Oleh : HADI RAHMAN

Transkripsi

1 SKRIPSI IMPLEMENTASI HOTSPOT AUTHENTICATION DENGAN MENGGUNAKAN RADIUS SERVER DAN PROTOKOL EAP-TTLS (STUDI KASUS : SEKOLAH ISLAM FITRAH AL FIKRI DEPOK JAWA BARAT) Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer Oleh : HADI RAHMAN PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2011 M / 1432 H

2

3 PERNYATAAN DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN. Jakarta, Juni 2011 Hadi Rahman ABSTRAK Hadi Rahman Implementasi Hotspot Autentication dengan Menggunakan RADIUS SERVER dan Protokol EAP-TTLS Pada Jaringan Wireless Sekolah Islam Fitrah Al Fikri Depok. Dibimbing oleh Victor Amrizal dan Herlino Nanang. Sebagian besar jaringan wireless yang terdapat di berbagai fasilitas umum seperti sekolah, dan instansi yang membutuhkan informasi, terdapat berbagai kendala diantaranya kemanan jaringan. Dan juga pelayanan yang belum teradminstrasi dengan baik. Oleh karena itu penelitian ini bertujuan untuk mengimplementasikan protokol TTLS-MSCHAPv2 sebagai protokol otentikasi pengguna jaringan wireless untuk memudahkan dalam sisi administrasi jaringan. Berdasarkan penelitian didapatkan bahwa TTLS-MSCHAPv2 memberikan tingkat kemanan yang cukup baik tanpa harus mengurangi kinerja yang diperlukan untuk menangani

4 jumlah pengguna yang cukup banyak serta memudahkan administrator jaringan dalam mengatur infarstruktur jaringan yang ada. Keyword : Extensible Authentication Protocol (EAP), Tunneled Transport Layer Security (TTLS), Microsoft Challenge Handshake Authentication Protocol version 2 (MSCHAPv2), Protokol Otentikasi, Jaringan Wireless. V Bab + xxiii Halaman Halaman + 58 Gambar + 16 Tabel + 8 Lampiran + Pustaka + Lampiran Pustaka : (21, ) DAFTAR RIWAYAT HIDUP DATA PRIBADI Nama Tempat, Tgl. Lahir Jenis Kelamin Agama Kewarganegaraan Status Alamat KTP Telepon, HP & Hadi Rahman : Jakarta, 11 Februari 1987 : Laki-laki : Islam : Indonesia : Belum Menikah : Jl. M. Kahfi II Rt 03 Rw 05 No. 42 Srengseng Sawah Jagakarsa Jakarta Selatan : (No. Rumah), (No. HP)& hdrahman87@gmail.com dan hadi_elkom@yahoo.co.id IDENTITAS KELUARGA Nama Orang Tua a. Ayah : Djuhana b. Ibu : Nurhasia Pekerjaan Orang Tua a. Ayah b. Ibu : PURNAWIRAWAN TNI AD : IBU RUMAH TANGGA LATAR BELAKANG PENDIDIKAN

5 A. FORMAL : KB PERTIWI : SD NEGERI SRENGSENG SAWAH : SLTP NEGERI 242 JAKARTA : SMA (MA NEGERI) 13 JAKARTA : UIN SYARIF HIDAYATULLAH JAKARTA B. NON FORMAL : Kursus English Training Specialist BBC : Kursus Keterampilan Elektronika Komputer Madrsah Aliyah Negeri 13 Jakarta : Seminar Nasional Bersama Kementrian Komunikasi dan Informatika Strategi dan Tantangan Pengembangan Teknologi Informasi dan Komunikasi beserta Penerapan dalam Dunia Bisnis, Pendidikan, dan Pemerintahan : Workshop TIK untuk Proses Pembelajaran Bersama Dr.Onno W. Purbo : Workshop IT FOR HELP U, HELP ME AND HELP EACH OTHER : Workshop Aplikasi IT Pada Sistem Komunikasi Di Sekolah PENGALAMAN KERJA - Praktek Kerja Lapangan Bertempat Universitas Darma Persada Periode : 10 Februari s.d 10 Maret Penelitian Tugas Akhir Sekolah Islam Fitrah Al Fikri Depok Jawa Barat Periode : 11 Juli s.d Desember Pengajar Bidang Studi Komputer Sekolah Menengah Pertama Islam Fitrah Al Fikri Depok Jawa Barat Periode : 1 Juli 2009 s.d 1 Juli Staf Teknik Informasi dan Komunikasi Sekolah Islam Fitrah Al Fikri Depok Jawa Barat Periode : 1 Juli 2010 s.d 1 Juni 2011

6 KATA PENGANTAR Segala puji serta syukur kehadirat Allah SWT, atas segala limpahkan rahmat dan hidayah Nya, hingga penulis dapat menyelesaikan skripsi ini. Penulisan skripsi ini merupakan salah satu syarat dalam menyelesaikan Program Studi Sarjana (S-1) Teknik Informatika Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta. Penulis menyadari bahwa Skripsi ini tidak dapat terlaksana dengan baik apabila tanpa bantuan dari berbagai pihak. Oleh karena itu, perkenankan penulis mengucapkan banyak terima kasih dan rasa syukur terutama kepada : 1. Allah SWT, yang telah memberikan rahmat, nikmat dan kesehatan sehingga penulis dapat menyelesaikan skripsi ini 2. Bapak Dr. Syopiansyah Jaya Putra, M.Sis selaku Dekan Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 4. Ibu Viva Arifin, MMSI, selaku Sekretaris Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 5. Bapak Viktor Amrizal, M. Kom, selaku pembimbing pertama skripsi ini, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 6. Bapak Herlino Nanang, M.T, selaku pembimbing kedua, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 7. Kedua Orang Tua serta kedua kakakku. 8. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta.

7 9. Seluruh teman-teman kelas TI A 2005 yang telah memberikan banyak bantuan sehingga penulis dapat menyelesaikan skripsi ini. 10. Seluruh guru dan karyawan Sekolah Islam Fitrah Al Fikri. 11. Semua pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu. Akhirnya dengan segala keterbatasan dan kekurangan yang ada dalam penulisan skripsi ini, penulis mengucapkan terimakasih yang sebesar-besarnya, semoga skripsi ini dapat bermanfaat bagi semua pihak Jakarta, Juni 2011 Hadi Rahman LEMBAR PERSEMBAHAN Skripsi ini penulis persembahkan kepada beberapa pihak yang telah memberi dukungan baik berupa dukungan moril maupun materil, diantaranya: 1. Terima kaih kepada Kedua Orang Tua atas segala yang telah diberikan dan doa yang telah diberikan 2. kedua kakakku yang telah memberikan dukungan.

8 3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 4. Ibu Viva Arifin, MMSI, selaku Sekretaris Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 5. Bapak Viktor Amrizal, M. Kom, selaku pembimbing pertama skripsi ini, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 6. Bapak Herlino Nanang, M.T, selaku pembimbing kedua, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 7. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 8. Seluruh teman-teman penulis Ariando, Bily, Dewi, Hadi, Nanang, Zein dan semua sahabat kelas yang telah memberikan banyak bantuan sehingga penulis dapat menyelesaikan skripsi ini. 9. Seluruh guru dan karyawan Sekolah Islam Fitrah Al Fikri. 10. Dan pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu. Semoga Allah membalas semua kebaikan dan ketulusan hati kalian. Amin. Jakarta, Juni 2011 DAFTAR ISI Halaman HALAMAN SAMPUL... HALAMAN JUDUL... LEMBAR PENGESAHAN PEMBIMBING... LEMBAR PENGESAHAN UJIAN... LEMBAR PERNYATAAN... LEMBAR ABSTRAK... i ii iii iv v vi

9 KATA PENGANTAR... LEMBAR PERSEMBAHAN... DAFTAR ISI... DAFTAR GAMBAR... DAFTAR TABEL... DAFTAR LAMPIRAN... DAFTAR ISTILAH... vii ix x xv xviii xix xx BAB I PENDAHULUAN 1.1 Latar Belakang Rumusan Masalah Batasan Masalah Tujuan Penelitian Manfaat Penelitian Metodologi Penelitian Metodologi Pengumpulan Data Metode Pengembangan Sistem Sistematika Penulisan... 6 BAB II LANDASAN TEORI 2.1 Wireless LAN Mode Pada Wireless LAN Komponen Wireless LAN Badan Standarisasi Standar Wireless LAN Protokol Kemanan AAA... 17

10 2.2.1 Remote Dial-in User Service (RADIUS) Format Paket RADIUS Tipe Paket RADIUS Tahapan Koneksi REALM Protokol Otentikasi Extensible Authentication Protocol (EAP) EAP Over RADIUS EAP Over LAN EAP Methods EAP MD EAP TLS EAP TTLS Secure Socket Layer / Transport Layer Security Protocol SSL Record Protocol SSL Handshake Protocol SSL Alert Arsitektur SSL / TLS Sertifikat Digital Enkripsi Public Key Kriptografi Simetris Kriptografi Asimetris RSA Open System Interconnetion (OSI) Pengertian OSI Fungsi fungsi layer OSI.. 54

11 2.6.3 Komponen Jaringan dan Protokol Layer Tools freeradius Server JRADIUS Simulator Network Develpoment Life Cycle (NDLC) Tahapan NDLC.. 65 BAB III METODOLOGI PENELITIAN 3.1 Metode Pengumpulan Data Studi Lapangan / Observasi Studi Pustaka dan Literatur Metode Pengembangan Sistem Tahapan Analisis Tahapan Desain Tahapan Simulasi Prototyping Tahapan Penerapan (Implementation) Tahapan Pengawasan (Monitoring) Tahapan Pengaturan (Management) Mekanisme Kerja Penelitian BAB IV HASIL DAN PEMBAHASAN 4.1 Perencanaan Analisa Kebutuhan Sistem Kemanan EAP-TTLS Komponen-komponen Mekanisme EAP-TTLS Design (Perancangan)

12 4.3.1 Perancangan Topologi Perancangan Sistem Simulation Prototyping Simulasi Kinerja Server AAA Implementasi Instalasi Server RADIUS Pembuatan Sertifikat Digital Konfigurasi Server RADIUS Konfigurasi Access Point Instalasi Sertifikat CA pada Client Instalasi Database Server Konfigurasi Database Server Monitoring (Pengawasan) Management (Manajemen) BAB V KESIMPULAN DAN SARAN Kesimpulan Saran DAFTAR PUSTAKA LAMPIRAN

13 DAFTAR TABEL Tabel 2.1 Perbandingan Standar Wireless LAN Tabel 2.2 Kode tipe pesan RADIUS Tabel 2.3 Paket Access-Request Tabel 2.4 Paket Access-Accept Tabel 2.5 Paket Access- Reject Tabel 2.6 Paket Access-Challenge Tabel 2.7 Alert Error Message Tabel 2.8 Model OSI

14 Tabel 3.1 Studi Literatur Tabel 4.1 Perbandingan EAP-TLS dan EAP-TTLS Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat Tabel 4.3 Spesifikasi Software Tabel 4.4 Spesifikasi Hardware Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses Tabel 4.6 Alamat IP Jaringan Wireless SIF AL Fikri Depok DAFTAR GAMBAR Gambar 2.1 Mode Jaringan Ad-Hoc Gambar 2.2 Model Jaringan Infrastruktur Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan. Gambar 2.4 Multiple Access Point dan Roaming Gambar 2.5 Penggunaan Extension Point Gambar 2.6 Format paket RADIUS Gambar 2.7. Paket Access-Request Gambar 2.8 Paket Access- Accept

15 Gambar 2.9 Paket Access- Reject Gambar 2.10 Paket Access- Challenge Gambar Proses Pembentukan koneksi protokol RADIUS Gambar 2.12 Proses komunikasi protokol EAP antara supplicant, NAS dan authentication server Gambar 2.13 Komponen EAP Gambar 2.14 Skema port based authentication Gambar 2.15 Konversi pesan EAP dan pesan RADIUS Gambar Format paket EAPOL Gambar 2.17 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS Gambar 2.18 Format SSL Record Gambar 2.19 Handshake Protocol Gambar 2.20 Arsitektur Protokol SSL Gambar 2.21 Peran CA dalam penerbitan sertifikat Gambar 2.22 Format X.509 Gambar 2.23 Kriptografi Simetris Gambar 2.24 Kriptografi asimetris Gambar 2.25 Log pada JRadius Gambar 2.26 Konfigurasi Sertifikat Client Gambar 2.27 Konfigurasi Attribute pada JRadius Gambar 2.28 Set up JRadius untuk dijalankan Gambar NDLC Gambar 3.1 Siklus Network Development Life Cycle Gambar 3.2 Mekanisme Kerja Penelitian Gambar 4.1 Proses Otentikasi TTLS MSCHAPv2

16 Gambar 4.2 Capture paket EAP Response Identity Gambar 4.3 Capture Paket EAP Request-TLS start Gambar 4.4 Capture Paket Hello-TLS client Gambar 4.5 Capture Paket EAP Request Sertifikat Server Gambar 4.6 Capture Paket EAP Response-Client Key Exchange Gambar 4.7 Capture Paket EAP Request Change Cipher Spec TLS complete Gambar 4.8 Capture Paket EAP-Request Identity EAP-MS-CHAP v2 Gambar 4.9 Capture Paket EAP-Response Identity EAP-MS-CHAP v2 Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success Gambar 4.13 Capture Paket EAP response/eap-ms-chap v2 ack Gambar 4.14 Capture Paket EAP Success Gambar 4.15 Perancangan Topologi TTLS Gambar 4.16 Topologi Jaringan Wireless Sekolah Islam Al Fikri Gambar 4.17 Perancangan Sistem TTLS Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS, shared secret, dan authentication protocol Gambar 4.19 Setting Atribut Username dan Password Gambar 4.20 Hasil Simulasi Jradius Simulator Gambar 4.21 tampilan input username dan password pada sisi client windows 7 Gambar 4.22 tampilan input username dan password pada sisi client windows XP Gambar 4.23 tampilan input username dan password pada sisi client Ubuntu desktop Gambar 4.24 mode debug freeradius Gambar 4.25 Konfigurasi database dengan phpmyadmin

17 Gambar 4.26 Perbandingan Performa Server berdasarkan jumlah request otentikasi Gambar 4.27 Jumlah paket authentication request Gambar 4.28 Jumlah paket accounting request Gambar 4.29 manajemen akun pengguna Gambar 4.30 manajemen access point DAFTAR LAMPIRAN Halaman Lampiran 1. Instalasi FreeRADIUS Server Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server 126 Lampiran 3. Konfigurasi eap.conf. 133 Lampiran 4. Konfigurasi clients.conf 157 Lampiran 5. Konfigurasi pada File Users. 167 Lampiran 6. Konfigurasi Access Point. 175 Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien 176 Lampiran 8 Wawancara dengan Staff IT Sekolah SIF Al Fikri 178 Lampiran 9 Pengujian Monitoring Secara Simulasi. 180

18 Istilah Access read Account Active directory (AD) Analysis Anywhere access Application Programming Interface (API) Automatic teller machine (ATM) Backend Backup Biometric DAFTAR ISTILAH Arti Kemampuan untuk membaca file / berkas Representasi seorang pengguna Layanan direktori yang dimiliki oleh system operasi jaringan Microsof Windows 2000, Windows Server 2003 terdiri atas basis data dan juga layanan direktori. Suatu fase pada model pengembangan sistem diamana biasanya dilakukan proses perumusan masalah, identifikasi dan perbandingan terhadap komponen. Dapat diakses dimanapun Sekumpulan perintah, fungsi, dan protokol yang dapat digunakan oleh programmer saat membangun perangkat lunak untuk sistem operasi tertentu. Sebuah alat elektronik yang mengijinkan nasabah bank untuk mengambil uang dan mengecek rekening tabungan mereka tanpa perlu dilayani oleh seorang teller (manusia) Istilah umum yang mengacu pada tahap akhir dari sebuah proses Penyimpanan cadangan Meliputi metode untuk mengenali manusia secara unik berdasarkan satu atau lebih ciri-ciri fisik atau perilaku intrinsic Blackbox Deskripsi penggunaan software termasuk spesifikasi, requirement, dan desain untuk pengujian. Pengujian (test) ini bias menjadi fungsional atau non-fungsional Browser Antarmuka antara pemakai dan World Wide Web

19 Built-in cache proxy Central Processing Unit (CPU) Certificate Client common name Common Internet File System (CIFS) Community Enterprise OS Console Container Copyleft yang menginterpretasikan hypertext link dan digunakan untuk melihat dan memandu dari simpul internet satu ke yang lain. Suatu produk yang di dalamnya sudah tergabung beberpa program atau produk sekaligus Menyimpan informasi (halaman, grafik, suara, URL) dari situs sehingga informasi tersebut dapat diperoleh dengan cepat. Perangkat keras komputer yang memahami dan melaksanakan perintah dan data dari perangkat lunak Dokumen elektronik yang menggunakan tanda tangan digital untuk mengikat kunci publik dengan informasi identitas seperti nama orang atau organisasi, alamat, dan sebagainya. Pada jaringan, client adalah suatu program aplikasi yang memungkinkan pengguna mengakses layanan dari computer server Atribut wajib dari suatu direktori digunakan untuk penamaan atribut Sebuah implementasi dari protokol berbagi berkas/file-sharing Server Message Block (SMB) yang telah diusulkan agar menjadi standar Internet (statusnya saat ini masih menjadi draft), sehingga dapat diperoleh secara mudah Komunitas skala perusahaan Mengacu kepada terminal yang terpasang pada minicomputer atau mainframe dan digunakan sebagai interface ke suatu system operasi serta memonitor status system. Wadah atau nama lain dari direktori Praktik penggunaan undang-undang hak cipta untuk meniadakan larangan dalam pendistribusian salinan dan versi yang telah dimodifikasi dari suatu karya kepada orang lain dan mengharuskan kebebasan yang sama diterapkan dalam versi-versi selanjutnya kemudian. Copyright Adalah hak eksklusif Pencipta atau Pemegang Hak Cipta untuk mengatur penggunaan hasil penuangan gagasan atau informasi tertentu. Cost Salah satu fakor non-teknis ISO 9126 Design Perencanaan yang meletakkan dasar untuk pembuatan setiap objek atau sistem Device Perangkat keras komputer Directory service Layanan direktori Distinguish Name (DN) Tanda pengenal yang unik untuk suatu entri pada LDAP Domain controller Merupakan pusat dari sebuah domain yang

20 Domain Name System (DNS) Domain server Download Entry File Server File Transfer Protocol (FTP) Free Software Foundation (FSF) Functionality Gateway Generic Security Services Application Program Interface (GSSAPI) Graphical User Interface (GUI) Groupware Hardware Host Implementation Inetd International Organization for Standardization (ISO) Interoperability menyimpan informasi-informasi Sebuah sistem yang menyimpan informasi tentang nama host maupun nama domain dalam bentuk basis data tersebar (distributed database) di dalam jaringan komputer Server domain Transfer data melalui jalur komunikasi digital dari sistem yang lebih besar atau pusat (server) ke sistem yang lebih kecil (client). Unit dasar dari direktori Komputer yang didedikasikan untuk menyimpan file dalam suatu lokasi terpusat selama diizinkan untuk mengakses ke komputer-komputer di dalam jaringan Salah satu protokol yang paling populer pada jaringan internet (berbasis TCP/IP) yang digunakan untuk kepentingan proses transfer file Organisasi nirlaba dan merupakan sponsor utama dari proyek GNU Funsionalitas, berhubungan dengan kesesuaian dari fungsi perangkat lunak Hardware atau software yang menjembatani dua aplikasi atau jaringan yang tidak kompatibel, sehingga data dapat ditransfer antar komputer Aplikasi interface pemrograman untuk program untuk mengakses layanan keamanan Metoda interaksi secara grafis antara pengguna dan computer Software yang dirancang untuk membantu orang yang umumnya menyangkut dalam tugas untuk mencapai tujuan mereka Perangkat keras mengacu kepada objek memungkinkan untuk disentuh seperti disket, disk drive, monitor, keyboard, dan lain-lain Sistem komputer yang diakses oleh pengguna yang bekerja pada lokasi yang jauh. Istilah host juga digunakan untuk menyebut komputer yang terhubung dengan jaringan TCP/IP, termasuk internet. Setiap host memiliki IP yang unik Implementasi Layanan server pada kebanyakan sistem Unix untuk mengatur layanan internet Badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standardisasi nasional setiap Negara Kemampuan sistem dapat berinteraksi dengan sistem lain

21 ip virtual LDAP Account Manager (LAM) Lightweight Directory Access Protocol (LDAP) Local Area Network (LAN) logical volume groups logical volumes. Alamat IP yang tidak terhubung ke komputer tertentu atau kartu antarmuka jaringan (NIC) pada komputer. Paket masuk akan dikirim ke alamat IP virtual, tapi semua perjalanan paket melalui antarmuka jaringan real / nyata. Tampilan halaman depan web untuk mengatur berbagai tipe account direktori LDAP Suatu protokol jaringan kelas ringan yang digunakan untuk mengakses direktori. Pengertian direktori disini adalah sekumpulan informasi yang disusun berdasarkan hirarki tertentu Network yang masing-masing node terpisah dalam jarak yang lokal dan menggunakan link berupa jalur transmisi kabel. Gabungan dari pysical volumes yang menjadi satu Pembagian partisi dari logical volume groups, dimana difefinisikan dengan masing masing mount point partisi yang dibutuhkan, misalkan /, /home, swap, /var dan lainnya, filesystem-nya bisa ext2 atau ext3 Mail server Server Manageability Dapat dikelola Management Pengelolaan / pengaturan Minimum requirmen Kebutuhan / persyaratan minimum Monitoring Salah satu tahap dalam metode pengembagan NDLC. Didalamnya terdapat testing dan monitoring Mozilla Public License Merupakan suatu lisensi perangkat lunak bebas dan sumber terbuka Multitasking Suatu sistem operasi yang dapat menjalankan beberapa tugas sekaligus secara bersamaan Multiuser Suatu system operasi yang dapat digunakan Network Information Service (NIS) Network Development Life Cycle (NDLC) Network security Open source Open Source Edition Packet sniffing Password beberapa user sekaligus secara bersamaan Sebuah protokol yang digunakan untuk menamai dan menawarkan layanan direktori dalam beberapa platform UNIX Metode pengembangan sistem Kemanan jaringan Perangkat lunak sumber terbuka Zimbra versi open source (free) Perangkat lunak komputer atau perangkat keras komputer yang dapat mencegat dan log lalu lintas melewati jaringan digital atau bagian dari jaringan Kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sebuah sistem operasi yang mendukung banyak pengguna (multiuser) untuk memverifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut

