IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA
INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN
TEKNOLOGI UIN JAKARTA
Oleh :
MUHAMMAD ARIEF FARUKI
105091002807
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2011 M / 1432 H
ii
IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA
INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN
TEKNOLOGI UIN JAKARTA
Skripsi
Sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer
Pada Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh :
MUHAMMAD ARIEF FARUKI
105091002807
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2011 M / 1432 H
iii
IMPLEMENTASI PROTOKOL OTENTIKASI PEAP PADA
INFRASTRUKTUR JARINGAN NIRKABEL FAKULTAS SAINS DAN
TEKNOLOGI UIN JAKARTA
Skripsi
Diajukan sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer
Pada Jurusan Teknik Informatika
Disusun Oleh :
MUHAMMAD ARIEF FARUKI
105091002807
Menyetujui:
Pembimbing I
Herlino Nanang, MT
NIP. 197312092005011002
Pembimbing II
Andrew Fiade, M. Kom
NIP.1982081120091201004
Mengetahui,
Ketua Program Studi Teknik Informatika
Yusuf Durachman, MIT
NIP. 197105222006041002
iv
PENGESAHAN UJIAN
Skripsi berjudul “IMPLEMENTASI PROTOKOL OTENTIKASI PEAP
PADA INFRASTRUKTUR JARINGAN NIRKABEL (Studi Kasus : Fakultas Sains
dan Teknologi UIN Jakarta)”, yang ditulis oleh Muhammad Arief Faruki, NIM :
105091002807 telah diuji dan dinyatakan lulus dalam sidang Munaqosyah
Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah
Jakarta pada hari selasa, 15 Maret 2011. Skripsi ini telah diterima sebagai salah
satu syarat untuk memperoleh gelar sarjana strata satu (S1) Program Studi Teknik
Informatika.
Jakarta, 15 Maret 2011
Menyetujui:
Penguji I
Husni Teja Sukmana, Ph.D
NIP. 197710302001121003
Penguji II
Ria Hari Gusmita, M.kom
NIP. 198208172009122002
Pembimbing I
Herlino Nanang, MT
NIP. 197312092005011002
Pembimbing II
Andrew Fiade, M.kom
NIP.1982081120091201004
Mengetahui:
Dekan Fakultas Sains dan Teknologi
Dr. Syopiansyah Jaya Putra, M.Sis
NIP. 196801172001121001
Ketua Program Studi Teknik Informatika
Yusuf Durachman, MIT
NIP. 197105222006041002
v
PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-
BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN
SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI
ATAU LEMBAGA MANAPUN.
Jakarta, Maret 2011
Muhammad Arief Faruki
vi
ABSTRAK
Muhammad Arief Faruki, Implementasi Protokol Keamanan PEAP Pada
Jaringan Nirkabel. (Di bawah bimbingan: Herlino Nanang, MT dan Andrew
Fiade, M.Kom).
Administrasi jaringan nirkabel berskala besar seperti di instansi
pemerintahan, perusahaan dan universitas merupakan salah satu proses yang
cukup rumit dan membutuhkan banyak sumber daya baik waktu, tenaga dan
biaya. Kendala yang dihadapi dalam proses ini adalah dikarenakan solusi yang
dikembanngkan harus dapat memberikan tingkat keamanan yang tinggi sekaligus
tetap memberikan kemudahaan dan mobilitas yang tinggi pada pengguna.
Penelitian ini bertujuan untuk mengimplementasikan protokol PEAP-
MSCHAPv2 sebagai protokol otentikasi pengguna jaringan nirkabel untuk
memberikan kemudahan pada sisi administrasi jaringan. Berdasarkan hasil
penelitian didapatkan bahwa PEAP-MSCHAPv2 memberikan tingkat keamanan
yang baik tanpa mengorbankan kinerja yang diperlukan untuk menangani jumlah
pengguna yang cukup banyak serta memudahkan administrator jaringan untuk
mengatur infrastruktur jaringan yang ada.
Keyword: Protected Extensible Authentication Protocol (PEAP), Microsoft
Challenge Handshake Authentication Protocol version 2 (MSCHAPv2), Protokol
Otentikasi, Jaringan Nirkabel.
vii
KATA PENGANTAR
Segala puji serta syukur kehadirat Allah SWT, atas segala limpahkan
rahmat dan hidayah – Nya, hingga penulis dapat menyelesaikan skripsi ini.
Penulisan skripsi ini merupakan salah satu syarat dalam menyelesaikan Program
Studi Sarjana (S-1) Teknik Informatika Fakultas Sains dan Teknologi Universitas
Islam Negeri Syarif Hidayatullah Jakarta.
Penulis menyadari bahwa Skripsi ini tidak dapat terlaksana dengan baik
apabila tanpa bantuan dari berbagai pihak. Oleh karena itu, perkenankan penulis
mengucapkan banyak terima kasih dan rasa syukur terutama kepada :
1. Allah SWT, yang telah memberikan rahmat, nikmat dan kesehatan
sehingga penulis dapat menyelesaikan Skripsi ini.
2. Bapak DR. Syopiansyah Jaya Putra, M.Sis selaku Dekan Fakultas Sains
dan Teknologi UIN Syarif Hidayatullah Jakarta.
3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik
Informatika UIN Syarif Hidayatullah Jakarta.
4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik
Informatika UIN Syarif Hidayatullah Jakarta.
5. Bapak Herlino Nanang, MT, selaku pembimbing pertama skripsi ini, yang
membantu memberikan bimbingan, arahan kepada penulis sehingga
penulis dapat menyelesaikan skripsi ini.
6. Bapak Andrew Fiade, MKom, selaku pembimbing kedua, yang membantu
memberikan bimbingan, arahan kepada penulis sehingga penulis dapat
menyelesaikan skripsi ini.
7. Kedua Orang Tua, ummi dan abi serta kakakku dan adik-adikku atas doa,
dukungan, dan perhatiannya selama penulisan skripsi ini.
8. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan
Teknologi UIN Syarif Hidayatullah Jakarta.
9. Seluruh teman-teman kelas TI A 2005 yang telah memberikan banyak
bantuan sehingga penulis dapat menyelesaikan penulisan skripsi ini.
viii
10. Saudara Adam selaku Staf Pusdatin FST UIN yang telah banyak
membantu penulis dalam melakukan implementasi penelitian ini di
Pusdatin.
11. Semua pihak yang telah memberikan bantuan dan tidak dapat disebutkan
satu persatu.
Akhirnya dengan segala keterbatasan dan kekurangan yang ada dalam
penulisan skripsi ini, penulis mengucapkan terimakasih yang sebesar-besarnya,
semoga skripsi ini dapat bermanfaat bagi semua pihak
Jakarta, Maret 2011
Muhammad Arief Faruki
ix
LEMBAR PERSEMBAHAN
Skripsi ini penulis persembahkan kepada beberapa pihak yang telah
memberi dukungan baik berupa dukungan moril maupun materil, diantaranya:
1. Terima kaih kepada Kedua Orang Tua atas segala yang telah diberikan
dan doa yang telah diberikan
2. kedua kakakku yang telah memberikan dukungan.
3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi
Teknik Informatika UIN Syarif Hidayatullah Jakarta.
4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik
Informatika UIN Syarif Hidayatullah Jakarta.
5. Bapak Herlino Nanang, MT, selaku pembimbing pertama skripsi ini,
yang membantu memberikan bimbingan, arahan kepada penulis
sehingga penulis dapat menyelesaikan skripsi ini.
6. Bapak Andrew Fiade, MKom, selaku pembimbing kedua, yang
membantu memberikan bimbingan, arahan kepada penulis sehingga
penulis dapat menyelesaikan skripsi ini.
7. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains
dan Teknologi UIN Syarif Hidayatullah Jakarta.
8. Seluruh teman-teman penulis Hadi, Ariando, Ramdhan, dan teman
teman TIA lainnya yang telah memberikan banyak bantuan sehingga
penulis dapat menyelesaikan laporan Skripsi ini.
9. Dan pihak yang telah memberikan bantuan dan tidak dapat disebutkan
satu persatu.
Semoga Allah membalas semua kebaikan dan ketulusan hati kalian. Amin.
Jakarta, Maret 2011
x
DAFTAR ISI
Halaman
HALAMAN SAMPUL ………………………….….............................. i
HALAMAN JUDUL …………………………………………………. ii
LEMBAR PENGESAHAN PEMBIMBING ………………………….. iii
LEMBAR PENGESAHAN UJIAN …………………………................ iv
LEMBAR PERNYATAAN …………………………………………… v
ABSTRAK …………………………………………………………….. vi
KATA PENGANTAR ………………………………………………… vii
LEMBAR PERSEMBAHAN ………………………………………….. ix
DAFTAR ISI ………………………………………………………….. x
DAFTAR GAMBAR …………………………………………………. xiv
DAFTAR TABEL …………………………………………………….. xvii
DAFTAR LAMPIRAN ……………………………………………….. xviii
DAFTAR ISTILAH ……………………………………………………. xix
BAB I. PENDAHULUAN ....................................................................... 1
1.1. Latar Belakang ……………………………………………. 1
1.2. Perumusan Masalah ……………………………………….. 4
1.3. Batasan Masalah …………………………………………… 4
1.4. Tujuan Penelitian …………….…………………………… 5
1.5. Manfaat Penelitian ............................................…………… 5
1.6. Metodologi Penelitian .......................................................... 6
. 1.6.1 Metode Pengumpulan Data …………………………... 6
1.6.3 Metode Pengembangan Sistem ...................................... 6
1.7. Sistematika Penulisan ........................................................... 7
BAB II. LANDASAN TEORI .................................................................. 9
2.1. Wireless LAN …....………………………………………… 9
2.1.1. Mode Pada Wireless LAN ..……….………………… 9
2.1.2. Komponen Wireless LAN …….………… ………… 11
xi
2.1.3. Badan Standarisasi ……….……………………........... 14
2.1.4. Standar Wireless LAN …………..…………………… 15
2.1.5. Teknik Enkripsi Wireless LAN ……………………… 18
2.2. Protokol Keamanan AAA . …..…………………………….. 20
2.2.1. Remote Dial-in User Service (RADIUS) ….……….... 22
2.2.1.1. Format Paket RADIUS ….……......................... 22
2.2.1.2. Tipe Paket Pesan RADIUS ….…….................... 24
2.2.1.3. Tahapan Koneksi RADIUS ….…….................. 28
2.2.1.4. REALM ….……................................................ 30
2.3. Protokol Otentikasi ………………..………..……….…….. 30
2.3.1. Password Authentication Protocol .............................. 31
2.3.2. Challenge Handshake Authentication Protocol ........... 32
2.3.3. Extensible Authentication Protocol ............................. 34
2.3.3.1. EAP Over RADIUS ............................................ 36
2.3.3.1. EAP Over LAN ................................................... 38
2.4. EAP Methods ........……...……………………......……… 39
2.4.1. EAP MD5 ...................................................................... 40
2.4.2. EAP TLS ....................................................................... 40
2.4.3. EAP TTLS ..................................................................... 41
2.4.4. EAP PEAP MSCHAPv2 ............................................... 41
2.4.4.1. MSCHAPv2 ......................................................... 41
2.5. Secure Socket Layer / Transport Layer Security …………… 44
2.5.1. Protocol SSL Record ……………………………….... 45
2.5.2. Protocol SSL Handshake …………………………….. 46
2.5.3. Protocol SSL Alert …………………………………… 52
2.5.4. Arsitektur SSL / TLS ………………………………… 53
2.5.5. Sertfikat Digital ……………………………………… 54
2.5.6. Enkripsi Public Key …………………………………. 57
2.5.7. Kriprografi Simetris . …………………………………. 57
2.5.8. Kriprografi Asimetris . ……………………………….. 58
2.5.8.1 Kriprografi Asimetris . ………………………….. 60
xii
2.6. Tools .....……………………………......………................. 60
2.6.1. FreeRADIUS Server ..................................................... 60
2.6.2. JRadius Simulator ......................................................... 62
BAB III. METODE PENELITIAN ........................................................... 66
3.1. Metode Pengumpulan Data …………………………………. 66
3.1.1. Studi Lapangan / Observasi ..………….........………... 66
2.1.2. Kepustakaan (Library Research) / Studi Literatur.......... 67
3.2. Metode Pengembangan Sistem ........................................... 68
3.2.1. Tahapan Analisis ..………….........………................... 68
3.2.2. Tahapan Desain ..………….........………..................... 69
3.2.3. Tahapan Simulasi Prototyping ......………................... 69
3.2.4. Tahapan Penerapan ............... ......………..................... 70
3.2.5. Tahapan Pengawasan .....................………................... 70
3.2.6. Tahapan Pengaturan .....................………..................... 70
3.5. Mekanisme Kerja Penelitian ............................................... 70
BAB IV. HASIL DAN PEMBAHASAN .................................................. 72
4.1. Perencanaan ...... ..................................................................... 72
4.2. Analisa ...............................…………………………………. 73
4.2.1. Analisa Kebutuhan Sistem Keamanan EAP PEAP........ 73
4.3.2. Analisa Komponen-komponen ...................................... 75
4.3.2. Analisa Mekanisme PEAP ........................................... 77
4.3. Design . …..……………….……………………………........ 89
4.3.1 Perancangan Topologi ................................................... 89
4.3.2 Perancangan Sistem ....................................................... 93
4.4. Simulasi Prototyping ....................................................... . 95
4.4.1 Simulasi Kinerja Server AAA ........................................ 96
4.5. Implementasi...................................................................... 100
4.5.1 Instalasi FreeRADIUS………..…………………….... 102
4.5.2 Pembuatan Sertifikat Digital ………..………………. 103
4.5.3 Konfigurasi server RADIUS ………..………………. 103
4.5.4 Konfigurasi Access Point ………..…………………... 104
xiii
4.5.7 Instalasi Sertifikat CA pada Client …………………. 105
4.5.7 Instalasi Database Server …………...………..……. 105
4.5.7 Konfigurasi Database Server ………. …………………. 105
4.6. Monitoring ................................................................... .... 105
4.6.1 Pengujian Sistem …………………...………..……. 108
4.7. Management ....................................... ............................. 110
4.8. Hasil dan Pembahasan ………………………………….. 112
BAB V PENUTUP …………………………………………………….. 114
5.1 Kesimpulan ………………………………………………… 114
5.2 Saran ……………………………………………………….. 115
DAFTAR PUSTAKA ………..………………………………………... 116
LAMPIRAN .............................................................................................. 119
xiv
DAFTAR GAMBAR
Halaman
Gambar 2.1 Mode Jaringan Ad-Hoc ……………………………........ 10
Gambar 2.2 Model Jaringan Infrastruktur ............................................ 11
Gambar 2.3 Diagram Access Point yang terhubung ke jaringan ........ 12
Gambar 2.4 Multiple Access Point dan Roaming ................................. 12
Gambar 2.5 Penggunaan Extention Point .............................................. 13
Gambar 2.6 Format Paket RADIUS ................................................... 22
Gambar 2.7 Paket Access Request ....................................................... 24
Gambar 2.8 Paket Access Accept ....................................................... 28
Gambar 2.9 Paket Access Reject ........................................................ 26
Gambar 2.10 Paket Access Challenge .................................................. 27
Gambar 2.11 Proses Pembentukan Koneksi Protokol RADIUS ....... 29
Gambar 2.12 Tahapan Otentikasi PAP ........................................... 32
Gambar 2.13 Proses CHAP 3-way Handshake ...................................... 33
Gambar 2.14 Komunikasi Protokol EAP antara Supplicant, NAS dan
Authentication server ....................................................... 34
Gambar 2.15 Komponen EAP ............................................................... 35
Gambar 2.16 Skema Port Based Authentication ................................... 36
Gambar 2.17 Konversi Pesan EAP dan Pesan RADIUS ...................... 38
Gambar 2.18 Format Paket EAPOL ...................................................... 39
Gambar 2.19 Pemodelan Untuk Membawa Pesan pada Otentikasi dengan
Metode TLS ................................................................... 40
Gambar 2.20 Format SSL Record ....................................................... 46
Gambar 2.21 Handshake Protocol ....................................................... 47
Gambar 2.22 Arsitektur Protokol SSL .................................................. 53
Gambar 2.23 Peran CA dalam Penerbitan Sertifikat ............................. 54
Gambar 2.24 Format X.509 ................................................................... 56
Gambar 2.25 Kriptografi Simetris ....................................................... 58
Gambar 2.26 Kriptografi Asimetris ....................................................... 59
Gambar 2.27 Log pada Jradius ...................................................... 63
xv
Gambar 2.28 Konfigurasi Sertifikat Client .......................................... 64
Gambar 2.29 Konfigurasi Attribute pada Jradius .............................. 64
Gambar 2.30 Setup Jradius untuk dijalankan ....................................... 65
Gambar 3.1 Siklus Network Development Life Cycle (NDLC) ............. 68
Gambar 3.2. Mekanisme Kerja Penelitian .......................................... 72
Gambar 4.1 Proses Otentikasi PEAP MSCHAPv2 ................................ 78
Gambar 4.2 Capture paket EAP Response Identity …………………… 80
Gambar 4.3 Capture Paket EAP Request –TLS Stara ………………… 80
Gambar 4.4. Capture Paket Hello TLS Client ………………………… 81
Gambar 4.5 Capture Paket EAP Request Sertifikat Server …………….. 82
Gambar 4.6 Capture Paket EAP Response –Client Key Exchange …… 83
Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec
TLS Complete ……………………………………………. 84
Gambar 4.8 Capture Paket EAP-Request Identity-EAP-MS-CHAPv2… 85
Gambar 4.9 Capture Paket EAP-Response
Identity – EAP-MS-CHAP v2 …………………………… 85
Gambar 4.10 Capture Paket EAP-Request
EAP-MS-CHAP v2 Challenge …………………………. 86
Gambar 4.11 Capture Paket EAP-Response/
EAP-MS-CHAP v2 Response …………………………. 86
Gambar 4.12 Capture Paket EAP-Request/
EAP-MS-CHAP v2 Success …………………………… 86
Gambar 4.13 Capture Paket EAP response/EAP-MSCHAP v2 ack….. 87
Gambar 4.14 Capture Paket EAP Success ……………………………. 87
Gambar 4.15 Perancangan Topologi PEAP ………………………….. 89
Gambar 4.16 Topologi Jaringan Nirkabel FST UIN Jakarta …………. 91
Gambar 4.17 Perancangan Sistem PEAP ............................................. 93
Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS,
shared secret, dan authentication protocol ........................ 97
Gambar 4.19 Setting Atribut Username dan Password .......................... 99
Gambar 4.20 Hasil Simulasi Jradius Simulator ...................................... 99
xvi
Gambar 4.21 tampilan input username dan password
pada sisi client windows 7 ................................................. 100
Gambar 4.22 tampilan input username dan password pada sisi
client windows XP ............................................................. 101
Gambar 4.23 tampilan input username dan password pada sisi client
Ubuntu 10.10 desktop ........................................................ 101
Gambar 4.24 Mode Debug freeRADIUS .............................................. 102
Gambar 4.25 Konfigurasi database dengan phpmyadmin …………….. 105
Gambar 4.26 Perbandingan Beban Server Berdasarkan Jumlah Request
Otentikasi …………………………………………….… 106
Gambar 4.27 Jumlah paket authentication request ………………...….. 107
Gambar 4.28 Jumlah paket accounting request ……………………...... 107
Gambar 4.29 Konfigurasi AP SSID black_usb ....................................... 108
Gambar 4.30 Konfigurasi Security mode WPA enterprise....................... 109
Gambar 4.31 scanning status AP black_usb …………………………... 109
Gambar 4.32 Capture paket data pada AP black_usb ........................... 110
Gambar 4.33 manajemen akun pengguna ............................................... 111
Gambar 4.34 manajemen access point .................................................... 111
xvii
DAFTAR TABEL
Halaman
Tabel 2.1 Perbandingan Standar Wireless LAN ................................... 17
Tabel 2.2 Kode Tipe Pesan RADIUS ................................................... 23
Tabel 2.3 Paket Access-Request ........................................................... 25
Tabel 2.4 Paket Access-Accept ............................................................ 26
Tabel 2.5 Paket Access- Reject ........................................................... 27
Tabel 2.6 Paket Access-Challenge ....................................................... 28
Tabel 2.7 Daftar Pesan Error MSCHAPv2 ......................................... 43
Tabel 2.8 Alert Error Message ............................................................. 52
Tabel 3.1 Studi Literatur ...................................................................... 67
Tabel 4.1 Perbandingan EAP TLS dan PEAP .................................... 74
Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat ................................ 75
Tabel 4.3 Spesifikasi Software ............................................................ 76
Tabel 4.4 Spesifikasi Hardware ........................................................... 76
Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses ... ................... 88
Tabel 4.6 Alamat IP Jaringan Nirkabel FST UIN Jakarta ................... 92
Tabel 4.7 keterangan simbol diagram alur .......................................... 94
xviii
DAFTAR LAMPIRAN
Halaman
Lampiran 1. Instalasi FreeRADIUS Server …………………………… 119
Lampiran 2. Pembuatan Sertifikat Digital CA dan Server ……………. 121
Lampiran 3. Konfigurasi eap.conf …………………………………….. 126
Lampiran 4. Konfigurasi clients.conf ………………………………… 140
Lampiran 5. Konfigurasi pada File Users ……………………………. 145
Lampiran 6. Konfigurasi Access Point ………………………………. 149
Lampiran 7. Instalasi dan Konfigurasi Sertifikat pada sisi klien …….. 152
Lampiran 8. Wawancara dengan Bagian Pusdatin …………………… 158
xix
DAFTAR ISTILAH
Istilah Arti
Access Point (AP) Merupakan sebuah node yang telah dikonfigurasikan
secara khusus pada sebuah jaringan wireless LAN. AP
bertindak sebagai pusat pemancar dan penerima untuk
sinyal sinyal radio WLAN.
Access Layer Merupakan station akhir, perangkat access layer biasanya berplatform switching.
Advanced Encryption Standard (AES)
Standar algoritma enkripsi di Amerika Serikat yang menggntikan standar DES yang lebih lama dan lebih lemah
AES-based Cipher Block Chaining Message Authentication Code Protocol (CCMP)
Teknik enkripsi yang digunakan oleh WPA versi 2
Analysis Suatu fase pada model pengembangan sistem diamana biasanya dilakukan proses perumusan masalah, identifikasi dan perbandingan terhadap komponen.
Anonym Orang dengan nama yang tidak dikenal
Application layer Layer paling atas (layer 7) dalam model referensi OSI
yang menyediakan layanan komunikasi seperti email
dan transfer file, terdiri atas antar muka antara
lingkungan OSI dan aplikasi pengguna
Attributes Dictionary Bentuk item informasi yang disediakan oleh layanan
direktori. Basis informasi direktori terdiri atas masukan
masukan, masing masing berisi satu atau lebih attribut.
Authentication framework Kerangka dan aturan untuk proses otentikasi
Backbone Jaringan dengan jalur dan perangkat berkecapatan
tinggi yang menghubungkan jaringan jaringan lain
yang lebih kecil dengan kecepatan rendah menjadi satu.
Block cipher skema algoritma sandi yang akan membagi-bagi teks
terang yang akan dikirimkan dengan ukuran tertentu
(disebut blok) dengan panjang t, dan setiap blok
dienkripsi dengan menggunakan kunci yang sama.
Pada umumnya, block-cipher memproses teks terang
dengan blok yang relatif panjang lebih dari 64 bit,
untuk mempersulit penggunaan pola-pola serangan
yang ada untuk membongkar kunci.
Browsing Aktifitas menjelajah internet melalui world wide web
buffer Tempat penyimpanan sementara untuk data yang
sedang transit, dirancang bertujuan untuk mengimbangi
perbedaan dalam kecepatan transmisi
Byte Adalah sebuah rangkaian bit bit
Capture Proses dimana analis sniffer mencatat lalu lintas data
jaringan untuk diterjemahkan
xx
Certificate Dokumen Elektronik yang menggunakan tanda tangan
digital untuk mengikat kunci publik dengan informasi
identitas seperti nama orang atau organisasi, alamat,
dan sebagainya.
Certificate Authority (CA) Entitas yang menerbitkan sertifikat digital (khususnya
sertifikat X.509) dan menjamin keterikatan item item
data dalam suatu sertifikat
Challenge Paket yang dikirimkan oleh server untuk meminta
informasi yang diperlukan
Channel Jalur komunikasi yang cukup lebar untuk
memungkinkan sebuah transmisi RF tunggal
Cisco CNS Access Registrar (CAR)
Menyediakan layanan RADIUS yang dikeluarkan oleh
Cisco
Ciphertext Data yang telah di transformasikan melalui enkripsi
sehingga kandungan informasi semantiknya (maksud
dari data tersebut) tidak dapat langsung dietahui
Client Pada jaringan, client adalah suatu program aplikasi
memungkinkan pengguna mengakses layanan dari
komputer server
Closed source kode aplikasi bersifat tertutup, tidak dipublikasikan
Core layer lapisan yang menghubungkan jaringan lokal kejaringan external, kecepatan transmisi yang tinggi,
Coverage Liputan, Daerah cakupan
Cracker Seseorang yang berusaha untuk mengakses sistem komputer tanpa izin orang ini kebanyakan memiliki niat jahat
Database server Database yang dipasang sebagai komponen
Data Encryption Standard sebuah algoritma enkripsi sandi blok kunci simetrik dengan ukuran blok 64-bit dan ukuran kunci 56-bit. DES untuk saat ini sudah dianggap tidak aman lagi. Penyebab utamanya adalah ukuran kuncinya yang sangat pendek (56-bit). Sejak beberapa tahun yang lalu DES telah digantikan oleh Advanced Encryption Standard (AES).
