatas terdapat kata Access-Accept, yang berarti permintaan client telah diterima oleh RADIUS server. YARDRADIUS YARDRADIUS yang digunakan adalah yardradius-1.1.1, yang dapat diperoleh di alamat situs yang telah disebutkan diatas. Proses instalasi: 1. Pastikan program “GNU make” dan GDBM telah terinstal. 2. Ekstrak file yardradius-1.1.1.tar.gz (tar –zxvf yardradius-1.1.1.tar.gz) 3. Pindah ke direktori yardradius-1.1.1 (cd yardradius1.1.1) 4. Ketik ./configure 5. Ketik make 6. Ketik make install File hasil instalasi terdapat di direktori /usr/local/yardradius. Untuk menjalankan RADIUS server ketik perintah ./src/radiusd CISTRON RADIUS CISTRON RADIUS yang digunakan adalah radiusd-cistron-1.6.7, yang dapat diperoleh di alamat situs yang telah disebutkan diatas. Proses instalasi: 1. Pastikan program “GNU make”. 2. Ekstrak file radiusd-cistron-1.6.7.tar.gz (tar –zxvf radiusd-cistron1.6.7.tar.gz) 3. Pindah ke direktori radiusd-cistron-1.6.7 (cd radiusd-cistron-1.6.7) 4. Ketik make 5. Ketik make install Untuk menjalankan RADIUS server ketik perintah: /usr/local/sbin/radiusd [options] Manual radius(8) dapat dijadikan referensi lebih lanjut.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 13

EC-5010 Keamanan Sistem Informasi BAB V KEAMANAN RADIUS SERVER

Protokol RADIUS yang digunakan sebagai salah satu sistem keamanan wireless LAN melalui autentikasi pengguna wireless LAN, ternyata memiliki beberapa lubang keamanan. Mekanisme proteksi menggunakan nama pengguna dan password ternyata tidak cukup aman untuk diterapkan. Hal ini diperparah dengan penerapan teknik enkripsi dan kriptografi yang tidak benar. Paket access-request yang tidak diautentikasi oleh RADIUS server. Metode shared secret sudah sangat berisiko apabila diterapkan untuk proses autentikasi dari client ke RADIUS server. Beberapa lubang keamanan protokol RADIUS: • MD5 dan shared secret [6] Seperti yang sudah disebutkan diatas bahwa metode shared secret sudah sangat berisiko untuk diterapkan, hal ini dikarenakan lemahnya MD5 hash yang menyimpan tanggapan autentikator. Hacker / penyusup dapat dengan mudah mengetahui paket access-request beserta tanggapannya. Penyusup dapat dengan mudah mengetahui shared secret dengan cara melakukan penghitungan awal terhadap perhitungan MD5. •

Paket access-request [6] Tidak adanya autentikasi dan verifikasi terhadap paket access-request merupakan salah satu kelemahan dari protokol RADIUS. Paket access-request harus berisi atribut alamat IP access point (AP), nama pengguna beserta password atau CHAP-password, port yang digunakan oleh access point [6]. Nama pengguna beserta password disembunyikan dengan memakai metode RSA Message Digest Algorithm MD5. RADIUS server akan memeriksa dan memastikan bahwa pesan yang dikirim oleh alamat IP adalah salah satu dari client yang terdaftar. Penyusup dapat mengetahui dan menggunakan alamat IP yang menjadi client dari RADIUS server ini. Hal ini merupakan salah satu keterbatasan dari rancangan protokol RADIUS.

•

Pemecahan password [6] Skema proteksi password yang dipakai adalah stream-chiper, dimana MD5 digunakan sebagai sebuah ad hoc pseudorandom number generator (PRNG). 16 oktet pertama bertindak sebagai sebuah synchronous stream chiper. Yang menjadi masalah adalah keamanan dari cipher ini masih menjadi suatu pertanyaan, protokol RADIUS tidak dengan jelas menyebutkan apa yang menjadi kebutuhan dari cipher tersebut. MD5 hash secara umum digunakan untuk crypthographic hash, bukan stream chiper. Ada kemungkinan masalah keamanan yang ditimbulkan dari penggunaan MD5 hash tersebut.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 14

