Otorisasi, dan Pendaftaran akun pengguna. Konsep AAA mempunyai fungsi yang berfokus pada tiga aspek dalam kontrol akses user, yaitu :
a. Authentication Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum
yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID username dan password. jika kombinasi kedua nya benar maka client dapat
mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut
diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan
masuk dan sebaliknya. b.
Authorization Otorisasi melibatkan penggunaan seperangkat aturan - aturan yang berlaku untuk
memutuskan aktifitas apa saja yang dizinkan dalam sistem atau sumber daya jaringan tertentu untuk pengguna yang terotentikasi. Proses Authorization merupakan
lanjutan dari proses Authentication. Proses Authorization dapat dianalogikan sebagai berikut: jika anda sudah mengizinkan tamu untuk masuk kerumah anda, tentu anda
mempunyai aturan – aturan yang ditempel di dinding rumah anda, misalnya tamu hanya boleh masuk sampai dengan ruang tamu. Dengan aturan seperti ini tentu akan
memudahkan seseorang untuk melakukan kontrol terhadap sumber daya jaringan tertentu.
c. Accounting
Proses Accounting merupakan proses dimana terdapat proses pencatatan berapa lama seorang pengguna sudah terkoneksi waktu mulai waktu stop yang telah dilakukan
selama pemakaian. Data dan informasi ini sangat berguna baik untuk pengguna
maupun administrator, biasanya laporan ini digunakan untuk melakukan auditing, membuat laporan pemakaian, membaca karakteristik jaringan, dan pembuatan billing
tagihan. jadi pada intinya proses accounting berguna untuk mengetahui apa saja yang dilakukan oleh client dan service apa saja yang dilakukan oleh client. analogi
sederhananya adalah mesin absensi dikantor, ia akan mencatat waktu datang dan waktu pulang, dengan demikian petugas dapat memonitoring karyawan dengan
mudah. Jonathan Hassel, 2002.
2.2.1 Remote Authentication Dial-In User Service RADIUS
RADIUS merupakan singkatan dari Remote Acces Dial in User Service. Pertama kali di kembangkan oleh Livingston Enterprises. Merupakan network
protokol keamanan komputer yang digunakan untuk membuat manajemen akses secara terkontrol pada sebuah jaringan yang besar. RADIUS didefinisikan di dalam
RFC 2865 dan RFC 2866. RADIUS biasa digunakan oleh perusahaan untuk mengatur akses ke internet bagi client.
RADIUS melakukan otentikasi, otorisasi, dan pendaftaran akun pengguna secara terpusat untuk mengakses sumber daya jaringan. Sehingga memastikan bahwa
pengguna yang mengakses jaringan adalah pengguna yang sah. RADIUS berstandar IEEE 802.1x. Sering disebut “port based authentication”. RADIUS merupakan
protokol client – server yang berada pada layer aplikasi pada OSI layer. Dengan protokol transport berbasis UDP. Jonathan Hassel, 2002.
2.2.1.1 Format Paket RADIUS
Protokol RADIUS menggunakan paket UDP untuk melewati transmisi antara client dan server. Protokol tersebut akan berkomunikasi pada port 1812. Berikut
struktur paket RADIUS :
Gambar 2.6 Format paket RADIUS Format paket data RADIUS pada gambar 2.4 terdiri dari lima bagian,
yaitu:
1. Code :
memiliki panjang satu oktet, digunakan untuk membedakan tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut dalam desimal
dapat dilihat pada tabel 2.2 Tabel 2.2 Kode tipe pesan RADIUS
Kode Tipe pesan RADIUS
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge
12 Status-Server experimental
13 Status-Client experimental
255 Reserved
2. Identifier :
Memiliki panjang satu oktet, bertujuan untuk mencocokkan
permintaan. 3.
Length : Memiliki panjang dua oktet, memberikan informasi mengenai panjang
paket. 4.
Authenticator : Memiliki panjang 16 oktet, digunakan untuk membuktikan
balasan dari RADIUS server, selain itu digunakan juga untuk algoritma
password. 5.
Attributes : Berisikan informasi yang dibawa pesan RADIUS, setiap pesan
dapat membawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, alamat IP access point AP, pesan balasan. Tujuan
standar 802.1x IEEE adalah untuk menghasilkan kontrol akses, autentikasi, dan manajemen kunci untuk wireless LAN. Standar ini berdasarkan pada
Internet Engineering Task Force IETF Extensible Authentication Protocol EAP, yang ditetapkan dalam RFC 2284.
2.2.1.2 Tipe Paket Pesan RADIUS
Ada empat jenis paket pesan RADIUS yang relevan dengan otentikasi dan otorisasi pada fase transaksi AAA yaitu :
1. Access-Request Paket Access-Request digunakan oleh layanan konsumen ketika meminta
layanan tertentu dari jaringan. Client mengirimkan paket request ke RADIUS server dengan daftar layanan yang diminta. Faktor kunci dalam transmisi ini
adalah kolom kode pada header paket, dimana header paket tersebut harus di set dengan nilai 1, yang merupakan nilai unik pada paket permintaan. RFC
menyatakan bahwa balasan harus dikirimkan ke semua paket permintaan yang valid, apakah jawabannya adalah otorisasi atau penolakan.
Gambar 2.7. Paket Access-Request
Sumber : RADIUS, OReilly Tabel 2.3 Paket Access-Request
Sumber : RADIUS, OReilly Packet Type
Response Code
1
Identifier Unique per request
Length Header length plus all additional
attribute data Authenticator
Request Attribute Data
2 or more
2. Access-Accept Paket Access-Accept dikirim oleh RADIUS server kepada client untuk
mengakui bahwa permintaan klien diberikan. Jika semua permintaan Access- Request dapat diterima, maka server RADIUS harus mengatur paket respon
dengan nilai 2 pada sisi client, setelah paket tersebut diterima, paket tersebut di cek apakah sama atau benar paket tersebut adalah paket respon dari RADIUS
server dengan menggunakan identifier field. Jika terdapat paket yang tidak mengikuti standar ini maka paket tersebut akan dibuang.
Paket Access-Accept dapat berisi banyak atau sedikit atribut informasi yang perlu untuk dimasukkan. Kemungkinan besar atribut informasi pada paket ini
akan menjelaskan jenis layanan apa saja yang telah dikonfirmasi dan resmi sehingga client dapat menggunakan layanan tersebut. Namun, jika tidak ada
atribut informasi yang disertakan, maka client menganggap bahwa layanan yang diminta adalah yang diberikan.
Gambar 2.8 Paket Access- Accept Sumber: RADIUS, OReilly
Tabel 2.4 Paket Access-Accept
Sumber: RADIUS, OReilly Packet Type
Response Code
2 Identifier
Identical to Access-Request per transaction
Length Header length plus all
additional attribute data Authenticator
Response Attribute Data
0 or more
3. Access-Reject RADIUS server dapat pula mengirimkan paket Access-Reject kembali ke
client jika harus menolak salah satu layanan yang diminta client dalam paket Access-Request. Penolakan tersebut dapat didasarkan pada kebijakan sistem,
hak istimewa yang tidak cukup, atau kriteria lain. Access-Reject dapat dikirim setiap saat selama waktu koneksi. Nilai yang diberikan untuk kode pada paket
ini adalah 3.
