IEEE 802.11b IEEE 802.11g Mekanisme Kerja Penelitan

terjadinya interferensi dari perangkat nirkabel lainnya karena frekuensi ini jarang digunakan. Kelemahannya antara lain membutuhkan biaya yang lebih besar, jarak jangkuan lebih pendek karena frekuensi tinggi dan juga dapat menyebabkan sinyal mudah diserap oleh benda penghalang seperti tembok.

b. IEEE 802.11b

Menggunakan teknik modulasi direct sequence spread sprectrum DSSS dan berjalan pada pita frekuensi 2,4 Ghz dengan kecepatan transfer 11 Mbps. Kelebihan dari standar ini adalah biaya implementasi yang lebih sedikit dan jarak jangkauan yang lebih baik. Kelemahannya adalah kecepatan transfer yang lebih lambat dan rentan terhadap interferensi karena frekuansi 2,4 GHz juga banyak digunakan oleh perangkat lainnya.

c. IEEE 802.11g

Menggunakan teknik modulasi OFDM dan DSSS sehingga memiliki karakteristik dari kedua standar 802.11b dan 802.11a. Standar ini bekerja pada frekuensi 2.4 GHz dengan kecepatan transfer data mencapai 54 Mbps tergantung dari jenis modulasi yang digunakan. Kelebihan dari standar ini adalah kecepatan transfer data yang tinggi menyamai standar 802.11a, jarak jangkauan yang cukup jauh dan lebih tahan terhadap penyerapan oleh material tertentu karena bekerja pada frekuensi 2,4 GHz. Kelemahannya adalah rentan terhadap interferensi dari perangkat nirkabel lainya. Gunadi, 2009 Secara umum perbandingan diantara standar WLAN yang dimaksud dapat dijabarkan seperti pada table 2.1 berikut : Tabel 2.1 Perbandingan Standar Wireless LAN Sumber : Gunadi, 2009 802.11b 802.11a 802.11g 802.11n Standard approved July 1999 July 1999 June 2003 Not yet ratified Maximum data rate 11 Mbps 54 Mbps 54 Mbps 600 Mbps Modulation DSSS or CCK OFDM DSSS or CCK or OFDM DSSS or CCK or OFDM RF band 2,4 GHz 5 GHz 2,4 GHz 2,4 GHz or 5 GHz Number of spatial streams 1 1 1 1, 2, 3, or 4 Channel width 20 MHz 20 MHz 20 MHz 20 MHz or 40 MHz Compatible with … 802.11 b 802.11 a 802.11 bg 802.11 bgn

d. IEEE 802.11i

IEEE 802.11i atau yang juga sebagai WPA2 merupakan standarisasi pada 802.11 yang khusus menspesifikasikan mekanisme keamanan untuk jaringan nirkabel. Draft standarisasi ini yang disetujui pada 24 Juni 2004 dirancang untuk menggantikan protokol WEP yang memiliki celah keamanan yang besar. Wi-Fi Alliance sebelumnya telah mengeluarkan standarisasi WPA sebagai solusi sementara untuk mengganti WEP. WPA2 adalah perbaikan dan versi final dari WPA. 802.11i menggunakan algoritma enkripsi AES block cipher, sedangkan WEP dan WPA menggunakan RC4 stream cipher. Arsitektur 802.11i terdiri dari beberapa komponen, 802.1x untuk otentikasi, RSN Robust Secure Network untuk memantau status assosiasi, dan AES-based Cipher Block Chaining Message Authentication Code Protocol CCMP untuk menyediakan fasilitas confidentiality, integrity, dan data encryption. Selain itu, komponen penting lainnya dalam proses otentikasi 802.11 adalah proses 4-way handshake. Reza Fuad R

2.1.4 Teknik Enkripsi Wireless LAN

Dalam jaringan nirkabel dikenal ada beberapa teknik enkripsi yang biasa digunakan, antara lain : 1. Wired Equivalent Privacy WEP Teknik enkripsi WEP menggunakan kunci key yang disebar antara accsess point dengan kliennya dalam satu jaringan supaya masing – masing dapat melakukan proses enkripsi dan dekripsi, karena kedua proses tersebut hanya mungkin dilakukan jika memiliki key yang sama. key yang digunakan pada WEP standar adalah 64 bit, 40 bit adalah key dan 24 bit sisa nya adalah Initialization Vector IV yang dikirimkan berupa teks untuk proses otentikasi. Andaikan key yang digunakan pada enkripsi tidak dikenali oleh klien yang seharusnya melakukan dekripsi, maka frame tersebut akan ditolak. Enkripsi ini kemudian menjadi kurang popular karena dikatahui terdapat kelemahan yaitu memiliki IV yang pendek, sehingga memungkinkan terjadinya pengulangan IV yang digunakan untuk setiap jumlah frame yang dikirimkan, tergantung pada luas jaringan dan jumlah pengguna yang terhubung tingkat kesibukan jaringan dan membuat cracker bisa dengan mudah menerka IV dan menembus enkripsi WEP. Namun WEP masih tetap menjadi pilihan untuk keamanan minimal yang biasa digunakan pada jaringan nirkabel rumahan. 2. Wi – Fi Protected Access WPA WPA dibuat sebagai tindak lanjut atas kelemahan WEP dengan menggunakan algoritma enkripsi baru menggunakan key yang dinamis dan berubah secara periodik. WPA yang telah dikembangkan saat ini adalah WPA yang digunakan pada jaringan nirkabel yang sudah umum dan WPA 2. Teknik enkripsi yang digunakan WPA bisa dibagi menjadi dua jenis, yaitu Temporal Key Integrity Protocol TKIP yang dibuat sebagai pengganti WEP dengan menggunakan key sepanjang 128 bit dan berubah untuk setiap frame yang akan dikirimkan serta Advance Encryption Standard AES yang menggunakan algoritma yang lebih baik namun membutuhkan sumber daya yang lebih besar dan digunakan pada WPA2. WPA sendiri dapat digolongkan menjadi 2 jenis, yaitu WPA Personal yang menggunakan Pre-shared Key PSK dan WPA Enterprise.Penggunaan PSK ditujukan pada jaringan yang berada di lingkungan rumah atau kantor kecil dimana tidak ada pengguna server ontentikasi kompleks. WPA Enterprise kebanyakan digunakan pada jaringan perusahaan dimana keamanan adalah sesuatu yang penting bagi mereka sehingga menggunakan server otentikasi sendiri seperti Remote Authentication Dial-in User Service RADIUS. Extensible Authentication Protocol EAP digunakan pada jenis WPA ini yang hanya mengizinkan pemakaian sebuah port untuk mengirimkan paket – paket EAP dari klien ke server otentikasi. EAP akan menutup semua lalu lintas data lainnya yang menuju server sampai terbukti bahwa pengguna adalah pemakai yang sah. Ilman Zuhri Yadi.