22 Performance physical volumes Random Access Memory (RAM) Redundant Array of Independent Disks (RAID) Request Request for Comments (RFC) Resource Server Message Block (SMB) Simple Authentication and Security Layer (SASL) Task Tools Transport Layer Security (TLS) Ttrusted server User User account web caching Wide Area Network (WAN) Workgroups X Window System Kinerja Kapasitas fisik dari hardisk Sebuah tipe penyimpanan komputer yang isinya dapat diakses dalam waktu yang tetap tidak memperdulikan letak data tersebut dalam memori Sebuah teknologi di dalam penyimpanan data komputer yang digunakan untuk mengimplementasikan fitur toleransi kesalahan pada media penyimpanan komputer (utamanya adalah hard disk) dengan menggunakan cara redundansi (penumpukan) data, baik itu dengan menggunakan perangkat lunak, maupun unit perangkat keras RAID terpisah Perminataan Salah satu dari seri dokumen infomasi dan standar Internet bernomor yang diikuti secara luas oleh perangkat lunak untuk digunakan dalam jaringan, Internet dan beberapa sistem operasi jaringan, mulai dari Unix, Windows, dan Novell NetWare Sumber daya Istilah dalam teknologi informasi yang mengacu kepada protokol client/server yang ditujukan sebagai layanan untuk berbagi berkas (file sharing) di dalam sebuah jaringan Framework untuk otentikasi dan keamanan data dalam Internet Protocols. Tugas Alat Merupakan kelanjutan dari protokol kriptografi yang menyediakan komunikasi yang aman di Internet Server terpercaya Pengguna. Biasanya ditujukan kepada pengguna suatu system yang umumnya adalah manusia. Misalnya pengguna computer Nama pengguna. Biasanya ditujukan kepada pengguna suatu system yang umumnya adalah manusia Caching dokumen web (misalnya, halaman HTML, gambar) untuk mengurangi penggunaan bandwidth, server load, dan menanggapi ketidak lancaran Network yang masing-masing node terletak di lokasi yang berjauhan satu dengan yang lainnya dan menggunakan link berupa jalur transmisi jarak jauh Istilah Microsoft untuk jaringan peer-to-peer komputer Windows Sistim grafis dan windowing bagi sistem operasi UNIX dan system operasi mirip UNIX yang dikembangkan di Massachusetts Institute of

23 Technology (MIT) sejak tahun 1984 BAB I PENDAHULUAN 1.1 Latar Belakang Salah satu perubahan utama di bidang telekomunikasi adalah penggunaan teknologi wireless. Teknologi wireless juga diterapkan pada jaringan komputer, yang lebih dikenal dengan wireless LAN (WLAN). Kemudahan-kemudahan yang ditawarkan wireless LAN menjadi daya tarik tersendiri bagi para pengguna komputer menggunakan teknologi ini untuk

24 mengakses suatu jaringan komputer atau internet. Beberapa tahun terakhir ini pengguna wireless LAN mengalami peningkatan yang pesat. Dengan Hotspot kita bisa menikmati akses internet dimanapun kita berada selama di area Hotspot tanpa harus menggunakan kabel. Di lingkungan sekolah sendiri dengan adanya layanan Hotspot inilah yang nanti diharapkan akan mempercepat akses informasi bagi siswa, khususnya di dunia pendidikan yang mana diketahui sebagai barometer kemajuan teknologi informasi. Sekolah Islam Fitrah Al Fikri Depok (disingkat SIF Al Fikri) saat ini memiliki kapasitas bandwidth internet 1 Mbps. SIF Al Fikri saat ini juga sudah menyediakan layanan Hotspot yaitu sebuah area dimana pada area tersebut tersedia koneksi internet Wireless yang dapat diakses melalui Notebook, PDA maupun perangkat lainnya yang mendukung teknologi tersebut. Hotspot tersebut disediakan bagi guru, dan siswa untuk mengakses internet. Hotspot di SIF Al Fikri terdapat beberapa titik area jangkauan yaitu di Gedung Ibnu Sina dan Gedung Ibnu Kholdun. Pengguna jaringan wireless sebagain besar adalah guru dan siswa dengan kurang lebih 30 pengguna. Oleh karena itu penulis menganalisa bahwa dari kurang lebih 30 pengguna jaringan wireless dan tanpa menggunakan pengamanan wireless dan pembatasan akses ke dalam jaringan wireless dan juga tdak terdeteksi oleh pihak admistrator jaringan. Sebelum penelitian penulis melakukan wawancara pada pihak administrator jaringan (lampiran 8). kemudian penulis melakukan analisa dengan pendekatan literatur yang ada yaitu dengan protokol EAP-TLS (Ali Mahrudi 2006) dan Protokol PEAP (Muhammad Arief Faruqi 2010). Pada penulisan Ali Mahrudi 2006 menekankan pada sisi keamanan jaringan wireless, tetapi pada sisi implementasinya tidak efisien, dikarenakan ada sertifikat digital yang harus dilengkapi dari sisi klien dan server. Tetapi Muhammad Arief Faruqi memperbaiki dengan memasukan protokol PEAP pada penelitiannya. keunggulan dari protokol ini menggunakan sertifikat digital pada sisi administrator, sedangkan pada sisi klien

25 hanya menggunakan username dan password. kemudian penulis menganalisa dari kedua referensi diatas bahwa protokol yang sama implementasinya yaitu protokol EAP-TTLS, karena penulis melihat bahwa dari segi implementasi PEAP dan EAP-TTLS sama hanya saja yang membedakan adalah vendor atau distributor. EAP-TTLS dirancang untuk memberikan kemudahan implementasi otentikasi protokol EAP yang berbasis sertifikat digital. Implementasi EAP-TTLS hanya memerlukan sertifikat digital pada sisi authentication server, sedangkan sertifikat digital pada sisi wireless klien akan digantikan dengan menggunakan kombinasi username dan password. Penggunaan kombinasi username dan password untuk menggantikan sertifikat digital juga dapat meningkatkan mobilitas pengguna, karena pengguna tidak dibatasi pada perangkat tertentu. Sehingga untuk kondisi jaringan yang ada di SIF Al Fikri sesuai dengan data yang tertera diatas maka untuk proses authentikasi yang cocok adalah menggunakan protokol EAP-TTLS dan proses impelementasinya dilakukan pada penelitian tugas akhir ini dengan judul: IMPLEMENTASI HOTSPOT AUTHENTICATION DENGAN MENGGUNAKAN RADIUS SERVER DAN PROTOKOL EAP-TTLS PADA JARINGAN WIRELESS SEKOLAH ISLAM FITRAH AL FIKRI DEPOK. Diharapkan hasil penelitian ini dapat meningkatkan Quality of Service pada jaringan wireless di Sekolah Islam Fitrah Al Fikri Depok. 1.2 Rumusan Masalah Dalam penulisan skripsi ini, saya mencoba memaparkan beberapa permasalahan yang kemudian diusahakan untuk mendapatkan solusi pemecahannya. Beberapa masalah tersebut antara lain : 1. Bagaimana penerapan protokol EAP-TTLS untuk menangani proses otentikasi 30 pengguna jaringan wireless pada Sekolah Islam Fitrah Al Fikri Depok Jawa Barat.

26 2. Bagaimana Penerapan RADIUS Server pada jaringan wireless Sekolah Islam Fitrah Al Fikri Depok Jawa Barat. 1.3 Batasan Masalah Untuk penulisan skripsi ini, penulis membatasi masalah dalam hal sebagai berikut: 1. Implementasi Otentikasi Hotspot 2. Protokol AAA yang yang digunakan untuk menangani proses otentikasi Terpusat (RADIUS) 3. Informasi pengguna berupa kombinasi username dan password akan disimpan dalam suatu database terpusat Database Terpusat 1.4 Tujuan Penelitian Tujuan dari penelitian ini adalah : 1. menerapkan autentifikasi server pada jaringan Wireless LAN (Hotspot) menggunakan Sistem operasi Linux, FreeRADIUS, Protokol EAP-TTLS dan DaloRadius, untuk autentifikasi dan identifikasi pengguna Hotspot di SIF Al Fikri. 2. administrator mempunyai media dalam memantau dan mengontrol user-user yang terhubung ke jaringan wireless 1.5 Manfaat Penelitian Manfaat yang diambil dari Skripsi ini adalah : 1. Hasil penelitian diharapkan dapat memberi manfaat bagi siapa saja yang ingin membangun infrastruktur jaringan hotspot dengan tingkat keamanan yang tinggi dan mudah untuk diimplementasikan.

27 2. Bagi Sekolah Islam Fitrah Al FIkri, hasil penelitian dapat digunakan menjadi bahan pertimbangan untuk diimplementasikan pada infrastruktur jaringan hotspot yang telah ada saat ini. Sehingga dapat memberikan layanan yang lebih bermutu. 3. Bagi penulis, dapat mempelajari, memahami dan menerapkan otentikasi hotspot dengan RADIUS dan penerapannya pada layanan AAA. Mempermudah dalam memanagement dan memonitoring user dalam jaringan wireless LAN. Berbasis open source sehingga dapat mengurangi ketergantungan pada software berbayar karena tidak perlu membeli lisensi. 4. Manfaat umum yaitu dapat digunakan sebagai acuan dalam penelitian berikutnya. 1.6 Metodologi Penelitian Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem Metode Pengumpulan data Merupakan metode yang digunakan penulis dalam melakukan analisis data dan menjadikannya informasi yang akan digunakan untuk mengetahui permasalahan yang dihadapi. 1. Studi Lapangan Metode pengumpulan data dengan melakukan observasi dan melakukan wawancara untuk memperoleh keterangan untuk tujuan penelitian. 2. Studi Kepustakaan dan literatur Metode pengumpulan data melalui buku, jurnal, skripsi, dan laporan penelitian yang relevan serta mencari data di internet yang dijadikan acuan dalam penelitian yang dilakukan.

28 1.6.2 Metode Pengembangan sistem Metode pengembangan sistem yang digunakan dalam penelitian ini adalah metode pengembangan sistem Network Development Life Cycle (NDLC). siklus ini terdiri dari beberapa tahapan, yaitu : 1. Analisis 2. Desain (Perancangan) 3. Simulasi prototipe 4. Implementasi (Penerapan) 5. Monitoring 6. Manajemen 1.7 Sistematika Penulisan Dalam penyusunan tugas akhir ini, penulis menyajikan dalam 5 bab yang dijabarkan sebagai berikut : BAB I PENDAHULUAN Bab ini membahas tentang latar belakang, perumusan masalah, batasan masalah, metodologi penelitian, tujuan dan manfaat penelitian dan sistematika penulisan pada penelitian ini. BAB II LANDASAN TEORI Bab ini menjelaskan teori-teori yang digunakan sebagai landasan dalam penelitian, seperti teori jaringan nirkabel, keamanan jaringan nirkabel, otentikasi, RADIUS. BAB III METODOLOGI PENELITIAN Bab ini akan menjelaskan tentang tahapan-tahapan yang dilakukan dalam melaksanakan penelitian ini. Dalam hal ini penulis

29 menggunakan metodologi penelitian NDLC atau Network Development Life Cycle. BAB IV ANALISIS DAN IMPLEMENTASI Bab ini berisi analisis terhadap kebutuhan sistem, perancangan serta implementasi protokol otentikasi jaringan wireless pada Sekolah Islam Fitrah Al Fikri. BAB V KESIMPULAN DAN SARAN Bab ini merupakan bab penutup yang berisi kesimpulan serta saran yang dapat membantu pengembangan sistem ini di masa yang akan datang.

30 BAB II LANDASAN TEORI 2.1 Wireless LAN Wireless (jaringan nirkabel) menggunakan gelombang radio (RF) atau gelombang mikro untuk membentuk kanal komunikasi antar komputer. Jaringan nirkabel adalah alternatif yang lebih modern terhadap jaringan kabel yang bergantung pada kabel tembaga dan serat optik antar jaringan. LAN atau Local Area Network merupakan jaringan komputer yang meliputi suatu area geografis yang relatif kecil (dalam satu lantai atau gedung). LAN dicirikan dengan kecepatan data yang relatif tinggi dan kecepatan error yang relatif rendah. (Kamus Lengkap Jaringan Komputer, 2004) Mode pada Wireless LAN

31 WLAN sebenarnya memiliki kesamaan dengan jaringan LAN, akan tetapi setiap node pada WLAN menggunakan wireless device untuk berhubungan dengan jaringan. Node pada WLAN menggunakan channel frekuensi yang sama dan SSID yang menunjukkan identitas dari wireless device. Tidak seperti jaringan kabel, jaringan wireless memiliki dua mode yang dapat digunakan, yaitu: a. Model Ad-Hoc Model ad-hoc merupakan mode jaringan nirkabel yang sangat sederhana, karena pada mode ini tidak memerlukan access point untuk host dapat saling berkomunikasi. Setiap host cukup memiliki transmitter dan reciever wireless untuk berkomunikasi secara langsung satu sama lain seperti tampak pada gambar 2.1. Kekurangan dari mode ini adalah komputer tidak bisa berkomunikasi dengan komputer pada jaringan yang menggunakan kabel. Selain itu, daerah jangkauan pada mode ini terbatas pada jarak antara kedua komputer tersebut. Gambar 2.1 Mode Jaringan Ad-Hoc Sumber : b. Model Infrastruktur Jika komputer pada jaringan wireless ingin mengakses jaringan kabel atau berbagi printer misalnya, maka jaringan wireless tersebut harus menggunakan mode

32 infrastruktur (gambar 2.2). Pada mode infrastruktur access point berfungsi untuk melayani komunikasi utama pada jaringan wireless. Access point mentransmisikan data pada PC dengan jangkauan tertentu pada suatu daerah. Penambahan dan pengaturan letak access point dapat memperluas jangkauan dari WLAN. Gambar 2.2 Model Jaringan Infrastruktur Komponen Wireless LAN Sumber : Dalam membangun sebuah jaringan WLAN, maka diperlukan beberapa perangkat keras agar komunikasi antara station dapat dilakukan. Secara umum, komponen wireless LAN terdiri atas perangkat berikut : 1) Access Point (AP) Pada wireless LAN, device transceiver disebut sebagai access point (AP), dan terhubung dengan jaringan (LAN) melalui kabel. Fungsi dari AP adalah mengirim dan menerima data, serta berfungsi sebagai buffer data antara wireless LAN dengan wired LAN. Satu AP dapat melayani sejumlah user (beberapa literatur menyatakan bahwa satu AP maksimal meng-handle sampai 30 user). Karena dengan semakin

33 banyak nya user terhubung ke AP maka kecepatan yang diperoleh tiap user juga akan semakin berkurang. Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan. Sumber : Bila AP dipasang lebih dari satu dan coverage tiap AP saling overlap, maka user/client dapat melakukan roaming. Roaming adalah kemampuan client untuk berpindah tanpa kehilangan koneksi dan tetap terhubung dengan jaringan. Gambar 2.4 Multiple Access Point dan Roaming Sumber : 2) Extension Point

34 Hanya berfungsi layaknya repeater untuk client ditempat yang jauh. Syarat dari AP yang digunakan sebagai extension point ini adalah terkait dengan channel frekuensi yang digunakan. Antara AP induk (yang terhubung langsung dengan backbone) dan AP repeater-nya harus memiliki frekuensi yang sama. Gambar 2.5 Penggunaan Extension Point Sumber : 3) Antena Digunakan untuk memperkuat daya pancar. Terdapat beberapa tipe antena yang dapat mendukung dalam implementasi wireless LAN. Ada yang tipe omni, sectorized serta directional. 4) Wireless LAN Card

35 WLAN card dapat berupa PCMCIA, USB card atau Ethernet card dan sekarang banyak dijumpai sudah embedded di terminal (notebook maupun HP). Biasa nya PCMCIA digunakan untuk notebook sedangkan yang lain nya digunakan untuk komputer desktop. WLAN card berfungsi sebagai interface antara sistem operasi jaringan client dengan format interface udara ke AP. (Gunadi, 2009) Badan Standarisasi a. Federal Communication Commission (FCC) Federal Communiation Commission (FCC) adalah sebuah perwakilan independen dari pemerintah Amerika Serikat, didirikan oleh Communication Act pada tahun FCC berhubungan dengan peraturan dibidang komunikasi yang menggunakan radio, televisi, wire, satelit, dan kabel baik di wilayah Amerika sendiri maupun untuk international. FCC membuat peraturan yang didalamnya berisi perangkat perangkat wireless LAN mana yang dapat beroperasi. FCC menentukan pada spectrum frequency radio yang mana wireless LAN dapat berjalan dan seberapa besar power yang dibutuhkan, teknologi transmisi mana yang digunakan, serta bagaimana dan dimana berbagai jenis hardware wireless LAN dapat digunakan. b. Internet Engineering Task Force (IETF) IETF adalah komunitas terbuka, yang anggota anggota nya terdiri atas para peneliti, vendor, dan perancangan jaringan. Tujuan IETF adalah mengkoordinasikan pegoperasian, pengelolaan, dan evolusi internet, dan memecahkan persoalan arsitektural dan protokol tingkat menengah. IETF mengadakan pertemuan tiga kali setahun dan laporan hasil pertemuan pertemuan itu secara lengkap termasuk kedalam IETF proceedings. c. Institute of Electrical and Electronics Engineers (IEEE)

36 Institute of Electrical and Electronics Engineers (IEEE) adalah pembuat kunci standar dari hampir semua hal yang berhubungan dengan teknologi dan informasi di Amerika Serikat. IEEE membuat standar dengan peraturan yang telah ditetapkan oleh FCC. IEEE telah menspesifikasikan begitu banyak standar teknologi. Seperti Public Key cryptography (IEEE 1363), Ethernet (IEEE 802.3), dan untuk Wireless LAN dengan standar IEEE (Gunadi, 2009) Standar Wireless LAN Standar yang lazim digunakan untuk WLAN adalah yang ditetapkan oleh IEEE pada akhir tahun standar kemudian dibagi menjadi tiga jenis, yaitu : a. IEEE a Menggunakan teknik modulasi Orthogonal Frequency Division Multiplexing (OFDM) dan berjalan pada frekuensi 5 GHz dengan kecepatan transfer data mencapai 54 Mbps. Kelebihan dari standar ini adalah kecepatan transfer data yang lebih tinggi dan lebih kecil potensi terjadinya interferensi dari perangkat nirkabel lainnya karena frekuensi ini jarang digunakan. Kelemahannya antara lain membutuhkan biaya yang lebih besar, jarak jangkaun lebih pendek karena frekuensi tinggi dan juga dapat menyebabkan sinyal mudah diserap oleh benda penghalang seperti tembok. b. IEEE b Menggunakan teknik modulasi direct sequence spread sprectrum (DSSS) dan berjalan pada pita frekuensi 2,4 Ghz dengan kecepatan transfer 11 Mbps. Kelebihan dari standar ini adalah biaya implementasi yang lebih sedikit dan jarak jangkauan yang lebih baik. Kelemahannya adalah kecepatan transfer yang lebih lambat dan rentan terhadap interferensi karena frekuansi 2,4 GHz juga banyak digunakan oleh perangkat lainnya.