Gambar 2.9 Paket Access- Reject Sumber : RADIUS, OReilly
Tabel 2.5 Paket Access- Reject Sumber : RADIUS, OReilly
Packet Type Response
Code 3
Identifier Identical to Access-Request
Length Header length plus all
additional attribute data Authenticator
Response Attribute Data
0 or more
4. Access-Challenge
Apabila server menerima informasi yang bertentangan dari user, atau membutuhkan informasi lebih lanjut, atau hanya ingin mengurangi risiko
otentikasi palsu, server dapat menerbitkan paket Access-Challenge untuk client. Setelah client menerima paket Access-Challenge client harus
memberikan paket Access-Request yang baru disertai atribut informasi yang diminta server. Nilai yang diberikan pada header paket ini adalah 11.
Gambar 2.10 Paket Access- Challenge Sumber : RADIUS, OReilly
Tabel 2.6 Paket Access-Challenge Sumber : RADIUS, OReilly
Packet Type Response Code
11 Identifier
Identical to Access-Request Length
Header length plus all additional attribute data Authenticator Response
Attribute Data
0 or more
2.2.1.3 Tahapan Koneksi RADIUS
Penggunaan RADIUS terhadap usaha pembentukan koneksi jaringan dapat
dilakukan dengan melalui tahapan tahapan berikut:
1. Access server, access point menerima permintaan koneksi dari access client. 2. Access server dikonfigurasi agar dapat menggunakan RADIUS sebagai
protokol yang melakukan proses otentikasi, otorisasi dan accounting, membuat sebuah pesan access request dan mengirimkannya ke server
RADIUS. 3. Server RADIUS melakukan evaluasi pesan Access request
4. Jika dibutuhkan, server RADIUS mengirimkan pesan access challenge ke access server. Jawaban terhadap pesan tersebut dikirimkan dalam bentuk
access request ke server RADIUS. 5. Surat kepercayaan dan otorisasi dari usaha pembentukan koneksi
diverifikasi. 6. Jika usaha pembentukan koneksi dan diotorisasi, server RADIUS
mengirimkan sebuah pesan access accept ke access server. Sebaliknya jika usaha tersebut ditolak maka server RADIUS mengirimkan sebuah pesan
access reject ke access server. 7. Selama menerima pesan access accept, access server melengkapi proses
koneksi dengan access client dan mengirimkan sebuah pesan accounting request ke server radius.
8. Setelah pesan accounting request diproses, server RADIUS mengirimkan sebuah pesan accounting response. Zaenal Arifin, 2008
Gambar 2.11.
Proses
Pembentukan koneksi protokol RADIUS Sumber: http:www.wi-fiplanet.comtutorialsarticle.php3114511Using-
RADIUS-For-WLAN-Authentication-Part-I.htm
2.2.1.4 REALM
RADIUS hadir dengan kemampuan untuk mengidentifikasi user berdasarkan desain dan area yang berlainan. atau disebut realm. Realm adalah identifier yang
ditempatkan sebelum atau sesudah nilai yang biasanya berisikan atribut Username yang bisa digunakan server RADIUS untuk mengenal dan menghubungi server yang
sedang digunakan untuk memulai proses AAA. Tipe pertama dari realm identifier yang dikenal sebagai realm prefix., yang
mana nama realm ditempatkan sebelum username, dan kedua dipisahkan oleh karakter prekonfigurasi, seperti kebanyakan , \, atau . Untuk lebih lanjut, sebuah
user bernama jhassel yang terdaftar di layanan central state internet merupakan
realm dengan nama CSI bisa mengatur klien untuk memberikan username seperti CSIjhassel.
Sintaks realm identifier lainnya adalah realm suffix, dimana username ditempatkan sebelum nama realm. Pemisah yang sama masih digunakan didalam
sintaks ini hingga saat ini, lebih lanjut yang pada umum nya adalah tanda . Sebagai contoh, user awatson mendaftar ke layanan northwest internet nama realm : NWI
menggunakan identifikasi suffix realm bisa memberikan username seperti awatsonNWI. Jonathan Hussel, 2003.
2.3 Protokol Otentikasi
Protokol adalah suatu kumpulan dari aturan-aturan yang berhubungan dengan komunikasi data antara alat-alat komunikasi supaya komunikasi data dapat dilakukan dengan
benar. Jabatan tangan merupakan contoh dari protokol antara dua manusia yang akan berkomunikasi. Pada istilah komputer, jabatan tangan handshaking menunjukkan suatu
protokol dari komunikasi data bila dua buah alat dihubungkan satu dengan yang lainnya
untuk menentukan bahwa keduanya telah kompatibel. Jogianto, 1999.
Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID username
dan password, jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke
rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan
anda persilahkan masuk dan sebaliknya. Jonathan Hassel.
2.3.1 Extensible Authentication Protocol EAP
EAP atau Extensible Authentication Protocol adalah suatu framework otentikasi yang menyediakan layanan transport dan penggunaan key material dan parameter yang dihasilkan
oleh EAP pada awalnya dikembangkan untuk koneksi Point-to-Point atau PPP. Namun, saat ini EAP juga diimplementasikan dan banyak digunakan untuk otentikasi penggunaan pada
jaringan nirkabel. EAP digunakan pada three-tier authentication, maka pada proses komunikasinya EAP akan menggunakan transport protokol yang berbeda. Pertama, pada
komunikasi antara supplicant dan authenticator, EAP akan menggunakan data link protokol seperti PPP, Ethernet atau WLAN. Kedua, pada komunikasi mengunakan application layer
protokol seperti RADIUS atau Diameter.
Gambar 2.12 Proses komunikasi protokol EAP antara supplicant, NAS dan authentication server
Dalam EAP terdapat beberapa komponen diantaranya :
Gambar 2.13
Komponen EAP Sumber : Tom Rixom
1. Supplicant Merupakan Wireless Node yang ingin mengakses Jaringan disebut Supplicant.
2. Authenticator
Merupakan perangkat yang memberikan akses menuju server. Authenticator merupakan device yang memproses apakah suatu supplicant dapat mengakses
jaringan atau tidak. authenticator mengontrol dua jenis port yaitu yang disebut dengan controlled ports dan yang disebut dengan uncontrolled ports. Kedua jenis port
tersebut merupakan logikal port dan menggunakan koneksi fisikal yang sama. Sebelum otentikasi berhasil, hanya port dengan jenis uncontrolled yang dibuka.
Trafik yang diperbolehkan hanyalah EAPOL atau EAPOW. Setelah supplicant melakukan autentifikasi dan berhasil, port jenis controlled dibuka sehingga supplicant
dapat mengakses LAN secara biasa. IEEE 802.1x mempunyai peranan penting dari standar 802.11i.
Gambar 2.14 Skema port
based authentication
Sumber : Standar IEEE
802.1x. Teori dan
Implementasi 3.
Authentication Server RADIUS
yaitu server yang menentukan apakah suatu supplicant valid atau tidak. Authentication server adalah berupa RADIUS server [RFC2865].