Design Perencanaan yang meletakkan dasar untuk pembuatan setiap objek atau sistem
Device Perangkat keras komputer
Dictionary attack metode dengan memanfaatkan dictionary / database yang berisi password
Directional Arah
Direct sequence spread sprectrum (DSSS)
metode untuk mengirimkan data dimana sistem pengirim dan penerima keduanya berada pada set frekuensi yang lebarnya adalah 22 MHz.
Distribution layer Merupakan layer yang dikatakan “pintar” dalam model three layer model, karena didalamnya terdapat proses routing, filtering dan kebijakan QoS
xxi
Download Transfer data melalui jalur komunikasi digital dari sistem yang lebih besar atau pusat (server) ke sistem yang lebih kecil (client).
Draft Konsep
Embedded Melekat, Embedded system adalah sistem elektronika yang didalamnya terdapat mikroprosesor sebagai pengendali kerja system.
Encrypt mengenkripsi
Error Kesalahan
FQDN (Fully Qualified Domain Named)
Merupakan nama lengkap sistem. Misalnya “uad” adalah hostname dan FQDN nya adalah “uad.ac.id”
Frame Pengelompokan byte secara khusus yang ditata menurut aturan logika yang sudah ditentukanuntuk membentuk informasi yang dibagi bagi untuk protokol khusus
General Public License (GPL) merupakan suatu lisensi perangkat lunak bebas
Generate menghasilkan
Graphical User Interface (GUI)
Metoda interaksi secara grafis antara pengguna dan komputer
Handle Menangani
Handshake Bagian dari prosedur untuk menyiapkan koneksi komunikasi data
Hardware Perangkat keras mengacu kepada objek memungkinkan untuk disentuh seperti disket, disk drive , monitor, keyboard, dan lain-lain
Hashing Metode pencarian yang memanfaatkan fungsi hash
Initialization Vector (IV) Vektor awal
Internet Jaringan komputer global yang memungkinkan dua komputer atau lebih berkoneksi dengan nya untuk mentransfer file dan tukar menukar email dan pesan pesan real time
Key Kunci
Load balancing Pada routing, kemampuan suatu router untuk mendistribusikan aliran data lewat semua port jaringannya yang berjarak sama dari alamat tujuan
Local Area Network (LAN) Network yang masing-masing node terpisah dalam jarak yang lokal dan menggunakan link berupa jalur transmisi kabel.
Logon Tindakan mengadakan koneksi dengan suatu sistem komputer dan memasukkan identifikasi pengguna serta informasi password
Management Pengelolaan / pengaturan
Message integrity check Proses pengecekan keutuhan pesan
MK (master session key) Kunci yang digunakan bersama oleh semua pihak yang
xxii
berpartisipasi dalam penggunaaan suatu EAP method yang telah kompilt / sukses
Monitoring Salah satu tahap dalam metode pengembagan NDLC. Didalamnya terdapat testing dan monitoring
Mutual l authentication Otentikasi dua arah antara dua device yang akan melakukan proses komunikasi
Network Development Life Cycle (NDLC)
Metode pengembangan sistem
network-sensing Pengindaraan jaringan
Node Titik suatu koneksi atau sambungan dalam jaringan
Open authentication Metode otentikasi null. Setiap station bisa berasosiasi dengan setiap akses poin yang menggunakan otentikasi sistem terbuka asalkan memiliki SSID yang tepat.
Open-source Kebalikan dari closed source, kode aplikasi bersifat terbuka.
Optional pilihan
Orthogonal Frequency Division Multiplexing (OFDM)
sebuah teknik transmisi yang menggunakan beberapa buah frekuensi (multicarrier) yang saling tegak lurus (orthogonal)
Overlap Tumpang tindih
Password Kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sebuah sistem operasi yang mendukung banyak pengguna (multiuser) untuk memverifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut
PCMCIA Protokol otentikasi yang berbasis port
Plaintext Data yang kandungan informasi semantiknya (maksud
dari data tersebut dapat langsung dietahui
PMK Kunci yang diturunkan dari MK
Port based authentication mekanisme otentikasi 802.1x berbasis port yang terdapat pada authenticator
Pre-shared Key (PSK) Lihat Shared secret key
Quality of Service(QOS) Satuan pengukuran kinerja suatu sistem transmisi yang merefleksikan kualitas transmisi dan ketersediaan layanan.
Random Access Memory (RAM)
Sebuah tipe penyimpanan komputer yang isinya dapat diakses dalam waktu yang tetap tidak memperdulikan letak data tersebut dalam memori
Re-authentication Proses otentikasi ulang
Relational Database Management System (RDMS)
seperangkat program komputer yang didisain untuk mengatur/memanajemen sebuah basisdata sebagai sekumpulan data yang disimpan secara terstruktur, dan melakukan operasi-operasi atas data atas
xxiii
permintaan penggunanya.
Repeater Perangkat yang memperluas jangkauan maksimal suatu kabel yang dapat digunakan dalam sebuah jaringan
Request Perminataan
Request for Comments (RFC) Salah satu dari seri dokumen infomasi dan standar Internet bernomor yang diikuti secara luas oleh perangkat lunak untuk digunakan dalam jaringan, Internet dan beberapa sistem operasi jaringan, mulai dari Unix, Windows, dan Novell NetWare
Response Balasan
Rogue Tersamar / palsu
Scanning Melakukan teknik analisis yang bersifat nonintrusif yang mengidentifikasi port terbuka yang terdapat pada setiap perangkat jaringan
Security policy Kebijakan keamanan
Setting Tata cara
Service Layanan
Shared secret key kunci yang akan dibagikan ke komputer dan juga kepada client secara transparant
Simulator Alat yang digunakan untuk melakukan simulasi
Spread Spectrum teknik pengiriman sinyal informasi yang menggunakan suatu kode untuk menebarkan spectrum energi sinyal informasi dalam bandwidth yang jauh lebih lebar dibanding bandwidth sinyal informasi.
Stand-alone Berdiri sendiri
Stream cipher algoritma sandi yang mengenkripsi data persatuan data, seperti bit, byte, nible atau per lima bit(saat data yang di enkripsi berupa data Boudout). Setiap mengenkripsi satu satuan data di gunakan kunci yang merupakan hasil pembangkitan dari kunci sebelum.
Temporal Key Integrity Protocol (TKIP)
Protokol keamanan yang digunakan pada jaringan standar wireless IEEE 802.11
three-tier Layer Hierarichical Design
Model jaringan enterprise dari cisco terdiri dari lapisan : core, distribution, dan akses
Transport Layer Security (TLS)
Merupakan kelanjutan dari protokol kriptografi yang menyediakan komunikasi yang aman di Internet
Tools Alat
Transceiver (transmitter-receiver)
Perangkat fisik yang menghubungkan antar muka host dengan local area network, seperti ethernet
User Pengguna. Biasanya ditujukan kepada pengguna suatu sistem yang umumnya adalah manusia. Misalnya pengguna komputer
Web based interface Metoda interaksi dengan tampilan berbasiskan web
xxiv
Wi-Fi Alliance Aliansi industri yang mempromosikan penggunaan
jaringan nirkabel yang berdasarkan pada spesifikasi
802.11. produk yang telah mendapat persetujuan dari
aliansi tersebut menerima sertifikat segel
interoperabilitas Wi-Fi
Windows Internet Authentication Service (IAS).
RADIUS server dari Microsoft
Wireless networks Jaringan yang menggunakan gelombang radio untuk
membentuk kanal komunikasi antar komputer Wire Kawat / kabel
2
dua protokol keamanan pada jaringan nirkabel yang banyak digunakan untuk
menjawab kebutuhan tersebut. Baik WEP maupun WPA menggunakan sebuah
shared secret key yang digunakan untuk mengendalikan akses ke jaringan. Setiap
pengguna yang ingin terhubung ke jaringan harus mengetahui kombinasi shared
secret key yang digunakan oleh access point (Ilman Zuhri Yadi). Penggunaan
shared secret key ini pada jaringan skala besar seperti di perusahaan, instansi
pemerintahan dan/atau universitas dapat menimbulkan celah keamanan yang baru
dikarenakan kombinasi key yang digunakan sama untuk setiap pengguna. Selain
itu penggunaan WEP dan WPA juga menimbulkan kerumitan proses administrasi
jaringan. Untuk mengatasi hal ini, badan IEEE mengeluarkan protokol baru yang
menerapkan protokol IEEE 802.1X pada jaringan nirkabel. Penggunaan IEEE
802.1X atau port based authentication protocol memungkinkan proses otentikasi
dilakukan secara terpusat.
Pada penelitian sebelumnya (Ali Mahrudi, 2006), IEEE 802.1X telah
diterapkan untuk menjawab masalah keamanan dan kendali akses pada jaringan
nirkabel di Fakultas Sains dan Teknologi (FST) UIN Jakarta. Namun, pada
penelitian tersebut otentikasi protokol yang digunakan adalah EAP-TLS. Dari sisi
keamanan, solusi ini telah menjawab semua permasalahan yang ada, tetapi
penggunaan EAP-TLS mengharuskan penggunaan sertifikat digital pada sisi
wireless klien (RFC 2716). Hal ini membuat proses implementasi menjadi lebih
rumit dan membutuhkan waktu yang lebih lama karena sertifikat digital tersebut
harus didistribusikan pada tiap-tiap klien dimana setiap sertifikat digital tersebut
bersifat unik untuk setiap wireless klien. Selain itu, solusi ini juga membuat
3
proses administrasi pengguna, seperti penambahan, penghapusan serta perubahan
informasi pengguna menjadi lebih rumit.
PEAP dirancang untuk memberikan kemudahan implementasi otentikasi
protokol EAP yang berbasis sertifikat digital. Implementasi PEAP hanya
memerlukan sertifikat digital pada sisi authentication server, sedangkan sertifikat
digital pada sisi wireless klien akan digantikan dengan menggunakan kombinasi
username dan password. Penggunaan kombinasi username dan password untuk
menggantikan sertifikat digital juga dapat meningkatkan mobilitas pengguna,
karena pengguna tidak dibatasi pada perangkat tertentu.
Berdasarkan permasalahan tersebut, penulis ingin memberikan solusi
untuk mengatasi kekurangan tersebut dengan menerapkan protokol PEAP sebagai
protokol otentikasinya. protokol PEAP memiliki tingkat keamanan yang hampir
sama sepeti protokol EAP TLS. Perbedaan kedua protokol tersebut terletak pada
kemudahan protokol PEAP untuk diimplementasikan dan diterapkan.
Beranjak dari permasalahan di atas, pada penelitian tugas akhir ini penulis
mengambil judul: “Implementasi Protokol Otentikasi PEAP Pada
Infrastruktur Jaringan Nirkabel Fakultas Sains dan Teknologi UIN
Jakarta”. Diharapkan hasil penelitian ini dapat meningkatkan Quality of Service
pada jaringan nirkabel di Fakultas Sains dan Teknologi UIN Jakarta.
4
1.2. Perumusan Masalah
Pada skripsi kali ini, penulis merumuskan masalah sebagai berikut:
1. Bagaimana penerapan protokol IEEE 802.1x untuk menangani kendali
akses pada jaringan nirkabel.
2. Bagaimana penerapan protokol Protected Extensible Authentication
Protocol (PEAP) untuk menangani proses otentikasi pengguna jaringan
nirkabel pada FST UIN Jakarta.
3. Bagaimana mekanisme protokol PEAP untuk menangani proses otentikasi
pengguna jaringan nirkabel.
1.3. Batasan Masalah
Untuk penulisan skripsi ini, penulis membatasi masalah dalam hal sebagai
berikut:
1. Implementasi otentikasi protokol PEAP pada jaringan nirkabel FST UIN
Jakarta.
2. Protokol AAA yang digunakan menangani proses otentikasi secara
terpusat adalah Remote Dial-in User Service (RADIUS).
3. Pada penelitian ini, algoritma kriptografi yang digunakan adalah RSA-
AES-SHA.
4. Manajemen User pada Implemetasi PEAP berbasis Web.
5. Informasi pengguna berupa kombinasi username dan password akan
disimpan dalam suatu database terpusat.
5
1.4. Tujuan Penelitian
Tujuan dari penelitian ini adalah:
1. Menerapkan protokol PEAP untuk meningkatkan Quality of Service
pada infrastruktur jaringan nirkabel FST UIN.
2. Memberikan kemudahan pada administrator jaringan dalam melakukan
manajemen pengguna yang terpusat.
3. Mengembangkan sistem otentikasi jaringan wireless yang terpusat.
1.5. Manfaat Penelitian
Manfaat yang diharapkan dari penelitian ini adalah :
a. Hasil penelitian diharapkan dapat memberi manfaat bagi siapa saja
yang ingin membangun infrastruktur jaringan nirkabel dengan tingkat
keamanan yang tinggi dan mudah untuk diimplementasikan.
b. Bagi Fakultas Sains dan Teknologi, hasil penelitian dapat digunakan
menjadi bahan pertimbangan untuk diimplementasikan pada
infrastruktur jaringan nirkabel yang telah ada saat ini. Sehingga dapat
memberikan layanan yang lebih bermutu, baik dari sisi kinerja dan
keamanannya.
c. Bagi penulis, dapat mempelajari, memahami dan menerapkan
otentikasi protokol PEAP dan penerapannya pada layanan AAA.
6
1.6. Metodologi Penelitian
Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi
dua, yaitu metode pengumpulan data dan metode pengembangan sistem.
1.6.1. Metode Pengumpulan data
Merupakan metode yang digunakan penulis dalam melakukan analisis data
dan menjadikannya informasi yang akan digunakan untuk mengetahui
permasalahan yang dihadapi.
1. Studi Lapangan
Metode pengumpulan data dengan melakukan observasi dan
melakukan wawancara untuk memperoleh keterangan untuk tujuan
penelitian.
2. Studi Kepustakaan dan literatur
Metode pengumpulan data melalui buku, jurnal, skripsi, dan laporan
penelitian yang relevan serta mencari data di internet yang dijadikan
acuan dalam penelitian yang dilakukan.
1.6.2. Metode Pengembangan sistem
Metode pengembangan sistem yang digunakan dalam penelitian ini adalah
metode pengembangan sistem Network Development Life Cycle (NDLC). siklus
ini terdiri dari beberapa tahapan, yaitu :
1. Analisis
7
2. Desain (Perancangan)
3. Simulasi prototipe
4. Implementasi (Penerapan)
5. Monitoring
6. Manajemen
1.7. Sistematika Penulisan
Dalam penyusunan tugas akhir ini, penulis menyajikan dalam 5 bab yang
dijabarkan sebagai berikut :
BAB I PENDAHULUAN
Bab ini membahas tentang latar belakang, perumusan
masalah, batasan masalah, metodologi penelitian, tujuan
dan manfaat penelitian dan sistematika penulisan pada
penelitian ini.
BAB II LANDASAN TEORI
Bab ini menjelaskan teori-teori yang digunakan sebagai
landasan dalam penelitian, seperti teori jaringan nirkabel,
keamanan jaringan nirkabel, otentikasi protokol EAP,
RADIUS.
BAB III METODOLOGI PENELITIAN
Bab ini akan menjelaskan tentang tahapan-tahapan yang
dilakukan dalam melaksanakan penelitian ini. Dalam hal ini
8
penulis menggunakan metodologi penelitian NDLC atau
Network Development Life Cycle.
BAB IV ANALISIS DAN IMPLEMENTASI
Bab ini berisi analisis terhadap kebutuhan sistem,
perancangan serta implementasi protokol otentikasi PEAP
pada jaringan nirkabel FST UIN Jakarta.
BAB V KESIMPULAN DAN SARAN
Bab ini merupakan bab penutup yang berisi kesimpulan
serta saran yang dapat membantu pengembangan sistem ini
di masa yang akan datang.
1
BAB I
PENDAHULUAN
1.1. Latar Belakang
Teknologi jaringan nirkabel atau WLAN menggunakan gelombang radio
sebagai media transmisinya. Hal ini membuat teknologi tersebut memberikan
mobilitas yang lebih baik daripada jaringan kabel (Neil Reid, 2010). Tetapi,
penggunaan gelombang radio juga memberikan dampak negatif, yaitu tidak
adanya perlindungan fisik dan kendali akses pada jaringan nirkabel. Setiap
pengguna yang berada dalam jangkauan daya pancar suatu access point (AP)
maka akan dengan mudah terkoneksi dan menggunakan layanan serta sumber
daya yang ada pada jaringan. Dampak negatif lainnya adalah komunikasi yang
terjadi akan dengan mudah disadap oleh pihak ketiga (Zaenal Arifin, 2008).
Beberapa solusi dikembangkan untuk mengatasi celah-celah keamanan tersebut.
Protokol keamanan ini bertujuan untuk membatasi akses ke jaringan nirkabel serta
mengamankan komunikasi yang terjadi agar tidak dapat disadap oleh pihak-pihak
yang tidak berwenang.
Untuk tujuan tersebut maka dikembangkan protokol yang mendukung fitur
otentikasi dan enkripsi. Otentikasi bertujuan untuk melakukan verifikasi identitas
pengguna sehingga hanya pengguna yang terdaftar/sah yang dapat terhubung ke
jaringan (Jonathan Hassel, 2002). Sedangkan, fitur enkripsi bertujuan untuk
mengamankan proses komunikasi agar tidak dapat disadap oleh pihak ketiga.
WEP (Wired Equivalent Privacy) dan WPA (Wi-fi Protected Access) merupakan
9
BAB II
LANDASAN TEORI
2.1 Wireless LAN
Wireless (jaringan nirkabel) menggunakan gelombang radio (RF) atau
gelombang mikro untuk membentuk kanal komunikasi antar komputer. Jaringan
nirkabel adalah alternatif yang lebih modern terhadap jaringan kabel yang
bergantung pada kabel tembaga dan serat optik antar jaringan. LAN atau Local
Area Network Merupakan jaringan komputer yang meliputi suatu area geografis
yang relatif kecil (dalam satu lantai atau gedung). LAN dicirikan dengan
kecepatan data yang relatif tinggi dan kecepatan error yang relatif rendah.
(Kamus Lengkap Jaringan Komputer, 2004). Jaringan nirkabel memungkinkan
user untuk melakukan komunikasi, mengakses aplikasi dan informasi tanpa kabel.
Hal tersebut memberikan kemudahan dan kebebasan untuk bergerak dan
kemampuan memperluas aplikasi ke berbagai bagian gedung, kota, atau hampir ke
semua tempat di dunia.
2.1.1 Mode pada Wireless LAN
WLAN sebenarnya memiliki kesamaan dengan jaringan LAN, akan tetapi
setiap node pada WLAN menggunakan wireless device untuk berhubungan
dengan jaringan. Node pada WLAN menggunakan channel frekuensi yang sama
dan SSID yang menunjukkan identitas dari wireless device. Tidak seperti jaringan
kabel, jaringan wireless memiliki dua mode yang dapat digunakan, yaitu:
10
a. Model Ad-Hoc
Model ad-hoc merupakan mode jaringan nirkabel yang sangat
sederhana, karena pada mode ini tidak memerlukan access point untuk
host dapat saling berkomunikasi. Setiap host cukup memiliki
transmitter dan reciever wireless untuk berkomunikasi secara langsung
satu sama lain seperti tampak pada gambar 2.1. Kekurangan dari mode
ini adalah komputer tidak bisa berkomunikasi dengan komputer pada
jaringan yang menggunakan kabel. Selain itu, daerah jangkauan pada
mode ini terbatas pada jarak antara kedua komputer tersebut.
Gambar 2.1 Mode Jaringan Ad-Hoc
Sumber : http://oc.its.ac.id/ambilfile.php?idp=153
b. Model Infrastruktur
Jika komputer pada jaringan wireless ingin mengakses jaringan kabel
atau berbagi printer misalnya, maka jaringan wireless tersebut harus
menggunakan mode infrastruktur (gambar 2.2). Pada mode
infrastruktur access point berfungsi untuk melayani komunikasi utama
pada jaringan wireless. Access point mentransmisikan data pada PC
11
dengan jangkauan tertentu pada suatu daerah. Penambahan dan
pengaturan letak access point dapat memperluas jangkauan dari
WLAN.
Gambar 2.2 Model Jaringan Infrastruktur
Sumber : http://oc.its.ac.id/ambilfile.php?idp=153
2.1.1 Komponen Wireless LAN
Dalam membangun sebuah jaringan WLAN, maka diperlukan beberapa
perangkat keras agar komunikasi antara station dapat dilakukan. Secara umum,
komponen wireless LAN terdiri atas perangkat berikut :
1. Access Point (AP)
Pada wireless LAN, device transceiver disebut sebagai access point
(AP), dan terhubung dengan jaringan (LAN) melalui kabel. Fungsi dari
AP adalah mengirim dan menerima data, serta berfungsi sebagai buffer
data antara wireless LAN dengan wired LAN. Satu AP dapat melayani
sejumlah user (beberapa literatur menyatakan bahwa satu AP maksimal
12
meng-handle sampai 30 user). Karena dengan semakin banyak nya user
terhubung ke AP maka kecepatan yang diperoleh tiap user juga akan
semakin berkurang.
Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan.
Sumber : http://www.hp.com/sbso/wireless/setup_wireless_network.html
Bila AP dipasang lebih dari satu dan coverage tiap AP saling overlap,
maka user/ client dapat melakukan roaming. Roaming adalah
kemampuan client untuk berpindah tanpa kehilangan koneksi dan tetap
terhubung dengan jaringan.
Gambar 2.4 Multiple Access Point dan Roaming
Sumber : http://ilmukomputer.org/2008/11/26/konsep-dasar-wlan/
13
2. Extension Point
Hanya berfungsi layaknya repeater untuk client ditempat yang jauh.
Syarat dari AP yang digunakan sebagai extension point ini adalah terkait
dengan channel frekuensi yang digunakan. Antara AP induk (yang
terhubung langsung dengan backbone) dan AP repeater-nya harus
memiliki frekuensi yang sama.
Gambar 2.5 Penggunaan Extension Point
Sumber : http://library.thinkquest.org/04oct/01721/wireless/faq.htm
3. Antena
Digunakan untuk memperkuat daya pancar. Terdapat beberapa tipe
antena yang dapat mendukung dalam implementasi wireless LAN. Ada
yang tipe omni, sectorized serta directional.
4. Wireless LAN Card
14
WLAN card dapat berupa PCMCIA, USB card atau Ethernet card dan
sekarang banyak dijumpai sudah embedded di terminal (notebook
maupun HP). Biasa nya PCMCIA digunakan untuk notebook sedangkan
yang lain nya digunakan untuk komputer desktop. WLAN card berfungsi
sebagai interface antara sistem operasi jaringan client dengan format
interface udara ke AP. (Gunadi, 2009)
2.1.2 Badan Standarisasi
a. Federal Communication Commission (FCC)
Federal Communiation Commission (FCC) adalah sebuah perwakilan
independen dari pemerintah Amerika Serikat, didirikan oleh
Communication Act pada tahun 1943. FCC berhubungan dengan
peraturan peraturan dibidang komunikasi yang menggunakan radio,
televisi, wire, satelit, dan kabel baik di wilayah Amerika sendiri
maupun untuk international.
FCC membuat peraturan yang didalamnya berisi perangkat perangkat
wireless LAN mana yang dapat beroperasi. FCC menentukan pada
spectrum frequency radio yang mana wireless LAN dapat berjalan dan
seberapa besar power yang dibutuhkan, teknologi transmisi mana yang
digunakan, serta bagaimana dan dimana berbagai jenis hardware
wireless LAN dapat digunakan.
b. Internet Engineering Task Force (IETF)
IETF adalah komunitas terbuka, yang anggota anggota nya terdiri atas
para peneliti, vendor, dan perancangan jaringan. Tujuan IETF adalah
15
mengkoordinasikan pegoperasian, pengelolaan, dan evolusi internet,
dan memecahkan persoalan arsitektural dan protokol tingkat
menengah. IETF mengadakan pertemuan tiga kali setahun dan laporan
hasil pertemuan pertemuan itu secara lengkap termasuk kedalam IETF
proceedings.
c. Institute of Electrical and Electronics Engineers (IEEE)
Institute of Electrical and Electronics Engineers (IEEE) adalah
pembuat kunci standar dari hampir semua hal yang berhubungan
dengan teknologi dan informasi di Amerika Serikat. IEEE membuat
standar dengan peraturan yang telah ditetapkan oleh FCC. IEEE telah
menspesifikasikan begitu banyak standar teknologi. Seperti Public Key
cryptography (IEEE 1363), Ethernet (IEEE 802.3), dan untuk Wireless
LAN dengan standar IEEE 802.11. (Gunadi, 2009)
2.1.3 Standar Wireless LAN
Standar yang lazim digunakan untuk WLAN adalah 802.11 yang
ditetapkan oleh IEEE pada akhir tahun 1990. standar 802.11 kemudian dibagi
menjadi tiga jenis, yaitu :
a. IEEE 802.11a
Menggunakan teknik modulasi Orthogonal Frequency Division
Multiplexing (OFDM) dan berjalan pada frekuensi 5 GHz dengan
kecepatan transfer data mencapai 54 Mbps. Kelebihan dari standar ini
adalah kecepatan transfer data yang lebih tinggi dan lebih kecil potensi
16
terjadinya interferensi dari perangkat nirkabel lainnya karena frekuensi
ini jarang digunakan. Kelemahannya antara lain membutuhkan biaya
yang lebih besar, jarak jangkuan lebih pendek karena frekuensi tinggi
dan juga dapat menyebabkan sinyal mudah diserap oleh benda
penghalang seperti tembok.
b. IEEE 802.11b
Menggunakan teknik modulasi direct sequence spread sprectrum
(DSSS) dan berjalan pada pita frekuensi 2,4 Ghz dengan kecepatan
transfer 11 Mbps. Kelebihan dari standar ini adalah biaya implementasi
yang lebih sedikit dan jarak jangkauan yang lebih baik. Kelemahannya
adalah kecepatan transfer yang lebih lambat dan rentan terhadap
interferensi karena frekuansi 2,4 GHz juga banyak digunakan oleh
perangkat lainnya.
c. IEEE 802.11g
Menggunakan teknik modulasi OFDM dan DSSS sehingga memiliki
karakteristik dari kedua standar 802.11b dan 802.11a. Standar ini
bekerja pada frekuensi 2.4 GHz dengan kecepatan transfer data
mencapai 54 Mbps tergantung dari jenis modulasi yang digunakan.