37 c. IEEE g Menggunakan teknik modulasi OFDM dan DSSS sehingga memiliki karakteristik dari kedua standar b dan a. Standar ini bekerja pada frekuensi 2.4 GHz dengan kecepatan transfer data mencapai 54 Mbps tergantung dari jenis modulasi yang digunakan. Kelebihan dari standar ini adalah kecepatan transfer data yang tinggi (menyamai standar a), jarak jangkauan yang cukup jauh dan lebih tahan terhadap penyerapan oleh material tertentu karena bekerja pada frekuensi 2,4 GHz. Kelemahannya adalah rentan terhadap interferensi dari perangkat nirkabel lainya. (Gunadi, 2009) Secara umum perbandingan diantara standar WLAN yang dimaksud dapat dijabarkan seperti pada table 2.1 berikut : Standard approved Maximum data rate Modulation Tabel 2.1 Perbandingan Standar Wireless LAN Sumber : (Gunadi, 2009 ) b a g n July 1999 July 1999 June 2003 Not yet ratified 11 Mbps 54 Mbps 54 Mbps 600 Mbps DSSS or CCK OFDM DSSS or CCK or OFDM RF band 2,4 GHz 5 GHz 2,4 GHz Number of spatial streams Channel width Compatible with DSSS or CCK or OFDM 2,4 GHz or 5 GHz , 2, 3, or 4 20 MHz 20 MHz 20 MHz 20 MHz or 40 MHz b a b/g b/g/n 2.2 Protokol Keamanan AAA Menurut Jonathan Hassel (2002) Konsep kerja server otentikasi dikenal dengan AAA (authentication, authorization, and accounting). Yang terdiri dari Otentikasi,

38 Otorisasi, dan Pendaftaran akun pengguna. Konsep AAA mempunyai fungsi yang berfokus pada tiga aspek dalam kontrol akses user, yaitu : a. Authentication Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID / username dan password. jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan masuk dan sebaliknya. b. Authorization Otorisasi melibatkan penggunaan seperangkat aturan - aturan yang berlaku untuk memutuskan aktifitas apa saja yang dizinkan dalam sistem atau sumber daya jaringan tertentu untuk pengguna yang terotentikasi. Proses Authorization merupakan lanjutan dari proses Authentication. Proses Authorization dapat dianalogikan sebagai berikut: jika anda sudah mengizinkan tamu untuk masuk kerumah anda, tentu anda mempunyai aturan aturan yang ditempel di dinding rumah anda, misalnya tamu hanya boleh masuk sampai dengan ruang tamu. Dengan aturan seperti ini tentu akan memudahkan seseorang untuk melakukan kontrol terhadap sumber daya jaringan tertentu. c. Accounting Proses Accounting merupakan proses dimana terdapat proses pencatatan berapa lama seorang pengguna sudah terkoneksi (waktu mulai / waktu stop) yang telah dilakukan selama pemakaian. Data dan informasi ini sangat berguna baik untuk pengguna

39 maupun administrator, biasanya laporan ini digunakan untuk melakukan auditing, membuat laporan pemakaian, membaca karakteristik jaringan, dan pembuatan billing tagihan. jadi pada intinya proses accounting berguna untuk mengetahui apa saja yang dilakukan oleh client dan service apa saja yang dilakukan oleh client. analogi sederhananya adalah mesin absensi dikantor, ia akan mencatat waktu datang dan waktu pulang, dengan demikian petugas dapat memonitoring karyawan dengan mudah. (Jonathan Hassel, 2002) Remote Authentication Dial-In User Service (RADIUS) RADIUS merupakan singkatan dari Remote Acces Dial in User Service. Pertama kali di kembangkan oleh Livingston Enterprises. Merupakan network protokol keamanan komputer yang digunakan untuk membuat manajemen akses secara terkontrol pada sebuah jaringan yang besar. RADIUS didefinisikan di dalam RFC 2865 dan RFC RADIUS biasa digunakan oleh perusahaan untuk mengatur akses ke internet bagi client. RADIUS melakukan otentikasi, otorisasi, dan pendaftaran akun pengguna secara terpusat untuk mengakses sumber daya jaringan. Sehingga memastikan bahwa pengguna yang mengakses jaringan adalah pengguna yang sah. RADIUS berstandar IEEE 802.1x. Sering disebut port based authentication. RADIUS merupakan protokol client server yang berada pada layer aplikasi pada OSI layer. Dengan protokol transport berbasis UDP. (Jonathan Hassel, 2002) Format Paket RADIUS Protokol RADIUS menggunakan paket UDP untuk melewati transmisi antara client dan server. Protokol tersebut akan berkomunikasi pada port Berikut struktur paket RADIUS :

40 Gambar 2.6 Format paket RADIUS Format paket data RADIUS pada gambar 2.4 terdiri dari lima bagian, yaitu: 1. Code : memiliki panjang satu oktet, digunakan untuk membedakan tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal) dapat dilihat pada tabel 2.2 Tabel 2.2 Kode tipe pesan RADIUS Kode Tipe pesan RADIUS 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved 2. Identifier : Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan. 3. Length : Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket. 4. Authenticator : Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password. 5. Attributes : Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat membawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, alamat IP access point (AP), pesan balasan. Tujuan

41 standar 802.1x IEEE adalah untuk menghasilkan kontrol akses, autentikasi, dan manajemen kunci untuk wireless LAN. Standar ini berdasarkan pada Internet Engineering Task Force (IETF) Extensible Authentication Protocol (EAP), yang ditetapkan dalam RFC Tipe Paket Pesan RADIUS Ada empat jenis paket pesan RADIUS yang relevan dengan otentikasi dan otorisasi pada fase transaksi AAA yaitu : 1. Access-Request Paket Access-Request digunakan oleh layanan konsumen ketika meminta layanan tertentu dari jaringan. Client mengirimkan paket request ke RADIUS server dengan daftar layanan yang diminta. Faktor kunci dalam transmisi ini adalah kolom kode pada header paket, dimana header paket tersebut harus di set dengan nilai 1, yang merupakan nilai unik pada paket permintaan. RFC menyatakan bahwa balasan harus dikirimkan ke semua paket permintaan yang valid, apakah jawabannya adalah otorisasi atau penolakan. Gambar 2.7. Paket Access-Request Sumber : RADIUS, O'Reilly Tabel 2.3 Paket Access-Request Sumber : RADIUS, O'Reilly Packet Type Response Code 1

42 Identifier Length Authenticator Attribute Data Unique per request Header length plus all additional attribute data Request 2 or more 2. Access-Accept Paket Access-Accept dikirim oleh RADIUS server kepada client untuk mengakui bahwa permintaan klien diberikan. Jika semua permintaan Access- Request dapat diterima, maka server RADIUS harus mengatur paket respon dengan nilai 2 pada sisi client, setelah paket tersebut diterima, paket tersebut di cek apakah sama atau benar paket tersebut adalah paket respon dari RADIUS server dengan menggunakan identifier field. Jika terdapat paket yang tidak mengikuti standar ini maka paket tersebut akan dibuang. Paket Access-Accept dapat berisi banyak atau sedikit atribut informasi yang perlu untuk dimasukkan. Kemungkinan besar atribut informasi pada paket ini akan menjelaskan jenis layanan apa saja yang telah dikonfirmasi dan resmi sehingga client dapat menggunakan layanan tersebut. Namun, jika tidak ada atribut informasi yang disertakan, maka client menganggap bahwa layanan yang diminta adalah yang diberikan. Gambar 2.8 Paket Access- Accept Sumber: RADIUS, O'Reilly Tabel 2.4 Paket Access-Accept

43 Packet Type Code 2 Identifier Length Authenticator Attribute Data Sumber: RADIUS, O'Reilly Response Identical to Access-Request per transaction Header length plus all additional attribute data Response 0 or more 3. Access-Reject RADIUS server dapat pula mengirimkan paket Access-Reject kembali ke client jika harus menolak salah satu layanan yang diminta client dalam paket Access-Request. Penolakan tersebut dapat didasarkan pada kebijakan sistem, hak istimewa yang tidak cukup, atau kriteria lain. Access-Reject dapat dikirim setiap saat selama waktu koneksi. Nilai yang diberikan untuk kode pada paket ini adalah 3. Gambar 2.9 Paket Access- Reject Sumber : RADIUS, O'Reilly Tabel 2.5 Paket Access- Reject Sumber : RADIUS, O'Reilly Packet Type Code 3 Response

44 Identifier Length Authenticator Attribute Data Identical to Access-Request Header length plus all additional attribute data Response 0 or more 4. Access-Challenge Apabila server menerima informasi yang bertentangan dari user, atau membutuhkan informasi lebih lanjut, atau hanya ingin mengurangi risiko otentikasi palsu, server dapat menerbitkan paket Access-Challenge untuk client. Setelah client menerima paket Access-Challenge client harus memberikan paket Access-Request yang baru disertai atribut informasi yang diminta server. Nilai yang diberikan pada header paket ini adalah 11. Packet Type Code 11 Identifier Length Gambar 2.10 Paket Access- Challenge Sumber : RADIUS, O'Reilly Tabel 2.6 Paket Access-Challenge Response Authenticator Response Attribute Data Sumber : RADIUS, O'Reilly Identical to Access-Request Header length plus all additional attribute data 0 or more

45 Tahapan Koneksi RADIUS Penggunaan RADIUS terhadap usaha pembentukan koneksi jaringan dapat dilakukan dengan melalui tahapan tahapan berikut: 1. Access server, access point menerima permintaan koneksi dari access client. 2. Access server dikonfigurasi agar dapat menggunakan RADIUS sebagai protokol yang melakukan proses otentikasi, otorisasi dan accounting, membuat sebuah pesan access request dan mengirimkannya ke server RADIUS. 3. Server RADIUS melakukan evaluasi pesan Access request 4. Jika dibutuhkan, server RADIUS mengirimkan pesan access challenge ke access server. Jawaban terhadap pesan tersebut dikirimkan dalam bentuk access request ke server RADIUS. 5. Surat kepercayaan dan otorisasi dari usaha pembentukan koneksi diverifikasi. 6. Jika usaha pembentukan koneksi dan diotorisasi, server RADIUS mengirimkan sebuah pesan access accept ke access server. Sebaliknya jika usaha tersebut ditolak maka server RADIUS mengirimkan sebuah pesan access reject ke access server. 7. Selama menerima pesan access accept, access server melengkapi proses koneksi dengan access client dan mengirimkan sebuah pesan accounting request ke server radius. 8. Setelah pesan accounting request diproses, server RADIUS mengirimkan sebuah pesan accounting response. (Zaenal Arifin, 2008)

46 Gambar Proses Pembentukan koneksi protokol RADIUS Sumber: RADIUS-For-WLAN-Authentication-Part-I.htm REALM RADIUS hadir dengan kemampuan untuk mengidentifikasi user berdasarkan desain dan area yang berlainan. atau disebut realm. Realm adalah identifier yang ditempatkan sebelum atau sesudah nilai yang biasanya berisikan atribut Username yang bisa digunakan server RADIUS untuk mengenal dan menghubungi server yang sedang digunakan untuk memulai proses AAA. Tipe pertama dari realm identifier yang dikenal sebagai realm prefix., yang mana nama realm ditempatkan sebelum username, dan kedua dipisahkan oleh karakter prekonfigurasi, seperti \, atau /. Untuk lebih lanjut, sebuah user bernama jhassel yang terdaftar di layanan central state internet (merupakan

47 realm dengan nama CSI) bisa mengatur klien untuk memberikan username seperti CSI/jhassel. Sintaks realm identifier lainnya adalah realm suffix, dimana username ditempatkan sebelum nama realm. Pemisah yang sama masih digunakan didalam sintaks ini hingga saat ini, lebih lanjut yang pada umum nya adalah Sebagai contoh, user awatson mendaftar ke layanan northwest internet (nama realm : NWI) menggunakan identifikasi suffix realm bisa memberikan username seperti awatson@nwi. (Jonathan Hussel, 2003). 2.3 Protokol Otentikasi Protokol adalah suatu kumpulan dari aturan-aturan yang berhubungan dengan komunikasi data antara alat-alat komunikasi supaya komunikasi data dapat dilakukan dengan benar. Jabatan tangan merupakan contoh dari protokol antara dua manusia yang akan berkomunikasi. Pada istilah komputer, jabatan tangan (handshaking) menunjukkan suatu protokol dari komunikasi data bila dua buah alat dihubungkan satu dengan yang lainnya untuk menentukan bahwa keduanya telah kompatibel. (Jogianto, 1999). Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID / username dan password, jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan masuk dan sebaliknya. (Jonathan Hassel) Extensible Authentication Protocol (EAP)

48 EAP atau Extensible Authentication Protocol adalah suatu framework otentikasi yang menyediakan layanan transport dan penggunaan key material dan parameter yang dihasilkan oleh EAP pada awalnya dikembangkan untuk koneksi Point-to-Point atau PPP. Namun, saat ini EAP juga diimplementasikan dan banyak digunakan untuk otentikasi penggunaan pada jaringan nirkabel. EAP digunakan pada three-tier authentication, maka pada proses komunikasinya EAP akan menggunakan transport protokol yang berbeda. Pertama, pada komunikasi antara supplicant dan authenticator, EAP akan menggunakan data link protokol seperti PPP, Ethernet atau WLAN. Kedua, pada komunikasi mengunakan application layer protokol seperti RADIUS atau Diameter. Gambar 2.12 Proses komunikasi protokol EAP antara supplicant, NAS dan authentication server Dalam EAP terdapat beberapa komponen diantaranya : Gambar 2.13 Komponen EAP Sumber : Tom Rixom

49 1. Supplicant Merupakan Wireless Node yang ingin mengakses Jaringan disebut Supplicant. 2. Authenticator Merupakan perangkat yang memberikan akses menuju server. Authenticator merupakan device yang memproses apakah suatu supplicant dapat mengakses jaringan atau tidak. authenticator mengontrol dua jenis port yaitu yang disebut dengan controlled ports dan yang disebut dengan uncontrolled ports. Kedua jenis port tersebut merupakan logikal port dan menggunakan koneksi fisikal yang sama. Sebelum otentikasi berhasil, hanya port dengan jenis uncontrolled yang dibuka. Trafik yang diperbolehkan hanyalah EAPOL atau EAPOW. Setelah supplicant melakukan autentifikasi dan berhasil, port jenis controlled dibuka sehingga supplicant dapat mengakses LAN secara biasa. IEEE 802.1x mempunyai peranan penting dari standar i. Gambar 2.14 Skema port based authentication Sumber : Standar IEEE 802.1x. Teori dan Implementasi 3. Authentication Server / RADIUS

50 yaitu server yang menentukan apakah suatu supplicant valid atau tidak. Authentication server adalah berupa RADIUS server [RFC2865] EAP Over RADIUS EAP over RADIUS merupakan sebuah mekanisme otentikasi yang dilakukan oleh access server (access point) untuk melewatkan pesan EAP dari jenis EAP apa pun ke RADIUS server untuk melakukan proses otentikasi. Sebuah pesan EAP dikirim diantara access client dan access server dengan menggunakan format attribute EAP Message RADIUS dan dikirim sebagai pesan RADIUS antara access server dan server RADIUS. Access server hanya menjadi perangkat yang melewatkan pesan EAP diantara client dan server RADIUS. Pemrosesan pesan EAP dilakukan oleh access client dan server RADIUS, tidak dilakukan oleh access server. EAP over RADIUS digunakan dalam lingkungan dimana RADIUS sebagai penyedia mekanisme otentikasi. Keuntungan yang bisa diperoleh dengan menerapkan EAP over RADIUS adalah jenis EAP tidak perlu diinstall pada setiap access server, cukup dilakukan pada server RADIUS. Tetapi, access server harus mendukung EAP sebagai protokol untuk melakukan kegiatan otentikasi dan melewatkan pesan EAP ke server RADIUS. Karena EAP merupakan bagian dari standar 802.1x, kita harus mengaktifkan otentikasi 802.1x untuk mengaktifkan AP agar dapat menggunakan EAP. Ketika koneksi dibuat, access client bernegosiasi dengan access server menggunakan EAP. Ketika client mengirimkan pesan EAP ke access server, access server membungkus pesan EAP dalam bentuk attribut EAP message kemudian diubah menjadi pesan RADIUS access Request dan mengirimkannya ke server RADIUS. Server RADIUS memproses attribute EAP-Message dan mengirimkan sebuah pesan EAP-Response dalam bentuk pesan RADIUS Access- Challenge ke access server. Selanjutnya, access server melewatkan pesan EAP ke access client.

51 Gambar 2.15 Konversi pesan EAP dan pesan RADIUS Sumber : (sistem pengamanan jaringan wireless, zaenal arifin) EAP over LAN (EAPOL) EAPOL adalah suatu protokol yang menyediakan cara-cara mengenkapsulasi paketpaket EAP dalam protokol LAN atau Ethernet. EAPOL didesain untuk standarisasi IEEE 802.1X yang digunakan pada jaringan kabel maupun nirkabel. Berikut ini adalah beberapa jenis paket-paket EAPOL, yaitu: 1. EAPOL-Start : merupakan sebuah frame EAPOL yang baru. Frame ini dikembangkan untuk mekanisme network-sensing pada jaringan nirkabel. Pada saat permintaan akses, supplicant akan mengirimkan frame EAPOL start secara multicast ke beberapa alamat MAC yang telah dipersiapkan untuk 802.1x authenticator, sehingga authenticator dapat mengetahui apabila ada pengguna yang memerlukan ijin akses. 2. EAPOL-Key : frame ini dirancang untuk mendukung kombinasi antara proses otentikasi dan proses pendistribusian kunci, dimana authenticator akan mengirim kunci yang digunakan untuk enkripsi komunikasi data ke supplicant. 3. EAPOL-Packet : frame ini merupakan frame utama untuk protokol EAPOL, dimana frame ini bertugas untuk membawa paket atau pesan EAP. Semua tipe pesan EAP (EAP request, EAP response, EAP success dan EAP failure) dibawa oleh frame EAPOL-Packet.

52 4. EAPOL-Logoff : frame ini digunakan oleh supplicant untuk mengindikasikan bahwa pengguna ingin mengakhiri koneksi. Gambar Format paket EAPOL 2.4 EAP Methods EAP sebenarnya hanya sebuah authentication framework dan tidak menyediakan mekanisme tertentu yang dapat digunakan untuk proses otentikasi. Tetapi, EAP menyediakan fungsi-fungsi umum dan negosiasi metode otentikasi yang disebut EAP methods. Beberapa EAP methods yang sering digunakan, yaitu EAP-MD5, EAP-OTP, EAP-GTC, EAP-SIM, EAP-AKA, EAP-TLS, EAP-TTLS dan PEAP. Ketiga EAP methods yang terakhir, yaitu EAP-TLS, EAP-TTLS dan PEAP adalah EAP methods yang sering digunakan pada jaringan nirkabel. EAP methods ini mendukung fitur mutual authentication dan penggunaan digital certificate. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada sisi client dan satu lagi pada sisi server. sedangkan pada EAP-TTLS dan PEAP, digital certificate pada sisi client bersifat optional dan dapat digantikan oleh kombinasi username dan password. (Madjid Nakhjiri) Gambar 2.17 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS EAP MD5

53 EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan tingkat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode dictionary attack, tidak ada mutual otentikasi, dan penurunan kunci, sehingga membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPA/WPA2 enterprise EAP TLS EAP-TLS [RFC2716], adalah IETF standar dan banyak didukung oleh vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi, semenjak TLS dianggap sebagai teknik enkripsi yang sukses pada mekanisme SSL. TLS menggunakan Public Key Infrastructure (PKI) untuk mengamankan komunikasi antara supplicant dan authentication server. EAP-TLS adalah standar EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya merupakan salah satu standar EAP yang paling aman dan secara universal didukung oleh semua manufaktur dari wireless LAN hardware dan software termasuk Microsoft EAP TTLS EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas disupport dan menawarkan tingkat keamanan yang bagus. Standar ini menggunakan PKI sertifikat hanya pada authentication server. 2.5 Secure Socket Layer (SSL) / Transport Layer Security (TLS) Secure socket layer dikembangkan oleh Netscape Communication Corp pada tahun SSL melindungi transmisi EAP dengan menambahkan lapisan enkripsi pengaman. SSL tidak hanya melindungi data yang dikirim tetapi juga dapat meyakinkan pihak pihak yang berkomunikasi bahwa lawan bicara mereka dapat dipercaya (melalui penggunaan sertifikat digital).

54 SSL memberikan tiga keamanan diantaranya : 1. Menjadikan saluran (kanal) sebagai saluran private. Enkripsi digunakan terhadap seluruh data setelah handshaking (protokol pembuka sebelum terjadi pertukaran data). Jadi, data data yang dikirim melalui internet ke tempat tujuan akan terjamin keamanannya. 2. karnel diotentikasi, server selalu diotentikasi dan klien diotentikasi untuk menjaga keamanan data yang akan dikirimkan melalui jaringan. kernel yang andal, dimana setiap data yang disadap dan dimodifikasi saat data dikirim oleh pihak yang tidak bertanggung jawab dapat diketahui oleh pihak yang sedang berkirim data dengan menggunakan message integrity check Protocol SSL Record Digunakan untuk membungkus data yang dikirim dan diterima setelah protokol handshake digunakan untuk membangun parameter keamanan waktu terjadi pertukaran data. Protokol SSL record membagi data yang ada kebentuk blok-blok dan melakukan kompresi dengan cara ceksum (MAC). Gambar 2.18 Format SSL Record Protocol SSL Handshake

55 Berfungsi membangun parameter keamanan sebelum terjadinya pertukaran data antara dua sistem. Berikut tipe tipe pesan yang dikirimkan antara klien dan server : Gambar 2.19 Handshake Protocol Sumber : 1. Client Hello Message Untuk memulai komunikasi antara klien dan server, sisi klien terlebih dahulu harus mengirimkan pesan client hello ke server. Isi dari pesan ini akan memberitahukan versi, nilai acak, ID sesi, cipher yang didukung dan metode kompresi data yang dapat digunakan/diproses oleh klien. Sebuah pesan client hello berisikan informasi berikut: a. Client_version. Bagian ini menginformasikan versi SSL paling tinggi yang dapat dimengerti oleh klien.