2.3.1.1 EAP Over RADIUS
EAP over RADIUS merupakan sebuah mekanisme otentikasi yang dilakukan oleh access server access point untuk melewatkan pesan EAP dari jenis EAP apa pun ke
RADIUS server untuk melakukan proses otentikasi. Sebuah pesan EAP dikirim diantara access client dan access server dengan menggunakan format attribute EAP Message
RADIUS dan dikirim sebagai pesan RADIUS antara access server dan server RADIUS. Access server hanya menjadi perangkat yang melewatkan pesan EAP diantara client dan
server RADIUS. Pemrosesan pesan EAP dilakukan oleh access client dan server RADIUS, tidak dilakukan oleh access server.
EAP over RADIUS digunakan dalam lingkungan dimana RADIUS sebagai penyedia mekanisme otentikasi. Keuntungan yang bisa diperoleh dengan menerapkan EAP over
RADIUS adalah jenis EAP tidak perlu diinstall pada setiap access server, cukup dilakukan pada server RADIUS. Tetapi, access server harus mendukung EAP sebagai protokol untuk
melakukan kegiatan otentikasi dan melewatkan pesan EAP ke server RADIUS. Karena EAP merupakan bagian dari standar 802.1x, kita harus mengaktifkan
otentikasi 802.1x untuk mengaktifkan AP agar dapat menggunakan EAP. Ketika koneksi dibuat, access client bernegosiasi dengan access server menggunakan EAP. Ketika client
mengirimkan pesan EAP ke access server, access server membungkus pesan EAP dalam bentuk attribut EAP message kemudian diubah menjadi pesan RADIUS access Request dan
mengirimkannya ke server RADIUS. Server RADIUS memproses attribute EAP-Message dan mengirimkan sebuah pesan EAP-Response dalam bentuk pesan RADIUS Access-
Challenge ke access server. Selanjutnya, access server melewatkan pesan EAP ke access client.
Gambar 2.15 Konversi pesan EAP dan pesan RADIUS Sumber : sistem pengamanan jaringan wireless, zaenal arifin
2.3.1.2 EAP over LAN EAPOL
EAPOL adalah suatu protokol yang menyediakan cara-cara mengenkapsulasi paket- paket EAP dalam protokol LAN atau Ethernet. EAPOL didesain untuk standarisasi IEEE
802.1X yang digunakan pada jaringan kabel maupun nirkabel. Berikut ini adalah beberapa jenis paket-paket EAPOL, yaitu:
1. EAPOL-Start : merupakan sebuah frame EAPOL yang baru. Frame ini dikembangkan untuk mekanisme network-sensing pada jaringan nirkabel. Pada saat permintaan
akses, supplicant akan mengirimkan frame EAPOL start secara multicast ke beberapa alamat MAC yang telah dipersiapkan untuk 802.1x authenticator, sehingga
authenticator dapat mengetahui apabila ada pengguna yang memerlukan ijin akses. 2. EAPOL-Key : frame ini dirancang untuk mendukung kombinasi antara proses
otentikasi dan proses pendistribusian kunci, dimana authenticator akan mengirim kunci yang digunakan untuk enkripsi komunikasi data ke supplicant.
3. EAPOL-Packet : frame ini merupakan frame utama untuk protokol EAPOL, dimana frame ini bertugas untuk membawa paket atau pesan EAP. Semua tipe pesan EAP
EAP request, EAP response, EAP success dan EAP failure dibawa oleh frame EAPOL-Packet.
4. EAPOL-Logoff : frame ini digunakan oleh supplicant untuk mengindikasikan bahwa pengguna ingin mengakhiri koneksi.
Gambar 2.16. Format
paket EAPOL
2.4 EAP Methods
EAP sebenarnya hanya sebuah authentication framework dan tidak menyediakan mekanisme tertentu yang dapat digunakan untuk proses otentikasi. Tetapi, EAP menyediakan
fungsi-fungsi umum dan negosiasi metode otentikasi yang disebut EAP methods. Beberapa EAP methods yang sering digunakan, yaitu EAP-MD5, EAP-OTP, EAP-GTC, EAP-SIM,
EAP-AKA, EAP-TLS, EAP-TTLS dan PEAP. Ketiga EAP methods yang terakhir, yaitu EAP-TLS, EAP-TTLS dan PEAP adalah EAP methods yang sering digunakan pada jaringan
nirkabel. EAP methods ini mendukung fitur mutual authentication dan penggunaan digital certificate. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada sisi client
dan satu lagi pada sisi server. sedangkan pada EAP-TTLS dan PEAP, digital certificate pada sisi client bersifat optional dan dapat digantikan oleh kombinasi username dan password.
Madjid Nakhjiri
Gambar 2.17 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS
2.4.1 EAP MD5
EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan tingkat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode dictionary attack,
tidak ada mutual otentikasi, dan penurunan kunci, sehingga membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPAWPA2 enterprise.
2.4.2 EAP TLS
EAP-TLS [RFC2716], adalah IETF standar dan banyak didukung oleh vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi, semenjak TLS
dianggap sebagai teknik enkripsi yang sukses pada mekanisme SSL. TLS menggunakan Public Key Infrastructure PKI untuk mengamankan komunikasi antara supplicant dan
authentication server. EAP-TLS adalah standar EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya merupakan salah satu standar EAP yang paling aman
dan secara universal didukung oleh semua manufaktur dari wireless LAN hardware dan software termasuk Microsoft.
2.4.3 EAP TTLS
EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas disupport dan menawarkan tingkat
keamanan yang bagus. Standar ini menggunakan PKI sertifikat hanya pada authentication server.
2.5 Secure Socket Layer SSL Transport Layer Security TLS
Secure socket layer dikembangkan oleh Netscape Communication Corp pada tahun 1994. SSL melindungi transmisi EAP dengan menambahkan lapisan enkripsi pengaman. SSL
tidak hanya melindungi data yang dikirim tetapi juga dapat meyakinkan pihak pihak yang berkomunikasi bahwa lawan bicara mereka dapat dipercaya melalui penggunaan sertifikat
digital.
SSL memberikan tiga keamanan diantaranya : 1. Menjadikan saluran kanal sebagai saluran private. Enkripsi digunakan terhadap seluruh
data setelah handshaking protokol pembuka sebelum terjadi pertukaran data. Jadi, data data yang dikirim melalui internet ke tempat tujuan akan terjamin keamanannya.
2. karnel diotentikasi, server selalu diotentikasi dan klien diotentikasi untuk menjaga
keamanan data yang akan dikirimkan melalui jaringan. kernel yang andal, dimana setiap data yang disadap dan dimodifikasi saat data dikirim oleh pihak yang tidak bertanggung
jawab dapat diketahui oleh pihak yang sedang berkirim data dengan menggunakan message integrity check.
2.5.1 Protocol SSL Record
Digunakan untuk membungkus data yang dikirim dan diterima setelah protokol handshake digunakan untuk membangun parameter keamanan waktu terjadi pertukaran data.
Protokol SSL record membagi data yang ada kebentuk blok-blok dan melakukan kompresi dengan cara ceksum MAC.
