CHAP

Challenge Handshake Authentication Protocol (CHAP) merupakan salah satu protocol Point -to-Point yang menyediakan layanan otentikasi dengan menggunakan suatu identifier yang berubah-ubah dan suatu variabel challenge. CHAP digunakan secara periodik untuk memverifikasi pengguna atau host network menggunakan suatu metode yang dinamakan 3-way handshake. Proses ini dilakukan selama inisialisasi link establishment. Dan sewaktu-waktu bisa saja diulang setelah hubungan telah terbentuk.

CHAP direkomendasikan sebagai metoda authentication PPP protocol, yang memberikan suatu authentication terenkripsi dua arah yang mana lebih secure daripada PAP. Jika jalur sudah tersambung, kedua server di masing-2 ujung saling mengirim pesan ‘Challenge’. Segera setelah pesan ‘Challenge’ terkirim, sisi remote yang diujung akan merespon dengan fungsi ‘hash’ satu arah menggunakan Message Digest 5 (MD5) dengan memanfaatkan user dan password mesin local. Kedua sisi ujung router harus mempunyai konfigurasi yang sama dalam hal PPP protocol ini termasuk metoda authentication yang dipakai. CHAP memberikan perlindungan terhadap serangan pemutaran oleh peer melalui penggunaan secara bertahap mengubah identifier dan nilai-tantangan variabel. CHAP membutuhkan baik klien dan server mengetahui plaintext dari rahasia, meskipun tidak pernah dikirim melalui jaringan.

Challenge Handshake Authentication Protocol (CHAP) adalah metode otentikasi yang didukung secara luas di mana sebuah representasi dari password user, bukan password itu sendiri, akan dikirim selama proses otentikasi. Dengan CHAP, server remote access mengirimkan tantangan untuk klien akses remote. Klien akses remote menggunakan algoritma hash (juga dikenal sebagai fungsi hash) untuk menghitung pesan Digest-5 (MD5) hasil hash berdasarkan tantangan dan hasil hash dihitung dari password user. Klien akses remote mengirimkan hasil hash MD5 ke server akses remote. Server akses remote, yang juga memiliki akses ke hasil hash dari password user, melakukan perhitungan yang sama dengan menggunakan algoritma hash dan membandingkan hasilnya dengan yang dikirim oleh klien. Jika hasil pertandingan, kepercayaan dari klien akses remote dianggap otentik. Algoritma hash menyediakan enkripsi satu arah, yang berarti bahwa perhitungan hasil hash untuk blok data mudah, tetapi menentukan blok data asli dari hasil hash secara matematis tidak layak.

Berikut di bawah ini proses yang terjadi pada protokol CHAP : 1. Setelah fase link establishment selesai, otentikator mengirimkan sebuah pesanchallenge ke peer atau pasangan usernya. 2. Peer meresponnya dengan menghitung suatu nilai hash-nya. 3. Otentikator merespon nilai hash tersebut, kemudian membandingkannya. Jika nilai hash-nya sama, maka otentikasi valid, sebaliknya koneksi bisa saja diputus. 4. Pada interval tertentu (ditentukan secara acak), otentikator mengirimkan

suatuchallenge baru kepada peer dan peer meresponnya seperti pada tahap (2). 5. Begitupun dengan otentikator merespon nilai hash tersebut seperti pada tahap (3).

ii. Fitur Dengan CHAP yang authenticator (yaitu server) mengirim sebuah `` tantangan''string secara acak kepada klien, bersama dengan nama host. Klien menggunakan nama host untuk mencari rahasia yang sesuai, menggabungkan dengan tantangan, dan mengenkripsistring menggunakan hashing satu arah fungsi. Hasilnya dikembalikan ke server bersama dengan namahost klien. server sekarang melakukan perhitungan yang sama, dan mengakui klien jika tiba pada hasilyang sama.

1. Three way handshake 2. Menggunakan metode hashing dan MD5 untuk mengencrypt password 3. Local remote mengatur frekuensi dan timing login attempt 4. Dinegosiasikan secara periodek selama jalur masih aktif Fitur lain dari CHAP adalah bahwa hal itu tidak hanya memerlukan klien untuk otentikasi itu sendiri pada waktu startup, tapi mengirimkan tantangan secara berkala untuk memastikan klien belum diganti oleh penyusup, misalnya dengan hanya switching saluran telepon.