2.2 Protokol Keamanan AAA

Menurut Jonathan Hassel 2002 Konsep kerja Server Otentikasi dikenal dengan AAA authentication, authorization, and accounting. Yang terdiri dari Otentikasi, Otorisasi, dan Pendaftaran akun pengguna. Konsep AAA mempunyai fungsi yang berfokus pada tiga aspek dalam kontrol akses user, yaitu : a. Authentication Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID username dan password. jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan masuk dan sebaliknya. b. Authorization Ototrisasi melibatkan penggunaan seperangkat aturan aturan yang berlaku untuk memutuskan aktifitas apa saja yang dizinkan dalam sistem atau sumber daya jaringan tertentu untuk pengguna yang terotentikasi. Proses Authorization merupakan lanjutan dari proses Authentication. Proses Authorization dapat dianalogikan sebagai berikut : jika anda sudah mengizinkan tamu untuk masuk kerumah anda, tentu anda mempunyai aturan – aturan yang ditempel di dinding rumah anda, misalnya tamu hanya boleh masuk sampai dengan ruang tamu. dengan aturan seperti ini tentu akan memudahkan seseorang untuk melakukan kontrol terhadap sumber daya jaringan tertentu. c. Accounting Proses Accounting merupakan proses dimana terdapat proses pencatatan berapa lama seorang pengguna sudah terkoneksi waktu mulai waktu stop yang telah dilakukan selama pemakaian. data dan informasi ini sangat berguna baik untuk pengguna maupun administratornya. biasanya laporan ini digunakan untuk melakukan auditing, membuat laporang pemakaian, membaca karakteristik jaringan, dan pembuatan billing tagihan. jadi pada intinya proses accounting berguna untuk mengetahui apa saja yang dilakukan oleh client dan service apa saja yang dilakukan oleh client. analogi sederhananya adalah mesin absensi dikantor, ia akan mencatat waktu datang dan waktu pulang, dengan demikian petugas dapat memonitoring karyawan dengan mudah. Jonathan Hassel, 2002.

2.2.1 Remote Authentication Dial-In User Service RADIUS

RADIUS merupakan singkatan dari Remote Acces Dial in User Service. Pertama kali di kembangkan oleh Livingston Enterprises. Merupakan network protokol keamanan komputer yang digunakan untuk membuat manajemen akses secara terkontrol pada sebuah jaringan yang besar. RADIUS didefinisikan di dalam RFC 2865 dan RFC 2866. RADIUS biasa digunakan oleh perusahaan untuk mengatur akses ke internet atau interner bagi client. RADIUS melakukan otentikasi, otorisasi, dan pendaftaran akun pengguna secara terpusat untuk mengakses sumber daya jaringan. Sehingga memastikan bahwa pengguna yang mengakses jaringan adalah pengguna yang sah. RADIUS berstandar IEEE 802.1x. Sering disebut “port based authentication”. RADIUS merupakan protokol client – server yang berada pada layer aplikasi pada OSI layer. Dengan protokol transport berbasis UDP. Jonathan Hassel, 2002.

2.2.1.1 Format Paket RADIUS

Protokol RADIUS menggunakan paket UDP untuk melewati transmisi antara client dan server. Protokol tersebut akan berkomunikasi pada port 1812. Berikut struktur paket RADIUS : Gambar 2.6 Format paket RADIUS Format paket data RADIUS pada gambar 2.4 terdiri dari lima bagian, yaitu:

1. Code : memiliki panjang satu oktet, digunakan untuk membedakan

tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut dalam desimal dapat dilihat pada tabel 2.2 Tabel 2.2 Kode tipe pesan RADIUS Kode Tipe pesan RADIUS 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server experimental 13 Status-Client experimental 255 Reserved

2. Identifier : Memiliki panjang satu oktet, bertujuan untuk mencocokkan

permintaan. 3. Length : Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket.

4. Authenticator : Memiliki panjang 16 oktet, digunakan untuk

membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password. 5. Attributes : Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat membawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, alamat IP access point AP, pesan balasan. Tujuan standar 802.1x IEEE adalah untuk menghasilkan kontrol akses, autentikasi, dan manajemen kunci untuk wireless LANs. Standar ini berdasarkan pada Internet Engineering Task Force IETF Extensible Authentication Protocol EAP, yang ditetapkan dalam RFC 2284.