EC-5010 Keamanan Sistem Informasi Seperti yang telah dijelaskan diatas bahwa atribut password diamankan dengan metode stream chiper. Hal ini memungkinkan penyusup mendapatkan informasi shared secret apabila mereka melakukan sniffing ke jaringan wireless dan mencoba masuk ke RADIUS server •

Serangan menggunakan Request Authenticator [9] Keamanan RADIUS bergantung pada pembangkitan Request Authenticator. Request Authenticator ini harus unik dan tidak dapat diprediksi untuk menjamin keamanan. Protokol RADIUS tidak menekankan pada pentingnya pembangkitan Request Authenticator, sehingga banyak implementasi yang menggunakan PRNG yang jelek untuk membangkitkan Request Authenticator. Apabila client menggunakan PRNG yang mempunyai short cyrcle, maka protokol tidak mneyediakan proteksi.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 15

EC-5010 Keamanan Sistem Informasi BAB VI PENUTUP

Penggunaan WEP (wired Equivalent Protocol) sebagai salah satu sistem keamanan wireless LAN ternyata banyak memiliki lubang keamanan, sehingga perlu adanya penerapan sistem keamanan yang baru. Salah satu sistem keamanan yang bisa digunakan adalah RADIUS server untuk autentikasi pengguna wireless LAN, dengan penerapan sistem ini hanya pengguna yang berhak saja yang diperbolehkan mengakses wireless LAN tersebut. Para pemilik hotspot, terutama ISP, juga dapat menerapkan RADIUS server sebagai sistem billing disamping sebagai sistem autentikasi. Beberapa alasan pemilihan RADIUS server untuk sistem autentikasi adalah sederhana, efisien, dan mudah diimplementasikan. RADIUS server akan mempermudah tugas administrator untuk mengelola wireless LAN, karena sistem ini merupakan suatu sistem administrasi yang terpusat. Fitur RADIUS server yang lain adalah RADIUS server dapat digunakan untuk memfilter alamat MAC dari wireless card yang dimiliki oleh pengguna, alamat MAC beserta identitas pengguna dimasukkan ke dalam database yang terdapat di RADIUS server. Selain RADIUS server yang komersial, ada juga RADIUS server yang gratis/free. Ada beberapa RADIUS server yang non-komersial, yaitu freeradius, Cistron RADIUS server, ICRADIUS, XtRADIUS, OpenRADIUS, YARD RADIUS, dan Jradius. RADIUS server yang digunakan sebagai salah satu sistem keamanan wireless LAN ternyata mempunyai beberapa lubang keamanan seperti yang telah disebutkan pada bab V diatas. Oleh karena itu, administrator wireless LAN yang menerapkan RADIUS server untuk sistem keamanan wireless LAN diharapkan lebih berhati-hati dan waspada agar jaringannya tidak dimasuki oleh para pengguna yang tidak berhak.

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 16

EC-5010 Keamanan Sistem Informasi DAFTAR PUSTAKA

[1] [2] [3] [4] [5] [6] [7] [8] [9]

The Unofficial 802.11 Security Web Page. 20 May 2005. http://www.drizzle.com/~aboba/IEEE/ Edney, Jon. Arbaugh, William A. Real 802.11 Security: Wi-Fi Protected Access and 802.11i. Addison Wesley. 2003. Rigney, C. Livinston, S Willens. Merit, A Rubens. Simpson, W. RFC 2865. IETF. 2000. Strand, Lars. 802.1x Port-Based Authentication HOWTO. http://www.tldp.org/HOWTO/ http://www.freeradius.org Hassel, Jonathan. RADIUS. O’Reilly. 2002. Held, Gilbert. Securing Wireless LANs. John Wiley & Sons, Ltd. 2003. Phifer, Lisa. Using RADIUS for WLAN Authentication, Part II (December 10, 2003). http://www.wi-fiplanet.com/tutorials/article.php/3287481 Hill, Joshua. An Analysis of the RADIUS Authentication Protocol. 2001. http://www.untruth.org/~josh/security/radius/

Agung W. Setiawan – 13200010

agungws1982 [at] yahoo [dot] com 17