iii. Spesifikasi

A. Persyaratan Desain Algoritma CHAP mensyaratkan bahwa panjang nilai secret minimal harus delapan oktet (64-bit). Dan juga nilai secret tersebut diusahakan tidak terlalu pendek serta susah untuk ditebak (tidak bersifat umum, contoh : root, 123456, dan lain-lain). Nilaisecret tersebut disarankan minimal sepanjang nilai hashnya (hal ini tergantung dari algoritma hash yang dipilih) atau dengan kata lain panjangnya tidak kurang dari nilai hashnya. Hal ini dimaksudkan agar cukup tahan terhadap exhaustive search attack. Masing - masing nilai challenge harus unique (tidak sama satu sama lain), karena perulangan dari nilai challenge tersebut dalam hal ini untuk nilai secret yang sama, akan memberikan peluang bagi attacker untuk melakukan replay attack. Oleh karena itu diharapkan bahwa untuk nilai secret yang sama yang digunakan untuk melakukan otentikasi dengan server – server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifatunpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan – serangan aktif dengan jangkauan yang luas.

Kelebihan CHAP memberikan perlindungan terhadap playback attack yang dilakukan

olehpeer. Kegunaan dari challenge yang diulang-ulang adalah dimaksudkan untuk membatasi waktu pembukaan untuk suatu single attack. Otentikator bertugas mengontrol frekuensi dan waktu dari challenges. Metode otentikasi ini tergantung pada suatu nilai secret yang hanya diketahui oleh otentikator danpeer yanag bersangkutan dimana nilai secret tersebut tidak dikirimkan lewat jaringannya. Walaupun otentikasinya bersifat satu arah (one way), melalui negosiasi CHAP pada kedua arah, maka nilai secret yang sama dapat dengan mudah digunakan untuk mutual authentication.

Kekurangan Disamping memiliki kelebihan, CHAP juga memiliki kekurangan yakni nilaisecret-nya harus tersedia dalam bentuk plaintext. Basis data untuk passwordyang terenkripsi satu arah, ada yang tidak bisa digunakan. Sehingga hal tersebut membuat CHAP tidak baik untuk jaringan yang lebih luas. Hal ini karena akan membuat instalasi yang besar yang harus dikelola di kedua pihak (peer) dalam jaringan.

Konfigurasi 1) one-way CHAP authentication nurannisa (config) # username annisanur password 123 nurannisa (config) # int s1 / 0 nurannisa (config-if) # encapsulation ppp nurannisa (config-if) # ppp authentication chap annisanur (config) # int s1 / 0 annisanur (config-if) # encapsulation ppp annisanur (config-if) # ppp chap hostname annisanur annisanur (config-if) # ppp chap password 123 Test results: annisanur # ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5 / 5), round-trip min / avg / max = 8/18/36 ms 2) two-way CHAP authentication nurannisa (config) # username annisanur password 123 nurannisa (config) # int s1 / 0 nurannisa (config-if) # encapsulation ppp nurannisa (config-if) # ppp authentication chap annisanur (config-if) # username nurannisa password 123 annisanur (config) # int s1 / 0 annisanur (config-if) # encapsulation ppp annisanur (config-if) # ppp authentication chap

Test results: annisanur # ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5 / 5), round-trip min / avg / max = 8/18/36 ms FRAME RELAY Pengertian Frame-Relay merupakan salah satu protocol WAN yang bekerja pada transmisi packet data antar perangkat seperti DTE dengan DCE. Sama halnya dengan protocol x.25, Frame-Relay salah satu pengembangan dari teknologi packet switching yakni suatu teknologi WAN disamping Circuit Switching (ISDN) dan Cell Circuit untuk ATM. Frame relay merupakan protocol WAN yang mempunyai performance tinggi yang bisa memberikan koneksi jaringan WAN sampai 2,048 Mbps (dan bahkan bisa lebih tinggi) ke berbagai belahan dunia. Frame relay menggunakan circuit virtual untuk koneksi site-2 dan memberikan lebar pipa bandwidth berskala yang bisa dijamin (dengan menggunakan apa yang disebut sebagai CIR- committed information rate). Frame relay begitu popular karena penawaran bandwidth yan berskala melalui jalur digital. Dengan menggunakan konfigurasi standard frame relay akan merupakan cara yang sederhana untuk meminimalkan masalah jaringan-2 frame relay. Frame relay didesign untuk transmisi digital melalui medium yang sudah handal, yang pada umumnya adalah fiber optic, bandingkan dengan jaringan yang menggunakan X.25 yang pada awalnya didesign untuk jaringan transmisi analog melalui medium yang dianggap tidak handal seperti standard line telpon.