Gambar 2.18 Format SSL Record
2.5.2 Protocol SSL Handshake
Berfungsi membangun parameter keamanan sebelum terjadinya pertukaran data antara dua sistem. Berikut tipe tipe pesan yang dikirimkan antara klien dan server :
Gambar 2.19
Handshake Protocol
Sumber :
http:www.cisco.comwebaboutac123ac147archived_issuesipj_1-1ssl.html
1. Client Hello Message
Untuk memulai komunikasi antara klien dan server, sisi klien terlebih dahulu harus mengirimkan pesan client hello ke server. Isi dari pesan ini akan
memberitahukan versi, nilai acak, ID sesi, cipher yang didukung dan metode kompresi data yang dapat digunakandiproses oleh klien. Sebuah pesan client hello
berisikan informasi berikut: a. Client_version. Bagian ini menginformasikan versi SSL paling tinggi yang dapat
dimengerti oleh klien.
b. Random. Bagian ini berisi rangkaiankombinasi acak yang dihasilkan oleh klien, dimana kombinasi ini nantinya akan digunakan untuk proses komputasi
kriptografi pada protokol SSL. Keseluruhan 32-byte struktur bagian ini sebenarnya tidak sepenuhnya acak. Melainkan, 4-byte diambil dari informasi
tanggalwaktu yang berguna untuk menghindari replay attacks. c. Session_id. Bagian ini berisikan identifier suatu sesi SSL. Bagian ini seharusnya
tidak memiliki nilai atau kosong apabila klien ingin menghasilkan parameter keamanan yang baru. Apabila terdapat identifier suatu sesi, maka nilai dari bagian
ini seharusnya berisi informasi dari sesi sebelumnya. d. Cipher_suites. Bagian ini berisi daftar kombinasi algoritma kriptografi yang
didukung oleh klien. Hal ini memberikan kemudahan pada sisi klien, tetapi sisi server tetap menjadi penentu akan algoritma kriptografi yang akan digunakan.
Apabila server tidak menemukan suatu pilihan dari daftar kombinasi yang diberikan oleh klien, maka server akan memberikan respons berupa pesan
handshake failure alert dan kemudian mengakhiri koneksi tersebut. e. Compression_methods. Sama seperti bagian cipher_suites, bagian ini berisikan
daftar kombinasi metode kompresi yang didukung oleh klien. Daftar ini disusun menurut kebutuhankonfigurasi dari klien, tetapi sisi server yang akan
memutuskan metode kompresi yang akan digunakan. Bagian jarang digunakan pada SSLv3 dan merupakan fitur pengembangan untuk TLSv1.
2. Server Hello Message
Setelah server menerima dan memroses pesan client hello, maka server memiliki dua pilihan pesan yang dapat dikirim ke klien, yaitu pesan handshake failure
alert dan server hello. Isi dari pesan server hello kurang lebih sama dengan pesan client hello. Perbedaannya adalah pada pesan client hello berisikan daftar dukungan
protokol pada sisi klien, sedangkan pesan server hello memutuskanmemberitahukan protokol yang akan digunakan kepada klien. Adapun isi dari pesan server hello, yaitu:
a. Server_version. Bagian ini berisi versi protokol yang dipilih oleh server, dimana versi ini akan digunakan seterusnya untuk komunikasi dengan klien. Server
memutuskan hal ini berdasarkan dukungan tertinggi pada kedua pihak. Sebagai contoh, apabila klien mendukung hingga versi SSLv3 dan server mendukung
hingga versi TLSv1, maka server akan memilih SSLv3. b. Random. Bagian ini sama seperti yang terdapat pada sisi klien, yang berfungsi
untuk proses komputasi kriptografi pada SSL. Nilai dari bagian ini harus bersifat independen dan berbeda dari apa yang dihasilkan pada sisi klien.
c. Session_id. Bagian ini menyediakan informasi pengenalidentitas dari sesi yang sedang berjalan. Jika nilai dari session identifier adalah tidak kosong, maka server
akan memeriksa dan mencocokan dengan yang terdapat pada session cache. Jika ditemukan nilai yang sama, maka server dapat membentuk sebuah koneksi baru
dan melanjutkan status dari sesi yang dimaksud. d. Cipher_suite. Bagian ini mengindikasikan sebuah cipher suite yang dipilih oleh
server berdasarkan daftar yang diberikan oleh klien. e. Compression_method. Sama seperti bagian cipher suite, bagian ini
mengindikasikan sebuah metode kompresi yang dipilih oleh server berdasarkan daftar dukungan yang diberikan oleh klien
3. Server Certivicate Message
Bersamaan dengan pengiriman pesan server hello, server juga mengirimkan sertifikat untuk proses otentikasi. Jenis sertifikat yang umum digunakan adalah
x.509v3. sertifikat ini juga digunakan sebagai peertukaran kunci. Algoritma enkripsi yang digunakan berasal dari pemilihan cipher dari client. Nantinya pesan ini yang
akan digunakan sebagai public key oleh client saat untuk mengencrypt pesan ke server.
4. Server Key Exchange
Pesan ini berisi efek dari pendistribusian kunci server dan algoritma enkripsi yang akan digunakan antara server dan client.
5. Certificate Request Message
Pesan ini bertujuan untuk meminta sertifikat dari pihak client. Pengiriman pesan ini menandakan dua indicator : 1. mengindikasikan tipe algoritma yang
digunakan pada sertifikat. 2. sertifikat yang diterima adalah sertifikat yang telah diakui oleh Certivicate Authority CA.
6. Server Hello Done Message
Pesan ini menandakan bahwa pesan server hello telah dikirim ke pihak client. Dan server menunggu respon dari client
7. Client Certificate Message
Pesan ini adalah pesan pertama yang dikirimkan oleh client setelah server hello done message diterima client. Dalam pesan ini client mengirimakn sertifikat
client ke server. Jika client tidak dapat mengirimkan sertifikat yang diminta server makan server akan memutuskan komunikasi dengan client.
8. Client Key Exchange
Pesan ini membawa kunci untuk server. Tipe algoritma kunci yang digunakan dapat berupa RSA, atau yang lainnya.
9. Certificate Verify Message
Pesan ini dikirimkan oleh client bertujuan agar server dapat melakukan verifikasi sertifikat client.
10. Finished Message
Pada fase selanjutnya client mengirimkan pesan yang berisi perubahan spesifikasi cipher dibarengi dengan pengiriman pesan finished message. Apabila
server menerima pesan finished message dari client. Server mengirimkan change cipher spec message dan mengirimkan finished message. Pada fase ini handshake
protocol telah sempurna dan jalur ini selanjutnya dapat digunakan untuk transfer pesan atau data secara aman. Steve Burnett at all, 2004.
