IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA

INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN

TEKNOLOGI UIN JAKARTA

Oleh :

MUHAMMAD ARIEF FARUKI

105091002807

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2011 M / 1432 H

ii

IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA

INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN

TEKNOLOGI UIN JAKARTA

Skripsi

Sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer

Pada Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh :

MUHAMMAD ARIEF FARUKI

105091002807

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA

2011 M / 1432 H

iii

IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA

INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN

TEKNOLOGI UIN JAKARTA

Skripsi

Diajukan sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer

Pada Jurusan Teknik Informatika

Disusun Oleh :

MUHAMMAD ARIEF FARUKI

105091002807

Menyetujui:

Pembimbing I

Herlino Nanang, MT

NIP. 197312092005011002

Pembimbing II

Andrew Fiade, M. Kom

NIP.1982081120091201004

Mengetahui,

Ketua Program Studi Teknik Informatika

Yusuf Durachman, MIT

NIP. 197105222006041002

iv

PENGESAHAN UJIAN

Skripsi berjudul “IMPLEMENTASI PROTOKOL OTENTIKASI PEAP

PADA INFRASTRUKTUR JARINGAN NIRKABEL (Studi Kasus : Fakultas Sains

dan Teknologi UIN Jakarta)”, yang ditulis oleh Muhammad Arief Faruki, NIM :

105091002807 telah diuji dan dinyatakan lulus dalam sidang Munaqosyah

Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah

Jakarta pada hari selasa, 15 Maret 2011. Skripsi ini telah diterima sebagai salah

satu syarat untuk memperoleh gelar sarjana strata satu (S1) Program Studi Teknik

Informatika.

Jakarta, 15 Maret 2011

Menyetujui:

Penguji I

Husni Teja Sukmana, Ph.D

NIP. 197710302001121003

Penguji II

Ria Hari Gusmita, M.kom

NIP. 198208172009122002

Pembimbing I

Herlino Nanang, MT

NIP. 197312092005011002

Pembimbing II

Andrew Fiade, M.kom

NIP.1982081120091201004

Mengetahui:

Dekan Fakultas Sains dan Teknologi

Dr. Syopiansyah Jaya Putra, M.Sis

NIP. 196801172001121001

Ketua Program Studi Teknik Informatika

Yusuf Durachman, MIT

NIP. 197105222006041002

v

PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-

BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN

SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI

ATAU LEMBAGA MANAPUN.

Jakarta, Maret 2011

Muhammad Arief Faruki

vi

ABSTRAK

Muhammad Arief Faruki, Implementasi Protokol Keamanan PEAP Pada

Jaringan Nirkabel. (Di bawah bimbingan: Herlino Nanang, MT dan Andrew

Fiade, M.Kom).

Administrasi jaringan nirkabel berskala besar seperti di instansi

pemerintahan, perusahaan dan universitas merupakan salah satu proses yang

cukup rumit dan membutuhkan banyak sumber daya baik waktu, tenaga dan

biaya. Kendala yang dihadapi dalam proses ini adalah dikarenakan solusi yang

dikembanngkan harus dapat memberikan tingkat keamanan yang tinggi sekaligus

tetap memberikan kemudahaan dan mobilitas yang tinggi pada pengguna.

Penelitian ini bertujuan untuk mengimplementasikan protokol PEAP-

MSCHAPv2 sebagai protokol otentikasi pengguna jaringan nirkabel untuk

memberikan kemudahan pada sisi administrasi jaringan. Berdasarkan hasil

penelitian didapatkan bahwa PEAP-MSCHAPv2 memberikan tingkat keamanan

yang baik tanpa mengorbankan kinerja yang diperlukan untuk menangani jumlah

pengguna yang cukup banyak serta memudahkan administrator jaringan untuk

mengatur infrastruktur jaringan yang ada.

Keyword: Protected Extensible Authentication Protocol (PEAP), Microsoft

Challenge Handshake Authentication Protocol version 2 (MSCHAPv2), Protokol

Otentikasi, Jaringan Nirkabel.

vii

KATA PENGANTAR

Segala puji serta syukur kehadirat Allah SWT, atas segala limpahkan

rahmat dan hidayah – Nya, hingga penulis dapat menyelesaikan skripsi ini.

Penulisan skripsi ini merupakan salah satu syarat dalam menyelesaikan Program

Studi Sarjana (S-1) Teknik Informatika Fakultas Sains dan Teknologi Universitas

Islam Negeri Syarif Hidayatullah Jakarta.

Penulis menyadari bahwa Skripsi ini tidak dapat terlaksana dengan baik

apabila tanpa bantuan dari berbagai pihak. Oleh karena itu, perkenankan penulis

mengucapkan banyak terima kasih dan rasa syukur terutama kepada :

1. Allah SWT, yang telah memberikan rahmat, nikmat dan kesehatan

sehingga penulis dapat menyelesaikan Skripsi ini.

2. Bapak DR. Syopiansyah Jaya Putra, M.Sis selaku Dekan Fakultas Sains

dan Teknologi UIN Syarif Hidayatullah Jakarta.

3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik

Informatika UIN Syarif Hidayatullah Jakarta.

4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik

Informatika UIN Syarif Hidayatullah Jakarta.

5. Bapak Herlino Nanang, MT, selaku pembimbing pertama skripsi ini, yang

membantu memberikan bimbingan, arahan kepada penulis sehingga

penulis dapat menyelesaikan skripsi ini.

6. Bapak Andrew Fiade, MKom, selaku pembimbing kedua, yang membantu

memberikan bimbingan, arahan kepada penulis sehingga penulis dapat

menyelesaikan skripsi ini.

7. Kedua Orang Tua, ummi dan abi serta kakakku dan adik-adikku atas doa,

dukungan, dan perhatiannya selama penulisan skripsi ini.

8. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan

Teknologi UIN Syarif Hidayatullah Jakarta.

9. Seluruh teman-teman kelas TI A 2005 yang telah memberikan banyak

bantuan sehingga penulis dapat menyelesaikan penulisan skripsi ini.

viii

10. Saudara Adam selaku Staf Pusdatin FST UIN yang telah banyak

membantu penulis dalam melakukan implementasi penelitian ini di

Pusdatin.

11. Semua pihak yang telah memberikan bantuan dan tidak dapat disebutkan

satu persatu.

Akhirnya dengan segala keterbatasan dan kekurangan yang ada dalam

penulisan skripsi ini, penulis mengucapkan terimakasih yang sebesar-besarnya,

semoga skripsi ini dapat bermanfaat bagi semua pihak

Jakarta, Maret 2011

Muhammad Arief Faruki

ix

LEMBAR PERSEMBAHAN

Skripsi ini penulis persembahkan kepada beberapa pihak yang telah

memberi dukungan baik berupa dukungan moril maupun materil, diantaranya:

1. Terima kaih kepada Kedua Orang Tua atas segala yang telah diberikan

dan doa yang telah diberikan

2. kedua kakakku yang telah memberikan dukungan.

3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi

Teknik Informatika UIN Syarif Hidayatullah Jakarta.

4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik

Informatika UIN Syarif Hidayatullah Jakarta.

5. Bapak Herlino Nanang, MT, selaku pembimbing pertama skripsi ini,

yang membantu memberikan bimbingan, arahan kepada penulis

sehingga penulis dapat menyelesaikan skripsi ini.

6. Bapak Andrew Fiade, MKom, selaku pembimbing kedua, yang

membantu memberikan bimbingan, arahan kepada penulis sehingga

penulis dapat menyelesaikan skripsi ini.

7. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains

dan Teknologi UIN Syarif Hidayatullah Jakarta.

8. Seluruh teman-teman penulis Hadi, Ariando, Ramdhan, dan teman

teman TIA lainnya yang telah memberikan banyak bantuan sehingga

penulis dapat menyelesaikan laporan Skripsi ini.

9. Dan pihak yang telah memberikan bantuan dan tidak dapat disebutkan

satu persatu.

Semoga Allah membalas semua kebaikan dan ketulusan hati kalian. Amin.

Jakarta, Maret 2011

x

DAFTAR ISI

Halaman

HALAMAN SAMPUL ………………………….….............................. i

HALAMAN JUDUL …………………………………………………. ii

LEMBAR PENGESAHAN PEMBIMBING ………………………….. iii

LEMBAR PENGESAHAN UJIAN …………………………................ iv

LEMBAR PERNYATAAN …………………………………………… v

ABSTRAK …………………………………………………………….. vi

KATA PENGANTAR ………………………………………………… vii

LEMBAR PERSEMBAHAN ………………………………………….. ix

DAFTAR ISI ………………………………………………………….. x

DAFTAR GAMBAR …………………………………………………. xiv

DAFTAR TABEL …………………………………………………….. xvii

DAFTAR LAMPIRAN ……………………………………………….. xviii

DAFTAR ISTILAH ……………………………………………………. xix

BAB I. PENDAHULUAN ....................................................................... 1

1.1. Latar Belakang ……………………………………………. 1

1.2. Perumusan Masalah ……………………………………….. 4

1.3. Batasan Masalah …………………………………………… 4

1.4. Tujuan Penelitian …………….…………………………… 5

1.5. Manfaat Penelitian ............................................…………… 5

1.6. Metodologi Penelitian .......................................................... 6

. 1.6.1 Metode Pengumpulan Data …………………………... 6

1.6.3 Metode Pengembangan Sistem ...................................... 6

1.7. Sistematika Penulisan ........................................................... 7

BAB II. LANDASAN TEORI .................................................................. 9

2.1. Wireless LAN …....………………………………………… 9

2.1.1. Mode Pada Wireless LAN ..……….………………… 9

2.1.2. Komponen Wireless LAN …….………… ………… 11

xi

2.1.3. Badan Standarisasi ……….……………………........... 14

2.1.4. Standar Wireless LAN …………..…………………… 15

2.1.5. Teknik Enkripsi Wireless LAN ……………………… 18

2.2. Protokol Keamanan AAA . …..…………………………….. 20

2.2.1. Remote Dial-in User Service (RADIUS) ….……….... 22

2.2.1.1. Format Paket RADIUS ….……......................... 22

2.2.1.2. Tipe Paket Pesan RADIUS ….…….................... 24

2.2.1.3. Tahapan Koneksi RADIUS ….…….................. 28

2.2.1.4. REALM ….……................................................ 30

2.3. Protokol Otentikasi ………………..………..……….…….. 30

2.3.1. Password Authentication Protocol .............................. 31

2.3.2. Challenge Handshake Authentication Protocol ........... 32

2.3.3. Extensible Authentication Protocol ............................. 34

2.3.3.1. EAP Over RADIUS ............................................ 36

2.3.3.1. EAP Over LAN ................................................... 38

2.4. EAP Methods ........……...……………………......……… 39

2.4.1. EAP MD5 ...................................................................... 40

2.4.2. EAP TLS ....................................................................... 40

2.4.3. EAP TTLS ..................................................................... 41

2.4.4. EAP PEAP MSCHAPv2 ............................................... 41

2.4.4.1. MSCHAPv2 ......................................................... 41

2.5. Secure Socket Layer / Transport Layer Security …………… 44

2.5.1. Protocol SSL Record ……………………………….... 45

2.5.2. Protocol SSL Handshake …………………………….. 46

2.5.3. Protocol SSL Alert …………………………………… 52

2.5.4. Arsitektur SSL / TLS ………………………………… 53

2.5.5. Sertfikat Digital ……………………………………… 54

2.5.6. Enkripsi Public Key …………………………………. 57

2.5.7. Kriprografi Simetris . …………………………………. 57

2.5.8. Kriprografi Asimetris . ……………………………….. 58

2.5.8.1 Kriprografi Asimetris . ………………………….. 60

xii

2.6. Tools .....……………………………......………................. 60

2.6.1. FreeRADIUS Server ..................................................... 60

2.6.2. JRadius Simulator ......................................................... 62

BAB III. METODE PENELITIAN ........................................................... 66

3.1. Metode Pengumpulan Data …………………………………. 66

3.1.1. Studi Lapangan / Observasi ..………….........………... 66

2.1.2. Kepustakaan (Library Research) / Studi Literatur.......... 67

3.2. Metode Pengembangan Sistem ........................................... 68

3.2.1. Tahapan Analisis ..………….........………................... 68

3.2.2. Tahapan Desain ..………….........………..................... 69

3.2.3. Tahapan Simulasi Prototyping ......………................... 69

3.2.4. Tahapan Penerapan ............... ......………..................... 70

3.2.5. Tahapan Pengawasan .....................………................... 70

3.2.6. Tahapan Pengaturan .....................………..................... 70

3.5. Mekanisme Kerja Penelitian ............................................... 70

BAB IV. HASIL DAN PEMBAHASAN .................................................. 72

4.1. Perencanaan ...... ..................................................................... 72

4.2. Analisa ...............................…………………………………. 73

4.2.1. Analisa Kebutuhan Sistem Keamanan EAP PEAP........ 73

4.3.2. Analisa Komponen-komponen ...................................... 75

4.3.2. Analisa Mekanisme PEAP ........................................... 77

4.3. Design . …..……………….……………………………........ 89

4.3.1 Perancangan Topologi ................................................... 89

4.3.2 Perancangan Sistem ....................................................... 93

4.4. Simulasi Prototyping ....................................................... . 95

4.4.1 Simulasi Kinerja Server AAA ........................................ 96

4.5. Implementasi...................................................................... 100

4.5.1 Instalasi FreeRADIUS………..…………………….... 102

4.5.2 Pembuatan Sertifikat Digital ………..………………. 103

4.5.3 Konfigurasi server RADIUS ………..………………. 103

4.5.4 Konfigurasi Access Point ………..…………………... 104

xiii

4.5.7 Instalasi Sertifikat CA pada Client …………………. 105

4.5.7 Instalasi Database Server …………...………..……. 105

4.5.7 Konfigurasi Database Server ………. …………………. 105

4.6. Monitoring ................................................................... .... 105

4.6.1 Pengujian Sistem …………………...………..……. 108

4.7. Management ....................................... ............................. 110

4.8. Hasil dan Pembahasan ………………………………….. 112

BAB V PENUTUP …………………………………………………….. 114

5.1 Kesimpulan ………………………………………………… 114

5.2 Saran ……………………………………………………….. 115

DAFTAR PUSTAKA ………..………………………………………... 116

LAMPIRAN .............................................................................................. 119

xiv

DAFTAR GAMBAR

Halaman

Gambar 2.1 Mode Jaringan Ad-Hoc ……………………………........ 10

Gambar 2.2 Model Jaringan Infrastruktur ............................................ 11

Gambar 2.3 Diagram Access Point yang terhubung ke jaringan ........ 12

Gambar 2.4 Multiple Access Point dan Roaming ................................. 12

Gambar 2.5 Penggunaan Extention Point .............................................. 13

Gambar 2.6 Format Paket RADIUS ................................................... 22

Gambar 2.7 Paket Access Request ....................................................... 24

Gambar 2.8 Paket Access Accept ....................................................... 28

Gambar 2.9 Paket Access Reject ........................................................ 26

Gambar 2.10 Paket Access Challenge .................................................. 27

Gambar 2.11 Proses Pembentukan Koneksi Protokol RADIUS ....... 29

Gambar 2.12 Tahapan Otentikasi PAP ........................................... 32

Gambar 2.13 Proses CHAP 3-way Handshake ...................................... 33

Gambar 2.14 Komunikasi Protokol EAP antara Supplicant, NAS dan

Authentication server ....................................................... 34

Gambar 2.15 Komponen EAP ............................................................... 35

Gambar 2.16 Skema Port Based Authentication ................................... 36

Gambar 2.17 Konversi Pesan EAP dan Pesan RADIUS ...................... 38

Gambar 2.18 Format Paket EAPOL ...................................................... 39

Gambar 2.19 Pemodelan Untuk Membawa Pesan pada Otentikasi dengan

Metode TLS ................................................................... 40

Gambar 2.20 Format SSL Record ....................................................... 46

Gambar 2.21 Handshake Protocol ....................................................... 47

Gambar 2.22 Arsitektur Protokol SSL .................................................. 53

Gambar 2.23 Peran CA dalam Penerbitan Sertifikat ............................. 54

Gambar 2.24 Format X.509 ................................................................... 56

Gambar 2.25 Kriptografi Simetris ....................................................... 58

Gambar 2.26 Kriptografi Asimetris ....................................................... 59

Gambar 2.27 Log pada Jradius ...................................................... 63

xv

Gambar 2.28 Konfigurasi Sertifikat Client .......................................... 64

Gambar 2.29 Konfigurasi Attribute pada Jradius .............................. 64

Gambar 2.30 Setup Jradius untuk dijalankan ....................................... 65

Gambar 3.1 Siklus Network Development Life Cycle (NDLC) ............. 68

Gambar 3.2. Mekanisme Kerja Penelitian .......................................... 72

Gambar 4.1 Proses Otentikasi PEAP MSCHAPv2 ................................ 78

Gambar 4.2 Capture paket EAP Response Identity …………………… 80

Gambar 4.3 Capture Paket EAP Request –TLS Stara ………………… 80

Gambar 4.4. Capture Paket Hello TLS Client ………………………… 81

Gambar 4.5 Capture Paket EAP Request Sertifikat Server …………….. 82

Gambar 4.6 Capture Paket EAP Response –Client Key Exchange …… 83

Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec

TLS Complete ……………………………………………. 84

Gambar 4.8 Capture Paket EAP-Request Identity-EAP-MS-CHAPv2… 85

Gambar 4.9 Capture Paket EAP-Response

Identity – EAP-MS-CHAP v2 …………………………… 85

Gambar 4.10 Capture Paket EAP-Request

EAP-MS-CHAP v2 Challenge …………………………. 86

Gambar 4.11 Capture Paket EAP-Response/

EAP-MS-CHAP v2 Response …………………………. 86

Gambar 4.12 Capture Paket EAP-Request/

EAP-MS-CHAP v2 Success …………………………… 86

Gambar 4.13 Capture Paket EAP response/EAP-MSCHAP v2 ack….. 87

Gambar 4.14 Capture Paket EAP Success ……………………………. 87

Gambar 4.15 Perancangan Topologi PEAP ………………………….. 89

Gambar 4.16 Topologi Jaringan Nirkabel FST UIN Jakarta …………. 91

Gambar 4.17 Perancangan Sistem PEAP ............................................. 93

Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS,

shared secret, dan authentication protocol ........................ 97

Gambar 4.19 Setting Atribut Username dan Password .......................... 99

Gambar 4.20 Hasil Simulasi Jradius Simulator ...................................... 99

xvi

Gambar 4.21 tampilan input username dan password

pada sisi client windows 7 ................................................. 100

Gambar 4.22 tampilan input username dan password pada sisi

client windows XP ............................................................. 101

Gambar 4.23 tampilan input username dan password pada sisi client

Ubuntu 10.10 desktop ........................................................ 101

Gambar 4.24 Mode Debug freeRADIUS .............................................. 102

Gambar 4.25 Konfigurasi database dengan phpmyadmin …………….. 105

Gambar 4.26 Perbandingan Beban Server Berdasarkan Jumlah Request

Otentikasi …………………………………………….… 106

Gambar 4.27 Jumlah paket authentication request ………………...….. 107

Gambar 4.28 Jumlah paket accounting request ……………………...... 107

Gambar 4.29 Konfigurasi AP SSID black_usb ....................................... 108

Gambar 4.30 Konfigurasi Security mode WPA enterprise....................... 109

Gambar 4.31 scanning status AP black_usb …………………………... 109

Gambar 4.32 Capture paket data pada AP black_usb ........................... 110

Gambar 4.33 manajemen akun pengguna ............................................... 111

Gambar 4.34 manajemen access point .................................................... 111

xvii

DAFTAR TABEL

Halaman

Tabel 2.1 Perbandingan Standar Wireless LAN ................................... 17

Tabel 2.2 Kode Tipe Pesan RADIUS ................................................... 23

Tabel 2.3 Paket Access-Request ........................................................... 25

Tabel 2.4 Paket Access-Accept ............................................................ 26

Tabel 2.5 Paket Access- Reject ........................................................... 27

Tabel 2.6 Paket Access-Challenge ....................................................... 28

Tabel 2.7 Daftar Pesan Error MSCHAPv2 ......................................... 43

Tabel 2.8 Alert Error Message ............................................................. 52

Tabel 3.1 Studi Literatur ...................................................................... 67

Tabel 4.1 Perbandingan EAP TLS dan PEAP .................................... 74

Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat ................................ 75

Tabel 4.3 Spesifikasi Software ............................................................ 76

Tabel 4.4 Spesifikasi Hardware ........................................................... 76

Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses ... ................... 88

Tabel 4.6 Alamat IP Jaringan Nirkabel FST UIN Jakarta ................... 92

Tabel 4.7 keterangan simbol diagram alur .......................................... 94

xviii

DAFTAR LAMPIRAN

Halaman

Lampiran 1. Instalasi FreeRADIUS Server …………………………… 119

Lampiran 2. Pembuatan Sertifikat Digital CA dan Server ……………. 121

Lampiran 3. Konfigurasi eap.conf …………………………………….. 126

Lampiran 4. Konfigurasi clients.conf ………………………………… 140

Lampiran 5. Konfigurasi pada File Users ……………………………. 145

Lampiran 6. Konfigurasi Access Point ………………………………. 149

Lampiran 7. Instalasi dan Konfigurasi Sertifikat pada sisi klien …….. 152

Lampiran 8. Wawancara dengan Bagian Pusdatin …………………… 158

xix

DAFTAR ISTILAH

Istilah Arti

Access Point (AP) Merupakan sebuah node yang telah dikonfigurasikan

secara khusus pada sebuah jaringan wireless LAN. AP

bertindak sebagai pusat pemancar dan penerima untuk

sinyal sinyal radio WLAN.

Access Layer Merupakan station akhir, perangkat access layer biasanya berplatform switching.

Advanced Encryption Standard (AES)

Standar algoritma enkripsi di Amerika Serikat yang menggntikan standar DES yang lebih lama dan lebih lemah

AES-based Cipher Block Chaining Message Authentication Code Protocol (CCMP)

Teknik enkripsi yang digunakan oleh WPA versi 2

Analysis Suatu fase pada model pengembangan sistem diamana biasanya dilakukan proses perumusan masalah, identifikasi dan perbandingan terhadap komponen.

Anonym Orang dengan nama yang tidak dikenal

Application layer Layer paling atas (layer 7) dalam model referensi OSI

yang menyediakan layanan komunikasi seperti email

dan transfer file, terdiri atas antar muka antara

lingkungan OSI dan aplikasi pengguna

Attributes Dictionary Bentuk item informasi yang disediakan oleh layanan

direktori. Basis informasi direktori terdiri atas masukan

masukan, masing masing berisi satu atau lebih attribut.

Authentication framework Kerangka dan aturan untuk proses otentikasi

Backbone Jaringan dengan jalur dan perangkat berkecapatan

tinggi yang menghubungkan jaringan jaringan lain

yang lebih kecil dengan kecepatan rendah menjadi satu.

Block cipher skema algoritma sandi yang akan membagi-bagi teks

terang yang akan dikirimkan dengan ukuran tertentu

(disebut blok) dengan panjang t, dan setiap blok

dienkripsi dengan menggunakan kunci yang sama.

Pada umumnya, block-cipher memproses teks terang

dengan blok yang relatif panjang lebih dari 64 bit,

untuk mempersulit penggunaan pola-pola serangan

yang ada untuk membongkar kunci.

Browsing Aktifitas menjelajah internet melalui world wide web

buffer Tempat penyimpanan sementara untuk data yang

sedang transit, dirancang bertujuan untuk mengimbangi

perbedaan dalam kecepatan transmisi

Byte Adalah sebuah rangkaian bit bit

Capture Proses dimana analis sniffer mencatat lalu lintas data

jaringan untuk diterjemahkan

xx

Certificate Dokumen Elektronik yang menggunakan tanda tangan

digital untuk mengikat kunci publik dengan informasi

identitas seperti nama orang atau organisasi, alamat,

dan sebagainya.

Certificate Authority (CA) Entitas yang menerbitkan sertifikat digital (khususnya

sertifikat X.509) dan menjamin keterikatan item item

data dalam suatu sertifikat

Challenge Paket yang dikirimkan oleh server untuk meminta

informasi yang diperlukan

Channel Jalur komunikasi yang cukup lebar untuk

memungkinkan sebuah transmisi RF tunggal

Cisco CNS Access Registrar (CAR)

Menyediakan layanan RADIUS yang dikeluarkan oleh

Cisco

Ciphertext Data yang telah di transformasikan melalui enkripsi

sehingga kandungan informasi semantiknya (maksud

dari data tersebut) tidak dapat langsung dietahui

Client Pada jaringan, client adalah suatu program aplikasi

memungkinkan pengguna mengakses layanan dari

komputer server

Closed source kode aplikasi bersifat tertutup, tidak dipublikasikan

Core layer lapisan yang menghubungkan jaringan lokal kejaringan external, kecepatan transmisi yang tinggi,

Coverage Liputan, Daerah cakupan

Cracker Seseorang yang berusaha untuk mengakses sistem komputer tanpa izin orang ini kebanyakan memiliki niat jahat

Database server Database yang dipasang sebagai komponen

Data Encryption Standard sebuah algoritma enkripsi sandi blok kunci simetrik dengan ukuran blok 64-bit dan ukuran kunci 56-bit. DES untuk saat ini sudah dianggap tidak aman lagi. Penyebab utamanya adalah ukuran kuncinya yang sangat pendek (56-bit). Sejak beberapa tahun yang lalu DES telah digantikan oleh Advanced Encryption Standard (AES).