ii. Keuntungan 1. Frame Relay menawarkan alternatif bagi teknologi Sirkuit Sewa lain seperti jaringan X.25 dan sirkuit Sewa biasa. Kunci positif teknologi ini adalah: Sirkuit Virtual hanya menggunakan lebar pita saat ada data yang lewat di dalamnya, banyak sirkuit virtual dapat dibangun secara bersamaan dalam satu jaringan transmisi. 2. Kehandalan saluran komunikasi dan peningkatan kemampuan penanganan error pada perangkat-perangkat telekomunikasi memungkinkan protokol Frame Relay untuk mengacuhkan Frame yang bermasalah (mengandung error) sehingga mengurangi data yang sebelumnya diperlukan untuk memproses penanganan error.

iii. Prinsip kerja 1. Aliran data pada dasarnya pengarahannya berbasis pada header yang memuat DLCI, yang mendeskripsikan tujuan frame-nya. Jika jaringan mempunyai masalah dalam menangani sebuah frame, baik yang disebabkan oleh kesalahan jaringan atau kemacetan secara praktis ia akan membuang frame tersebut.

2. Frame Relay membutuhkan jaringan dengan laju kesalahan yang rendah (low error rate) untuk mencapai kinerja yang baik. Jaringannya tidak mempunyai kemampuan untuk mengoreksi kesalahan, maka Frame Relay tergantung pada protokol-protokol pada lapisan yang lebih tinggi di dalam piranti-piranti pengguna yang memiliki kecerdasan untuk memulihkannya dengan mentransmisikan ulang frame-frame yang hilang. 3. Pemulihan kesalahan oleh protokol-protokol lapisan yang lebih tinggi, walaupun itu otomatis dan andal, adalah tidak ekonomis dipandang dari sudut penundaan pemrosesan dan lebarpita. Maka mau tidak mau jaringannya harus meminimumkan terjadinya pembuangan frame.

iv. Identitas

Sebuah jaringan frame relay terdiri dari “endpoint” (PC, server, computer host), perangkat akses frame relay (bridge, router, host, frame relay access device/FRAD) dan perangkat jaringan (packet switch, router, multiplexer T1/E1). Perangkat-perangkat tersebut dibagi menjadi dua kategori yang berbeda:

• DTE: Data Terminating Equipment DTE adalah node, biasanya milik end-user dan perangkat internetworking. Perangkat DTE ini mencakup “endpoint” dan perangkat akses pada jaringan Frame Relay. DTE yang memulai suatu pertukaran informasi.

• DCE: Data Communication Equipment DCE adalah perangkat “internetworking” pengontrol “carrier”. Perangkatperangkat ini juga mencakup perangkat akses, teatpi terpusat di sekitar perangkat jaringan. DCE merespon pertukaran informasi yang dimulai oleh perangkat DTE. Dikarenakan Prinsip- membangun frame-frame merupakan tugas utama dari lapisan data link, maka ketika lapisan data link tidak dapat menyelsaikan beit-bit eror pesan akan diteruskan kepada lapisan yang lebih tinggi yaitu lapisan Transport. Untuk itu pada pengolahan data berbasis Frame Relay perlu kita deteksi seberapa besar kesalahan yang terjadi, untuk mendeteksi kesalahan-keasalahan tersebut terdapat pendeteksi yang secara prosedur bekerja dengan urutan: 1. Cyclic Redundancy Check (CRC) 2. Pemulihan Oleh Protokol pada Lapisan yang Lebih Tinggi 3. Pembuangan Frame yang Dilakukan oleh Kesalahan Bit 4. Pembuangan Frame yang disebabkan oleh Kemacetan

v. Implementasi

Frame Relay dapat digunakan untuk jaringan publik dan jaringan “private” perusahaan atau organisasi.

1. Jaringan Publik Pada jaringan publik Frame Relay, “Frame Relay switching equipment” (DCE) berlokasi di kantor pusat (central) perusahaan penyedia jaringan telekomunikasi. Pelanggan hanya membayar biaya berdasarkan pemakain jaringan, dan tidak dibebani administrasi dan pemeliharan perangkat jaringan Frame Relay. 2. Jaringan “Private” Pada jaringan “private” Frame Relay, administrasi dan pemeliharaan jaringan adalah tanggungjawab perusahaan (private company). Trafik Frame Relay diteruskan melalui “interface” Frame Relay pada jaringan data. Trafik “Non-Frame Relay” diteruskan ke jasa atau aplikasi yang sesuai (seperti “private branch exchange” *PBX+ untuk jasa telepon atau untuk aplikasi “video-teleconferencing”). vi. Konsep Cara Data ditransmisikan 1. Router membuat koneksi ke switch frame relay baik langsung maupun lewat CSU/DSU 2. Jaringan Frame relay mensimulasikan suatu koneksi “selalu on” dengan PVC 3. Outer pengirim mulai mengirim data segera tanpa membentuk suatu sesi 4. Switch frame relay melaksanakan pemeriksaan error tapi tidak memperbaiki error tersebut 5. Paket yang corrupt akan di jatuhkan tanpa notifikasi 6. Paket akan menjelajah melalu cloud frame relay tanpa adanya acknowledgement 7. Piranti pengirim dan penerima lah yang akan melakukan koreksi error