2.2.1.2 Tipe Paket Pesan RADIUS

Ada empat jenis paket pesan RADIUS yang relevan dengan otentikasi dan otorisasi pada fase transaksi AAA yaitu : 1. Access-Request Paket Access-Request digunakan oleh layanan konsumen ketika meminta layanan tertentu dari jaringan. Client mengirimkan paket request ke RADIUS server dengan daftar layanan yang diminta. Faktor kunci dalam transmisi ini adalah kolom kode pada header paket, dimana header paket tersebut harus di set dengan nilai 1, yang merupakan nilai unik pada paket permintaan. RFC menyatakan bahwa balasan harus dikirimkan ke semua paket permintaan yang valid, apakah jawabannya adalah otorisasi atau penolakan. Gambar 2.7. Paket Access-Request Sumber : RADIUS, OReilly Tabel 2.3 Paket Access-Request Sumber : RADIUS, OReilly Packet Type Response Code 1 Identifier Unique per request Length Header length plus all additional attribute data Authenticator Request Attribute Data 2 or more 2. Access-Accept Paket Access-Accept dikirim oleh RADIUS server kepada client untuk mengakui bahwa permintaan klien diberikan. Jika semua permintaan Access-Request dapat diterima, maka server RADIUS harus mengatur paket respon dengan nilai 2 pada sisi client, setelah paket tersebut diterima, paket tersebut di cek apakah sama atau benar paket tersebut adalah paket respon dari RADIUS server dengan menggunakan identifier field. Jika terdapat paket yang tidak mengikuti standar ini maka paket tersebut akan dibuang. Paket Access-Accept dapat berisi banyak atau sedikit atribut informasi yang perlu untuk dimasukkan. Kemungkinan besar atribut informasi pada paket ini akan menjelaskan jenis layanan apa saja yang telah dikonfirmasi dan resmi sehingga client dapat menggunakan layanan tersebut. Namun, jika tidak ada atribut informasi yang disertakan, maka client menganggap bahwa layanan yang diminta adalah yang diberikan. Gambar 2.8 Paket Access- Accept Sumber: RADIUS, OReilly Tabel 2.4 Paket Access-Accept Sumber: RADIUS, OReilly Packet Type Response Code 2 Identifier Identical to Access-Request per transaction Length Header length plus all additional attribute data Authenticator Response Attribute Data 0 or more 3. Access-Reject RADIUS server dapat pula mengirimkan paket Access-Reject kembali ke client jika harus menolak salah satu layanan yang diminta client dalam paket Access-Request. Penolakan tersebut dapat didasarkan pada kebijakan sistem, hak istimewa yang tidak cukup, atau kriteria lain. Access-Reject dapat dikirim setiap saat selama waktu koneksi. Nilai yang diberikan untuk kode pada paket ini adalah 3. Gambar 2.9 Paket Access- Reject Sumber : RADIUS, OReilly Tabel 2.5 Paket Access- Reject Sumber : RADIUS, OReilly Packet Type Response Code 3 Identifier Identical to Access-Request Length Header length plus all additional attribute data Authenticator Response Attribute Data 0 or more

4. Access-Challenge

Apabila server menerima informasi yang bertentangan dari user, atau membutuhkan informasi lebih lajut, atau hanya ingin mengurangi risiko otentikasi palsu, server dapat menerbitkan paket Access-Challenge untuk client. Setelah client menerima paket Access-Challenge client harus memberikan paket Access-Request yang baru disertai atribut informasi yang diminta server. Nilai yang diberikan pada header paket ini adalah 11. Gambar 2.10 Paket Access- Challenge Sumber : RADIUS, OReilly Tabel 2.6 Paket Access-Challenge Sumber : RADIUS, OReilly Packet Type Response Code 11 Identifier Identical to Access-Request Length Header length plus all additional attribute data Authenticator Response Attribute Data 0 or more

2.2.1.3 Tahapan Koneksi RADIUS

Penggunaan RADIUS terhadap usaha pembentukan koneksi jaringan dapat dilakukan dengan melalui tahapan tahapan berikut: 1. Access server, access point menerima permintaan koneksi dari access client 2. Access server dikonfigurasi agar dapat menggunakan RADIUS sebagai protokol yang melakukan proses otentikasi, otorisasi dan accounting, membuat sebuah pesan access request dan mengirimkannya ke server RADIUS. 3. Server RADIUS melakukan evaluasi pesan Access request 4. Jika dibutuhkan, server RADIUS mengirimkan pesan access challenge ke access server. Jawaban terhadap pesan tersebut dikirimkan dalam bentuk access request ke server RADIUS. 5. Surat kepercayaan dan otorisasi dari usaha pembentukan koneksi diverifikasi. 6. Jika usaha pembentukan koneksi dan diotorisasi, server RADIUS mengirimkan sebuah pesan access accept ke access server. Sebaliknya jika usaha tersebut ditolak maka server RADIUS mengirimkan sebuah pesan access reject ke access server. 7. Selama menerima pesan access accept, access server melengkapi proses koneksi dengan access client dan mengirimkan sebuah pesan accounting request ke server radius. 8. Setelah pesan accounting request diproses, server RADIUS mengirimkan sebuah pesan accounting response. Zaenal Arifin, 2008 Gambar 2.11. Proses Pembentukan koneksi protokol RADIUS Sumber: http:www.wi-fiplanet.comtutorialsarticle.php3114511Using- RADIUS-For-WLAN-Authentication-Part-I.htm

2.2.1.4 Realm

RADIUS hadir dengan kemampuan untuk mengidentifikasi user berdasarkan desain dan area yang berlainan. atau disebuat realm. Realm adalah identifier yang ditempatkan sebelum atau sesudah nilai yang biasanya berisikan atribut Username yang bisa digunakan server RADIUS untuk mengenal dan menghubungi server yang sedang digunakan untuk memulai proses AAA. Tipe pertama dari realm identifier yang dikenal sebagai realm prefix., yang mana nama realm ditempatkan sebelum username, dan kedua dipisahkan oleh karakter prekonfigurasi, seperti kebanyakan , \, atau . Untuk lebih lanjut, sebuah user bernama jhassel yang terdaftar di layanan central state internet merupakan realm dengan nama CSI bisa mengatur klien untuk memberikan username seperti CSIjhassel. Sintaks realm identifier lainnya adalah realm suffix, dimana username ditempatkan sebelum nama realm. Pemisah yang sama masih digunakan didalam sintaks ini hingga saat ini, lebih lanjut yang pada umum nya adalah tanda . Sebagai contoh, user awatson mendaftar ke layanan northwest internet nama realm : NWI menggunakan identifikasi suffix realm bisa memberikan username seperti awatsonNWI. Jonathan Hussel, 2003.