Design Perencanaan yang meletakkan dasar untuk pembuatan setiap objek atau sistem

Device Perangkat keras komputer

Dictionary attack metode dengan memanfaatkan dictionary / database yang berisi password

Directional Arah

Direct sequence spread sprectrum (DSSS)

metode untuk mengirimkan data dimana sistem pengirim dan penerima keduanya berada pada set frekuensi yang lebarnya adalah 22 MHz.

Distribution layer Merupakan layer yang dikatakan “pintar” dalam model three layer model, karena didalamnya terdapat proses routing, filtering dan kebijakan QoS

xxi

Download Transfer data melalui jalur komunikasi digital dari sistem yang lebih besar atau pusat (server) ke sistem yang lebih kecil (client).

Draft Konsep

Embedded Melekat, Embedded system adalah sistem elektronika yang didalamnya terdapat mikroprosesor sebagai pengendali kerja system.

Encrypt mengenkripsi

Error Kesalahan

FQDN (Fully Qualified Domain Named)

Merupakan nama lengkap sistem. Misalnya “uad” adalah hostname dan FQDN nya adalah “uad.ac.id”

Frame Pengelompokan byte secara khusus yang ditata menurut aturan logika yang sudah ditentukanuntuk membentuk informasi yang dibagi bagi untuk protokol khusus

General Public License (GPL) merupakan suatu lisensi perangkat lunak bebas

Generate menghasilkan

Graphical User Interface (GUI)

Metoda interaksi secara grafis antara pengguna dan komputer

Handle Menangani

Handshake Bagian dari prosedur untuk menyiapkan koneksi komunikasi data

Hardware Perangkat keras mengacu kepada objek memungkinkan untuk disentuh seperti disket, disk drive , monitor, keyboard, dan lain-lain

Hashing Metode pencarian yang memanfaatkan fungsi hash

Initialization Vector (IV) Vektor awal

Internet Jaringan komputer global yang memungkinkan dua komputer atau lebih berkoneksi dengan nya untuk mentransfer file dan tukar menukar email dan pesan pesan real time

Key Kunci

Load balancing Pada routing, kemampuan suatu router untuk mendistribusikan aliran data lewat semua port jaringannya yang berjarak sama dari alamat tujuan

Local Area Network (LAN) Network yang masing-masing node terpisah dalam jarak yang lokal dan menggunakan link berupa jalur transmisi kabel.

Logon Tindakan mengadakan koneksi dengan suatu sistem komputer dan memasukkan identifikasi pengguna serta informasi password

Management Pengelolaan / pengaturan

Message integrity check Proses pengecekan keutuhan pesan

MK (master session key) Kunci yang digunakan bersama oleh semua pihak yang

xxii

berpartisipasi dalam penggunaaan suatu EAP method yang telah kompilt / sukses

Monitoring Salah satu tahap dalam metode pengembagan NDLC. Didalamnya terdapat testing dan monitoring

Mutual l authentication Otentikasi dua arah antara dua device yang akan melakukan proses komunikasi

Network Development Life Cycle (NDLC)

Metode pengembangan sistem

network-sensing Pengindaraan jaringan

Node Titik suatu koneksi atau sambungan dalam jaringan

Open authentication Metode otentikasi null. Setiap station bisa berasosiasi dengan setiap akses poin yang menggunakan otentikasi sistem terbuka asalkan memiliki SSID yang tepat.

Open-source Kebalikan dari closed source, kode aplikasi bersifat terbuka.

Optional pilihan

Orthogonal Frequency Division Multiplexing (OFDM)

sebuah teknik transmisi yang menggunakan beberapa buah frekuensi (multicarrier) yang saling tegak lurus (orthogonal)

Overlap Tumpang tindih

Password Kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sebuah sistem operasi yang mendukung banyak pengguna (multiuser) untuk memverifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut

PCMCIA Protokol otentikasi yang berbasis port

Plaintext Data yang kandungan informasi semantiknya (maksud

dari data tersebut dapat langsung dietahui

PMK Kunci yang diturunkan dari MK

Port based authentication mekanisme otentikasi 802.1x berbasis port yang terdapat pada authenticator

Pre-shared Key (PSK) Lihat Shared secret key

Quality of Service(QOS) Satuan pengukuran kinerja suatu sistem transmisi yang merefleksikan kualitas transmisi dan ketersediaan layanan.

Random Access Memory (RAM)

Sebuah tipe penyimpanan komputer yang isinya dapat diakses dalam waktu yang tetap tidak memperdulikan letak data tersebut dalam memori

Re-authentication Proses otentikasi ulang

Relational Database Management System (RDMS)

seperangkat program komputer yang didisain untuk mengatur/memanajemen sebuah basisdata sebagai sekumpulan data yang disimpan secara terstruktur, dan melakukan operasi-operasi atas data atas

xxiii

permintaan penggunanya.

Repeater Perangkat yang memperluas jangkauan maksimal suatu kabel yang dapat digunakan dalam sebuah jaringan

Request Perminataan

Request for Comments (RFC) Salah satu dari seri dokumen infomasi dan standar Internet bernomor yang diikuti secara luas oleh perangkat lunak untuk digunakan dalam jaringan, Internet dan beberapa sistem operasi jaringan, mulai dari Unix, Windows, dan Novell NetWare

Response Balasan

Rogue Tersamar / palsu

Scanning Melakukan teknik analisis yang bersifat nonintrusif yang mengidentifikasi port terbuka yang terdapat pada setiap perangkat jaringan

Security policy Kebijakan keamanan

Setting Tata cara

Service Layanan

Shared secret key kunci yang akan dibagikan ke komputer dan juga kepada client secara transparant

Simulator Alat yang digunakan untuk melakukan simulasi

Spread Spectrum teknik pengiriman sinyal informasi yang menggunakan suatu kode untuk menebarkan spectrum energi sinyal informasi dalam bandwidth yang jauh lebih lebar dibanding bandwidth sinyal informasi.

Stand-alone Berdiri sendiri

Stream cipher algoritma sandi yang mengenkripsi data persatuan data, seperti bit, byte, nible atau per lima bit(saat data yang di enkripsi berupa data Boudout). Setiap mengenkripsi satu satuan data di gunakan kunci yang merupakan hasil pembangkitan dari kunci sebelum.

Temporal Key Integrity Protocol (TKIP)

Protokol keamanan yang digunakan pada jaringan standar wireless IEEE 802.11

three-tier Layer Hierarichical Design

Model jaringan enterprise dari cisco terdiri dari lapisan : core, distribution, dan akses

Transport Layer Security (TLS)

Merupakan kelanjutan dari protokol kriptografi yang menyediakan komunikasi yang aman di Internet

Tools Alat

Transceiver (transmitter-receiver)

Perangkat fisik yang menghubungkan antar muka host dengan local area network, seperti ethernet

User Pengguna. Biasanya ditujukan kepada pengguna suatu sistem yang umumnya adalah manusia. Misalnya pengguna komputer

Web based interface Metoda interaksi dengan tampilan berbasiskan web

xxiv

Wi-Fi Alliance Aliansi industri yang mempromosikan penggunaan

jaringan nirkabel yang berdasarkan pada spesifikasi

802.11. produk yang telah mendapat persetujuan dari

aliansi tersebut menerima sertifikat segel

interoperabilitas Wi-Fi

Windows Internet Authentication Service (IAS).

RADIUS server dari Microsoft

Wireless networks Jaringan yang menggunakan gelombang radio untuk

membentuk kanal komunikasi antar komputer Wire Kawat / kabel

2

dua protokol keamanan pada jaringan nirkabel yang banyak digunakan untuk

menjawab kebutuhan tersebut. Baik WEP maupun WPA menggunakan sebuah

shared secret key yang digunakan untuk mengendalikan akses ke jaringan. Setiap

pengguna yang ingin terhubung ke jaringan harus mengetahui kombinasi shared

secret key yang digunakan oleh access point (Ilman Zuhri Yadi). Penggunaan

shared secret key ini pada jaringan skala besar seperti di perusahaan, instansi

pemerintahan dan/atau universitas dapat menimbulkan celah keamanan yang baru

dikarenakan kombinasi key yang digunakan sama untuk setiap pengguna. Selain

itu penggunaan WEP dan WPA juga menimbulkan kerumitan proses administrasi

jaringan. Untuk mengatasi hal ini, badan IEEE mengeluarkan protokol baru yang

menerapkan protokol IEEE 802.1X pada jaringan nirkabel. Penggunaan IEEE

802.1X atau port based authentication protocol memungkinkan proses otentikasi

dilakukan secara terpusat.

Pada penelitian sebelumnya (Ali Mahrudi, 2006), IEEE 802.1X telah

diterapkan untuk menjawab masalah keamanan dan kendali akses pada jaringan

nirkabel di Fakultas Sains dan Teknologi (FST) UIN Jakarta. Namun, pada

penelitian tersebut otentikasi protokol yang digunakan adalah EAP-TLS. Dari sisi

keamanan, solusi ini telah menjawab semua permasalahan yang ada, tetapi

penggunaan EAP-TLS mengharuskan penggunaan sertifikat digital pada sisi

wireless klien (RFC 2716). Hal ini membuat proses implementasi menjadi lebih

rumit dan membutuhkan waktu yang lebih lama karena sertifikat digital tersebut

harus didistribusikan pada tiap-tiap klien dimana setiap sertifikat digital tersebut

bersifat unik untuk setiap wireless klien. Selain itu, solusi ini juga membuat

3

proses administrasi pengguna, seperti penambahan, penghapusan serta perubahan

informasi pengguna menjadi lebih rumit.

PEAP dirancang untuk memberikan kemudahan implementasi otentikasi

protokol EAP yang berbasis sertifikat digital. Implementasi PEAP hanya

memerlukan sertifikat digital pada sisi authentication server, sedangkan sertifikat

digital pada sisi wireless klien akan digantikan dengan menggunakan kombinasi

username dan password. Penggunaan kombinasi username dan password untuk

menggantikan sertifikat digital juga dapat meningkatkan mobilitas pengguna,

karena pengguna tidak dibatasi pada perangkat tertentu.

Berdasarkan permasalahan tersebut, penulis ingin memberikan solusi

untuk mengatasi kekurangan tersebut dengan menerapkan protokol PEAP sebagai

protokol otentikasinya. protokol PEAP memiliki tingkat keamanan yang hampir

sama sepeti protokol EAP TLS. Perbedaan kedua protokol tersebut terletak pada

kemudahan protokol PEAP untuk diimplementasikan dan diterapkan.

Beranjak dari permasalahan di atas, pada penelitian tugas akhir ini penulis

mengambil judul: “Implementasi Protokol Otentikasi PEAP Pada

Infrastruktur Jaringan Nirkabel Fakultas Sains dan Teknologi UIN

Jakarta”. Diharapkan hasil penelitian ini dapat meningkatkan Quality of Service

pada jaringan nirkabel di Fakultas Sains dan Teknologi UIN Jakarta.

4

1.2. Perumusan Masalah

Pada skripsi kali ini, penulis merumuskan masalah sebagai berikut:

1. Bagaimana penerapan protokol IEEE 802.1x untuk menangani kendali

akses pada jaringan nirkabel.

2. Bagaimana penerapan protokol Protected Extensible Authentication

Protocol (PEAP) untuk menangani proses otentikasi pengguna jaringan

nirkabel pada FST UIN Jakarta.

3. Bagaimana mekanisme protokol PEAP untuk menangani proses otentikasi

pengguna jaringan nirkabel.

1.3. Batasan Masalah

Untuk penulisan skripsi ini, penulis membatasi masalah dalam hal sebagai

berikut:

1. Implementasi otentikasi protokol PEAP pada jaringan nirkabel FST UIN

Jakarta.

2. Protokol AAA yang digunakan menangani proses otentikasi secara

terpusat adalah Remote Dial-in User Service (RADIUS).

3. Pada penelitian ini, algoritma kriptografi yang digunakan adalah RSA-

AES-SHA.

4. Manajemen User pada Implemetasi PEAP berbasis Web.

5. Informasi pengguna berupa kombinasi username dan password akan

disimpan dalam suatu database terpusat.

5

1.4. Tujuan Penelitian

Tujuan dari penelitian ini adalah:

1. Menerapkan protokol PEAP untuk meningkatkan Quality of Service

pada infrastruktur jaringan nirkabel FST UIN.

2. Memberikan kemudahan pada administrator jaringan dalam melakukan

manajemen pengguna yang terpusat.

3. Mengembangkan sistem otentikasi jaringan wireless yang terpusat.

1.5. Manfaat Penelitian

Manfaat yang diharapkan dari penelitian ini adalah :

a. Hasil penelitian diharapkan dapat memberi manfaat bagi siapa saja

yang ingin membangun infrastruktur jaringan nirkabel dengan tingkat

keamanan yang tinggi dan mudah untuk diimplementasikan.

b. Bagi Fakultas Sains dan Teknologi, hasil penelitian dapat digunakan

menjadi bahan pertimbangan untuk diimplementasikan pada

infrastruktur jaringan nirkabel yang telah ada saat ini. Sehingga dapat

memberikan layanan yang lebih bermutu, baik dari sisi kinerja dan

keamanannya.

c. Bagi penulis, dapat mempelajari, memahami dan menerapkan

otentikasi protokol PEAP dan penerapannya pada layanan AAA.

6

1.6. Metodologi Penelitian

Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi

dua, yaitu metode pengumpulan data dan metode pengembangan sistem.

1.6.1. Metode Pengumpulan data

Merupakan metode yang digunakan penulis dalam melakukan analisis data

dan menjadikannya informasi yang akan digunakan untuk mengetahui

permasalahan yang dihadapi.

1. Studi Lapangan

Metode pengumpulan data dengan melakukan observasi dan

melakukan wawancara untuk memperoleh keterangan untuk tujuan

penelitian.

2. Studi Kepustakaan dan literatur

Metode pengumpulan data melalui buku, jurnal, skripsi, dan laporan

penelitian yang relevan serta mencari data di internet yang dijadikan

acuan dalam penelitian yang dilakukan.

1.6.2. Metode Pengembangan sistem

Metode pengembangan sistem yang digunakan dalam penelitian ini adalah

metode pengembangan sistem Network Development Life Cycle (NDLC). siklus

ini terdiri dari beberapa tahapan, yaitu :

1. Analisis

7

2. Desain (Perancangan)

3. Simulasi prototipe

4. Implementasi (Penerapan)

5. Monitoring

6. Manajemen

1.7. Sistematika Penulisan

Dalam penyusunan tugas akhir ini, penulis menyajikan dalam 5 bab yang

dijabarkan sebagai berikut :

BAB I PENDAHULUAN

Bab ini membahas tentang latar belakang, perumusan

masalah, batasan masalah, metodologi penelitian, tujuan

dan manfaat penelitian dan sistematika penulisan pada

penelitian ini.

BAB II LANDASAN TEORI

Bab ini menjelaskan teori-teori yang digunakan sebagai

landasan dalam penelitian, seperti teori jaringan nirkabel,

keamanan jaringan nirkabel, otentikasi protokol EAP,

RADIUS.

BAB III METODOLOGI PENELITIAN

Bab ini akan menjelaskan tentang tahapan-tahapan yang

dilakukan dalam melaksanakan penelitian ini. Dalam hal ini

8

penulis menggunakan metodologi penelitian NDLC atau

Network Development Life Cycle.

BAB IV ANALISIS DAN IMPLEMENTASI

Bab ini berisi analisis terhadap kebutuhan sistem,

perancangan serta implementasi protokol otentikasi PEAP

pada jaringan nirkabel FST UIN Jakarta.

BAB V KESIMPULAN DAN SARAN

Bab ini merupakan bab penutup yang berisi kesimpulan

serta saran yang dapat membantu pengembangan sistem ini

di masa yang akan datang.

1

BAB I

PENDAHULUAN

1.1. Latar Belakang

Teknologi jaringan nirkabel atau WLAN menggunakan gelombang radio

sebagai media transmisinya. Hal ini membuat teknologi tersebut memberikan

mobilitas yang lebih baik daripada jaringan kabel (Neil Reid, 2010). Tetapi,

penggunaan gelombang radio juga memberikan dampak negatif, yaitu tidak

adanya perlindungan fisik dan kendali akses pada jaringan nirkabel. Setiap

pengguna yang berada dalam jangkauan daya pancar suatu access point (AP)

maka akan dengan mudah terkoneksi dan menggunakan layanan serta sumber

daya yang ada pada jaringan. Dampak negatif lainnya adalah komunikasi yang

terjadi akan dengan mudah disadap oleh pihak ketiga (Zaenal Arifin, 2008).

Beberapa solusi dikembangkan untuk mengatasi celah-celah keamanan tersebut.

Protokol keamanan ini bertujuan untuk membatasi akses ke jaringan nirkabel serta

mengamankan komunikasi yang terjadi agar tidak dapat disadap oleh pihak-pihak

yang tidak berwenang.

Untuk tujuan tersebut maka dikembangkan protokol yang mendukung fitur

otentikasi dan enkripsi. Otentikasi bertujuan untuk melakukan verifikasi identitas

pengguna sehingga hanya pengguna yang terdaftar/sah yang dapat terhubung ke

jaringan (Jonathan Hassel, 2002). Sedangkan, fitur enkripsi bertujuan untuk

mengamankan proses komunikasi agar tidak dapat disadap oleh pihak ketiga.

WEP (Wired Equivalent Privacy) dan WPA (Wi-fi Protected Access) merupakan

9

BAB II

LANDASAN TEORI

2.1 Wireless LAN

Wireless (jaringan nirkabel) menggunakan gelombang radio (RF) atau

gelombang mikro untuk membentuk kanal komunikasi antar komputer. Jaringan

nirkabel adalah alternatif yang lebih modern terhadap jaringan kabel yang

bergantung pada kabel tembaga dan serat optik antar jaringan. LAN atau Local

Area Network Merupakan jaringan komputer yang meliputi suatu area geografis

yang relatif kecil (dalam satu lantai atau gedung). LAN dicirikan dengan

kecepatan data yang relatif tinggi dan kecepatan error yang relatif rendah.

(Kamus Lengkap Jaringan Komputer, 2004). Jaringan nirkabel memungkinkan

user untuk melakukan komunikasi, mengakses aplikasi dan informasi tanpa kabel.

Hal tersebut memberikan kemudahan dan kebebasan untuk bergerak dan

kemampuan memperluas aplikasi ke berbagai bagian gedung, kota, atau hampir ke

semua tempat di dunia.

2.1.1 Mode pada Wireless LAN

WLAN sebenarnya memiliki kesamaan dengan jaringan LAN, akan tetapi

setiap node pada WLAN menggunakan wireless device untuk berhubungan

dengan jaringan. Node pada WLAN menggunakan channel frekuensi yang sama

dan SSID yang menunjukkan identitas dari wireless device. Tidak seperti jaringan

kabel, jaringan wireless memiliki dua mode yang dapat digunakan, yaitu:

10

a. Model Ad-Hoc

Model ad-hoc merupakan mode jaringan nirkabel yang sangat

sederhana, karena pada mode ini tidak memerlukan access point untuk

host dapat saling berkomunikasi. Setiap host cukup memiliki

transmitter dan reciever wireless untuk berkomunikasi secara langsung

satu sama lain seperti tampak pada gambar 2.1. Kekurangan dari mode

ini adalah komputer tidak bisa berkomunikasi dengan komputer pada

jaringan yang menggunakan kabel. Selain itu, daerah jangkauan pada

mode ini terbatas pada jarak antara kedua komputer tersebut.

Gambar 2.1 Mode Jaringan Ad-Hoc

Sumber : http://oc.its.ac.id/ambilfile.php?idp=153

b. Model Infrastruktur

Jika komputer pada jaringan wireless ingin mengakses jaringan kabel

atau berbagi printer misalnya, maka jaringan wireless tersebut harus

menggunakan mode infrastruktur (gambar 2.2). Pada mode

infrastruktur access point berfungsi untuk melayani komunikasi utama

pada jaringan wireless. Access point mentransmisikan data pada PC

11

dengan jangkauan tertentu pada suatu daerah. Penambahan dan

pengaturan letak access point dapat memperluas jangkauan dari

WLAN.

Gambar 2.2 Model Jaringan Infrastruktur

Sumber : http://oc.its.ac.id/ambilfile.php?idp=153

2.1.1 Komponen Wireless LAN

Dalam membangun sebuah jaringan WLAN, maka diperlukan beberapa

perangkat keras agar komunikasi antara station dapat dilakukan. Secara umum,

komponen wireless LAN terdiri atas perangkat berikut :

1. Access Point (AP)

Pada wireless LAN, device transceiver disebut sebagai access point

(AP), dan terhubung dengan jaringan (LAN) melalui kabel. Fungsi dari

AP adalah mengirim dan menerima data, serta berfungsi sebagai buffer

data antara wireless LAN dengan wired LAN. Satu AP dapat melayani

sejumlah user (beberapa literatur menyatakan bahwa satu AP maksimal

12

meng-handle sampai 30 user). Karena dengan semakin banyak nya user

terhubung ke AP maka kecepatan yang diperoleh tiap user juga akan

semakin berkurang.

Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan.

Sumber : http://www.hp.com/sbso/wireless/setup_wireless_network.html

Bila AP dipasang lebih dari satu dan coverage tiap AP saling overlap,

maka user/ client dapat melakukan roaming. Roaming adalah

kemampuan client untuk berpindah tanpa kehilangan koneksi dan tetap

terhubung dengan jaringan.

Gambar 2.4 Multiple Access Point dan Roaming

Sumber : http://ilmukomputer.org/2008/11/26/konsep-dasar-wlan/

13

2. Extension Point

Hanya berfungsi layaknya repeater untuk client ditempat yang jauh.

Syarat dari AP yang digunakan sebagai extension point ini adalah terkait

dengan channel frekuensi yang digunakan. Antara AP induk (yang

terhubung langsung dengan backbone) dan AP repeater-nya harus

memiliki frekuensi yang sama.

Gambar 2.5 Penggunaan Extension Point

Sumber : http://library.thinkquest.org/04oct/01721/wireless/faq.htm

3. Antena

Digunakan untuk memperkuat daya pancar. Terdapat beberapa tipe

antena yang dapat mendukung dalam implementasi wireless LAN. Ada

yang tipe omni, sectorized serta directional.

4. Wireless LAN Card

14

WLAN card dapat berupa PCMCIA, USB card atau Ethernet card dan

sekarang banyak dijumpai sudah embedded di terminal (notebook

maupun HP). Biasa nya PCMCIA digunakan untuk notebook sedangkan

yang lain nya digunakan untuk komputer desktop. WLAN card berfungsi

sebagai interface antara sistem operasi jaringan client dengan format

interface udara ke AP. (Gunadi, 2009)

2.1.2 Badan Standarisasi

a. Federal Communication Commission (FCC)

Federal Communiation Commission (FCC) adalah sebuah perwakilan

independen dari pemerintah Amerika Serikat, didirikan oleh

Communication Act pada tahun 1943. FCC berhubungan dengan

peraturan peraturan dibidang komunikasi yang menggunakan radio,

televisi, wire, satelit, dan kabel baik di wilayah Amerika sendiri

maupun untuk international.

FCC membuat peraturan yang didalamnya berisi perangkat perangkat

wireless LAN mana yang dapat beroperasi. FCC menentukan pada

spectrum frequency radio yang mana wireless LAN dapat berjalan dan

seberapa besar power yang dibutuhkan, teknologi transmisi mana yang

digunakan, serta bagaimana dan dimana berbagai jenis hardware

wireless LAN dapat digunakan.

b. Internet Engineering Task Force (IETF)

IETF adalah komunitas terbuka, yang anggota anggota nya terdiri atas

para peneliti, vendor, dan perancangan jaringan. Tujuan IETF adalah

15

mengkoordinasikan pegoperasian, pengelolaan, dan evolusi internet,

dan memecahkan persoalan arsitektural dan protokol tingkat

menengah. IETF mengadakan pertemuan tiga kali setahun dan laporan

hasil pertemuan pertemuan itu secara lengkap termasuk kedalam IETF

proceedings.

c. Institute of Electrical and Electronics Engineers (IEEE)

Institute of Electrical and Electronics Engineers (IEEE) adalah

pembuat kunci standar dari hampir semua hal yang berhubungan

dengan teknologi dan informasi di Amerika Serikat. IEEE membuat

standar dengan peraturan yang telah ditetapkan oleh FCC. IEEE telah

menspesifikasikan begitu banyak standar teknologi. Seperti Public Key

cryptography (IEEE 1363), Ethernet (IEEE 802.3), dan untuk Wireless

LAN dengan standar IEEE 802.11. (Gunadi, 2009)

2.1.3 Standar Wireless LAN

Standar yang lazim digunakan untuk WLAN adalah 802.11 yang

ditetapkan oleh IEEE pada akhir tahun 1990. standar 802.11 kemudian dibagi

menjadi tiga jenis, yaitu :

a. IEEE 802.11a

Menggunakan teknik modulasi Orthogonal Frequency Division

Multiplexing (OFDM) dan berjalan pada frekuensi 5 GHz dengan

kecepatan transfer data mencapai 54 Mbps. Kelebihan dari standar ini

adalah kecepatan transfer data yang lebih tinggi dan lebih kecil potensi

16

terjadinya interferensi dari perangkat nirkabel lainnya karena frekuensi

ini jarang digunakan. Kelemahannya antara lain membutuhkan biaya

yang lebih besar, jarak jangkuan lebih pendek karena frekuensi tinggi

dan juga dapat menyebabkan sinyal mudah diserap oleh benda

penghalang seperti tembok.

b. IEEE 802.11b

Menggunakan teknik modulasi direct sequence spread sprectrum

(DSSS) dan berjalan pada pita frekuensi 2,4 Ghz dengan kecepatan

transfer 11 Mbps. Kelebihan dari standar ini adalah biaya implementasi

yang lebih sedikit dan jarak jangkauan yang lebih baik. Kelemahannya

adalah kecepatan transfer yang lebih lambat dan rentan terhadap

interferensi karena frekuansi 2,4 GHz juga banyak digunakan oleh

perangkat lainnya.

c. IEEE 802.11g

Menggunakan teknik modulasi OFDM dan DSSS sehingga memiliki

karakteristik dari kedua standar 802.11b dan 802.11a. Standar ini

bekerja pada frekuensi 2.4 GHz dengan kecepatan transfer data

mencapai 54 Mbps tergantung dari jenis modulasi yang digunakan.

