PENDAHULUAN TINJAUAN PUSTAKA

Transkripsi

1 Latar Belakang PENDAHULUAN Di era komunikasi, informasi dan mobilisasi seperti sekarang ini, penggunaan perangkat portable/ mobile telah menjadi sarana yang banyak diterapkan dan digunakan. Perilaku pengguna yang sering berpindah-pindah dari satu tempat ke tempat lain dapat ditangani oleh perangkat seperti notebook, netbook, dan smartphone yang menggunakan media nirkabel. Namun dengan segala kemudahan tersebut, salah satu isu utama yang muncul adalah masalah keamanan, karena data yang melewati jaringan nirkabel dapat dengan mudah dicuri dan dibaca oleh pihak-pihak yang tidak bertanggung jawab. Wired Equivalent Privacy (WEP) yang diperkenalkan pada tahun 1999, merupakan protokol keamanan jaringan nirkabel yang pertama dan merupakan bagian dari standar IEEE (Institute of Electrical and Electronics Engineers) WEP kemudian dinyatakan tidak aman dan digantikan oleh WPA (Wi-Fi Protected Access) dan disempurnakan oleh WPA2 pada tahun 2004 yang diatur dalam standar IEEE i. Perbedaan mendasar dari WPA dan WPA2 adalah dari protokol enkripsi yang digunakan, WPA menggunakan TKIP (Temporal Key Integrity Protocol), sedangkan WPA2 menggunakan CCMP (Counter Mode with CBC-MAC Protocol) yang dinyatakan lebih aman dibandingkan TKIP (Strand 2004). Secara umum protokol keamanan WPA terdiri atas dua proses, yaitu autentikasi dan enkripsi. Dalam jaringan dengan skala besar dan trafik yang tinggi, seperti perusahaan, universitas, dan ISP (Internet Service Provider), proses autentikasi merupakan proses yang krusial karena merupakan proses yang pertama kali dijalankan sebelum pengguna dapat mengakses suatu jaringan. Oleh karena itu, tidak hanya aman, proses autentikasi juga harus bisa dilakukan secara cepat. EAP (Extensible Authentication Protocol) adalah standar protokol autentikasi yang digunakan pada WPA, beberapa diantaranya yang saat ini banyak digunakan adalah EAP-TLS (EAP-Transport Layer Security), EAP-TTLS (EAP-Tunneled TLS), dan EAP-PEAP (Protected EAP). Tujuan Penelitian ini bertujuan untuk membandingkan kinerja protokol autentikasi EAP-TLS, EAP-TTLS, dan EAP-PEAP, pada jaringan nirkabel. Ruang Lingkup Adapun ruang lingkup penelitian ini adalah sebagai berikut : 1 Protokol autentikasi yang akan dibandingkan kinerjanya adalah EAP-TLS, EAP-TTLSv0 dengan MSCHAPv2 sebagai inner authentication, dan EAP-PEAPv0 dengan EAP-MSCHAPv2 sebagai inner authentication. 2 Menggunakan RADIUS sebagai server AAA, lebih spesifik kepada proses autentikasi saja. 3 Kinerja yang akan dibandingkan adalah kinerja kecepatan/ waktu protokol autentikasi, besar ukuran paket dan jumlah langkah yang dibutuhkan saat proses autentikasi itu sendiri. Perbandingan tidak akan mendetil sampai pada level keamanan. 4 Pada tahap implementasi, kondisi simulasi jaringan yang digunakan adalah jaringan yang terisolir, artinya tidak ada gangguan dari trafik lain, hanya trafik dari proses autentikasi. 5 Data autentikasi (username dan password) disimpan dalam sebuah filetext, bukan dalam sistem eksternal seperti database atau active directory. 6 Jaringan nirkabel yang dimaksud dalam penelitian ini adalah Wireless Local Area Network (WLAN) sebagaimana diatur dalam standar IEEE (perangkat jaringan komputer yang bekerja pada frekuensi 2.4, 3.6 and 5 GHz). Lebih spesifik penelitian ini akan diujicoba pada frekuensi 2.4 GHz karena frekuensi ini bebas digunakan menurut aturan regulasi di Indonesia. Manfaat Penelitian ini diharapkan bisa menjadi acuan untuk pemilihan protokol autentikasi yang akan digunakan dalam suatu jaringan nirkabel. TINJAUAN PUSTAKA Jaringan Nirkabel Jaringan nirkabel adalah jaringan yang beroperasi melalui media nirkabel/ wireless dengan memanfaatkan gelombang radio. Jaringan nirkabel dikenal dengan kemudahan dalam instalasi dan menawarkan mobilitas yang tinggi bagi pengguna. Saat ini WPA adalah 1

