Gambar 4.1 Proses Otentikasi TTLS MSCHAPv2 Proses otentikasi TTLS terjadi dalam dua tahapan : 1. Fase pertama menggunakan EAP dan jenis TTLS EAP untuk membuat sebuah channel TLS. 2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk mengotentikasi akses ke jaringan. dalam hal ini EAP yang digunakan adalah MSCHAPv2. Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan perangkat access point yang memanfaatkan RADIUS server untuk melakukan proses transaksi paket paket TTLS-MSCHAPv2 sebagai berikut : Pembuatan channel TLS : 1. Asosiasi dan Meminta Identitas Ketika sebuah client wireless berasosiasi dengan access point, client akan mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point memproeses penerimaan pesan EAP-start, access point akan mengirimkan sebuah pesan EAP- RequestIdentity ke client wireless. 2. EAP-ResponseIdentity Jika tidak terdapat user yang logon melalui client wireless, access point akan mengirimkan sebuah EAP-Responseidentity yang berisi nama komputer. Untuk client windows yang dikirim berupa FQDN Fully Qualified Domain Named dari account komputer. Jika terdapat user yang logon, access point akan mengirimkan EAP-Response identity yang berisi username. Dalam proses TTLS, username yang dikirimkan berupa anonim. Access Point akan melewatkan pesan Responseidentity ke server RADIUS dalam bentuk RADIUS access request. Berikut hasil capture paket ini dengan menggunakan tools wireshark. Gambar 4.2 Capture paket EAP Response Identity Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client, berisi anonim dengan panjang paket 11 byte. 3. EAP-request dari Server RADIUS TLS dimulai Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi sebuah pesan EAP-request dengan jenis EAP yang digunakan pada proses TLS, permintaan ini menunjukkan bahwa proses otentikasi TLS dimulai. Gambar 4.3 Capture Paket EAP Request-TLS start Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server otentikasi, yang menandakan bahwa fase TLS dimulai. Tipe otentikasi yang digunakan adalah TTLS. Panjang paket ini adalah 6 byte. 4. EAP-Response dari Client wireless paket Hello TLS client Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP yang digunakan, hal ini dikenal dengan proses pengiriman paket hello TLS. Access Point akan melewatkan pesan EAP ke server RADIUS dalam bentuk pesan RADIUS access-request. Berikut hasil capture paket hello TLS client. Gambar 4.4 Capture Paket Hello-TLS client Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client, berisi paket client hello. Paket ini membawa atribut : random session ID, cipher suites, metode compression. dengan panjang paket 116 byte. 5. EAP request dari Server RADIUS sertifikat milik RADIUS Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi pesan EAP request dengan jenis EAP yang digunakan pada TTLS dan berisi rangkaian server hello, sertifikat dari RADIUS server, dan pesan server hello done. Access point melewatkan pesan EAP ke client. Berikut hasil capture paket sertifikat server. Gambar 4.5 Capture Paket EAP Request Sertifikat Server Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server, berisi paket server certificate dan paket server hello done. panjang paket ini adalah 1024 byte. 6. EAP-Response dari client wireless Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat dari client wireless. Access point melewatkan pesan EAP tersebut ke server RADIUS. Pada TTLS sertifikat pada sisi client tidak dikirim. Selanjutnya paket yang akan dikirim adalah client key exchange dan change cipher spec. berikut hasil capture paket tersebut. Gambar 4.6 Capture Paket EAP Response-Client Key Exchange Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client, berisi paket client key exchange dan paket change cipher spec. panjang paket ini adalah 336 byte. 7. EAP-Request dari server RADIUS bentuk cipher, TLS lengkap RADIUS mengirimkan sebuah pesan RADIUS access challenge paket EAP request yang berisi sebuah pesan EAP request yang berisi cipher suite dan sebuah indikasi yang menyatakan pertukaran pesan pada otentikasi TLS telah selesai dilakukan. Access point melewatkan pesan EAP ke client. Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS complete Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server, berisi paket change cipher. panjang paket ini adalah 65 byte. Server 8. EAP-Success dari server RADIUS Server RADIUS memperoleh unicast session key dari proses otentikasi TLS. Pada fase ini jalur TLS telah terbentuk dan siap digunakan untuk fase selanjutnya. Diakhir negosiasi TTLS, server RADIUS mengotentikasi dirinya ke client. Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS dengan menggunakan public key, dan bukan password. Semua rangkaian pesan EAP dikirim diantara client dan server RADIUS secara terenkripsi. Setelah jalur TTLS-TLS dibuat, langkah berikut yang digunakan untuk mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2. Otentikasi menggunakan MSCHAPv2 : Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara clear text, karena paket paket tersebut sudah berada pada jalur TLS yang terenkripsi. 1. Server RADIUS mengirimkan pesan EAP-request identity Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2 2. Client merespon dengan pesan EAP-Response identity yang berisi identitas nama usernama komputer dari client Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2 3. Server RADIUS mengirimkan sebuah EAP-request EAP-ms-chap v2 challenge yang berisi serangkaian string challenge Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge 4. Client merespon dengan pesan EAP-responseEAP-ms-chap v2 Response yang berisi Response jawaban string challenge untuk server RADIUS Gambar 4.11 Capture Paket EAP-ResponseEAP-MS-CHAP v2 Response 5. Server RADIUS menerima pesan EAP request EAP-ms-chap v2 success. Yang mengindikasikan jawaban dari client adalah benar dan berisi response challenge string ke client Gambar 4.12 Capture Paket EAP-RequestEAP-MS-CHAP v2 Success 6. Client merespon dengan pesan EAP responseEAP-ms-chap v2 ack, mengindikasikan bahwa respon dari server RADIUS adalah benar. Gambar 4.13 Capture Paket EAP responseEAP-ms-chap v2 ack 7. Server RADIUS mengirimkan sebuah pesan EAP success Gambar 4.14 Capture Paket EAP Success Akhir dari proses saling mengotentikasi ini adalah client dan server RADIUS dapat membuktikan kebenaran password yang digunakan dan pertukaran terjadi didalam jalur yang terenkripsi oleh jalur TLS. Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci MK master session key Kunci MK akan menghasilkan kunci PMK yang akan berubah secara dinamis yang akan di gunakan bersama oleh access point dan client pada proses enkripsi WPA dalam metransmisikan data nya. Proses distribusi kunci ini disebut 4 way handshake. Performa TTLS dipengaruhi dengan jumlah transaksi pengiriman pesan EAP Request dan EAP response, jumlah transaksi ini terdiri dari beberapa round-trip. Round-trip adalah jumlah satu kali paket request dan paket response antara supplicant dan server TTLS. Berikut adalah data paket paket TTLS dalam satu kali proses otentikasinya. Tabel 4.5 Ukuran Pesan EAP dan Waktu Proses Urutan Pesan Sumber Nama Pesan TTLS MSCHAPv2 Ukuran Paket byte Total Waktu milisecond 1. Client Identity 194 0.00 2. Server TTLS-start 119 0.767 3. Client Client –Hello 178 0.729 4. Server 1.server-hello 2.certificate 3. server key exchange 3.server hello done 1132 20.869 5. Client Response-TTLS version 112 1.480 6. Server 1.Server-hello 2.certificate 3. server key exchange 3.server hello done 1087 0.221 7. Client 1. client key exchange 262 27.916 2. change cipher spec 3. encrypted handshake message 8. server 1. change cipher spec 2. encrypted handshake message 165 8.708 9. Client Resonse-type 112 1.605 10. server Encrypted Application data 143 0.344 11. client Encrypted Application data 202 1.744 12. Server Encrypted Application data 159 0.321 13. Client Encrypted Application data 266 6.719 14. Server Encrypted Application data 191 0.889 15. Client Encrypted Application data 186 2.001 16. Server Encrypted Application data 143 0.496 17. Client Encrypted Application data 234 1.870 18. Server EAP-Success 208 0.534 Total Client 1746 77.213 Server 3347