Kelebihan dari standar ini adalah kecepatan transfer data yang tinggi

(menyamai standar 802.11a), jarak jangkauan yang cukup jauh dan

lebih tahan terhadap penyerapan oleh material tertentu karena bekerja

pada frekuensi 2,4 GHz. Kelemahannya adalah rentan terhadap

interferensi dari perangkat nirkabel lainya. (Gunadi, 2009)

17

Secara umum perbandingan diantara standar WLAN yang dimaksud

dapat dijabarkan seperti pada table 2.1 berikut :

Tabel 2.1 Perbandingan Standar Wireless LAN

Sumber : (Gunadi, 2009 )

802.11b 802.11a 802.11g 802.11n

Standard

approved

July

1999 July 1999 June 2003 Not yet ratified

Maximum

data rate 11 Mbps 54 Mbps 54 Mbps 600 Mbps

Modulation DSSS or

CCK OFDM

DSSS or CCK

or OFDM

DSSS or CCK or

OFDM

RF band 2,4 GHz 5 GHz 2,4 GHz 2,4 GHz or 5 GHz

Number of

spatial

streams

1 1 1 1, 2, 3, or 4

Channel

width 20 MHz 20 MHz 20 MHz

20 MHz or 40

MHz

Compatible

with … 802.11 b 802.11 a 802.11 b/g 802.11 b/g/n

d. IEEE 802.11i

IEEE 802.11i atau yang juga sebagai WPA2 merupakan standarisasi

pada 802.11 yang khusus menspesifikasikan mekanisme keamanan

untuk jaringan nirkabel. Draft standarisasi ini yang disetujui pada 24

Juni 2004 dirancang untuk menggantikan protokol WEP yang memiliki

celah keamanan yang besar. Wi-Fi Alliance sebelumnya telah

mengeluarkan standarisasi WPA sebagai solusi sementara untuk

mengganti WEP. WPA2 adalah perbaikan dan versi final dari WPA.

802.11i menggunakan algoritma enkripsi AES block cipher, sedangkan

WEP dan WPA menggunakan RC4 stream cipher.

Arsitektur 802.11i terdiri dari beberapa komponen, 802.1x untuk

otentikasi, RSN (Robust Secure Network) untuk memantau status

18

assosiasi, dan AES-based Cipher Block Chaining Message

Authentication Code Protocol (CCMP) untuk menyediakan fasilitas

confidentiality, integrity, dan data encryption. Selain itu, komponen

penting lainnya dalam proses otentikasi 802.11 adalah proses 4-way

handshake. (Reza Fuad R)

2.1.4 Teknik Enkripsi Wireless LAN

Dalam jaringan nirkabel dikenal ada beberapa teknik enkripsi yang biasa

digunakan, antara lain :

1. Wired Equivalent Privacy (WEP)

Teknik enkripsi WEP menggunakan kunci (key) yang disebar antara

accsess point dengan kliennya dalam satu jaringan supaya masing –

masing dapat melakukan proses enkripsi dan dekripsi, karena kedua

proses tersebut hanya mungkin dilakukan jika memiliki key yang sama.

key yang digunakan pada WEP standar adalah 64 bit, 40 bit adalah key

dan 24 bit sisa nya adalah Initialization Vector (IV) yang dikirimkan

berupa teks untuk proses otentikasi. Andaikan key yang digunakan

pada enkripsi tidak dikenali oleh klien yang seharusnya melakukan

dekripsi, maka frame tersebut akan ditolak.

Enkripsi ini kemudian menjadi kurang popular karena dikatahui

terdapat kelemahan yaitu memiliki IV yang pendek, sehingga

memungkinkan terjadinya pengulangan IV yang digunakan untuk

setiap jumlah frame yang dikirimkan, tergantung pada luas jaringan

19

dan jumlah pengguna yang terhubung (tingkat kesibukan jaringan) dan

membuat cracker bisa dengan mudah menerka IV dan menembus

enkripsi WEP. Namun WEP masih tetap menjadi pilihan untuk

keamanan minimal yang biasa digunakan pada jaringan nirkabel

rumahan.

2. Wi – Fi Protected Access (WPA)

WPA dibuat sebagai tindak lanjut atas kelemahan WEP dengan

menggunakan algoritma enkripsi baru menggunakan key yang dinamis

dan berubah secara periodik. WPA yang telah dikembangkan saat ini

adalah WPA yang digunakan pada jaringan nirkabel yang sudah umum

dan WPA 2. Teknik enkripsi yang digunakan WPA bisa dibagi

menjadi dua jenis, yaitu Temporal Key Integrity Protocol (TKIP) yang

dibuat sebagai pengganti WEP dengan menggunakan key sepanjang

128 bit dan berubah untuk setiap frame yang akan dikirimkan serta

Advance Encryption Standard (AES) yang menggunakan algoritma

yang lebih baik namun membutuhkan sumber daya yang lebih besar

dan digunakan pada WPA2.

WPA sendiri dapat digolongkan menjadi 2 jenis, yaitu WPA Personal

yang menggunakan Pre-shared Key (PSK) dan WPA

Enterprise.Penggunaan PSK ditujukan pada jaringan yang berada di

lingkungan rumah atau kantor kecil dimana tidak ada pengguna server

ontentikasi kompleks. WPA Enterprise kebanyakan digunakan pada

jaringan perusahaan dimana keamanan adalah sesuatu yang penting

20

bagi mereka sehingga menggunakan server otentikasi sendiri seperti

Remote Authentication Dial-in User Service (RADIUS). Extensible

Authentication Protocol (EAP) digunakan pada jenis WPA ini yang

hanya mengizinkan pemakaian sebuah port untuk mengirimkan paket

– paket EAP dari klien ke server otentikasi. EAP akan menutup semua

lalu lintas data lainnya yang menuju server sampai terbukti bahwa

pengguna adalah pemakai yang sah. (Ilman Zuhri Yadi).

2.2 Protokol Keamanan AAA

Menurut Jonathan Hassel (2002) Konsep kerja Server Otentikasi dikenal

dengan AAA (authentication, authorization, and accounting). Yang terdiri dari

Otentikasi, Otorisasi, dan Pendaftaran akun pengguna. Konsep AAA mempunyai

fungsi yang berfokus pada tiga aspek dalam kontrol akses user, yaitu :

a. Authentication

Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas.

Bentuk umum yang biasa digunakan untuk melakukan otentikasi

menggunakan kombinasi logon ID / username dan password. jika

kombinasi kedua nya benar maka client dapat mengakses ke sumber daya

jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang

tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan

masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda

kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda

persilahkan masuk dan sebaliknya.

21

b. Authorization

Ototrisasi melibatkan penggunaan seperangkat aturan aturan yang berlaku

untuk memutuskan aktifitas apa saja yang dizinkan dalam sistem atau

sumber daya jaringan tertentu untuk pengguna yang terotentikasi. Proses

Authorization merupakan lanjutan dari proses Authentication. Proses

Authorization dapat dianalogikan sebagai berikut : jika anda sudah

mengizinkan tamu untuk masuk kerumah anda, tentu anda mempunyai

aturan – aturan yang ditempel di dinding rumah anda, misalnya tamu

hanya boleh masuk sampai dengan ruang tamu. dengan aturan seperti ini

tentu akan memudahkan seseorang untuk melakukan kontrol terhadap

sumber daya jaringan tertentu.

c. Accounting

Proses Accounting merupakan proses dimana terdapat proses pencatatan

berapa lama seorang pengguna sudah terkoneksi (waktu mulai / waktu

stop) yang telah dilakukan selama pemakaian. data dan informasi ini

sangat berguna baik untuk pengguna maupun administratornya. biasanya

laporan ini digunakan untuk melakukan auditing, membuat laporang

pemakaian, membaca karakteristik jaringan, dan pembuatan billing

tagihan. jadi pada intinya proses accounting berguna untuk mengetahui

apa saja yang dilakukan oleh client dan service apa saja yang dilakukan

oleh client. analogi sederhananya adalah mesin absensi dikantor, ia akan

mencatat waktu datang dan waktu pulang, dengan demikian petugas dapat

memonitoring karyawan dengan mudah. (Jonathan Hassel, 2002).

22

2.2.1 Remote Authentication Dial-In User Service (RADIUS)

RADIUS merupakan singkatan dari Remote Acces Dial in User Service.

Pertama kali di kembangkan oleh Livingston Enterprises. Merupakan network

protokol keamanan komputer yang digunakan untuk membuat manajemen akses

secara terkontrol pada sebuah jaringan yang besar. RADIUS didefinisikan di

dalam RFC 2865 dan RFC 2866. RADIUS biasa digunakan oleh perusahaan

untuk mengatur akses ke internet atau interner bagi client.

RADIUS melakukan otentikasi, otorisasi, dan pendaftaran akun pengguna

secara terpusat untuk mengakses sumber daya jaringan. Sehingga memastikan

bahwa pengguna yang mengakses jaringan adalah pengguna yang sah. RADIUS

berstandar IEEE 802.1x. Sering disebut “port based authentication”. RADIUS

merupakan protokol client – server yang berada pada layer aplikasi pada OSI

layer. Dengan protokol transport berbasis UDP. (Jonathan Hassel, 2002).

2.2.1.1 Format Paket RADIUS

Protokol RADIUS menggunakan paket UDP untuk melewati transmisi

antara client dan server. Protokol tersebut akan berkomunikasi pada port 1812.

Berikut struktur paket RADIUS :

Gambar 2.6 Format paket RADIUS

Format paket data RADIUS pada gambar 2.4 terdiri dari lima bagian, yaitu:

23

1. Code : memiliki panjang satu oktet, digunakan untuk membedakan

tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut

(dalam desimal) dapat dilihat pada tabel 2.2

Tabel 2.2 Kode tipe pesan RADIUS

Kode Tipe pesan RADIUS

1 Access-Request

2 Access-Accept

3 Access-Reject

4 Accounting-Request

5 Accounting-Response

11 Access-Challenge

12 Status-Server (experimental)

13 Status-Client (experimental)

255 Reserved

2. Identifier : Memiliki panjang satu oktet, bertujuan untuk mencocokkan

permintaan.

3. Length : Memiliki panjang dua oktet, memberikan informasi mengenai

panjang paket.

4. Authenticator : Memiliki panjang 16 oktet, digunakan untuk

membuktikan balasan dari RADIUS server, selain itu digunakan juga

untuk algoritma password.

5. Attributes : Berisikan informasi yang dibawa pesan RADIUS, setiap

pesan dapat membawa satu atau lebih atribut. Contoh atribut RADIUS:

nama pengguna, password, alamat IP access point (AP), pesan balasan.

Tujuan standar 802.1x IEEE adalah untuk menghasilkan kontrol akses,

autentikasi, dan manajemen kunci untuk wireless LANs. Standar ini

24

berdasarkan pada Internet Engineering Task Force (IETF) Extensible

Authentication Protocol (EAP), yang ditetapkan dalam RFC 2284.

2.2.1.2 Tipe Paket Pesan RADIUS

Ada empat jenis paket pesan RADIUS yang relevan dengan otentikasi

dan otorisasi pada fase transaksi AAA yaitu :

1. Access-Request

Paket Access-Request digunakan oleh layanan konsumen ketika

meminta layanan tertentu dari jaringan. Client mengirimkan paket

request ke RADIUS server dengan daftar layanan yang diminta. Faktor

kunci dalam transmisi ini adalah kolom kode pada header paket, dimana

header paket tersebut harus di set dengan nilai 1, yang merupakan nilai

unik pada paket permintaan. RFC menyatakan bahwa balasan harus

dikirimkan ke semua paket permintaan yang valid, apakah jawabannya

adalah otorisasi atau penolakan.

Gambar 2.7. Paket Access-Request

Sumber : RADIUS, O'Reilly

25

Tabel 2.3 Paket Access-Request

Sumber : RADIUS, O'Reilly

Packet Type Response

Code 1

Identifier Unique per request

Length Header length plus all additional attribute data

Authenticator Request

Attribute Data 2 or more

2. Access-Accept

Paket Access-Accept dikirim oleh RADIUS server kepada client untuk

mengakui bahwa permintaan klien diberikan. Jika semua permintaan

Access-Request dapat diterima, maka server RADIUS harus mengatur

paket respon dengan nilai 2 pada sisi client, setelah paket tersebut

diterima, paket tersebut di cek apakah sama atau benar paket tersebut

adalah paket respon dari RADIUS server dengan menggunakan

identifier field. Jika terdapat paket yang tidak mengikuti standar ini maka

paket tersebut akan dibuang.

Paket Access-Accept dapat berisi banyak atau sedikit atribut informasi

yang perlu untuk dimasukkan. Kemungkinan besar atribut informasi

pada paket ini akan menjelaskan jenis layanan apa saja yang telah

dikonfirmasi dan resmi sehingga client dapat menggunakan layanan

tersebut. Namun, jika tidak ada atribut informasi yang disertakan, maka

client menganggap bahwa layanan yang diminta adalah yang diberikan.

26

Gambar 2.8 Paket Access- Accept

Sumber: RADIUS, O'Reilly

Tabel 2.4 Paket Access-Accept

Sumber: RADIUS, O'Reilly

Packet Type Response

Code 2

Identifier Identical to Access-Request per transaction

Length Header length plus all additional attribute data

Authenticator Response

Attribute Data 0 or more

3. Access-Reject

RADIUS server dapat pula mengirimkan paket Access-Reject kembali

ke client jika harus menolak salah satu layanan yang diminta client

dalam paket Access-Request. Penolakan tersebut dapat didasarkan pada

kebijakan sistem, hak istimewa yang tidak cukup, atau kriteria lain.

Access-Reject dapat dikirim setiap saat selama waktu koneksi. Nilai

yang diberikan untuk kode pada paket ini adalah 3.

Gambar 2.9 Paket Access- Reject

27

Sumber : RADIUS, O'Reilly

Tabel 2.5 Paket Access- Reject

Sumber : RADIUS, O'Reilly

Packet Type Response

Code 3

Identifier Identical to Access-Request

Length Header length plus all additional attribute data

Authenticator Response

Attribute Data 0 or more

4. Access-Challenge

Apabila server menerima informasi yang bertentangan dari user, atau

membutuhkan informasi lebih lajut, atau hanya ingin mengurangi risiko

otentikasi palsu, server dapat menerbitkan paket Access-Challenge

untuk client. Setelah client menerima paket Access-Challenge client

harus memberikan paket Access-Request yang baru disertai atribut

informasi yang diminta server. Nilai yang diberikan pada header paket

ini adalah 11.

Gambar 2.10 Paket Access- Challenge

Sumber : RADIUS, O'Reilly

28

Tabel 2.6 Paket Access-Challenge

Sumber : RADIUS, O'Reilly

Packet Type Response

Code 11

Identifier Identical to Access-Request

Length Header length plus all additional attribute data

Authenticator Response

Attribute Data 0 or more

2.2.1.3 Tahapan Koneksi RADIUS

Penggunaan RADIUS terhadap usaha pembentukan koneksi jaringan

dapat dilakukan dengan melalui tahapan tahapan berikut:

1. Access server, access point menerima permintaan koneksi dari

access client

2. Access server dikonfigurasi agar dapat menggunakan RADIUS

sebagai protokol yang melakukan proses otentikasi, otorisasi dan

accounting, membuat sebuah pesan access request dan

mengirimkannya ke server RADIUS.

3. Server RADIUS melakukan evaluasi pesan Access request

4. Jika dibutuhkan, server RADIUS mengirimkan pesan access

challenge ke access server. Jawaban terhadap pesan tersebut

dikirimkan dalam bentuk access request ke server RADIUS.

5. Surat kepercayaan dan otorisasi dari usaha pembentukan koneksi

diverifikasi.

29

6. Jika usaha pembentukan koneksi dan diotorisasi, server RADIUS

mengirimkan sebuah pesan access accept ke access server.

Sebaliknya jika usaha tersebut ditolak maka server RADIUS

mengirimkan sebuah pesan access reject ke access server.

7. Selama menerima pesan access accept, access server melengkapi

proses koneksi dengan access client dan mengirimkan sebuah pesan

accounting request ke server radius.

8. Setelah pesan accounting request diproses, server RADIUS

mengirimkan sebuah pesan accounting response. (Zaenal Arifin, 2008)

Gambar 2.11. Proses Pembentukan koneksi protokol RADIUS

Sumber: http://www.wi-fiplanet.com/tutorials/article.php/3114511/Using-

RADIUS-For-WLAN-Authentication-Part-I.htm

30

2.2.1.4 Realm

RADIUS hadir dengan kemampuan untuk mengidentifikasi user

berdasarkan desain dan area yang berlainan. atau disebuat realm. Realm adalah

identifier yang ditempatkan sebelum atau sesudah nilai yang biasanya berisikan

atribut Username yang bisa digunakan server RADIUS untuk mengenal dan

menghubungi server yang sedang digunakan untuk memulai proses AAA.

Tipe pertama dari realm identifier yang dikenal sebagai realm prefix.,

yang mana nama realm ditempatkan sebelum username, dan kedua dipisahkan

oleh karakter prekonfigurasi, seperti kebanyakan @, \, atau /. Untuk lebih lanjut,

sebuah user bernama jhassel yang terdaftar di layanan central state internet

(merupakan realm dengan nama CSI) bisa mengatur klien untuk memberikan

username seperti CSI/jhassel.

Sintaks realm identifier lainnya adalah realm suffix, dimana username

ditempatkan sebelum nama realm. Pemisah yang sama masih digunakan didalam

sintaks ini hingga saat ini, lebih lanjut yang pada umum nya adalah tanda @.

Sebagai contoh, user awatson mendaftar ke layanan northwest internet (nama

realm : NWI) menggunakan identifikasi suffix realm bisa memberikan username

seperti awatson@NWI. (Jonathan Hussel, 2003).

2.3 Protokol Otentikasi

Protokol adalah suatu kumpulan dari aturan-aturan yang berhubungan

dengan komunikasi data antara alat-alat komunikasi supaya komunikasi data dapat

dilakukan dengan benar. Jabatan tangan merupakan contoh dari protokol antara

31

dua manusia yang akan berkomunikasi. Pada istilah komputer, jabatan tangan

(handshaking) menunjukkan suatu protokol dari komunikasi data bila dua buah

alat dihubungkan satu dengan yang lainnya untuk menentukan bahwa keduanya

telah kompatibel. (Jogianto, 1999).

Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk

umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi

logon ID / username dan password. jika kombinasi kedua nya benar maka client

dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat

dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu

tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih

dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan

anda persilahkan masuk dan sebaliknya. (Jonathan Hassel).

2.3.1 Password Authentication Protocol (PAP)

PAP secara lebih spesifik dibahas dalam RFC 1334. Algoritma yang

digunakan untuk menyembunyikan informasi User-Password terdiri dari banyak

proses. Pertama, RADIUS klien akan mendeteksi nilai identifier dan shared

secret, lalu mengirimkannya untuk diproses dengan MD5 hashing. Informasi

password pengguna akan diteruskan pada proses XOR dan hasil dari kedua proses

ini akan dimasukkan pada atribut User-Password. Lalu server RADIUS yang

menerima paket tersebut akan melakukan prosedur sebelumnya tetapi dengan

urutan terbalik, sehingga server RADIUS dapat menentukan otorisasi bagi

pengguna. Mekanisme penyembunyian password ini digunakan untuk mencegah

32

pengguna mengetahui penyebab kegagalan proses otentikasi apakah disebabkan

kesalahan pada password atau shared secret. (TCP/IP Guide, Charles M.

Kozierok).

Gambar 2.12 Tahapan Otentikasi PAP

Sumber : http://www.orbit-computer-solutions.com/images/pap.jpg

2.3.2 Challenge Handshake Authentication Protocol (CHAP)

CHAP dikembangkan dengan alasan bahwa password seharusnya tidak

ditransmisikan melalui jaringan. CHAP secara dinamis mengenkripsi informasi

username dan password.

Pada otentikasi CHAP terdapat 3 proses yang dikenal dengan 3 way-

Hanshake, proses proses tersebut adalah :

1. Challenge : authenticator membuat sebuah frame yang dinamakan

Challenge dan dikirimkan initiator. frame ini berisi text sederhana yang

disebut challenge text..

2. Response : The initiator menggunakan password untuk melakukan

proses encrypt pada challenge text. Kemudian challenge text yang sudah

terencrypt dikirimkan kepada authenticator.

33

3. Success or Failure: authenticator melakukan sesi pencocokan pesan

yang di encrpt tersebut dengan challenge text milik nya yang di

encrypte dengan password yang sama. Jika hasil encrypt initiator sama

dengan hasil encrypt authenticator maka authenticator menyatakan

proses otentikasi sukses. Sebalik nya jika tidak ditemukan kecocokan

maka proses otentikasi failure. (TCP/IP Guide, Charles M. Kozierok).

Gambar 2.13 Proses CHAP 3-way Handshake

Sumber : http://www.orbit-computer-solutions.com/images/CHAP3.jpg

34

2.3.3 Extensible Authentication Protocol (EAP)

EAP atau Extensible Authentication Protocol adalah suatu framework

otentikasi yang menyediakan layanan transport dan penggunaan keying material

dan parameter yang dihasilkan oleh EAP methods. EAP pada awalnya

dikembangkan untuk koneksi Point-to-Point atau PPP. Namun, saat ini EAP juga

diimplementasikan dan banyak digunakan untuk otentikasi pengguna pada

jaringan nirkabel. EAP digunakan pada three-tier authentication, maka pada

proses komunikasinya EAP akan menggunakan transport protokol yang berbeda.

Pertama, pada komunikasi antara supplicant dan authenticator, EAP akan

menggunakan data link protocol seperti PPP, Ethernet atau WLAN. Kedua, pada

komunikasi antara authenticator dan authentication system, EAP akan

menggunakan application layer protocol seperti RADIUS atau Diameter.

Gambar 2.14 Proses komunikasi protokol EAP antara supplicant,

NAS dan authentication server

Dalam EAP terdapat beberapa komponen diantaranya :

35

Gambar 2.15 Komponen EAP

Sumber : Tom Rixom

1. Supplicant

Merupakan Wireless Node yang ingin mengakses Jaringan disebut

Supplicant.

2. Authenticator

merupakan perangkat yang memberikan akses menuju server.

Authenticator merupakan device yang memproses apakah suatu

supplicant dapat mengakses jaringan atau tidak. authenticator

mengontrol dua jenis port yaitu yang disebut dengan controlled ports

dan yang disebut dengan uncontrolled ports. Kedua jenis port tersebut

merupakan logikal port dan menggunakan koneksi fisikal yang sama.

Sebelum otentikasi berhasil, hanya port dengan jenis uncontrolled

yang dibuka. Trafik yang diperbolehkan hanyalah EAPOL atau

EAPOW. Setelah supplicant melakukan autentifikasi dan berhasil, port

jenis controlled dibuka sehingga supplicant dapat mengakses LAN

36

secara biasa. IEEE 802.1x mempunyai peranan penting dari standar

802.11i.

Gambar 2.16 Skema port based authentication

Sumber : Standar IEEE 802.1x. Teori dan Implementasi

3. Authentication Server / RADIUS

yaitu server yang menentukan apakah suatu supplicant valid atau tidak.

Authentication server adalah berupa RADIUS server [RFC2865].

2.3.3.1 EAP Over RADIUS

EAP over RADIUS merupakan sebuah mekanisme otentikasi yang

dilakukan oleh access server (access point) untuk melewatkan pesan EAP dari

jenis EAP apa pun ke RADIUS server untuk melakukan proses otentikasi. Sebuah

pesan EAP dikirim diantara access client dan access server dengan menggunakan

format attribute EAP Message RADIUS dan dikirim sebagai pesan RADIUS

antara access server dan server RADIUS. Access server hanya menjadi perangkat

37

yang melewatkan pesan EAP diantara client dan server RADIUS. Pemrosesan

pesan EAP dilakukan oleh access client dan server RADIUS, tidak dilakukan oleh

access server.

EAP over RADIUS digunakan dalam lingkungan dimana RADIUS

sebagai penyedia mekanisme otentikasi. Keuntungan yang bisa diperoleh dengan

menerapkan EAP over RADIUS adalah jenis EAP tidak perlu diinstall pada setiap

access server, cukup dilakukan pada server RADIUS. Tetapi, access server harus

mendukung EAP sebagai protokol untuk melakukan kegiatan otentikasi dan

melewatkan pesan EAP ke server RADIUS.