Kelebihan dari standar ini adalah kecepatan transfer data yang tinggi
(menyamai standar 802.11a), jarak jangkauan yang cukup jauh dan
lebih tahan terhadap penyerapan oleh material tertentu karena bekerja
pada frekuensi 2,4 GHz. Kelemahannya adalah rentan terhadap
interferensi dari perangkat nirkabel lainya. (Gunadi, 2009)
17
Secara umum perbandingan diantara standar WLAN yang dimaksud
dapat dijabarkan seperti pada table 2.1 berikut :
Tabel 2.1 Perbandingan Standar Wireless LAN
Sumber : (Gunadi, 2009 )
802.11b 802.11a 802.11g 802.11n
Standard
approved
July
1999 July 1999 June 2003 Not yet ratified
Maximum
data rate 11 Mbps 54 Mbps 54 Mbps 600 Mbps
Modulation DSSS or
CCK OFDM
DSSS or CCK
or OFDM
DSSS or CCK or
OFDM
RF band 2,4 GHz 5 GHz 2,4 GHz 2,4 GHz or 5 GHz
Number of
spatial
streams
1 1 1 1, 2, 3, or 4
Channel
width 20 MHz 20 MHz 20 MHz
20 MHz or 40
MHz
Compatible
with … 802.11 b 802.11 a 802.11 b/g 802.11 b/g/n
d. IEEE 802.11i
IEEE 802.11i atau yang juga sebagai WPA2 merupakan standarisasi
pada 802.11 yang khusus menspesifikasikan mekanisme keamanan
untuk jaringan nirkabel. Draft standarisasi ini yang disetujui pada 24
Juni 2004 dirancang untuk menggantikan protokol WEP yang memiliki
celah keamanan yang besar. Wi-Fi Alliance sebelumnya telah
mengeluarkan standarisasi WPA sebagai solusi sementara untuk
mengganti WEP. WPA2 adalah perbaikan dan versi final dari WPA.
802.11i menggunakan algoritma enkripsi AES block cipher, sedangkan
WEP dan WPA menggunakan RC4 stream cipher.
Arsitektur 802.11i terdiri dari beberapa komponen, 802.1x untuk
otentikasi, RSN (Robust Secure Network) untuk memantau status
18
assosiasi, dan AES-based Cipher Block Chaining Message
Authentication Code Protocol (CCMP) untuk menyediakan fasilitas
confidentiality, integrity, dan data encryption. Selain itu, komponen
penting lainnya dalam proses otentikasi 802.11 adalah proses 4-way
handshake. (Reza Fuad R)
2.1.4 Teknik Enkripsi Wireless LAN
Dalam jaringan nirkabel dikenal ada beberapa teknik enkripsi yang biasa
digunakan, antara lain :
1. Wired Equivalent Privacy (WEP)
Teknik enkripsi WEP menggunakan kunci (key) yang disebar antara
accsess point dengan kliennya dalam satu jaringan supaya masing –
masing dapat melakukan proses enkripsi dan dekripsi, karena kedua
proses tersebut hanya mungkin dilakukan jika memiliki key yang sama.
key yang digunakan pada WEP standar adalah 64 bit, 40 bit adalah key
dan 24 bit sisa nya adalah Initialization Vector (IV) yang dikirimkan
berupa teks untuk proses otentikasi. Andaikan key yang digunakan
pada enkripsi tidak dikenali oleh klien yang seharusnya melakukan
dekripsi, maka frame tersebut akan ditolak.
Enkripsi ini kemudian menjadi kurang popular karena dikatahui
terdapat kelemahan yaitu memiliki IV yang pendek, sehingga
memungkinkan terjadinya pengulangan IV yang digunakan untuk
setiap jumlah frame yang dikirimkan, tergantung pada luas jaringan
19
dan jumlah pengguna yang terhubung (tingkat kesibukan jaringan) dan
membuat cracker bisa dengan mudah menerka IV dan menembus
enkripsi WEP. Namun WEP masih tetap menjadi pilihan untuk
keamanan minimal yang biasa digunakan pada jaringan nirkabel
rumahan.
2. Wi – Fi Protected Access (WPA)
WPA dibuat sebagai tindak lanjut atas kelemahan WEP dengan
menggunakan algoritma enkripsi baru menggunakan key yang dinamis
dan berubah secara periodik. WPA yang telah dikembangkan saat ini
adalah WPA yang digunakan pada jaringan nirkabel yang sudah umum
dan WPA 2. Teknik enkripsi yang digunakan WPA bisa dibagi
menjadi dua jenis, yaitu Temporal Key Integrity Protocol (TKIP) yang
dibuat sebagai pengganti WEP dengan menggunakan key sepanjang
128 bit dan berubah untuk setiap frame yang akan dikirimkan serta
Advance Encryption Standard (AES) yang menggunakan algoritma
yang lebih baik namun membutuhkan sumber daya yang lebih besar
dan digunakan pada WPA2.
WPA sendiri dapat digolongkan menjadi 2 jenis, yaitu WPA Personal
yang menggunakan Pre-shared Key (PSK) dan WPA
Enterprise.Penggunaan PSK ditujukan pada jaringan yang berada di
lingkungan rumah atau kantor kecil dimana tidak ada pengguna server
ontentikasi kompleks. WPA Enterprise kebanyakan digunakan pada
jaringan perusahaan dimana keamanan adalah sesuatu yang penting
20
bagi mereka sehingga menggunakan server otentikasi sendiri seperti
Remote Authentication Dial-in User Service (RADIUS). Extensible
Authentication Protocol (EAP) digunakan pada jenis WPA ini yang
hanya mengizinkan pemakaian sebuah port untuk mengirimkan paket
– paket EAP dari klien ke server otentikasi. EAP akan menutup semua
lalu lintas data lainnya yang menuju server sampai terbukti bahwa
pengguna adalah pemakai yang sah. (Ilman Zuhri Yadi).
2.2 Protokol Keamanan AAA
Menurut Jonathan Hassel (2002) Konsep kerja Server Otentikasi dikenal
dengan AAA (authentication, authorization, and accounting). Yang terdiri dari
Otentikasi, Otorisasi, dan Pendaftaran akun pengguna. Konsep AAA mempunyai
fungsi yang berfokus pada tiga aspek dalam kontrol akses user, yaitu :
a. Authentication
Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas.
Bentuk umum yang biasa digunakan untuk melakukan otentikasi
menggunakan kombinasi logon ID / username dan password. jika
kombinasi kedua nya benar maka client dapat mengakses ke sumber daya
jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang
tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan
masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda
kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda
persilahkan masuk dan sebaliknya.
21
b. Authorization
Ototrisasi melibatkan penggunaan seperangkat aturan aturan yang berlaku
untuk memutuskan aktifitas apa saja yang dizinkan dalam sistem atau
sumber daya jaringan tertentu untuk pengguna yang terotentikasi. Proses
Authorization merupakan lanjutan dari proses Authentication. Proses
Authorization dapat dianalogikan sebagai berikut : jika anda sudah
mengizinkan tamu untuk masuk kerumah anda, tentu anda mempunyai
aturan – aturan yang ditempel di dinding rumah anda, misalnya tamu
hanya boleh masuk sampai dengan ruang tamu. dengan aturan seperti ini
tentu akan memudahkan seseorang untuk melakukan kontrol terhadap
sumber daya jaringan tertentu.
c. Accounting
Proses Accounting merupakan proses dimana terdapat proses pencatatan
berapa lama seorang pengguna sudah terkoneksi (waktu mulai / waktu
stop) yang telah dilakukan selama pemakaian. data dan informasi ini
sangat berguna baik untuk pengguna maupun administratornya. biasanya
laporan ini digunakan untuk melakukan auditing, membuat laporang
pemakaian, membaca karakteristik jaringan, dan pembuatan billing
tagihan. jadi pada intinya proses accounting berguna untuk mengetahui
apa saja yang dilakukan oleh client dan service apa saja yang dilakukan
oleh client. analogi sederhananya adalah mesin absensi dikantor, ia akan
mencatat waktu datang dan waktu pulang, dengan demikian petugas dapat
memonitoring karyawan dengan mudah. (Jonathan Hassel, 2002).
22
2.2.1 Remote Authentication Dial-In User Service (RADIUS)
RADIUS merupakan singkatan dari Remote Acces Dial in User Service.
Pertama kali di kembangkan oleh Livingston Enterprises. Merupakan network
protokol keamanan komputer yang digunakan untuk membuat manajemen akses
secara terkontrol pada sebuah jaringan yang besar. RADIUS didefinisikan di
dalam RFC 2865 dan RFC 2866. RADIUS biasa digunakan oleh perusahaan
untuk mengatur akses ke internet atau interner bagi client.
RADIUS melakukan otentikasi, otorisasi, dan pendaftaran akun pengguna
secara terpusat untuk mengakses sumber daya jaringan. Sehingga memastikan
bahwa pengguna yang mengakses jaringan adalah pengguna yang sah. RADIUS
berstandar IEEE 802.1x. Sering disebut “port based authentication”. RADIUS
merupakan protokol client – server yang berada pada layer aplikasi pada OSI
layer. Dengan protokol transport berbasis UDP. (Jonathan Hassel, 2002).
2.2.1.1 Format Paket RADIUS
Protokol RADIUS menggunakan paket UDP untuk melewati transmisi
antara client dan server. Protokol tersebut akan berkomunikasi pada port 1812.
Berikut struktur paket RADIUS :
Gambar 2.6 Format paket RADIUS
Format paket data RADIUS pada gambar 2.4 terdiri dari lima bagian, yaitu:
23
1. Code : memiliki panjang satu oktet, digunakan untuk membedakan
tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut
(dalam desimal) dapat dilihat pada tabel 2.2
Tabel 2.2 Kode tipe pesan RADIUS
Kode Tipe pesan RADIUS
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge
12 Status-Server (experimental)
13 Status-Client (experimental)
255 Reserved
2. Identifier : Memiliki panjang satu oktet, bertujuan untuk mencocokkan
permintaan.
3. Length : Memiliki panjang dua oktet, memberikan informasi mengenai
panjang paket.
4. Authenticator : Memiliki panjang 16 oktet, digunakan untuk
membuktikan balasan dari RADIUS server, selain itu digunakan juga
untuk algoritma password.
5. Attributes : Berisikan informasi yang dibawa pesan RADIUS, setiap
pesan dapat membawa satu atau lebih atribut. Contoh atribut RADIUS:
nama pengguna, password, alamat IP access point (AP), pesan balasan.
Tujuan standar 802.1x IEEE adalah untuk menghasilkan kontrol akses,
autentikasi, dan manajemen kunci untuk wireless LANs. Standar ini
24
berdasarkan pada Internet Engineering Task Force (IETF) Extensible
Authentication Protocol (EAP), yang ditetapkan dalam RFC 2284.
2.2.1.2 Tipe Paket Pesan RADIUS
Ada empat jenis paket pesan RADIUS yang relevan dengan otentikasi
dan otorisasi pada fase transaksi AAA yaitu :
1. Access-Request
Paket Access-Request digunakan oleh layanan konsumen ketika
meminta layanan tertentu dari jaringan. Client mengirimkan paket
request ke RADIUS server dengan daftar layanan yang diminta. Faktor
kunci dalam transmisi ini adalah kolom kode pada header paket, dimana
header paket tersebut harus di set dengan nilai 1, yang merupakan nilai
unik pada paket permintaan. RFC menyatakan bahwa balasan harus
dikirimkan ke semua paket permintaan yang valid, apakah jawabannya
adalah otorisasi atau penolakan.
Gambar 2.7. Paket Access-Request
Sumber : RADIUS, O'Reilly
25
Tabel 2.3 Paket Access-Request
Sumber : RADIUS, O'Reilly
Packet Type Response
Code 1
Identifier Unique per request
Length Header length plus all additional attribute data
Authenticator Request
Attribute Data 2 or more
2. Access-Accept
Paket Access-Accept dikirim oleh RADIUS server kepada client untuk
mengakui bahwa permintaan klien diberikan. Jika semua permintaan
Access-Request dapat diterima, maka server RADIUS harus mengatur
paket respon dengan nilai 2 pada sisi client, setelah paket tersebut
diterima, paket tersebut di cek apakah sama atau benar paket tersebut
adalah paket respon dari RADIUS server dengan menggunakan
identifier field. Jika terdapat paket yang tidak mengikuti standar ini maka
paket tersebut akan dibuang.
Paket Access-Accept dapat berisi banyak atau sedikit atribut informasi
yang perlu untuk dimasukkan. Kemungkinan besar atribut informasi
pada paket ini akan menjelaskan jenis layanan apa saja yang telah
dikonfirmasi dan resmi sehingga client dapat menggunakan layanan
tersebut. Namun, jika tidak ada atribut informasi yang disertakan, maka
client menganggap bahwa layanan yang diminta adalah yang diberikan.
26
Gambar 2.8 Paket Access- Accept
Sumber: RADIUS, O'Reilly
Tabel 2.4 Paket Access-Accept
Sumber: RADIUS, O'Reilly
Packet Type Response
Code 2
Identifier Identical to Access-Request per transaction
Length Header length plus all additional attribute data
Authenticator Response
Attribute Data 0 or more
3. Access-Reject
RADIUS server dapat pula mengirimkan paket Access-Reject kembali
ke client jika harus menolak salah satu layanan yang diminta client
dalam paket Access-Request. Penolakan tersebut dapat didasarkan pada
kebijakan sistem, hak istimewa yang tidak cukup, atau kriteria lain.
Access-Reject dapat dikirim setiap saat selama waktu koneksi. Nilai
yang diberikan untuk kode pada paket ini adalah 3.
Gambar 2.9 Paket Access- Reject
27
Sumber : RADIUS, O'Reilly
Tabel 2.5 Paket Access- Reject
Sumber : RADIUS, O'Reilly
Packet Type Response
Code 3
Identifier Identical to Access-Request
Length Header length plus all additional attribute data
Authenticator Response
Attribute Data 0 or more
4. Access-Challenge
Apabila server menerima informasi yang bertentangan dari user, atau
membutuhkan informasi lebih lajut, atau hanya ingin mengurangi risiko
otentikasi palsu, server dapat menerbitkan paket Access-Challenge
untuk client. Setelah client menerima paket Access-Challenge client
harus memberikan paket Access-Request yang baru disertai atribut
informasi yang diminta server. Nilai yang diberikan pada header paket
ini adalah 11.
Gambar 2.10 Paket Access- Challenge
Sumber : RADIUS, O'Reilly
28
Tabel 2.6 Paket Access-Challenge
Sumber : RADIUS, O'Reilly
Packet Type Response
Code 11
Identifier Identical to Access-Request
Length Header length plus all additional attribute data
Authenticator Response
Attribute Data 0 or more
2.2.1.3 Tahapan Koneksi RADIUS
Penggunaan RADIUS terhadap usaha pembentukan koneksi jaringan
dapat dilakukan dengan melalui tahapan tahapan berikut:
1. Access server, access point menerima permintaan koneksi dari
access client
2. Access server dikonfigurasi agar dapat menggunakan RADIUS
sebagai protokol yang melakukan proses otentikasi, otorisasi dan
accounting, membuat sebuah pesan access request dan
mengirimkannya ke server RADIUS.
3. Server RADIUS melakukan evaluasi pesan Access request
4. Jika dibutuhkan, server RADIUS mengirimkan pesan access
challenge ke access server. Jawaban terhadap pesan tersebut
dikirimkan dalam bentuk access request ke server RADIUS.
5. Surat kepercayaan dan otorisasi dari usaha pembentukan koneksi
diverifikasi.
29
6. Jika usaha pembentukan koneksi dan diotorisasi, server RADIUS
mengirimkan sebuah pesan access accept ke access server.
Sebaliknya jika usaha tersebut ditolak maka server RADIUS
mengirimkan sebuah pesan access reject ke access server.
7. Selama menerima pesan access accept, access server melengkapi
proses koneksi dengan access client dan mengirimkan sebuah pesan
accounting request ke server radius.
8. Setelah pesan accounting request diproses, server RADIUS
mengirimkan sebuah pesan accounting response. (Zaenal Arifin, 2008)
Gambar 2.11. Proses Pembentukan koneksi protokol RADIUS
Sumber: http://www.wi-fiplanet.com/tutorials/article.php/3114511/Using-
RADIUS-For-WLAN-Authentication-Part-I.htm
30
2.2.1.4 Realm
RADIUS hadir dengan kemampuan untuk mengidentifikasi user
berdasarkan desain dan area yang berlainan. atau disebuat realm. Realm adalah
identifier yang ditempatkan sebelum atau sesudah nilai yang biasanya berisikan
atribut Username yang bisa digunakan server RADIUS untuk mengenal dan
menghubungi server yang sedang digunakan untuk memulai proses AAA.
Tipe pertama dari realm identifier yang dikenal sebagai realm prefix.,
yang mana nama realm ditempatkan sebelum username, dan kedua dipisahkan
oleh karakter prekonfigurasi, seperti kebanyakan @, \, atau /. Untuk lebih lanjut,
sebuah user bernama jhassel yang terdaftar di layanan central state internet
(merupakan realm dengan nama CSI) bisa mengatur klien untuk memberikan
username seperti CSI/jhassel.
Sintaks realm identifier lainnya adalah realm suffix, dimana username
ditempatkan sebelum nama realm. Pemisah yang sama masih digunakan didalam
sintaks ini hingga saat ini, lebih lanjut yang pada umum nya adalah tanda @.
Sebagai contoh, user awatson mendaftar ke layanan northwest internet (nama
realm : NWI) menggunakan identifikasi suffix realm bisa memberikan username
seperti awatson@NWI. (Jonathan Hussel, 2003).
2.3 Protokol Otentikasi
Protokol adalah suatu kumpulan dari aturan-aturan yang berhubungan
dengan komunikasi data antara alat-alat komunikasi supaya komunikasi data dapat
dilakukan dengan benar. Jabatan tangan merupakan contoh dari protokol antara
31
dua manusia yang akan berkomunikasi. Pada istilah komputer, jabatan tangan
(handshaking) menunjukkan suatu protokol dari komunikasi data bila dua buah
alat dihubungkan satu dengan yang lainnya untuk menentukan bahwa keduanya
telah kompatibel. (Jogianto, 1999).
Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk
umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi
logon ID / username dan password. jika kombinasi kedua nya benar maka client
dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat
dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu
tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih
dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan
anda persilahkan masuk dan sebaliknya. (Jonathan Hassel).
2.3.1 Password Authentication Protocol (PAP)
PAP secara lebih spesifik dibahas dalam RFC 1334. Algoritma yang
digunakan untuk menyembunyikan informasi User-Password terdiri dari banyak
proses. Pertama, RADIUS klien akan mendeteksi nilai identifier dan shared
secret, lalu mengirimkannya untuk diproses dengan MD5 hashing. Informasi
password pengguna akan diteruskan pada proses XOR dan hasil dari kedua proses
ini akan dimasukkan pada atribut User-Password. Lalu server RADIUS yang
menerima paket tersebut akan melakukan prosedur sebelumnya tetapi dengan
urutan terbalik, sehingga server RADIUS dapat menentukan otorisasi bagi
pengguna. Mekanisme penyembunyian password ini digunakan untuk mencegah
32
pengguna mengetahui penyebab kegagalan proses otentikasi apakah disebabkan
kesalahan pada password atau shared secret. (TCP/IP Guide, Charles M.
Kozierok).
Gambar 2.12 Tahapan Otentikasi PAP
Sumber : http://www.orbit-computer-solutions.com/images/pap.jpg
2.3.2 Challenge Handshake Authentication Protocol (CHAP)
CHAP dikembangkan dengan alasan bahwa password seharusnya tidak
ditransmisikan melalui jaringan. CHAP secara dinamis mengenkripsi informasi
username dan password.
Pada otentikasi CHAP terdapat 3 proses yang dikenal dengan 3 way-
Hanshake, proses proses tersebut adalah :
1. Challenge : authenticator membuat sebuah frame yang dinamakan
Challenge dan dikirimkan initiator. frame ini berisi text sederhana yang
disebut challenge text..
2. Response : The initiator menggunakan password untuk melakukan
proses encrypt pada challenge text. Kemudian challenge text yang sudah
terencrypt dikirimkan kepada authenticator.
33
3. Success or Failure: authenticator melakukan sesi pencocokan pesan
yang di encrpt tersebut dengan challenge text milik nya yang di
encrypte dengan password yang sama. Jika hasil encrypt initiator sama
dengan hasil encrypt authenticator maka authenticator menyatakan
proses otentikasi sukses. Sebalik nya jika tidak ditemukan kecocokan
maka proses otentikasi failure. (TCP/IP Guide, Charles M. Kozierok).
Gambar 2.13 Proses CHAP 3-way Handshake
Sumber : http://www.orbit-computer-solutions.com/images/CHAP3.jpg
34
2.3.3 Extensible Authentication Protocol (EAP)
EAP atau Extensible Authentication Protocol adalah suatu framework
otentikasi yang menyediakan layanan transport dan penggunaan keying material
dan parameter yang dihasilkan oleh EAP methods. EAP pada awalnya
dikembangkan untuk koneksi Point-to-Point atau PPP. Namun, saat ini EAP juga
diimplementasikan dan banyak digunakan untuk otentikasi pengguna pada
jaringan nirkabel. EAP digunakan pada three-tier authentication, maka pada
proses komunikasinya EAP akan menggunakan transport protokol yang berbeda.
Pertama, pada komunikasi antara supplicant dan authenticator, EAP akan
menggunakan data link protocol seperti PPP, Ethernet atau WLAN. Kedua, pada
komunikasi antara authenticator dan authentication system, EAP akan
menggunakan application layer protocol seperti RADIUS atau Diameter.
Gambar 2.14 Proses komunikasi protokol EAP antara supplicant,
NAS dan authentication server
Dalam EAP terdapat beberapa komponen diantaranya :
35
Gambar 2.15 Komponen EAP
Sumber : Tom Rixom
1. Supplicant
Merupakan Wireless Node yang ingin mengakses Jaringan disebut
Supplicant.
2. Authenticator
merupakan perangkat yang memberikan akses menuju server.
Authenticator merupakan device yang memproses apakah suatu
supplicant dapat mengakses jaringan atau tidak. authenticator
mengontrol dua jenis port yaitu yang disebut dengan controlled ports
dan yang disebut dengan uncontrolled ports. Kedua jenis port tersebut
merupakan logikal port dan menggunakan koneksi fisikal yang sama.
Sebelum otentikasi berhasil, hanya port dengan jenis uncontrolled
yang dibuka. Trafik yang diperbolehkan hanyalah EAPOL atau
EAPOW. Setelah supplicant melakukan autentifikasi dan berhasil, port
jenis controlled dibuka sehingga supplicant dapat mengakses LAN
36
secara biasa. IEEE 802.1x mempunyai peranan penting dari standar
802.11i.
Gambar 2.16 Skema port based authentication
Sumber : Standar IEEE 802.1x. Teori dan Implementasi
3. Authentication Server / RADIUS
yaitu server yang menentukan apakah suatu supplicant valid atau tidak.
Authentication server adalah berupa RADIUS server [RFC2865].
2.3.3.1 EAP Over RADIUS
EAP over RADIUS merupakan sebuah mekanisme otentikasi yang
dilakukan oleh access server (access point) untuk melewatkan pesan EAP dari
jenis EAP apa pun ke RADIUS server untuk melakukan proses otentikasi. Sebuah
pesan EAP dikirim diantara access client dan access server dengan menggunakan
format attribute EAP Message RADIUS dan dikirim sebagai pesan RADIUS
antara access server dan server RADIUS. Access server hanya menjadi perangkat
37
yang melewatkan pesan EAP diantara client dan server RADIUS. Pemrosesan
pesan EAP dilakukan oleh access client dan server RADIUS, tidak dilakukan oleh
access server.