2.3 Protokol Otentikasi

Protokol adalah suatu kumpulan dari aturan-aturan yang berhubungan dengan komunikasi data antara alat-alat komunikasi supaya komunikasi data dapat dilakukan dengan benar. Jabatan tangan merupakan contoh dari protokol antara dua manusia yang akan berkomunikasi. Pada istilah komputer, jabatan tangan handshaking menunjukkan suatu protokol dari komunikasi data bila dua buah alat dihubungkan satu dengan yang lainnya untuk menentukan bahwa keduanya telah kompatibel. Jogianto, 1999. Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID username dan password. jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan masuk dan sebaliknya. Jonathan Hassel.

2.3.1 Password Authentication Protocol PAP

PAP secara lebih spesifik dibahas dalam RFC 1334. Algoritma yang digunakan untuk menyembunyikan informasi User-Password terdiri dari banyak proses. Pertama, RADIUS klien akan mendeteksi nilai identifier dan shared secret, lalu mengirimkannya untuk diproses dengan MD5 hashing. Informasi password pengguna akan diteruskan pada proses XOR dan hasil dari kedua proses ini akan dimasukkan pada atribut User-Password. Lalu server RADIUS yang menerima paket tersebut akan melakukan prosedur sebelumnya tetapi dengan urutan terbalik, sehingga server RADIUS dapat menentukan otorisasi bagi pengguna. Mekanisme penyembunyian password ini digunakan untuk mencegah pengguna mengetahui penyebab kegagalan proses otentikasi apakah disebabkan kesalahan pada password atau shared secret. TCPIP Guide, Charles M. Kozierok. Gambar 2.12 Tahapan Otentikasi PAP Sumber : http:www.orbit-computer-solutions.comimagespap.jpg

2.3.2 Challenge Handshake Authentication Protocol CHAP

CHAP dikembangkan dengan alasan bahwa password seharusnya tidak ditransmisikan melalui jaringan. CHAP secara dinamis mengenkripsi informasi username dan password. Pada otentikasi CHAP terdapat 3 proses yang dikenal dengan 3 way- Hanshake, proses proses tersebut adalah : 1. Challenge : authenticator membuat sebuah frame yang dinamakan Challenge dan dikirimkan initiator. frame ini berisi text sederhana yang disebut challenge text..

2. Response : The initiator menggunakan password untuk melakukan

proses encrypt pada challenge text. Kemudian challenge text yang sudah terencrypt dikirimkan kepada authenticator. 3. Success or Failure: authenticator melakukan sesi pencocokan pesan yang di encrpt tersebut dengan challenge text milik nya yang di encrypte dengan password yang sama. Jika hasil encrypt initiator sama dengan hasil encrypt authenticator maka authenticator menyatakan proses otentikasi sukses. Sebalik nya jika tidak ditemukan kecocokan maka proses otentikasi failure. TCPIP Guide, Charles M. Kozierok. Gambar 2.13 Proses CHAP 3-way Handshake Sumber : http:www.orbit-computer-solutions.comimagesCHAP3.jpg

2.3.3 Extensible Authentication Protocol EAP

EAP atau Extensible Authentication Protocol adalah suatu framework otentikasi yang menyediakan layanan transport dan penggunaan keying material dan parameter yang dihasilkan oleh EAP methods. EAP pada awalnya dikembangkan untuk koneksi Point-to-Point atau PPP. Namun, saat ini EAP juga diimplementasikan dan banyak digunakan untuk otentikasi pengguna pada jaringan nirkabel. EAP digunakan pada three-tier authentication, maka pada proses komunikasinya EAP akan menggunakan transport protokol yang berbeda. Pertama, pada komunikasi antara supplicant dan authenticator, EAP akan menggunakan data link protocol seperti PPP, Ethernet atau WLAN. Kedua, pada komunikasi antara authenticator dan authentication system, EAP akan menggunakan application layer protocol seperti RADIUS atau Diameter. Gambar 2.14 Proses komunikasi protokol EAP antara supplicant, NAS dan authentication server Dalam EAP terdapat beberapa komponen diantaranya : Gambar 2.15 Komponen EAP Sumber : Tom Rixom 1. Supplicant Merupakan Wireless Node yang ingin mengakses Jaringan disebut Supplicant. 2. Authenticator merupakan perangkat yang memberikan akses menuju server. Authenticator merupakan device yang memproses apakah suatu supplicant dapat mengakses jaringan atau tidak. authenticator mengontrol dua jenis port yaitu yang disebut dengan controlled ports dan yang disebut dengan uncontrolled ports. Kedua jenis port tersebut merupakan logikal port dan menggunakan koneksi fisikal yang sama. Sebelum otentikasi berhasil, hanya port dengan jenis uncontrolled yang dibuka. Trafik yang diperbolehkan hanyalah EAPOL atau EAPOW. Setelah supplicant melakukan autentifikasi dan berhasil, port jenis controlled dibuka sehingga supplicant dapat mengakses LAN secara biasa. IEEE 802.1x mempunyai peranan penting dari standar 802.11i. Gambar 2.16 Skema port based authentication Sumber : Standar IEEE 802.1x. Teori dan Implementasi 3. Authentication Server RADIUS yaitu server yang menentukan apakah suatu supplicant valid atau tidak. Authentication server adalah berupa RADIUS server [RFC2865].