Karena EAP merupakan bagian dari standar 802.1x, kita harus

mengaktifkan otentikasi 802.1x untuk mengaktifkan AP agar dapt menggunakan

EAP.

Ketika koneksi dibuat, access client bernegosiasi dengan access server

menggunakan EAP. Ketika client mengirimkan pesan EAP ke access server,

access server membungkus pesan EAP dalam bentuk attribut EAP message

kemudian diubah menjadi pesan RADIUS access Request dan mengirimkannya ke

server RADIUS. Server RADIUS memproses attribute EAP-Message dan

mengirimkan sebuah pesan EAP-Response dalam bentuk pesan RADIUS Access-

Challenge ke access server. Selanjutnya, access server melewatkan pesan EAP ke

access client.

38

Gambar 2.17 Konversi pesan EAP dan pesan RADIUS

Sumber : (sistem pengamanan jaringan wireless, zaenal arifin)

2.3.3.2 EAP over LAN (EAPOL)

EAPOL adalah suatu protokol yang menyediakan cara-cara

mengenkapsulasi paket-paket EAP dalam protokol LAN atau Ethernet. EAPOL

didesain untuk standarisasi IEEE 802.1X yang digunakan pada jaringan kabel

maupun nirkabel. Berikut ini adalah beberapa jenis paket-paket EAPOL, yaitu:

1. EAPOL-Start : merupakan sebuah frame EAPOL yang baru. Frame ini

dikembangkan untuk mekanisme network-sensing pada jaringan nirkabel.

Pada saat permintaan akses, supplicant akan mengirimkan frame EAPOL

start secara multicast ke beberapa alamat MAC yang telah dipersiapkan

untuk 802.1x authenticators, sehingga authenticator dapat mengetahui

apabila ada pengguna yang memerlukan ijin akses.

2. EAPOL-Key : frame ini dirancang untuk mendukung kombinasi antara

proses otentikasi dan proses pendistribusian kunci, dimana authenticator

akan mengirim kunci yang digunakan untuk enkripsi komunikasi data ke

supplicant.

39

3. EAPOL-Packet : frame ini merupakan frame utama untuk protokol

EAPOL, dimana frame ini bertugas untuk membawa paket atau pesan

EAP. Semua tipe pesan EAP (EAP request, EAP response, EAP success

dan EAP failure) dibawa oleh frame EAPOL-Packet.

4. EAPOL-Logoff : frame ini digunakan oleh supplicant untuk

mengindikasikan bahwa pengguna ingin mengakhiri koneksi.

Gambar 2.18. Format paket EAPOL

2.4 EAP Methods

EAP sebenarnya hanya sebuah authentication framework dan tidak

menyediakan mekanisme tertentu yang dapat digunakan untuk proses otentikasi.

Tetapi, EAP menyediakan fungsi-fungsi umum dan negosiasi metode otentikasi

yang disebut EAP methods. Beberapa EAP methods yang sering digunakan, yaitu

EAP-MD5, EAP-OTP, EAP-GTC, EAP-SIM, EAP-AKA, EAP-TLS, EAP-TTLS

dan PEAP. Ketiga EAP methods yang terakhir, yaitu EAP-TLS, EAP-TTLS dan

PEAP adalah EAP methods yang sering digunakan pada jaringan nirkabel. EAP

methods ini mendukung fitur mutual authentication dan penggunaan digital

certificate. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada

sisi client dan satu lagi pada sisi server. sedangkan pada EAP-TTLS dan PEAP,

digital certificate pada sisi client bersifat optional dan dapat digantikan oleh

kombinasi username dan password. (Madjid Nakhjiri)

40

Gambar 2.19 Pemodelan untuk membawa pesan pada otentikasi dengan

metode TLS

2.4.1 EAP MD5

EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan

tingkat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode

dictionary attack, tidak ada mutual otentikasi, dan penurunan kunci; sehingga

membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPA/WPA2

enterprise.

2.4.2 EAP TLS

EAP-TLS [RFC2716], adalah IETF standar dan banyak disupport oleh

vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi,

semenjak TLS dianggap sebagai teknik enkripsi yang sukses pada mekanisme

SSL. TLS menggunakan Public Key Infrastructure (PKI) untuk mengamankan

komunikasi antara supplicant dan authentication server. EAP-TLS adalah standar

EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya

merupakan salah satu standar EAP yang paling aman dan secara universal

41

disupport oleh semua manufaktur dari wireless LAN hardware dan software

termasuk Microsoft.

2.4.3 EAP TTLS

EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang

dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas

disupport dan menawarkan tingkat keamanan yang bagus. Standar ini

menggunakan PKI sertifikat hanya pada authentication server.

2.4.4 PEAP MSCHAP v2

Protected EAP (PEAP), sama seperti EAP-TTLS, memakai TLS-tunnel.

Sertifika supplicant untuk PEAP tidak diperlukan, tetapi untuk sertifikat server

(AS) dibutuhkan. PEAP dikembangkan oleh Microsoft, Cisco System, dan RSA

Security.

2.4.4.1 Microsoft PPP CHAP Extensions Version 2 (MSCHAPv2)

Berdasarkan dokumen RFC 2759, Microsoft PPP CHAP Extensions

Version 2 (MSCHAPv2), merupakan pengembangan dari protokol otentikasi

Challenge Hanshake Authentication Protocol (CHAP) yang dikembangkan oleh

tim dari Microsoft, MSCHAP v2 memiliki kemiripan dengan protokol

MSCHAPv1 dan protokol CHAP standard nya. Perbedaan mendasar antara

protokol MSCHAPv1 dan MSCHAPv2 adalah, pada versi 2 menyediakan fitur

mutual authentication antara otentikator dan peer (client).

42

a. Format Paket MSCHAPv2

1. Challenge Packet

Format paket challenge identik dengan format paket challenge pada

CHAP standard. Pada paket ini authenticator akan mengirimkan

kepada peer nilai challenge sepanjang 16 oktet.

2. Response Packet

Format paket Response identik dengan format paket challenge pada

CHAP standard. Format paket terdiri dari :

- 16 oktet : peer challenge, merupakan nilai random yang dihasilkan

dari sisi peer.

- 8 oktet : nilai cadangan, harus diisi kosong / zero

- 24 oktet : NT response, berisi password yang terenkrisi dan

username

- 1 oktet : flag, diisi dengan nilai kosong / zero

3. Success Packet

Format paket Success identik dengan format paket Success pada

CHAP standard. Paket ini terdiri dari 42 oktet. Paket ini merupakan

pesan response dari authenticator apabila paket response yang

dikirimkan peer memiliki nilai yang sesuai. Format paket ini adalah :

“S=<auth_string> M=<Message>”.

4. Failure Packet

Format paket Filure identik dengan format paket Failure pada CHAP

standard. Paket ini dikirimkan apabila paket response dari peer tidak

ditemukan kesamaan atau tidak sesuai. Format paket ini terdiri dari

43

”E=eeeeeeeeee R=r C=cccccccccccccccccccccccccc V=vvvvvvvvvv

M=<msg>”.

- eeeeeeeeee, merupakan representasi nilai desimal dari pesan error.

Berikut daftar pesan error dalam paket ini :

Tabel 2.7 Daftar Pesan Error MSCHAPv2

Sumber : RFC 2759

Kode Pesan

646 ERROR_RESTRICTED_LOGON_HOURS

647 ERROR_ACCT_DISABLED

648 ERROR_PASSWD_EXPIRED

649 ERROR_NO_DIALIN_PERMISSION

691 ERROR_AUTHENTICATION_FAILURE

709 ERROR_CHANGING_PASSWORD

- r, merupakan flag, diset dengan nilai ”1” jika diizinkan, dan diset

dengan nilai “0” jika tidak diizinkan. Nilai ini untuk mengaktifkan

dan menonaktifkan short timeouts.

- cccccccccccccccccccccccccc, merupakan nilai challenge, dalam

hexadesimal memiliki panjang 32 oktet. Nilai challenge wajib ada.

- vvvvvvvvvv, dalam ASCII merepresentasikan kode versi dalam

desimal. Kode dalam 10 digit. Mengindikasikan perubahan password

pada protokol versi yang disupport oleh server. Pada MSCHAPv2,

nilai ini harus selalu di set dengan 3.

44

-<msg>, merupakan text yang dapat dibaca dan dipahami

menggunakan bahasa manusia.

5. Change-Password Packet

Format paket Change-Password Packet tidak sama pada CHAP dan

MSCHAPv1. paket ini memungkinkan peer mengubah password pada

account yang telah ditetapkan pada paket response sebelumnya. Paket

ni dikirimkan oleh peer kepada authenticator apabila authenticator

melaporkan pesan (648) ERROR_PASSWD_EXPIRED. Pada paket

Failure. Format paket ini terdiri dari :

- 1 oktet, code, di set dengan nilai 7

- 1 oktet, identifier, mencocokkan antara request and replies. Nilai ini

berasal dari nilai paket failure ditambah 1

- 516 oktet password terenkripsi

- 16 oktet, hash terenkripsi

- 16 oktet peer-challenge

- 8 oktet cadangan

- 24 oktet, server response

- 2 oktet, flags.

2.5 Secure Socket Layer (SSL) / Transport Layer Security (TLS)

Secure socet layer dikembangkan oleh netscape communication corp pada

tahun 1994. SSL melindungi transmisi EAP dengan menambahkan lapisan

enkripsi pengaman. SSL tidak hanya melindungi data yang dikirim tetapi juga

45

dapat meyakinkan pihak pihak yang berkomunikasi bahwa lawan bicara mereka

dapat dipercaya (melalui penggunaan sertifikat digital).

SSL memberikan tiga keamanan diantaranya :

1. Menjadikan saluran (kanal) sebagai saluran private. Enkripsi digunakan

terhadap seluruh data setelah handshaking (protokol pembuka sebelum

terjadi pertukaran data). Jadi, data data yang dikirim melalui internet ke

tempat tujuan akan terjamin keamanannya.

2. karnel diotentikasi, server selalu diotentikasi dan klien diotentikasi untuk

menjaga keamanan data yang akan dikirimkan melalui jaringan.

3. kernel yang andal, dimana setiap data yang disadap dan dimodifikasi

saat data dikirim oleh pihak yang tidak bertanggung jawab dapat

diketahui oleh pihak yang sedang berkirim data dengan menggunakan

message integrity check.

2.5.1 Protocol SSL Record

Digunakan untuk membungkus data yang dikirim dan diterima setelah

protokol handshake digunakan untuk membangun parameter keamanan

waktu terjadi pertukaran data. Protokol SSL record membagi data yang

ada kebentuk blok blok dan melakukan kompresi dengan cara ceksum

(MAC).

46

Gambar 2.20 Format SSL Record

2.5.2 Protocol SSL Handshake

Berfungsi membangun parameter keamanan sebelum terjadinya pertukaran

data antara dua sistem. Berikut tipe tipe pesan yang dikirimkan antara klien dan

server :

47

Gambar 2.21 Handshake Protocol

Sumber : http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-

1/ssl.html

1. Client Hello Message

Untuk memulai komunikasi antara klien dan server, sisi klien terlebih

dahulu harus mengirimkan pesan client hello ke server. Isi dari pesan ini

akan memberitahukan versi, nilai acak, ID sesi, cipher yang didukung

dan metode kompresi data yang dapat digunakan/diproses oleh klien.

Sebuah pesan client hello berisikan informasi berikut:

48

a. Client_version. Bagian ini menginformasikan versi SSL paling tinggi

yang dapat dimengerti oleh klien.

b. Random. Bagian ini berisi rangkaian/kombinasi acak yang dihasilkan

oleh klien, dimana kombinasi ini nantinya akan digunakan untuk

proses komputasi kriptografi pada protokol SSL. Keseluruhan 32-

byte struktur bagian ini sebenarnya tidak sepenuhnya acak.

Melainkan, 4-byte diambil dari informasi tanggal/waktu yang

berguna untuk menghindari replay attacks.

c. Session_id. Bagian ini berisikan identifier suatu sesi SSL. Bagian ini

seharusnya tidak memiliki nilai atau kosong apabila klien ingin

menghasilkan parameter keamanan yang baru. Apabila terdapat

identifier suatu sesi, maka nilai dari bagian ini seharusnya berisi

informasi dari sesi sebelumnya.

d. Cipher_suites. Bagian ini berisi daftar kombinasi algoritma

kriptografi yang didukung oleh klien. Hal ini memberikan

kemudahan pada sisi klien, tetapi sisi server tetap menjadi penentu

akan algoritma kriptografi yang akan digunakan. Apabila server

tidak menemukan suatu pilihan dari daftar kombinasi yang diberikan

oleh klien, maka server akan memberikan respons berupa pesan

handshake failure alert dan kemudian mengakhiri koneksi tersebut.

e. Compression_methods. Sama seperti bagian cipher_suites, bagian ini

berisikan daftar kombinasi metode kompresi yang didukung oleh

49

klien. Daftar ini disusun menurut kebutuhan/konfigurasi dari klien,

tetapi sisi server yang akan memutuskan metode kompresi yang akan

digunakan. Bagian jarang digunakan pada SSLv3 dan merupakan

fitur pengembangan untuk TLSv1.

2. Server Hello Message

Setelah server menerima dan memroses pesan client hello, maka server

memiliki dua pilihan pesan yang dapat dikirim ke klien, yaitu pesan

handshake failure alert dan server hello. Isi dari pesan server hello

kurang lebih sama dengan pesan client hello. Perbedaannya adalah pada

pesan client hello berisikan daftar dukungan protokol pada sisi klien,

sedangkan pesan server hello

memutuskan/memberitahukan protokol yang akan digunakan kepada

klien. Adapun isi dari pesan server hello, yaitu:

a. Server_version. Bagian ini berisi versi protokol yang dipilih oleh

server, dimana versi ini akan digunakan seterusnya untuk

komunikasi dengan klien. Server memutuskan hal ini berdasarkan

dukungan tertinggi pada kedua pihak. Sebagai contoh, apabila klien

mendukung hingga versi SSLv3 dan server mendukung hingga versi

TLSv1, maka server akan memilih SSLv3.

b. Random. Bagian ini sama seperti yang terdapat pada sisi klien, yang

berfungsi untuk proses komputasi kriptografi pada SSL. Nilai dari

bagian ini harus bersifat independen dan berbeda dari apa yang

dihasilkan pada sisi klien.

50

c. Session_id. Bagian ini menyediakan informasi pengenal/identitas

dari sesi yang sedang berjalan. Jika nilai dari session identifier

adalah tidak kosong, maka server akan memeriksa dan mencocokan

dengan yang terdapat pada session cache. Jika ditemukan nilai yang

sama, maka server dapat membentuk sebuah koneksi baru dan

melanjutkan status dari sesi yang dimaksud.

d. Cipher_suite. Bagian ini mengindikasikan sebuah cipher suite yang

dipilih oleh server berdasarkan daftar yang diberikan oleh klien.

e. Compression_method. Sama seperti bagian cipher suite, bagian ini

mengindikasikan sebuah metode kompresi yang dipilih oleh server

berdasarkan daftar dukungan yang diberikan oleh klien

3. Server Certivicate Message

Bersamaan dengan pengiriman pesan server hello, server juga

mengirimkan sertifikat untuk proses otentikasi. Jenis sertifikat yang

umum digunakan adalah x.509v3. sertfikat ini juga digunakan sebagai

peertukaran kunci. Algoritma enkripsi yang digunakan berasal dari

pemilihan cipher dari client. Nantinya pesan ini yang akan digunakan

sebagai public key oleh client saat untuk mengencrypt pesan ke server.

4. Server Key Exchange

Pesan ini berisi efek dari pendistribusian kunci server dan algoritma

enkripsi yang akan digunakan antara server dan client.

5. Certificate Request Message

51

Pesan ini bertujuan untuk meminta sertifikat dari pihak client.

Pengiriman pesan ini menandakan dua indicator : 1. mengindikasikan

tipe algoritma yang digunakan pada sertifikat. 2. sertifikat yang diterima

adalah sertifikat yang telah diakui oleh Certivicate Authority (CA).

6. Server Hello Done Message

Pesan ini menandakan bahwa pesan server hello telah dikirim ke pihak

client. Dan server menunggu respon dari client

7. Client Certificate Message

Pesan ini adalah pesan pertama yang dikirimkan oleh client setelah

server hello done message diterima client. Dalam pesan ini client

mengirimakn sertifikat client ke server. Jika client tidak dapat

mengirimkan sertifikat yang diminta server makan server akan

memutuskan komunikasi dengan client.

8. Client Key Exchange

Pesan ini membawa kunci untuk server. Tipe algoritma kunci yang

digunakan dapat berupa RSA, atau yang lainnya.

9. Certificate Verify Message

Pesan ini dikirimkan oleh client bertujuan agar server dapat melakukan

verifikasi sertifikat client.

10. Finished Message

Pada fase selanjutnya client mengirimkan pesan yang berisi perubahan

spesifikasi cipher dibarengi dengan pengiriman pesan finished message.

Apabila server menerima pesan finished message dari client. Server

52

mengirimkan change cipher spec message dan mengirimkan finished

message. Pada fase ini handshake protocol telah sempurna dan jalur ini

selanjutnya dapat digunakan untuk transfer pesan atau data secara aman.

(Steve Burnett at all, 2004).

2.5.3 Protocol SSL Alert

Protokol ini akan memberikan tanda kondisi sudah tidak terkoneksi lagi

(jika pengirim mengirimkan pesan dan yang akan menerima sedang offline maka

pesan akan dipending sampai penerima terkoneksi lagi). SSL alert error message

bisa dilihat pada tabel 2.x berikut ini :

Tabel 2.8 Alert Error Message

Sumber : http://msdn.microsoft.com/en-us/library/dd721886%28VS.85%29.aspx

TLS or SSL alert Schannel error code

SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE

TLS1_ALERT_BAD_RECORD_MAC SEC_E_MESSAGE_ALTERED

TLS1_ALERT_DECRYPTION_FAILED SEC_E_DECRYPT_FAILURE

TLS1_ALERT_RECORD_OVERFLOW SEC_E_ILLEGAL_MESSAGE

SSL3_ALERT_DECOMPRESSION_FAIL SEC_E_MESSAGE_ALTERED

SSL3_ALERT_HANDSHAKE_FAILURE SEC_E_ILLEGAL_MESSAGE

TLS1_ALERT_BAD_CERTIFICATE SEC_E_CERT_UNKNOWN

TLS1_ALERT_UNSUPPORTED_CERT SEC_E_CERT_UNKNOWN

TLS1_ALERT_CERTIFICATE_REVOKED CRYPT_E_REVOKED

TLS1_ALERT_CERTIFICATE_EXPIRED SEC_E_CERT_EXPIRED

TLS1_ALERT_CERTIFICATE_UNKNOWN SEC_E_CERT_UNKNOWN

SSL3_ALERT_ILLEGAL_PARAMETER SEC_E_ILLEGAL_MESSAGE

TLS1_ALERT_UNKNOWN_CA SEC_E_UNTRUSTED_ROOT

TLS1_ALERT_ACCESS_DENIED SEC_E_LOGON_DENIED

TLS1_ALERT_DECODE_ERROR SEC_E_ILLEGAL_MESSAGE

TLS1_ALERT_DECRYPT_ERROR SEC_E_DECRYPT_FAILURE

TLS1_ALERT_EXPORT_RESTRICTION SEC_E_ILLEGAL_MESSAGE

53

TLS1_ALERT_PROTOCOL_VERSION SEC_E_UNSUPPORTED_FUNCTION

TLS1_ALERT_INSUFFIENT_SECURITY SEC_E_ALGORITHM_MISMATCH

TLS1_ALERT_INTERNAL_ERROR SEC_E_INTERNAL_ERROR

Default SEC_E_ILLEGAL_MESSAGE

2.5.4 Arsitektur SSL / TLS

Protokol SSL didesain untuk bisa digunakan pada provider TCP yang

dapat dipercaya layanan keamanannya. SSL tidak hanya menggunakan satu

protokol, tetapi dua layer (lapis) protokol. SSL record protocol merupakan

layanan keamanan dasar kelapisan protokol yang lebih tinggi. EAP bisa

beroperasi dengan SSL/TLS. Arsitektur dari SSL dapat dilihat pada gambar 2.22

dbawah ini :

Gambar 2.22 Arsitektur Protokol SSL

Sumber : http://technet.microsoft.com/en-us/library/Cc767139.f14-2_big%28en-

us,TechNet.10%29.gif

54

2.5.5 Sertifikat Digital

sertifikat digital adalah kunci publik dan informasi penting mengenai jati

diri pemilik kunci tersebut, seperti misalnya nama, alamat, pekerjaan, jabatan,

perusahaan, dan bahkan hash dari suatu informasi rahasia ysng ditandatangani

oleh suatu pihak terpercaya. Sertifikat digital tersebut ditandatangani oleh sebuah

pihak yang terpercaya, yaitu Certificate Authority (CA).

Gambar 2.23 Peran CA dalam penerbitan sertifikat

Sertifikat digital diterbitkan oleh CA, suatu perusahaan atau individu yang

mendaftarkan diri kepada CA baru mereka akan mendapatkan sertifikat digital.

CA bukan hanya bertugas menerbitkan sertifikat saja, tetapi juga melakukan

pemeriksaan apakah apakah sertifikat tersebut masih berlaku atau tidak, dan juga

membatalkan sertifikat atas permintaan. Dengan demikian, berarti CA juga

memiliki daftar sertifikat yang mereka buat, baik yang masih berlaku maupun

yang sudah dibatalkan. Pada sertifikat digital terdapat tanggal kadaluarsa,

sertifikat yang sudah kadaluarsa akan dihapus dari daftar CA dan masih bisa

diperpanjang.

Struktur standar dari sertifikat digital meliputi hal-hal berikut :

55

a. Version : merupakan versi dari x.509 pada versi 1 yang memiliki fasilitas

dari serial number sertifikat sampai dengan subject public key info, versi 2

ditambah dengan identitas subject yang unik, dan pada versi 3 diberi

tambahan extention dari sertifikat digital. Lihat gambar 2.x

b. Serial number merupakan bilang integer yang unik yang dibuat oleh CA.

c. Signature Algoritma identifier merupakan algoritma yang digunakan

untuk menandatangani sertifikat yang bersamaan dengan parameternya.

d. Issuer name : nama dari pembuat dan yang mengeluarkan sertifikat

e. Period of validity : batas tanggal, bulan, dan tahun sertifikat bisa

digunakan.

f. Subject name : nama yang menggunakan sertifikat atau yang memiliki

kunci private dari sertifikat tersebut.

g. Subject public key information : public key subject, identifikasi algoritma

kunci yang digunakan dan perusahaan mana yang mengeluarkan sertifikat

tersebut

h. Issuer unique identifier : identifikasi unik perusahaan

i. Subject unique identifier : digunakan untuk membedakan subject yang satu

dengan yang liannya

j. Extention meliputi pemakaian kunci, identifikasi kunci public, identifikasi

policy sertifikat, dan lainnya.

k. Signature

56

Salah satu layanan otentikasi adalah X.509 yang menyediakan layanan dan

mengatur pendistribusian serta memperbaiki informasi user. Informasi

user meliputi :

a. username

b. alamat jaringan

c. serta atribut user

X.509 merupakan suatu standar yang penting untuk menangani sertifikat

digital karena struktur dari sertifikat digital dan protokol otentikasi terdapat pada

X.509. X.509 beroperasi berdasarkan kunci publik dan tandatangan digital serta

menggunakan algortima standar seperti RSA, format dari X.509 seperti gambar

berikut :

Gambar 2.24 Format X.509

Sumber : Dony Ariyus, 2006

57

2.5.6 Enkripsi Public Key

Public key memecahkan masalah pendistribusian karena tidak diperlukan

suatu kunci untuk diditribusikan. Semua partisipan memiliki akses ke kunci

public, dan kunci private dihasilkan secara local oleh setiap partisan sehingga

tidak perlu untuk didistribusikan. Selama sistem mengontrol masing masing

private key dengan baik, komunikasi bisa menjadi komunikasi yang aman. (Dony

Ariyus, 2006)

2.5.7 Kriptografi Simetris

Kriptografi simetris adalah metode enskripsi dimana pengirim dan

penerima pesan memiliki kunci yang sama, atau dalam beberapa kasus kedua

kunci berbeda namun mempunya relasi dengan perhitungan yang mudah. Studi

modern terfokuskan pada block cipher dan stream cipher serta aplikasinya. Block

cipher adalah aplikasi modern dari Alberti’s polyphabetic cipher. Block cipher

menerima masukan berupa blok plaintext dan sebuah kunci dan kemudian

menghasilkan keluaran blok ciphertext dengan ukuran yang sama. Dikarenakan

pesan yang dikirim hampir selalu lebih panjang dari single block (blok tunggal),

maka diperlukan metode penggabungan beberapa blok.

Data Encryption Standard (DES) dan Advanced Encryption Standard

(AES) adalah contoh block ciphers yang dijadikan standar kriptografi oleh

pemerintahan Amerika Serikat. Walaupun AES telah diresmikan sebagai standar

kriptografi terbaru, namun DES, khususnya varian triple- DES, masih banyak

58

digunakan sebagai enkripsi ATM, keamanan surat elektronik (e-mail), dan secure

remote access.