EAP over RADIUS digunakan dalam lingkungan dimana RADIUS
sebagai penyedia mekanisme otentikasi. Keuntungan yang bisa diperoleh dengan
menerapkan EAP over RADIUS adalah jenis EAP tidak perlu diinstall pada setiap
access server, cukup dilakukan pada server RADIUS. Tetapi, access server harus
mendukung EAP sebagai protokol untuk melakukan kegiatan otentikasi dan
melewatkan pesan EAP ke server RADIUS.
Karena EAP merupakan bagian dari standar 802.1x, kita harus
mengaktifkan otentikasi 802.1x untuk mengaktifkan AP agar dapt menggunakan
EAP.
Ketika koneksi dibuat, access client bernegosiasi dengan access server
menggunakan EAP. Ketika client mengirimkan pesan EAP ke access server,
access server membungkus pesan EAP dalam bentuk attribut EAP message
kemudian diubah menjadi pesan RADIUS access Request dan mengirimkannya ke
server RADIUS. Server RADIUS memproses attribute EAP-Message dan
mengirimkan sebuah pesan EAP-Response dalam bentuk pesan RADIUS Access-
Challenge ke access server. Selanjutnya, access server melewatkan pesan EAP ke
access client.
38
Gambar 2.17 Konversi pesan EAP dan pesan RADIUS
Sumber : (sistem pengamanan jaringan wireless, zaenal arifin)
2.3.3.2 EAP over LAN (EAPOL)
EAPOL adalah suatu protokol yang menyediakan cara-cara
mengenkapsulasi paket-paket EAP dalam protokol LAN atau Ethernet. EAPOL
didesain untuk standarisasi IEEE 802.1X yang digunakan pada jaringan kabel
maupun nirkabel. Berikut ini adalah beberapa jenis paket-paket EAPOL, yaitu:
1. EAPOL-Start : merupakan sebuah frame EAPOL yang baru. Frame ini
dikembangkan untuk mekanisme network-sensing pada jaringan nirkabel.
Pada saat permintaan akses, supplicant akan mengirimkan frame EAPOL
start secara multicast ke beberapa alamat MAC yang telah dipersiapkan
untuk 802.1x authenticators, sehingga authenticator dapat mengetahui
apabila ada pengguna yang memerlukan ijin akses.
2. EAPOL-Key : frame ini dirancang untuk mendukung kombinasi antara
proses otentikasi dan proses pendistribusian kunci, dimana authenticator
akan mengirim kunci yang digunakan untuk enkripsi komunikasi data ke
supplicant.
39
3. EAPOL-Packet : frame ini merupakan frame utama untuk protokol
EAPOL, dimana frame ini bertugas untuk membawa paket atau pesan
EAP. Semua tipe pesan EAP (EAP request, EAP response, EAP success
dan EAP failure) dibawa oleh frame EAPOL-Packet.
4. EAPOL-Logoff : frame ini digunakan oleh supplicant untuk
mengindikasikan bahwa pengguna ingin mengakhiri koneksi.
Gambar 2.18. Format paket EAPOL
2.4 EAP Methods
EAP sebenarnya hanya sebuah authentication framework dan tidak
menyediakan mekanisme tertentu yang dapat digunakan untuk proses otentikasi.
Tetapi, EAP menyediakan fungsi-fungsi umum dan negosiasi metode otentikasi
yang disebut EAP methods. Beberapa EAP methods yang sering digunakan, yaitu
EAP-MD5, EAP-OTP, EAP-GTC, EAP-SIM, EAP-AKA, EAP-TLS, EAP-TTLS
dan PEAP. Ketiga EAP methods yang terakhir, yaitu EAP-TLS, EAP-TTLS dan
PEAP adalah EAP methods yang sering digunakan pada jaringan nirkabel. EAP
methods ini mendukung fitur mutual authentication dan penggunaan digital
certificate. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada
sisi client dan satu lagi pada sisi server. sedangkan pada EAP-TTLS dan PEAP,
digital certificate pada sisi client bersifat optional dan dapat digantikan oleh
kombinasi username dan password. (Madjid Nakhjiri)
40
Gambar 2.19 Pemodelan untuk membawa pesan pada otentikasi dengan
metode TLS
2.4.1 EAP MD5
EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan
tingkat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode
dictionary attack, tidak ada mutual otentikasi, dan penurunan kunci; sehingga
membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPA/WPA2
enterprise.
2.4.2 EAP TLS
EAP-TLS [RFC2716], adalah IETF standar dan banyak disupport oleh
vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi,
semenjak TLS dianggap sebagai teknik enkripsi yang sukses pada mekanisme
SSL. TLS menggunakan Public Key Infrastructure (PKI) untuk mengamankan
komunikasi antara supplicant dan authentication server. EAP-TLS adalah standar
EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya
merupakan salah satu standar EAP yang paling aman dan secara universal
41
disupport oleh semua manufaktur dari wireless LAN hardware dan software
termasuk Microsoft.
2.4.3 EAP TTLS
EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang
dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas
disupport dan menawarkan tingkat keamanan yang bagus. Standar ini
menggunakan PKI sertifikat hanya pada authentication server.
2.4.4 PEAP MSCHAP v2
Protected EAP (PEAP), sama seperti EAP-TTLS, memakai TLS-tunnel.
Sertifika supplicant untuk PEAP tidak diperlukan, tetapi untuk sertifikat server
(AS) dibutuhkan. PEAP dikembangkan oleh Microsoft, Cisco System, dan RSA
Security.
2.4.4.1 Microsoft PPP CHAP Extensions Version 2 (MSCHAPv2)
Berdasarkan dokumen RFC 2759, Microsoft PPP CHAP Extensions
Version 2 (MSCHAPv2), merupakan pengembangan dari protokol otentikasi
Challenge Hanshake Authentication Protocol (CHAP) yang dikembangkan oleh
tim dari Microsoft, MSCHAP v2 memiliki kemiripan dengan protokol
MSCHAPv1 dan protokol CHAP standard nya. Perbedaan mendasar antara
protokol MSCHAPv1 dan MSCHAPv2 adalah, pada versi 2 menyediakan fitur
mutual authentication antara otentikator dan peer (client).
42
a. Format Paket MSCHAPv2
1. Challenge Packet
Format paket challenge identik dengan format paket challenge pada
CHAP standard. Pada paket ini authenticator akan mengirimkan
kepada peer nilai challenge sepanjang 16 oktet.
2. Response Packet
Format paket Response identik dengan format paket challenge pada
CHAP standard. Format paket terdiri dari :
- 16 oktet : peer challenge, merupakan nilai random yang dihasilkan
dari sisi peer.
- 8 oktet : nilai cadangan, harus diisi kosong / zero
- 24 oktet : NT response, berisi password yang terenkrisi dan
username
- 1 oktet : flag, diisi dengan nilai kosong / zero
3. Success Packet
Format paket Success identik dengan format paket Success pada
CHAP standard. Paket ini terdiri dari 42 oktet. Paket ini merupakan
pesan response dari authenticator apabila paket response yang
dikirimkan peer memiliki nilai yang sesuai. Format paket ini adalah :
“S=<auth_string> M=<Message>”.
4. Failure Packet
Format paket Filure identik dengan format paket Failure pada CHAP
standard. Paket ini dikirimkan apabila paket response dari peer tidak
ditemukan kesamaan atau tidak sesuai. Format paket ini terdiri dari
43
”E=eeeeeeeeee R=r C=cccccccccccccccccccccccccc V=vvvvvvvvvv
M=<msg>”.
- eeeeeeeeee, merupakan representasi nilai desimal dari pesan error.
Berikut daftar pesan error dalam paket ini :
Tabel 2.7 Daftar Pesan Error MSCHAPv2
Sumber : RFC 2759
Kode Pesan
646 ERROR_RESTRICTED_LOGON_HOURS
647 ERROR_ACCT_DISABLED
648 ERROR_PASSWD_EXPIRED
649 ERROR_NO_DIALIN_PERMISSION
691 ERROR_AUTHENTICATION_FAILURE
709 ERROR_CHANGING_PASSWORD
- r, merupakan flag, diset dengan nilai ”1” jika diizinkan, dan diset
dengan nilai “0” jika tidak diizinkan. Nilai ini untuk mengaktifkan
dan menonaktifkan short timeouts.
- cccccccccccccccccccccccccc, merupakan nilai challenge, dalam
hexadesimal memiliki panjang 32 oktet. Nilai challenge wajib ada.
- vvvvvvvvvv, dalam ASCII merepresentasikan kode versi dalam
desimal. Kode dalam 10 digit. Mengindikasikan perubahan password
pada protokol versi yang disupport oleh server. Pada MSCHAPv2,
nilai ini harus selalu di set dengan 3.
44
-<msg>, merupakan text yang dapat dibaca dan dipahami
menggunakan bahasa manusia.
5. Change-Password Packet
Format paket Change-Password Packet tidak sama pada CHAP dan
MSCHAPv1. paket ini memungkinkan peer mengubah password pada
account yang telah ditetapkan pada paket response sebelumnya. Paket
ni dikirimkan oleh peer kepada authenticator apabila authenticator
melaporkan pesan (648) ERROR_PASSWD_EXPIRED. Pada paket
Failure. Format paket ini terdiri dari :
- 1 oktet, code, di set dengan nilai 7
- 1 oktet, identifier, mencocokkan antara request and replies. Nilai ini
berasal dari nilai paket failure ditambah 1
- 516 oktet password terenkripsi
- 16 oktet, hash terenkripsi
- 16 oktet peer-challenge
- 8 oktet cadangan
- 24 oktet, server response
- 2 oktet, flags.
2.5 Secure Socket Layer (SSL) / Transport Layer Security (TLS)
Secure socet layer dikembangkan oleh netscape communication corp pada
tahun 1994. SSL melindungi transmisi EAP dengan menambahkan lapisan
enkripsi pengaman. SSL tidak hanya melindungi data yang dikirim tetapi juga
45
dapat meyakinkan pihak pihak yang berkomunikasi bahwa lawan bicara mereka
dapat dipercaya (melalui penggunaan sertifikat digital).
SSL memberikan tiga keamanan diantaranya :
1. Menjadikan saluran (kanal) sebagai saluran private. Enkripsi digunakan
terhadap seluruh data setelah handshaking (protokol pembuka sebelum
terjadi pertukaran data). Jadi, data data yang dikirim melalui internet ke
tempat tujuan akan terjamin keamanannya.
2. karnel diotentikasi, server selalu diotentikasi dan klien diotentikasi untuk
menjaga keamanan data yang akan dikirimkan melalui jaringan.
3. kernel yang andal, dimana setiap data yang disadap dan dimodifikasi
saat data dikirim oleh pihak yang tidak bertanggung jawab dapat
diketahui oleh pihak yang sedang berkirim data dengan menggunakan
message integrity check.
2.5.1 Protocol SSL Record
Digunakan untuk membungkus data yang dikirim dan diterima setelah
protokol handshake digunakan untuk membangun parameter keamanan
waktu terjadi pertukaran data. Protokol SSL record membagi data yang
ada kebentuk blok blok dan melakukan kompresi dengan cara ceksum
(MAC).
46
Gambar 2.20 Format SSL Record
2.5.2 Protocol SSL Handshake
Berfungsi membangun parameter keamanan sebelum terjadinya pertukaran
data antara dua sistem. Berikut tipe tipe pesan yang dikirimkan antara klien dan
server :
47
Gambar 2.21 Handshake Protocol
Sumber : http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-
1/ssl.html
1. Client Hello Message
Untuk memulai komunikasi antara klien dan server, sisi klien terlebih
dahulu harus mengirimkan pesan client hello ke server. Isi dari pesan ini
akan memberitahukan versi, nilai acak, ID sesi, cipher yang didukung
dan metode kompresi data yang dapat digunakan/diproses oleh klien.
Sebuah pesan client hello berisikan informasi berikut:
48
a. Client_version. Bagian ini menginformasikan versi SSL paling tinggi
yang dapat dimengerti oleh klien.
b. Random. Bagian ini berisi rangkaian/kombinasi acak yang dihasilkan
oleh klien, dimana kombinasi ini nantinya akan digunakan untuk
proses komputasi kriptografi pada protokol SSL. Keseluruhan 32-
byte struktur bagian ini sebenarnya tidak sepenuhnya acak.
Melainkan, 4-byte diambil dari informasi tanggal/waktu yang
berguna untuk menghindari replay attacks.
c. Session_id. Bagian ini berisikan identifier suatu sesi SSL. Bagian ini
seharusnya tidak memiliki nilai atau kosong apabila klien ingin
menghasilkan parameter keamanan yang baru. Apabila terdapat
identifier suatu sesi, maka nilai dari bagian ini seharusnya berisi
informasi dari sesi sebelumnya.
d. Cipher_suites. Bagian ini berisi daftar kombinasi algoritma
kriptografi yang didukung oleh klien. Hal ini memberikan
kemudahan pada sisi klien, tetapi sisi server tetap menjadi penentu
akan algoritma kriptografi yang akan digunakan. Apabila server
tidak menemukan suatu pilihan dari daftar kombinasi yang diberikan
oleh klien, maka server akan memberikan respons berupa pesan
handshake failure alert dan kemudian mengakhiri koneksi tersebut.
e. Compression_methods. Sama seperti bagian cipher_suites, bagian ini
berisikan daftar kombinasi metode kompresi yang didukung oleh
49
klien. Daftar ini disusun menurut kebutuhan/konfigurasi dari klien,
tetapi sisi server yang akan memutuskan metode kompresi yang akan
digunakan. Bagian jarang digunakan pada SSLv3 dan merupakan
fitur pengembangan untuk TLSv1.
2. Server Hello Message
Setelah server menerima dan memroses pesan client hello, maka server
memiliki dua pilihan pesan yang dapat dikirim ke klien, yaitu pesan
handshake failure alert dan server hello. Isi dari pesan server hello
kurang lebih sama dengan pesan client hello. Perbedaannya adalah pada
pesan client hello berisikan daftar dukungan protokol pada sisi klien,
sedangkan pesan server hello
memutuskan/memberitahukan protokol yang akan digunakan kepada
klien. Adapun isi dari pesan server hello, yaitu:
a. Server_version. Bagian ini berisi versi protokol yang dipilih oleh
server, dimana versi ini akan digunakan seterusnya untuk
komunikasi dengan klien. Server memutuskan hal ini berdasarkan
dukungan tertinggi pada kedua pihak. Sebagai contoh, apabila klien
mendukung hingga versi SSLv3 dan server mendukung hingga versi
TLSv1, maka server akan memilih SSLv3.
b. Random. Bagian ini sama seperti yang terdapat pada sisi klien, yang
berfungsi untuk proses komputasi kriptografi pada SSL. Nilai dari
bagian ini harus bersifat independen dan berbeda dari apa yang
dihasilkan pada sisi klien.
50
c. Session_id. Bagian ini menyediakan informasi pengenal/identitas
dari sesi yang sedang berjalan. Jika nilai dari session identifier
adalah tidak kosong, maka server akan memeriksa dan mencocokan
dengan yang terdapat pada session cache. Jika ditemukan nilai yang
sama, maka server dapat membentuk sebuah koneksi baru dan
melanjutkan status dari sesi yang dimaksud.
d. Cipher_suite. Bagian ini mengindikasikan sebuah cipher suite yang
dipilih oleh server berdasarkan daftar yang diberikan oleh klien.
e. Compression_method. Sama seperti bagian cipher suite, bagian ini
mengindikasikan sebuah metode kompresi yang dipilih oleh server
berdasarkan daftar dukungan yang diberikan oleh klien
3. Server Certivicate Message
Bersamaan dengan pengiriman pesan server hello, server juga
mengirimkan sertifikat untuk proses otentikasi. Jenis sertifikat yang
umum digunakan adalah x.509v3. sertfikat ini juga digunakan sebagai
peertukaran kunci. Algoritma enkripsi yang digunakan berasal dari
pemilihan cipher dari client. Nantinya pesan ini yang akan digunakan
sebagai public key oleh client saat untuk mengencrypt pesan ke server.
4. Server Key Exchange
Pesan ini berisi efek dari pendistribusian kunci server dan algoritma
enkripsi yang akan digunakan antara server dan client.
5. Certificate Request Message
51
Pesan ini bertujuan untuk meminta sertifikat dari pihak client.
Pengiriman pesan ini menandakan dua indicator : 1. mengindikasikan
tipe algoritma yang digunakan pada sertifikat. 2. sertifikat yang diterima
adalah sertifikat yang telah diakui oleh Certivicate Authority (CA).
6. Server Hello Done Message
Pesan ini menandakan bahwa pesan server hello telah dikirim ke pihak
client. Dan server menunggu respon dari client
7. Client Certificate Message
Pesan ini adalah pesan pertama yang dikirimkan oleh client setelah
server hello done message diterima client. Dalam pesan ini client
mengirimakn sertifikat client ke server. Jika client tidak dapat
mengirimkan sertifikat yang diminta server makan server akan
memutuskan komunikasi dengan client.
8. Client Key Exchange
Pesan ini membawa kunci untuk server. Tipe algoritma kunci yang
digunakan dapat berupa RSA, atau yang lainnya.
9. Certificate Verify Message
Pesan ini dikirimkan oleh client bertujuan agar server dapat melakukan
verifikasi sertifikat client.
10. Finished Message
Pada fase selanjutnya client mengirimkan pesan yang berisi perubahan
spesifikasi cipher dibarengi dengan pengiriman pesan finished message.
Apabila server menerima pesan finished message dari client. Server
52
mengirimkan change cipher spec message dan mengirimkan finished
message. Pada fase ini handshake protocol telah sempurna dan jalur ini
selanjutnya dapat digunakan untuk transfer pesan atau data secara aman.
(Steve Burnett at all, 2004).
2.5.3 Protocol SSL Alert
Protokol ini akan memberikan tanda kondisi sudah tidak terkoneksi lagi
(jika pengirim mengirimkan pesan dan yang akan menerima sedang offline maka
pesan akan dipending sampai penerima terkoneksi lagi). SSL alert error message
bisa dilihat pada tabel 2.x berikut ini :
Tabel 2.8 Alert Error Message
Sumber : http://msdn.microsoft.com/en-us/library/dd721886%28VS.85%29.aspx
TLS or SSL alert Schannel error code
SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_BAD_RECORD_MAC SEC_E_MESSAGE_ALTERED
TLS1_ALERT_DECRYPTION_FAILED SEC_E_DECRYPT_FAILURE
TLS1_ALERT_RECORD_OVERFLOW SEC_E_ILLEGAL_MESSAGE
SSL3_ALERT_DECOMPRESSION_FAIL SEC_E_MESSAGE_ALTERED
SSL3_ALERT_HANDSHAKE_FAILURE SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_BAD_CERTIFICATE SEC_E_CERT_UNKNOWN
TLS1_ALERT_UNSUPPORTED_CERT SEC_E_CERT_UNKNOWN
TLS1_ALERT_CERTIFICATE_REVOKED CRYPT_E_REVOKED
TLS1_ALERT_CERTIFICATE_EXPIRED SEC_E_CERT_EXPIRED
TLS1_ALERT_CERTIFICATE_UNKNOWN SEC_E_CERT_UNKNOWN
SSL3_ALERT_ILLEGAL_PARAMETER SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_UNKNOWN_CA SEC_E_UNTRUSTED_ROOT
TLS1_ALERT_ACCESS_DENIED SEC_E_LOGON_DENIED
TLS1_ALERT_DECODE_ERROR SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_DECRYPT_ERROR SEC_E_DECRYPT_FAILURE
TLS1_ALERT_EXPORT_RESTRICTION SEC_E_ILLEGAL_MESSAGE
53
TLS1_ALERT_PROTOCOL_VERSION SEC_E_UNSUPPORTED_FUNCTION
TLS1_ALERT_INSUFFIENT_SECURITY SEC_E_ALGORITHM_MISMATCH
TLS1_ALERT_INTERNAL_ERROR SEC_E_INTERNAL_ERROR
Default SEC_E_ILLEGAL_MESSAGE
2.5.4 Arsitektur SSL / TLS
Protokol SSL didesain untuk bisa digunakan pada provider TCP yang
dapat dipercaya layanan keamanannya. SSL tidak hanya menggunakan satu
protokol, tetapi dua layer (lapis) protokol. SSL record protocol merupakan
layanan keamanan dasar kelapisan protokol yang lebih tinggi. EAP bisa
beroperasi dengan SSL/TLS. Arsitektur dari SSL dapat dilihat pada gambar 2.22
dbawah ini :
Gambar 2.22 Arsitektur Protokol SSL
Sumber : http://technet.microsoft.com/en-us/library/Cc767139.f14-2_big%28en-
us,TechNet.10%29.gif
54
2.5.5 Sertifikat Digital
sertifikat digital adalah kunci publik dan informasi penting mengenai jati
diri pemilik kunci tersebut, seperti misalnya nama, alamat, pekerjaan, jabatan,
perusahaan, dan bahkan hash dari suatu informasi rahasia ysng ditandatangani
oleh suatu pihak terpercaya. Sertifikat digital tersebut ditandatangani oleh sebuah
pihak yang terpercaya, yaitu Certificate Authority (CA).
Gambar 2.23 Peran CA dalam penerbitan sertifikat
Sertifikat digital diterbitkan oleh CA, suatu perusahaan atau individu yang
mendaftarkan diri kepada CA baru mereka akan mendapatkan sertifikat digital.
CA bukan hanya bertugas menerbitkan sertifikat saja, tetapi juga melakukan
pemeriksaan apakah apakah sertifikat tersebut masih berlaku atau tidak, dan juga
membatalkan sertifikat atas permintaan. Dengan demikian, berarti CA juga
memiliki daftar sertifikat yang mereka buat, baik yang masih berlaku maupun
yang sudah dibatalkan. Pada sertifikat digital terdapat tanggal kadaluarsa,
sertifikat yang sudah kadaluarsa akan dihapus dari daftar CA dan masih bisa
diperpanjang.
Struktur standar dari sertifikat digital meliputi hal-hal berikut :
55
a. Version : merupakan versi dari x.509 pada versi 1 yang memiliki fasilitas
dari serial number sertifikat sampai dengan subject public key info, versi 2
ditambah dengan identitas subject yang unik, dan pada versi 3 diberi
tambahan extention dari sertifikat digital. Lihat gambar 2.x
b. Serial number merupakan bilang integer yang unik yang dibuat oleh CA.
c. Signature Algoritma identifier merupakan algoritma yang digunakan
untuk menandatangani sertifikat yang bersamaan dengan parameternya.
d. Issuer name : nama dari pembuat dan yang mengeluarkan sertifikat
e. Period of validity : batas tanggal, bulan, dan tahun sertifikat bisa
digunakan.
f. Subject name : nama yang menggunakan sertifikat atau yang memiliki
kunci private dari sertifikat tersebut.
g. Subject public key information : public key subject, identifikasi algoritma
kunci yang digunakan dan perusahaan mana yang mengeluarkan sertifikat
tersebut
h. Issuer unique identifier : identifikasi unik perusahaan
i. Subject unique identifier : digunakan untuk membedakan subject yang satu
dengan yang liannya
j. Extention meliputi pemakaian kunci, identifikasi kunci public, identifikasi
policy sertifikat, dan lainnya.
k. Signature
56
Salah satu layanan otentikasi adalah X.509 yang menyediakan layanan dan
mengatur pendistribusian serta memperbaiki informasi user. Informasi
user meliputi :
a. username
b. alamat jaringan
c. serta atribut user
X.509 merupakan suatu standar yang penting untuk menangani sertifikat
digital karena struktur dari sertifikat digital dan protokol otentikasi terdapat pada
X.509. X.509 beroperasi berdasarkan kunci publik dan tandatangan digital serta
menggunakan algortima standar seperti RSA, format dari X.509 seperti gambar
berikut :
Gambar 2.24 Format X.509
Sumber : Dony Ariyus, 2006
57
2.5.6 Enkripsi Public Key
Public key memecahkan masalah pendistribusian karena tidak diperlukan
suatu kunci untuk diditribusikan. Semua partisipan memiliki akses ke kunci
public, dan kunci private dihasilkan secara local oleh setiap partisan sehingga
tidak perlu untuk didistribusikan. Selama sistem mengontrol masing masing
private key dengan baik, komunikasi bisa menjadi komunikasi yang aman. (Dony
Ariyus, 2006)
2.5.7 Kriptografi Simetris
Kriptografi simetris adalah metode enskripsi dimana pengirim dan
penerima pesan memiliki kunci yang sama, atau dalam beberapa kasus kedua
kunci berbeda namun mempunya relasi dengan perhitungan yang mudah. Studi
modern terfokuskan pada block cipher dan stream cipher serta aplikasinya. Block
cipher adalah aplikasi modern dari Alberti’s polyphabetic cipher. Block cipher
menerima masukan berupa blok plaintext dan sebuah kunci dan kemudian
menghasilkan keluaran blok ciphertext dengan ukuran yang sama. Dikarenakan
pesan yang dikirim hampir selalu lebih panjang dari single block (blok tunggal),
maka diperlukan metode penggabungan beberapa blok.
Data Encryption Standard (DES) dan Advanced Encryption Standard
(AES) adalah contoh block ciphers yang dijadikan standar kriptografi oleh
pemerintahan Amerika Serikat. Walaupun AES telah diresmikan sebagai standar
kriptografi terbaru, namun DES, khususnya varian triple- DES, masih banyak
58
digunakan sebagai enkripsi ATM, keamanan surat elektronik (e-mail), dan secure
remote access.