2.3.3.1 EAP Over RADIUS

EAP over RADIUS merupakan sebuah mekanisme otentikasi yang dilakukan oleh access server access point untuk melewatkan pesan EAP dari jenis EAP apa pun ke RADIUS server untuk melakukan proses otentikasi. Sebuah pesan EAP dikirim diantara access client dan access server dengan menggunakan format attribute EAP Message RADIUS dan dikirim sebagai pesan RADIUS antara access server dan server RADIUS. Access server hanya menjadi perangkat yang melewatkan pesan EAP diantara client dan server RADIUS. Pemrosesan pesan EAP dilakukan oleh access client dan server RADIUS, tidak dilakukan oleh access server. EAP over RADIUS digunakan dalam lingkungan dimana RADIUS sebagai penyedia mekanisme otentikasi. Keuntungan yang bisa diperoleh dengan menerapkan EAP over RADIUS adalah jenis EAP tidak perlu diinstall pada setiap access server, cukup dilakukan pada server RADIUS. Tetapi, access server harus mendukung EAP sebagai protokol untuk melakukan kegiatan otentikasi dan melewatkan pesan EAP ke server RADIUS. Karena EAP merupakan bagian dari standar 802.1x, kita harus mengaktifkan otentikasi 802.1x untuk mengaktifkan AP agar dapt menggunakan EAP. Ketika koneksi dibuat, access client bernegosiasi dengan access server menggunakan EAP. Ketika client mengirimkan pesan EAP ke access server, access server membungkus pesan EAP dalam bentuk attribut EAP message kemudian diubah menjadi pesan RADIUS access Request dan mengirimkannya ke server RADIUS. Server RADIUS memproses attribute EAP-Message dan mengirimkan sebuah pesan EAP-Response dalam bentuk pesan RADIUS Access- Challenge ke access server. Selanjutnya, access server melewatkan pesan EAP ke access client. Gambar 2.17 Konversi pesan EAP dan pesan RADIUS Sumber : sistem pengamanan jaringan wireless, zaenal arifin

2.3.3.2 EAP over LAN EAPOL

EAPOL adalah suatu protokol yang menyediakan cara-cara mengenkapsulasi paket-paket EAP dalam protokol LAN atau Ethernet. EAPOL didesain untuk standarisasi IEEE 802.1X yang digunakan pada jaringan kabel maupun nirkabel. Berikut ini adalah beberapa jenis paket-paket EAPOL, yaitu: 1. EAPOL-Start : merupakan sebuah frame EAPOL yang baru. Frame ini dikembangkan untuk mekanisme network-sensing pada jaringan nirkabel. Pada saat permintaan akses, supplicant akan mengirimkan frame EAPOL start secara multicast ke beberapa alamat MAC yang telah dipersiapkan untuk 802.1x authenticators, sehingga authenticator dapat mengetahui apabila ada pengguna yang memerlukan ijin akses. 2. EAPOL-Key : frame ini dirancang untuk mendukung kombinasi antara proses otentikasi dan proses pendistribusian kunci, dimana authenticator akan mengirim kunci yang digunakan untuk enkripsi komunikasi data ke supplicant. 3. EAPOL-Packet : frame ini merupakan frame utama untuk protokol EAPOL, dimana frame ini bertugas untuk membawa paket atau pesan EAP. Semua tipe pesan EAP EAP request, EAP response, EAP success dan EAP failure dibawa oleh frame EAPOL-Packet. 4. EAPOL-Logoff : frame ini digunakan oleh supplicant untuk mengindikasikan bahwa pengguna ingin mengakhiri koneksi. Gambar 2.18. Format paket EAPOL

2.4 EAP Methods

EAP sebenarnya hanya sebuah authentication framework dan tidak menyediakan mekanisme tertentu yang dapat digunakan untuk proses otentikasi. Tetapi, EAP menyediakan fungsi-fungsi umum dan negosiasi metode otentikasi yang disebut EAP methods. Beberapa EAP methods yang sering digunakan, yaitu EAP-MD5, EAP-OTP, EAP-GTC, EAP-SIM, EAP-AKA, EAP-TLS, EAP-TTLS dan PEAP. Ketiga EAP methods yang terakhir, yaitu EAP-TLS, EAP-TTLS dan PEAP adalah EAP methods yang sering digunakan pada jaringan nirkabel. EAP methods ini mendukung fitur mutual authentication dan penggunaan digital certificate. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada sisi client dan satu lagi pada sisi server. sedangkan pada EAP-TTLS dan PEAP, digital certificate pada sisi client bersifat optional dan dapat digantikan oleh kombinasi username dan password. Madjid Nakhjiri Gambar 2.19 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS

2.4.1 EAP MD5

EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan tingkat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode dictionary attack, tidak ada mutual otentikasi, dan penurunan kunci; sehingga membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPAWPA2 enterprise.

2.4.2 EAP TLS

EAP-TLS [RFC2716], adalah IETF standar dan banyak disupport oleh vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi, semenjak TLS dianggap sebagai teknik enkripsi yang sukses pada mekanisme SSL. TLS menggunakan Public Key Infrastructure PKI untuk mengamankan komunikasi antara supplicant dan authentication server. EAP-TLS adalah standar EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya merupakan salah satu standar EAP yang paling aman dan secara universal disupport oleh semua manufaktur dari wireless LAN hardware dan software termasuk Microsoft.

2.4.3 EAP TTLS

EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas disupport dan menawarkan tingkat keamanan yang bagus. Standar ini menggunakan PKI sertifikat hanya pada authentication server.

2.4.4 PEAP MSCHAP v2

Protected EAP PEAP, sama seperti EAP-TTLS, memakai TLS-tunnel. Sertifika supplicant untuk PEAP tidak diperlukan, tetapi untuk sertifikat server AS dibutuhkan. PEAP dikembangkan oleh Microsoft, Cisco System, dan RSA Security.