Stream cipher adalah lawan dari block cipher, yakni menciptakan arus

kunci yang panjang dan sembarang (arbitrarily long stream of key) yang

dikombinasikan dengan plaintext bit-per-bit (bit-by-bit) dan karakter-per-karakter

(character-bycharacter). Pada stream cipher, arus keluaran dibangkitkan

berdasarkan keadaan internal (internal state) yang berubah-ubah seiring dengan

jalannya cipher. Perubahaan tersebut diatur oleh kunci dan dibeberapa stream

cipher diatur pula oleh plaintext cipher. RC4 dan adalah contoh dari stream

cipher.

Gambar 2.25 Kriptografi Simetris

2.5.8 Kriptografi Asimetris

Kriptografi simetris menggunakan kunci yang sama untuk enkripsi dan

dekripsi . Hal tersebut menyebabkan masalah yang signifikan, yakni kunci harus

dikelola dengan sangat aman. Idealnya setiap kelompok yang terlibat komunikasi

memiliki kunci yang berbeda. Kebutuhan akan variasi kunci meningkat, seiring

dengan pertumbuhan jaringan, sehingga membutuhkan manajemen kunci yang

59

kompleks untuk menjaga kerahasiaan tiap kunci. Masalah juga bertambah jika

antara dua kelompok yang berkomunikasi tidak terdapat saluran aman (secure

channel).

Pada tahun 1976, Whitfield Diffie dan Martin Hellman mengajukan

konsep kriptografi asimetri yang meggunakan dua kunci yang secara matematika

berhubungan satu sama lain, yakni kunci publik (public key) dan kunci pribadi

(private key). Kunci publik dibangkitkan sedemikian sehingga kunci pribadi

sangat sulit untuk dihitung, walaupun keduanya sesungguhnya berhubungan satu

sama lain.

Dalam kriptografi asimetri, kunci publik dapat secara bebas

disebarluaskan, sedangkan kunci pribadi harus senantiasa dijaga kerahasiaannya.

Kunci publik digunakan untuk enkripsi, sedangkan kunci pribadi digunakan untuk

dekripsi. Diffie dan Hellman membuktikan bahwa kriptografi asimetri adalah

mungkin dengan menerapkan protokol pertukaran kunci Diffie-Hellman. Pada

tahun 1978, Ronald Rivest, Adi Shamir, dan Len Adleman menemukan RSA,

sebuah algoritma berdasarkan kriptografi asimetri. RSA juga akan dibahas secara

mendalam pada bagian selanjutnya.

Gambar 2.26 Kriptografi asimetris

60

2.5.8.1 RSA

RSA algoritma melakukan pemfaktoran bilangan yang sangat besar. Oleh

karena itu RSA dianggap aman. Untuk membangkitkan kedua kunci, dipilih dua

bilangan prima acak yang besar. Skema yang dikembangkan oleh rivest, shamir,

dan adleman yang mengekspresikan bahwa plaintext dienkripsi menjadi blok

blok, dimana setiap blok memiliki nilai biner yang diberi simbol ”n”, plaintext

block ”m”, dan chipertext blok ”c”. Untuk melakukan enkripsi pesan ”m”, pesan

dibagi kedalam blok blok numeric yang lebih kecil dari pada ”n”. (data biner

dengan pangkat terbesar) jika bilangan prima panjangnya 200 digit, dan dapat

menambah beberapa bit o dikiri bilangan untuk menjaga agar pesan tetap kurang

dari nilai ”n”. Rumus enkripsi : C = M e mod n, dan rumus dekripsi M = C

d mod

n = (Me)d mod n = M

ed mod n.

2.6 Tools

2.6.1 freeRADIUS Server

freeRADIUS merupakan implementasi dari server RADIUS. Sebenarnya

ada banyak implementasi server RADIUS lainnya seperti Cisco CNS Access

Registrar (CAR) dan Windows Internet Authentication Service (IAS). Pemilihan

freeRADIUS adalah karena software ini berplatform open source, bersifat gratis,

performa yang stabil, dan banyak digunakan sebagai server otentikasi.

Berdasarkan hasil tim survey freeRADIUS, lebih dari 10 juta pengguna yang

menjadikan freeRADIUS sebagai server otentikasi dan lebih dari 100 juta user

yang melakukan proses otentikasi dengan menggunakan freeRADIUS.

61

FreeRADIUS juga banyak digunakan sebagai otentikasi server dalam penelitian -

penelitian yang berhubungan dengan jaringan nirkabel.

(http://freeradius.org/press/survey.html)

freeRADIUS diperkenalkan oleh Alan Dekok dan Miquel van

Smoorenburg pada bulan Agustus 2005. FreeRADIUS server merupakan

modular dan produk open-source paling populer dan paling banyak digunakan di

dunia sebagai RADIUS server yang berbasis sistem operasi UNIX. FreeRADIUS

mendukung semua protokol umum otentikasi. freeRADIUS berjalan pada

platform UNIX 32 bit dan 64 bit. freeRADIUS bersifat gratis dan dapat di

download pada alamat http://freeradius.org/download.html .

(www.freeradius.org).

freeRADIUS memiliki beberapa feature, diantaranya :

a. Performa dan Skalabilitas, freeRADIUS merupakan salah satu

server yang tercepat dan produk yang memiliki tingkat skalabilitas

yang tinggi.

b. Mendukung penerapan protokol semua EAP method termasuk

diantaranya EAP-PEAP, protokol yang sering digunakan pada

jaringan wireless Microsoft.

c. Support untuk semua jenis database yang umum digunakan (file text

seperti LDAP, SQL, dll) untuk authentication, authorization, dan

accounting dalam protokol AAA.

Disamping kelebihan kelebihan yang ada, salah satu kekurangan

freeRADIUS adalah untuk konfigurasi masih berbasis command line. Berbeda

62

dengan server IAS atau lainnya yang berbayar yang sudah berbasis Graphical

User Interface (GUI).

2.6.2 JRADIUS Simulator

JRADIUS Simulator merupakan utility / tools yang digunakan untuk

melakukan testing dan uji coba performa server RADIUS, tools ini digunakan

untuk mengirimkan pesan pesan otentikasi RADIUS secara simultan, sehingga

akan diketahui berapa banyak jumlah otentikasi yang dapat di handle oleh server

RADIUS dalam waktu tertentu. JRADIUS Simulator merupakan project dari

coova.org berplatform JAVA dan merupakan aplikasi berbasis open-source

yang stand-alone. Aplikasi ini menggunakan JRadius Client API dan di generate

dari JRadius Attributes Dictionary untuk mempermudah saat simulasi RADIUS

saat dijalankan.

JRadius Simulator memiliki karakteristik sebagai berikut :

1. menggunakan graphical user interface untuk menciptakan dan

mengirimkan paket paket RADIUS.

2. menetapkan suatu kebijakan berupa atribut apa saja yang

dikirimkan, dari apa jenis paket nya dan value yang digunakan.

3. untuk atribut RADIUS memiliki nilai nilai yang telah ditentukan,

Jradius menyediakan menu drop-down untuk kemudahan

penggunaan.

63

4. JRadius support untuk penggunaan beberapa metode otentikasi

diantaranya, PAP, CHAP, MSCHAPv2, EAP-MD5, EAP-TLS,

PEAP, dan EAP TTLS/PAP

5. JRadius memberikan kemudahan dalam memverifikasi lalu lintas

RADIUS dengan mengikuti berbagai standar, diantaranya standar

Intel IRAP

6. Aplikasi ini dapat di jalankan dan di simpan konfigurasinya, tidak

diperlukan setting ulang kembali.

Jradius dapat di-download, diekstrak dan di-run dengan dengan perintah perintah

berikut :

wget http://dev.coova.org/mvn/net/jradius/jradius-

client/1.1.3/jradius-client-1.1.3-release.zip

unzip jradius-client-1.1.3-release.zip

cd jradius

sh simulator.sh

berikut adalah screenshot dari tampilan menu menu yang terdapat pada

JRadius Simulator :

Gambar 2.27 Log pada JRadius

64

Gambar 2.28 Konfigurasi Sertifikat Client

Gambar 2.29 Konfigurasi Attribute pada JRadius

65

Gambar 2.32 Set up JRadius untuk dijalankan

66

BAB III

METODOLOGI PENELITIAN

Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi

dua, yaitu metode pengumpulan data dan metode pengembangan sistem.

Berikut penjelasan kedua metode tersebut :

3.1 Metode Pengumpulan Data

Pengumpulan data merupakan proses pengadaan data primer untuk

keperluan penelitian. Pengumpulan data merupakan proses yang penting pada

metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk

menguji rumusan hipotesis. Pengumpulan data adalah prosedur yang sistematis

dan standar untuk memperoleh data yang diperlukan (Nazir, 2005).

3.1.1 Studi Lapangan / Observasi

Metode pengumpulan data dengan melakukan pengamatan atau datang

langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata

tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Penulis

melakukan penelitian di PUSDATIN (Pusat Data dan Informasi) Fakultas Sains

dan Teknologi, Universitas Islam Negeri (UIN) Syarif Hidayatullah Jakarta, Jl. Ir.

H. Juanda no. 95 Ciputat 15412. PUSDATIN dipilih sebagai lokasi penelitian

karena ketersediaan

67

fasilitas (perangkat dan sumber daya) yang dibutuhkan untuk mendukung

proses penelitian.

3.1.2 Studi Pustaka atau Literatur

Metode pengumpulan data melalui buku atau browsing internet yang

dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses

pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan

secara online melalui internet. Referensi tersebut berasal dari dokumen dokmen

resmi RFC (Request for Comment) yang telah di standarisasikan oleh badan

standarisasi seperti IEEE dan IETF. Referensi tersebut sebagai acuan untuk

membuat landasan teori. dan referensi – referensi lainnya yang digunakan oleh

penulis dapat dilihat pada Daftar Pustaka.

Studi literatur yang penulis gunakan sebagai referensi yaitu :

Tabel 3.1 Studi Literatur

No JUDUL PENULIS TAHUN PEMBAHASAN

1. Analisis dan

Perancangan Sistem

Keamanan Jaringan

Nirkabel

Menggunakan EAP-

TLS

Ali

Mahrudi

2006 Skripsi ini menekankan

pada analisa dan

perancangan extensible

authentication protocol –

Transport Layer Protocol

(EAP-TLS) sebagai solusi

dari resiko terhadap

gangguan keamanan

jaringan nirkabel FST

UIN Jakarta . EAP TLS

merupakan protokol

802.1x mekanisme kerja

otentikasi EAP-TLS

memerlukan certificate

pada sisi client dan server

68

3.1 Metode Pegembangan Sistem

Penulis menggunakan model pengembangan sistem NDLC (Network

Development Life Cycle). Secara spesifik NDLC dan kegiatan yang dilakukan

penulis dalam penelitian ini adalah sebagai berikut :

analysis

management

monitoring

implementation

Simulation

prototyping

design

Gambar 3.1 Siklus Network Development Life Cycle

Sumber : Goldman, James E. & Rawles, 2001

Menurut (Goldman, 2001), NDLC adalah kunci dibalik proses perancangan

jaringan komputer. NDLC merupakan model mendefenisikan siklus proses

pembangunan atau pengembangan sistem jaringan komputer. Kata cycle (siklus)

adalah kata kunci deskriptif dari siklus hidup pengembangan sistem jaringan yang

menggambarkan secara eksplisit seluruh proses dan tahapan pengembangan

sistem jaringan yang berkesinambungan.

3.1.1 Tahapan Analisis

Model pengembangan sistem NDLC dimulai pada fase analisis. Dimana

pada tahap ini dilakukan proses perumusan masalah, mengidentifikasi konsep dari

69

otentikasi user terpusat dengan menggunakan protokol PEAP. Pada tahap ini

dilakukan analisis kebutuhan, analisis permasalahan yang muncul, analisa

perangkat keras dan perangkat lunak, dan analisis keamanan sistem. Dapat dilihat

pada bab 4.2

3.1.2 Tahapan Desain

Tahapan selanjutnya adalah design. Pada tahap ini, penulis membaginya

dalam dua kegiatan, yaitu: desain topologi dan desain sistem. Dari data data yang

didapatkan dari tahapan analisis, tahap perancangan ini akan membuat gambar

rancangan topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan

gambar ini akan memberikan gambaran seutuhnya kebutuhan yang ada. pada

tahap ini penulis membuat desain topologi dan sistem jaringan wireless. Topologi

yang spesifik dapat dilihat pada bab 4.3

3.1.3 Tahapan Simulasi Prototyping

Tahapan ini bertujuan untuk melihat kinerja awal dari jaringan yang akan

dibangun dan sebagai bahan pertimbangan. Sebelum jaringan benar benar akan

diterapkan. Pada tahapan ini penulis melakukan simulasi protokol PEAP dalam

network skala kecil, dimana pada tahap ini penulis dapat melihat dan meneliti

apakah protokol PEAP yang akan diterapkan mengalami keberhasilan ataukah

mengalami kegagalan. Dapat dilihat pada bab 4.4

70

3.1.4 Tahapan Penerapan (implementation)

Tahapan selanjutnya adalah implementasi, dimana hasil dari tahapan

sebelumnya diimplementasikan. Proses implementasi yang dilakukan adalah

instalasi dan konfigurasi terhadap rancangan topologi. Dapat dilihat pada bab 4.5

3.1.5 Tahapan Pengawasan (Monitoring)

Pada NDLC proses pengawasan merupakan tahapan yang penting, agar

jaringan komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan

tujuan awal dari user pada tahap awal analisis, maka perlu dilakukan kegiatan

monitoring. Tahapan ini dapat dilihat pada bab 4.6

3.1.6 Tahapan Pengaturan (Management)

Tahapan ini memiliki fungsi untuk membuat / mengatur agar sistem yang

telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsur

reliability terjaga. Dapat dilihat pada bab 4.7

3.2 Mekanisme Kerja Penelitan

Pendefinisian gambaran umum proses kerja penelitian skripsi. Penulis

mendefinisikan dan merepresentasikan metode dan alur proses penelitian, elemen-

elemen, beserta interkoneksinya satu sama lainnya yang penulis terapkan pada

penelitian skripsi ini dengan menggunakan pendekatan terhadap model NDLC

dengan menggunakan media diagram model proses berikut ini :

71

Perencanaan Penelitian

Skripsi

Perumusan & Pendefinisian

Masalah & Judul Penelitian

Perumusan Hipotesis

Jenis PenelitianMetode Pengumpulan

Data

Network Development

Life-CyclePenelitian Experimental

Identify

Analyze

Understand

Report

Studi Pustaka

Wawancara

ObservasiWaktu

penelitian

Perangkat

penelitian

Lokasi

penelitianAnanlysis

Simulation

Prototyping

Design

Implementation

Monitoring

Management

Network

Development Life

Cycle

Perumusan Kesimpulan Pembuatan Laporan

Metode Pengembangan

Sistem

Mempersiapkan

lingkungan virtual

Membangun prototipe

simulasi sistem

Perancangan sistem otentikasi

PEAP

Perancangan topologi

jaringan FST

Implementasi sistem

pendukung

Implementasi

topologi jaringan

Implementasi skema IEEE

802.1x EAP PEAP

pengelolaan Perangkat

RADIUS client

Pengelolaan

administrasi pengguna

jaringan

Pemantauan Kinerja

Server

Gambar 3.2 Mekanisme Kerja Penelitian

72

BAB IV

ANALISA DAN IMPLEMENTASI

Pada bab ini, penulis akan menjelaskan proses pengembangan sistem

keamanan jaringan dengan menerapkan protokol otentikasi protected extensible

authentication protocol (PEAP), studi kasus kendali akses dan pengamanan pada

jaringan nirkabel Fakultas Sains dan Teknologi UIN Jakarta dengan menerapkan

landasan teori dan metode penelitian yang sudah dibahas pada bab bab

sebelumnya.

Metode penelitian yang penulis gunakan adalah metode NDLC (Network

Development Life-Cycle). Dengan NDLC, siklus siklus pengembangan sistem

jaringan didefinisikan pada sejumlah fase berikut : analysis (analisis) design

(perancangan), simulation protoyping (prototipe simulasi), implementation

(implementasi), monitoring (pengamatan), dan management (manajemen).

4.1 Perencanaan

Pada tahap ini, penulis melakukan sejumlah perencanaan berupa langkah

langkah awal yang dibutuhkan untuk membangun sistem otentikasi nirkabel yang

terpusat. Persiapan ini meliputi sejumlah kegiatan berikut : pengumpulan data dan

informasi (berupa berbagai jenis referensi melalui berbagai media) dengan

menggunakan metode kepustakaan atau studi literatur (library research) dan

pengamatan terhadap ketersediaan alat dan kondisi fasilitas pendukung sebagai

73

persiapan penentuan laboratorium riset sebagai lokasi penelitian (laboratory-

based research).

4.2 Analysis (Analisa)

Metode pengembangan NDLC memulai siklus pengembangan sistem

jaringan pada tahap analisis. Pada tahap ini dilakukan analisa dengan melakukan

perbandingan komponen-komponen yang terdapat pada model yang bertujuan

untuk penulis menggunakan teknologi tersebut dalam penelitian ini. Pada tahap

ini pula penulis menganalisa serta menentukan komponen yang digunakan secara

detail.

4.2.1 Analisa Kebutuhan Sistem Keamanan EAP PEAP

Keamanan dan kendali akses merupakan isu yang banyak dibahas ketika

mengimplementasikan jaringan nirkabel. Beberapa solusi dikembangkan untuk

memenuhi akan adanya jaringan nirkabel yang aman. Namun, beberapa solusi

tersebut kurang tepat bila digunakan untuk jaringan nirkabel yang memiliki

pengguna dalam jumlah besar. Pada infrastruktur jaringan seperti ini model

pengamanan yang tepat adalah three-tier authentication model, yang terdiri dari

tiga komponen yaitu : supplicant (wireless client), authenticator (wireless access

point) dan authentication server.

Pada penelitian sebelumnya, Ali Mahrudi telah mengimplementasikan

protokol keamanan IEEE 802.1X yang diintegrasikan dengan IEEE 802.11 untuk

mengamankan jaringan nirkabel di FST. Solusi ini menggunakan protokol

74

otentikasi EAP-TLS. Protokol ini telah menjawab kebutuhan keamanan di FST.

Namun, berdasarkan analisa penulis, protokol tersebut memiliki kesulitan pada

fase implementasi. Hal ini dikarenakan, protokol EAP-TLS membutuhkan

sertifikat digital pada dua sisi, yaitu di sisi klien dan di sisi server. Hal ini akan

menyulitkan pada tiga fase pengembangan jaringan, yaitu fase implementasi awal,

administrasi pengguna dan pembuatan security policy atau kebijakan keamanan.

Pada penelitian ini, penulis mengajukan protokol PEAP untuk

menggantikan EAP-TLS. Dari sisi mekanisme otentikasi, PEAP memiliki banyak

kesamaan desain dengan EAP-TLS. Keduanya menggunakan protokol TLS untuk

mengamankan semua pertukaran pesan dan komunikasi EAP. Namun, PEAP

menggantikan otentikasi pada sisi klien dengan menggunakan kombinasi

username dan password. Dari sisi mobilitas, PEAP juga lebih baik daripada EAP-

TLS karena pengguna dapat mengakses menggunakan PC atau notebook lainnya

untuk terkoneksi ke jaringan selama pengguna tersebut memiliki akun yang sah.

Sedangkan EAP-TLS hanya dapat digunakan pada PC atau notebook pengguna

yang telah terinstall sertifikat digital yang diberikan oleh network administrator.

Perbandingan antara EAP TLS dan PEAP dapat dilihat pada tabel 4.1.

Tabel 4.1 Perbandingan EAP TLS dan PEAP

Sumber : TTLS and PEAP Comparison, Matthew Gast

Perbandingan Jenis Otentikasi

EAP TLS PEAP

Spesifikasi RFC 2716 Internet – Draft 3 / 2003

Client implementations

Cisco, Funk,

Meetinghouse, Microsoft,

Open1X (open source)

Cisco, Microsoft, Funk,

Meetinghouse

75

Supported client platforms

Linux, Mac OS

X,Windows 95/98/ME,

Windows NT/2000/XP,

Mac OS X

Linux, MacOS X,

Windows

Authentication server

implementations

Cisco ACS, Funk

Odyssey, Interlink

Secure.XS, Meetinghouse

AEGIS, Microsoft IAS,

FreeRADIUS

Cisco ACS, Microsoft IAS,

Interlink Secure.XS,

Meetinghouse, Funk,

FreeRADIUS

Basic protocol structure

Sesi pembentukan jalur TLS

dan validasi sertifikat client

dan server

Terdapat dua fase :

1. pembentukan jalur

TLS anatara client

dan server PEAP

2. menjalankan inner

EAP didalam tunnel

TLS

Fast session reconnect Tidak Ya

Standard Terbuka Terbuka

Key Material Ya Ya

Mutual Authentication Ya Ya

Informasi Otentikasi Supplicant : sertifikat

Server : sertifikat

Supplicant : username-

passsword

Server : sertifikat

Proteksi terhadap identitas

pengguna Tidak Ya

4.2.2 Analisa Komponen Komponen

Setelah menentukan protokol otentikasi user terpusat yang akan

digunakan, yaitu jenis EAP PEAP. maka kegiatan selanjutnya adalah menganalisa

dan menentukan komponen-komponen yang akan digunakan.

Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat

Sistem Keterangan

Sitem otentikasi user

terpusat

Sistem otentikasi user terpusat berperan sebagai data

atau daftar user dan administrator yang ada, yang

diberikan izin akses ke sistem atau jaringan.

76

Tabel 4.3 Spesifikasi Software

No Software Versi Keterangan

1 Ubuntu 10.10 Sistem operasi digunakan sebagai OS yang

diinstall Ubuntu untuk otentikasi user

terpusat.

2 Windows 7 7 Untuk sistem operasi client / user

3 Ubuntu 10.10 Untuk sistem operasi komputer sniffer

4 freeRADIUS 2.1.10 Software yang digunakan untuk

memberikan layanan dan pengolahan

otentikasi/ hak akses user / pengguna

5 MySQL

5.1 Aplikasi yang digunakan untuk menyimpan

dan mengelola database user secara

terpusat

6 XAMPP Linux Sebagai web server

7 aircrack-ng 1.1 Software yang digunakan untuk uji coba

serangan pada jaringan wireless

8 Wireshark 1.0.4 Software yang digunakan untuk meng-

Capture paket PEAP dan paket data yang

ditransmisikan

9 JRADIUS

Simulator

1.3 Sebagai Simulator untuk membangkitkan

request otentikasi secara simultan.

10 daloRADIUS 0.9.8 Merupakan web based interface yang

digunakan dalam manajemen user.

11 Cacti

0.8.7 Berfungsi untuk mengawasi user yang

memakai jaringan. dan memantau beban

pada server

Tabel 4.4 Spesifikasi Hardware

N

o

Perangkat Spesifikasi Jumla

h

Keterangan

1 Komputer

Server

AAA /

RADIUS

server

Prosesor :

Core2Duo 2,2 GHz

RAM : 2 GB

Harddisk : 250 GB

LAN Card :

Realtek RTL8168B

WLAN Card :

Atheros AR9285

1 Digunakan sebagai server

otentikasi terpusat

menggunakan FreeRADIUS,

serta manajemen dan

pengelolaan database user

yang terpusat.

2 Access Point

(AP)

WRT54GL

Prosesor :

Broadcom

BCM5352 @ 200

2 Sebagai access server /

device yang menghantarkan

paket EAP antara client dan

server otentikasi

77

MHz

RAM : 16 MB

Flash : 4 MB

4 Komputer

Client

Prossesor :

Core2Duo T5800

2,0GHz

RAM : 3 GB

Harddisk : 250 GB

WLAN card :

Broadcom 802.11 g

Fungsi : client

terotentikasi

1

Digunakan sebagai komputer

client yang terotentikasi dan

memiliki hak akses.

5 Komputer

Penyadap

Prossesor : Intel

Core Duo T2250

1.6GHz

RAM : 1 GB DDR2

Harddisk : 120 GB

WLAN card :

Integrated

802.11b/g

1

Digunakan sebagai komputer

/ pengguna yang tidak

terotentikasi / sniffer

4.2.3 Analisa Mekanisme PEAP

Proses otentikasi protokol EAP-TLS dan protokol PEAP MSCHAPv2

memiliki beberapa tahapan yang sama, tahapan tersebut yaitu pada saat terjadinya

pembentukan jalur komunikasi dengan menggunakan tranport layer security

(TLS). PEAP dalam fase awal pembentukan jalur komunikasinya menggunakan

handshake protocol, dimana handshake protokol merupakan bagian dari proses

pembentukan jalur protokol TLS. Berikut adalah mekanisme PEAP :

78

EAPOLEAP over RADIUS

Supplicant

(EAP peer)Authenticator

AAA Server

EAP type X exchange

EAPOL Start

EAP response / user ID

Server hello complete

EAP response / client Hello

EAP request identity

EAP request,

PEAP start

RADIUS access challenges /

EAP request, PEAP start

RADIUS access request

EAP request / server Hello

Sertifikat server / key exchange request

Change cipher spec

EAP success

EAP request identity

EAP request identity - type X

CSK

EAP success

EAP success

Sertifikat client / key exchange verify

Complete / TLS handshake done

Tunneled identity response

Tunneled response for EAP type X

EAP request (crypto binding)

EAP response

AP memblok semua request sampai proses

otentikasi komplit / selesai

CA

User database

Transmisi Data diproteksi

Wpa key management

Fase 1 :

PEAP

Fase 2 :

PEAP

Gambar 4.1 Proses Otentikasi PEAP MSCHAPv2

Proses otentikasi PEAP terjadi dalam dua tahapan :

1. Fase pertama menggunakan EAP dan jenis PEAP EAP untuk membuat

sebuah channel TLS.