Stream cipher adalah lawan dari block cipher, yakni menciptakan arus
kunci yang panjang dan sembarang (arbitrarily long stream of key) yang
dikombinasikan dengan plaintext bit-per-bit (bit-by-bit) dan karakter-per-karakter
(character-bycharacter). Pada stream cipher, arus keluaran dibangkitkan
berdasarkan keadaan internal (internal state) yang berubah-ubah seiring dengan
jalannya cipher. Perubahaan tersebut diatur oleh kunci dan dibeberapa stream
cipher diatur pula oleh plaintext cipher. RC4 dan adalah contoh dari stream
cipher.
Gambar 2.25 Kriptografi Simetris
2.5.8 Kriptografi Asimetris
Kriptografi simetris menggunakan kunci yang sama untuk enkripsi dan
dekripsi . Hal tersebut menyebabkan masalah yang signifikan, yakni kunci harus
dikelola dengan sangat aman. Idealnya setiap kelompok yang terlibat komunikasi
memiliki kunci yang berbeda. Kebutuhan akan variasi kunci meningkat, seiring
dengan pertumbuhan jaringan, sehingga membutuhkan manajemen kunci yang
59
kompleks untuk menjaga kerahasiaan tiap kunci. Masalah juga bertambah jika
antara dua kelompok yang berkomunikasi tidak terdapat saluran aman (secure
channel).
Pada tahun 1976, Whitfield Diffie dan Martin Hellman mengajukan
konsep kriptografi asimetri yang meggunakan dua kunci yang secara matematika
berhubungan satu sama lain, yakni kunci publik (public key) dan kunci pribadi
(private key). Kunci publik dibangkitkan sedemikian sehingga kunci pribadi
sangat sulit untuk dihitung, walaupun keduanya sesungguhnya berhubungan satu
sama lain.
Dalam kriptografi asimetri, kunci publik dapat secara bebas
disebarluaskan, sedangkan kunci pribadi harus senantiasa dijaga kerahasiaannya.
Kunci publik digunakan untuk enkripsi, sedangkan kunci pribadi digunakan untuk
dekripsi. Diffie dan Hellman membuktikan bahwa kriptografi asimetri adalah
mungkin dengan menerapkan protokol pertukaran kunci Diffie-Hellman. Pada
tahun 1978, Ronald Rivest, Adi Shamir, dan Len Adleman menemukan RSA,
sebuah algoritma berdasarkan kriptografi asimetri. RSA juga akan dibahas secara
mendalam pada bagian selanjutnya.
Gambar 2.26 Kriptografi asimetris
60
2.5.8.1 RSA
RSA algoritma melakukan pemfaktoran bilangan yang sangat besar. Oleh
karena itu RSA dianggap aman. Untuk membangkitkan kedua kunci, dipilih dua
bilangan prima acak yang besar. Skema yang dikembangkan oleh rivest, shamir,
dan adleman yang mengekspresikan bahwa plaintext dienkripsi menjadi blok
blok, dimana setiap blok memiliki nilai biner yang diberi simbol ”n”, plaintext
block ”m”, dan chipertext blok ”c”. Untuk melakukan enkripsi pesan ”m”, pesan
dibagi kedalam blok blok numeric yang lebih kecil dari pada ”n”. (data biner
dengan pangkat terbesar) jika bilangan prima panjangnya 200 digit, dan dapat
menambah beberapa bit o dikiri bilangan untuk menjaga agar pesan tetap kurang
dari nilai ”n”. Rumus enkripsi : C = M e mod n, dan rumus dekripsi M = C
d mod
n = (Me)d mod n = M
ed mod n.
2.6 Tools
2.6.1 freeRADIUS Server
freeRADIUS merupakan implementasi dari server RADIUS. Sebenarnya
ada banyak implementasi server RADIUS lainnya seperti Cisco CNS Access
Registrar (CAR) dan Windows Internet Authentication Service (IAS). Pemilihan
freeRADIUS adalah karena software ini berplatform open source, bersifat gratis,
performa yang stabil, dan banyak digunakan sebagai server otentikasi.
Berdasarkan hasil tim survey freeRADIUS, lebih dari 10 juta pengguna yang
menjadikan freeRADIUS sebagai server otentikasi dan lebih dari 100 juta user
yang melakukan proses otentikasi dengan menggunakan freeRADIUS.
61
FreeRADIUS juga banyak digunakan sebagai otentikasi server dalam penelitian -
penelitian yang berhubungan dengan jaringan nirkabel.
(http://freeradius.org/press/survey.html)
freeRADIUS diperkenalkan oleh Alan Dekok dan Miquel van
Smoorenburg pada bulan Agustus 2005. FreeRADIUS server merupakan
modular dan produk open-source paling populer dan paling banyak digunakan di
dunia sebagai RADIUS server yang berbasis sistem operasi UNIX. FreeRADIUS
mendukung semua protokol umum otentikasi. freeRADIUS berjalan pada
platform UNIX 32 bit dan 64 bit. freeRADIUS bersifat gratis dan dapat di
download pada alamat http://freeradius.org/download.html .
(www.freeradius.org).
freeRADIUS memiliki beberapa feature, diantaranya :
a. Performa dan Skalabilitas, freeRADIUS merupakan salah satu
server yang tercepat dan produk yang memiliki tingkat skalabilitas
yang tinggi.
b. Mendukung penerapan protokol semua EAP method termasuk
diantaranya EAP-PEAP, protokol yang sering digunakan pada
jaringan wireless Microsoft.
c. Support untuk semua jenis database yang umum digunakan (file text
seperti LDAP, SQL, dll) untuk authentication, authorization, dan
accounting dalam protokol AAA.
Disamping kelebihan kelebihan yang ada, salah satu kekurangan
freeRADIUS adalah untuk konfigurasi masih berbasis command line. Berbeda
62
dengan server IAS atau lainnya yang berbayar yang sudah berbasis Graphical
User Interface (GUI).
2.6.2 JRADIUS Simulator
JRADIUS Simulator merupakan utility / tools yang digunakan untuk
melakukan testing dan uji coba performa server RADIUS, tools ini digunakan
untuk mengirimkan pesan pesan otentikasi RADIUS secara simultan, sehingga
akan diketahui berapa banyak jumlah otentikasi yang dapat di handle oleh server
RADIUS dalam waktu tertentu. JRADIUS Simulator merupakan project dari
coova.org berplatform JAVA dan merupakan aplikasi berbasis open-source
yang stand-alone. Aplikasi ini menggunakan JRadius Client API dan di generate
dari JRadius Attributes Dictionary untuk mempermudah saat simulasi RADIUS
saat dijalankan.
JRadius Simulator memiliki karakteristik sebagai berikut :
1. menggunakan graphical user interface untuk menciptakan dan
mengirimkan paket paket RADIUS.
2. menetapkan suatu kebijakan berupa atribut apa saja yang
dikirimkan, dari apa jenis paket nya dan value yang digunakan.
3. untuk atribut RADIUS memiliki nilai nilai yang telah ditentukan,
Jradius menyediakan menu drop-down untuk kemudahan
penggunaan.
63
4. JRadius support untuk penggunaan beberapa metode otentikasi
diantaranya, PAP, CHAP, MSCHAPv2, EAP-MD5, EAP-TLS,
PEAP, dan EAP TTLS/PAP
5. JRadius memberikan kemudahan dalam memverifikasi lalu lintas
RADIUS dengan mengikuti berbagai standar, diantaranya standar
Intel IRAP
6. Aplikasi ini dapat di jalankan dan di simpan konfigurasinya, tidak
diperlukan setting ulang kembali.
Jradius dapat di-download, diekstrak dan di-run dengan dengan perintah perintah
berikut :
wget http://dev.coova.org/mvn/net/jradius/jradius-
client/1.1.3/jradius-client-1.1.3-release.zip
unzip jradius-client-1.1.3-release.zip
cd jradius
sh simulator.sh
berikut adalah screenshot dari tampilan menu menu yang terdapat pada
JRadius Simulator :
Gambar 2.27 Log pada JRadius
64
Gambar 2.28 Konfigurasi Sertifikat Client
Gambar 2.29 Konfigurasi Attribute pada JRadius
65
Gambar 2.32 Set up JRadius untuk dijalankan
66
BAB III
METODOLOGI PENELITIAN
Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi
dua, yaitu metode pengumpulan data dan metode pengembangan sistem.
Berikut penjelasan kedua metode tersebut :
3.1 Metode Pengumpulan Data
Pengumpulan data merupakan proses pengadaan data primer untuk
keperluan penelitian. Pengumpulan data merupakan proses yang penting pada
metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk
menguji rumusan hipotesis. Pengumpulan data adalah prosedur yang sistematis
dan standar untuk memperoleh data yang diperlukan (Nazir, 2005).
3.1.1 Studi Lapangan / Observasi
Metode pengumpulan data dengan melakukan pengamatan atau datang
langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata
tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Penulis
melakukan penelitian di PUSDATIN (Pusat Data dan Informasi) Fakultas Sains
dan Teknologi, Universitas Islam Negeri (UIN) Syarif Hidayatullah Jakarta, Jl. Ir.
H. Juanda no. 95 Ciputat 15412. PUSDATIN dipilih sebagai lokasi penelitian
karena ketersediaan
67
fasilitas (perangkat dan sumber daya) yang dibutuhkan untuk mendukung
proses penelitian.
3.1.2 Studi Pustaka atau Literatur
Metode pengumpulan data melalui buku atau browsing internet yang
dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses
pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan
secara online melalui internet. Referensi tersebut berasal dari dokumen dokmen
resmi RFC (Request for Comment) yang telah di standarisasikan oleh badan
standarisasi seperti IEEE dan IETF. Referensi tersebut sebagai acuan untuk
membuat landasan teori. dan referensi – referensi lainnya yang digunakan oleh
penulis dapat dilihat pada Daftar Pustaka.
Studi literatur yang penulis gunakan sebagai referensi yaitu :
Tabel 3.1 Studi Literatur
No JUDUL PENULIS TAHUN PEMBAHASAN
1. Analisis dan
Perancangan Sistem
Keamanan Jaringan
Nirkabel
Menggunakan EAP-
TLS
Ali
Mahrudi
2006 Skripsi ini menekankan
pada analisa dan
perancangan extensible
authentication protocol –
Transport Layer Protocol
(EAP-TLS) sebagai solusi
dari resiko terhadap
gangguan keamanan
jaringan nirkabel FST
UIN Jakarta . EAP TLS
merupakan protokol
802.1x mekanisme kerja
otentikasi EAP-TLS
memerlukan certificate
pada sisi client dan server
68
3.1 Metode Pegembangan Sistem
Penulis menggunakan model pengembangan sistem NDLC (Network
Development Life Cycle). Secara spesifik NDLC dan kegiatan yang dilakukan
penulis dalam penelitian ini adalah sebagai berikut :
analysis
management
monitoring
implementation
Simulation
prototyping
design
Gambar 3.1 Siklus Network Development Life Cycle
Sumber : Goldman, James E. & Rawles, 2001
Menurut (Goldman, 2001), NDLC adalah kunci dibalik proses perancangan
jaringan komputer. NDLC merupakan model mendefenisikan siklus proses
pembangunan atau pengembangan sistem jaringan komputer. Kata cycle (siklus)
adalah kata kunci deskriptif dari siklus hidup pengembangan sistem jaringan yang
menggambarkan secara eksplisit seluruh proses dan tahapan pengembangan
sistem jaringan yang berkesinambungan.
3.1.1 Tahapan Analisis
Model pengembangan sistem NDLC dimulai pada fase analisis. Dimana
pada tahap ini dilakukan proses perumusan masalah, mengidentifikasi konsep dari
69
otentikasi user terpusat dengan menggunakan protokol PEAP. Pada tahap ini
dilakukan analisis kebutuhan, analisis permasalahan yang muncul, analisa
perangkat keras dan perangkat lunak, dan analisis keamanan sistem. Dapat dilihat
pada bab 4.2
3.1.2 Tahapan Desain
Tahapan selanjutnya adalah design. Pada tahap ini, penulis membaginya
dalam dua kegiatan, yaitu: desain topologi dan desain sistem. Dari data data yang
didapatkan dari tahapan analisis, tahap perancangan ini akan membuat gambar
rancangan topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan
gambar ini akan memberikan gambaran seutuhnya kebutuhan yang ada. pada
tahap ini penulis membuat desain topologi dan sistem jaringan wireless. Topologi
yang spesifik dapat dilihat pada bab 4.3
3.1.3 Tahapan Simulasi Prototyping
Tahapan ini bertujuan untuk melihat kinerja awal dari jaringan yang akan
dibangun dan sebagai bahan pertimbangan. Sebelum jaringan benar benar akan
diterapkan. Pada tahapan ini penulis melakukan simulasi protokol PEAP dalam
network skala kecil, dimana pada tahap ini penulis dapat melihat dan meneliti
apakah protokol PEAP yang akan diterapkan mengalami keberhasilan ataukah
mengalami kegagalan. Dapat dilihat pada bab 4.4
70
3.1.4 Tahapan Penerapan (implementation)
Tahapan selanjutnya adalah implementasi, dimana hasil dari tahapan
sebelumnya diimplementasikan. Proses implementasi yang dilakukan adalah
instalasi dan konfigurasi terhadap rancangan topologi. Dapat dilihat pada bab 4.5
3.1.5 Tahapan Pengawasan (Monitoring)
Pada NDLC proses pengawasan merupakan tahapan yang penting, agar
jaringan komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan
tujuan awal dari user pada tahap awal analisis, maka perlu dilakukan kegiatan
monitoring. Tahapan ini dapat dilihat pada bab 4.6
3.1.6 Tahapan Pengaturan (Management)
Tahapan ini memiliki fungsi untuk membuat / mengatur agar sistem yang
telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsur
reliability terjaga. Dapat dilihat pada bab 4.7
3.2 Mekanisme Kerja Penelitan
Pendefinisian gambaran umum proses kerja penelitian skripsi. Penulis
mendefinisikan dan merepresentasikan metode dan alur proses penelitian, elemen-
elemen, beserta interkoneksinya satu sama lainnya yang penulis terapkan pada
penelitian skripsi ini dengan menggunakan pendekatan terhadap model NDLC
dengan menggunakan media diagram model proses berikut ini :
71
Perencanaan Penelitian
Skripsi
Perumusan & Pendefinisian
Masalah & Judul Penelitian
Perumusan Hipotesis
Jenis PenelitianMetode Pengumpulan
Data
Network Development
Life-CyclePenelitian Experimental
Identify
Analyze
Understand
Report
Studi Pustaka
Wawancara
ObservasiWaktu
penelitian
Perangkat
penelitian
Lokasi
penelitianAnanlysis
Simulation
Prototyping
Design
Implementation
Monitoring
Management
Network
Development Life
Cycle
Perumusan Kesimpulan Pembuatan Laporan
Metode Pengembangan
Sistem
Mempersiapkan
lingkungan virtual
Membangun prototipe
simulasi sistem
Perancangan sistem otentikasi
PEAP
Perancangan topologi
jaringan FST
Implementasi sistem
pendukung
Implementasi
topologi jaringan
Implementasi skema IEEE
802.1x EAP PEAP
pengelolaan Perangkat
RADIUS client
Pengelolaan
administrasi pengguna
jaringan
Pemantauan Kinerja
Server
Gambar 3.2 Mekanisme Kerja Penelitian
72
BAB IV
ANALISA DAN IMPLEMENTASI
Pada bab ini, penulis akan menjelaskan proses pengembangan sistem
keamanan jaringan dengan menerapkan protokol otentikasi protected extensible
authentication protocol (PEAP), studi kasus kendali akses dan pengamanan pada
jaringan nirkabel Fakultas Sains dan Teknologi UIN Jakarta dengan menerapkan
landasan teori dan metode penelitian yang sudah dibahas pada bab bab
sebelumnya.
Metode penelitian yang penulis gunakan adalah metode NDLC (Network
Development Life-Cycle). Dengan NDLC, siklus siklus pengembangan sistem
jaringan didefinisikan pada sejumlah fase berikut : analysis (analisis) design
(perancangan), simulation protoyping (prototipe simulasi), implementation
(implementasi), monitoring (pengamatan), dan management (manajemen).
4.1 Perencanaan
Pada tahap ini, penulis melakukan sejumlah perencanaan berupa langkah
langkah awal yang dibutuhkan untuk membangun sistem otentikasi nirkabel yang
terpusat. Persiapan ini meliputi sejumlah kegiatan berikut : pengumpulan data dan
informasi (berupa berbagai jenis referensi melalui berbagai media) dengan
menggunakan metode kepustakaan atau studi literatur (library research) dan
pengamatan terhadap ketersediaan alat dan kondisi fasilitas pendukung sebagai
73
persiapan penentuan laboratorium riset sebagai lokasi penelitian (laboratory-
based research).
4.2 Analysis (Analisa)
Metode pengembangan NDLC memulai siklus pengembangan sistem
jaringan pada tahap analisis. Pada tahap ini dilakukan analisa dengan melakukan
perbandingan komponen-komponen yang terdapat pada model yang bertujuan
untuk penulis menggunakan teknologi tersebut dalam penelitian ini. Pada tahap
ini pula penulis menganalisa serta menentukan komponen yang digunakan secara
detail.
4.2.1 Analisa Kebutuhan Sistem Keamanan EAP PEAP
Keamanan dan kendali akses merupakan isu yang banyak dibahas ketika
mengimplementasikan jaringan nirkabel. Beberapa solusi dikembangkan untuk
memenuhi akan adanya jaringan nirkabel yang aman. Namun, beberapa solusi
tersebut kurang tepat bila digunakan untuk jaringan nirkabel yang memiliki
pengguna dalam jumlah besar. Pada infrastruktur jaringan seperti ini model
pengamanan yang tepat adalah three-tier authentication model, yang terdiri dari
tiga komponen yaitu : supplicant (wireless client), authenticator (wireless access
point) dan authentication server.
Pada penelitian sebelumnya, Ali Mahrudi telah mengimplementasikan
protokol keamanan IEEE 802.1X yang diintegrasikan dengan IEEE 802.11 untuk
mengamankan jaringan nirkabel di FST. Solusi ini menggunakan protokol
74
otentikasi EAP-TLS. Protokol ini telah menjawab kebutuhan keamanan di FST.
Namun, berdasarkan analisa penulis, protokol tersebut memiliki kesulitan pada
fase implementasi. Hal ini dikarenakan, protokol EAP-TLS membutuhkan
sertifikat digital pada dua sisi, yaitu di sisi klien dan di sisi server. Hal ini akan
menyulitkan pada tiga fase pengembangan jaringan, yaitu fase implementasi awal,
administrasi pengguna dan pembuatan security policy atau kebijakan keamanan.
Pada penelitian ini, penulis mengajukan protokol PEAP untuk
menggantikan EAP-TLS. Dari sisi mekanisme otentikasi, PEAP memiliki banyak
kesamaan desain dengan EAP-TLS. Keduanya menggunakan protokol TLS untuk
mengamankan semua pertukaran pesan dan komunikasi EAP. Namun, PEAP
menggantikan otentikasi pada sisi klien dengan menggunakan kombinasi
username dan password. Dari sisi mobilitas, PEAP juga lebih baik daripada EAP-
TLS karena pengguna dapat mengakses menggunakan PC atau notebook lainnya
untuk terkoneksi ke jaringan selama pengguna tersebut memiliki akun yang sah.
Sedangkan EAP-TLS hanya dapat digunakan pada PC atau notebook pengguna
yang telah terinstall sertifikat digital yang diberikan oleh network administrator.
Perbandingan antara EAP TLS dan PEAP dapat dilihat pada tabel 4.1.
Tabel 4.1 Perbandingan EAP TLS dan PEAP
Sumber : TTLS and PEAP Comparison, Matthew Gast
Perbandingan Jenis Otentikasi
EAP TLS PEAP
Spesifikasi RFC 2716 Internet – Draft 3 / 2003
Client implementations
Cisco, Funk,
Meetinghouse, Microsoft,
Open1X (open source)
Cisco, Microsoft, Funk,
Meetinghouse
75
Supported client platforms
Linux, Mac OS
X,Windows 95/98/ME,
Windows NT/2000/XP,
Mac OS X
Linux, MacOS X,
Windows
Authentication server
implementations
Cisco ACS, Funk
Odyssey, Interlink
Secure.XS, Meetinghouse
AEGIS, Microsoft IAS,
FreeRADIUS
Cisco ACS, Microsoft IAS,
Interlink Secure.XS,
Meetinghouse, Funk,
FreeRADIUS
Basic protocol structure
Sesi pembentukan jalur TLS
dan validasi sertifikat client
dan server
Terdapat dua fase :
1. pembentukan jalur
TLS anatara client
dan server PEAP
2. menjalankan inner
EAP didalam tunnel
TLS
Fast session reconnect Tidak Ya
Standard Terbuka Terbuka
Key Material Ya Ya
Mutual Authentication Ya Ya
Informasi Otentikasi Supplicant : sertifikat
Server : sertifikat
Supplicant : username-
passsword
Server : sertifikat
Proteksi terhadap identitas
pengguna Tidak Ya
4.2.2 Analisa Komponen Komponen
Setelah menentukan protokol otentikasi user terpusat yang akan
digunakan, yaitu jenis EAP PEAP. maka kegiatan selanjutnya adalah menganalisa
dan menentukan komponen-komponen yang akan digunakan.
Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat
Sistem Keterangan
Sitem otentikasi user
terpusat
Sistem otentikasi user terpusat berperan sebagai data
atau daftar user dan administrator yang ada, yang
diberikan izin akses ke sistem atau jaringan.
76
Tabel 4.3 Spesifikasi Software
No Software Versi Keterangan
1 Ubuntu 10.10 Sistem operasi digunakan sebagai OS yang
diinstall Ubuntu untuk otentikasi user
terpusat.
2 Windows 7 7 Untuk sistem operasi client / user
3 Ubuntu 10.10 Untuk sistem operasi komputer sniffer
4 freeRADIUS 2.1.10 Software yang digunakan untuk
memberikan layanan dan pengolahan
otentikasi/ hak akses user / pengguna
5 MySQL
5.1 Aplikasi yang digunakan untuk menyimpan
dan mengelola database user secara
terpusat
6 XAMPP Linux Sebagai web server
7 aircrack-ng 1.1 Software yang digunakan untuk uji coba
serangan pada jaringan wireless
8 Wireshark 1.0.4 Software yang digunakan untuk meng-
Capture paket PEAP dan paket data yang
ditransmisikan
9 JRADIUS
Simulator
1.3 Sebagai Simulator untuk membangkitkan
request otentikasi secara simultan.
10 daloRADIUS 0.9.8 Merupakan web based interface yang
digunakan dalam manajemen user.
11 Cacti
0.8.7 Berfungsi untuk mengawasi user yang
memakai jaringan. dan memantau beban
pada server
Tabel 4.4 Spesifikasi Hardware
N
o
Perangkat Spesifikasi Jumla
h
Keterangan
1 Komputer
Server
AAA /
RADIUS
server
Prosesor :
Core2Duo 2,2 GHz
RAM : 2 GB
Harddisk : 250 GB
LAN Card :
Realtek RTL8168B
WLAN Card :
Atheros AR9285
1 Digunakan sebagai server
otentikasi terpusat
menggunakan FreeRADIUS,
serta manajemen dan
pengelolaan database user
yang terpusat.
2 Access Point
(AP)
WRT54GL
Prosesor :
Broadcom
BCM5352 @ 200
2 Sebagai access server /
device yang menghantarkan
paket EAP antara client dan
server otentikasi
77
MHz
RAM : 16 MB
Flash : 4 MB
4 Komputer
Client
Prossesor :
Core2Duo T5800
2,0GHz
RAM : 3 GB
Harddisk : 250 GB
WLAN card :
Broadcom 802.11 g
Fungsi : client
terotentikasi
1
Digunakan sebagai komputer
client yang terotentikasi dan
memiliki hak akses.
5 Komputer
Penyadap
Prossesor : Intel
Core Duo T2250
1.6GHz
RAM : 1 GB DDR2
Harddisk : 120 GB
WLAN card :
Integrated
802.11b/g
1
Digunakan sebagai komputer
/ pengguna yang tidak
terotentikasi / sniffer
4.2.3 Analisa Mekanisme PEAP
Proses otentikasi protokol EAP-TLS dan protokol PEAP MSCHAPv2
memiliki beberapa tahapan yang sama, tahapan tersebut yaitu pada saat terjadinya
pembentukan jalur komunikasi dengan menggunakan tranport layer security
(TLS). PEAP dalam fase awal pembentukan jalur komunikasinya menggunakan
handshake protocol, dimana handshake protokol merupakan bagian dari proses
pembentukan jalur protokol TLS. Berikut adalah mekanisme PEAP :
78
EAPOLEAP over RADIUS
Supplicant
(EAP peer)Authenticator
AAA Server
EAP type X exchange
EAPOL Start
EAP response / user ID
Server hello complete
EAP response / client Hello
EAP request identity
EAP request,
PEAP start
RADIUS access challenges /
EAP request, PEAP start
RADIUS access request
EAP request / server Hello
Sertifikat server / key exchange request
Change cipher spec
EAP success
EAP request identity
EAP request identity - type X
CSK
EAP success
EAP success
Sertifikat client / key exchange verify
Complete / TLS handshake done
Tunneled identity response
Tunneled response for EAP type X
EAP request (crypto binding)
EAP response
AP memblok semua request sampai proses
otentikasi komplit / selesai
CA
User database
Transmisi Data diproteksi
Wpa key management
Fase 1 :
PEAP
Fase 2 :
PEAP
Gambar 4.1 Proses Otentikasi PEAP MSCHAPv2
Proses otentikasi PEAP terjadi dalam dua tahapan :
1. Fase pertama menggunakan EAP dan jenis PEAP EAP untuk membuat
sebuah channel TLS.