8. Switch frame relay akan mulai menjatukan paket jika kemapetan jalur mulai terbentuk 9. Kebanjiran atau kemampetan jaringanlah penyebab dari kehilangan paket secara umum pada jaringan frame relay 10. Paket akan dihilangkan berdasarkan informasi pada bit Discard Elligable (DE) 11. Switch frame relay mengirim notifikasi Backward explicit congestion notification (BECN) untuk mengisyaratkan menurunkan rate transfer data. Fitur Fitur utama dari frame relay: a) Frame relay memberikan deteksi error tapi tidak memberikan recovery error. b) Frame relay memberikan transfer data sampai 1.54Mbs c) Frame relay mempunyai ukuran paket yang bervariable (disebut frame) d) Frame relay bisa dipakai sebagai koneksi backbone kepada jaringan LAN e) Frame relay bisa dimplementasikan melalui berbagai macam koneksi sambungan (56K, T1, T3) f) Frame relay beroperasi pada layer physical dan layer Data link pada model OSI

viii. Konfigurasi A. Router 1 Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface serial 1/0 Router(config-if)#ip address A. Konfigurasi pada Router 1 Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface serial 1/0 Router(config-if)#ip address 19.19.19.1 255.255.255.0 Router(config-if)#encapsulation frame-relay Router(config-if)#frame-relay lmi-type ansi Router(config-if)#frame-relay interface-dlci 102 Router(config-if)#frame-relay map ip 19.19.19.2 102 Router(config-if)#frame-relay interface-dlci 103 Router(config-if)#frame-relay map ip 19.19.19.3 103 Router(config-if)#frame-relay interface-dlci 104 Router(config-if)#frame-relay map ip 19.19.19.4 104 Router(config-if)#no shutdown B.Router 2

Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface serial 1/0 Router(config-if)#ip address 19.19.19.2 255.255.255.0 Router(config-if)#encapsulation frame-relay Router(config-if)#frame-relay lmi-type ansi Router(config-if)#frame-relay interface-dlci 201 Router(config-if)#frame-relay map ip 19.19.19.1 201 Router(config-if)#frame-relay interface-dlci 203 Router(config-if)#frame-relay map ip 19.19.19.3 203 Router(config-if)#frame-relay interface-dlci 204 Router(config-if)#frame-relay map ip 19.19.19.4 204 Router(config-if)#no shutdown

C. Router 3 Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface serial 1/0 Router(config-if)#ip address 19.19.19.3 255.255.255.0 Router(config-if)#encapsulation frame-relay Router(config-if)#frame-relay lmi-type ansi Router(config-if)#frame-relay interface-dlci 301 Router(config-if)#frame-relay map ip 19.19.19.1 301 Router(config-if)#frame-relay interface-dlci 302 Router(config-if)#frame-relay map ip 19.19.19.2 302 Router(config-if)#frame-relay interface-dlci 304 Router(config-if)#frame-relay map ip 19.19.19.4 304 Router(config-if)#no shutdown

D. Router 4 Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface serial 1/0 Router(config-if)#ip address 19.19.19.4 255.255.255.0 Router(config-if)#encapsulation frame-relay Router(config-if)#frame-relay lmi-type ansi Router(config-if)#frame-relay interface-dlci 401 Router(config-if)#frame-relay map ip 19.19.19.1 401

Router(config-if)#frame-relay interface-dlci 402 Router(config-if)#frame-relay map ip 19.19.19.2 402 Router(config-if)#frame-relay interface-dlci 403 Router(config-if)#frame-relay map ip 19.19.19.3 403 Router(config-if)#no shutdown Apabila konfigurasi pada masing-masing router telah selesai dilaksanakan, langkah selanjutnya adalah mengkonfigurasi Cloud (awan) sebagai Frame-Relay Connection. Untuk dapat melakukannya harus dilakukan konfigurasi secara manual, pada Cloud terdapat settingan untuk Frame-Relay. Akan tetapi jangan lupa membuat routing tabel pada masing-masing router agar transmisi packet data dapat dilakukan. Routing tabel dapat dibuat dengan carastatic routing maupun dinamic routing tergantung kondisi dan tingkat kesulitan. Jika semua telah terkonfigurasi secara baik, lakukan percobaan pada tiap-tiap router untuk menguji apakah Frame-Relay bekerja dan dapat berkomunikasi dengan router yang lain dengan Cloud dengan cara “show frame-relay map”.