2.5.3. Protocol SSL Alert
Protokol ini akan memberikan tanda kondisi sudah tidak terkoneksi lagi jika pengirim mengirimkan pesan dan yang akan menerima sedang offline maka pesan akan
dipending sampai penerima terkoneksi lagi. SSL alert error message bisa dilihat pada tabel 2.x berikut ini :
Tabel 2.7 Alert Error Message Sumber : http:msdn.microsoft.comen-uslibrarydd72188628VS.8529.aspx
TLS or SSL alert Schannel error code
SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_BAD_RECORD_MAC
SEC_E_MESSAGE_ALTERED TLS1_ALERT_DECRYPTION_FAILED
SEC_E_DECRYPT_FAILURE TLS1_ALERT_RECORD_OVERFLOW
SEC_E_ILLEGAL_MESSAGE SSL3_ALERT_DECOMPRESSION_FAIL
SEC_E_MESSAGE_ALTERED SSL3_ALERT_HANDSHAKE_FAILURE
SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_BAD_CERTIFICATE
SEC_E_CERT_UNKNOWN TLS1_ALERT_UNSUPPORTED_CERT
SEC_E_CERT_UNKNOWN TLS1_ALERT_CERTIFICATE_REVOKED CRYPT_E_REVOKED
TLS1_ALERT_CERTIFICATE_EXPIRED SEC_E_CERT_EXPIRED TLS1_ALERT_CERTIFICATE_UNKNOWN SEC_E_CERT_UNKNOWN
SSL3_ALERT_ILLEGAL_PARAMETER SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_UNKNOWN_CA SEC_E_UNTRUSTED_ROOT
TLS1_ALERT_ACCESS_DENIED SEC_E_LOGON_DENIED
TLS1_ALERT_DECODE_ERROR SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_DECRYPT_ERROR SEC_E_DECRYPT_FAILURE
TLS1_ALERT_EXPORT_RESTRICTION SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_PROTOCOL_VERSION SEC_E_UNSUPPORTED_FUNCTION
TLS1_ALERT_INSUFFIENT_SECURITY SEC_E_ALGORITHM_MISMATCH
TLS1_ALERT_INTERNAL_ERROR SEC_E_INTERNAL_ERROR
Default SEC_E_ILLEGAL_MESSAGE
2.5.4. Arsitektur SSL TLS
Protokol SSL didesain untuk bisa digunakan pada provider TCP yang dapat dipercaya layanan keamanannya. SSL tidak hanya menggunakan satu protokol, tetapi dua layer lapis
protokol. SSL record protocol merupakan layanan keamanan dasar kelapisan protokol yang lebih tinggi. EAP bisa beroperasi dengan SSLTLS. Arsitektur dari SSL dapat dilihat pada
gambar 2.22 dbawah ini :
Gambar 2.20 Arsitektur Protokol SSL Sumber : http:technet.microsoft.comen-uslibraryCc767139.f14-2_big28en-
us,TechNet.1029.gif
2.5.5. Sertifikat Digital
Sertifikat digital adalah kunci publik dan informasi penting mengenai jati diri pemilik kunci tersebut, seperti misalnya nama, alamat, pekerjaan, jabatan, perusahaan, dan bahkan
hash dari suatu informasi rahasia ysng ditandatangani oleh suatu pihak terpercaya. Sertifikat
digital tersebut ditandatangani oleh sebuah pihak yang terpercaya, yaitu Certificate Authority CA.
Gambar 2.21 Peran CA dalam penerbitan sertifikat Sertifikat digital diterbitkan oleh CA, suatu perusahaan atau individu yang
mendaftarkan diri kepada CA baru mereka akan mendapatkan sertifikat digital. CA bukan hanya bertugas menerbitkan sertifikat saja, tetapi juga melakukan pemeriksaan apakah
sertifikat tersebut masih berlaku atau tidak, dan juga membatalkan sertifikat atas permintaan. Dengan demikian, berarti CA juga memiliki daftar sertifikat yang mereka buat, baik yang
masih berlaku maupun yang sudah dibatalkan. Pada sertifikat digital terdapat tanggal kadaluarsa, sertifikat yang sudah kadaluarsa akan dihapus dari daftar CA dan masih bisa
diperpanjang. Struktur standar dari sertifikat digital meliputi hal-hal berikut :
a. Version : merupakan versi dari x.509 pada versi 1 yang memiliki fasilitas dari serial number sertifikat sampai dengan subject public key info, versi 2 ditambah dengan
identitas subject yang unik, dan pada versi 3 diberi tambahan extention dari sertifikat digital. Lihat gambar 2.x
b. Serial number merupakan bilang integer yang unik yang dibuat oleh CA. c. Signature Algoritma identifier merupakan algoritma yang digunakan untuk
menandatangani sertifikat yang bersamaan dengan parameternya. d. Issuer name : nama dari pembuat dan yang mengeluarkan sertifikat
e. Period of validity : batas tanggal, bulan, dan tahun sertifikat bisa digunakan. f. Subject name : nama yang menggunakan sertifikat atau yang memiliki kunci private
dari sertifikat tersebut. g. Subject public key information : public key subject, identifikasi algoritma kunci yang
digunakan dan perusahaan mana yang mengeluarkan sertifikat tersebut h. Issuer unique identifier : identifikasi unik perusahaan
i. Subject unique identifier : digunakan untuk membedakan subject yang satu dengan yang liannya
j. Extention meliputi pemakaian kunci, identifikasi kunci public, identifikasi policy sertifikat, dan lainnya.
k. Signature
Salah satu layanan otentikasi adalah X.509 yang menyediakan layanan dan mengatur pendistribusian serta memperbaiki informasi user. Informasi user meliputi :
i. username ii. alamat jaringan
iii. serta atribut user X.509 merupakan suatu standar yang penting untuk menangani sertifikat digital
karena struktur dari sertifikat digital dan protokol otentikasi terdapat pada X.509. X.509 beroperasi berdasarkan kunci publik dan tandatangan digital serta menggunakan algortima
standar seperti RSA, format dari X.509 seperti gambar berikut :
Gambar 2.22 Format X.509 Sumber : Dony Ariyus, 2006
2.5.6. Enkripsi Public Key
Public key memecahkan masalah pendistribusian karena tidak diperlukan suatu kunci untuk diditribusikan. Semua partisipan memiliki akses ke kunci public, dan kunci private
dihasilkan secara local oleh setiap partisan sehingga tidak perlu untuk didistribusikan. Selama sistem mengontrol masing masing private key dengan baik, komunikasi bisa menjadi
komunikasi yang aman. Dony Ariyus, 2006
2.5.7. Kriptografi Simetris
Kriptografi simetris adalah metode enskripsi dimana pengirim dan penerima pesan memiliki kunci yang sama, atau dalam beberapa kasus kedua kunci berbeda namun
mempunyai relasi dengan perhitungan yang mudah. Studi modern terfokuskan pada block cipher dan stream cipher serta aplikasinya. Block cipher adalah aplikasi modern dari
Alberti’s polyphabetic cipher. Block cipher menerima masukan berupa blok plaintext dan sebuah kunci dan kemudian menghasilkan keluaran blok ciphertext dengan ukuran yang
sama. Dikarenakan pesan yang dikirim hampir selalu lebih panjang dari single block blok tunggal, maka diperlukan metode penggabungan beberapa blok.
Data Encryption Standard DES dan Advanced Encryption Standard AES adalah contoh block ciphers yang dijadikan standar kriptografi oleh pemerintahan Amerika Serikat.
Walaupun AES telah diresmikan sebagai standar kriptografi terbaru, namun DES, khususnya varian triple- DES, masih banyak digunakan sebagai enkripsi ATM, keamanan surat
elektronik e-mail, dan secure remote access. Stream cipher adalah lawan dari block cipher, yakni menciptakan arus kunci yang
panjang dan sembarang arbitrarily long stream of key yang dikombinasikan dengan plaintext bit-per-bit bit-by-bit dan karakter-per-karakter character-bycharacter. Pada
stream cipher, arus keluaran dibangkitkan berdasarkan keadaan internal internal state yang berubah-ubah seiring dengan jalannya cipher. Perubahaan tersebut diatur oleh kunci dan
dibeberapa stream cipher diatur pula oleh plaintext cipher. RC4 dan adalah contoh dari stream cipher.