79
2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk
mengotentikasi akses ke jaringan. dalam hal ini EAP yang digunakan
adalah MSCHAPv2.
Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan
perangkat access point yang memanfaatkan RADIUS server untuk melakukan
proses transaksi paket paket PEAP - MSCHAPv2 sebagai berikut :
Pembuatan channel TLS :
1. Asosiasi dan Meminta Identitas
Ketika sebuah client wireless berasosiasi dengan access point, client akan
mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point
memproeses penerimaan pesan EAP-start, access point akan mengirimkan
sebuah pesan EAP-Request/Identity ke client wireless.
2. EAP-Response/Identity
Jika tidak terdapat user yang logon melalui client wireless, access point
akan mengirimkan sebuah EAP-Response/identity yang berisi nama
komputer. Untuk client windows yang dikirim berupa FQDN (Fully
Qualified Domain Named) dari account komputer.
Jika terdapat user yang logon, access point akan mengirimkan EAP-
Response identity yang berisi username. Dalam proses PEAP, username
yang dikirimkan berupa anonim. Access Point akan melewatkan pesan
Response/identity ke server RADIUS dalam bentuk RADIUS access
request. Berikut hasil capture paket ini dengan menggunakan tools
wireshark.
80
Gambar 4.2 Capture paket EAP Response Identity
Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client,
berisi anonim dengan panjang paket 11 byte.
3. EAP-request dari Server RADIUS (TLS dimulai)
Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge
yang berisi sebuah pesan EAP-request dengan jenis EAP yang digunakan
pada proses TLS, permintaan ini menunjukkan bahwa proses otentikasi
TLS dimulai.
Gambar 4.3 Capture Paket EAP Request-TLS start
Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server
otentikasi, yang menandakan bahwa fase TLS dimulai. Tipe otentikasi
yang digunakan adalah PEAP. Panjang paket ini adalah 6 byte.
4. EAP-Response dari Client wireless (paket Hello TLS client)
Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP
yang digunakan, hal ini dikenal dengan proses pengiriman paket hello
TLS. Access Point akan melewatkan pesan EAP ke server RADIUS dalam
81
bentuk pesan RADIUS access-request. Berikut hasil capture paket hello
TLS client.
Gambar 4.4 Capture Paket Hello-TLS client
Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client,
berisi paket client hello. Paket ini membawa atribut : random session ID,
cipher suites, metode compression. dengan panjang paket 116 byte.
5. EAP request dari Server RADIUS (sertifikat milik RADIUS)
Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge
yang berisi pesan EAP request dengan jenis EAP yang digunakan pada
PEAP dan berisi rangkaian server hello, sertifikat dari RADIUS server,
dan pesan server hello done. Access point melewatkan pesan EAP ke
client. Berikut hasil capture paket sertifikat server.
82
Gambar 4.5 Capture Paket EAP Request Sertifikat Server
Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server,
berisi paket server certificate dan paket server hello done. panjang paket
ini adalah 1024 byte.
6. EAP-Response dari client wireless
Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat
dari client wireless. Access point melewatkan pesan EAP tersebut ke
server RADIUS. Pada PEAP sertifikat pada sisi client tidak dikirim.
Selanjutnya paket yang akan dikirim adalah client key exchange dan
change cipher spec. berikut hasil capture paket tersebut.
83
Gambar 4.6 Capture Paket EAP Response-Client Key Exchange
Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client,
berisi paket client key exchange dan paket change cipher spec. panjang
paket ini adalah 336 byte.
7. EAP-Request dari server RADIUS (bentuk cipher, TLS lengkap)
RADIUS mengirimkan sebuah pesan RADIUS access challenge / paket
EAP request yang berisi sebuah pesan EAP request yang berisi cipher
suite dan sebuah indikasi yang menyatakan pertukaran pesan pada
otentikasi TLS telah selesai dilakukan. Access point melewatkan pesan
EAP ke client.
84
Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS
complete
Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server,
berisi paket change cipher. panjang paket ini adalah 65 byte. Server
8. EAP-Success dari server RADIUS
Server RADIUS memperoleh unicast session key dari proses otentikasi
TLS. Pada fase ini jalur TLS telah terbentuk dan siap digunakan untuk
fase selanjutnya.
Diakhir negosiasi PEAP, server RADIUS mengotentikasi dirinya ke client.
Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS dengan
menggunakan public key, dan bukan password. Semua rangkaian pesan EAP
dikirim diantara client dan server RADIUS secara terenkripsi.
Setelah jalur PEAP-TLS dibuat, langkah berikut yang digunakan untuk
mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2
Otentikasi menggunakan MSCHAPv2 :
85
Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara
clear text, karena paket paket tersebut sudah berada pada jalur TLS yang
terenkripsi.
1. Server RADIUS mengirimkan pesan EAP-request / identity
Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2
2. Client merespon dengan pesan EAP-Response / identity yang berisi
identitas (nama user/nama komputer) dari client
Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2
3. Server RADIUS mengirimkan sebuah EAP-request /EAP-ms-chap v2
challenge yang berisi serangkaian string challenge
86
Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge
4. Client merespon dengan pesan EAP-response/EAP-ms-chap v2 Response
yang berisi Response (jawaban) string challenge untuk server RADIUS
Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response
5. Server RADIUS menerima pesan EAP request/ EAP-ms-chap v2 success.
Yang mengindikasikan jawaban dari client adalah benar dan berisi
response challenge string ke client
Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success
87
6. Client merespon dengan pesan EAP response/EAP-ms-chap v2 ack,
mengindikasikan bahwa respon dari server RADIUS adalah benar.
Gambar 4.13 Capture Paket EAP response/EAP-ms-chap v2 ack
7. Server RADIUS mengirimkan sebuah pesan EAP success
Gambar 4.14 Capture Paket EAP Success
Akhir dari proses saling mengotentikasi ini adalah client dan server
RADIUS dapat membuktikan kebenaran password yang digunakan dan
pertukaran terjadi didalam jalur yang terenkripsi oleh jalur TLS.
Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci
MK (master session key) Kunci MK akan menghasilkan kunci PMK yang akan
berubah secara dinamis yang akan di gunakan bersama oleh access point dan
client pada proses enkripsi WPA dalam metransmisikan data nya. Proses
distribusi kunci ini disebut 4 way handshake.
Performa PEAP dipengaruhi dengan jumlah transaksi pengiriman pesan
EAP Request dan EAP response, jumlah transaksi ini terdiri dari beberapa round-
trip. Round-trip adalah jumlah satu kali paket request dan paket response antara
88
supplicant dan server PEAP. Berikut adalah data paket paket PEAP dalam satu
kali proses otentikasi nya.
Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses
Urutan
Pesan Sumber Nama Pesan
PEAP MSCHAPv2
Ukuran Paket
(byte)
Total Waktu
(milisecond)
1. client identity 194 0.00
2. server PEAP-start 119 0.767
3. client Client -Hello 178 0.729
4. server
1.server-hello
2.certificate
3. server key exchange
3.server hello done
1132 20.869
5. client Response-peap version 112 1.480
6. server
1.Server-hello
2.certificate
3. server key exchange
3.server hello done
1087 0.221
7. client
1. client key exchange
2. change cipher spec
3. encrypted handshake
message
262 27.916
8. server
1. change cipher spec
2. encrypted handshake
message
165 8.708
9. client Resonse-type 112 1.605
10. server Encrypted Application
data 143 0.344
11. client Encrypted Application
data 202 1.744
12. server Encrypted Application
data 159 0.321
13. client Encrypted Application
data 266 6.719
14. server Encrypted Application
data 191 0.889
15. client Encrypted Application
data 186 2.001
16. server Encrypted Application
data 143 0.496
17. client Encrypted Application
data 234 1.870
18. server EAP-Success 208 0.534
Total client 1746 77.213
89
server 3347
4.3 Design (Perancangan)
Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem
yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk
menghasilkan spesfikasi rancangan sistem yang akan dibangun. Penulis membagi
proses perancangan menjadi :
4.3.1 Perancangan Topologi
Pada tahap ini, penulis menentukan topologi dari simulasi dari penerapan
protokol PEAP yang akan dibangun dan mendefinisikan parameter – parameter
konfigurasi yang dibutuhkan untuk menjamin sistem keamanan jaringan yang
akan dibangun dapat berjalan dengan baik. Pada tahap ini dirancang suatu skema
implementasi infrastruktur PEAP-MSCHAPv2 dengan hasil sebagai berikut :
DB Server
FR Server
Client 1
Client 3
Client 2
AP 1
AP 3
AP 2
internet
Gambar 4.15 Perancangan Topologi PEAP
90
Rincian keterangan dari gambar rancangan topologi sistem jaringan
nirkabel diatas adalah sebagai berikut :
1. Jenis topologi yang ditrapkan adalah mode jaringan nirkabel
infrastruktur
2. seluruh alamat IP client dan access point yang digunakan
menggunakan kelas C (subnet-mask 255.255.255.0); direpresentasikan
dengan format CIDR (/24).
3. pada segmen jaringan terdapat :
a. Client : mendefinisikan client dari WLAN internal.
b. Server : mendefinisikan dan merepresentasikan mesin server
pada sistem jaringan komputer
c. Access point (AP) : mendefinisikan sebagai device yang
menjadi perantara antara komunikasi berbasis kabel dan udara
Hasil dari pembangunan sistem ini adalah sistem keamanan jaringan
nirkabel yang secure dan mudah untuk di implementasikan serta sistem ini dapat
melakukan proses otentikasi secara terdistribusi. Penggunaan sertifikat digital
pada sisi client pada protokol EAP-TLS dirubah dengan menggunakan kombinasi
username dan password. Topologi PEAP yang dirancang ini akan
diimplemetasikan pada jaringan nirkabel FST UIN. Berikut adalah topologi
jaringan wireless FST UIN saat ini :
91
internet
internet
Lantai 3
Pusdatin FST UIN
Jurusan / Prodi
serverportal E - learningRADIUS
server
File sharing
FTP
Lantai 2
Dekanat Fakultas
Lantai 4
International Class
Jaringan UIN
Jakarta
Lantai 1
Distribution Layer
Access Layer
FSH UIN Jakarta
Core Layer
Gambar 4.16 Topologi Jaringan Nirkabel FST UIN Jakarta
Secara umum jaringan UIN menggunakan pemodelan Cisco system yaitu
three-tier Layer Hierarichical Design yang terdiri dari core layer, distribution
layer, dan access layer. Pada Fakultas Sains dan Teknologi UIN Jakarta, Jaringan
WLAN diterapkan pada lantai 2 dengan akses point berjumlah 2 buah AP, lantai 3
dengan akses point berjumlah 4 buah AP, dan lantai 4 berjumlah 2 buah AP.
92
Masing masing akses point seluruhnya dihubungkan kedalam jaringan LAN dan
dikonfigurasikan didalam Pusat Data dan Informasi (PUSDATIN) FST UIN.
Didalam PUSDATIN terdapat 6 buah server aktif, salah satu diantaranya server
tersebut digunakan sebagai server otentikasi dengan menggunakan RADIUS.
Untuk menghubungkan akses point dan server otentikasi menggunakan IP kelas
B, 172.27.1.2 sedangkan pada sisi client di set dengan menggunakan IP dinamis /
DHCP dengan IP kelas C. Berikut penggunaan IP untuk masing masing akses
point dan server RADIUS.
Tabel 4.6 Alamat IP Jaringan Nirkabel FST UIN Jakarta
No Lokasi Lokasi Kelas IP IP
1. RADIUS Server
(Pusdatin) PUSDATIN B 172.27.1.2
2 AP Lantai 2 Dekanat FST C 192.168.x.x
3 AP Lantai 2 Ruang Sidang C 192.168.x.x
4 AP Lantai 3 PUSDATIN C 192.168.x.x
5 AP Lantai 3 Prodi TI/SI C 192.168.x.x
6 AP Lantai 3 Prodi Agribisnis C 192.168.x.x
7 AP Lantai 3 Prodi Biologi C 192.168.x.x
8 AP Lantai 4 Prodi International
Program TI/SI C 192.168.x.x
9 AP Lantai 4 Lobi C 192.168.x.x
10 Client Mobile Lantai 2, 3, dan 4 FST C
Range :
192.168.1.2 -
192.168.1.254
93
4.3.2 Perancangan Sistem
Setelah rancangan topologi jaringan dibuat, langkah selanjutnya adalah
membuat rancangan sistem sistem baru yang akan dibangun dan
diimplementasikan, yang akan menjadi solusi berbagai rumusan permasalahan.
Penulis menggunakan diagram alur untuk menggambarkan dan mendefinisikan
alur koneksi fungsionalitas sistem yang akan penulis bangun, sehingga dapat
dengan jelas diidentifikasi dan dipahami dengan lebih mudah. Gambar 4.20
menspesifikasikan diagram alur dari sistem otentikasi PEAP MSCHAPv2.
CLIENT ACCESS POINTSERVER OTENTIKASI/
SERVER RADIUS
MULAI
input
Username -
password
mem-forward
paket username-
password ke
server RADIUS
Memproses dan
Mencocokkan
dengan database
Database User
User terdaftar di
database ?
Server mengirimkan
paket access accept ke
Access point
Server mengirimkan
paket access reject ke
Access point
YA
TIDAK
Memproses paket
dari server
User
terotentikasi ?Connected
disconnect
selesai
selesai
YA
TIDAK
Gambar 4.17 Perancangan Sistem PEAP
Keterangan dari simbol simbol diatas adalah sebagai berikut :
94
Tabel 4.7 keterangan simbol diagram alur
Model Simbol Keterangan
Terminal
Mendefinisikan awal atau akhir proses
Manual input
Mendefinisikan input data secara
manual
Process,
report
Mendefinisikan suatu kegiatan yang
terjadi atau hasil dari kegiatan tersebut.
decision
Mendefinisikan kondisi pilihan dari
sejumlah kemungkinan dari suatu proses
tertentu
Stored data
Mendefinisikan data yang tersimpan
pada suatu sistem atau media
penyimpana, untuk nantinya dapat
dimanfaatkan oleh proses atau sistem
lain
Display
Mendefinisikan output dalam layar /
display
Sequence Urutan terjadinya proses-proses
Diagram alur diatas dapat dijelaskan sebagai berikut :
1. Saat client ingin bergabung dan masuk kedalam jaringan, client
diwajibkan untuk melakukan input kombinasi username dan password.
2. Data username dan password tersebut akan diterima oleh access point
. oleh access point data tersebut tidak diproses oleh AP melainkan di-
forward ke server otentikasi
95
3. Oleh server otentikasi, data username dan password tersebut
dicocokkan dengan data username dan password yang tersimpan
didalam database nya .
4. Jika ditemukan kecocokan data, maka server otentikasi akan
mengirimkan paket RADIUS access accept. Paket ini selanjutnya
dikirimkan ke access point
5. Namun jika tidak ditemukan kecocokan, maka server otentikasi
mengirimkan paket RADIUS access reject. Paket ini selanjutnya juga
akan dikirimkan ke access point
6. Oleh access point paket yang diterima dari server otentikasi akan
diproses untuk memutuskan apakah client dapat terkoneksi dan
bergabung kedalam jaringan ataukah tidak. Jika paket yang diterima
oleh access point adalah access accept. Maka AP akan memberikan
hak akses kepada client untuk masuk kedalam jaringan.
7. Jika paket yang diterima oleh AP dari server otentikasi adalah paket
RADIUS access reject. Maka AP akan memblok dan meminta input
username dan password kembali kepada client.
4.4 Simulation Prototyping (Prototipe Simulasi)
Pada tahap ini penulis membangun prototipe dari sistem baru yang akan
dibangun dan diimplementasikan pada lingkungan WLAN dengan menggunakan
server virtual pada lingkungan virtual. Simulation prototyping
mendemonstrasikan fungsionalitas sistem yang akan dibangun.
96
Penulis menggunakan Virtual Box versi 3.1.6 r59338 untuk
memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase
pembangunan prototipe, dimaksudkan untuk memenuhi sejumlah tujuan :
1. Menjamin efektivitas fungsionalitas dari interkoneksi antar komponen
sistem
2. Memperkecil resiko kegagalan saat proses pembangunan dan
implementasi sistem pada lingkungan nyata.
3. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi
perancangan sistem dan sudah menjadi solusi dari rumusan
permasalahan
4. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan,
pembangunan dan implementasi tidak menganggu dan tidak
mempengaruhi lingkungan sistem nyata.
4.4.1 Simulasi Kinerja Server AAA
Pada tahapan simulasi bertujuan untuk melalukan ujicoba terhadap
infrastruktur AAA (Authentication, Autoritation, Accounting) yang akan
digunakan oleh klien pada saat otentikasi. Selain itu, tahapan ini bertujuan untuk
mengetahui kinerja dari server AAA dalam menyelesaikan setiap
transaksi/komunikasi.
Pada fase ini, penulis menggunakan aplikasi RADIUS JRADIUS
Simulator yang dapat membangkitkan paket-paket atau pesan-pesan RADIUS
yang nantinya akan dikirimkan ke RADIUS server. Dari sisi server RADIUS,
97
pesan-pesan akan terlihat sama dengan pesan-pesan yang diterima dari perangkat
yang sebenarnya, yaitu authenticator dalam hal ini adalah wireless access point.
Aplikasi JRADIUS Simulator akan menggantikan komponen supplicant
dan authenticator dari sebuah infrastruktur AAA. JRADIUS Simulator
membangkitkan pesan-pesan RADIUS yang identik dengan pesan yang dikirim
dalam komunikasi yang sebenarnya. Dengan menggunakan sistem ini maka
proses simulasi dapat mengirimkan pesan/paket otentikasi dalam jumlah yang
banyak dalam satu waktu. Hal ini bertujuan untuk mengetahui batas kemampuan
server RADIUS dan bagaimana kondisi server RADIUS pada saat beban puncak.
Hal ini juga nantinya dapat menjadi parameter yang perlu dipertimbangkan pada
saat proses upgrade jaringan.
Berikut screenshoot dari setting dan konfigurasi JRADIUS Simulator,
Simulator ini dijalankan pada komputer selain server RADIUS.
Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS, shared secret, dan
authentication protocol
98
Berikut parameter yang akan disetting untuk melakukan simulasi ini,
1. Transport : protokol yang diset adalah UDP. Karena protokol yang
berjalan pada RADIUS adalah protokol UDP.
2. RADIUS server : memasukkan alamat IP RADIUS server yang akan di
lihat performanya. Dalam testing simulasi ini alamat IP yang dimasukkan
adalah 192.168.1.10 yang merupakan alamat IP server RADIUS pada
tahap simulasi.
3. Shared Secret : merupakan kunci yang digunakan untuk komunikasi antara
server RADIUS dengan Access Point. Shared secret yang diinput adalah
”testing123”.
4. Auth port dan acct port : merupakan port otentikasi dan pendaftaran akun
pengguna. port yang digunakan adalah 1812 dan 1813.
5. Send Time out : merupakan waktu tunggu yang digunakan untuk mengirim
ulang paket request ke server RADIUS. Secara default field ini di set
dengan nilai 10 second.
6. Send retries : jika paket request yang dikirimkan selama waktu yang
disetting tidak direspon maka jRADIUS simulator akan mengirim ulang
paket tersebut.
7. Requester Threads : merupakan jumlah request per thread
8. Request per thread : merupakan jumlah paket yang akan dikirim dalam
satu thread
9. Simulation type : setting dengan jenis Auth only
99
10. Authentication Protocol: merupakan jenis protokol otentikasi yang akan
digunakan. Setting dengan jenis tipe otentikasi PEAP
11. Verify Standard : none
Gambar 4.19 Setting Atribut Username dan Password
12. Kemudian setting pada tab attributes, masukkan parameter berupa
username kemudian centang access req dan input nilai attribute value
“sqltest”
13. Lalu masukkan attribute user-password, kemudian centang access req dan
input attribute value ”testpwd”
Selanjutnya melakukan simulasi dengan menekan tombol start. Pada
tahapan simulasi ini terlihat jumlah paket request otentikasi yang dapat di-handle
oleh server RADIUS sebanyak 62,86 request / second.
Gambar 4.20 Hasil Simulasi Jradius Simulator
100
4.5 Implementasi
Setelah selesai melakukan tahapan simulasi, penulis kemudian
mengimplementasikan solusi ini pada perangkat yang sebenarnya. Pengaturan
yang dilakukan adalah pada dua komponen yaitu supplicant dan authenticator.
Pada sisi authenticator, perangkat ini harus mengetahui alamat IP dari server
RADIUS dan kombinasi shared secret yang digunakan untuk dapat
berkomunikasi dengan server RADIUS tersebut. Sedangkan pada sisi supplicant,
perangkat ini terlebih dahulu diinstall sertifikat digital untuk CA atau sertifikat
digital dari server RADIUS. Hal ini bertujuan, agar supplicant terhindar dari
serangan rogue access point dan rogue RADIUS server, sehingga informasi
username dan password pengguna tidak jatuh ke pihak yang tidak sah.
Sertifikat digital ini memastikan bahwa supplicant terkoneksi dan
melakukan otentikasi ke server RADIUS yang sebenarnya. Mekanisme ini juga
disebut dengan server authentication. Setelah konfigurasi pada supplicant dan
authenticator selesai dilakukan, maka pengguna telah dapat mengakses jaringan
nirkabel menggunakan akunnya masing-masing. Adapun tampilan yang akan
terdapat pada sisi pengguna adalah seperti yang terlihat pada gambar 4.32
(windows 7), gambar 4.33 (windows XP), dan gambar 4.34 (ubuntu 10.10).
Gambar 4.21 tampilan input username dan password pada sisi client windows 7
101
Gambar 4.22 tampilan input username dan password pada sisi client windows XP
Gambar 4.31 tampilan input username dan password pada sisi client Ubuntu
10.10 desktop
Proses implementasi meliputi beberapa tahap-tahapan berikut ini:
102
4.5.1 Instalasi Server RADIUS
Server RADIUS merupakan server AAA yang bertugas untuk menangani
proses otentikasi, otorisasi, dan accounting. Dalam penelitian kali ini, penulis
mengimplementasikan server RADIUS dengan menggunakan aplikasi
FreeRADIUS. Berikut perintah untuk menginstal aplikasi freeRADIUS. Tahapan
instalasi freeRADIUS secara lengkap dapat dilihat pada halaman lampiran 1.
# apt-get update
# apt-get install freeradius
Aplikasi freeRADIUS berbasis command-line, semua perintah dan konfigurasi
aplikasi ini berbasis teks. Berikut perintah untuk mengaktifkan aplikasi ini :
# freeradius start
Untuk menjalankan freeRADIUS dalam mode debug :
# freeradius –X
Saat mode debug, freeRADIUS siap digunakan setelah menyatakan ready to
process request, berikut tampilan nya :
Gambar 4.24 mode debug freeRADIUS
4.5.2 Pembuatan Sertifikat Digital
Sertifikat ini nantinya akan didistribusikan kepada setiap client yang
terdaftar untuk melakukan koneksi kedalam jaringan. Hal ini bertujuan, agar
supplicant terhindar dari serangan rogue access point dan rogue RADIUS server.
103
sertifikat yang dibuat adalah sertfikat CA, sertifikat ini akan didistribusikan
kepada para masing masing pengguna/client. Berikut konfigurasi pembuatan
certifkat. Selengkapnya dapat dilihat pada Lampiran 2.
mkdir CA
mkdir CA/signed_certs
mkdir CA/private
chmod 700 CA/private
cp /etc/ssl/openssl.cnf /home/arief/CA/
nano /home/arief/CA/openssl.cnf
dir = /home/arief/CA
certs = $dir/
new_certs_dir = $dir/signed_certs
4.5.3 konfigurasi server RADIUS
setelah menginstall aplikasi freeRADIUS, terdapat file konfigurasi yang
di akan di setting, yaitu :
a. konfigurasi eap.conf
bertujuan untuk mengaktifkan protokol EAP, Selengkapnya dapat dilihat
pada Lampiran 3. berikut settingannya :
#nano EAP.conf
Selanjutnya menyesuaikan data berikut :
TLS {
certdir = /home/arief/CA2 [arahkan ke dir
CA]
cadir = /home/arief/CA2
private_key_password = qwerty
private_key_file = ${certdir}server_key.pem
CA_file = ${cadir}/cacert.pem
dh_file = ${certdir}/dh [diffie halffman]
random_file = ${certdir}/random
}
}
104
b. Konfigurasi sql.conf
melakukan setting dan konfigurasi database, berikut settinganya :
sql {
database = "mysql"
driver = "rlm_sql_${database}"
server = "localhost"
port = 3306
login = "radius"
password = "radpass"
radius_db = "radiusdb"
acct_table1 = "radacct"
acct_table2 = "radacct"
postauth_table = "radpostauth"
authcheck_table = "radcheck"
authreply_table = "radreply"
groupcheck_table = "radgroupcheck"
usergroup_table = "radusergroup"
sqltrace = no
sqltracefile = ${logdir}/sqltrace.sql
num_sql_socks = 5
connect_failure_retry_delay = 60
lifetime = 0
nas_table = "nas"
$INCLUDE sql/${database}/dialup.conf
}
c. Konfigurasi clients.conf
file ini bertujuan untuk melakukan konfigurasi berupa penambahan
maupun pengurangan client baru, yang dimaksud client disini adalah
Access point.
client 192.168.1.11 {
secret = testing123
shortname = simulator
nastype = other
}
4.5.4 Konfigurasi Access Point
Pada Access point dilakukan Setting alamat IP, mengubah security mode
menjadi WPA enterprise dan setting nama SSID. Selengkapnya dapat dilihat
pada Lampiran 7.