2.4.4.1 Microsoft PPP CHAP Extensions Version 2 MSCHAPv2

Berdasarkan dokumen RFC 2759, Microsoft PPP CHAP Extensions Version 2 MSCHAPv2, merupakan pengembangan dari protokol otentikasi Challenge Hanshake Authentication Protocol CHAP yang dikembangkan oleh tim dari Microsoft, MSCHAP v2 memiliki kemiripan dengan protokol MSCHAPv1 dan protokol CHAP standard nya. Perbedaan mendasar antara protokol MSCHAPv1 dan MSCHAPv2 adalah, pada versi 2 menyediakan fitur mutual authentication antara otentikator dan peer client. a. Format Paket MSCHAPv2 1. Challenge Packet Format paket challenge identik dengan format paket challenge pada CHAP standard. Pada paket ini authenticator akan mengirimkan kepada peer nilai challenge sepanjang 16 oktet. 2. Response Packet Format paket Response identik dengan format paket challenge pada CHAP standard. Format paket terdiri dari : - 16 oktet : peer challenge, merupakan nilai random yang dihasilkan dari sisi peer. - 8 oktet : nilai cadangan, harus diisi kosong zero - 24 oktet : NT response, berisi password yang terenkrisi dan username - 1 oktet : flag, diisi dengan nilai kosong zero 3. Success Packet Format paket Success identik dengan format paket Success pada CHAP standard. Paket ini terdiri dari 42 oktet. Paket ini merupakan pesan response dari authenticator apabila paket response yang dikirimkan peer memiliki nilai yang sesuai. Format paket ini adalah : “S=auth_string M=Message”. 4. Failure Packet Format paket Filure identik dengan format paket Failure pada CHAP standard. Paket ini dikirimkan apabila paket response dari peer tidak ditemukan kesamaan atau tidak sesuai. Format paket ini terdiri dari ”E=eeeeeeeeee R=r C=cccccccccccccccccccccccccc V=vvvvvvvvvv M=msg”. - eeeeeeeeee, merupakan representasi nilai desimal dari pesan error. Berikut daftar pesan error dalam paket ini : Tabel 2.7 Daftar Pesan Error MSCHAPv2 Sumber : RFC 2759 Kode Pesan 646 ERROR_RESTRICTED_LOGON_HOURS 647 ERROR_ACCT_DISABLED 648 ERROR_PASSWD_EXPIRED 649 ERROR_NO_DIALIN_PERMISSION 691 ERROR_AUTHENTICATION_FAILURE 709 ERROR_CHANGING_PASSWORD - r, merupakan flag, diset dengan nilai ”1” jika diizinkan, dan diset dengan nilai “0” jika tidak diizinkan. Nilai ini untuk mengaktifkan dan menonaktifkan short timeouts. - cccccccccccccccccccccccccc, merupakan nilai challenge, dalam hexadesimal memiliki panjang 32 oktet. Nilai challenge wajib ada. - vvvvvvvvvv, dalam ASCII merepresentasikan kode versi dalam desimal. Kode dalam 10 digit. Mengindikasikan perubahan password pada protokol versi yang disupport oleh server. Pada MSCHAPv2, nilai ini harus selalu di set dengan 3. -msg, merupakan text yang dapat dibaca dan dipahami menggunakan bahasa manusia. 5. Change-Password Packet Format paket Change-Password Packet tidak sama pada CHAP dan MSCHAPv1. paket ini memungkinkan peer mengubah password pada account yang telah ditetapkan pada paket response sebelumnya. Paket ni dikirimkan oleh peer kepada authenticator apabila authenticator melaporkan pesan 648 ERROR_PASSWD_EXPIRED. Pada paket Failure. Format paket ini terdiri dari : - 1 oktet, code, di set dengan nilai 7 - 1 oktet, identifier, mencocokkan antara request and replies. Nilai ini berasal dari nilai paket failure ditambah 1 - 516 oktet password terenkripsi - 16 oktet, hash terenkripsi - 16 oktet peer-challenge - 8 oktet cadangan - 24 oktet, server response - 2 oktet, flags.

2.5 Secure Socket Layer SSL Transport Layer Security TLS

Secure socet layer dikembangkan oleh netscape communication corp pada tahun 1994. SSL melindungi transmisi EAP dengan menambahkan lapisan enkripsi pengaman. SSL tidak hanya melindungi data yang dikirim tetapi juga dapat meyakinkan pihak pihak yang berkomunikasi bahwa lawan bicara mereka dapat dipercaya melalui penggunaan sertifikat digital. SSL memberikan tiga keamanan diantaranya : 1. Menjadikan saluran kanal sebagai saluran private. Enkripsi digunakan terhadap seluruh data setelah handshaking protokol pembuka sebelum terjadi pertukaran data. Jadi, data data yang dikirim melalui internet ke tempat tujuan akan terjamin keamanannya. 2. karnel diotentikasi, server selalu diotentikasi dan klien diotentikasi untuk menjaga keamanan data yang akan dikirimkan melalui jaringan. 3. kernel yang andal, dimana setiap data yang disadap dan dimodifikasi saat data dikirim oleh pihak yang tidak bertanggung jawab dapat diketahui oleh pihak yang sedang berkirim data dengan menggunakan message integrity check.

2.5.1 Protocol SSL Record

Digunakan untuk membungkus data yang dikirim dan diterima setelah protokol handshake digunakan untuk membangun parameter keamanan waktu terjadi pertukaran data. Protokol SSL record membagi data yang ada kebentuk blok blok dan melakukan kompresi dengan cara ceksum MAC. Gambar 2.20 Format SSL Record