56 b. Random. Bagian ini berisi rangkaian/kombinasi acak yang dihasilkan oleh klien, dimana kombinasi ini nantinya akan digunakan untuk proses komputasi kriptografi pada protokol SSL. Keseluruhan 32-byte struktur bagian ini sebenarnya tidak sepenuhnya acak. Melainkan, 4-byte diambil dari informasi tanggal/waktu yang berguna untuk menghindari replay attacks. c. Session_id. Bagian ini berisikan identifier suatu sesi SSL. Bagian ini seharusnya tidak memiliki nilai atau kosong apabila klien ingin menghasilkan parameter keamanan yang baru. Apabila terdapat identifier suatu sesi, maka nilai dari bagian ini seharusnya berisi informasi dari sesi sebelumnya. d. Cipher_suites. Bagian ini berisi daftar kombinasi algoritma kriptografi yang didukung oleh klien. Hal ini memberikan kemudahan pada sisi klien, tetapi sisi server tetap menjadi penentu akan algoritma kriptografi yang akan digunakan. Apabila server tidak menemukan suatu pilihan dari daftar kombinasi yang diberikan oleh klien, maka server akan memberikan respons berupa pesan handshake failure alert dan kemudian mengakhiri koneksi tersebut. e. Compression_methods. Sama seperti bagian cipher_suites, bagian ini berisikan daftar kombinasi metode kompresi yang didukung oleh klien. Daftar ini disusun menurut kebutuhan/konfigurasi dari klien, tetapi sisi server yang akan memutuskan metode kompresi yang akan digunakan. Bagian jarang digunakan pada SSLv3 dan merupakan fitur pengembangan untuk TLSv1. 2. Server Hello Message Setelah server menerima dan memroses pesan client hello, maka server memiliki dua pilihan pesan yang dapat dikirim ke klien, yaitu pesan handshake failure alert dan server hello. Isi dari pesan server hello kurang lebih sama dengan pesan client hello. Perbedaannya adalah pada pesan client hello berisikan daftar dukungan

57 protokol pada sisi klien, sedangkan pesan server hello memutuskan/memberitahukan protokol yang akan digunakan kepada klien. Adapun isi dari pesan server hello, yaitu: a. Server_version. Bagian ini berisi versi protokol yang dipilih oleh server, dimana versi ini akan digunakan seterusnya untuk komunikasi dengan klien. Server memutuskan hal ini berdasarkan dukungan tertinggi pada kedua pihak. Sebagai contoh, apabila klien mendukung hingga versi SSLv3 dan server mendukung hingga versi TLSv1, maka server akan memilih SSLv3. b. Random. Bagian ini sama seperti yang terdapat pada sisi klien, yang berfungsi untuk proses komputasi kriptografi pada SSL. Nilai dari bagian ini harus bersifat independen dan berbeda dari apa yang dihasilkan pada sisi klien. c. Session_id. Bagian ini menyediakan informasi pengenal/identitas dari sesi yang sedang berjalan. Jika nilai dari session identifier adalah tidak kosong, maka server akan memeriksa dan mencocokan dengan yang terdapat pada session cache. Jika ditemukan nilai yang sama, maka server dapat membentuk sebuah koneksi baru dan melanjutkan status dari sesi yang dimaksud. d. Cipher_suite. Bagian ini mengindikasikan sebuah cipher suite yang dipilih oleh server berdasarkan daftar yang diberikan oleh klien. e. Compression_method. Sama seperti bagian cipher suite, bagian ini mengindikasikan sebuah metode kompresi yang dipilih oleh server berdasarkan daftar dukungan yang diberikan oleh klien 3. Server Certivicate Message Bersamaan dengan pengiriman pesan server hello, server juga mengirimkan sertifikat untuk proses otentikasi. Jenis sertifikat yang umum digunakan adalah x.509v3. sertifikat ini juga digunakan sebagai peertukaran kunci. Algoritma enkripsi yang digunakan berasal dari pemilihan cipher dari client. Nantinya pesan ini yang

58 akan digunakan sebagai public key oleh client saat untuk mengencrypt pesan ke server. 4. Server Key Exchange Pesan ini berisi efek dari pendistribusian kunci server dan algoritma enkripsi yang akan digunakan antara server dan client. 5. Certificate Request Message Pesan ini bertujuan untuk meminta sertifikat dari pihak client. Pengiriman pesan ini menandakan dua indicator : 1. mengindikasikan tipe algoritma yang digunakan pada sertifikat. 2. sertifikat yang diterima adalah sertifikat yang telah diakui oleh Certivicate Authority (CA). 6. Server Hello Done Message Pesan ini menandakan bahwa pesan server hello telah dikirim ke pihak client. Dan server menunggu respon dari client 7. Client Certificate Message Pesan ini adalah pesan pertama yang dikirimkan oleh client setelah server hello done message diterima client. Dalam pesan ini client mengirimakn sertifikat client ke server. Jika client tidak dapat mengirimkan sertifikat yang diminta server makan server akan memutuskan komunikasi dengan client. 8. Client Key Exchange Pesan ini membawa kunci untuk server. Tipe algoritma kunci yang digunakan dapat berupa RSA, atau yang lainnya. 9. Certificate Verify Message Pesan ini dikirimkan oleh client bertujuan agar server dapat melakukan verifikasi sertifikat client.

59 10. Finished Message Pada fase selanjutnya client mengirimkan pesan yang berisi perubahan spesifikasi cipher dibarengi dengan pengiriman pesan finished message. Apabila server menerima pesan finished message dari client. Server mengirimkan change cipher spec message dan mengirimkan finished message. Pada fase ini handshake protocol telah sempurna dan jalur ini selanjutnya dapat digunakan untuk transfer pesan atau data secara aman. (Steve Burnett at all, 2004) Protocol SSL Alert Protokol ini akan memberikan tanda kondisi sudah tidak terkoneksi lagi (jika pengirim mengirimkan pesan dan yang akan menerima sedang offline maka pesan akan dipending sampai penerima terkoneksi lagi). SSL alert error message bisa dilihat pada tabel 2.x berikut ini : Tabel 2.7 Alert Error Message Sumber : TLS or SSL alert Schannel error code SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_BAD_RECORD_MAC SEC_E_MESSAGE_ALTERED TLS1_ALERT_DECRYPTION_FAILED SEC_E_DECRYPT_FAILURE TLS1_ALERT_RECORD_OVERFLOW SEC_E_ILLEGAL_MESSAGE SSL3_ALERT_DECOMPRESSION_FAIL SEC_E_MESSAGE_ALTERED SSL3_ALERT_HANDSHAKE_FAILURE SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_BAD_CERTIFICATE SEC_E_CERT_UNKNOWN TLS1_ALERT_UNSUPPORTED_CERT SEC_E_CERT_UNKNOWN TLS1_ALERT_CERTIFICATE_REVOKED CRYPT_E_REVOKED TLS1_ALERT_CERTIFICATE_EXPIRED SEC_E_CERT_EXPIRED TLS1_ALERT_CERTIFICATE_UNKNOWN SEC_E_CERT_UNKNOWN SSL3_ALERT_ILLEGAL_PARAMETER SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_UNKNOWN_CA SEC_E_UNTRUSTED_ROOT TLS1_ALERT_ACCESS_DENIED SEC_E_LOGON_DENIED TLS1_ALERT_DECODE_ERROR SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_DECRYPT_ERROR SEC_E_DECRYPT_FAILURE

60 TLS1_ALERT_EXPORT_RESTRICTION TLS1_ALERT_PROTOCOL_VERSION TLS1_ALERT_INSUFFIENT_SECURITY TLS1_ALERT_INTERNAL_ERROR Default SEC_E_ILLEGAL_MESSAGE SEC_E_UNSUPPORTED_FUNCTION SEC_E_ALGORITHM_MISMATCH SEC_E_INTERNAL_ERROR SEC_E_ILLEGAL_MESSAGE Arsitektur SSL / TLS Protokol SSL didesain untuk bisa digunakan pada provider TCP yang dapat dipercaya layanan keamanannya. SSL tidak hanya menggunakan satu protokol, tetapi dua layer (lapis) protokol. SSL record protocol merupakan layanan keamanan dasar kelapisan protokol yang lebih tinggi. EAP bisa beroperasi dengan SSL/TLS. Arsitektur dari SSL dapat dilihat pada gambar 2.22 dbawah ini : Gambar 2.20 Arsitektur Protokol SSL Sumber : Sertifikat Digital Sertifikat digital adalah kunci publik dan informasi penting mengenai jati diri pemilik kunci tersebut, seperti misalnya nama, alamat, pekerjaan, jabatan, perusahaan, dan bahkan hash dari suatu informasi rahasia ysng ditandatangani oleh suatu pihak terpercaya. Sertifikat

61 digital tersebut ditandatangani oleh sebuah pihak yang terpercaya, yaitu Certificate Authority (CA). Gambar 2.21 Peran CA dalam penerbitan sertifikat Sertifikat digital diterbitkan oleh CA, suatu perusahaan atau individu yang mendaftarkan diri kepada CA baru mereka akan mendapatkan sertifikat digital. CA bukan hanya bertugas menerbitkan sertifikat saja, tetapi juga melakukan pemeriksaan apakah sertifikat tersebut masih berlaku atau tidak, dan juga membatalkan sertifikat atas permintaan. Dengan demikian, berarti CA juga memiliki daftar sertifikat yang mereka buat, baik yang masih berlaku maupun yang sudah dibatalkan. Pada sertifikat digital terdapat tanggal kadaluarsa, sertifikat yang sudah kadaluarsa akan dihapus dari daftar CA dan masih bisa diperpanjang. Struktur standar dari sertifikat digital meliputi hal-hal berikut : a. Version : merupakan versi dari x.509 pada versi 1 yang memiliki fasilitas dari serial number sertifikat sampai dengan subject public key info, versi 2 ditambah dengan identitas subject yang unik, dan pada versi 3 diberi tambahan extention dari sertifikat digital. Lihat gambar 2.x b. Serial number merupakan bilang integer yang unik yang dibuat oleh CA. c. Signature Algoritma identifier merupakan algoritma yang digunakan untuk menandatangani sertifikat yang bersamaan dengan parameternya. d. Issuer name : nama dari pembuat dan yang mengeluarkan sertifikat

62 e. Period of validity : batas tanggal, bulan, dan tahun sertifikat bisa digunakan. f. Subject name : nama yang menggunakan sertifikat atau yang memiliki kunci private dari sertifikat tersebut. g. Subject public key information : public key subject, identifikasi algoritma kunci yang digunakan dan perusahaan mana yang mengeluarkan sertifikat tersebut h. Issuer unique identifier : identifikasi unik perusahaan i. Subject unique identifier : digunakan untuk membedakan subject yang satu dengan yang liannya j. Extention meliputi pemakaian kunci, identifikasi kunci public, identifikasi policy sertifikat, dan lainnya. k. Signature Salah satu layanan otentikasi adalah X.509 yang menyediakan layanan dan mengatur pendistribusian serta memperbaiki informasi user. Informasi user meliputi : i. username ii. alamat jaringan iii. serta atribut user X.509 merupakan suatu standar yang penting untuk menangani sertifikat digital karena struktur dari sertifikat digital dan protokol otentikasi terdapat pada X.509. X.509 beroperasi berdasarkan kunci publik dan tandatangan digital serta menggunakan algortima standar seperti RSA, format dari X.509 seperti gambar berikut :

63 Gambar 2.22 Format X.509 Sumber : Dony Ariyus, Enkripsi Public Key Public key memecahkan masalah pendistribusian karena tidak diperlukan suatu kunci untuk diditribusikan. Semua partisipan memiliki akses ke kunci public, dan kunci private dihasilkan secara local oleh setiap partisan sehingga tidak perlu untuk didistribusikan. Selama sistem mengontrol masing masing private key dengan baik, komunikasi bisa menjadi komunikasi yang aman. (Dony Ariyus, 2006) Kriptografi Simetris Kriptografi simetris adalah metode enskripsi dimana pengirim dan penerima pesan memiliki kunci yang sama, atau dalam beberapa kasus kedua kunci berbeda namun mempunyai relasi dengan perhitungan yang mudah. Studi modern terfokuskan pada block cipher dan stream cipher serta aplikasinya. Block cipher adalah aplikasi modern dari Alberti s polyphabetic cipher. Block cipher menerima masukan berupa blok plaintext dan sebuah kunci dan kemudian menghasilkan keluaran blok ciphertext dengan ukuran yang

64 sama. Dikarenakan pesan yang dikirim hampir selalu lebih panjang dari single block (blok tunggal), maka diperlukan metode penggabungan beberapa blok. Data Encryption Standard (DES) dan Advanced Encryption Standard (AES) adalah contoh block ciphers yang dijadikan standar kriptografi oleh pemerintahan Amerika Serikat. Walaupun AES telah diresmikan sebagai standar kriptografi terbaru, namun DES, khususnya varian triple- DES, masih banyak digunakan sebagai enkripsi ATM, keamanan surat elektronik ( ), dan secure remote access. Stream cipher adalah lawan dari block cipher, yakni menciptakan arus kunci yang panjang dan sembarang (arbitrarily long stream of key) yang dikombinasikan dengan plaintext bit-per-bit (bit-by-bit) dan karakter-per-karakter (character-bycharacter). Pada stream cipher, arus keluaran dibangkitkan berdasarkan keadaan internal (internal state) yang berubah-ubah seiring dengan jalannya cipher. Perubahaan tersebut diatur oleh kunci dan dibeberapa stream cipher diatur pula oleh plaintext cipher. RC4 dan adalah contoh dari stream cipher. Gambar 2.23 Kriptografi Simetris Kriptografi Asimetris Kriptografi simetris menggunakan kunci yang sama untuk enkripsi dan dekripsi. Hal tersebut menyebabkan masalah yang signifikan, yakni kunci harus dikelola dengan sangat aman. Idealnya setiap kelompok yang terlibat komunikasi memiliki kunci yang berbeda. Kebutuhan akan variasi kunci meningkat, seiring dengan pertumbuhan jaringan, sehingga

65 membutuhkan manajemen kunci yang kompleks untuk menjaga kerahasiaan tiap kunci. Masalah juga bertambah jika antara dua kelompok yang berkomunikasi tidak terdapat saluran aman (secure channel). Pada tahun 1976, Whitfield Diffie dan Martin Hellman mengajukan konsep kriptografi asimetri yang meggunakan dua kunci yang secara matematika berhubungan satu sama lain, yakni kunci publik (public key) dan kunci pribadi (private key). Kunci publik dibangkitkan sedemikian sehingga kunci pribadi sangat sulit untuk dihitung, walaupun keduanya sesungguhnya berhubungan satu sama lain. Dalam kriptografi asimetri, kunci publik dapat secara bebas disebarluaskan, sedangkan kunci pribadi harus senantiasa dijaga kerahasiaannya. Kunci publik digunakan untuk enkripsi, sedangkan kunci pribadi digunakan untuk dekripsi. Diffie dan Hellman membuktikan bahwa kriptografi asimetri adalah mungkin dengan menerapkan protokol pertukaran kunci Diffie-Hellman. Pada tahun 1978, Ronald Rivest, Adi Shamir, dan Len Adleman menemukan RSA, sebuah algoritma berdasarkan kriptografi asimetri. RSA juga akan dibahas secara mendalam pada bagian selanjutnya. Gambar 2.24 Kriptografi Asimetris RSA RSA algoritma melakukan pemfaktoran bilangan yang sangat besar. Oleh karena itu RSA dianggap aman. Untuk membangkitkan kedua kunci, dipilih dua bilangan prima acak yang besar. Skema yang dikembangkan oleh rivest, shamir, dan adleman yang

66 mengekspresikan bahwa plaintext dienkripsi menjadi blok blok, dimana setiap blok memiliki nilai biner yang diberi simbol n, plaintext block m, dan chipertext blok c. Untuk melakukan enkripsi pesan m, pesan dibagi kedalam blok blok numeric yang lebih kecil dari pada n. (data biner dengan pangkat terbesar) jika bilangan prima panjangnya 200 digit, dan dapat menambah beberapa bit o dikiri bilangan untuk menjaga agar pesan tetap kurang dari nilai n. Rumus enkripsi : C = M e mod n, dan rumus dekripsi M = C d mod n = (M e ) d mod n = M ed mod n. 2.6 Open System Interconnection (OSI) Pengertian OSI Masalah utama dalam komunikasi antar komputer dari vendor yang berbeda adalah karena mereka mengunakan protokol dan format data yang berbeda-beda. Untuk mengatasi ini, International Organization for Standardization (ISO) membuat suatu arsitektur komunikasi yang dikenal sebagai Open System Interconnection (OSI) model yang mendefinisikan standar untuk menghubungkan komputer-komputer dari vendor-vendor yang berbeda. Model-OSI tersebut terbagi atas 7 layer, dan layer kedua juga memiliki sejumlah sublayer (dibagi oleh Institute of Electrical and Electronic Engineers (IEEE)). Perhatikan tabel berikut ini : Tabel 2.8 Model OSI Sumber : PENGERTIAN & FUNGSI 7 OSI LAYER «Disconnected32's Blog.htm 7th - Layer : Application Services 6th - Layer : Presentation Services 5th - Layer : Session Communications 4th - Layer : Transport Communications 3rd - Layer: Network Communications 2nd - Layer: Data-Link Physical Connections 1st - Layer: Physical Physical Connections

67 Layer-layer tersebut disusun sedemikian sehingga perubahan pada satu layer tidak membutuhkan perubahan pada layer lain. Layer teratas (5, 6 and 7) adalah lebih cerdas dibandingkan dengan layer yang lebih rendah; Layer Application dapat menangani protokol dan format data yang sama yang digunakan oleh layer lain, dan seterusnya. Jadi terdapat perbedaan yang besar antara layer Physical dan layer Application Fungsi fungsi layer OSI 1) Layer Physical Ini adalah layer yang paling sederhana, berkaitan dengan electrical (dan optical) koneksi antar peralatan. Data biner dikodekan dalam bentuk yang dapat ditransmisi melalui media jaringan, sebagai contoh kabel, transceiver dan konektor yang berkaitan dengan layer Physical. Peralatan seperti repeater, hub dan network card adalah berada pada layer ini. 2) Layer Data-link Layer ini sedikit lebih cerdas dibandingkan dengan layer physical, karena menyediakan transfer data yang lebih nyata. Sebagai penghubung antara media network dan layer protokol yang lebih high-level, layer data link bertanggung-jawab pada paket akhir dari data binari yang berasal dari level yang lebih tinggi ke paket diskrit sebelum ke layer physical. Akan mengirimkan frame (blok dari data) melalui suatu network. Ethernet (802.2 & 802.3), Tokenbus (802.4) dan Tokenring (802.5) adalah protokol pada layer Data-link. 3) Layer Network Tugas utama dari layer network adalah menyediakan fungsi routing sehingga paket dapat dikirim keluar dari segment network lokal ke suatu tujuan yang berada pada suatu network lain. IP, Internet Protocol, umumnya digunakan untuk tugas ini. Protokol lainnya seperti IPX, Internet Packet exchange. Perusahaan Novell telah

68 memprogram protokol menjadi beberapa, seperti SPX (Sequence Packet Exchange) & NCP (Netware Core Protocol). Protokol ini telah dimasukkan ke sistem operasi Netware. Beberapa fungsi yang mungkin dilakukan oleh Layer Network a. Membagi aliran data biner ke paket diskrit dengan panjang tertentu b. Mendeteksi Error c. Memperbaiki error dengan mengirim ulang paket yang rusak d. Mengendalikan aliran 4) Layer Transport Layer transport data, menggunakan protokol seperti UDP, TCP dan/atau SPX (Sequence Packet exchange, yang satu ini digunakan oleh NetWare, tetapi khusus untuk koneksi berorientasi IPX). Layer transport adalah pusat dari mode-osi. Layer ini menyediakan transfer yang reliable dan transparan antara kedua titik akhir, layer ini juga menyediakan multiplexing, kendali aliran dan pemeriksaan error serta memperbaikinya. 5) Layer Session Layer Session, sesuai dengan namanya, sering disalah artikan sebagai prosedur logon pada network dan berkaitan dengan keamanan. Layer ini menyediakan layanan ke dua layer diatasnya, Melakukan koordinasi komunikasi antara entiti layer yang diwakilinya. Beberapa protokol pada layer ini: NETBIOS: suatu session interface dan protokol, dikembangkan oleh IBM, yang menyediakan layanan ke layer presentation dan layer application. NETBEUI, (NETBIOS Extended User Interface), suatu pengembangan dari NETBIOS yang digunakan pada produk Microsoft networking, seperti Windows NT dan LAN Manager. ADSP (AppleTalk Data Stream Protocol). PAP (Printer Access Protocol), yang terdapat pada printer Postscript untuk akses pada jaringan AppleTalk.