Gambar 2.23 Kriptografi Simetris
2.5.8. Kriptografi Asimetris
Kriptografi simetris menggunakan kunci yang sama untuk enkripsi dan dekripsi . Hal tersebut menyebabkan masalah yang signifikan, yakni kunci harus dikelola dengan sangat
aman. Idealnya setiap kelompok yang terlibat komunikasi memiliki kunci yang berbeda. Kebutuhan akan variasi kunci meningkat, seiring dengan pertumbuhan jaringan, sehingga
membutuhkan manajemen kunci yang kompleks untuk menjaga kerahasiaan tiap kunci. Masalah juga bertambah jika antara dua kelompok yang berkomunikasi tidak terdapat saluran
aman secure channel. Pada tahun 1976, Whitfield Diffie dan Martin Hellman mengajukan konsep
kriptografi asimetri yang meggunakan dua kunci yang secara matematika berhubungan satu sama lain, yakni kunci publik public key dan kunci pribadi
private key. Kunci publik dibangkitkan sedemikian sehingga kunci pribadi sangat sulit untuk dihitung, walaupun keduanya sesungguhnya berhubungan satu sama lain.
Dalam kriptografi asimetri, kunci publik dapat secara bebas disebarluaskan, sedangkan kunci pribadi harus senantiasa dijaga kerahasiaannya. Kunci publik digunakan
untuk enkripsi, sedangkan kunci pribadi digunakan untuk dekripsi. Diffie dan Hellman membuktikan bahwa kriptografi asimetri adalah mungkin
dengan menerapkan protokol pertukaran kunci Diffie-Hellman. Pada tahun 1978, Ronald Rivest, Adi Shamir, dan Len Adleman menemukan RSA, sebuah algoritma berdasarkan
kriptografi asimetri. RSA juga akan dibahas secara mendalam pada bagian selanjutnya.
Gambar 2.24 Kriptografi Asimetris
2.5.8.1. RSA
RSA algoritma melakukan pemfaktoran bilangan yang sangat besar. Oleh karena itu RSA dianggap aman. Untuk membangkitkan kedua kunci, dipilih dua bilangan prima acak
yang besar. Skema yang dikembangkan oleh rivest, shamir, dan adleman yang
mengekspresikan bahwa plaintext dienkripsi menjadi blok blok, dimana setiap blok memiliki nilai biner yang diberi simbol ”n”, plaintext block ”m”, dan chipertext blok ”c”. Untuk
melakukan enkripsi pesan ”m”, pesan dibagi kedalam blok blok numeric yang lebih kecil dari pada ”n”. data biner dengan pangkat terbesar jika bilangan prima panjangnya 200 digit, dan
dapat menambah beberapa bit o dikiri bilangan untuk menjaga agar pesan tetap kurang dari nilai ”n”. Rumus enkripsi : C = M
e
mod n, dan rumus dekripsi M = C
d
mod n = M
e d
mod n = M
ed
mod n.
2.6 Open System Interconnection OSI
2.6.1
Pengertian OSI Masalah utama dalam komunikasi antar komputer dari vendor yang berbeda adalah
karena mereka mengunakan protokol dan format data yang berbeda-beda. Untuk mengatasi ini, International Organization for Standardization ISO membuat suatu arsitektur
komunikasi yang dikenal sebagai Open System Interconnection OSI model yang mendefinisikan standar untuk menghubungkan komputer-komputer dari vendor-vendor yang
berbeda. Model-OSI tersebut terbagi atas 7 layer, dan layer kedua juga memiliki sejumlah sub-
layer dibagi oleh Institute of Electrical and Electronic Engineers IEEE. Perhatikan tabel berikut ini :
Tabel 2.8 Model OSI Sumber : PENGERTIAN FUNGSI 7 OSI LAYER « Disconnected32s Blog.htm
7th - Layer : Application
Services 6th
- Layer : Presentation Services
5th - Layer : Session
Communications 4th
- Layer : Transport Communications
3rd - Layer: Network
Communications 2nd
- Layer: Data-Link Physical Connections
1st - Layer: Physical
Physical Connections
Layer-layer tersebut disusun sedemikian sehingga perubahan pada satu layer tidak membutuhkan perubahan pada layer lain. Layer teratas 5, 6 and 7 adalah lebih cerdas
dibandingkan dengan layer yang lebih rendah; Layer Application dapat menangani protokol dan format data yang sama yang digunakan oleh layer lain, dan seterusnya. Jadi terdapat
perbedaan yang besar antara layer Physical dan layer Application.
2.6.2 Fungsi – fungsi layer OSI
1 Layer Physical Ini adalah layer yang paling sederhana, berkaitan dengan electrical dan optical
koneksi antar peralatan. Data biner dikodekan dalam bentuk yang dapat ditransmisi melalui media jaringan, sebagai contoh kabel, transceiver dan konektor yang berkaitan
dengan layer Physical. Peralatan seperti repeater, hub dan network card adalah berada pada layer ini.
2 Layer Data-link Layer ini sedikit lebih “cerdas” dibandingkan dengan layer physical, karena
menyediakan transfer data yang lebih nyata. Sebagai penghubung antara media network dan layer protokol yang lebih high-level, layer data link bertanggung-jawab
pada paket akhir dari data binari yang berasal dari level yang lebih tinggi ke paket diskrit sebelum ke layer physical. Akan mengirimkan frame blok dari data melalui
suatu network. Ethernet 802.2 802.3, Tokenbus 802.4 dan Tokenring 802.5 adalah protokol pada layer Data-link.
3 Layer Network Tugas utama dari layer network adalah menyediakan fungsi routing sehingga paket
dapat dikirim keluar dari segment network lokal ke suatu tujuan yang berada pada suatu network lain. IP, Internet Protocol, umumnya digunakan untuk tugas ini.
Protokol lainnya seperti IPX, Internet Packet eXchange. Perusahaan Novell telah
memprogram protokol menjadi beberapa, seperti SPX Sequence Packet Exchange NCP Netware Core Protocol. Protokol ini telah dimasukkan ke sistem operasi
Netware. Beberapa fungsi yang mungkin dilakukan oleh Layer Network a. Membagi aliran data biner ke paket diskrit dengan panjang tertentu
b. Mendeteksi Error c. Memperbaiki error dengan mengirim ulang paket yang rusak
d. Mengendalikan aliran 4 Layer Transport
Layer transport data, menggunakan protokol seperti UDP, TCP danatau SPX Sequence Packet eXchange, yang satu ini digunakan oleh NetWare, tetapi khusus
untuk koneksi berorientasi IPX. Layer transport adalah pusat dari mode-OSI. Layer ini menyediakan transfer yang reliable dan transparan antara kedua titik akhir, layer
ini juga menyediakan multiplexing, kendali aliran dan pemeriksaan error serta memperbaikinya.