105
4.5.5 Instalasi Sertifikat CA pada Client
Tahapan instalasi ini dapat dilihat selengkapnya pada Lampiran 8
4.5.6 Instalasi Database Server
Aplikasi database server yang digunakan adalah MYSQL, berikut adalah
perintah untuk melakukan instalasi database MYSQL, lebih lengkapnya dapat
dilihat pada lampiran x.
# apt-get update
# apt-get install mysql-server
4.5.7 Konfigurasi Database Server
Konfigurasi database menggunakan phpmyadmin, berikut screenshot konfigurasi
database.
Gambar 4.25 Konfigurasi database dengan phpmyadmin
4.6 Monitoring (Pengawasan)
Tahapan monitoring berguna untuk memantau beban pada server.
Penggunaan kriptograpi pada protokol otentikasi akan menambah proses
komputasi pada sisi server setiap kali pengguna meminta akses ke jaringan. Proses
106
monitoring juga berguna untuk mengetahui kapasitas server yang digunakan dan
jumlah pengguna yang dapat ditangani dalam satu satuan waktu tertentu. Adapun
sumber daya yang akan dipantau adalah penggunaan CPU, RAM dan trafik pada
jaringan. Gambar 4.33 menggambarkan perbedaan beban server untuk 1, 20, 30,
dan 40 proses otentikasi.
Gambar 4.26 Perbandingan beban Server berdasarkan jumlah request otentikasi
Pada tahap ini penulis juga melakukan sebuah monitoring dengan
menggunakan tools Cacti.
107
Gambar 4.27 Jumlah paket authentication request
Pada gambar diatas terlihat bahwa sistem memroses paket authentication
request rata-rata 3 paket/detik dengan nilai maksimum adalah 7 paket/detik.
Dengan total paket authentication Response 3 paket/detik dan nilai maksimum 7
paket perdetik. Akses yang ditolak sebanyak 2 paket authentication dan nilai
maksimum 4 paket / detik
Gambar 4.28 Jumlah paket accounting request
Pada gambar diatas terlihat bahwa sistem memroses paket accounting
request rata-rata 4 paket/detik dan nilai maksimum adalah 10 paket/detik. Begitu
108
pula pada proses accounting response, rata-rata 4 paket /detik dan nilai maksimum
10 paket/detik
4.6.1 Pengujian Sistem
Untuk Membuktikan sistem otentikasi PEAP aman dimana data yang
ditransmisikan terenkripsi maka penulis melakukan pengujian dengan
menggunakan tools Aerodam 1.1. berbasis linux. Tools ini biasanya digunakan
dengan melakukan scanning untuk mengetahui alamat SSID, jenis otentikasi dan
enkripsi yang digunakan, serta channel yang dipakai pada jaringan wireless.
Setelah dilakukan scanning selanjutnya paket hasil scanning tersebut di buka
dengan menggunakan tools wireshark. Tools wireshark digunakan untuk melihat
secara detail suatu paket data yang di transmisikan pada jaringan.
Pertama-tama dengan mensetting Access Point dengan SSID black_usb,
Gambar 4.29 Konfigurasi AP SSID black_usb
109
Pada tahap kedua alamat IP diset dengan IP 192.168.1.11, RADIUS
server dengan IP 192.168.1.10, client 192.168.1.12 dan sniffer 192.168.1.13. pada
AP black_usb di setting dengan mode security WPA enterprise, WPA alghoritm
AES, RADIUS port 1812, dan shared secret “testing123”.
Gambar 4.30 Konfigurasi Security mode WPA enterprise
Dikondisikan AP dengan SSID black_usb telah aktif, client mengirimkan paket
“ping” ke server. Komputer sniffer selanjutnya melakukan scanning dan Capture
paket yang terdapat didalam jaringan nirkabel. Berikut hasil Capture dari
scanning dengan menggunakan Aerodam 1.1
Gambar 4.31 scanning status AP black_usb
110
Terlihat pada SSID black_usb menggunakan channel wlan 11, nilai AUTH
adalah MGT, nilai MGT bermakna menggunakan server RADIUS untuk proses
otentikasinya. cipher nya adalah CCMP dan data enkripsi bernilai WPA.
Berikut hasil interface paket data yang diCapture tersebut :
Gambar 4.32 Capture paket data pada AP black_usb
Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada
jaringan WLAN yang menggunakan WPA Enterprise data tersebut telah
terenkripsi. Berdasarkan hasil ini terbukti bahwa dengan menggunakan WPA
Enterprise (PEAP), dapat mengamankan paket paket data yang ditransmisikan.
4.7 Management (Manajemen)
Pada tahap ini penulis hanya melakukan manajemen user dan perangkat
jaringan nirkabel yang telah diterapkan. Pada tahapan ini penulis menggunakan
tools DaloRadius. Administrasi yang dilakukan dibagi menjadi dua bagian, yaitu:
111
1. User management atau administrasi pengguna
Pada bagian user management, sysadmin dapat melakukan beberapa
konfigurasi, yaitu penambahan pengguna baru, menghapus dan mengubah
informasi pengguna.
Gambar 4.33 manajemen akun pengguna
2. NAS management atau administrasi NAS (WLAN access point)
Pada bagian NAS management, dalo radius dapat menambahkan akses point
yang dapat berkomunikasi dengan server RADIUS.
Gambar 4.34 manajemen access point
109
BAB V
PENUTUP
5.1 Kesimpulan
Kesimpulan dari penelitian yang telah penulis lakukan adalah sebagai
berikut:
1. Penerapan protokol PEAP dapat memudahkan kerja administrator jaringan
dalam memanage hak akses pengguna secara terpusat terlihat pada gambar
4.33 dan gambar 4.34.
2. Penerapan Protected EAP (PEAP) dapat digunakan untuk menangani
protokol otentikasi pada jaringan nirkabel secara aman terlihat pada sub
bab 4.6.1.
3. Urutan paket paket data pada proses otentikasi PEAP dapat dilihat dengan
menggunakan tools wireshark. Seperti terlihat pada gambar 4.2 – gambar
4.14.
4. Untuk tahapan monitoring dalam melihat kinerja server PEAP dapat
digunakan tools cacti. Terlihat pada gambar 4.27 dan gambar 4.28
5. Kita dapat melihat dan memanage daftar akun pengguna serta daftar NAS
dengan menggunakan aplikasi DaloRadius yang berbasis Web.
5.2 Saran
Saran dari penulis untuk pengembangan penelitian selanjutnya yang
berkaitan dengan sistem otentikasi terpusat dengan PEAP ini yaitu:
115
5.2 Saran
Saran dari penulis untuk pengembangan penelitian selanjutnya yang
berkaitan dengan sistem otentikasi terpusat dengan PEAP ini yaitu:
1. Kinerja protokol PEAP dipengaruhi oleh spesifikasi hardware yang
digunakan. Untuk jumlah pengguna yang semakin bertambah dan
meningkat, kedepan diperlukan suatu mekanisme load balancing, dengan
sistem load balancing pembagian beban dan kinerja server otentikasi
dibagi secara merata ke beberapa server yang ada sehingga dapat
mempertahankan Quality of Service dari jaringan tersebut.
2. Hasil dari penelitian ini dapat dilanjutkan dengan melakukan analisa pada
fitur re-authentication pada protokol PEAP MSCHAP. Fitur re-
authentication merupakan fitur untuk mengurangi waktu yang diperlukan
untuk menyelesaikan proses otentikasi.
119
Lampiran 1. Instalasi FreeRADIUS Server
1. Hal pertama yang dilakukan adalah melakukan update repository database
package ubuntu. masuk sebagai root kemudian ketik :
apt-get update
2. perintah untuk proses instalasi freeRADIUS:
root@ns1:/home/vpnserver# apt-get install freeradius
3. untuk proses instalasi RADIUS server dengan dukungan EAP, maka paket
yang digunakan harus dibuat sendiri, tidak bisa dari repository ubuntu. Oleh
karena akan dibuat built environment sendiri.
Apt-get install build-essential
4. Setelah proses install build environemt selesai Maka kita selanjutnya
mengunduh paket source freeradius dengan perintah berikut:
120
wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg-
1ubuntu1.dsc
wget
http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg.orig.tar.gz
wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg-
1ubuntu1.diff.
5. selanjutnya mengekstrak paket tar.gz pada paket paket freeradius yang telah di
download tadi dengan perintah :
dpkg-source -x *.dsc
$ cd freeradius-2.1.8
$ dpkg-buildpackage –rfakeroot
6. Cek repository dependencies yang diperlukan agar freeradius dapat berjalan
dengan normal :
nano debian/control
7. selanjutnya Perintah untuk menginstal semua software dependencies agar
freeradius dapat berjalan dengan normal :
apt-get install quilt autotools-dev libtool libltdl3-dev libpam0g-dev
libmysqlclient-dev libgdbm-dev libldap2-dev libiodbc2-dev libkrb5-dev
libperl-dev libsnmp-dev libpq-dev libssl-dev python-dev libpcap-dev debhelper
ssl-cert
8. selanjutnya meng-compile seluruh source code menjadi deb dengan perintah
berikut :
sudo dpkg buildpackage
sudo dpkg –i libfreeradius2*.deb
sudo dpkg –i freeradius-common*.deb
sudo dpkg –i freeradius_2*.deb
121
apt-get install libltdl7
apt-get install libper15.10
apt-get install ssl-cert
Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server
Masuk ke root dengan mengetik “sudo su” masukkan password root nya
Buat folder baru dengan mengetik :
~ $ mkdir CA
~ $ mkdir CA/signed_certs
~ $ mkdir CA/private
~ $ chmod 700 CA/private
Lakukan copy file openssl.conf ke yang dipilih
~ $ cp /etc/ssl/openssl.cnf /home/arief/CA/
Buka file konfigurasi open ssl yang telah di-copy sebelumnya :
nano /home/arief/CA/openssl.cnf
Ubah settingan pada file tersebut sebagai berikut
35 [ CA_default ]
36
37 dir = /home/arief/CA # Where everything is kept
38 certs = $dir/ # Where the issued certs
are kept
39 crl_dir = $dir/crl # Where the issued crl
are kept
40 database = $dir/index.txt # database index file.
41 #unique_subject = no # Set to 'no' to allow
creation of
42 # several ctificates with
same subject.
43 new_certs_dir = $dir/signed_certs # default place for new
certs.
44
45 certificate = $dir/cacert.pem # The CA certificate
46 serial = $dir/serial # The current serial
number
47 crlnumber = $dir/crlnumber # the current crl number
48 # must be commented out
to leave a V1 CRL
49 crl = $dir/crl.pem # The current CRL
50 private_key = $dir/private/cakey.pem# The private key
122
51 RANDFILE = $dir/private/.rand # private random number
file
52
53 x509_extensions = usr_cert # The extentions to
add to the cert
Tambahkan konfigurasi pada file openssl.cnf dengan (baris paling bawah)
316 # Windows XP TLS Extenstions
317 [ xpclient_ext ]
318 extendedKeyUsage=1.3.6.1.5.5.7.3.2
319 [ xpserver_ext ]
320 extendedKeyUsage=1.3.6.1.5.5.7.3.1
Berikut perintah untuk membuat sertifikat CA :
~/CA $ openssl req -new -keyout private/cakey.pem -out
careq.pem
-config ./openssl.cnf
Masukkan password / kunci private CA. kunci ini nantinya akan
digunakan untuk konfirmasi setiap sertifikat yang akan diterbitkan oleh
CA
Selanjutnya, buat sertifikat CA, isi dengan data berikut :
123
Buat index.txt pada didalam dir CA
touch index.txt
Perintah untuk menandatangani Certifikat digital yang dibuat :
~/CA $ openssl ca -create_serial -out cacert.pem –keyfile
private/cakey.pem -selfsign -extensions v3_ca -config
./openssl.cnf -in careq.pem
Perintah untuk mengubah file .pem ke .der (file .der agar sertifikat CA
yang dibuat dapat di-import ke sistem operasi berbasis windows).
~/CA $ openssl x509 -inform PEM -outform DER -in cacert.pem -
out cacert.der
Membuat sertifikat server untuk RADIUS server :
~/CA $ openssl req -new -config ./openssl.cnf -keyout
server_key.pem -out server_req.pem
124
Selanjutnya sertifikat server tersebut ditandatangi dulu oleh CA dengan
perintah berikut :
~/CA $ openssl ca -config ./openssl.cnf -in server_req.pem -out
server_cert.pem
125
Buat parameter 1024-bit Diffie-Hellman dengan perintah : ( pada folder
CA)
openssl dhparam -out dh 1024
126
dd if=/dev/urandom of=random count=2
Lampiran 3. Konfigurasi eap.conf
# -*- text -*-
##
## eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.)
##
## $Id$
##################################################################
#####
#
# Whatever you do, do NOT set 'Auth-Type := EAP'. The server
# is smart enough to figure this out on its own. The most
# common side effect of setting 'Auth-Type := EAP' is that the
# users then cannot use ANY other authentication method.
#
# EAP types NOT listed here may be supported via the "eap2"
module.
# See experimental.conf for documentation.
#
eap {
# Invoke the default supported EAP type when
# EAP-Identity response is received.
#
127
# The incoming EAP messages DO NOT specify which
EAP
# type they will be using, so it MUST be set
here.
#
# For now, only one default EAP type may be used
at a time.
#
# If the EAP-Type attribute is set by another
module,
# then that EAP type takes precedence over the
# default type configured here.
#
default_eap_type = ttls
# A list is maintained to correlate EAP-Response
# packets with EAP-Request packets. After a
# configurable length of time, entries in the
list
# expire, and are deleted.
#
timer_expire = 60
# There are many EAP types, but the server has
support
# for only a limited subset. If the server
receives
# a request for an EAP type it does not support,
then
# it normally rejects the request. By setting
this
# configuration to "yes", you can tell the server
to
# instead keep processing the request. Another
module
# MUST then be configured to proxy the request to
# another RADIUS server which supports that EAP
type.
#
# If another module is NOT configured to handle
the
# request, then the request will still end up
being
# rejected.
ignore_unknown_eap_types = no
# Cisco AP1230B firmware 12.2(13)JA1 has a bug. When
given
# a User-Name attribute in an Access-Accept, it
copies one
# more byte than it should.
#
# We can work around it by configurably adding an
extra
# zero byte.
cisco_accounting_username_bug = no
128
#
# Help prevent DoS attacks by limiting the number
of
# sessions that the server is tracking. Most
systems
# can handle ~30 EAP sessions/s, so the default
limit
# of 4096 should be OK.
max_sessions = 4096
# Supported EAP-types
#
#
# We do NOT recommend using EAP-MD5
authentication
# for wireless connections. It is insecure, and
does
# not provide for dynamic WEP keys.
#
md5 {
}
# Cisco LEAP
#
# We do not recommend using LEAP in new
deployments. See:
# http://www.securiteam.com/tools/5TP012ACKE.html
#
# Cisco LEAP uses the MS-CHAP algorithm (but not
# the MS-CHAP attributes) to perform it's
authentication.
#
# As a result, LEAP *requires* access to the
plain-text
# User-Password, or the NT-Password attributes.
# 'System' authentication is impossible with
LEAP.
#
leap {
}
# Generic Token Card.
#
# Currently, this is only permitted inside of
EAP-TTLS,
# or EAP-PEAP. The module "challenges" the user
with
# text, and the response from the user is taken
to be
# the User-Password.
#
# Proxying the tunneled EAP-GTC session is a bad
idea,
# the users password will go over the wire in
plain-text,
129
# for anyone to see.
#
gtc {
# The default challenge, which many
clients
# ignore..
#challenge = "Password: "
# The plain-text response which comes
back
# is put into a User-Password attribute,
# and passed to another module for
# authentication. This allows the EAP-
GTC
# response to be checked against plain-
text,
# or crypt'd passwords.
#
# If you say "Local" instead of "PAP",
then
# the module will look for a User-
Password
# configured for the request, and do the
# authentication itself.
#
auth_type = PAP
}
## EAP-TLS
#
# See raddb/certs/README for additional comments
# on certificates.
#
# If OpenSSL was not found at the time the server
was
# built, the "tls", "ttls", and "peap" sections
will
# be ignored.
#
# Otherwise, when the server first starts in
debugging
# mode, test certificates will be created. See
the
# "make_cert_command" below for details, and the
README
# file in raddb/certs
#
# These test certificates SHOULD NOT be used in a
normal
# deployment. They are created only to make it
easier
# to install the server, and to perform some
simple
# tests with EAP-TLS, TTLS, or PEAP.
#
#
130
# See also:
#
#
http://www.dslreports.com/forum/remark,9286052~mode=flat
#
# Note that you should NOT use a globally known
CA here!
# e.g. using a Verisign cert as a "known CA"
means that
# ANYONE who has a certificate signed by them can
# authenticate via EAP-TLS! This is likey not
what you want.
tls {
#
# These is used to simplify later
configurations.
#
certdir = /home/arief/CA
cadir = /home/arief/CA
private_key_password = qwerty
private_key_file =
${certdir}/server_key.pem
# If Private key & Certificate are
located in
# the same file, then private_key_file &
# certificate_file must contain the same
file
# name.
#
# If CA_file (below) is not used, then
the
# certificate_file below MUST include not
# only the server certificate, but ALSO
all
# of the CA certificates used to sign the
# server certificate.
certificate_file =
${certdir}/server_cert.pem
# Trusted Root CA list
#
# ALL of the CA's in this list will be
trusted
# to issue client certificates for
authentication.
#
# In general, you should use self-signed
# certificates for 802.1x (EAP) authentication.
# In that case, this CA file should
contain
# *one* CA certificate.
#
# This parameter is used only for EAP-
TLS,
131
# when you issue client certificates. If
you do
# not use client certificates, and you do
not want
# to permit EAP-TLS authentication, then
delete
# this configuration item.
CA_file = ${cadir}/cacert.pem
#
# For DH cipher suites to work, you have
to
# run OpenSSL to create the DH file
first:
#
# openssl dhparam -out certs/dh 1024
#
dh_file = ${certdir}/dh
random_file = ${certdir}/random
#
# This can never exceed the size of a
RADIUS
# packet (4096 bytes), and is preferably
half
# that, to accomodate other attributes in
# RADIUS packet. On most APs the MAX
packet
# length is configured between 1500 -
1600
# In these cases, fragment size should be
# 1024 or less.
#
# fragment_size = 1024
# include_length is a flag which is
# by default set to yes If set to
# yes, Total Length of the message is
# included in EVERY packet we send.
# If set to no, Total Length of the
# message is included ONLY in the
# First packet of a fragment series.
#
# include_length = yes
# Check the Certificate Revocation List
#
# 1) Copy CA certificates and CRLs to
same directory.
# 2) Execute 'c_rehash <CA certs&CRLs
Directory>'.
# 'c_rehash' is OpenSSL's command.
# 3) uncomment the line below.
# 5) Restart radiusd
# check_crl = yes
132
CA_path = ${cadir}
#
# If check_cert_issuer is set, the value
will
# be checked against the DN of the issuer
in
# the client certificate. If the values do not
# match, the cerficate verification will
fail,
# rejecting the user.
#
# In 2.1.10 and later, this check can be
done
# more generally by checking the value of
the
# TLS-Client-Cert-Issuer attribute. This
check
# can be done via any mechanism you
choose.
#
# check_cert_issuer =
"/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd"
#
# If check_cert_cn is set, the value will
# be xlat'ed and checked against the CN
# in the client certificate. If the
values
# do not match, the certificate
verification
# will fail rejecting the user.
#
#
# This check is done only if the previous
# "check_cert_issuer" is not set, or if
# the check succeeds.
#
# In 2.1.10 and later, this check can be
done
# more generally by checking the value of
the
# TLS-Client-Cert-CN attribute. This
check
# can be done via any mechanism you
choose.
#
# check_cert_cn = %{User-Name}
#
# Set this option to specify the allowed
# TLS cipher suites. The format is listed
# in "man 1 ciphers".
cipher_list = "DEFAULT"
#
#
133
# This configuration entry should be
deleted
# once the server is running in a normal
# configuration. It is here ONLY to make
# initial deployments easier.
#
make_cert_command = "${certdir}/bootstrap"
#
# Session resumption / fast
reauthentication
# cache.
#
# The cache contains the following
information:
#
# session Id - unique identifier, managed
by SSL
# User-Name - from the Access-Accept
# Stripped-User-Name - from the Access-
Request
# Cached-Session-Policy - from the
Access-Accept
#
#
# The "Cached-Session-Policy" is the name
of a
# policy which should be applied to the
cached
# session. This policy can be used to
assign
# VLANs, IP addresses, etc. It serves as
a useful
# way to re-apply the policy from the
original
# Access-Accept to the subsequent Access-
Accept
# for the cached session.
#
# On session resumption, these attributes
are
# copied from the cache, and placed into
the
# reply list.
#
# You probably also want
"use_tunneled_reply = yes"
# when using fast session resumption.
#
cache {
#
# Enable it. The default is "no".
# Deleting the entire "cache" subsection
# Also disables caching.
#
134
# You can disallow resumption for a
# particular user by adding the
following
# attribute to the control item
list:
#
# Allow-Session-Resumption =
No
#
# If "enable = no" below, you
CANNOT
# enable resumption for just one
user
# by setting the above attribute to
"yes".
#
enable = no
#
# Lifetime of the cached entries,
in hours.
# The sessions will be deleted
after this
# time.
#
lifetime = 24 # hours
#
# The maximum number of entries in
the
# cache. Set to "0" for
"infinite".
#
# This could be set to the number
of users
# who are logged in... which can be
a LOT.
#
max_entries = 255
}
#
# As of version 2.1.10, client
certificates can be
# validated via an external command.
This allows
# dynamic CRLs or OCSP to be used.
#
# This configuration is commented out in
the
# default configuration. Uncomment it,
and configure
# the correct paths below to enable it.
#
verify {
135
# A temporary directory where the
client
# certificates are stored. This
directory
# MUST be owned by the UID of the
server,
# and MUST not be accessible by
any other
# users. When the server starts,
it will do
# "chmod go-rwx" on the
directory, for
# security reasons. The
directory MUST
# exist when the server starts.
#
# You should also delete all of
the files
# in the directory when the
server starts.
# tmpdir = /tmp/radiusd
# The command used to verify the client cert.
# We recommend using the OpenSSL
command-line
# tool.
#
# The ${..CA_path} text is a
reference to
# the CA_path variable defined
above.
#
# The %{TLS-Client-Cert-Filename}
is the name
# of the temporary file
containing the cert
# in PEM format. This file is
automatically
# deleted by the server when the
command
# returns.
# client = "/path/to/openssl verify
-CApath ${..CA_path} %{TLS-Client-Cert-Filename}"
}
}
# The TTLS module implements the EAP-TTLS
protocol,
# which can be described as EAP inside of Diameter,
# inside of TLS, inside of EAP, inside of
RADIUS...
#
# Surprisingly, it works quite well.
#
# The TTLS module needs the TLS module to be
installed
# and configured, in order to use the TLS tunnel
136
# inside of the EAP packet. You will still need
to
# configure the TLS module, even if you do not
want
# to deploy EAP-TLS in your network. Users will
not
# be able to request EAP-TLS, as it requires them
to
# have a client certificate. EAP-TTLS does not
# require a client certificate.
#
# You can make TTLS require a client cert by
setting
#
# EAP-TLS-Require-Client-Cert = Yes
#
#
# in the control items for a request.
#
ttls {
# The tunneled EAP session needs a
default
# EAP type which is separate from the one
for
# the non-tunneled EAP module. Inside of
the
# TTLS tunnel, we recommend using EAP-
MD5.