69 6) Layer Presentation Layer presentation dari model OSI melakukan hanya suatu fungsi tunggal: translasi dari berbagai tipe pada syntax sistem. Sebagai contoh, suatu koneksi antara PC dan mainframe membutuhkan konversi dari EBCDIC character-encoding format ke ASCII dan banyak faktor yang perlu dipertimbangkan. Kompresi data (dan enkripsi yang mungkin) ditangani oleh layer ini. 7) Layer Application Layer ini adalah yang paling cerdas, gateway berada pada layer ini. Gateway melakukan pekerjaan yang sama seperti sebuah router, tetapi ada perbedaan diantara mereka. Layer Application adalah penghubung utama antara aplikasi yang berjalan pada satu komputer dan resources network yang membutuhkan akses padanya. Layer Application adalah layer dimana user akan beroperasi padanya, protokol seperti FTP, telnet, SMTP, HTTP, POP3 berada pada layer Application Komponen Jaringan dan Protokol Layer 1) Layer 1 Physical Network components: Protocols: Repeater IEEE 802 (Ethernet standard) Multiplexer IEEE (Ethernet standard) Hubs(Passive and Active) ISO 2110 TDR ISDN Oscilloscope Amplifier 2) Layer 2 Datalink

70 Network components: Protocols: Bridge Switch ISDN Router Intelligent Hub Media Access Control: Communicates with the adapter card Controls the type of media being used: NIC CSMA/CD (Ethernet) Advanced Cable Tester Token Bus (ARCnet) Token Ring Demand Priority Logical Link Control error correction and flow control manages link control and defines SAPs Logical Link Control 3) Layer 3 (Network) Network components: Protocols: Brouter IP,ARP,RARP,ICMP,RIP,OSFP, Router IGMP Frame Relay Device IPX ATM Switch NWLink Advance Cable Tester OSI DDP DECnet

71 4) Layer 4 Transport Network components: Protocols: Gateway TCP, ARP, RARP Advance Cable Tester SPX Brouter NWLink NetBIOS / NetBEUI ATP 5) Layer 5 Session Network components: Protocols: Gateway NetBIOS Names Pipes Mail Slots RPC 6) Layer 6 Presentation Network components: Protocols: Gateway None Redirector 7) Layer 7 Application Network components: Protocols: Gateway DNS, FTP

72 TFTP, BOOTP SNMP, RLOGIN SMTP, MIME NFS, FINGER TELNET, NCP APPC, AFP SMB 2.7 Tools freeradius Server freeradius merupakan implementasi dari server RADIUS. Sebenarnya ada banyak implementasi server RADIUS lainnya seperti Cisco CNS Access Registrar (CAR) dan Windows Internet Authentication Service (IAS). Pemilihan freeradius adalah karena software ini berplatform open source, bersifat gratis, performa yang stabil, dan banyak digunakan sebagai server otentikasi. Berdasarkan hasil tim survey freeradius, lebih dari 10 juta pengguna yang menjadikan freeradius sebagai server otentikasi dan lebih dari 100 juta user yang melakukan proses otentikasi dengan menggunakan freeradius. FreeRADIUS juga banyak digunakan sebagai otentikasi server dalam penelitian penelitian yang berhubungan dengan jaringan nirkabel. ( freeradius diperkenalkan oleh Alan Dekok dan Miquel van Smoorenburg pada bulan Agustus FreeRADIUS server merupakan modular dan produk open-source paling populer dan paling banyak digunakan di dunia sebagai RADIUS server yang berbasis sistem operasi UNIX. FreeRADIUS mendukung semua protokol umum otentikasi. freeradius berjalan pada platform UNIX 32 bit dan 64 bit. freeradius bersifat gratis dan dapat di download pada alamat (

73 freeradius memiliki beberapa feature, diantaranya : a) Performa dan Skalabilitas, freeradius merupakan salah satu server yang tercepat dan produk yang memiliki tingkat skalabilitas yang tinggi. b) Mendukung penerapan protokol semua EAP method termasuk diantaranya EAP- PEAP, protokol yang sering digunakan pada jaringan wireless Microsoft. c) Support untuk semua jenis database yang umum digunakan (file text seperti LDAP, SQL, dll) untuk authentication, authorization, dan accounting dalam protokol AAA. Disamping kelebihan kelebihan yang ada, salah satu kekurangan freeradius adalah untuk konfigurasi masih berbasis command line. Berbeda dengan server IAS atau lainnya yang berbayar yang sudah berbasis Graphical User Interface (GUI). 2.8 Network Development Life Cycle (NDLC) Tahapan Pada NDLC Gambar NDLC (Sumber : Applied Data Communications, A business-oriented Approach, James E. Goldman, Philips T. Rawles, Third Edition, 2001, John Wiley & Sons : 470) 1) Analysis : Tahap awal ini dilakukan analisa kebutuhan, analisa permasalahan yang muncul, analisa keinginan user, dan analisa topologi / jaringan yang sudah ada saat ini. Metode yang biasa digunakan pada tahap ini diantaranya ;

74 a. Wawancara, dilakukan dengan pihak terkait melibatkan dari struktur manajemen atas sampai ke level bawah / operator agar mendapatkan data yang konkrit dan lengkap. Pada kasus di Computer Engineering biasanya juga melakukan brainstorming juga dari pihak vendor untuk solusi yang ditawarkan dari vendor tersebut karena setiap mempunyai karakteristik yang berbeda. b. survey langsung kelapangan, pada tahap analisis juga biasanya dilakukan survey langsung kelapangan untuk mendapatkan hasil sesungguhnya dan gambaran seutuhnya sebelum masuk ke tahap design, survey biasa dilengkapi dengan alat ukur seperti GPS dan alat lain sesuai kebutuhan untuk mengetahui detail yang dilakukan. c. membaca manual atau blueprint dokumentasi, pada analisis awal ini juga dilakukan dengan mencari informasi dari manual-manual atau blueprint dokumentasi yang mungkin pernah dibuat sebelumnya. Sudah menjadi keharusan dalam setiap pengembangan suatu sistem dokumentasi menjadi pendukung akhir dari pengembangan tersebut, begitu juga pada project network, dokumentasi menjadi syarat mutlak setelah sistem selesai dibangun. d. menelaah setiap data yang didapat dari data-data sebelumnya, maka perlu dilakukan analisa data tersebut untuk masuk ke tahap berikutnya. Adapun yang bisa menjadi pedoman dalam mencari data pada tahap analisis ini adalah ; 1. User / people : jumlah user, kegiatan yang sering dilakukan, peta politik 2. Media H/W & S/W : peralatan yang ada, status jaringan, ketersedian data yang dapat diakses dari peralatan, aplikasi s/w yang digunakan

75 3. Data : jumlah pelanggan, jumlah inventaris sistem, sistem keamanan yang sudah ada dalam mengamankan data. 4. Network : konfigurasi jaringan, volume trafik jaringan, protokol monitoring network yang ada saat ini, harapan dan rencana pengembangan kedepan 5. Perencanaan fisik : masalah listrik, tata letak, ruang khusus, system keamanan yang ada, dan kemungkinan akan pengembangan kedepan. 2) Design : Dari data-data yang didapatkan sebelumnya, tahap Design ini akan membuat gambar design topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran seutuhnya dari kebutuhan yang ada. Design biasa berupa design struktur topology, design akses data, design data, design tata layout perkabelan, dan sebagainya yang akan memberikan gambaran jelas tentang project yang akan dibangun. Biasanya hasil dari design berupa : a. Gambar-gambar topologi (server farm, firewall, data center, storages, lasrmiles, perkabelan, titik akses dan sebagainya) b. Gambar-gambar detailed estimasi kebutuhan yang ada 3) Simulasi Prototipe : network s akan membuat dalam bentuk simulasi dengan bantuan Tools khusus di bidang network seperti BOSON, PACKET TRACERT, NETSIM, dan sebagaimana, hal ini dimaksudkan untuk melihat kinerja awal dari network yang akan dibangun dan sebagai bahan presentasi dan

76 sharing dengan team work lainnya. Namun karena keterbatasan perangkat lunak perangkat simulasi ini, banyak para networker s yang hanya menggunakan alat bantu tools VISIO untuk membangun topologi yang akan didesign. 4) Implementasi : di Tahapan ini akan memakan waktu yang lebih lama dari tahapan sebelumnya. Dalam implementasi networker s akan menerangkan semua yang telah direncanakan dan di design sebelumnya. Implementasi merupakan tahapan yang sangat menentukan dari berhasilnya / gagalnya project yang akan dibangun dan tahapan inilah Team Work akan diuji dilapangan untuk menyelesaikan maslah teknis dan non teknis. Ada beberapa masalah-masalah yang sering muncul pada tahapan ini diantaranya : a. Jadwal yang tidak tepat karena faktor-faktor penghambat b. Masalah dana / anggaran dan perubahan kebijakan c. Team work yang tidak solid d. Peralatan pendukung dari vendor maka dibutuhkan manajemen project dan manajemen resiko untuk meminimalkan sekecil mungkin hambatan-hambatan yang ada. 5) Monitoring : setelah implementasi tahapan monitoring merupakan tahapan yang penting agar jaringan komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan tujuan awal dari user pada awal analisis, maka perlu dilakukan kegiatan monitoring. Monitoring biasa berupa melakukan pengamatan pada : a. Infrastruktur hardware : dengan mengamati kondisi reliability / kehandalan sistem yang telah dibangun (realibility = performance + availability + security)

77 b. Memperhatikan jalannya packet data di jaringan (times, latency, peektime, troughput) c. Metode yang digunakan untuk mengamati kesehatan jaringan dan komunikasi secara umum, secara terpusat atau tersebar. Pendekatan yang paling sering dilakukan adalah pendekatan Network Management, dengan pendekatan ini banyak perangkat baik yang lokal dan tersebar dapat di monitor secara utuh. 6) Management, di management atau pengaturan, salah satu yang menjadi perhatian khusus adalah masalah Policy, kebijakan perlu dibuat untuk membuat / mengatur agar sistem yang telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsure Reliability terjaga. Policy akan sangat tergantung dengan kebijakan level management dan startegi bisnis perusahaan tersebut. IT sebisa mungkin harus dapat mendukung atau memanagement dengan starategi bisnis perusahaan. BAB III

78 METODOLOGI PENELITIAN Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. Berikut penjelasan kedua metode tersebut : 3.1 Metode Pengumpulan Data Pengumpulan data merupakan proses pengadaan data primer untuk keperluan penelitian. Pengumpulan data merupakan proses yang penting pada metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk menguji rumusan hipotesis. Pengumpulan data adalah prosedur yang sistematis dan standar untuk memperoleh data yang diperlukan (Nazir, 2005) Studi Lapangan / Observasi Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Penulis melakukan penelitian di Sekolah Islam Fitrah Al Fikri Depok Jl. Raden Saleh, Sukmajaya Depok dengan melakukan wawancara langsung dengan pihak administartor jaringan yang dilakukan pada penelitian sekitar bulan januari 2011 dan hasil dari wawancara dapat dilihat pada lampiran Studi Pustaka atau Literatur Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi tersebut berasal dari dokumen dokmen resmi RFC (Request for Comment) yang telah di standarisasikan oleh badan standarisasi seperti IEEE dan IETF. Referensi tersebut sebagai

79 acuan untuk membuat landasan teori. dan referensi referensi lainnya yang digunakan oleh penulis dapat dilihat pada Daftar Pustaka. Studi literatur yang penulis gunakan sebagai referensi yaitu : Tabel 3.1 Studi Literatur No JUDUL PENULIS TAHUN PEMBAHASAN 1. Analisis dan Perancangan Sistem Keamanan Jaringan Nirkabel Menggunakan EAP- TLS 2. AUTENTIKASI PENGGUNA WIRELESS LAN BERBASIS RADIUS SERVER (Studi Kasus WLAN Universitas Bina Darma) 3. Analisa Protokol Autentikasi Remote Access Dial- In User Service dan Aspek Keamanannya Ali Mahrudi Oleh: Yesi Novaria Kunang & Ilman Zuhri Yadi Dosen Tetap Universitas Bina Darma Ari Darmariyadi 2006 Skripsi ini menekankan pada analisa dan perancangan extensible authentication protocol Transport Layer Protocol (EAP-TLS) sebagai solusi dari resiko terhadap gangguan keamanan jaringan nirkabel FST UIN Jakarta. EAP TLS merupakan protokol 802.1x mekanisme kerja otentikasi EAP-TLS memerlukan certificate pada sisi client dan server 2007 Skripsi ini menekankan pada analisa dan perancangan sistem autententikasi wireless berbasi RADIUS SERVER sebagai solusi dari resiko terhadap gangguan keamanan di Universitas Bina Darma) 2003 RADIUS merupakan protokol yang digunakan untuk melakukan authentication, authorization and accounting (AAA) pada jaringan akses dengan menyediakan proteksi terhadap pencurian akses.

80 4. Implementasi Authentikasi Wireless Security dengan protokol PEAP ( Studi kasus : PUSDATIN FST UIN Jakarta) M. Arief Faruqi 2010 Mengimplentasikan Protokol PEAP pada FST UIN Jakarta. Dengan terfokus pada pengimplementasikan dengan membandingkan referensi sebelumnya yaitu EAP-TLS. 3.2 Metode Pengembangan Sistem Penulis menggunakan model pengembangan sistem NDLC (Network Development Life Cycle). Secara spesifik NDLC dan kegiatan yang dilakukan penulis dalam penelitian ini adalah sebagai berikut : Gambar 3.1 Siklus Network Development Life Cycle Sumber : Goldman, James E. & Rawles, 2001 Menurut (Goldman, 2001), NDLC adalah kunci dibalik proses perancangan jaringan komputer. NDLC merupakan model mendefenisikan siklus proses pembangunan atau pengembangan sistem jaringan komputer. Kata cycle (siklus) adalah kata kunci deskriptif dari siklus hidup pengembangan sistem jaringan yang menggambarkan secara eksplisit seluruh proses dan tahapan pengembangan sistem jaringan yang berkesinambungan Tahapan Analisis

81 Model pengembangan sistem NDLC dimulai pada fase analisis. Pada tahap ini dilakukan wawancara secara langsung dengan administrator jaringan dapat dilihat (lampiran 8) dan juga dilakukan observasi langsung kelapangan dapat dilihat pada bab 4.2 yaitu meliputi analisis kebutuhan, analisis permasalahan yang muncul, analisa komponenkomponen meliputi perangka keras dan perangkat lunak, dan analisis kebutuhan sistem kemanan EAP-TTLS, analisis mekanisme EAP-TTLS Tahapan Desain Tahapan selanjutnya adalah design. Pada tahap ini, penulis membaginya dalam dua kegiatan dapat dilihat pada bab 4.3, yaitu: desain topologi dapat dilihat pada gambar 4.15 dan desain sistem dapat dilihat pada gambar Dari data - data yang didapatkan dari tahapan analisis, tahap perancangan ini akan membuat gambar rancangan topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran seutuhnya kebutuhan yang ada. pada tahap ini penulis membuat desain topologi dan sistem jaringan wireless Tahapan Simulasi Prototyping Tahapan ini bertujuan untuk melihat kinerja awal dari jaringan yang akan dibangun dan sebagai bahan pertimbangan. Sebelum jaringan benar benar akan diterapkan. Pada tahapan ini penulis melakukan simulasi protokol TTLS dalam network skala kecil, dimana pada tahap ini penulis dapat melihat dan meneliti apakah protokol TTLS yang akan diterapkan mengalami keberhasilan ataukah mengalami kegagalan. Dapat dilihat pada bab 4.4 yaitu melakukan simulasi instalasi freeradius Server,dan kemudian Instalasi sertifikat digital pada sisi server dan dilanjutkan dengan instalasi sertifikat digital pada sisi klien. kemudian konfigurasi eap, konfigurasi client, konfigurasi file user, dan yang terakhir kemudian konfigurasi pada Access Point. Selanjutnya melakukan pengujian / monitoring 3 parameter seperti di sampaikan pada sub bab 2, yaitu dengan mengamati kondisi reliability /

82 kehandalan sistem yang diimplementasikan. kemudian pengujian paket data di jaringan dari proses waktu otentikasi dari klien ke server, dan yang terakhir yaitu komunikasi secara umum, secara terpusat atau tersebar proses monitoring dapat dilihat pada lampiran Tahapan Penerapan (Implementation) Tahapan selanjutnya adalah implementasi, dimana hasil dari tahapan sebelumnya diimplementasikan. Proses implementasi yang dilakukan adalah instalasi dan konfigurasi terhadap rancangan topologi. Dapat dilihat pada bab 4.5 yaitu supplicant dan authenticator. Pada sisi authenticator, perangkat ini harus mengetahui alamat IP dari server RADIUS dan kombinasi shared secret yang digunakan untuk dapat berkomunikasi dengan server RADIUS tersebut Tahapan Pengawasan (Monitoring) Pada NDLC proses pengawasan merupakan tahapan yang penting, agar jaringan komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan tujuan awal dari user pada tahap awal analisis, maka perlu dilakukan kegiatan monitoring. Tahapan ini dapat dilihat pada bab 4.6 yaitu melakukan beberapa pengujian yang diantaranya pengujian keandalan sistem, kemudian pengujian paket data pada jaringan. Dari semua proses monitoring yang telah dilakukan dapat disimpulkan bahwa server dapat melayani klien tanpa adanya kendala dari infarstruktur hardware dan pengujian data yang ada Tahapan Pengaturan (Management) Tahapan ini memiliki fungsi untuk membuat / mengatur agar sistem yang telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsur reliability terjaga. Dapat dilihat pada bab 4.7 yaitu dilakukan 2 bagian yang pertama adalah User management

83 atau administrasi pengguna dan yang kedua adalah NAS management atau administrasi NAS (WLAN access point). 3.3 Mekanisme Kerja Penelitian Pendefinisian gambaran umum proses kerja penelitian skripsi. Penulis mendefinisikan dan merepresentasikan metode dan alur proses penelitian, elemen-elemen, beserta interkoneksinya satu sama lainnya yang penulis terapkan pada penelitian skripsi ini dengan menggunakan pendekatan terhadap model NDLC dengan menggunakan media diagram model proses berikut pada halaman 74:

84 Perencanaan Penelitian Skripsi Perumusan & Pendefinisian Masalah & Judul Penelitian Perumusan Metode Pengembangan Network Development Life Cycle Metode Pengumpulan Jenis Penelitian Penelitian Studi Analysis Observasi Wawanca Design Perancangan Topologi SDIF AL Perancangan Sistem Simulasi Prototyping Mempersiapkan Lingkungan Virtual Membangun Prototipe Simulasi Implementation Implementasi Topologi Jaringan Implementasi Sistem Pendukung Implementasi Skema IEEE EAP-TTLS Monitoring Pemantauan Management Pengelola Administarsi Perumusan Pengelola Perangkat RADIUS client Pembuatan

85 Gambar 3.2 Mekanisme Kerja Penelitian BAB IV ANALISIS DAN IMPLEMENTASI Pada bab ini, penulis akan menjelaskan proses pengembangan sistem keamanan jaringan dengan menerapkan protokol otentikasi EAP Tunneled TLS Authentication Protocol (EAP-TTLS), studi kasus kendali akses dan pengamanan pada jaringan wireless Sekolah Islam Fitrah Al Fikri Depok dengan menerapkan landasan teori dan metode penelitian yang sudah dibahas pada bab sebelumnya. Metode penelitian yang penulis gunakan adalah NDLC (Network Development Life- Cycle). Dengan NDLC, siklus pengembangan sistem jaringan didefinisikan pada jumlah fase berikut : analysis (analisis) design (perancangan), simulasi prototyping (prototipe simulasi), implementation (implementasi), monitoring (pengamatan), dan management (manajemen). 4.1 Analisa Metode pengembangan NDLC memulai siklus pengembangan sistem jaringan pada tahap analisis. Pada tahap ini dilakukan analisa dengan melakukan perbandingan komponenkomponen yang terdapat pada model yang bertujuan untuk penulis menggunakan teknologi tersebut dalam penelitian ini. Pada tahap ini pula penulis menganalisa serta menentukan komponen yang digunakan secara detail Analisa Kebutuhan Sistem Kemanan EAP-TTLS Keamanan dan kendali akses merupakan isu yang banyak dibahas ketika mengimplementasikan jaringan wireless. Beberapa solusi dikembangkan untuk memenuhi akan adanya jaringan wireless yang aman. Namun beberapa solusi tersebut kurang tepat bila digunakan untuk jaringan wireless yang memiliki pengguna dalam jumlah besar. Pada

86 infrastruktur jaringan seperti ini model pengamanan yang tepat adalah three-tier autentication model, yang terdiri dari tiga komponen yaitu : supplicant (wireless client), authenticator (wireless access point ) dan authentication server. Pada penelitian sebelumnya, Ali Mahrudi telah mengimplementasikan protokol kemanan IEEE 802.1X yang dintegrasikan dengan IEEE untuk mengamankan jaringan wireless di FST. Solusi ini menggunakan protokol otentikasi EAP-TLS. Protokol ini telah menjawab kebutuhan keamanan di FST. Namun, berdasarkan analisa penulis, protokol tersebut memiliki kesulitan pada fase implementasi. Hal ini dikarenakan, protokol EAP-TLS membutuhkan sertifikat digital pada dua sisi, yaitu di sisi klien dan sisi server. Hal ini akan menyulitkan pada tiga fase pengembangan jaringan, yaitu fase implementasi awal, administrasi pengguna dan pembuatan security policy atau kebijakan keamanan. Pada penelitian ini, penulis mengajukan protokol EAP-TTLS untuk menggantikan otentikasi pada sisi klien dengan menggunakan kombinasi username dan password. Dari sisi mobilitas, EAP-TTLS karena pengguna dapat mengakses menggunaan PC atau notebook lainnya untuk terkoneksi ke jaringan selama pengguna tersebut memiliki akun yang sah. Sedangkan EAP-TLS hanya dapat digunakan pada PC atau notebook pengguna yang telah terinstal sertifikat digital yang diberikan oleh network administrator. Perbandingan antara EAP TLS dan EAP-TTLS dapat dilihat pada tabel 4.1. Tabel 4.1 Perbandingan EAP-TLS dan EAP-TTLS Perbandingan EAP-TLS Spesifikasi RFC 2716 Client implementatio ns Cisco, Funk, Meetinghouse, Microsoft, Open1X (open source) Jenis Otentikasi EAP-TTLS Internet Draft 3 / 2003 Funk, Meetinghouse

87 Supported client platforms Authenticatio n server Implementati ons Authenticatio n methods Protocol operations Basic protocol structure Fast session reconnect Linux, Mac OS X,Windows 95/98/ME, Windows NT/2000/XP, Mac OS X Cisco ACS, Funk Odyssey, Interlink Secure.XS, Meetinghouse AEGIS, Microsoft IAS, FreeRADIUS X.509 Certifikat Only Sesi pembentukan jalur TLS dan validasi sertifikat client dan server Tidak Linux, MacOS X, Windows 95/98/ME, Windows NT/2000/XP Funk, Meetinghouse, Interlink CHAP, PAP, MS-CHAP, MS-CHAPv2, and EAP methods Terdapat dua fase : 1. pembent ukan jalur TLS antara client dan server TTLS 2. Exchan ge attribute value pairs between client and server Ya Standard Terbuka Terbuka Key Material Ya Ya Mutual Authentication Informasi Otentikasi Ya Supplicant : sertifikat Ya Supplicant : username-