5 Layer Session Layer Session, sesuai dengan namanya, sering disalah artikan sebagai prosedur logon
pada network dan berkaitan dengan keamanan. Layer ini menyediakan layanan ke dua layer diatasnya, Melakukan koordinasi komunikasi antara entiti layer yang
diwakilinya. Beberapa protokol pada layer ini: NETBIOS: suatu session interface dan protokol, dikembangkan oleh IBM, yang menyediakan layanan ke layer presentation
dan layer application. NETBEUI, NETBIOS Extended User Interface, suatu pengembangan dari NETBIOS yang digunakan pada produk Microsoft networking,
seperti Windows NT dan LAN Manager. ADSP AppleTalk Data Stream Protocol. PAP Printer Access Protocol, yang terdapat pada printer Postscript untuk akses pada
jaringan AppleTalk.
6 Layer Presentation Layer presentation dari model OSI melakukan hanya suatu fungsi tunggal: translasi
dari berbagai tipe pada syntax sistem. Sebagai contoh, suatu koneksi antara PC dan mainframe membutuhkan konversi dari EBCDIC character-encoding format ke ASCII
dan banyak faktor yang perlu dipertimbangkan. Kompresi data dan enkripsi yang mungkin ditangani oleh layer ini.
7 Layer Application Layer ini adalah yang paling “cerdas”, gateway berada pada layer ini. Gateway
melakukan pekerjaan yang sama seperti sebuah router, tetapi ada perbedaan diantara mereka. Layer Application adalah penghubung utama antara aplikasi yang berjalan
pada satu komputer dan resources network yang membutuhkan akses padanya. Layer Application adalah layer dimana user akan beroperasi padanya, protokol seperti FTP,
telnet, SMTP, HTTP, POP3 berada pada layer Application.
2.6.3 Komponen Jaringan dan Protokol Layer
1 Layer 1 – Physical
Network components: Repeater
Multiplexer HubsPassive and Active
TDR Oscilloscope
Amplifier Protocols:
IEEE 802 Ethernet standard IEEE 802.2 Ethernet standard
ISO 2110 ISDN
2 Layer 2 – Datalink
Network components: Bridge
Switch ISDN Router
Intelligent Hub NIC
Advanced Cable Tester Protocols:
Media Access Control: Communicates with the adapter card
Controls the type of media being used:
802.3 CSMACD Ethernet 802.4 Token Bus ARCnet
802.5 Token Ring 802.12 Demand Priority
Logical Link Control error correction and flow control
manages link control and defines SAPs
802.2 Logical Link Control
3 Layer 3 Network
Network components: Brouter
Router Frame Relay Device
ATM Switch Advance Cable Tester
Protocols: IP,ARP,RARP,ICMP,RIP,OSFP,
IGMP IPX
NWLink OSI
DDP DECnet
4 Layer 4 – Transport
Network components: Gateway
Advance Cable Tester Brouter
Protocols: TCP, ARP, RARP
SPX NWLink
NetBIOS NetBEUI ATP
5 Layer 5 – Session
Network components: Gateway
Protocols: NetBIOS
Names Pipes Mail Slots
RPC
6 Layer 6 – Presentation
Network components: Gateway
Redirector Protocols:
None
7 Layer 7 – Application
Network components: Gateway
Protocols: DNS, FTP
TFTP, BOOTP SNMP, RLOGIN
SMTP, MIME NFS, FINGER
TELNET, NCP APPC, AFP
SMB
2.7 Tools
2.7.1 freeRADIUS Server
freeRADIUS merupakan implementasi dari server RADIUS. Sebenarnya ada banyak
implementasi server RADIUS lainnya seperti Cisco CNS Access Registrar CAR dan Windows Internet Authentication Service IAS. Pemilihan freeRADIUS adalah karena
software ini berplatform open source, bersifat gratis, performa yang stabil, dan banyak digunakan sebagai server otentikasi. Berdasarkan hasil tim survey freeRADIUS, lebih dari
10 juta pengguna yang menjadikan freeRADIUS sebagai server otentikasi dan lebih dari 100 juta user yang melakukan proses otentikasi dengan menggunakan freeRADIUS.
FreeRADIUS juga banyak digunakan sebagai otentikasi server dalam penelitian – penelitian yang berhubungan dengan jaringan nirkabel. http:freeradius.orgpresssurvey.html
freeRADIUS diperkenalkan oleh Alan Dekok dan Miquel van Smoorenburg pada bulan Agustus 2005. FreeRADIUS server merupakan modular dan produk open-source
paling populer dan paling banyak digunakan di dunia sebagai RADIUS server yang berbasis sistem operasi UNIX. FreeRADIUS mendukung semua protokol umum otentikasi.
freeRADIUS berjalan pada platform UNIX 32 bit dan 64 bit. freeRADIUS bersifat gratis dan dapat di download pada alamat http:freeradius.orgdownload.html www.freeradius.org.
freeRADIUS memiliki beberapa feature, diantaranya : a Performa dan Skalabilitas, freeRADIUS merupakan salah satu server yang tercepat
dan produk yang memiliki tingkat skalabilitas yang tinggi. b Mendukung penerapan protokol semua EAP method termasuk diantaranya EAP-
PEAP, protokol yang sering digunakan pada jaringan wireless Microsoft. c Support untuk semua jenis database yang umum digunakan file text seperti LDAP,
SQL, dll untuk authentication, authorization, dan accounting dalam protokol AAA. Disamping kelebihan kelebihan yang ada, salah satu kekurangan freeRADIUS adalah
untuk konfigurasi masih berbasis command line. Berbeda dengan server IAS atau lainnya yang berbayar yang sudah berbasis Graphical User Interface GUI.
2.8 Network Development Life Cycle NDLC
2.8.1
Tahapan Pada NDLC
Gambar 2.29. NDLC Sumber : Applied Data Communications, A business-Oriented Approach, James E.
Goldman, Philips T. Rawles, Third Edition, 2001, John Wiley Sons : 470
1 Analysis : Tahap awal ini dilakukan analisa kebutuhan, analisa permasalahan yang muncul, analisa keinginan user, dan analisa topologi jaringan yang sudah ada saat
ini. Metode yang biasa digunakan pada tahap ini diantaranya ;
a. Wawancara, dilakukan dengan pihak terkait melibatkan
dari struktur manajemen atas sampai ke level bawah operator agar mendapatkan data yang konkrit dan lengkap. Pada kasus di Computer
Engineering biasanya juga melakukan brainstorming juga dari pihak vendor untuk solusi yang ditawarkan dari vendor tersebut karena setiap mempunyai
karakteristik yang berbeda. b.
survey langsung kelapangan, pada tahap analisis juga biasanya dilakukan survey langsung kelapangan untuk mendapatkan hasil
sesungguhnya dan gambaran seutuhnya sebelum masuk ke tahap design, survey biasa dilengkapi dengan alat ukur seperti GPS dan alat lain sesuai kebutuhan
untuk mengetahui detail yang dilakukan. c.
membaca manual atau blueprint dokumentasi, pada analisis awal ini juga dilakukan dengan mencari informasi dari manual-manual
atau blueprint dokumentasi yang mungkin pernah dibuat sebelumnya. Sudah menjadi keharusan dalam setiap pengembangan suatu sistem dokumentasi
menjadi pendukung akhir dari pengembangan tersebut, begitu juga pada project network, dokumentasi menjadi syarat mutlak setelah sistem selesai dibangun.
d. menelaah setiap data yang didapat dari data-data
sebelumnya, maka perlu dilakukan analisa data tersebut untuk masuk ke tahap berikutnya. Adapun yang bisa menjadi pedoman dalam mencari data pada tahap
analisis ini adalah ; 1.