2 standar keamanan yang digunakan jaringan nirkabel. Dalam penggunaannya WPA memiliki dua mode autentikasi (Strand, 2004), yaitu : 1 Personal atau PSK (Pre-Shared Key), yang dirancang untuk penggunaan jaringan dengan skala kecil dan tidak membutuhkan server autentikasi. 2 Enterprise atau 802.1x, yang dirancang untuk jaringan dengan skala besar dan membutuhkan server autentikasi serta menggunakan EAP sebagai protokol autentikasi, sesuai dengan standar IEEE 802.1x. Salah satu kekurangan dari mode Personal/ PSK adalah kunci disimpan di dalam access point, semakin banyak access point yang digunakan maka akan semakin sulit dalam hal manajemen karena harus mengkonfigurasi dan menyimpan kunci ke semua access point, dan belum tentu semua access point memiliki kunci yang sama. Untuk mengatasi masalah tersebut, mode Enterprise dapat digunakan sebagai alternatif, dimana semua proses autentikasi dilakukan secara terpusat sehingga manajemen menjadi mudah. Protokol Authentication, Authorization, and Accounting Authentication, Authorization, and Accounting (AAA) adalah sebuah model keamanan jaringan komputer yang berfungsi memverifikasi, memeriksa, dan memantau keabsahan suatu entitas. Dalam Hassell (2002), dijelaskan bahwa AAA terdiri atas tiga fitur utama, yaitu : 1 Autentikasi adalah proses dimana identitas sebuah entitas/ pengguna diperiksa. 2 Autorisasi adalah proses yang berfungsi untuk memeriksa apakah pengguna yang telah diautentikasi berhak mengakses suatu layanan atau tidak. 3 Akuntansi adalah proses pencatatan aktivitas pengguna selama mengakses jaringan. Remote Dial In User Service Remote Dial In User Service (RADIUS) adalah protokol jaringan yang mengimplementasikan manajemen AAA yang terpusat bagi komputer atau pengguna yang ingin terkoneksi dan menggunakan layanan dalam suatu jaringan. RADIUS secara default menggunakan port 1812 dan UDP (User Datagram Protocol) sebagai protokol transport. RADIUS merupakan AAA server yang tertua sekaligus yang paling banyak digunakan sampai saat ini. Dikatakan (Strand 2004), walaupun 802.1x tidak secara spesifik menyebutkan jenis server autentikasi yang digunakan, namun RADIUS secara de facto adalah server autentikasi untuk 802.1x. IEEE 802.1x IEEE 802.1x adalah sebuah standar IEEE untuk Port-based Network Access Control (PNAC), yang menyediakan mekanisme autentikasi bagi peralatan yang ingin tersambung ke sebuah LAN atau WLAN. Port dalam jaringan kabel dapat diartikan sebagai port fisik di switch ethernet, sedangkan pada jaringan nirkabel port diartikan sebagai sebuah association dengan access point (Geier 2008). Gambar 1 Arsitektur 802.1x (Strand 2004). Komponen autentikasi pada 802.1x terdiri atas tiga entitas, yaitu : 1 Supplicant Supplicant, sering juga disebut peer, adalah peralatan klien, seperti PC, notebook atau smartphone, yang ingin tersambung ke LAN/ WLAN. Supplicant mengirim request berupa autentikasi ke authenticator untuk bisa mengakses jaringan melewati authenticator. 2 Authenticator Authenticator, sering juga disebut Network Access Server (NAS), berfungsi sebagai filter antara supplicant dan jaringan yang diproteksi. Supplicant tidak diperbolehkan mengakses jaringan melewati authenticator sebelum identitas supplicant telah diperiksa dan divalidasi. Ketika supplicant mengirimkan request autentikasi ke authenticator, selanjutnya authenticator meneruskannya ke authentication server untuk menentukan apakah autentikasi tersebut valid atau tidak. Authenticator dalam jaringan nirkabel umumnya adalah sebuah wireless access point. 3 Authentication Server Authentication Server bertugas untuk memeriksa identitas entitas yang dikirimkan 2