88 Proteksi terhadap identitas pengguna Server : sertifikat Tidak passsword Server : sertifikat Ya Analisa Komponen-komponen Setelah menentukan protokol otentikasi user terpusat yang akan digunakan, yaitu jenis EAP-TTLS. Maka kegiatan selanjutnya adalah menganalisa dan menentukan komponen-komponen yang akan digunakan. Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat Sistem Sitem otentikasi user terpusat Keterangan Sistem otentikasi user terpusat berperan sebagai data atau daftar user dan administrator yang ada, yang diberikan izin akses ke sistem atau jaringan. Tabel 4.3 Spesifikasi Software No Software Versi Keterangan 1 Ubuntu Sistem operasi digunakan sebagai OS yang diinstall Ubuntu otentikasi untuk user terpusat. 2 Windows 7 7 Untuk sistem operasi client / user

89 3 Ubuntu Untuk sistem operasi komputer sniffer 4 FreeRADIUS Software yang digunakan untuk memberikan layanan dan pengolahan otentikasi/ hak akses user / pengguna 5 MySQL 5.1 Aplikasi yang digunakan menyimpan untuk dan mengelola database user secara terpusat 6 XAMPP Linux Sebagai web server 7 aircrack-ng 1.1 Software yang digunakan untuk uji coba serangan pada jaringan wireless 8 Wireshark Software yang digunakan untuk

90 meng-capture paket TTLS dan paket data yang ditransmisikan Merupakan web 9 DaloRADIUS based yang interface digunakan dalam manajemen user Berfungsi untuk mengawasi user 10 Cacti yang jaringan. memantau memakai dan beban pada server 11 Aerodam 1.1 Capture paket data jaringan 12 CommView Build Untuk Meng Capture trafik jaringan dari sisi klien dan sisi Server. Tabel 4.4 Spesifikasi Hardware No Perangkat Spesifikasi Jumlah Keterangan

91 1 Komputer Prosesor : 1 Digunakan sebagai server Server Core2Duo 2,2 GHz otentikasi terpusat AAA / RAM : 3 GB menggunakan RADIUS Harddisk : 250 GB FreeRADIUS, serta server LAN Card : manajemen dan Realtek RTL8168B WLAN Card : pengelolaan database user yang terpusat. 2 Access Atheros AR9285 WRT54GL 2 Sebagai access server / Point (AP) Prosesor : device yang Broadcom 200 MHz menghantarkan paket EAP antara client dan server otentikasi RAM : 16 MB Flash : 4 MB 4 Komputer Prossesor : Digunakan sebagai Client Core2Duo T5800 komputer client yang 2,0GHz RAM : 1 GB Harddisk : 250 GB WLAN card : Broadcom g Fungsi : client terotentikasi 1 terotentikasi dan memiliki hak akses. 5 Komputer Prossesor : Intel Digunakan sebagai

92 Penyadap Core Duo T2250 komputer / pengguna yang 1.6GHz RAM : 1 GB DDR2 Harddisk : 120 GB WLAN card : Integrated b/g 1 tidak terotentikasi / sniffer Analisa Mekanisme EAP-TTLS Proses otentikasi protokol EAP-TLS dan protokol TTLS MSCHAPv2 memiliki beberapa tahapan yang sama, tahapan tersebut yaitu pada saat terjadinya pembentukan jalur komunikasi dengan menggunakan tranport layer security (TLS). TTLS dalam fase awal pembentukan jalur komunikasinya menggunakan handshake protocol, dimana handshake protocol merupakan bagian dari proses pembentukan jalur protokol TLS. Berikut adalah mekanisme TTLS :

93 Gambar 4.1 Proses Otentikasi TTLS MSCHAPv2 Proses otentikasi TTLS terjadi dalam dua tahapan : 1. Fase pertama menggunakan EAP dan jenis TTLS EAP untuk membuat sebuah channel TLS. 2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk mengotentikasi akses ke jaringan. dalam hal ini EAP yang digunakan adalah MSCHAPv2.

94 Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan perangkat access point yang memanfaatkan RADIUS server untuk melakukan proses transaksi paket paket TTLS-MSCHAPv2 sebagai berikut : Pembuatan channel TLS : 1. Asosiasi dan Meminta Identitas Ketika sebuah client wireless berasosiasi dengan access point, client akan mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point memproeses penerimaan pesan EAP-start, access point akan mengirimkan sebuah pesan EAP- Request/Identity ke client wireless. 2. EAP-Response/Identity Jika tidak terdapat user yang logon melalui client wireless, access point akan mengirimkan sebuah EAP-Response/identity yang berisi nama komputer. Untuk client windows yang dikirim berupa FQDN (Fully Qualified Domain Named) dari account komputer. Jika terdapat user yang logon, access point akan mengirimkan EAP-Response identity yang berisi username. Dalam proses TTLS, username yang dikirimkan berupa anonim. Access Point akan melewatkan pesan Response/identity ke server RADIUS dalam bentuk RADIUS access request. Berikut hasil capture paket ini dengan menggunakan tools wireshark. Gambar 4.2 Capture paket EAP Response Identity Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client, berisi anonim dengan panjang paket 11 byte.

95 3. EAP-request dari Server RADIUS (TLS dimulai) Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi sebuah pesan EAP-request dengan jenis EAP yang digunakan pada proses TLS, permintaan ini menunjukkan bahwa proses otentikasi TLS dimulai. Gambar 4.3 Capture Paket EAP Request-TLS start Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server otentikasi, yang menandakan bahwa fase TLS dimulai. Tipe otentikasi yang digunakan adalah TTLS. Panjang paket ini adalah 6 byte. 4. EAP-Response dari Client wireless (paket Hello TLS client) Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP yang digunakan, hal ini dikenal dengan proses pengiriman paket hello TLS. Access Point akan melewatkan pesan EAP ke server RADIUS dalam bentuk pesan RADIUS access-request. Berikut hasil capture paket hello TLS client.

96 Gambar 4.4 Capture Paket Hello-TLS client Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client, berisi paket client hello. Paket ini membawa atribut : random session ID, cipher suites, metode compression. dengan panjang paket 116 byte. 5. EAP request dari Server RADIUS (sertifikat milik RADIUS) Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi pesan EAP request dengan jenis EAP yang digunakan pada TTLS dan berisi rangkaian server hello, sertifikat dari RADIUS server, dan pesan server hello done. Access point melewatkan pesan EAP ke client. Berikut hasil capture paket sertifikat server.

97 Gambar 4.5 Capture Paket EAP Request Sertifikat Server Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server, berisi paket server certificate dan paket server hello done. panjang paket ini adalah 1024 byte. 6. EAP-Response dari client wireless Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat dari client wireless. Access point melewatkan pesan EAP tersebut ke server RADIUS. Pada TTLS sertifikat pada sisi client tidak dikirim. Selanjutnya paket yang akan dikirim adalah client key exchange dan change cipher spec. berikut hasil capture paket tersebut.

98 Gambar 4.6 Capture Paket EAP Response-Client Key Exchange Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client, berisi paket client key exchange dan paket change cipher spec. panjang paket ini adalah 336 byte. 7. EAP-Request dari server RADIUS (bentuk cipher, TLS lengkap) RADIUS mengirimkan sebuah pesan RADIUS access challenge / paket EAP request yang berisi sebuah pesan EAP request yang berisi cipher suite dan sebuah indikasi yang menyatakan pertukaran pesan pada otentikasi TLS telah selesai dilakukan. Access point melewatkan pesan EAP ke client. Gambar 4.7 Capture Paket EAP Request Change Cipher Spec TLS complete

99 Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server, berisi paket change cipher. panjang paket ini adalah 65 byte. Server 8. EAP-Success dari server RADIUS Server RADIUS memperoleh unicast session key dari proses otentikasi TLS. Pada fase ini jalur TLS telah terbentuk dan siap digunakan untuk fase selanjutnya. Diakhir negosiasi TTLS, server RADIUS mengotentikasi dirinya ke client. Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS dengan menggunakan public key, dan bukan password. Semua rangkaian pesan EAP dikirim diantara client dan server RADIUS secara terenkripsi. Setelah jalur TTLS-TLS dibuat, langkah berikut yang digunakan untuk mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2. Otentikasi menggunakan MSCHAPv2 : Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara clear text, karena paket paket tersebut sudah berada pada jalur TLS yang terenkripsi. 1. Server RADIUS mengirimkan pesan EAP-request / identity Gambar 4.8 Capture Paket EAP-Request Identity EAP-MS-CHAP v2

100 2. Client merespon dengan pesan EAP-Response / identity yang berisi identitas (nama user/nama komputer) dari client Gambar 4.9 Capture Paket EAP-Response Identity EAP-MS-CHAP v2 3. Server RADIUS mengirimkan sebuah EAP-request /EAP-ms-chap v2 challenge yang berisi serangkaian string challenge Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge 4. Client merespon dengan pesan EAP-response/EAP-ms-chap v2 Response yang berisi Response (jawaban) string challenge untuk server RADIUS Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response

101 5. Server RADIUS menerima pesan EAP request/ EAP-ms-chap v2 success. Yang mengindikasikan jawaban dari client adalah benar dan berisi response challenge string ke client Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success 6. Client merespon dengan pesan EAP response/eap-ms-chap v2 ack, mengindikasikan bahwa respon dari server RADIUS adalah benar. Gambar 4.13 Capture Paket EAP response/eap-ms-chap v2 ack 7. Server RADIUS mengirimkan sebuah pesan EAP success Gambar 4.14 Capture Paket EAP Success Akhir dari proses saling mengotentikasi ini adalah client dan server RADIUS dapat membuktikan kebenaran password yang digunakan dan pertukaran terjadi didalam jalur yang terenkripsi oleh jalur TLS.

102 Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci MK (master session key) Kunci MK akan menghasilkan kunci PMK yang akan berubah secara dinamis yang akan di gunakan bersama oleh access point dan client pada proses enkripsi WPA dalam metransmisikan data nya. Proses distribusi kunci ini disebut 4 way handshake. Performa TTLS dipengaruhi dengan jumlah transaksi pengiriman pesan EAP Request dan EAP response, jumlah transaksi ini terdiri dari beberapa round-trip. Round-trip adalah jumlah satu kali paket request dan paket response antara supplicant dan server TTLS. Berikut adalah data paket paket TTLS dalam satu kali proses otentikasinya. Urutan Pesan Sumber Tabel 4.5 Ukuran Pesan EAP dan Waktu Proses Nama Pesan TTLS MSCHAPv2 Ukuran Total Paket Waktu (byte) (milisecond) 1. Client Identity Server TTLS-start Client Client Hello server-hello 4. Server 2.certificate 3. server key exchange 3.server hello done Client Response-TTLS version Server-hello 6. Server 2.certificate 3. server key exchange 3.server hello done Client 1. client key exchange

103 8. server 2. change cipher spec 3. encrypted handshake message 1. change cipher spec 2. encrypted handshake message Client Resonse-type server 11. client 12. Server 13. Client 14. Server 15. Client 16. Server 17. Client Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Encrypted Application data Server EAP-Success Total Client

104 Server Design (Perancangan) Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan spesfikasi rancangan sistem yang akan dibangun. Penulis membagi proses perancangan menjadi : Perancangan Topologi Pada tahap ini, penulis menentukan topologi dari simulasi dari penerapan protokol TTLS yang akan dibangun dan mendefinisikan parameter parameter konfigurasi yang dibutuhkan untuk menjamin sistem keamanan jaringan yang akan dibangun dapat berjalan dengan baik. Pada tahap ini dirancang suatu skema implementasi infrastruktur TTLS- MSCHAPv2 dengan hasil sebagai berikut : Client 1 AP 1 Client 2 AP 2 DB Server Client 3 AP 3 FR Server internet Gambar 4.15 Perancangan Topologi TTLS Rincian keterangan dari gambar rancangan topologi sistem jaringan wireless diatas adalah sebagai berikut : 1. jenis topologi yang diterapkan adalah mode jaringan wireless infrastruktur

105 2. seluruh alamat IP client dan access point yang digunakan menggunakan kelas C (subnet-mask ); direpresentasikan dengan format Classless Inter- Domain Routing (disingkat menjadi CIDR) (/24). 3. pada segmen jaringan terdapat : a. Client : mendefinisikan client dari WLAN internal. b. Server : mendefinisikan dan merepresentasikan mesin server pada sistem jaringan komputer c. Access point (AP) : mendefinisikan sebagai device yang menjadi perantara antara komunikasi berbasis kabel dan udara Hasil dari pembangunan sistem ini adalah sistem keamanan jaringan wireless yang secure dan mudah untuk di implementasikan serta sistem ini dapat melakukan proses otentikasi secara terdistribusi. Penggunaan sertifikat digital pada sisi client pada protokol EAP-TLS dirubah dengan menggunakan kombinasi username dan password. Topologi TTLS yang dirancang ini akan diimplementasikan pada jaringan Wireless Sekolah Islam AL Fikri. Berikut adalah topologi jaringan wireless Sekolah Islam AL Fikri saat ini :

106 Gambar 4.16 Topologi Jaringan Wireless Sekolah Islam Al Fikri Secara umum jaringan SIF Al Fikri menggunakan pemodelan Topologi Extended Star (Extended Star Topology) yaitu. Merupakan perkembangan dari topologi star. Memiliki beberapa titik yang terhubung ke satu titik utama Pada Sekolah Islam Fitrah AL Fikri, Jaringan WLAN diterapkan pada 2 Gedung berbeda, yaitu Gedung Ibnu Sina lantai 1 dengan akses point berjumlah 1 buah AP, lantai 2 dengan akses point berjumlah 1 buah AP dan Gedung Ibnu Kholdun lantai 1 dengan akses point berjumlah 1 buah AP, lantai 3 dengan akses point berjumlah 1 buah AP. Masing masing akses point seluruhnya dihubungkan kedalam jaringan LAN dan dikonfigurasikan didalam Ruang IT Sekolah. Sedangkan pada sisi client di set dengan menggunakan IP dinamis / DHCP dengan IP kelas C. Berikut penggunaan IP untuk masing masing akses point. Tabel 4.6 Alamat IP Jaringan Wireless SIF AL Fikri Depok

107 No Lokasi Lokasi Kelas IP IP Address 1 AP Lantai 1 Gedung Ibnu Sina Ruang IT C x.x 2 AP Lantai 2 Gedung Ibnu Sina Ruang Guru SMP C x.x 3 AP Lantai 1 Gedung Ibnu Kholdun Ruang Guru SD C x.x 4 AP Lantai 3 Gedung Ibnu Kholdun Ruang Learning Support Center C x.x 5 Client Mobile Lantai 1 Gedung Ibnu Sina C Range : Lantai 2,3 Range: Client Mobile Gedung Ibnu C Sina Lantai 1,2 Range: Client Mobile Gedung Ibnu C Kholdun Lantai 3 Range: Client Mobile Gedung Ibnu C Kholdun Perancangan sistem

108 Setelah rancangan topologi jaringan dibuat, langkah selanjutnya adalah membuat rancangan sistem sistem baru yang akan dibangun dan diimplementasikan, yang akan menjadi solusi berbagai rumusan permasalahan. Penulis menggunakan diagram alur untuk menggambarkan dan mendefinisikan alur koneksi fungsionalitas sistem yang akan penulis bangun, sehingga dapat dengan jelas diidentifikasi dan dipahami dengan lebih mudah. Gambar 4.17 menspesifikasikan diagram alur dari sistem otentikasi TTLS MSCHAPv2. Gambar 4.17 Sistem TTLS Keterangan dari simbol simbol diatas adalah sebagai berikut : Tabel 4.7 keterangan simbol diagram alur Model Simbol Keterangan Terminal Mendefinisikan awal atau akhir proses

109 Manual input Process, report Mendefinisikan input data secara manual Mendefinisikan suatu kegiatan yang terjadi atau hasil dari kegiatan tersebut. Mendefinisikan kondisi pilihan dari decision sejumlah kemungkinan dari suatu proses tertentu Mendefinisikan data yang tersimpan pada suatu sistem atau media Stored data penyimpana, untuk nantinya dapat dimanfaatkan oleh proses atau sistem lain Display Mendefinisikan output dalam layar / display Sequence Urutan terjadinya proses-proses Diagram alur diatas dapat dijelaskan sebagai berikut : 1. Saat client ingin bergabung dan masuk kedalam jaringan, client diwajibkan untuk melakukan input kombinasi username dan password. 2. Data username dan password tersebut akan diterima oleh access point, oleh access point data tersebut tidak diproses oleh AP melainkan di-forward ke server otentikasi. 3. Oleh server otentikasi, data username dan password tersebut dicocokkan dengan data username dan password yang tersimpan didalam database nya

110 4. Jika ditemukan kecocokan data, maka server otentikasi akan mengirimkan paket RADIUS access accept. Paket ini selanjutnya dikirimkan ke access point. 5. Namun jika tidak ditemukan kecocokan, maka server otentikasi mengirimkan paket RADIUS access reject. Paket ini selanjutnya juga akan dikirimkan ke access point. 6. Oleh access point paket yang diterima dari server otentikasi akan diproses untuk memutuskan apakah client dapat terkoneksi dan bergabung kedalam jaringan ataukah tidak. Jika paket yang diterima oleh access point adalah access accept. Maka AP akan memberikan hak akses kepada client untuk masuk kedalam jaringan. 7. Jika paket yang diterima oleh AP dari server otentikasi adalah paket RADIUS access reject. Maka AP akan memblok dan meminta input username dan password kembali kepada client. 4.4 Simulation Prototyping (Prototipe Simulasi) Pada tahap ini penulis membangun prototipe dari sistem baru yang akan dibangun dan diimplementasikan pada lingkungan WLAN dengan menggunakan server virtual pada lingkungan virtual. Simulation prototyping mendemonstrasikan fungsionalitas sistem yang akan dibangun. Penulis menggunakan Virtual Box versi r59338 untuk memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan prototipe (lampiran 1 s/d 7). Hasil pengujian monitoring secara simulasi dapat dilihat pada lampiran Implementasi

111 Setelah selesai melakukan tahapan simulasi, penulis kemudian mengimplementasikan solusi ini pada perangkat yang sebenarnya. Pengaturan yang dilakukan adalah pada dua komponen yaitu supplicant dan authenticator. Pada sisi authenticator, perangkat ini harus mengetahui alamat IP dari server RADIUS dan kombinasi shared secret yang digunakan untuk dapat berkomunikasi dengan server RADIUS tersebut. Sedangkan pada sisi supplicant, perangkat ini terlebih dahulu diinstall sertifikat digital untuk CA atau sertifikat digital dari server RADIUS. Hal ini bertujuan, agar supplicant terhindar dari serangan rogue access point dan rogue RADIUS server, sehingga informasi username dan password pengguna tidak jatuh ke pihak yang tidak sah. Sertifikat digital ini memastikan bahwa supplicant terkoneksi dan melakukan otentikasi ke server RADIUS yang sebenarnya. Mekanisme ini juga disebut dengan server authentication. Setelah konfigurasi pada supplicant dan authenticator selesai dilakukan, maka pengguna telah dapat mengakses jaringan wireless menggunakan akunnya masingmasing. Adapun tampilan yang akan terdapat pada sisi pengguna adalah seperti yang terlihat pada gambar 4.21 (windows 7), gambar 4.22 (windows XP), dan gambar 4.23 (ubuntu 10.10). Gambar 4.21 tampilan input username dan password pada sisi client windows 7

112 Gambar 4.22 tampilan input username dan password pada sisi client windows XP Gambar 4.23 tampilan input username dan password pada sisi client Ubuntu desktop Proses implementasi meliputi beberapa tahap-tahapan berikut ini: Instalasi Server RADIUS Server RADIUS merupakan server AAA yang bertugas untuk menangani proses otentikasi, otorisasi, dan accounting. Dalam penelitian kali ini, penulis mengimplementasikan server RADIUS dengan menggunakan aplikasi FreeRADIUS. Berikut perintah untuk

113 menginstal aplikasi freeradius. Tahapan instalasi freeradius secara lengkap dapat dilihat pada halaman lampiran 1. apt-get update apt-get install freeradius Aplikasi freeradius berbasis command-line, semua perintah dan konfigurasi aplikasi ini berbasis teks. Berikut perintah untuk mengaktifkan aplikasi ini : freeradius start Untuk menjalankan freeradius dalam mode debug : freeradius X Saat mode debug, freeradius siap digunakan setelah menyatakan ready to process request, berikut tampilan nya : Gambar 4.24 mode debug freeradius Pembuatan Sertifikat Digital Sertifikat ini nantinya akan didistribusikan kepada setiap client yang terdaftar untuk melakukan koneksi kedalam jaringan. Hal ini bertujuan, agar supplicant terhindar dari serangan rogue access point dan rogue RADIUS server. sertifikat yang dibuat adalah sertfikat CA, sertifikat ini akan didistribusikan kepada para masing masing pengguna/client. Berikut konfigurasi pembuatan certifkat. Selengkapnya dapat dilihat pada Lampiran 2. mkdir CA mkdir CA/signed_certs mkdir CA/private chmod 700 CA/private cp /etc/ssl/openssl.cnf /home/radius/ca/

114 nano /home/arief/ca/openssl.cnf dir certs = /home/radius/ca = $dir/ new_certs_dir = $dir/signed_certs Konfigurasi Server RADIUS setelah menginstall aplikasi freeradius, terdapat file konfigurasi yang di akan di setting, yaitu : a. Konfigurasi eap.conf Bertujuan untuk mengaktifkan protokol EAP, Selengkapnya dapat dilihat pada Lampiran 3. berikut settingannya : nano EAP.conf Selanjutnya menyesuaikan data berikut : TLS { certdir = /home/radius/ca2 [arahkan ke dir CA] cadir = /home/radius/ca private_key_password = qwerty private_key_file = ${certdir}server_key.pem CA_file = ${cadir}/cacert.pem dh_file = ${certdir}/dh [diffie halffman] random_file = ${certdir}/random } } b. Konfigurasi sql.conf