79

2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk

mengotentikasi akses ke jaringan. dalam hal ini EAP yang digunakan

adalah MSCHAPv2.

Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan

perangkat access point yang memanfaatkan RADIUS server untuk melakukan

proses transaksi paket paket PEAP - MSCHAPv2 sebagai berikut :

Pembuatan channel TLS :

1. Asosiasi dan Meminta Identitas

Ketika sebuah client wireless berasosiasi dengan access point, client akan

mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point

memproeses penerimaan pesan EAP-start, access point akan mengirimkan

sebuah pesan EAP-Request/Identity ke client wireless.

2. EAP-Response/Identity

Jika tidak terdapat user yang logon melalui client wireless, access point

akan mengirimkan sebuah EAP-Response/identity yang berisi nama

komputer. Untuk client windows yang dikirim berupa FQDN (Fully

Qualified Domain Named) dari account komputer.

Jika terdapat user yang logon, access point akan mengirimkan EAP-

Response identity yang berisi username. Dalam proses PEAP, username

yang dikirimkan berupa anonim. Access Point akan melewatkan pesan

Response/identity ke server RADIUS dalam bentuk RADIUS access

request. Berikut hasil capture paket ini dengan menggunakan tools

wireshark.

80

Gambar 4.2 Capture paket EAP Response Identity

Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client,

berisi anonim dengan panjang paket 11 byte.

3. EAP-request dari Server RADIUS (TLS dimulai)

Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge

yang berisi sebuah pesan EAP-request dengan jenis EAP yang digunakan

pada proses TLS, permintaan ini menunjukkan bahwa proses otentikasi

TLS dimulai.

Gambar 4.3 Capture Paket EAP Request-TLS start

Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server

otentikasi, yang menandakan bahwa fase TLS dimulai. Tipe otentikasi

yang digunakan adalah PEAP. Panjang paket ini adalah 6 byte.

4. EAP-Response dari Client wireless (paket Hello TLS client)

Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP

yang digunakan, hal ini dikenal dengan proses pengiriman paket hello

TLS. Access Point akan melewatkan pesan EAP ke server RADIUS dalam

81

bentuk pesan RADIUS access-request. Berikut hasil capture paket hello

TLS client.

Gambar 4.4 Capture Paket Hello-TLS client

Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client,

berisi paket client hello. Paket ini membawa atribut : random session ID,

cipher suites, metode compression. dengan panjang paket 116 byte.

5. EAP request dari Server RADIUS (sertifikat milik RADIUS)

Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge

yang berisi pesan EAP request dengan jenis EAP yang digunakan pada

PEAP dan berisi rangkaian server hello, sertifikat dari RADIUS server,

dan pesan server hello done. Access point melewatkan pesan EAP ke

client. Berikut hasil capture paket sertifikat server.

82

Gambar 4.5 Capture Paket EAP Request Sertifikat Server

Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server,

berisi paket server certificate dan paket server hello done. panjang paket

ini adalah 1024 byte.

6. EAP-Response dari client wireless

Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat

dari client wireless. Access point melewatkan pesan EAP tersebut ke

server RADIUS. Pada PEAP sertifikat pada sisi client tidak dikirim.

Selanjutnya paket yang akan dikirim adalah client key exchange dan

change cipher spec. berikut hasil capture paket tersebut.

83

Gambar 4.6 Capture Paket EAP Response-Client Key Exchange

Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client,

berisi paket client key exchange dan paket change cipher spec. panjang

paket ini adalah 336 byte.

7. EAP-Request dari server RADIUS (bentuk cipher, TLS lengkap)

RADIUS mengirimkan sebuah pesan RADIUS access challenge / paket

EAP request yang berisi sebuah pesan EAP request yang berisi cipher

suite dan sebuah indikasi yang menyatakan pertukaran pesan pada

otentikasi TLS telah selesai dilakukan. Access point melewatkan pesan

EAP ke client.

84

Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS

complete

Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server,

berisi paket change cipher. panjang paket ini adalah 65 byte. Server

8. EAP-Success dari server RADIUS

Server RADIUS memperoleh unicast session key dari proses otentikasi

TLS. Pada fase ini jalur TLS telah terbentuk dan siap digunakan untuk

fase selanjutnya.

Diakhir negosiasi PEAP, server RADIUS mengotentikasi dirinya ke client.

Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS dengan

menggunakan public key, dan bukan password. Semua rangkaian pesan EAP

dikirim diantara client dan server RADIUS secara terenkripsi.

Setelah jalur PEAP-TLS dibuat, langkah berikut yang digunakan untuk

mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2

Otentikasi menggunakan MSCHAPv2 :

85

Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara

clear text, karena paket paket tersebut sudah berada pada jalur TLS yang

terenkripsi.

1. Server RADIUS mengirimkan pesan EAP-request / identity

Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2

2. Client merespon dengan pesan EAP-Response / identity yang berisi

identitas (nama user/nama komputer) dari client

Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2

3. Server RADIUS mengirimkan sebuah EAP-request /EAP-ms-chap v2

challenge yang berisi serangkaian string challenge

86

Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge

4. Client merespon dengan pesan EAP-response/EAP-ms-chap v2 Response

yang berisi Response (jawaban) string challenge untuk server RADIUS

Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response

5. Server RADIUS menerima pesan EAP request/ EAP-ms-chap v2 success.

Yang mengindikasikan jawaban dari client adalah benar dan berisi

response challenge string ke client

Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success

87

6. Client merespon dengan pesan EAP response/EAP-ms-chap v2 ack,

mengindikasikan bahwa respon dari server RADIUS adalah benar.

Gambar 4.13 Capture Paket EAP response/EAP-ms-chap v2 ack

7. Server RADIUS mengirimkan sebuah pesan EAP success

Gambar 4.14 Capture Paket EAP Success

Akhir dari proses saling mengotentikasi ini adalah client dan server

RADIUS dapat membuktikan kebenaran password yang digunakan dan

pertukaran terjadi didalam jalur yang terenkripsi oleh jalur TLS.

Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci

MK (master session key) Kunci MK akan menghasilkan kunci PMK yang akan

berubah secara dinamis yang akan di gunakan bersama oleh access point dan

client pada proses enkripsi WPA dalam metransmisikan data nya. Proses

distribusi kunci ini disebut 4 way handshake.

Performa PEAP dipengaruhi dengan jumlah transaksi pengiriman pesan

EAP Request dan EAP response, jumlah transaksi ini terdiri dari beberapa round-

trip. Round-trip adalah jumlah satu kali paket request dan paket response antara

88

supplicant dan server PEAP. Berikut adalah data paket paket PEAP dalam satu

kali proses otentikasi nya.

Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses

Urutan

Pesan Sumber Nama Pesan

PEAP MSCHAPv2

Ukuran Paket

(byte)

Total Waktu

(milisecond)

1. client identity 194 0.00

2. server PEAP-start 119 0.767

3. client Client -Hello 178 0.729

4. server

1.server-hello

2.certificate

3. server key exchange

3.server hello done

1132 20.869

5. client Response-peap version 112 1.480

6. server

1.Server-hello

2.certificate

3. server key exchange

3.server hello done

1087 0.221

7. client

1. client key exchange

2. change cipher spec

3. encrypted handshake

message

262 27.916

8. server

1. change cipher spec

2. encrypted handshake

message

165 8.708

9. client Resonse-type 112 1.605

10. server Encrypted Application

data 143 0.344

11. client Encrypted Application

data 202 1.744

12. server Encrypted Application

data 159 0.321

13. client Encrypted Application

data 266 6.719

14. server Encrypted Application

data 191 0.889

15. client Encrypted Application

data 186 2.001

16. server Encrypted Application

data 143 0.496

17. client Encrypted Application

data 234 1.870

18. server EAP-Success 208 0.534

Total client 1746 77.213

89

server 3347

4.3 Design (Perancangan)

Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem

yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk

menghasilkan spesfikasi rancangan sistem yang akan dibangun. Penulis membagi

proses perancangan menjadi :

4.3.1 Perancangan Topologi

Pada tahap ini, penulis menentukan topologi dari simulasi dari penerapan

protokol PEAP yang akan dibangun dan mendefinisikan parameter – parameter

konfigurasi yang dibutuhkan untuk menjamin sistem keamanan jaringan yang

akan dibangun dapat berjalan dengan baik. Pada tahap ini dirancang suatu skema

implementasi infrastruktur PEAP-MSCHAPv2 dengan hasil sebagai berikut :

DB Server

FR Server

Client 1

Client 3

Client 2

AP 1

AP 3

AP 2

internet

Gambar 4.15 Perancangan Topologi PEAP

90

Rincian keterangan dari gambar rancangan topologi sistem jaringan

nirkabel diatas adalah sebagai berikut :

1. Jenis topologi yang ditrapkan adalah mode jaringan nirkabel

infrastruktur

2. seluruh alamat IP client dan access point yang digunakan

menggunakan kelas C (subnet-mask 255.255.255.0); direpresentasikan

dengan format CIDR (/24).

3. pada segmen jaringan terdapat :

a. Client : mendefinisikan client dari WLAN internal.

b. Server : mendefinisikan dan merepresentasikan mesin server

pada sistem jaringan komputer

c. Access point (AP) : mendefinisikan sebagai device yang

menjadi perantara antara komunikasi berbasis kabel dan udara

Hasil dari pembangunan sistem ini adalah sistem keamanan jaringan

nirkabel yang secure dan mudah untuk di implementasikan serta sistem ini dapat

melakukan proses otentikasi secara terdistribusi. Penggunaan sertifikat digital

pada sisi client pada protokol EAP-TLS dirubah dengan menggunakan kombinasi

username dan password. Topologi PEAP yang dirancang ini akan

diimplemetasikan pada jaringan nirkabel FST UIN. Berikut adalah topologi

jaringan wireless FST UIN saat ini :

91

internet

internet

Lantai 3

Pusdatin FST UIN

Jurusan / Prodi

Email

serverportal E - learningRADIUS

server

File sharing

FTP

Lantai 2

Dekanat Fakultas

Lantai 4

International Class

Jaringan UIN

Jakarta

Lantai 1

Distribution Layer

Access Layer

FSH UIN Jakarta

Core Layer

Gambar 4.16 Topologi Jaringan Nirkabel FST UIN Jakarta

Secara umum jaringan UIN menggunakan pemodelan Cisco system yaitu

three-tier Layer Hierarichical Design yang terdiri dari core layer, distribution

layer, dan access layer. Pada Fakultas Sains dan Teknologi UIN Jakarta, Jaringan

WLAN diterapkan pada lantai 2 dengan akses point berjumlah 2 buah AP, lantai 3

dengan akses point berjumlah 4 buah AP, dan lantai 4 berjumlah 2 buah AP.

92

Masing masing akses point seluruhnya dihubungkan kedalam jaringan LAN dan

dikonfigurasikan didalam Pusat Data dan Informasi (PUSDATIN) FST UIN.

Didalam PUSDATIN terdapat 6 buah server aktif, salah satu diantaranya server

tersebut digunakan sebagai server otentikasi dengan menggunakan RADIUS.

Untuk menghubungkan akses point dan server otentikasi menggunakan IP kelas

B, 172.27.1.2 sedangkan pada sisi client di set dengan menggunakan IP dinamis /

DHCP dengan IP kelas C. Berikut penggunaan IP untuk masing masing akses

point dan server RADIUS.

Tabel 4.6 Alamat IP Jaringan Nirkabel FST UIN Jakarta

No Lokasi Lokasi Kelas IP IP

1. RADIUS Server

(Pusdatin) PUSDATIN B 172.27.1.2

2 AP Lantai 2 Dekanat FST C 192.168.x.x

3 AP Lantai 2 Ruang Sidang C 192.168.x.x

4 AP Lantai 3 PUSDATIN C 192.168.x.x

5 AP Lantai 3 Prodi TI/SI C 192.168.x.x

6 AP Lantai 3 Prodi Agribisnis C 192.168.x.x

7 AP Lantai 3 Prodi Biologi C 192.168.x.x

8 AP Lantai 4 Prodi International

Program TI/SI C 192.168.x.x

9 AP Lantai 4 Lobi C 192.168.x.x

10 Client Mobile Lantai 2, 3, dan 4 FST C

Range :

192.168.1.2 -

192.168.1.254

93

4.3.2 Perancangan Sistem

Setelah rancangan topologi jaringan dibuat, langkah selanjutnya adalah

membuat rancangan sistem sistem baru yang akan dibangun dan

diimplementasikan, yang akan menjadi solusi berbagai rumusan permasalahan.

Penulis menggunakan diagram alur untuk menggambarkan dan mendefinisikan

alur koneksi fungsionalitas sistem yang akan penulis bangun, sehingga dapat

dengan jelas diidentifikasi dan dipahami dengan lebih mudah. Gambar 4.20

menspesifikasikan diagram alur dari sistem otentikasi PEAP MSCHAPv2.

CLIENT ACCESS POINTSERVER OTENTIKASI/

SERVER RADIUS

MULAI

input

Username -

password

mem-forward

paket username-

password ke

server RADIUS

Memproses dan

Mencocokkan

dengan database

Database User

User terdaftar di

database ?

Server mengirimkan

paket access accept ke

Access point

Server mengirimkan

paket access reject ke

Access point

YA

TIDAK

Memproses paket

dari server

User

terotentikasi ?Connected

disconnect

selesai

selesai

YA

TIDAK

Gambar 4.17 Perancangan Sistem PEAP

Keterangan dari simbol simbol diatas adalah sebagai berikut :

94

Tabel 4.7 keterangan simbol diagram alur

Model Simbol Keterangan

Terminal

Mendefinisikan awal atau akhir proses

Manual input

Mendefinisikan input data secara

manual

Process,

report

Mendefinisikan suatu kegiatan yang

terjadi atau hasil dari kegiatan tersebut.

decision

Mendefinisikan kondisi pilihan dari

sejumlah kemungkinan dari suatu proses

tertentu

Stored data

Mendefinisikan data yang tersimpan

pada suatu sistem atau media

penyimpana, untuk nantinya dapat

dimanfaatkan oleh proses atau sistem

lain

Display

Mendefinisikan output dalam layar /

display

Sequence Urutan terjadinya proses-proses

Diagram alur diatas dapat dijelaskan sebagai berikut :

1. Saat client ingin bergabung dan masuk kedalam jaringan, client

diwajibkan untuk melakukan input kombinasi username dan password.

2. Data username dan password tersebut akan diterima oleh access point

. oleh access point data tersebut tidak diproses oleh AP melainkan di-

forward ke server otentikasi

95

3. Oleh server otentikasi, data username dan password tersebut

dicocokkan dengan data username dan password yang tersimpan

didalam database nya .

4. Jika ditemukan kecocokan data, maka server otentikasi akan

mengirimkan paket RADIUS access accept. Paket ini selanjutnya

dikirimkan ke access point

5. Namun jika tidak ditemukan kecocokan, maka server otentikasi

mengirimkan paket RADIUS access reject. Paket ini selanjutnya juga

akan dikirimkan ke access point

6. Oleh access point paket yang diterima dari server otentikasi akan

diproses untuk memutuskan apakah client dapat terkoneksi dan

bergabung kedalam jaringan ataukah tidak. Jika paket yang diterima

oleh access point adalah access accept. Maka AP akan memberikan

hak akses kepada client untuk masuk kedalam jaringan.

7. Jika paket yang diterima oleh AP dari server otentikasi adalah paket

RADIUS access reject. Maka AP akan memblok dan meminta input

username dan password kembali kepada client.

4.4 Simulation Prototyping (Prototipe Simulasi)

Pada tahap ini penulis membangun prototipe dari sistem baru yang akan

dibangun dan diimplementasikan pada lingkungan WLAN dengan menggunakan

server virtual pada lingkungan virtual. Simulation prototyping

mendemonstrasikan fungsionalitas sistem yang akan dibangun.

96

Penulis menggunakan Virtual Box versi 3.1.6 r59338 untuk

memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase

pembangunan prototipe, dimaksudkan untuk memenuhi sejumlah tujuan :

1. Menjamin efektivitas fungsionalitas dari interkoneksi antar komponen

sistem

2. Memperkecil resiko kegagalan saat proses pembangunan dan

implementasi sistem pada lingkungan nyata.

3. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi

perancangan sistem dan sudah menjadi solusi dari rumusan

permasalahan

4. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan,

pembangunan dan implementasi tidak menganggu dan tidak

mempengaruhi lingkungan sistem nyata.

4.4.1 Simulasi Kinerja Server AAA

Pada tahapan simulasi bertujuan untuk melalukan ujicoba terhadap

infrastruktur AAA (Authentication, Autoritation, Accounting) yang akan

digunakan oleh klien pada saat otentikasi. Selain itu, tahapan ini bertujuan untuk

mengetahui kinerja dari server AAA dalam menyelesaikan setiap

transaksi/komunikasi.

Pada fase ini, penulis menggunakan aplikasi RADIUS JRADIUS

Simulator yang dapat membangkitkan paket-paket atau pesan-pesan RADIUS

yang nantinya akan dikirimkan ke RADIUS server. Dari sisi server RADIUS,

97

pesan-pesan akan terlihat sama dengan pesan-pesan yang diterima dari perangkat

yang sebenarnya, yaitu authenticator dalam hal ini adalah wireless access point.

Aplikasi JRADIUS Simulator akan menggantikan komponen supplicant

dan authenticator dari sebuah infrastruktur AAA. JRADIUS Simulator

membangkitkan pesan-pesan RADIUS yang identik dengan pesan yang dikirim

dalam komunikasi yang sebenarnya. Dengan menggunakan sistem ini maka

proses simulasi dapat mengirimkan pesan/paket otentikasi dalam jumlah yang

banyak dalam satu waktu. Hal ini bertujuan untuk mengetahui batas kemampuan

server RADIUS dan bagaimana kondisi server RADIUS pada saat beban puncak.

Hal ini juga nantinya dapat menjadi parameter yang perlu dipertimbangkan pada

saat proses upgrade jaringan.

Berikut screenshoot dari setting dan konfigurasi JRADIUS Simulator,

Simulator ini dijalankan pada komputer selain server RADIUS.

Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS, shared secret, dan

authentication protocol

98

Berikut parameter yang akan disetting untuk melakukan simulasi ini,

1. Transport : protokol yang diset adalah UDP. Karena protokol yang

berjalan pada RADIUS adalah protokol UDP.

2. RADIUS server : memasukkan alamat IP RADIUS server yang akan di

lihat performanya. Dalam testing simulasi ini alamat IP yang dimasukkan

adalah 192.168.1.10 yang merupakan alamat IP server RADIUS pada

tahap simulasi.

3. Shared Secret : merupakan kunci yang digunakan untuk komunikasi antara

server RADIUS dengan Access Point. Shared secret yang diinput adalah

”testing123”.

4. Auth port dan acct port : merupakan port otentikasi dan pendaftaran akun

pengguna. port yang digunakan adalah 1812 dan 1813.

5. Send Time out : merupakan waktu tunggu yang digunakan untuk mengirim

ulang paket request ke server RADIUS. Secara default field ini di set

dengan nilai 10 second.

6. Send retries : jika paket request yang dikirimkan selama waktu yang

disetting tidak direspon maka jRADIUS simulator akan mengirim ulang

paket tersebut.

7. Requester Threads : merupakan jumlah request per thread

8. Request per thread : merupakan jumlah paket yang akan dikirim dalam

satu thread

9. Simulation type : setting dengan jenis Auth only

99

10. Authentication Protocol: merupakan jenis protokol otentikasi yang akan

digunakan. Setting dengan jenis tipe otentikasi PEAP

11. Verify Standard : none

Gambar 4.19 Setting Atribut Username dan Password

12. Kemudian setting pada tab attributes, masukkan parameter berupa

username kemudian centang access req dan input nilai attribute value

“sqltest”

13. Lalu masukkan attribute user-password, kemudian centang access req dan

input attribute value ”testpwd”

Selanjutnya melakukan simulasi dengan menekan tombol start. Pada

tahapan simulasi ini terlihat jumlah paket request otentikasi yang dapat di-handle

oleh server RADIUS sebanyak 62,86 request / second.

Gambar 4.20 Hasil Simulasi Jradius Simulator

100

4.5 Implementasi

Setelah selesai melakukan tahapan simulasi, penulis kemudian

mengimplementasikan solusi ini pada perangkat yang sebenarnya. Pengaturan

yang dilakukan adalah pada dua komponen yaitu supplicant dan authenticator.

Pada sisi authenticator, perangkat ini harus mengetahui alamat IP dari server

RADIUS dan kombinasi shared secret yang digunakan untuk dapat

berkomunikasi dengan server RADIUS tersebut. Sedangkan pada sisi supplicant,

perangkat ini terlebih dahulu diinstall sertifikat digital untuk CA atau sertifikat

digital dari server RADIUS. Hal ini bertujuan, agar supplicant terhindar dari

serangan rogue access point dan rogue RADIUS server, sehingga informasi

username dan password pengguna tidak jatuh ke pihak yang tidak sah.

Sertifikat digital ini memastikan bahwa supplicant terkoneksi dan

melakukan otentikasi ke server RADIUS yang sebenarnya. Mekanisme ini juga

disebut dengan server authentication. Setelah konfigurasi pada supplicant dan

authenticator selesai dilakukan, maka pengguna telah dapat mengakses jaringan

nirkabel menggunakan akunnya masing-masing. Adapun tampilan yang akan

terdapat pada sisi pengguna adalah seperti yang terlihat pada gambar 4.32

(windows 7), gambar 4.33 (windows XP), dan gambar 4.34 (ubuntu 10.10).

Gambar 4.21 tampilan input username dan password pada sisi client windows 7

101

Gambar 4.22 tampilan input username dan password pada sisi client windows XP

Gambar 4.31 tampilan input username dan password pada sisi client Ubuntu

10.10 desktop

Proses implementasi meliputi beberapa tahap-tahapan berikut ini:

102

4.5.1 Instalasi Server RADIUS

Server RADIUS merupakan server AAA yang bertugas untuk menangani

proses otentikasi, otorisasi, dan accounting. Dalam penelitian kali ini, penulis

mengimplementasikan server RADIUS dengan menggunakan aplikasi

FreeRADIUS. Berikut perintah untuk menginstal aplikasi freeRADIUS. Tahapan

instalasi freeRADIUS secara lengkap dapat dilihat pada halaman lampiran 1.

# apt-get update

# apt-get install freeradius

Aplikasi freeRADIUS berbasis command-line, semua perintah dan konfigurasi

aplikasi ini berbasis teks. Berikut perintah untuk mengaktifkan aplikasi ini :

# freeradius start

Untuk menjalankan freeRADIUS dalam mode debug :

# freeradius –X

Saat mode debug, freeRADIUS siap digunakan setelah menyatakan ready to

process request, berikut tampilan nya :

Gambar 4.24 mode debug freeRADIUS

4.5.2 Pembuatan Sertifikat Digital

Sertifikat ini nantinya akan didistribusikan kepada setiap client yang

terdaftar untuk melakukan koneksi kedalam jaringan. Hal ini bertujuan, agar

supplicant terhindar dari serangan rogue access point dan rogue RADIUS server.

103

sertifikat yang dibuat adalah sertfikat CA, sertifikat ini akan didistribusikan

kepada para masing masing pengguna/client. Berikut konfigurasi pembuatan

certifkat. Selengkapnya dapat dilihat pada Lampiran 2.

mkdir CA

mkdir CA/signed_certs

mkdir CA/private

chmod 700 CA/private

cp /etc/ssl/openssl.cnf /home/arief/CA/

nano /home/arief/CA/openssl.cnf

dir = /home/arief/CA

certs = $dir/

new_certs_dir = $dir/signed_certs

4.5.3 konfigurasi server RADIUS

setelah menginstall aplikasi freeRADIUS, terdapat file konfigurasi yang

di akan di setting, yaitu :

a. konfigurasi eap.conf

bertujuan untuk mengaktifkan protokol EAP, Selengkapnya dapat dilihat

pada Lampiran 3. berikut settingannya :

#nano EAP.conf

Selanjutnya menyesuaikan data berikut :

TLS {

certdir = /home/arief/CA2 [arahkan ke dir

CA]

cadir = /home/arief/CA2

private_key_password = qwerty

private_key_file = ${certdir}server_key.pem

CA_file = ${cadir}/cacert.pem

dh_file = ${certdir}/dh [diffie halffman]

random_file = ${certdir}/random

}

}

104

b. Konfigurasi sql.conf

melakukan setting dan konfigurasi database, berikut settinganya :

sql {

database = "mysql"

driver = "rlm_sql_${database}"

server = "localhost"

port = 3306

login = "radius"

password = "radpass"

radius_db = "radiusdb"

acct_table1 = "radacct"

acct_table2 = "radacct"

postauth_table = "radpostauth"

authcheck_table = "radcheck"

authreply_table = "radreply"

groupcheck_table = "radgroupcheck"

usergroup_table = "radusergroup"

sqltrace = no

sqltracefile = ${logdir}/sqltrace.sql

num_sql_socks = 5

connect_failure_retry_delay = 60

lifetime = 0

nas_table = "nas"

$INCLUDE sql/${database}/dialup.conf

}

c. Konfigurasi clients.conf

file ini bertujuan untuk melakukan konfigurasi berupa penambahan

maupun pengurangan client baru, yang dimaksud client disini adalah

Access point.

client 192.168.1.11 {

secret = testing123

shortname = simulator

nastype = other

}

4.5.4 Konfigurasi Access Point

Pada Access point dilakukan Setting alamat IP, mengubah security mode

menjadi WPA enterprise dan setting nama SSID. Selengkapnya dapat dilihat

pada Lampiran 7.