4.3 Design Perancangan

Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan spesfikasi rancangan sistem yang akan dibangun. Penulis membagi proses perancangan menjadi :

4.3.1 Perancangan Topologi

Pada tahap ini, penulis menentukan topologi dari simulasi dari penerapan protokol TTLS yang akan dibangun dan mendefinisikan parameter – parameter konfigurasi yang dibutuhkan untuk menjamin sistem keamanan jaringan yang akan dibangun dapat berjalan dengan baik. Pada tahap ini dirancang suatu skema implementasi infrastruktur TTLS- MSCHAPv2 dengan hasil sebagai berikut : Gambar 4.15 Perancangan Topologi TTLS Rincian keterangan dari gambar rancangan topologi sistem jaringan wireless diatas adalah sebagai berikut : 1. jenis topologi yang diterapkan adalah mode jaringan wireless infrastruktur DB S erv er FR S erv er C lient 1 C lient 3 C lient 2 AP 1 AP 3 AP 2 internet 2. seluruh alamat IP client dan access point yang digunakan menggunakan kelas C subnet-mask 255.255.255.0; direpresentasikan dengan format Classless Inter- Domain Routing disingkat menjadi CIDR 24. 3. pada segmen jaringan terdapat : a. Client : mendefinisikan client dari WLAN internal. b. Server : mendefinisikan dan merepresentasikan mesin server pada sistem jaringan komputer c. Access point AP : mendefinisikan sebagai device yang menjadi perantara antara komunikasi berbasis kabel dan udara Hasil dari pembangunan sistem ini adalah sistem keamanan jaringan wireless yang secure dan mudah untuk di implementasikan serta sistem ini dapat melakukan proses otentikasi secara terdistribusi. Penggunaan sertifikat digital pada sisi client pada protokol EAP-TLS dirubah dengan menggunakan kombinasi username dan password. Topologi TTLS yang dirancang ini akan diimplementasikan pada jaringan Wireless Sekolah Islam AL Fikri. Berikut adalah topologi jaringan wireless Sekolah Islam AL Fikri saat ini :