2.5.2 Protocol SSL Handshake

Berfungsi membangun parameter keamanan sebelum terjadinya pertukaran data antara dua sistem. Berikut tipe tipe pesan yang dikirimkan antara klien dan server : Gambar 2.21 Handshake Protocol Sumber : http:www.cisco.comwebaboutac123ac147archived_issuesipj_1- 1ssl.html 1. Client Hello Message Untuk memulai komunikasi antara klien dan server, sisi klien terlebih dahulu harus mengirimkan pesan client hello ke server. Isi dari pesan ini akan memberitahukan versi, nilai acak, ID sesi, cipher yang didukung dan metode kompresi data yang dapat digunakandiproses oleh klien. Sebuah pesan client hello berisikan informasi berikut: a. Client_version. Bagian ini menginformasikan versi SSL paling tinggi yang dapat dimengerti oleh klien. b. Random. Bagian ini berisi rangkaiankombinasi acak yang dihasilkan oleh klien, dimana kombinasi ini nantinya akan digunakan untuk proses komputasi kriptografi pada protokol SSL. Keseluruhan 32- byte struktur bagian ini sebenarnya tidak sepenuhnya acak. Melainkan, 4-byte diambil dari informasi tanggalwaktu yang berguna untuk menghindari replay attacks. c. Session_id. Bagian ini berisikan identifier suatu sesi SSL. Bagian ini seharusnya tidak memiliki nilai atau kosong apabila klien ingin menghasilkan parameter keamanan yang baru. Apabila terdapat identifier suatu sesi, maka nilai dari bagian ini seharusnya berisi informasi dari sesi sebelumnya. d. Cipher_suites. Bagian ini berisi daftar kombinasi algoritma kriptografi yang didukung oleh klien. Hal ini memberikan kemudahan pada sisi klien, tetapi sisi server tetap menjadi penentu akan algoritma kriptografi yang akan digunakan. Apabila server tidak menemukan suatu pilihan dari daftar kombinasi yang diberikan oleh klien, maka server akan memberikan respons berupa pesan handshake failure alert dan kemudian mengakhiri koneksi tersebut. e. Compression_methods. Sama seperti bagian cipher_suites, bagian ini berisikan daftar kombinasi metode kompresi yang didukung oleh klien. Daftar ini disusun menurut kebutuhankonfigurasi dari klien, tetapi sisi server yang akan memutuskan metode kompresi yang akan digunakan. Bagian jarang digunakan pada SSLv3 dan merupakan fitur pengembangan untuk TLSv1. 2. Server Hello Message Setelah server menerima dan memroses pesan client hello, maka server memiliki dua pilihan pesan yang dapat dikirim ke klien, yaitu pesan handshake failure alert dan server hello. Isi dari pesan server hello kurang lebih sama dengan pesan client hello. Perbedaannya adalah pada pesan client hello berisikan daftar dukungan protokol pada sisi klien, sedangkan pesan server hello memutuskanmemberitahukan protokol yang akan digunakan kepada klien. Adapun isi dari pesan server hello, yaitu: a. Server_version. Bagian ini berisi versi protokol yang dipilih oleh server, dimana versi ini akan digunakan seterusnya untuk komunikasi dengan klien. Server memutuskan hal ini berdasarkan dukungan tertinggi pada kedua pihak. Sebagai contoh, apabila klien mendukung hingga versi SSLv3 dan server mendukung hingga versi TLSv1, maka server akan memilih SSLv3. b. Random. Bagian ini sama seperti yang terdapat pada sisi klien, yang berfungsi untuk proses komputasi kriptografi pada SSL. Nilai dari bagian ini harus bersifat independen dan berbeda dari apa yang dihasilkan pada sisi klien. c. Session_id. Bagian ini menyediakan informasi pengenalidentitas dari sesi yang sedang berjalan. Jika nilai dari session identifier adalah tidak kosong, maka server akan memeriksa dan mencocokan dengan yang terdapat pada session cache. Jika ditemukan nilai yang sama, maka server dapat membentuk sebuah koneksi baru dan melanjutkan status dari sesi yang dimaksud. d. Cipher_suite. Bagian ini mengindikasikan sebuah cipher suite yang dipilih oleh server berdasarkan daftar yang diberikan oleh klien. e. Compression_method. Sama seperti bagian cipher suite, bagian ini mengindikasikan sebuah metode kompresi yang dipilih oleh server berdasarkan daftar dukungan yang diberikan oleh klien 3. Server Certivicate Message Bersamaan dengan pengiriman pesan server hello, server juga mengirimkan sertifikat untuk proses otentikasi. Jenis sertifikat yang umum digunakan adalah x.509v3. sertfikat ini juga digunakan sebagai peertukaran kunci. Algoritma enkripsi yang digunakan berasal dari pemilihan cipher dari client. Nantinya pesan ini yang akan digunakan sebagai public key oleh client saat untuk mengencrypt pesan ke server. 4. Server Key Exchange Pesan ini berisi efek dari pendistribusian kunci server dan algoritma enkripsi yang akan digunakan antara server dan client. 5. Certificate Request Message Pesan ini bertujuan untuk meminta sertifikat dari pihak client. Pengiriman pesan ini menandakan dua indicator : 1. mengindikasikan tipe algoritma yang digunakan pada sertifikat. 2. sertifikat yang diterima adalah sertifikat yang telah diakui oleh Certivicate Authority CA. 6. Server Hello Done Message Pesan ini menandakan bahwa pesan server hello telah dikirim ke pihak client. Dan server menunggu respon dari client 7. Client Certificate Message Pesan ini adalah pesan pertama yang dikirimkan oleh client setelah server hello done message diterima client. Dalam pesan ini client mengirimakn sertifikat client ke server. Jika client tidak dapat mengirimkan sertifikat yang diminta server makan server akan memutuskan komunikasi dengan client. 8. Client Key Exchange Pesan ini membawa kunci untuk server. Tipe algoritma kunci yang digunakan dapat berupa RSA, atau yang lainnya. 9. Certificate Verify Message Pesan ini dikirimkan oleh client bertujuan agar server dapat melakukan verifikasi sertifikat client. 10. Finished Message Pada fase selanjutnya client mengirimkan pesan yang berisi perubahan spesifikasi cipher dibarengi dengan pengiriman pesan finished message. Apabila server menerima pesan finished message dari client. Server mengirimkan change cipher spec message dan mengirimkan finished message. Pada fase ini handshake protocol telah sempurna dan jalur ini selanjutnya dapat digunakan untuk transfer pesan atau data secara aman. Steve Burnett at all, 2004.