105

4.5.5 Instalasi Sertifikat CA pada Client

Tahapan instalasi ini dapat dilihat selengkapnya pada Lampiran 8

4.5.6 Instalasi Database Server

Aplikasi database server yang digunakan adalah MYSQL, berikut adalah

perintah untuk melakukan instalasi database MYSQL, lebih lengkapnya dapat

dilihat pada lampiran x.

# apt-get update

# apt-get install mysql-server

4.5.7 Konfigurasi Database Server

Konfigurasi database menggunakan phpmyadmin, berikut screenshot konfigurasi

database.

Gambar 4.25 Konfigurasi database dengan phpmyadmin

4.6 Monitoring (Pengawasan)

Tahapan monitoring berguna untuk memantau beban pada server.

Penggunaan kriptograpi pada protokol otentikasi akan menambah proses

komputasi pada sisi server setiap kali pengguna meminta akses ke jaringan. Proses

106

monitoring juga berguna untuk mengetahui kapasitas server yang digunakan dan

jumlah pengguna yang dapat ditangani dalam satu satuan waktu tertentu. Adapun

sumber daya yang akan dipantau adalah penggunaan CPU, RAM dan trafik pada

jaringan. Gambar 4.33 menggambarkan perbedaan beban server untuk 1, 20, 30,

dan 40 proses otentikasi.

Gambar 4.26 Perbandingan beban Server berdasarkan jumlah request otentikasi

Pada tahap ini penulis juga melakukan sebuah monitoring dengan

menggunakan tools Cacti.

107

Gambar 4.27 Jumlah paket authentication request

Pada gambar diatas terlihat bahwa sistem memroses paket authentication

request rata-rata 3 paket/detik dengan nilai maksimum adalah 7 paket/detik.

Dengan total paket authentication Response 3 paket/detik dan nilai maksimum 7

paket perdetik. Akses yang ditolak sebanyak 2 paket authentication dan nilai

maksimum 4 paket / detik

Gambar 4.28 Jumlah paket accounting request

Pada gambar diatas terlihat bahwa sistem memroses paket accounting

request rata-rata 4 paket/detik dan nilai maksimum adalah 10 paket/detik. Begitu

108

pula pada proses accounting response, rata-rata 4 paket /detik dan nilai maksimum

10 paket/detik

4.6.1 Pengujian Sistem

Untuk Membuktikan sistem otentikasi PEAP aman dimana data yang

ditransmisikan terenkripsi maka penulis melakukan pengujian dengan

menggunakan tools Aerodam 1.1. berbasis linux. Tools ini biasanya digunakan

dengan melakukan scanning untuk mengetahui alamat SSID, jenis otentikasi dan

enkripsi yang digunakan, serta channel yang dipakai pada jaringan wireless.

Setelah dilakukan scanning selanjutnya paket hasil scanning tersebut di buka

dengan menggunakan tools wireshark. Tools wireshark digunakan untuk melihat

secara detail suatu paket data yang di transmisikan pada jaringan.

Pertama-tama dengan mensetting Access Point dengan SSID black_usb,

Gambar 4.29 Konfigurasi AP SSID black_usb

109

Pada tahap kedua alamat IP diset dengan IP 192.168.1.11, RADIUS

server dengan IP 192.168.1.10, client 192.168.1.12 dan sniffer 192.168.1.13. pada

AP black_usb di setting dengan mode security WPA enterprise, WPA alghoritm

AES, RADIUS port 1812, dan shared secret “testing123”.

Gambar 4.30 Konfigurasi Security mode WPA enterprise

Dikondisikan AP dengan SSID black_usb telah aktif, client mengirimkan paket

“ping” ke server. Komputer sniffer selanjutnya melakukan scanning dan Capture

paket yang terdapat didalam jaringan nirkabel. Berikut hasil Capture dari

scanning dengan menggunakan Aerodam 1.1

Gambar 4.31 scanning status AP black_usb

110

Terlihat pada SSID black_usb menggunakan channel wlan 11, nilai AUTH

adalah MGT, nilai MGT bermakna menggunakan server RADIUS untuk proses

otentikasinya. cipher nya adalah CCMP dan data enkripsi bernilai WPA.

Berikut hasil interface paket data yang diCapture tersebut :

Gambar 4.32 Capture paket data pada AP black_usb

Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada

jaringan WLAN yang menggunakan WPA Enterprise data tersebut telah

terenkripsi. Berdasarkan hasil ini terbukti bahwa dengan menggunakan WPA

Enterprise (PEAP), dapat mengamankan paket paket data yang ditransmisikan.

4.7 Management (Manajemen)

Pada tahap ini penulis hanya melakukan manajemen user dan perangkat

jaringan nirkabel yang telah diterapkan. Pada tahapan ini penulis menggunakan

tools DaloRadius. Administrasi yang dilakukan dibagi menjadi dua bagian, yaitu:

111

1. User management atau administrasi pengguna

Pada bagian user management, sysadmin dapat melakukan beberapa

konfigurasi, yaitu penambahan pengguna baru, menghapus dan mengubah

informasi pengguna.

Gambar 4.33 manajemen akun pengguna

2. NAS management atau administrasi NAS (WLAN access point)

Pada bagian NAS management, dalo radius dapat menambahkan akses point

yang dapat berkomunikasi dengan server RADIUS.

Gambar 4.34 manajemen access point

109

BAB V

PENUTUP

5.1 Kesimpulan

Kesimpulan dari penelitian yang telah penulis lakukan adalah sebagai

berikut:

1. Penerapan protokol PEAP dapat memudahkan kerja administrator jaringan

dalam memanage hak akses pengguna secara terpusat terlihat pada gambar

4.33 dan gambar 4.34.

2. Penerapan Protected EAP (PEAP) dapat digunakan untuk menangani

protokol otentikasi pada jaringan nirkabel secara aman terlihat pada sub

bab 4.6.1.

3. Urutan paket paket data pada proses otentikasi PEAP dapat dilihat dengan

menggunakan tools wireshark. Seperti terlihat pada gambar 4.2 – gambar

4.14.

4. Untuk tahapan monitoring dalam melihat kinerja server PEAP dapat

digunakan tools cacti. Terlihat pada gambar 4.27 dan gambar 4.28

5. Kita dapat melihat dan memanage daftar akun pengguna serta daftar NAS

dengan menggunakan aplikasi DaloRadius yang berbasis Web.

5.2 Saran

Saran dari penulis untuk pengembangan penelitian selanjutnya yang

berkaitan dengan sistem otentikasi terpusat dengan PEAP ini yaitu:

115

5.2 Saran

Saran dari penulis untuk pengembangan penelitian selanjutnya yang

berkaitan dengan sistem otentikasi terpusat dengan PEAP ini yaitu:

1. Kinerja protokol PEAP dipengaruhi oleh spesifikasi hardware yang

digunakan. Untuk jumlah pengguna yang semakin bertambah dan

meningkat, kedepan diperlukan suatu mekanisme load balancing, dengan

sistem load balancing pembagian beban dan kinerja server otentikasi

dibagi secara merata ke beberapa server yang ada sehingga dapat

mempertahankan Quality of Service dari jaringan tersebut.

2. Hasil dari penelitian ini dapat dilanjutkan dengan melakukan analisa pada

fitur re-authentication pada protokol PEAP MSCHAP. Fitur re-

authentication merupakan fitur untuk mengurangi waktu yang diperlukan

untuk menyelesaikan proses otentikasi.

119

Lampiran 1. Instalasi FreeRADIUS Server

1. Hal pertama yang dilakukan adalah melakukan update repository database

package ubuntu. masuk sebagai root kemudian ketik :

apt-get update

2. perintah untuk proses instalasi freeRADIUS:

root@ns1:/home/vpnserver# apt-get install freeradius

3. untuk proses instalasi RADIUS server dengan dukungan EAP, maka paket

yang digunakan harus dibuat sendiri, tidak bisa dari repository ubuntu. Oleh

karena akan dibuat built environment sendiri.

Apt-get install build-essential

4. Setelah proses install build environemt selesai Maka kita selanjutnya

mengunduh paket source freeradius dengan perintah berikut:

120

wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg-

1ubuntu1.dsc

wget

http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg.orig.tar.gz

wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg-

1ubuntu1.diff.

5. selanjutnya mengekstrak paket tar.gz pada paket paket freeradius yang telah di

download tadi dengan perintah :

dpkg-source -x *.dsc

$ cd freeradius-2.1.8

$ dpkg-buildpackage –rfakeroot

6. Cek repository dependencies yang diperlukan agar freeradius dapat berjalan

dengan normal :

nano debian/control

7. selanjutnya Perintah untuk menginstal semua software dependencies agar

freeradius dapat berjalan dengan normal :

apt-get install quilt autotools-dev libtool libltdl3-dev libpam0g-dev

libmysqlclient-dev libgdbm-dev libldap2-dev libiodbc2-dev libkrb5-dev

libperl-dev libsnmp-dev libpq-dev libssl-dev python-dev libpcap-dev debhelper

ssl-cert

8. selanjutnya meng-compile seluruh source code menjadi deb dengan perintah

berikut :

sudo dpkg buildpackage

sudo dpkg –i libfreeradius2*.deb

sudo dpkg –i freeradius-common*.deb

sudo dpkg –i freeradius_2*.deb

121

apt-get install libltdl7

apt-get install libper15.10

apt-get install ssl-cert

Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server

Masuk ke root dengan mengetik “sudo su” masukkan password root nya

Buat folder baru dengan mengetik :

~ $ mkdir CA

~ $ mkdir CA/signed_certs

~ $ mkdir CA/private

~ $ chmod 700 CA/private

Lakukan copy file openssl.conf ke yang dipilih

~ $ cp /etc/ssl/openssl.cnf /home/arief/CA/

Buka file konfigurasi open ssl yang telah di-copy sebelumnya :

nano /home/arief/CA/openssl.cnf

Ubah settingan pada file tersebut sebagai berikut

35 [ CA_default ]

36

37 dir = /home/arief/CA # Where everything is kept

38 certs = $dir/ # Where the issued certs

are kept

39 crl_dir = $dir/crl # Where the issued crl

are kept

40 database = $dir/index.txt # database index file.

41 #unique_subject = no # Set to 'no' to allow

creation of

42 # several ctificates with

same subject.

43 new_certs_dir = $dir/signed_certs # default place for new

certs.

44

45 certificate = $dir/cacert.pem # The CA certificate

46 serial = $dir/serial # The current serial

number

47 crlnumber = $dir/crlnumber # the current crl number

48 # must be commented out

to leave a V1 CRL

49 crl = $dir/crl.pem # The current CRL

50 private_key = $dir/private/cakey.pem# The private key

122

51 RANDFILE = $dir/private/.rand # private random number

file

52

53 x509_extensions = usr_cert # The extentions to

add to the cert

Tambahkan konfigurasi pada file openssl.cnf dengan (baris paling bawah)

316 # Windows XP TLS Extenstions

317 [ xpclient_ext ]

318 extendedKeyUsage=1.3.6.1.5.5.7.3.2

319 [ xpserver_ext ]

320 extendedKeyUsage=1.3.6.1.5.5.7.3.1

Berikut perintah untuk membuat sertifikat CA :

~/CA $ openssl req -new -keyout private/cakey.pem -out

careq.pem

-config ./openssl.cnf

Masukkan password / kunci private CA. kunci ini nantinya akan

digunakan untuk konfirmasi setiap sertifikat yang akan diterbitkan oleh

CA

Selanjutnya, buat sertifikat CA, isi dengan data berikut :

123

Buat index.txt pada didalam dir CA

touch index.txt

Perintah untuk menandatangani Certifikat digital yang dibuat :

~/CA $ openssl ca -create_serial -out cacert.pem –keyfile

private/cakey.pem -selfsign -extensions v3_ca -config

./openssl.cnf -in careq.pem

Perintah untuk mengubah file .pem ke .der (file .der agar sertifikat CA

yang dibuat dapat di-import ke sistem operasi berbasis windows).

~/CA $ openssl x509 -inform PEM -outform DER -in cacert.pem -

out cacert.der

Membuat sertifikat server untuk RADIUS server :

~/CA $ openssl req -new -config ./openssl.cnf -keyout

server_key.pem -out server_req.pem

124

Selanjutnya sertifikat server tersebut ditandatangi dulu oleh CA dengan

perintah berikut :

~/CA $ openssl ca -config ./openssl.cnf -in server_req.pem -out

server_cert.pem

125

Buat parameter 1024-bit Diffie-Hellman dengan perintah : ( pada folder

CA)

openssl dhparam -out dh 1024

126

dd if=/dev/urandom of=random count=2

Lampiran 3. Konfigurasi eap.conf

# -*- text -*-

##

## eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.)

##

## $Id$

##################################################################

#####

#

# Whatever you do, do NOT set 'Auth-Type := EAP'. The server

# is smart enough to figure this out on its own. The most

# common side effect of setting 'Auth-Type := EAP' is that the

# users then cannot use ANY other authentication method.

#

# EAP types NOT listed here may be supported via the "eap2"

module.

# See experimental.conf for documentation.

#

eap {

# Invoke the default supported EAP type when

# EAP-Identity response is received.

#

127

# The incoming EAP messages DO NOT specify which

EAP

# type they will be using, so it MUST be set

here.

#

# For now, only one default EAP type may be used

at a time.

#

# If the EAP-Type attribute is set by another

module,

# then that EAP type takes precedence over the

# default type configured here.

#

default_eap_type = ttls

# A list is maintained to correlate EAP-Response

# packets with EAP-Request packets. After a

# configurable length of time, entries in the

list

# expire, and are deleted.

#

timer_expire = 60

# There are many EAP types, but the server has

support

# for only a limited subset. If the server

receives

# a request for an EAP type it does not support,

then

# it normally rejects the request. By setting

this

# configuration to "yes", you can tell the server

to

# instead keep processing the request. Another

module

# MUST then be configured to proxy the request to

# another RADIUS server which supports that EAP

type.

#

# If another module is NOT configured to handle

the

# request, then the request will still end up

being

# rejected.

ignore_unknown_eap_types = no

# Cisco AP1230B firmware 12.2(13)JA1 has a bug. When

given

# a User-Name attribute in an Access-Accept, it

copies one

# more byte than it should.

#

# We can work around it by configurably adding an

extra

# zero byte.

cisco_accounting_username_bug = no

128

#

# Help prevent DoS attacks by limiting the number

of

# sessions that the server is tracking. Most

systems

# can handle ~30 EAP sessions/s, so the default

limit

# of 4096 should be OK.

max_sessions = 4096

# Supported EAP-types

#

#

# We do NOT recommend using EAP-MD5

authentication

# for wireless connections. It is insecure, and

does

# not provide for dynamic WEP keys.

#

md5 {

}

# Cisco LEAP

#

# We do not recommend using LEAP in new

deployments. See:

# http://www.securiteam.com/tools/5TP012ACKE.html

#

# Cisco LEAP uses the MS-CHAP algorithm (but not

# the MS-CHAP attributes) to perform it's

authentication.

#

# As a result, LEAP *requires* access to the

plain-text

# User-Password, or the NT-Password attributes.

# 'System' authentication is impossible with

LEAP.

#

leap {

}

# Generic Token Card.

#

# Currently, this is only permitted inside of

EAP-TTLS,

# or EAP-PEAP. The module "challenges" the user

with

# text, and the response from the user is taken

to be

# the User-Password.

#

# Proxying the tunneled EAP-GTC session is a bad

idea,

# the users password will go over the wire in

plain-text,

129

# for anyone to see.

#

gtc {

# The default challenge, which many

clients

# ignore..

#challenge = "Password: "

# The plain-text response which comes

back

# is put into a User-Password attribute,

# and passed to another module for

# authentication. This allows the EAP-

GTC

# response to be checked against plain-

text,

# or crypt'd passwords.

#

# If you say "Local" instead of "PAP",

then

# the module will look for a User-

Password

# configured for the request, and do the

# authentication itself.

#

auth_type = PAP

}

## EAP-TLS

#

# See raddb/certs/README for additional comments

# on certificates.

#

# If OpenSSL was not found at the time the server

was

# built, the "tls", "ttls", and "peap" sections

will

# be ignored.

#

# Otherwise, when the server first starts in

debugging

# mode, test certificates will be created. See

the

# "make_cert_command" below for details, and the

README

# file in raddb/certs

#

# These test certificates SHOULD NOT be used in a

normal

# deployment. They are created only to make it

easier

# to install the server, and to perform some

simple

# tests with EAP-TLS, TTLS, or PEAP.

#

#

130

# See also:

#

#

http://www.dslreports.com/forum/remark,9286052~mode=flat

#

# Note that you should NOT use a globally known

CA here!

# e.g. using a Verisign cert as a "known CA"

means that

# ANYONE who has a certificate signed by them can

# authenticate via EAP-TLS! This is likey not

what you want.

tls {

#

# These is used to simplify later

configurations.

#

certdir = /home/arief/CA

cadir = /home/arief/CA

private_key_password = qwerty

private_key_file =

${certdir}/server_key.pem

# If Private key & Certificate are

located in

# the same file, then private_key_file &

# certificate_file must contain the same

file

# name.

#

# If CA_file (below) is not used, then

the

# certificate_file below MUST include not

# only the server certificate, but ALSO

all

# of the CA certificates used to sign the

# server certificate.

certificate_file =

${certdir}/server_cert.pem

# Trusted Root CA list

#

# ALL of the CA's in this list will be

trusted

# to issue client certificates for

authentication.

#

# In general, you should use self-signed

# certificates for 802.1x (EAP) authentication.

# In that case, this CA file should

contain

# *one* CA certificate.

#

# This parameter is used only for EAP-

TLS,

131

# when you issue client certificates. If

you do

# not use client certificates, and you do

not want

# to permit EAP-TLS authentication, then

delete

# this configuration item.

CA_file = ${cadir}/cacert.pem

#

# For DH cipher suites to work, you have

to

# run OpenSSL to create the DH file

first:

#

# openssl dhparam -out certs/dh 1024

#

dh_file = ${certdir}/dh

random_file = ${certdir}/random

#

# This can never exceed the size of a

RADIUS

# packet (4096 bytes), and is preferably

half

# that, to accomodate other attributes in

# RADIUS packet. On most APs the MAX

packet

# length is configured between 1500 -

1600

# In these cases, fragment size should be

# 1024 or less.

#

# fragment_size = 1024

# include_length is a flag which is

# by default set to yes If set to

# yes, Total Length of the message is

# included in EVERY packet we send.

# If set to no, Total Length of the

# message is included ONLY in the

# First packet of a fragment series.

#

# include_length = yes

# Check the Certificate Revocation List

#

# 1) Copy CA certificates and CRLs to

same directory.

# 2) Execute 'c_rehash <CA certs&CRLs

Directory>'.

# 'c_rehash' is OpenSSL's command.

# 3) uncomment the line below.

# 5) Restart radiusd

# check_crl = yes

132

CA_path = ${cadir}

#

# If check_cert_issuer is set, the value

will

# be checked against the DN of the issuer

in

# the client certificate. If the values do not

# match, the cerficate verification will

fail,

# rejecting the user.

#

# In 2.1.10 and later, this check can be

done

# more generally by checking the value of

the

# TLS-Client-Cert-Issuer attribute. This

check

# can be done via any mechanism you

choose.

#

# check_cert_issuer =

"/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd"

#

# If check_cert_cn is set, the value will

# be xlat'ed and checked against the CN

# in the client certificate. If the

values

# do not match, the certificate

verification

# will fail rejecting the user.

#

#

# This check is done only if the previous

# "check_cert_issuer" is not set, or if

# the check succeeds.

#

# In 2.1.10 and later, this check can be

done

# more generally by checking the value of

the

# TLS-Client-Cert-CN attribute. This

check

# can be done via any mechanism you

choose.

#

# check_cert_cn = %{User-Name}

#

# Set this option to specify the allowed

# TLS cipher suites. The format is listed

# in "man 1 ciphers".

cipher_list = "DEFAULT"

#

#

133

# This configuration entry should be

deleted

# once the server is running in a normal

# configuration. It is here ONLY to make

# initial deployments easier.

#

make_cert_command = "${certdir}/bootstrap"

#

# Session resumption / fast

reauthentication

# cache.

#

# The cache contains the following

information:

#

# session Id - unique identifier, managed

by SSL

# User-Name - from the Access-Accept

# Stripped-User-Name - from the Access-

Request

# Cached-Session-Policy - from the

Access-Accept

#

#

# The "Cached-Session-Policy" is the name

of a

# policy which should be applied to the

cached

# session. This policy can be used to

assign

# VLANs, IP addresses, etc. It serves as

a useful

# way to re-apply the policy from the

original

# Access-Accept to the subsequent Access-

Accept

# for the cached session.

#

# On session resumption, these attributes

are

# copied from the cache, and placed into

the

# reply list.

#

# You probably also want

"use_tunneled_reply = yes"

# when using fast session resumption.

#

cache {

#

# Enable it. The default is "no".

# Deleting the entire "cache" subsection

# Also disables caching.

#

134

# You can disallow resumption for a

# particular user by adding the

following

# attribute to the control item

list:

#

# Allow-Session-Resumption =

No

#

# If "enable = no" below, you

CANNOT

# enable resumption for just one

user

# by setting the above attribute to

"yes".

#

enable = no

#

# Lifetime of the cached entries,

in hours.

# The sessions will be deleted

after this

# time.

#

lifetime = 24 # hours

#

# The maximum number of entries in

the

# cache. Set to "0" for

"infinite".

#

# This could be set to the number

of users

# who are logged in... which can be

a LOT.

#

max_entries = 255

}

#

# As of version 2.1.10, client

certificates can be

# validated via an external command.

This allows

# dynamic CRLs or OCSP to be used.

#

# This configuration is commented out in

the

# default configuration. Uncomment it,

and configure

# the correct paths below to enable it.

#

verify {

135

# A temporary directory where the

client

# certificates are stored. This

directory

# MUST be owned by the UID of the

server,

# and MUST not be accessible by

any other

# users. When the server starts,

it will do

# "chmod go-rwx" on the

directory, for

# security reasons. The

directory MUST

# exist when the server starts.

#

# You should also delete all of

the files

# in the directory when the

server starts.

# tmpdir = /tmp/radiusd

# The command used to verify the client cert.

# We recommend using the OpenSSL

command-line

# tool.

#

# The ${..CA_path} text is a

reference to

# the CA_path variable defined

above.

#

# The %{TLS-Client-Cert-Filename}

is the name

# of the temporary file

containing the cert

# in PEM format. This file is

automatically

# deleted by the server when the

command

# returns.

# client = "/path/to/openssl verify

-CApath ${..CA_path} %{TLS-Client-Cert-Filename}"

}

}

# The TTLS module implements the EAP-TTLS

protocol,

# which can be described as EAP inside of Diameter,

# inside of TLS, inside of EAP, inside of

RADIUS...

#

# Surprisingly, it works quite well.

#

# The TTLS module needs the TLS module to be

installed

# and configured, in order to use the TLS tunnel

136

# inside of the EAP packet. You will still need

to

# configure the TLS module, even if you do not

want

# to deploy EAP-TLS in your network. Users will

not

# be able to request EAP-TLS, as it requires them

to

# have a client certificate. EAP-TTLS does not

# require a client certificate.

#

# You can make TTLS require a client cert by

setting

#

# EAP-TLS-Require-Client-Cert = Yes

#

#

# in the control items for a request.

#

ttls {

# The tunneled EAP session needs a

default

# EAP type which is separate from the one

for

# the non-tunneled EAP module. Inside of

the

# TTLS tunnel, we recommend using EAP-

MD5.