115 Melakukan setting dan konfigurasi database, berikut settinganya : sql { database = "mysql" driver = "rlm_sql_${database}" server = "localhost" port = 3306 login = "radius" password = "radpass" radius_db = "radiusdb" acct_table1 = "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" usergroup_table = "radusergroup" sqltrace = no sqltracefile = ${logdir}/sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 lifetime = 0 nas_table = "nas" $INCLUDE sql/${database}/dialup.conf }

116 c. Konfigurasi clients.conf file ini bertujuan untuk melakukan konfigurasi berupa penambahan maupun pengurangan client baru, yang dimaksud client disini adalah Access point. client { secret = testing123 shortname = simulator nastype = other } Konfigurasi Access Point Pada Access point dilakukan Setting alamat IP, mengubah security mode menjadi WPA enterprise dan setting nama SSID. Selengkapnya dapat dilihat pada Lampiran Instalasi Sertifikat CA pada Client Tahapan instalasi ini dapat dilihat selengkapnya pada Lampiran Instalasi Database Server Aplikasi database server yang digunakan adalah MYSQL, berikut adalah perintah untuk melakukan instalasi database MYSQL, lebih lengkapnya dapat dilihat pada lampiran x. apt-get update apt-get install mysql-server Konfigurasi Database Server database. Konfigurasi database menggunakan phpmyadmin, berikut screenshot konfigurasi

117 Gambar 4.25 Konfigurasi database dengan phpmyadmin 4.6 Monitoring (Pengawasan) Pada tahapan ini penulis melakukan pegujian keandalaan sistem dengan melihat performa dari sisi server ketika melakukan otentikasi dari sisi klien, dapat dilihat pada gambar 4.26 Gambar 4.26 Perbandingan Performa Server berdasarkan jumlah request otentikasi Pengujian realibility (keandalan sistem) Untuk Membuktikan sistem otentikasi aman dimana data yang ditransmisikan terenkripsi maka penulis melakukan pengujian dengan menggunakan tools Aerodam 1.1. berbasis linux. Tools ini biasanya digunakan dengan melakukan scanning untuk mengetahui alamat SSID, jenis otentikasi dan enkripsi yang digunakan, serta channel yang dipakai pada jaringan wireless. Setelah dilakukan scanning selanjutnya paket hasil

118 scanning tersebut di buka dengan menggunakan tools wireshark. Tools wireshark digunakan untuk melihat secara detail suatu paket data yang di transmisikan pada jaringan. Pertama-tama dengan mensetting Access Point dengan SSID black_usb, Gambar 4.27 Konfigurasi AP SSID black_usb Pada tahap kedua alamat IP diset dengan IP , RADIUS server dengan IP , client dan sniffer pada AP black_usb di setting dengan mode security WPA enterprise, WPA alghoritm AES, RADIUS port 1812, dan shared secret testing123. Gambar 4.28 Konfigurasi Security mode WPA enterprise Dikondisika n AP dengan SSID black_usb telah aktif,

119 client mengirimkan paket ping ke server. Komputer sniffer selanjutnya melakukan scanning dan Capture paket yang terdapat didalam jaringan nirkabel. Berikut hasil Capture dari scanning dengan menggunakan Aerodam 1.1 Gambar 4.31 scanning status AP black_usb T erlihat pada SSID black_us b menggunakan channel wlan 11, nilai AUTH adalah MGT, nilai MGT bermakna menggunakan server RADIUS untuk proses otentikasinya. cipher nya adalah CCMP dan data enkripsi bernilai WPA. Berikut hasil interface paket data yang dicapture tersebut : Gambar 4.29 Capture paket data pada AP black_usb Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada jaringan WLAN yang menggunakan WPA Enterprise data tersebut telah terenkripsi. Berdasarkan hasil ini terbukti bahwa dengan menggunakan WPA Enterprise (TTLS), dapat mengamankan paket paket data yang ditransmisikan

120 4.6.2 Pengujian paket data jaringan. Pada tahap ini dilakukan dengan melakukan pengujian paket data yang pada jaringan ada, dengan melihat dari sisi waktu dan paket otentikasi dan proses pingiriman pesan dari klien ke server. dapat dilihat pada gambar Gambar 4.30 Jumlah paket authentication request Pada gambar diatas terlihat bahwa sistem memproses paket authentication request rata-rata 3 paket/detik dengan nilai maksimum adalah 7 paket/detik. Dengan total paket authentication Response 3 paket/detik dan nilai maksimum 7 paket perdetik. Akses yang ditolak sebanyak 2 paket authentication dan nilai maksimum 4 paket / detik Gambar 4.31 Jumlah paket accounting request Pada gambar diatas terlihat bahwa sistem memproses paket accounting request ratarata 4 paket/detik dan nilai maksimum adalah 10 paket/detik. Begitu pula pada proses accounting response, rata-rata 4 paket /detik dan nilai maksimum 10 paket/detik.

121 Dari semua proses monitoring yang telah dilakukan dapat disimpulkan bahwa server dapat melayani klien tanpa adanya kendala dari infarstruktur hardware dan pengujian data yang ada. 4.7 Management (Manajemen) Pada tahap ini penulis hanya melakukan manajemen user dan perangkat jaringan wireless yang telah diterapkan. Administrasi yang dilakukan dibagi menjadi dua bagian, yaitu: 1. User management atau administrasi pengguna 2. NAS management atau administrasi NAS (WLAN access point) Pada bagian user management, sysadmin dapat melakukan beberapa konfigurasi, yaitu penambahan pengguna baru, menghapus dan mengubah informasi pengguna. Gambar 4.32 manajemen akun pengguna Sedangkan pada bagian NAS management, dalo radius dapat menambahkan accses point yang dapat berkomunikasi dengan server RADIUS. Gambar 4.33 manajemen access point

122 BAB V KESIMPULAN DAN SARAN 5.1 Kesimpulan Kesimpulan dari penelitian yang telah penulis lakukan adalah sebagai berikut: 1. Penerapan Protokol Tunneleed TLS EAP (TTLS-EAP) dapat digunakan untuk menangani protokol otentikasi pada jaringan wireless serta mudah pada sisi administrasinya dapat dilihat pada gambar Penerapan RADIUS Server dengan menggunakan tambahan protokol EAP-TTLS pada jaringan wireless. 3. Dengan otentikasi user terpusat memudahkan administrator dan user atau pengguna baik dalam mengatur dan menggunakan sumber daya jaringan. dapat dilihat pada gambar 4.29 dan gambar Saran Saran dari penulis untuk pengembangan penelitian selanjutnya yang berkaitan dengan sistem otentikasi terpusat dengan TTLS-EAP ini yaitu: 1. Kinerja protokol EAP-TTLS dipengaruhi oleh spesifikasi hardware yang digunakan. Untuk jumlah pengguna yang semakin bertambah dan meningkat, kedepan diperlukan suatu mekanisme load balancing, dengan sistem load balancing pembagian beban dan kinerja server otentikasi dibagi secara merata ke beberapa server yang ada sehingga dapat mempertahankan Quality of Service dari jaringan tersebut. 2. Hasil dari penelitian ini dapat dilanjutkan dengan melakukan analisa pada fitur reauthentication pada protokol EAP-TTLS MSCHAPv2. Fitur re-authentication

123 merupakan fitur untuk mengurangi waktu yang diperlukan untuk menyelesaikan proses otentikasi. 3. Dari proses penelitian yang dilakukan otentikasi user terpusat ini masih tergolong sederhana. Penulis menyarankan bagi yang ingin meneliti lebih dalam lagi, mengerti sedikit tentang linux / open source dan konsep EAP-TTLS.

124 DAFTAR PUSTAKA Arifin, Zaenal Sistem Pengamanan Jaringan Wireless LAN berbasis Protokol 802.1x & Sertifikat. Yogyakarta : Andi. Ariyus, Dony Computer Security. Yogyakarta : Andi. Burnett Steve, Stephene Paine RSA Security s Official Guide to Cryptography. California : RSA Press. Gast, Matthew. TTLS and PEAP Comparison. [Online] Tersedia : [5 November 2010]. Charles M. Kozierok. TCP/IP Guide. [Online] tersedia : [3 Agustus 2010]. Goldman, James E. Rawles, Philip T Applied Data Communication : a business Oriented Approach 3 rd edition. New York : Wiley John and Sons Inc. Hantoro, Gunandi Dwi WiFi (Wireless LAN) Jaringan Komputer Tanpa Kabel. Bandung : Informatika. Hartono, Jogiyanto, MBA, PhD Pengenalan Komputer. Yogyakarta : Andi Hassel, Jonathan RADIUS. Cambridge, Massachusetts : O'Reilly Media. Internet Draft. EAP-TTLS Version 2 [Online] : [25 Agustus 2010]. Madjid Nakhjiri, Mahsa Nakhjiri AAA and Network Security for Mobile Access RADIUS, DIAMETER, EAP, PKI AND IP Mobility. Chichester : John Wiley & Sons Ltd. Nazir, Moh Metode Penelitian. Bogor : Ghalia Indonesia

125 Reid, Neil Wireless Mobility the Way of Wireless. New York : McGraw-Hill Companies. Reza Fuad R. Standar IEEE 802.1x Teori dan Implementasi. [online] tersedia : [1 Agustus 2010]. RFC PPP EAP TLS Authentication Protocol. [Online] tersedia : [25 Agustus 2010]. RFC Microsoft PPP CHAP Extensions, Version 2. [online] tersedia : [25 Agustus 2010 ]. RFC Extensible Authentication Protocol (EAP). [Online] tersedia : [25 Agustus 2010]. RFC Extensible Authentication Protocol (EAP) Method Requirements for Wireless LANs. [Online] tersedia : [25 Agustus 2010] Setiawan, Deris Fundamental Internetworking Development & design Life Cycle. [online] tersedia : network_development_cycles.pdf [29 Juli 2010]. Tim Penelitian dan Pengembangan Wahana Komputer Kamus Lengkap Jaringan Komputer. Semarang : Salemba Infotek. Yadi, Ilman Zuhri, Yesi Novaria Kunang. Keamanan Wireless LAN : Teknik Pengamannan Access Point. [online] tersedia : Yessi-Wireless-LAN.pdf [28 Juli 2010].

126 Lampiran 1. Instalasi FreeRADIUS Server 1. Hal pertama yang dilakukan adalah melakukan update repository database package ubuntu. masuk sebagai root kemudian ketik : apt-get update 2. perintah untuk proses instalasi freeradius: root@ns1:/home/vpnserver apt-get install freeradius

127 3. untuk proses instalasi RADIUS server dengan dukungan EAP, maka paket yang digunakan harus dibuat sendiri, tidak bisa dari repository ubuntu. Oleh karena akan dibuat built environment sendiri. Apt-get install build-essential 4. Setelah proses install build environemt selesai Maka kita selanjutnya mengunduh paket source freeradius dengan perintah berikut: wget 1ubuntu1.dsc wget

128 wget 1ubuntu1.diff. 5. selanjutnya mengekstrak paket tar.gz pada paket paket freeradius yang telah di download tadi dengan perintah : dpkg-source -x *.dsc $ cd freeradius $ dpkg-buildpackage rfakeroot 6. Cek repository dependencies yang diperlukan agar freeradius dapat berjalan dengan normal : nano debian/control 7. selanjutnya Perintah untuk menginstal semua software dependencies agar freeradius dapat berjalan dengan normal : apt-get install quilt autotools-dev libtool libltdl3-dev libpam0g-dev libmysqlclient-dev libgdbm-dev libldap2-dev libiodbc2-dev libkrb5-dev libperl-dev libsnmp-dev libpq-dev libssldev python-dev libpcap-dev debhelper ssl-cert

129 8. selanjutnya meng-compile seluruh source code menjadi deb dengan perintah berikut : sudo dpkg buildpackage sudo dpkg i libfreeradius2*.deb sudo dpkg i freeradius-common*.deb sudo dpkg i freeradius_2*.deb 121 apt-get install libltdl7 apt-get install libper15.10 apt-get install ssl-cert

130 Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server Masuk ke root dengan mengetik sudo su masukkan password root nya Buat folder baru dengan mengetik : ~ $ mkdir CA ~ $ mkdir CA/signed_certs ~ $ mkdir CA/private ~ $ chmod 700 CA/private Lakukan copy file openssl.conf ke yang dipilih ~ $ cp /etc/ssl/openssl.cnf /home/radius/ca/ Buka file konfigurasi open ssl yang telah di-copy sebelumnya : nano /home/radius/ca/openssl.cnf Ubah settingan pada file tersebut sebagai berikut 35 [ CA_default ] dir = /home/radius/ca Where everything is kept 38 certs = $dir/ Where the issued certs are kept 39 crl_dir = $dir/crl Where the issued crl are kept 40 database = $dir/index.txt database index file. 41 unique_subject = no Set to 'no' to allow creation of 42 several ctificates with same subject. 43 new_certs_dir = $dir/signed_certs default place for new certs certificate = $dir/cacert.pem The CA certificate

131 46 serial = $dir/serial The current serial number 47 crlnumber = $dir/crlnumber the current crl number 48 must be commented out to leave a V1 CRL 49 crl = $dir/crl.pem The current CRL 50 private_key = $dir/private/cakey.pem The private key 51 RANDFILE = $dir/private/.rand private random number file x509_extensions = usr_cert The extentions to add to the cert Tambahkan konfigurasi pada file openssl.cnf dengan (baris paling bawah) 316 Windows XP TLS Extenstions 317 [ xpclient_ext ] 318 extendedkeyusage= [ xpserver_ext ] 320 extendedkeyusage= Berikut perintah untuk membuat sertifikat CA : ~/CA $ openssl req -new -keyout private/cakey.pem -out careq.pem -config./openssl.cnf Masukkan password / kunci private CA. kunci ini nantinya akan digunakan untuk konfirmasi setiap sertifikat yang akan diterbitkan oleh CA Selanjutnya, buat sertifikat CA, isi dengan data berikut : Buat index.txt pada didalam dir CA

132 touch index.txt Perintah untuk menandatangani Certifikat digital yang dibuat : ~/CA $ openssl ca -create_serial -out cacert.pem keyfile private/cakey.pem - selfsign -extensions v3_ca -config./openssl.cnf -in careq.pem Perintah untuk mengubah file.pem ke.der (file.der agar sertifikat CA yang dibuat dapat di-import ke sistem operasi berbasis windows). ~/CA $ openssl x509 -inform PEM -outform DER -in cacert.pem -out cacert.der Membuat sertifikat server untuk RADIUS server :

133 ~/CA $ openssl req -new -config./openssl.cnf -keyout server_key.pem -out server_req.pem Selanjutnya sertifikat server tersebut ditandatangi dulu oleh CA dengan perintah berikut : CA $ openssl ca -config./openssl.cnf -in server_req.pem -out server_cert.pem

134 Buat parameter 1024-bit Diffie-Hellman dengan perintah : ( pada folder CA) openssl dhparam -out dh 1024 dd if=/dev/urandom of=random count=2

135 Lampiran 3. Konfigurasi eap.conf -*- text -*- eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.) $Id$ Whatever you do, do NOT set 'Auth-Type := EAP'. The server is smart enough to figure this out on its own. The most common side effect of setting 'Auth-Type := EAP' is that the users then cannot use ANY other authentication method. EAP types NOT listed here may be supported via the "eap2" module. See experimental.conf for documentation. eap { Invoke the default supported EAP type when EAP-Identity response is received. The incoming EAP messages DO NOT specify which EAP type they will be using, so it MUST be set here. For now, only one default EAP type may be used at a time.

136 If the EAP-Type attribute is set by another module, then that EAP type takes precedence over the default type configured here. default_eap_type = ttls A list is maintained to correlate EAP-Response packets with EAP-Request packets. After a configurable length of time, entries in the list expire, and are deleted. timer_expire = 60 There are many EAP types, but the server has support for only a limited subset. If the server receives a request for an EAP type it does not support, then it normally rejects the request. By setting this configuration to "yes", you can tell the server to instead keep processing the request. Another module MUST then be configured to proxy the request to another RADIUS server which supports that EAP type. If another module is NOT configured to handle the request, then the request will still end up being rejected. ignore_unknown_eap_types = no Cisco AP1230B firmware 12.2(13)JA1 has a bug. When given

137 a User-Name attribute in an Access-Accept, it copies one more byte than it should. We can work around it by configurably adding an extra zero byte. cisco_accounting_username_bug = no Help prevent DoS attacks by limiting the number of sessions that the server is tracking. Most systems can handle ~30 EAP sessions/s, so the default limit of 4096 should be OK. max_sessions = 4096 Supported EAP-types We do NOT recommend using EAP-MD5 authentication for wireless connections. It is insecure, and does not provide for dynamic WEP keys. md5 { } Cisco LEAP We do not recommend using LEAP in new deployments. See:

138 Cisco LEAP uses the MS-CHAP algorithm (but not the MS-CHAP attributes) to perform it's authentication. As a result, LEAP *requires* access to the plain-text User-Password, or the NT-Password attributes. 'System' authentication is impossible with LEAP. leap { } Generic Token Card. Currently, this is only permitted inside of EAP-TTLS, or EAP-PEAP. The module "challenges" the user with text, and the response from the user is taken to be the User-Password. Proxying the tunneled EAP-GTC session is a bad idea, the users password will go over the wire in plain-text, for anyone to see. gtc { The default challenge, which many clients ignore.. challenge = "Password: "

139 The plain-text response which comes back is put into a User-Password attribute, and passed to another module for authentication. This allows the EAP-GTC response to be checked against plain-text, or crypt'd passwords. If you say "Local" instead of "PAP", then the module will look for a User-Password configured for the request, and do the authentication itself. auth_type = PAP } EAP-TLS See raddb/certs/readme for additional comments on certificates. If OpenSSL was not found at the time the server was built, the "tls", "ttls", and "peap" sections will be ignored. Otherwise, when the server first starts in debugging mode, test certificates will be created. See the

140 "make_cert_command" below for details, and the README file in raddb/certs These test certificates SHOULD NOT be used in a normal deployment. They are created only to make it easier to install the server, and to perform some simple tests with EAP-TLS, TTLS, or PEAP. See also: Note that you should NOT use a globally known CA here! e.g. using a Verisign cert as a "known CA" means that ANYONE who has a certificate signed by them can authenticate via EAP-TLS! This is likey not what you want. tls { These is used to simplify later configurations. certdir = /home/arief/ca cadir = /home/arief/ca private_key_password = qwerty private_key_file = ${certdir}/server_key.pem

141 If Private key & Certificate are located in the same file, then private_key_file & certificate_file must contain the same file name. If CA_file (below) is not used, then the certificate_file below MUST include not only the server certificate, but ALSO all of the CA certificates used to sign the server certificate. certificate_file = ${certdir}/server_cert.pem Trusted Root CA list ALL of the CA's in this list will be trusted to issue client certificates for authentication. In general, you should use self-signed certificates for 802.1x (EAP) authentication. In that case, this CA file should contain *one* CA certificate. This parameter is used only for EAP-TLS, when you issue client certificates. If you do not use client certificates, and you do not want to permit EAP-TLS authentication, then delete

142 this configuration item. CA_file = ${cadir}/cacert.pem For DH cipher suites to work, you have to run OpenSSL to create the DH file first: openssl dhparam -out certs/dh 1024 dh_file = ${certdir}/dh random_file = ${certdir}/random This can never exceed the size of a RADIUS packet (4096 bytes), and is preferably half that, to accomodate other attributes in RADIUS packet. On most APs the MAX packet length is configured between In these cases, fragment size should be 1024 or less. fragment_size = 1024 include_length is a flag which is by default set to yes If set to yes, Total Length of the message is included in EVERY packet we send. If set to no, Total Length of the

143 message is included ONLY in the First packet of a fragment series. include_length = yes Check the Certificate Revocation List 1) Copy CA certificates and CRLs to same directory. 2) Execute 'c_rehash <CA certs&crls Directory>'. 'c_rehash' is OpenSSL's command. 3) uncomment the line below. 5) Restart radiusd check_crl = yes CA_path = ${cadir} If check_cert_issuer is set, the value will be checked against the DN of the issuer in the client certificate. If the values do not match, the cerficate verification will fail, rejecting the user. In and later, this check can be done more generally by checking the value of the TLS-Client-Cert-Issuer attribute. This check can be done via any mechanism you choose.

144 check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" If check_cert_cn is set, the value will be xlat'ed and checked against the CN in the client certificate. If the values do not match, the certificate verification will fail rejecting the user. This check is done only if the previous "check_cert_issuer" is not set, or if the check succeeds. In and later, this check can be done more generally by checking the value of the TLS-Client-Cert-CN attribute. This check can be done via any mechanism you choose. check_cert_cn = %{User-Name} Set this option to specify the allowed TLS cipher suites. The format is listed in "man 1 ciphers". cipher_list = "DEFAULT"

145 This configuration entry should be deleted once the server is running in a normal configuration. It is here ONLY to make initial deployments easier. make_cert_command = "${certdir}/bootstrap" Session resumption / fast reauthentication cache. The cache contains the following information: session Id - unique identifier, managed by SSL User-Name - from the Access-Accept Stripped-User-Name - from the Access-Request Cached-Session-Policy - from the Access-Accept The "Cached-Session-Policy" is the name of a policy which should be applied to the cached session. This policy can be used to assign VLANs, IP addresses, etc. It serves as a useful way to re-apply the policy from the original Access-Accept to the subsequent Access-Accept

146 for the cached session. On session resumption, these attributes are copied from the cache, and placed into the reply list. You probably also want "use_tunneled_reply = yes" when using fast session resumption. cache { Enable it. The default is "no". Deleting the entire "cache" subsection Also disables caching. You can disallow resumption for a particular user by adding the following attribute to the control item list: Allow-Session-Resumption = No If "enable = no" below, you CANNOT enable resumption for just one user by setting the above attribute to "yes".