User people : jumlah user, kegiatan yang sering dilakukan, peta politik
2. Media HW SW : peralatan yang ada, status jaringan, ketersedian data yang dapat diakses dari peralatan, aplikasi sw yang digunakan
3. Data : jumlah pelanggan, jumlah inventaris sistem,
sistem keamanan yang sudah ada dalam mengamankan data. 4.
Network : konfigurasi jaringan, volume trafik jaringan, protokol monitoring network yang ada saat ini, harapan dan rencana
pengembangan kedepan 5.
Perencanaan fisik : masalah listrik, tata letak, ruang khusus, system keamanan yang ada, dan kemungkinan akan
pengembangan kedepan.
2 Design : Dari data-data yang didapatkan sebelumnya,
tahap Design ini akan membuat gambar design topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran
seutuhnya dari kebutuhan yang ada. Design biasa berupa design struktur topology, design akses data, design data, design tata layout perkabelan, dan sebagainya yang
akan memberikan gambaran jelas tentang project yang akan dibangun. Biasanya hasil dari design berupa :
a.
Gambar-gambar topologi server farm, firewall, data center, storages, lasrmiles, perkabelan, titik akses dan sebagainya
b.
Gambar-gambar detailed estimasi kebutuhan yang ada
3 Simulasi Prototipe : network’s akan membuat dalam
bentuk simulasi dengan bantuan Tools khusus di bidang network seperti BOSON, PACKET TRACERT, NETSIM, dan sebagaimana, hal ini dimaksudkan untuk melihat
kinerja awal dari network yang akan dibangun dan sebagai bahan presentasi dan
sharing dengan team work lainnya. Namun karena keterbatasan perangkat lunak perangkat simulasi ini, banyak para networker’s yang hanya menggunakan alat bantu
tools VISIO untuk membangun topologi yang akan didesign. 4
Implementasi : di Tahapan ini akan memakan waktu yang lebih lama dari tahapan sebelumnya. Dalam implementasi networker’s akan
menerangkan semua yang telah direncanakan dan di design sebelumnya. Implementasi merupakan tahapan yang sangat menentukan dari berhasilnya
gagalnya project yang akan dibangun dan tahapan inilah Team Work akan diuji dilapangan untuk menyelesaikan maslah teknis dan non teknis. Ada beberapa
masalah-masalah yang sering muncul pada tahapan ini diantaranya : a.
Jadwal yang tidak tepat karena faktor-faktor penghambat b.
Masalah dana anggaran dan perubahan kebijakan c.
Team work yang tidak solid d.
Peralatan pendukung dari vendor maka dibutuhkan manajemen project dan manajemen resiko untuk meminimalkan
sekecil mungkin hambatan-hambatan yang ada. 5
Monitoring : setelah implementasi tahapan monitoring merupakan tahapan yang penting agar jaringan komputer dan komunikasi dapat
berjalan sesuai dengan keinginan dan tujuan awal dari user pada awal analisis, maka perlu dilakukan kegiatan monitoring. Monitoring biasa berupa melakukan
pengamatan pada : a.
Infrastruktur hardware : dengan mengamati kondisi reliability kehandalan sistem yang telah dibangun realibility = performance +
availability + security
b. Memperhatikan jalannya packet data di jaringan times,
latency, peektime, troughput c.
Metode yang digunakan untuk mengamati “kesehatan” jaringan dan komunikasi secara umum, secara terpusat atau tersebar.
Pendekatan yang paling sering dilakukan adalah pendekatan Network Management, dengan pendekatan ini banyak perangkat baik yang lokal dan tersebar dapat di
monitor secara utuh. 6
Management, di management atau pengaturan, salah satu yang menjadi perhatian khusus adalah masalah Policy, kebijakan perlu dibuat untuk
membuat mengatur agar sistem yang telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsure Reliability terjaga. Policy akan sangat tergantung
dengan kebijakan level management dan startegi bisnis perusahaan tersebut. IT sebisa mungkin harus dapat mendukung atau memanagement dengan starategi bisnis
perusahaan.
BAB III
METODOLOGI PENELITIAN
Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem.
Berikut penjelasan kedua metode tersebut :
3.1 Metode Pengumpulan Data
Pengumpulan data merupakan proses pengadaan data primer untuk keperluan penelitian. Pengumpulan data merupakan proses yang penting pada metode ilmiah, karena
pada umumnya data yang dikumpulkan digunakan untuk menguji rumusan hipotesis. Pengumpulan data adalah prosedur yang sistematis dan standar untuk memperoleh data yang
diperlukan Nazir, 2005. 3.1.1 Studi Lapangan Observasi
Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat
standar lain untuk keperluan tersebut. Penulis melakukan penelitian di Sekolah Islam Fitrah Al Fikri Depok Jl. Raden Saleh, Sukmajaya Depok dengan melakukan wawancara langsung
dengan pihak administartor jaringan yang dilakukan pada penelitian sekitar bulan januari 2011 dan hasil dari wawancara dapat dilihat pada lampiran 8.
3.1.2 Studi Pustaka atau Literatur
Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data
penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi tersebut berasal dari dokumen dokmen resmi RFC Request for Comment yang telah di
standarisasikan oleh badan standarisasi seperti IEEE dan IETF. Referensi tersebut sebagai
acuan untuk membuat landasan teori. dan referensi – referensi lainnya yang digunakan oleh penulis dapat dilihat pada Daftar Pustaka.
Studi literatur yang penulis gunakan sebagai referensi yaitu :
Tabel 3.1 Studi Literatur No
JUDUL PENULIS TAHUN
PEMBAHASAN 1.
Analisis dan Perancangan Sistem
Keamanan Jaringan Nirkabel
Menggunakan EAP- TLS
Ali Mahrudi
2006 Skripsi ini menekankan
pada analisa dan perancangan extensible
authentication protocol – Transport Layer Protocol
EAP-TLS sebagai solusi dari resiko terhadap
gangguan keamanan jaringan nirkabel FST
UIN Jakarta . EAP TLS merupakan protokol
802.1x mekanisme kerja otentikasi EAP-TLS
memerlukan certificate pada sisi client dan server
2. AUTENTIKASI
PENGGUNA WIRELESS LAN
BERBASIS RADIUS SERVER
Studi Kasus WLAN Universitas Bina
Darma
Oleh: Yesi Novaria
Kunang Ilman Zuhri
Yadi Dosen
Tetap Universitas
Bina Darma
2007 Skripsi ini menekankan
pada analisa dan perancangan sistem
autententikasi wireless berbasi RADIUS
SERVER sebagai solusi dari resiko terhadap
gangguan keamanan di Universitas Bina Darma
3. Analisa Protokol
Autentikasi Remote Access Dial-
In User Service dan Aspek
Keamanannya Ari
Darmariyadi 2003
RADIUS merupakan protokol yang digunakan
untuk melakukan authen- tication, authorization and
accounting AAA pada jaringan akses den-
gan menyediakan proteksi terhadap pencurian akses.