3 oleh supplicant melalui authenticator. Authentication Server umumnya adalah server yang mendukung protokol RADIUS dan EAP. EAP EAP adalah sebuah framework autentikasi hasil pengembangan IEEE yang berfungsi secara fleksibel. EAP sendiri bukanlah mekanisme autentikasi secara spesifik, EAP hanya menyediakan fungsi transport untuk membawa informasi autentikasi yang disediakan oleh EAP method. Dengan begitu, jika ada mekanisme autentikasi (EAP method) baru, tidak perlu melakukan upgrade pada semua peralatan jaringan. Saat ini terdapat lebih dari 40 EAP method, namun yang memenuhi standar untuk bekerja di jaringan nirkabel sebagaimana yang dijelaskan pada Request For Comments (RFC) 4017 dan telah disertifikasi oleh Wi-Fi Alliance hanya ada tujuh saja, termasuk di antaranya adalah EAP-TLS, EAP- TTLS, dan EAP-PEAP. TLS/ SSL TLS (Transport Security Layer) dan pendahulunya SSL (Secure Socket Layer) adalah protokol kriptografi yang menyediakan keamanan dalam berkomunikasi melalui jaringan. Dalam RFC 2246, dinyatakan bahwa TLS menyediakan keamanan dalam tiga hal : 1 Mutual authentication antara klien dan server dengan public key cryptography berdasarkan digital signatures. Dengan ini identitas klien/ server dapat dibuktikan dan pemalsuan pesan dapat dihindari. Algoritme kriptografi kunci publik yang sering digunakan adalah RSA (Rivest, Shamir, Adleman) dan DSA (Digital Signature Algorithm). 2 Menjaga kerahasiaan data dengan fungsi kriptografi simetrik untuk melakukan enkripsi/ dekripsi data sehingga mencegah pihak ketiga untuk melakukan eavesdropping. Algoritme kunci simetrik yang sering digunakan adalah AES (Advanced Encryption Standard) dan 3DES (Triple DES). 3 Menghasilkan Message Authentication Code (MAC) melalui fungsi hash untuk mendeteksi adanya gangguan dan menjaga integritas data. Algoritme hash yang sering digunakan adalah MD5 (Message-Digest Algorithm) dan SHA-1 (Secure Hash Algorithm). Langkah-langkah dalam protokol TLS seperti ditunjukkan Gambar 2 adalah sebagai berikut : 1 Client Hello Klien mengirimkan ciphersuite yang didukung dan versi protokol TLS yang digunakan. 2 Server Hello Server mengirimkan ciphersuite yang akan digunakan. Gambar 2 Skema Protokol TLS (Sankar et al 2004). 3

4 3 Server Certificate Server mengirimkan sertifikat (public key) server ke klien. 4 ServerKeyExchange Informasi tambahan yang dikirim server agar klien dapat mengirimkan kunci simetrik pada langkah 8. 5 Server Request Server meminta klien untuk mengirimkan sertifikat (public key) klien ke server. 6 Server Hello Done Server selesai dalam mengirimkan paket hello/ handshake. 7 Client Certificate Klien mengirimkan public key klien ke server. 8 ClientKeyExchange Klien menghasilkan kunci simetrik lalu mengirimkan ke server. Pesan dienkripsi dengan kunci publik server. 9 CertificateVerify Klien mengirimkan pesan yang ditandatangani dengan private key klien ke server, gunanya untuk membuktikan identitas klien. 10 Client ChangeCipherSpec Negosiasi penggantian ciphersuite oleh klien. 11 Client Finished Verifikasi proses autentikasi dan key exchange telah berjalan sukses oleh klien. 12 Server ChangeCipherSpec Negosiasi penggantian ciphersuite oleh server. 13 Server Finished Verifikasi proses autentikasi dan key exchange telah berjalan sukses oleh server. 14 Application Data Server dan klien mulai mengirim dan menerima data aplikasi sebenarnya yang sudah diproteksi. Kriptografi Kunci Publik Pada kriptografi kunci publik terdapat dua buah kunci yaitu kunci publik dan kunci private. Tiga fungsi utama dari kriptorafi kunci publik adalah Digital Signature, Encryption/ Decryption, dan Key Exchange. Menurut Elminaam et al (2009), kriptografi kunci publik tidak disarankan untuk proses enkripsi/ dekripsi karena membutuhkan proses komputasi yang besar, lebih lanjut dikatakan bahwa proses enkripsi/ dekripsi pada kriptografi kunci publik lebih lambat 1000 kali lipat dibandingkan dengan kriptografi kunci simetrik. Algoritme kriptografi kunci publik yang saat ini banyak digunakan adalah RSA dan DSA. Dari penelitian yang dilakukan oleh Wiener et al (1998), seperti yang ditunjukkan pada Tabel 1, dapat diketahui