147 enable = no Lifetime of the cached entries, in hours. The sessions will be deleted after this time. lifetime = 24 hours The maximum number of entries in the cache. Set to "0" for "infinite". This could be set to the number of users who are logged in... which can be a LOT. max_entries = 255 } As of version , client certificates can be validated via an external command. This allows dynamic CRLs or OCSP to be used. This configuration is commented out in the default configuration. Uncomment it, and configure the correct paths below to enable it.

148 verify { A temporary directory where the client certificates are stored. This directory MUST be owned by the UID of the server, and MUST not be accessible by any other users. When the server starts, it will do "chmod go-rwx" on the directory, for security reasons. The directory MUST exist when the server starts. You should also delete all of the files in the directory when the server starts. tmpdir = /tmp/radiusd The command used to verify the client cert. We recommend using the OpenSSL command-line tool. The ${..CA_path} text is a reference to the CA_path variable defined above. The %{TLS-Client-Cert-Filename} is the name of the temporary file containing the cert in PEM format. This file is automatically deleted by the server when the command returns.

149 client = "/path/to/openssl verify -CApath ${..CA_path} %{TLS-Client-Cert-Filename}" } } The TTLS module implements the EAP-TTLS protocol, which can be described as EAP inside of Diameter, inside of TLS, inside of EAP, inside of RADIUS... Surprisingly, it works quite well. The TTLS module needs the TLS module to be installed and configured, in order to use the TLS tunnel inside of the EAP packet. You will still need to configure the TLS module, even if you do not want to deploy EAP-TLS in your network. Users will not be able to request EAP-TLS, as it requires them to have a client certificate. EAP-TTLS does not require a client certificate. You can make TTLS require a client cert by setting EAP-TLS-Require-Client-Cert = Yes in the control items for a request.

150 ttls { The tunneled EAP session needs a default EAP type which is separate from the one for the non-tunneled EAP module. Inside of the TTLS tunnel, we recommend using EAP-MD5. If the request does not contain an EAP conversation, then this configuration entry is ignored. default_eap_type = md5 The tunneled authentication request does not usually contain useful attributes like 'Calling-Station-Id', etc. These attributes are outside of the tunnel, and normally unavailable to the tunneled authentication request. By setting this configuration entry to 'yes', any attribute which NOT in the tunneled authentication request, but which IS available outside of the tunnel, is copied to the tunneled request. allowed values: {no, yes} copy_request_to_tunnel = no The reply attributes sent to the NAS are

151 usually based on the name of the user 'outside' of the tunnel (usually 'anonymous'). If you want to send the reply attributes based on the user name inside of the tunnel, then set this configuration entry to 'yes', and the reply to the NAS will be taken from the reply to the tunneled request. allowed values: {no, yes} use_tunneled_reply = no The inner tunneled request can be sent through a virtual server constructed specifically for this purpose. If this entry is commented out, the inner tunneled request will be sent through the virtual server that processed the outer requests. virtual_server = "inner-tunnel" This has the same meaning as the same field in the "tls" module, above. The default value here is "yes".

152 include_length = yes }!!!!! WARNINGS for Windows compatibility!!!!! If you see the server send an Access-Challenge, and the client never sends another Access-Request, then STOP! The server certificate has to have special OID's in it, or else the Microsoft clients will silently fail. See the "scripts/xpextensions" file for details, and the following page: For additional Windows XP SP2 issues, see:

153 If is still doesn't work, and you're using Samba, you may be encountering a Samba bug. See: Note that we do not necessarily agree with their explanation... but the fix does appear to work. The tunneled EAP session needs a default EAP type which is separate from the one for the non-tunneled EAP module. Inside of the TLS/PEAP tunnel, we recommend using EAP-MS-CHAPv2. The PEAP module needs the TLS module to be installed and configured, in order to use the TLS tunnel inside of the EAP packet. You will still need to configure the TLS module, even if you do not want to deploy EAP-TLS in your network. Users will not be able to request EAP-TLS, as it requires them to have a client certificate. EAP-PEAP does not require a client certificate.

154 You can make PEAP require a client cert by setting EAP-TLS-Require-Client-Cert = Yes in the control items for a request. peap { The tunneled EAP session needs a default EAP type which is separate from the one for the non-tunneled EAP module. Inside of the PEAP tunnel, we recommend using MS-CHAPv2, as that is the default type supported by Windows clients. default_eap_type = mschapv2 the PEAP module also has these configuration items, which are the same as for TTLS. copy_request_to_tunnel = no use_tunneled_reply = no When the tunneled session is proxied, the home server may not understand EAP-MSCHAP-V2. Set this entry to "no" to proxy the tunneled EAP-MSCHAP-V2 as normal MSCHAPv2. proxy_tunneled_request_as_eap = yes

155 The inner tunneled request can be sent through a virtual server constructed specifically for this purpose. If this entry is commented out, the inner tunneled request will be sent through the virtual server that processed the outer requests. virtual_server = "inner-tunnel" } This takes no configuration. Note that it is the EAP MS-CHAPv2 sub-module, not the main 'mschap' module. Note also that in order for this sub-module to work, the main 'mschap' module MUST ALSO be configured. This module is the *Microsoft* implementation of MS-CHAPv2 in EAP. There is another (incompatible) implementation of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not currently support.

156 mschapv2 { } }

157 Lampiran 4 Konfigurasi clients.conf Each client has a "short name" that is used to distinguish it from other clients. In version 1.x, the string after the word "client" was the IP address of the client. In 2.0, the IP address is configured via the "ipaddr" or "ipv6addr" fields. For compatibility, the 1.x format is still accepted. client localhost { Allowed values are: dotted quad ( ) hostname (radius.example.com) ipaddr = OR, you can use an IPv6 address, but not both at the same time. ipv6addr = :: any. ::1 == localhost A note on DNS: We STRONGLY recommend using IP addresses rather than host names. Using host names means that the server will do DNS lookups when it starts, making it dependent on DNS. i.e. If anything goes wrong with DNS, the server won't start!

158 The server also looks up the IP address from DNS once, and only once, when it starts. If the DNS record is later updated, the server WILL NOT see that update. One client definition can be applied to an entire network. e.g. 127/8 should be defined with "ipaddr = " and "netmask = 8" A note on DNS: We STRONGLY recommend using IP addresses rather than host names. Using host names means that the server will do DNS lookups when it starts, making it dependent on DNS. i.e. If anything goes wrong with DNS, the server won't start! The server also looks up the IP address from DNS once, and only once, when it starts. If the DNS record is later updated, the server WILL NOT see that update. One client definition can be applied to an entire network. e.g. 127/8 should be defined with "ipaddr = " and "netmask = 8" If not specified, the default netmask is 32 (i.e. /32) We do NOT recommend using anything other than 32. There

159 are usually other, better ways to achieve the same goal. Using netmasks of other than 32 can cause security issues. You can specify overlapping networks (127/8 and 127.0/16) In that case, the smallest possible network will be used as the "best match" for the client. Clients can also be defined dynamically at run time, based on any criteria. e.g. SQL lookups, keying off of NAS-Identifier, etc. See raddb/sites-available/dynamic-clients for details. netmask = 32 The shared secret use to "encrypt" and "sign" packets between the NAS and FreeRADIUS. You MUST change this secret from the default, otherwise it's not a secret any more! The secret can be any string, up to 8k characters in length. Control codes can be entered vi octal encoding, e.g. "\101\102" == "AB" Quotation marks can be entered by escaping them, e.g. "foo\"bar"

160 A note on security: The security of the RADIUS protocol depends COMPLETELY on this secret! We recommend using a shared secret that is composed of: upper case letters lower case letters numbers And is at LEAST 8 characters long, preferably 16 characters in length. The secret MUST be random, and should not be words, phrase, or anything else that is recognizable. The default secret below is only for testing, and should not be used in any real environment. secret = testing123 Old-style clients do not send a Message-Authenticator in an Access-Request. RFC 5080 suggests that all clients SHOULD include it in an Access-Request. The configuration item below allows the server to require it. If a client is required to include a Message-Authenticator and it does not, then the packet will be silently discarded. allowed values: yes, no

161 require_message_authenticator = no The short name is used as an alias for the fully qualified domain name, or the IP address. It is accepted for compatibility with 1.x, but it is no longer necessary in 2.0 shortname = localhost the following three fields are optional, but may be used by checkrad.pl for simultaneous use checks The nastype tells 'checkrad.pl' which NAS-specific method to use to query the NAS for simultaneous use. Permitted NAS types are: cisco computone livingston max40xx multitech netserver

162 pathras patton portslave tc usrhiper other for all other types nastype = other localhost isn't usually a NAS... The following two configurations are for future use. The 'naspasswd' file is currently used to store the NAS login name and password, which is used by checkrad.pl when querying the NAS for simultaneous use. login =!root password = someadminpas As of 2.0, clients can also be tied to a virtual server. This is done by setting the "virtual_server" configuration item, as in the example below. virtual_server = home1 A pointer to the "home_server_pool" OR a "home_server" section that contains the CoA configuration for this

163 client. For an example of a coa home server or pool, see raddb/sites-available/originate-coa coa_server = coa } IPv6 Client client ::1 { secret = testing123 shortname = localhost } All IPv6 Site-local clients client fe80::/16 { secret = testing123 shortname = localhost } client some.host.org { secret = testing123 shortname = localhost } You can now specify one secret for a network of clients. When a client request comes in, the BEST match is chosen. i.e. The entry from the smallest possible network. client /24 {

164 secret = testing123-1 shortname = private-network-1 } client /16 { secret = testing123-2 shortname = private-network-2 } client { secret and password are mapped through the "secrets" file. secret = testing123 shortname = liv1 the following three fields are optional, but may be used by checkrad.pl for simultaneous usage checks nastype = livingston login =!root password = someadminpas } } Per-socket client lists. The configuration entries are exactly the same as above, but they are nested inside of a section. You can have as many per-socket client lists as you have "listen"

165 sections, or you can re-use a list among multiple "listen" sections. Un-comment this section, and edit a "listen" section to add: "clients = per_socket_clients". That IP address/port combination will then accept ONLY the clients listed in this section. clients per_socket_clients { client { secret = testing123 } } client { secret = testing123 shortname = simulator nastype = other }

166 Lampiran 5 Konfigurasi pada File Users Please read the documentation file../doc/processing_users_file, or 'man 5 users' (after installing the server) for more information. This file contains authentication security and configuration information for each user. Accounting requests are NOT processed through this file. Instead, see 'acct_users', in this directory. The first field is the user's name and can be up to 253 characters in length. This is followed (on the same line) with the list of authentication requirements for that user. This can include password, comm server name, comm server port number, protocol type (perhaps set by the "hints" file), and huntgroup name (set by the "huntgroups" file). If you are not sure why a particular reply is being sent by the server, then run the server in debugging mode (radiusd -X), and you will see which entries in this file are matched. When an authentication request is received from the comm server, these values are tested. Only the first match is used unless the "Fall-Through" variable is set to "Yes". A special user named "DEFAULT" matches on all usernames.

167 You can have several DEFAULT entries. All entries are processed in the order they appear in this file. The first entry that matches the login-request will stop processing unless you use the Fall-Through variable. If you use the database support to turn this file into a.db or.dbm file, the DEFAULT entries _have_ to be at the end of this file and you can't have multiple entries for one username. Indented (with the tab character) lines following the first line indicate the configuration values to be passed back to the comm server to allow the initiation of a user session. This can include things like the PPP configuration values or the host to log the user onto. You can include another `users' file with `$INCLUDE users.other' For a list of RADIUS attributes, and links to their definitions, see: Deny access for a specific user. Note that this entry MUST

168 be before any other 'Auth-Type' attribute which results in the user being authenticated. Note that there is NO 'Fall-Through' attribute, so the user will not be given any additional resources. lameuser Auth-Type := Reject Reply-Message = "Your account has been disabled." Deny access for a group of users. Note that there is NO 'Fall-Through' attribute, so the user will not be given any additional resources. DEFAULT Group == "disabled", Auth-Type := Reject Reply-Message = "Your account has been disabled." This is a complete entry for "steve". Note that there is no Fall-Through entry so that no DEFAULT entry will be used, and the user will NOT get any attributes in addition to the ones listed here. steve Cleartext-Password := "testing" Service-Type = Framed-User, Framed-Protocol = PPP,

169 Framed-IP-Address = , Framed-IP-Netmask = , Framed-Routing = Broadcast-Listen, Framed-Filter-Id = "std.ppp", Framed-MTU = 1500, Framed-Compression = Van-Jacobsen-TCP-IP This is an entry for a user with a space in their name. Note the double quotes surrounding the name. "John Doe" Cleartext-Password := "hello" Reply-Message = "Hello, %{User-Name}" "sqltest" Cleartext-Password := "testpwd" Reply-Message = "Hello, %{User-Name}" "arief" Cleartext-Password := "mautauaja" Reply-Message = "Hello, %{User-Name}" Dial user back and telnet to the default host for that port Deg Cleartext-Password := "ge55ged" Service-Type = Callback-Login-User, Login-IP-Host = , Callback-Number = "9, ", Login-Service = Telnet, Login-TCP-Port = Telnet

170 Another complete entry. After the user "dialbk" has logged in, the connection will be broken and the user will be dialed back after which he will get a connection to the host "timeshare1". dialbk Cleartext-Password := "callme" Service-Type = Callback-Login-User, Login-IP-Host = timeshare1, Login-Service = PortMaster, Callback-Number = "9, " user "swilson" will only get a static IP number if he logs in with a framed protocol on a terminal server in Alphen (see the huntgroups file). Note that by setting "Fall-Through", other attributes will be added from the following DEFAULT entries swilson Service-Type == Framed-User, Huntgroup-Name == "alphen" Framed-IP-Address = , Fall-Through = Yes If the user logs in as 'username.shell', then authenticate them using the default method, give them shell access, and stop processing the rest of the file.

171 DEFAULT Suffix == ".shell" Service-Type = Login-User, Login-Service = Telnet, The rest of this file contains the several DEFAULT entries. DEFAULT entries match with all login names. Note that DEFAULT entries can also Fall-Through (see first entry). A name-value pair from a DEFAULT entry will _NEVER_ override an already existing name-value pair. Set up different IP address pools for the terminal servers. Note that the "+" behind the IP address means that this is the "base" IP address. The Port-Id (S0, S1 etc) will be added to it. DEFAULT Service-Type == Framed-User, Huntgroup-Name == "alphen" Framed-IP-Address = , Fall-Through = Yes Sample defaults for all framed connections. DEFAULT Service-Type == Framed-User Framed-IP-Address = , Framed-MTU = 576, Service-Type = Framed-User,

172 Fall-Through = Yes Default for PPP: dynamic IP address, PPP mode, VJ-compression. NOTE: we do not use Hint = "PPP", since PPP might also be auto-detected by the terminal server in which case there may not be a "P" suffix. The terminal server sends "Framed-Protocol = PPP" for auto PPP. DEFAULT Framed-Protocol == PPP Framed-Protocol = PPP, Framed-Compression = Van-Jacobson-TCP-IP Default for CSLIP: dynamic IP address, SLIP mode, VJ-compression. DEFAULT Hint == "CSLIP" Framed-Protocol = SLIP, Framed-Compression = Van-Jacobson-TCP-IP Default for SLIP: dynamic IP address, SLIP mode. DEFAULT Hint == "SLIP" Last default: rlogin to our main server. DEFAULT Service-Type = Login-User,

173 Login-Service = Rlogin, Login-IP-Host = shellbox.ispdomain.com Last default: shell on the local terminal server. DEFAULT Service-Type = Administrative-User On no match, the user is denied access.

174 Lampiran 6 Konfigurasi Access Point Buka browser dan masukkan alamat IP access point pada address bar Masuk ke menu setup pilih menu basic setup Setting pembagian alamat IP client dengan opsi Automatic Configuration - DHCP dan alamat IP access point dengan IP = kemudian centangkan pilihan DHCP Server enable. Setting IP access point Klik Save Setting. Selanjutnya untuk mengakses menu setting Access point kembali samakan Network IP komputer yang terhubung yang melakukan setting IP Access Point dengan alamat network IP akses point yang baru. Buka browser dan masukkan alamat IP access point yang baru yaitu pada address bar Selanjutnya klik menu wireless. Lalu klik menu basic wireless setting setting Wireless Network name (SSID) dengan black_usb Setting SSID Wireless Selanjutnya klik menu wireless security. setting security mode menjadi WPA Enterprise dan WPA Algorithms menggunakan AES, selanjutnya menambahkan alamat IP RADIUS server address dengan alamat IP , RADIUS port 1812, dan input shared key dengan testing123. berikut tampilan setting pada akses point : Gambar 4.37 Setting Wireless Security

175 Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien Pilih file sertifikat CA dalam extensi.der lakukan double klik file sertifikat CA yang akan di install klik install certificate untuk mengimport file sertifikat tersebut. akan muncul window certificate import wizard, klik next, selanjutnya akan muncul window yang meminta konfirmasi peletakan sertifikat apakah secara otomatis atau manual. Pilih manual, klik browse, Maka akan muncul window Select Certification Store, pilih folder / root Trusted Root Certification Authorities. Klik ok. klik next, akan muncul window complete the certificate import wizard. Klik finish selanjutnya akan ada alert security warning yang menandakan windows meminta confirmasi atas certifikat CA yang telah kita install tersebut. klik yes. Maka akan muncul window certificate import wizard bahwa proses import sertifikat berhasil Selanjutnya setting penggunaan dan manajemen sertifkat pada windows 7. Masuk ke windows > control panel > view network status and task > manage wireless network > pilih jaringan wireless yang telah di create sebelumnya (dalam penelitian ini adalah jaringan wireless dengan SSID black_usb ) > klik kanan properties Selanjutnya akan muncul window wirelesss network properties, klik tab security setting dengan security type adalah wpa enterprise, encryption type adalah AES, dan pilih network authentication method adalah Microsoft Protected EAP (PEAP).

176 Untuk mensetting validasi sertifikat pada sisi klien, klik tombol setting pada window wireless network properties. Maka akan muncul window protected EAP properties. Centangkan validate server certificate, masukkan alamat IP server RADIUS, dalam penelitian ini alamat server RADIUS memiliki IP selanjutnya pada pilihan trused root certification authorities pilih sertifikat CA PEAP yang telah di install sebelumnya. Klik tombol configure dan hilangkan centang pada pilihan automatically use my windows logon name and password (and domain if any). Klik ok untuk window EAP MSCHAPv2 properties dan klik ok kembali pada window protected EAP properties.

177 Lampiran 8 Wawancara dengan Staf IT Sekolah SIF Al Fikri Responden : Rama Saputra, S.Kom (Staff IT Sekolah Al Fikri) Penanya : Hadi Rahman Pertanyaan 1 : Bagaiamana model infrastruktur jaringan wireless SIF Al Fikri Depok? Jawaban 1 : Secara umum jaringan SIF Al Fikri menggunakan pemodelan Topologi Extended Star (Extended Star Topology) yaitu. Merupakan perkembangan dari topologi star. Pertanyaan 2 : Bagaimana kebijakan penggunaan jaringan wireless? teknologi wireless yang digunakan? Jawaban 2 : dalam implementasi jaringan wireless SIF Al FIkri memiliki beberapa kebijakan diantaranya : 1. mobilitas yang tinggi, terutama untuk mengakses jaringan tanpa menggunakan media berbasis kabel. 2. tingkat kinerja sistem yang baik dalam merespon akses dari luar kedalam maupun sebaliknya. Adapun teknologi jaringan wireless yang digunakan adalah captive portal (hotspot). Untuk terhubung kedalam jaringan pengguna harus memasukkan serangkaian string kode / password. Pertanyaan 3 : Hardware apa saja yang digunakan pada jaringan wireless? dan dimana saja lokasi access point berada? dan bagaimana pengalamatan IP pengguna? Jawaban 3 : Sebagai akses wireless SIF Al Fikri menggunakan access point dan WRT54G access point dengan menggunakan IP DHCP / dinamis kelas c. adapun lokasi access point berada pada lantai 1 terdapat 1 unit di ruang IT dan 1 unit diruang guru SMP dan 1 unit diruang guru SD Pertanyaan 4 : service / layanan apa saja yang terdapat dalam jaringan SIF Al Fikri? Jawaban 4 : di SIF Al Fikri terdapat share data, dan print. Kemudian jaringan internet.

178 Lampiran 9 Pengujian Monitoring Secara Simulasi 1. Pengujian realibility (keandalan sistem) Pada pengujian ini dilakukan dengan menggunkan server virtual. yaitu dengan menggunakan virtual box Virtual Box versi r dan menggunakan tools CommView untuk melihat bagaimana server dilihant dari keandalan sistemnya. dapat dilihat pada hasil capture dibawah ini : Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada jaringan WLAN yang menggunakan WPA Enterprise data tersebut telah terenkripsi. Berdasarkan hasil ini terbukti bahwa dengan menggunakan WPA Enterprise (TTLS), dapat mengamankan paket paket data yang ditransmisikan. 2. Pengujian Paket Data Pada Jaringan

179 Pada tahap ini dilakukan dengan melakukan pengujian paket data yang pada jaringan ada, dengan melihat dari sisi waktu dan paket otentikasi dan proses pingiriman pesan dari klien ke server. Dari semua proses monitoring yang telah dilakukan dapat disimpulkan bahwa server dapat melayani klien tanpa adanya kendala dari infarstruktur hardware dan pengujian data yang ada. 3. Metode umum Kesehatan jaringan Penulis melakukan metode untuk melihat kesehatan jaringan secara umum menggunakan monitoring jaringan secara umum menggunakan CommView pada IP mana saja yan

180 terkoneksi kedalm jaringan untuk melihat paket yang masuk dan dapat dilihat pada gambar dibwah ini :