# If the request does not contain an EAP
# conversation, then this configuration
entry
# is ignored.
default_eap_type = md5
# The tunneled authentication request
does
# not usually contain useful attributes
# like 'Calling-Station-Id', etc. These
# attributes are outside of the tunnel,
# and normally unavailable to the
tunneled
# authentication request.
#
# By setting this configuration entry to
# 'yes', any attribute which NOT in the
# tunneled authentication request, but
# which IS available outside of the
tunnel,
# is copied to the tunneled request.
#
# allowed values: {no, yes}
copy_request_to_tunnel = no
# The reply attributes sent to the NAS
are
# usually based on the name of the user
137
# 'outside' of the tunnel (usually
# 'anonymous'). If you want to send the
# reply attributes based on the user name
# inside of the tunnel, then set this
# configuration entry to 'yes', and the
reply
# to the NAS will be taken from the reply
to
# the tunneled request.
#
# allowed values: {no, yes}
use_tunneled_reply = no
#
# The inner tunneled request can be sent
# through a virtual server constructed
# specifically for this purpose.
#
# If this entry is commented out, the
inner
# tunneled request will be sent through
# the virtual server that processed the
# outer requests.
#
virtual_server = "inner-tunnel"
# This has the same meaning as the
# same field in the "tls" module, above.
# The default value here is "yes".
# include_length = yes
}
##################################################
#
# !!!!! WARNINGS for Windows compatibility !!!!!
#
##################################################
#
# If you see the server send an Access-Challenge,
# and the client never sends another Access-
Request,
# then
#
# STOP!
#
# The server certificate has to have special
OID's
# in it, or else the Microsoft clients will silently
# fail. See the "scripts/xpextensions" file for
# details, and the following page:
#
# http://support.microsoft.com/kb/814394/en-
us
#
# For additional Windows XP SP2 issues, see:
138
#
# http://support.microsoft.com/kb/885453/en-
us
#
#
# If is still doesn't work, and you're using
Samba,
# you may be encountering a Samba bug. See:
#
#
https://bugzilla.samba.org/show_bug.cgi?id=6563
#
# Note that we do not necessarily agree with
their
# explanation... but the fix does appear to work.
#
##################################################
#
# The tunneled EAP session needs a default EAP
type
# which is separate from the one for the non-
tunneled
# EAP module. Inside of the TLS/PEAP tunnel, we
# recommend using EAP-MS-CHAPv2.
#
# The PEAP module needs the TLS module to be
installed
# and configured, in order to use the TLS tunnel
# inside of the EAP packet. You will still need
to
# configure the TLS module, even if you do not
want
# to deploy EAP-TLS in your network. Users will
not
# be able to request EAP-TLS, as it requires them
to
# have a client certificate. EAP-PEAP does not
# require a client certificate.
#
#
#
# You can make PEAP require a client cert by
setting
#
# EAP-TLS-Require-Client-Cert = Yes
#
# in the control items for a request.
#
peap {
# The tunneled EAP session needs a
default
# EAP type which is separate from the one
for
# the non-tunneled EAP module. Inside of
the
139
# PEAP tunnel, we recommend using MS-
CHAPv2,
# as that is the default type supported
by
# Windows clients.
default_eap_type = mschapv2
# the PEAP module also has these
configuration
# items, which are the same as for TTLS.
copy_request_to_tunnel = no
use_tunneled_reply = no
# When the tunneled session is proxied,
the
# home server may not understand EAP-
MSCHAP-V2.
# Set this entry to "no" to proxy the
tunneled
# EAP-MSCHAP-V2 as normal MSCHAPv2.
# proxy_tunneled_request_as_eap = yes
#
# The inner tunneled request can be sent
# through a virtual server constructed
# specifically for this purpose.
#
# If this entry is commented out, the
inner
# tunneled request will be sent through
# the virtual server that processed the
# outer requests.
#
virtual_server = "inner-tunnel"
}
#
# This takes no configuration.
#
# Note that it is the EAP MS-CHAPv2 sub-module,
not
# the main 'mschap' module.
#
# Note also that in order for this sub-module to
work,
# the main 'mschap' module MUST ALSO be
configured.
#
# This module is the *Microsoft* implementation
of MS-CHAPv2
# in EAP. There is another (incompatible)
implementation
# of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS
does not
# currently support.
140
#
#
mschapv2 {
}
}
Lampiran 4. Konfigurasi clients.conf
#
# Each client has a "short name" that is used to distinguish it
from
# other clients.
#
# In version 1.x, the string after the word "client" was the IP
# address of the client. In 2.0, the IP address is configured
via
# the "ipaddr" or "ipv6addr" fields. For compatibility, the 1.x
# format is still accepted.
#
client localhost {
# Allowed values are:
# dotted quad (1.2.3.4)
# hostname (radius.example.com)
ipaddr = 127.0.0.1
# OR, you can use an IPv6 address, but not both
# at the same time.
# ipv6addr = :: # any. ::1 == localhost
#
# A note on DNS: We STRONGLY recommend using IP
addresses
# rather than host names. Using host names means that
the
# server will do DNS lookups when it starts, making it
# dependent on DNS. i.e. If anything goes wrong with
DNS,
# the server won't start!
#
# The server also looks up the IP address from DNS once,
and
# only once, when it starts. If the DNS record is later
# updated, the server WILL NOT see that update.
#
# One client definition can be applied to an entire
network.
# e.g. 127/8 should be defined with "ipaddr = 127.0.0.0"
and
# "netmask = 8"
#
# A note on DNS: We STRONGLY recommend using IP
addresses
141
# rather than host names. Using host names means that
the
# server will do DNS lookups when it starts, making it
# dependent on DNS. i.e. If anything goes wrong with
DNS,
# the server won't start!
#
# The server also looks up the IP address from DNS once,
and
# only once, when it starts. If the DNS record is later
# updated, the server WILL NOT see that update.
#
# One client definition can be applied to an entire
network.
# e.g. 127/8 should be defined with "ipaddr = 127.0.0.0"
and
# "netmask = 8"
#
# If not specified, the default netmask is 32 (i.e. /32)
#
# We do NOT recommend using anything other than 32.
There
# are usually other, better ways to achieve the same
goal.
# Using netmasks of other than 32 can cause security
issues.
#
# You can specify overlapping networks (127/8 and
127.0/16)
# In that case, the smallest possible network will be
used
# as the "best match" for the client.
#
# Clients can also be defined dynamically at run time,
based
# on any criteria. e.g. SQL lookups, keying off of NAS-
Identifier,
# etc.
# See raddb/sites-available/dynamic-clients for details.
#
# netmask = 32
#
# The shared secret use to "encrypt" and "sign" packets
between
# the NAS and FreeRADIUS. You MUST change this secret
from the
# default, otherwise it's not a secret any more!
#
# The secret can be any string, up to 8k characters in
length.
#
# Control codes can be entered vi octal encoding,
# e.g. "\101\102" == "AB"
# Quotation marks can be entered by escaping them,
142
# e.g. "foo\"bar"
#
# A note on security: The security of the RADIUS
protocol
# depends COMPLETELY on this secret! We recommend using
a
# shared secret that is composed of:
#
# upper case letters
# lower case letters
# numbers
#
# And is at LEAST 8 characters long, preferably 16
characters in
# length. The secret MUST be random, and should not be
words,
# phrase, or anything else that is recognizable.
#
# The default secret below is only for testing, and
should
# not be used in any real environment.
#
secret = testing123
#
# Old-style clients do not send a Message-Authenticator
# in an Access-Request. RFC 5080 suggests that all
clients
# SHOULD include it in an Access-Request. The
configuration
# item below allows the server to require it. If a
client
# is required to include a Message-Authenticator and it
does
# not, then the packet will be silently discarded.
#
# allowed values: yes, no
require_message_authenticator = no
#
# The short name is used as an alias for the fully
qualified
# domain name, or the IP address.
#
# It is accepted for compatibility with 1.x, but it is no
# longer necessary in 2.0
#
# shortname = localhost
#
# the following three fields are optional, but may be used
by
# checkrad.pl for simultaneous use checks
#
#
143
# The nastype tells 'checkrad.pl' which NAS-specific
method to
# use to query the NAS for simultaneous use.
#
# Permitted NAS types are:
#
# cisco
# computone
# livingston
# max40xx
# multitech
# netserver
# pathras
# patton
# portslave
# tc
# usrhiper
# other # for all other types
#
nastype = other # localhost isn't usually a NAS...
#
# The following two configurations are for future use.
# The 'naspasswd' file is currently used to store the NAS
# login name and password, which is used by checkrad.pl
# when querying the NAS for simultaneous use.
#
# login = !root
# password = someadminpas
#
# As of 2.0, clients can also be tied to a virtual
server.
# This is done by setting the "virtual_server"
configuration
# item, as in the example below.
#
# virtual_server = home1
#
# A pointer to the "home_server_pool" OR a "home_server"
# section that contains the CoA configuration for this
# client. For an example of a coa home server or pool,
# see raddb/sites-available/originate-coa
# coa_server = coa
}
# IPv6 Client
#client ::1 {
# secret = testing123
# shortname = localhost
#}
#
# All IPv6 Site-local clients
#client fe80::/16 {
144
# secret = testing123
# shortname = localhost
#}
#client some.host.org {
# secret = testing123
# shortname = localhost
#}
#
# You can now specify one secret for a network of clients.
# When a client request comes in, the BEST match is chosen.
# i.e. The entry from the smallest possible network.
#
#client 192.168.0.0/24 {
# secret = testing123-1
# shortname = private-network-1
#}
#
#client 192.168.0.0/16 {
# secret = testing123-2
# shortname = private-network-2
#}
#client 10.10.10.10 {
# # secret and password are mapped through the "secrets"
file.
# secret = testing123
# shortname = liv1
# # the following three fields are optional, but may be used
by
# # checkrad.pl for simultaneous usage checks
# nastype = livingston
# login = !root
# password = someadminpas
#}
#}
##################################################################
#####
#
# Per-socket client lists. The configuration entries are exactly
# the same as above, but they are nested inside of a section.
#
# You can have as many per-socket client lists as you have
"listen"
# sections, or you can re-use a list among multiple "listen"
sections.
#
# Un-comment this section, and edit a "listen" section to add:
# "clients = per_socket_clients". That IP address/port
combination
# will then accept ONLY the clients listed in this section.
#
#clients per_socket_clients {
145
# client 192.168.3.4 {
# secret = testing123
# }
#}
client 192.168.1.11 {
secret = testing123
shortname = simulator
nastype = other
}
Lampiran 5. Konfigurasi pada File Users
#
# Please read the documentation file
../doc/processing_users_file,
# or 'man 5 users' (after installing the server) for more
information.
#
# This file contains authentication security and
configuration
# information for each user. Accounting requests are NOT
processed
# through this file. Instead, see 'acct_users', in this
directory.
#
# The first field is the user's name and can be up to
# 253 characters in length. This is followed (on the same
line) with
# the list of authentication requirements for that user.
This can
# include password, comm server name, comm server port
number, protocol
# type (perhaps set by the "hints" file), and huntgroup name
(set by
# the "huntgroups" file).
#
# If you are not sure why a particular reply is being sent
by the
# server, then run the server in debugging mode (radiusd -
X), and
# you will see which entries in this file are matched.
#
# When an authentication request is received from the comm
server,
# these values are tested. Only the first match is used
unless the
# "Fall-Through" variable is set to "Yes".
#
# A special user named "DEFAULT" matches on all usernames.
146
# You can have several DEFAULT entries. All entries are
processed
# in the order they appear in this file. The first entry
that
# matches the login-request will stop processing unless you
use
# the Fall-Through variable.
#
# If you use the database support to turn this file into a
.db or .dbm
# file, the DEFAULT entries _have_ to be at the end of this
file and
# you can't have multiple entries for one username.
#
# Indented (with the tab character) lines following the
first
# line indicate the configuration values to be passed back
to
# the comm server to allow the initiation of a user session.
# This can include things like the PPP configuration values
# or the host to log the user onto.
#
# You can include another `users' file with `$INCLUDE
users.other'
#
#
# For a list of RADIUS attributes, and links to their
definitions,
# see:
#
# http://www.freeradius.org/rfc/attributes.html
#
#
# Deny access for a specific user. Note that this entry MUST
# be before any other 'Auth-Type' attribute which results in the
user
# being authenticated.
#
# Note that there is NO 'Fall-Through' attribute, so the user will
not
# be given any additional resources.
#
#lameuser Auth-Type := Reject
# Reply-Message = "Your account has been disabled."
#
# Deny access for a group of users.
#
# Note that there is NO 'Fall-Through' attribute, so the user will
not
# be given any additional resources.
#
#DEFAULT Group == "disabled", Auth-Type := Reject
147
# Reply-Message = "Your account has been disabled."
#
#
# This is a complete entry for "steve". Note that there is no
Fall-Through
# entry so that no DEFAULT entry will be used, and the user will
NOT
# get any attributes in addition to the ones listed here.
#
#steve Cleartext-Password := "testing"
# Service-Type = Framed-User,
# Framed-Protocol = PPP,
# Framed-IP-Address = 172.16.3.33,
# Framed-IP-Netmask = 255.255.255.0,
# Framed-Routing = Broadcast-Listen,
# Framed-Filter-Id = "std.ppp",
# Framed-MTU = 1500,
# Framed-Compression = Van-Jacobsen-TCP-IP
#
# This is an entry for a user with a space in their name.
# Note the double quotes surrounding the name.
#
#"John Doe" Cleartext-Password := "hello"
# Reply-Message = "Hello, %{User-Name}"
"sqltest" Cleartext-Password := "testpwd"
Reply-Message = "Hello, %{User-Name}"
"arief" Cleartext-Password := "mautauaja"
Reply-Message = "Hello, %{User-Name}"
#
# Dial user back and telnet to the default host for that port
#
#Deg Cleartext-Password := "ge55ged"
# Service-Type = Callback-Login-User,
# Login-IP-Host = 0.0.0.0,
# Callback-Number = "9,5551212",
# Login-Service = Telnet,
# Login-TCP-Port = Telnet
#
# Another complete entry. After the user "dialbk" has logged in,
the
# connection will be broken and the user will be dialed back after
which
# he will get a connection to the host "timeshare1".
#
#dialbk Cleartext-Password := "callme"
# Service-Type = Callback-Login-User,
# Login-IP-Host = timeshare1,
# Login-Service = PortMaster,
# Callback-Number = "9,1-800-555-1212"
148
#
# user "swilson" will only get a static IP number if he logs in
with
# a framed protocol on a terminal server in Alphen (see the
huntgroups file).
#
# Note that by setting "Fall-Through", other attributes will be
added from
# the following DEFAULT entries
#
#swilson Service-Type == Framed-User, Huntgroup-Name ==
"alphen"
# Framed-IP-Address = 192.168.1.65,
# Fall-Through = Yes
#
# If the user logs in as 'username.shell', then authenticate them
# using the default method, give them shell access, and stop
processing
# the rest of the file.
#
#DEFAULT Suffix == ".shell"
# Service-Type = Login-User,
# Login-Service = Telnet,
#
# The rest of this file contains the several DEFAULT entries.
# DEFAULT entries match with all login names.
# Note that DEFAULT entries can also Fall-Through (see first
entry).
# A name-value pair from a DEFAULT entry will _NEVER_ override
# an already existing name-value pair.
#
#
# Set up different IP address pools for the terminal servers.
# Note that the "+" behind the IP address means that this is the
"base"
# IP address. The Port-Id (S0, S1 etc) will be added to it.
#
#DEFAULT Service-Type == Framed-User, Huntgroup-Name ==
"alphen"
# Framed-IP-Address = 192.168.1.32+,
# Fall-Through = Yes
#
# Sample defaults for all framed connections.
#
#DEFAULT Service-Type == Framed-User
# Framed-IP-Address = 255.255.255.254,
# Framed-MTU = 576,
# Service-Type = Framed-User,
# Fall-Through = Yes
#
149
# Default for PPP: dynamic IP address, PPP mode, VJ-compression.
# NOTE: we do not use Hint = "PPP", since PPP might also be auto-
detected
# by the terminal server in which case there may not be a
"P" suffix.
# The terminal server sends "Framed-Protocol = PPP" for auto
PPP.
#
DEFAULT Framed-Protocol == PPP
Framed-Protocol = PPP,
Framed-Compression = Van-Jacobson-TCP-IP
#
# Default for CSLIP: dynamic IP address, SLIP mode, VJ-
compression.
#
DEFAULT Hint == "CSLIP"
Framed-Protocol = SLIP,
Framed-Compression = Van-Jacobson-TCP-IP
#
# Default for SLIP: dynamic IP address, SLIP mode.
#
DEFAULT Hint == "SLIP"
#
# Last default: rlogin to our main server.
#
#DEFAULT
# Service-Type = Login-User,
# Login-Service = Rlogin,
# Login-IP-Host = shellbox.ispdomain.com
# #
# # Last default: shell on the local terminal server.
# #
# DEFAULT
# Service-Type = Administrative-User
# On no match, the user is denied access.
Lampiran 6. Konfigurasi Access Point
Buka browser dan masukkan alamat IP access point pada address bar
Masuk ke menu “setup” pilih menu “basic setup” Setting pembagian
alamat IP client dengan opsi “Automatic Configuration - DHCP” dan
150
alamat IP access point dengan IP = 192.168.1.11. kemudian centangkan
pilihan DHCP Server “enable”.
Setting IP access point
Klik “Save Setting”. Selanjutnya untuk mengakses menu setting Access
point kembali samakan Network IP komputer yang terhubung yang
melakukan setting IP Access Point dengan alamat network IP akses point
yang baru.
Buka browser dan masukkan alamat IP access point yang baru yaitu
“192.168.1.11” pada address bar
Selanjutnya klik menu “wireless”. Lalu klik menu “basic wireless setting”
setting “ Wireless Network name (SSID)” dengan “black_usb”
151
Setting SSID Wireless
Selanjutnya klik menu “wireless security”. setting “security mode”
menjadi WPA Enterprise dan “WPA Algorithms” menggunakan AES,
selanjutnya menambahkan alamat IP “RADIUS server address” dengan
alamat IP 192.168.1.10, “RADIUS port” 1812, dan input “shared key”
dengan “testing123”. berikut tampilan setting pada akses point :
152
Gambar 4.37 Setting Wireless Security
Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien
Pilih file sertifikat CA dalam extensi .der
lakukan double klik file sertifikat CA yang akan di install
153
klik “install certificate” untuk mengimport file sertifikat tersebut. akan
muncul window “certificate import wizard”, klik next
selanjutnya akan muncul window yang meminta konfirmasi peletakan
sertifikat apakah secara otomatis atau manual. Pilih manual, klik browse
Maka akan muncul window “Select Certification Store”, pilih folder / root
“Trusted Root Certification Authorities”. Klik ok.
154
klik nex, akan muncul window “complete the certificate import wizard”.
Klik “finish”
selanjutnya akan ada alert “security warning” yang menandakan windows
meminta confirmasi atas certifikat CA yang telah kita install tersebut. klik
“yes”. Maka akan muncul window “certificate import wizard” bahwa
proses import sertifikat berhasil
155
Selanjutnya setting penggunaan dan manajemen sertifkat pada windows 7.
Masuk ke windows > control panel > view network status and task >
manage wireless network > pilih jaringan wireless yang telah di create
sebelumnya (dalam penelitian ini adalah jaringan wireless dengan SSID
“black_usb”) > klik kanan properties
Selanjutnya akan muncul window “wirelesss network properties”, klik tab
“security” setting dengan “security type” adalah “wpa enterprise”,
“encryption type” adalah AES, dan pilih “network authentication
method” adalah “Microsoft Protected EAP (PEAP)”.
156
Untuk mensetting validasi sertifikat pada sisi klien, klik tombol setting
pada window “wireless network properties”. Maka akan muncul window
“protected EAP properties”. Centangkan “validate server certificate”,
masukkan alamat IP server RADIUS, dalam penelitian ini alamat server
RADIUS memiliki IP 192.168.1.10. selanjutnya pada pilihan “trused root
certification authorities” pilih sertifikat CA PEAP yang telah di install
sebelumnya.
157
Klik tombol “configure” dan hilangkan centang pada pilihan
“automatically use my windows logon name and password (and domain if
any)”.
Klik ok untuk window EAP MSCHAPv2 properties dan klik ok kembali
pada window protected EAP properties
158
Lampiran 8. Wawancara dengan Bagian Pusdatin
Responden : Fachroni Arbi Murod, S.Kom (Staf Pusdatin FST UIN Jakarta)
Penanya : Muhammad Arief Faruki
Pertanyaan 1 : Bagaiamana model infrastruktur jaringan nirkabel FST UIN
Jakarta ?
Jawaban 1 : Secara umum jaringan di FST menggunakan model jaringan tree
tier hierrarical design, merupakan model jaringan dari Cisco System, yang terdiri
dari core layer, distribution layer, dan access layer. Core layer berada pada FSH
UIN Jakarta, Accesss layer berada pada lantai dasar FST UIN dan access layer
dimana jaringan yang terdapat accesss point berada pada lantai 2, lantai 3, dan
lantai 4. masing masing access point terhubung dengan switch yang ada di setiap
lantai tersebut. masing masing switch tersebut terhubung ke switch yang berada
pada lantai 1 FST.
Pertanyaan 2 : Bagaimana kebijakan penggunaan jaringan wireless ? teknologi
wireless yang digunakan ?
Jawaban 2 : dalam implementasi jaringan wireless FST UIN memiliki
beberapa kebijakan diantaranya : 1. mobilitas yang tinggi, terutama untuk
mengakses jaringan tanpa menggunakan media berbasis kabel. 2. tingkat kinerja
sistem yang baik dalam merespon akses dari luar kedalam maupun sebaliknya.
Adapun teknologi jaringan wireless yang digunakan adalah captive portal
159
(hotspot). Untuk terhubung kedalam jaringan pengguna harus memasukkan
serangkaian string kode / password.
Pertanyaan 3 : Hardware apa saja yang digunakan pada jaringan wireless ? dan
dimana saja lokasi access point berada ? dan bagaimana pengalamatan IP
pengguna ?
Jawaban 3 : Sebagai akses wireless FST menggunakan cisco aironet 1100
access point dan WRT54GL access point dengan menggunakan IP DHCP /
dinamis kelas c. adapun lokasi access point berada pada lantai 2 terdapat 1 unit di
ruang dekanat dan 1 unit diruang sidang. Pada lantai 3 terdapat 1 unit di
PUSDATIN, 1 unit di ruang prodi TI/SI, 1 unit diruang agribisnis, dan 1 unit
diruang prodi biologi. Pada lantai 4 terdapat 1 unit di ruang prodi international
class dan 1 unit di ruang lobby. Jadi total access point yang digunakan berjumlah
8 unit.
Pertanyaan 4 : service / layanan apa saja yang terdapat dalam jaringan FST UIN
?
Jawaban 4 : di FST UIN terdapat 6 buah server aktif yang berada di ruang
PUSDATIN lantai 3. masing masing server tersebut digunakan sebagai : email
server, web portal, e-learning, akademik, router, file sharing FTP, dan server
RADIUS.
116
DAFTAR PUSTAKA
Arifin, Zaenal. 2008. Sistem Pengamanan Jaringan Wireless LAN berbasis
Protokol 802.1x & Sertifikat. Yogyakarta : Andi.
Ariyus, Dony. 2006. Computer Security. Yogyakarta : Andi.
Burnett Steve, Stephene Paine. 2000. RSA Security’s Official Guide to
Cryptography. California : RSA Press.
Gast, Matthew. TTLS and PEAP Comparison. [Online] Tersedia :
http://www.opus1.com/www/whitepapers/ttlsandpeap.pdf [5 November
2010].
Charles M. Kozierok. TCP/IP Guide. [Online] tersedia :
http://www.tcpipguide.com. [3 Agustus 2010].
Goldman, James E. Rawles, Philip T. 2001. Applied Data Communication : a
business Oriented Approach 3rd
edition. New York : Wiley John and Sons
Inc.
Hantoro, Gunandi Dwi. 2009. WiFi (Wireless LAN) Jaringan Komputer Tanpa
Kabel. Bandung : Informatika.
Hartono, Jogiyanto, MBA, PhD. 1999. Pengenalan Komputer. Yogyakarta : Andi
Hassel, Jonathan. 2002. RADIUS. Cambridge, Massachusetts : O'Reilly Media.
Internet Draft. Protected EAP Protocol (PEAP) Version 2 [Online] :
http://tools.ietf.org/html/draft-josefsson-pppext-eap-tls-eap-10 [25 Agustus
2010].
117
Madjid Nakhjiri, Mahsa Nakhjiri. 2005. AAA and Network Security for Mobile
Access RADIUS, DIAMETER, EAP, PKI AND IP Mobility. Chichester :
John Wiley & Sons Ltd.
Nazir, Moh. 2005. Metode Penelitian. Bogor : Ghalia Indonesia
Reid, Neil. 2010. Wireless Mobility the Way of Wireless. New York : McGraw-
Hill Companies.
Reza Fuad R. Standar IEEE 802.1x Teori dan Implementasi. [online] tersedia :
http://oc.its.ac.id/ambilfile.php?idp=129 [1 Agustus 2010].
RFC 2716. PPP EAP TLS Authentication Protocol. [Online] tersedia :
http://tools.ietf.org/html/rfc2716 [25 Agustus 2010].
RFC 2759. Microsoft PPP CHAP Extensions, Version 2. [online] tersedia :
http://tools.ietf.org/html/rfc2759 [25 Agustus 2010 ].
RFC 3748. Extensible Authentication Protocol (EAP). [Online] tersedia :
http://tools.ietf.org/html/rfc3748 [25 Agustus 2010].
RFC 4017. Extensible Authentication Protocol (EAP) Method Requirements for
Wireless LANs. [Online] tersedia : http://tools.ietf.org/html/rfc4017 [25
Agustus 2010]
Setiawan, Deris. 2009. Fundamental Internetworking Development & design Life
Cycle. [online] tersedia : http://ilkom.unsri.ac.id/deris/materi/jarkom/
network_development_cycles.pdf [29 Juli 2010].
Tim Penelitian dan Pengembangan Wahana Komputer. 2004. Kamus Lengkap
Jaringan Komputer. Semarang : Salemba Infotek.
118
Yadi, Ilman Zuhri, Yesi Novaria Kunang. Keamanan Wireless LAN : Teknik
Pengamannan Access Point. [online] tersedia :
http://blog.binadarma.ac.id/yesinovariakunang/wpcontent/uploads/2010/08
/Ilman-Yessi-Wireless-LAN.pdf [28 Juli 2010].
LAMPIRAN
Top Related