bahwa RSA lebih cepat dalam proses verification, sedangkan DSA lebih cepat dalam proses signing dan key generation. Tabel 1 Perbandingan kecepatan (millisecond) RSA dan DSA (Wiener et al 1998). RSA-1024 (e = 3) DSA-1024 Sign 43 7 Verify Key generation Parameter generation Kriptografi Kunci Simetrik none 6500 Pada kriptografi kunci simetrik hanya ada satu buah kunci yang digunakan untuk enkripsi dan dekripsi. Algoritme kriptografi yang saat ini banyak digunakan adalah AES dan 3DES. Dalam penelitian yang dilakukan oleh Elminaam et al (2009), seperti ditunjukkan pada Tabel 2 dan Tabel 3, diketahui bahwa semakin besar ukuran paket maka AES semakin cepat daripada 3DES, baik dalam proses enkripsi maupun dalam proses dekripsi. Tabel 2 Perbandingan kecepatan (millisecond) AES dan 3DES pada proses enkripsi (Elminaam et al 2009) Input size (KBytes) AES 3DES

5 Average Time Throughput (MB/s) Tabel 3 Perbandingan kecepatan (millisecond) AES dan 3DES pada proses dekripsi (Elminaam et al 2009) Input size (KBytes) AES 3DES Average Time Throughput (MB/s) EAP-TLS EAP-TLS merupakan standar EAP method pertama yang digunakan dalam jaringan nirkabel serta menyediakan banyak dukungan dari vendor. Menurut Sankar et al (2004), pada implementasinya EAP-TLS membutuhkan sertifikat digital dari sisi klien dan juga server. Perlunya sertifikat digital di sisi klien merupakan kelebihan sekaligus kekurangan dari EAP-TLS, karena setiap klien membutuhkan sertifikat digital sehingga manajamen dan distribusi dari sertifikat digital ke semua klien membutuhkan sumber daya adaministrasi tambahan. Di lain pihak, kelebihannya adalah pada sisi keamanan dimana pihak ketiga tidak akan bisa melakukan penyerangan tanpa adanya sertifikat digital. EAP-TTLS Sama seperti EAP-TLS, EAP-TTLS (EAP- Tunneled TLS) juga menggunakan protokol TLS. EAP-TTLS dikembangkan oleh Funk Software dan Certicom. Walaupun memiliki banyak dukungan di berbagai platform sistem operasi seperti Linux dan Mac OS, namun Microsoft Windows tidak memiliki dukungan secara default, dibutuhkan aplikasi third party agar EAP-TTLS bisa dijalankan. Pada EAP- TTLS, sertifikat digital di sisi klien bersifat optional, artinya tidak harus ada. Proses autentikasi dalam EAP-TTLS terbagi dalam dua langkah utama (Sankar et al, 2004) : 1 Pembentukan secure tunnel, melalui sertifikat digital dari server, proses ini mirip dengan EAP-TLS. 2 Proses autentikasi, yang sering disebut juga inner authentication. Autentikasi menggunakan metode autentikasi lain seperti PAP (Password Authentication Protocol), CHAP (Challenge-Handshake Authentication Protocol), MS-CHAP (Microsoft-CHAP), atau bahkan EAP method lain. Data yang dikirim akan di enkripsi oleh secure tunnel yang dibentuk di langkah 1. EAP-TTLS mendukung penyembunyian identitas karena data dilewatkan melalui secure tunnel. EAP-PEAP EAP-PEAP (Protected EAP) adalah EAP method hasil pengembangan kolaborasi antara Cisco Systems, Microsoft, dan RSA Security. Dukungan yang disediakan oleh berbagai platform sistem operasi, termasuk Microsoft Windows. Dikatakan Sankar et al (2004), sama seperti EAP-TTLS, PEAP membentuk secure tunnel terlebih dahulu, lalu proses inner authentication umumnya menggunakan EAP- MSCHAPv2 (PEAPv0) dan EAP-GTC (EAP- Generic Token Card) (PEAPv1). Sertifikat digital di sisi klien juga bersifat optional dan juga mendukung penyembunyian identitas seperti halnya EAP-TTLS. Analisis METODE PENELITIAN Pada tahap analisis akan dilakukan pencarian sumber literatur yang akan mendukung penelitian, pada tahap ini juga dilakukan analisis kebutuhan jaringan yang akan digunakan. Dari hasil analisis diketahui bahwa selain keamanan, proses autentikasi juga merupakan hal yang krusial dan harus bisa dilakukan secara cepat. Selain itu, juga diketahui bahwa perbedaan utama EAP-TLS, EAP-TTLS, dan EAP-PEAP adalah pada ada atau tidaknya sertifikat digital di sisi klien. 5