# If the request does not contain an EAP

# conversation, then this configuration

entry

# is ignored.

default_eap_type = md5

# The tunneled authentication request

does

# not usually contain useful attributes

# like 'Calling-Station-Id', etc. These

# attributes are outside of the tunnel,

# and normally unavailable to the

tunneled

# authentication request.

#

# By setting this configuration entry to

# 'yes', any attribute which NOT in the

# tunneled authentication request, but

# which IS available outside of the

tunnel,

# is copied to the tunneled request.

#

# allowed values: {no, yes}

copy_request_to_tunnel = no

# The reply attributes sent to the NAS

are

# usually based on the name of the user

137

# 'outside' of the tunnel (usually

# 'anonymous'). If you want to send the

# reply attributes based on the user name

# inside of the tunnel, then set this

# configuration entry to 'yes', and the

reply

# to the NAS will be taken from the reply

to

# the tunneled request.

#

# allowed values: {no, yes}

use_tunneled_reply = no

#

# The inner tunneled request can be sent

# through a virtual server constructed

# specifically for this purpose.

#

# If this entry is commented out, the

inner

# tunneled request will be sent through

# the virtual server that processed the

# outer requests.

#

virtual_server = "inner-tunnel"

# This has the same meaning as the

# same field in the "tls" module, above.

# The default value here is "yes".

# include_length = yes

}

##################################################

#

# !!!!! WARNINGS for Windows compatibility !!!!!

#

##################################################

#

# If you see the server send an Access-Challenge,

# and the client never sends another Access-

Request,

# then

#

# STOP!

#

# The server certificate has to have special

OID's

# in it, or else the Microsoft clients will silently

# fail. See the "scripts/xpextensions" file for

# details, and the following page:

#

# http://support.microsoft.com/kb/814394/en-

us

#

# For additional Windows XP SP2 issues, see:

138

#

# http://support.microsoft.com/kb/885453/en-

us

#

#

# If is still doesn't work, and you're using

Samba,

# you may be encountering a Samba bug. See:

#

#

https://bugzilla.samba.org/show_bug.cgi?id=6563

#

# Note that we do not necessarily agree with

their

# explanation... but the fix does appear to work.

#

##################################################

#

# The tunneled EAP session needs a default EAP

type

# which is separate from the one for the non-

tunneled

# EAP module. Inside of the TLS/PEAP tunnel, we

# recommend using EAP-MS-CHAPv2.

#

# The PEAP module needs the TLS module to be

installed

# and configured, in order to use the TLS tunnel

# inside of the EAP packet. You will still need

to

# configure the TLS module, even if you do not

want

# to deploy EAP-TLS in your network. Users will

not

# be able to request EAP-TLS, as it requires them

to

# have a client certificate. EAP-PEAP does not

# require a client certificate.

#

#

#

# You can make PEAP require a client cert by

setting

#

# EAP-TLS-Require-Client-Cert = Yes

#

# in the control items for a request.

#

peap {

# The tunneled EAP session needs a

default

# EAP type which is separate from the one

for

# the non-tunneled EAP module. Inside of

the

139

# PEAP tunnel, we recommend using MS-

CHAPv2,

# as that is the default type supported

by

# Windows clients.

default_eap_type = mschapv2

# the PEAP module also has these

configuration

# items, which are the same as for TTLS.

copy_request_to_tunnel = no

use_tunneled_reply = no

# When the tunneled session is proxied,

the

# home server may not understand EAP-

MSCHAP-V2.

# Set this entry to "no" to proxy the

tunneled

# EAP-MSCHAP-V2 as normal MSCHAPv2.

# proxy_tunneled_request_as_eap = yes

#

# The inner tunneled request can be sent

# through a virtual server constructed

# specifically for this purpose.

#

# If this entry is commented out, the

inner

# tunneled request will be sent through

# the virtual server that processed the

# outer requests.

#

virtual_server = "inner-tunnel"

}

#

# This takes no configuration.

#

# Note that it is the EAP MS-CHAPv2 sub-module,

not

# the main 'mschap' module.

#

# Note also that in order for this sub-module to

work,

# the main 'mschap' module MUST ALSO be

configured.

#

# This module is the *Microsoft* implementation

of MS-CHAPv2

# in EAP. There is another (incompatible)

implementation

# of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS

does not

# currently support.

140

#

#

mschapv2 {

}

}

Lampiran 4. Konfigurasi clients.conf

#

# Each client has a "short name" that is used to distinguish it

from

# other clients.

#

# In version 1.x, the string after the word "client" was the IP

# address of the client. In 2.0, the IP address is configured

via

# the "ipaddr" or "ipv6addr" fields. For compatibility, the 1.x

# format is still accepted.

#

client localhost {

# Allowed values are:

# dotted quad (1.2.3.4)

# hostname (radius.example.com)

ipaddr = 127.0.0.1

# OR, you can use an IPv6 address, but not both

# at the same time.

# ipv6addr = :: # any. ::1 == localhost

#

# A note on DNS: We STRONGLY recommend using IP

addresses

# rather than host names. Using host names means that

the

# server will do DNS lookups when it starts, making it

# dependent on DNS. i.e. If anything goes wrong with

DNS,

# the server won't start!

#

# The server also looks up the IP address from DNS once,

and

# only once, when it starts. If the DNS record is later

# updated, the server WILL NOT see that update.

#

# One client definition can be applied to an entire

network.

# e.g. 127/8 should be defined with "ipaddr = 127.0.0.0"

and

# "netmask = 8"

#

# A note on DNS: We STRONGLY recommend using IP

addresses

141

# rather than host names. Using host names means that

the

# server will do DNS lookups when it starts, making it

# dependent on DNS. i.e. If anything goes wrong with

DNS,

# the server won't start!

#

# The server also looks up the IP address from DNS once,

and

# only once, when it starts. If the DNS record is later

# updated, the server WILL NOT see that update.

#

# One client definition can be applied to an entire

network.

# e.g. 127/8 should be defined with "ipaddr = 127.0.0.0"

and

# "netmask = 8"

#

# If not specified, the default netmask is 32 (i.e. /32)

#

# We do NOT recommend using anything other than 32.

There

# are usually other, better ways to achieve the same

goal.

# Using netmasks of other than 32 can cause security

issues.

#

# You can specify overlapping networks (127/8 and

127.0/16)

# In that case, the smallest possible network will be

used

# as the "best match" for the client.

#

# Clients can also be defined dynamically at run time,

based

# on any criteria. e.g. SQL lookups, keying off of NAS-

Identifier,

# etc.

# See raddb/sites-available/dynamic-clients for details.

#

# netmask = 32

#

# The shared secret use to "encrypt" and "sign" packets

between

# the NAS and FreeRADIUS. You MUST change this secret

from the

# default, otherwise it's not a secret any more!

#

# The secret can be any string, up to 8k characters in

length.

#

# Control codes can be entered vi octal encoding,

# e.g. "\101\102" == "AB"

# Quotation marks can be entered by escaping them,

142

# e.g. "foo\"bar"

#

# A note on security: The security of the RADIUS

protocol

# depends COMPLETELY on this secret! We recommend using

a

# shared secret that is composed of:

#

# upper case letters

# lower case letters

# numbers

#

# And is at LEAST 8 characters long, preferably 16

characters in

# length. The secret MUST be random, and should not be

words,

# phrase, or anything else that is recognizable.

#

# The default secret below is only for testing, and

should

# not be used in any real environment.

#

secret = testing123

#

# Old-style clients do not send a Message-Authenticator

# in an Access-Request. RFC 5080 suggests that all

clients

# SHOULD include it in an Access-Request. The

configuration

# item below allows the server to require it. If a

client

# is required to include a Message-Authenticator and it

does

# not, then the packet will be silently discarded.

#

# allowed values: yes, no

require_message_authenticator = no

#

# The short name is used as an alias for the fully

qualified

# domain name, or the IP address.

#

# It is accepted for compatibility with 1.x, but it is no

# longer necessary in 2.0

#

# shortname = localhost

#

# the following three fields are optional, but may be used

by

# checkrad.pl for simultaneous use checks

#

#

143

# The nastype tells 'checkrad.pl' which NAS-specific

method to

# use to query the NAS for simultaneous use.

#

# Permitted NAS types are:

#

# cisco

# computone

# livingston

# max40xx

# multitech

# netserver

# pathras

# patton

# portslave

# tc

# usrhiper

# other # for all other types

#

nastype = other # localhost isn't usually a NAS...

#

# The following two configurations are for future use.

# The 'naspasswd' file is currently used to store the NAS

# login name and password, which is used by checkrad.pl

# when querying the NAS for simultaneous use.

#

# login = !root

# password = someadminpas

#

# As of 2.0, clients can also be tied to a virtual

server.

# This is done by setting the "virtual_server"

configuration

# item, as in the example below.

#

# virtual_server = home1

#

# A pointer to the "home_server_pool" OR a "home_server"

# section that contains the CoA configuration for this

# client. For an example of a coa home server or pool,

# see raddb/sites-available/originate-coa

# coa_server = coa

}

# IPv6 Client

#client ::1 {

# secret = testing123

# shortname = localhost

#}

#

# All IPv6 Site-local clients

#client fe80::/16 {

144

# secret = testing123

# shortname = localhost

#}

#client some.host.org {

# secret = testing123

# shortname = localhost

#}

#

# You can now specify one secret for a network of clients.

# When a client request comes in, the BEST match is chosen.

# i.e. The entry from the smallest possible network.

#

#client 192.168.0.0/24 {

# secret = testing123-1

# shortname = private-network-1

#}

#

#client 192.168.0.0/16 {

# secret = testing123-2

# shortname = private-network-2

#}

#client 10.10.10.10 {

# # secret and password are mapped through the "secrets"

file.

# secret = testing123

# shortname = liv1

# # the following three fields are optional, but may be used

by

# # checkrad.pl for simultaneous usage checks

# nastype = livingston

# login = !root

# password = someadminpas

#}

#}

##################################################################

#####

#

# Per-socket client lists. The configuration entries are exactly

# the same as above, but they are nested inside of a section.

#

# You can have as many per-socket client lists as you have

"listen"

# sections, or you can re-use a list among multiple "listen"

sections.

#

# Un-comment this section, and edit a "listen" section to add:

# "clients = per_socket_clients". That IP address/port

combination

# will then accept ONLY the clients listed in this section.

#

#clients per_socket_clients {

145

# client 192.168.3.4 {

# secret = testing123

# }

#}

client 192.168.1.11 {

secret = testing123

shortname = simulator

nastype = other

}

Lampiran 5. Konfigurasi pada File Users

#

# Please read the documentation file

../doc/processing_users_file,

# or 'man 5 users' (after installing the server) for more

information.

#

# This file contains authentication security and

configuration

# information for each user. Accounting requests are NOT

processed

# through this file. Instead, see 'acct_users', in this

directory.

#

# The first field is the user's name and can be up to

# 253 characters in length. This is followed (on the same

line) with

# the list of authentication requirements for that user.

This can

# include password, comm server name, comm server port

number, protocol

# type (perhaps set by the "hints" file), and huntgroup name

(set by

# the "huntgroups" file).

#

# If you are not sure why a particular reply is being sent

by the

# server, then run the server in debugging mode (radiusd -

X), and

# you will see which entries in this file are matched.

#

# When an authentication request is received from the comm

server,

# these values are tested. Only the first match is used

unless the

# "Fall-Through" variable is set to "Yes".

#

# A special user named "DEFAULT" matches on all usernames.

146

# You can have several DEFAULT entries. All entries are

processed

# in the order they appear in this file. The first entry

that

# matches the login-request will stop processing unless you

use

# the Fall-Through variable.

#

# If you use the database support to turn this file into a

.db or .dbm

# file, the DEFAULT entries _have_ to be at the end of this

file and

# you can't have multiple entries for one username.

#

# Indented (with the tab character) lines following the

first

# line indicate the configuration values to be passed back

to

# the comm server to allow the initiation of a user session.

# This can include things like the PPP configuration values

# or the host to log the user onto.

#

# You can include another `users' file with `$INCLUDE

users.other'

#

#

# For a list of RADIUS attributes, and links to their

definitions,

# see:

#

# http://www.freeradius.org/rfc/attributes.html

#

#

# Deny access for a specific user. Note that this entry MUST

# be before any other 'Auth-Type' attribute which results in the

user

# being authenticated.

#

# Note that there is NO 'Fall-Through' attribute, so the user will

not

# be given any additional resources.

#

#lameuser Auth-Type := Reject

# Reply-Message = "Your account has been disabled."

#

# Deny access for a group of users.

#

# Note that there is NO 'Fall-Through' attribute, so the user will

not

# be given any additional resources.

#

#DEFAULT Group == "disabled", Auth-Type := Reject

147

# Reply-Message = "Your account has been disabled."

#

#

# This is a complete entry for "steve". Note that there is no

Fall-Through

# entry so that no DEFAULT entry will be used, and the user will

NOT

# get any attributes in addition to the ones listed here.

#

#steve Cleartext-Password := "testing"

# Service-Type = Framed-User,

# Framed-Protocol = PPP,

# Framed-IP-Address = 172.16.3.33,

# Framed-IP-Netmask = 255.255.255.0,

# Framed-Routing = Broadcast-Listen,

# Framed-Filter-Id = "std.ppp",

# Framed-MTU = 1500,

# Framed-Compression = Van-Jacobsen-TCP-IP

#

# This is an entry for a user with a space in their name.

# Note the double quotes surrounding the name.

#

#"John Doe" Cleartext-Password := "hello"

# Reply-Message = "Hello, %{User-Name}"

"sqltest" Cleartext-Password := "testpwd"

Reply-Message = "Hello, %{User-Name}"

"arief" Cleartext-Password := "mautauaja"

Reply-Message = "Hello, %{User-Name}"

#

# Dial user back and telnet to the default host for that port

#

#Deg Cleartext-Password := "ge55ged"

# Service-Type = Callback-Login-User,

# Login-IP-Host = 0.0.0.0,

# Callback-Number = "9,5551212",

# Login-Service = Telnet,

# Login-TCP-Port = Telnet

#

# Another complete entry. After the user "dialbk" has logged in,

the

# connection will be broken and the user will be dialed back after

which

# he will get a connection to the host "timeshare1".

#

#dialbk Cleartext-Password := "callme"

# Service-Type = Callback-Login-User,

# Login-IP-Host = timeshare1,

# Login-Service = PortMaster,

# Callback-Number = "9,1-800-555-1212"

148

#

# user "swilson" will only get a static IP number if he logs in

with

# a framed protocol on a terminal server in Alphen (see the

huntgroups file).

#

# Note that by setting "Fall-Through", other attributes will be

added from

# the following DEFAULT entries

#

#swilson Service-Type == Framed-User, Huntgroup-Name ==

"alphen"

# Framed-IP-Address = 192.168.1.65,

# Fall-Through = Yes

#

# If the user logs in as 'username.shell', then authenticate them

# using the default method, give them shell access, and stop

processing

# the rest of the file.

#

#DEFAULT Suffix == ".shell"

# Service-Type = Login-User,

# Login-Service = Telnet,

#

# The rest of this file contains the several DEFAULT entries.

# DEFAULT entries match with all login names.

# Note that DEFAULT entries can also Fall-Through (see first

entry).

# A name-value pair from a DEFAULT entry will _NEVER_ override

# an already existing name-value pair.

#

#

# Set up different IP address pools for the terminal servers.

# Note that the "+" behind the IP address means that this is the

"base"

# IP address. The Port-Id (S0, S1 etc) will be added to it.

#

#DEFAULT Service-Type == Framed-User, Huntgroup-Name ==

"alphen"

# Framed-IP-Address = 192.168.1.32+,

# Fall-Through = Yes

#

# Sample defaults for all framed connections.

#

#DEFAULT Service-Type == Framed-User

# Framed-IP-Address = 255.255.255.254,

# Framed-MTU = 576,

# Service-Type = Framed-User,

# Fall-Through = Yes

#

149

# Default for PPP: dynamic IP address, PPP mode, VJ-compression.

# NOTE: we do not use Hint = "PPP", since PPP might also be auto-

detected

# by the terminal server in which case there may not be a

"P" suffix.

# The terminal server sends "Framed-Protocol = PPP" for auto

PPP.

#

DEFAULT Framed-Protocol == PPP

Framed-Protocol = PPP,

Framed-Compression = Van-Jacobson-TCP-IP

#

# Default for CSLIP: dynamic IP address, SLIP mode, VJ-

compression.

#

DEFAULT Hint == "CSLIP"

Framed-Protocol = SLIP,

Framed-Compression = Van-Jacobson-TCP-IP

#

# Default for SLIP: dynamic IP address, SLIP mode.

#

DEFAULT Hint == "SLIP"

#

# Last default: rlogin to our main server.

#

#DEFAULT

# Service-Type = Login-User,

# Login-Service = Rlogin,

# Login-IP-Host = shellbox.ispdomain.com

# #

# # Last default: shell on the local terminal server.

# #

# DEFAULT

# Service-Type = Administrative-User

# On no match, the user is denied access.

Lampiran 6. Konfigurasi Access Point

Buka browser dan masukkan alamat IP access point pada address bar

Masuk ke menu “setup” pilih menu “basic setup” Setting pembagian

alamat IP client dengan opsi “Automatic Configuration - DHCP” dan

150

alamat IP access point dengan IP = 192.168.1.11. kemudian centangkan

pilihan DHCP Server “enable”.

Setting IP access point

Klik “Save Setting”. Selanjutnya untuk mengakses menu setting Access

point kembali samakan Network IP komputer yang terhubung yang

melakukan setting IP Access Point dengan alamat network IP akses point

yang baru.

Buka browser dan masukkan alamat IP access point yang baru yaitu

“192.168.1.11” pada address bar

Selanjutnya klik menu “wireless”. Lalu klik menu “basic wireless setting”

setting “ Wireless Network name (SSID)” dengan “black_usb”

151

Setting SSID Wireless

Selanjutnya klik menu “wireless security”. setting “security mode”

menjadi WPA Enterprise dan “WPA Algorithms” menggunakan AES,

selanjutnya menambahkan alamat IP “RADIUS server address” dengan

alamat IP 192.168.1.10, “RADIUS port” 1812, dan input “shared key”

dengan “testing123”. berikut tampilan setting pada akses point :

152

Gambar 4.37 Setting Wireless Security

Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien

Pilih file sertifikat CA dalam extensi .der

lakukan double klik file sertifikat CA yang akan di install

153

klik “install certificate” untuk mengimport file sertifikat tersebut. akan

muncul window “certificate import wizard”, klik next

selanjutnya akan muncul window yang meminta konfirmasi peletakan

sertifikat apakah secara otomatis atau manual. Pilih manual, klik browse

Maka akan muncul window “Select Certification Store”, pilih folder / root

“Trusted Root Certification Authorities”. Klik ok.

154

klik nex, akan muncul window “complete the certificate import wizard”.

Klik “finish”

selanjutnya akan ada alert “security warning” yang menandakan windows

meminta confirmasi atas certifikat CA yang telah kita install tersebut. klik

“yes”. Maka akan muncul window “certificate import wizard” bahwa

proses import sertifikat berhasil

155

Selanjutnya setting penggunaan dan manajemen sertifkat pada windows 7.

Masuk ke windows > control panel > view network status and task >

manage wireless network > pilih jaringan wireless yang telah di create

sebelumnya (dalam penelitian ini adalah jaringan wireless dengan SSID

“black_usb”) > klik kanan properties

Selanjutnya akan muncul window “wirelesss network properties”, klik tab

“security” setting dengan “security type” adalah “wpa enterprise”,

“encryption type” adalah AES, dan pilih “network authentication

method” adalah “Microsoft Protected EAP (PEAP)”.

156

Untuk mensetting validasi sertifikat pada sisi klien, klik tombol setting

pada window “wireless network properties”. Maka akan muncul window

“protected EAP properties”. Centangkan “validate server certificate”,

masukkan alamat IP server RADIUS, dalam penelitian ini alamat server

RADIUS memiliki IP 192.168.1.10. selanjutnya pada pilihan “trused root

certification authorities” pilih sertifikat CA PEAP yang telah di install

sebelumnya.

157

Klik tombol “configure” dan hilangkan centang pada pilihan

“automatically use my windows logon name and password (and domain if

any)”.

Klik ok untuk window EAP MSCHAPv2 properties dan klik ok kembali

pada window protected EAP properties

158

Lampiran 8. Wawancara dengan Bagian Pusdatin

Responden : Fachroni Arbi Murod, S.Kom (Staf Pusdatin FST UIN Jakarta)

Penanya : Muhammad Arief Faruki

Pertanyaan 1 : Bagaiamana model infrastruktur jaringan nirkabel FST UIN

Jakarta ?

Jawaban 1 : Secara umum jaringan di FST menggunakan model jaringan tree

tier hierrarical design, merupakan model jaringan dari Cisco System, yang terdiri

dari core layer, distribution layer, dan access layer. Core layer berada pada FSH

UIN Jakarta, Accesss layer berada pada lantai dasar FST UIN dan access layer

dimana jaringan yang terdapat accesss point berada pada lantai 2, lantai 3, dan

lantai 4. masing masing access point terhubung dengan switch yang ada di setiap

lantai tersebut. masing masing switch tersebut terhubung ke switch yang berada

pada lantai 1 FST.

Pertanyaan 2 : Bagaimana kebijakan penggunaan jaringan wireless ? teknologi

wireless yang digunakan ?

Jawaban 2 : dalam implementasi jaringan wireless FST UIN memiliki

beberapa kebijakan diantaranya : 1. mobilitas yang tinggi, terutama untuk

mengakses jaringan tanpa menggunakan media berbasis kabel. 2. tingkat kinerja

sistem yang baik dalam merespon akses dari luar kedalam maupun sebaliknya.

Adapun teknologi jaringan wireless yang digunakan adalah captive portal

159

(hotspot). Untuk terhubung kedalam jaringan pengguna harus memasukkan

serangkaian string kode / password.

Pertanyaan 3 : Hardware apa saja yang digunakan pada jaringan wireless ? dan

dimana saja lokasi access point berada ? dan bagaimana pengalamatan IP

pengguna ?

Jawaban 3 : Sebagai akses wireless FST menggunakan cisco aironet 1100

access point dan WRT54GL access point dengan menggunakan IP DHCP /

dinamis kelas c. adapun lokasi access point berada pada lantai 2 terdapat 1 unit di

ruang dekanat dan 1 unit diruang sidang. Pada lantai 3 terdapat 1 unit di

PUSDATIN, 1 unit di ruang prodi TI/SI, 1 unit diruang agribisnis, dan 1 unit

diruang prodi biologi. Pada lantai 4 terdapat 1 unit di ruang prodi international

class dan 1 unit di ruang lobby. Jadi total access point yang digunakan berjumlah

8 unit.

Pertanyaan 4 : service / layanan apa saja yang terdapat dalam jaringan FST UIN

?

Jawaban 4 : di FST UIN terdapat 6 buah server aktif yang berada di ruang

PUSDATIN lantai 3. masing masing server tersebut digunakan sebagai : email

server, web portal, e-learning, akademik, router, file sharing FTP, dan server

RADIUS.

116

DAFTAR PUSTAKA

Arifin, Zaenal. 2008. Sistem Pengamanan Jaringan Wireless LAN berbasis

Protokol 802.1x & Sertifikat. Yogyakarta : Andi.

Ariyus, Dony. 2006. Computer Security. Yogyakarta : Andi.

Burnett Steve, Stephene Paine. 2000. RSA Security’s Official Guide to

Cryptography. California : RSA Press.

Gast, Matthew. TTLS and PEAP Comparison. [Online] Tersedia :

http://www.opus1.com/www/whitepapers/ttlsandpeap.pdf [5 November

2010].

Charles M. Kozierok. TCP/IP Guide. [Online] tersedia :

http://www.tcpipguide.com. [3 Agustus 2010].

Goldman, James E. Rawles, Philip T. 2001. Applied Data Communication : a

business Oriented Approach 3rd

edition. New York : Wiley John and Sons

Inc.

Hantoro, Gunandi Dwi. 2009. WiFi (Wireless LAN) Jaringan Komputer Tanpa

Kabel. Bandung : Informatika.

Hartono, Jogiyanto, MBA, PhD. 1999. Pengenalan Komputer. Yogyakarta : Andi

Hassel, Jonathan. 2002. RADIUS. Cambridge, Massachusetts : O'Reilly Media.

Internet Draft. Protected EAP Protocol (PEAP) Version 2 [Online] :

http://tools.ietf.org/html/draft-josefsson-pppext-eap-tls-eap-10 [25 Agustus

2010].

117

Madjid Nakhjiri, Mahsa Nakhjiri. 2005. AAA and Network Security for Mobile

Access RADIUS, DIAMETER, EAP, PKI AND IP Mobility. Chichester :

John Wiley & Sons Ltd.

Nazir, Moh. 2005. Metode Penelitian. Bogor : Ghalia Indonesia

Reid, Neil. 2010. Wireless Mobility the Way of Wireless. New York : McGraw-

Hill Companies.

Reza Fuad R. Standar IEEE 802.1x Teori dan Implementasi. [online] tersedia :

http://oc.its.ac.id/ambilfile.php?idp=129 [1 Agustus 2010].

RFC 2716. PPP EAP TLS Authentication Protocol. [Online] tersedia :

http://tools.ietf.org/html/rfc2716 [25 Agustus 2010].

RFC 2759. Microsoft PPP CHAP Extensions, Version 2. [online] tersedia :

http://tools.ietf.org/html/rfc2759 [25 Agustus 2010 ].

RFC 3748. Extensible Authentication Protocol (EAP). [Online] tersedia :

http://tools.ietf.org/html/rfc3748 [25 Agustus 2010].

RFC 4017. Extensible Authentication Protocol (EAP) Method Requirements for

Wireless LANs. [Online] tersedia : http://tools.ietf.org/html/rfc4017 [25

Agustus 2010]

Setiawan, Deris. 2009. Fundamental Internetworking Development & design Life

Cycle. [online] tersedia : http://ilkom.unsri.ac.id/deris/materi/jarkom/

network_development_cycles.pdf [29 Juli 2010].

Tim Penelitian dan Pengembangan Wahana Komputer. 2004. Kamus Lengkap

Jaringan Komputer. Semarang : Salemba Infotek.

118

Yadi, Ilman Zuhri, Yesi Novaria Kunang. Keamanan Wireless LAN : Teknik

Pengamannan Access Point. [online] tersedia :

http://blog.binadarma.ac.id/yesinovariakunang/wpcontent/uploads/2010/08

/Ilman-Yessi-Wireless-LAN.pdf [28 Juli 2010].

LAMPIRAN