2.5.3 Protocol SSL Alert

Protokol ini akan memberikan tanda kondisi sudah tidak terkoneksi lagi jika pengirim mengirimkan pesan dan yang akan menerima sedang offline maka pesan akan dipending sampai penerima terkoneksi lagi. SSL alert error message bisa dilihat pada tabel 2.x berikut ini : Tabel 2.8 Alert Error Message Sumber : http:msdn.microsoft.comen-uslibrarydd72188628VS.8529.aspx TLS or SSL alert Schannel error code SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_BAD_RECORD_MAC SEC_E_MESSAGE_ALTERED TLS1_ALERT_DECRYPTION_FAILED SEC_E_DECRYPT_FAILURE TLS1_ALERT_RECORD_OVERFLOW SEC_E_ILLEGAL_MESSAGE SSL3_ALERT_DECOMPRESSION_FAIL SEC_E_MESSAGE_ALTERED SSL3_ALERT_HANDSHAKE_FAILURE SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_BAD_CERTIFICATE SEC_E_CERT_UNKNOWN TLS1_ALERT_UNSUPPORTED_CERT SEC_E_CERT_UNKNOWN TLS1_ALERT_CERTIFICATE_REVOKED CRYPT_E_REVOKED TLS1_ALERT_CERTIFICATE_EXPIRED SEC_E_CERT_EXPIRED TLS1_ALERT_CERTIFICATE_UNKNOWN SEC_E_CERT_UNKNOWN SSL3_ALERT_ILLEGAL_PARAMETER SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_UNKNOWN_CA SEC_E_UNTRUSTED_ROOT TLS1_ALERT_ACCESS_DENIED SEC_E_LOGON_DENIED TLS1_ALERT_DECODE_ERROR SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_DECRYPT_ERROR SEC_E_DECRYPT_FAILURE TLS1_ALERT_EXPORT_RESTRICTION SEC_E_ILLEGAL_MESSAGE TLS1_ALERT_PROTOCOL_VERSION SEC_E_UNSUPPORTED_FUNCTION TLS1_ALERT_INSUFFIENT_SECURITY SEC_E_ALGORITHM_MISMATCH TLS1_ALERT_INTERNAL_ERROR SEC_E_INTERNAL_ERROR Default SEC_E_ILLEGAL_MESSAGE

2.5.4 Arsitektur SSL TLS

Protokol SSL didesain untuk bisa digunakan pada provider TCP yang dapat dipercaya layanan keamanannya. SSL tidak hanya menggunakan satu protokol, tetapi dua layer lapis protokol. SSL record protocol merupakan layanan keamanan dasar kelapisan protokol yang lebih tinggi. EAP bisa beroperasi dengan SSLTLS. Arsitektur dari SSL dapat dilihat pada gambar 2.22 dbawah ini : Gambar 2.22 Arsitektur Protokol SSL Sumber : http:technet.microsoft.comen-uslibraryCc767139.f14-2_big28en- us,TechNet.1029.gif

2.5.5 Sertifikat Digital

sertifikat digital adalah kunci publik dan informasi penting mengenai jati diri pemilik kunci tersebut, seperti misalnya nama, alamat, pekerjaan, jabatan, perusahaan, dan bahkan hash dari suatu informasi rahasia ysng ditandatangani oleh suatu pihak terpercaya. Sertifikat digital tersebut ditandatangani oleh sebuah pihak yang terpercaya, yaitu Certificate Authority CA. Gambar 2.23 Peran CA dalam penerbitan sertifikat Sertifikat digital diterbitkan oleh CA, suatu perusahaan atau individu yang mendaftarkan diri kepada CA baru mereka akan mendapatkan sertifikat digital. CA bukan hanya bertugas menerbitkan sertifikat saja, tetapi juga melakukan pemeriksaan apakah apakah sertifikat tersebut masih berlaku atau tidak, dan juga membatalkan sertifikat atas permintaan. Dengan demikian, berarti CA juga memiliki daftar sertifikat yang mereka buat, baik yang masih berlaku maupun yang sudah dibatalkan. Pada sertifikat digital terdapat tanggal kadaluarsa, sertifikat yang sudah kadaluarsa akan dihapus dari daftar CA dan masih bisa diperpanjang. Struktur standar dari sertifikat digital meliputi hal-hal berikut : a. Version : merupakan versi dari x.509 pada versi 1 yang memiliki fasilitas dari serial number sertifikat sampai dengan subject public key info, versi 2 ditambah dengan identitas subject yang unik, dan pada versi 3 diberi tambahan extention dari sertifikat digital. Lihat gambar 2.x b. Serial number merupakan bilang integer yang unik yang dibuat oleh CA. c. Signature Algoritma identifier merupakan algoritma yang digunakan untuk menandatangani sertifikat yang bersamaan dengan parameternya. d. Issuer name : nama dari pembuat dan yang mengeluarkan sertifikat e. Period of validity : batas tanggal, bulan, dan tahun sertifikat bisa digunakan. f. Subject name : nama yang menggunakan sertifikat atau yang memiliki kunci private dari sertifikat tersebut. g. Subject public key information : public key subject, identifikasi algoritma kunci yang digunakan dan perusahaan mana yang mengeluarkan sertifikat tersebut h. Issuer unique identifier : identifikasi unik perusahaan i. Subject unique identifier : digunakan untuk membedakan subject yang satu dengan yang liannya j. Extention meliputi pemakaian kunci, identifikasi kunci public, identifikasi policy sertifikat, dan lainnya. k. Signature Salah satu layanan otentikasi adalah X.509 yang menyediakan layanan dan mengatur pendistribusian serta memperbaiki informasi user. Informasi user meliputi : a. username b. alamat jaringan c. serta atribut user X.509 merupakan suatu standar yang penting untuk menangani sertifikat digital karena struktur dari sertifikat digital dan protokol otentikasi terdapat pada X.509. X.509 beroperasi berdasarkan kunci publik dan tandatangan digital serta menggunakan algortima standar seperti RSA, format dari X.509 seperti gambar berikut : Gambar 2.24 Format X.509 Sumber : Dony Ariyus, 2006

2.5.6 Enkripsi Public Key

Public key memecahkan masalah pendistribusian karena tidak diperlukan suatu kunci untuk diditribusikan. Semua partisipan memiliki akses ke kunci public, dan kunci private dihasilkan secara local oleh setiap partisan sehingga tidak perlu untuk didistribusikan. Selama sistem mengontrol masing masing private key dengan baik, komunikasi bisa menjadi komunikasi yang aman. Dony Ariyus, 2006

2.5.7 Kriptografi Simetris

Kriptografi simetris adalah metode enskripsi dimana pengirim dan penerima pesan memiliki kunci yang sama, atau dalam beberapa kasus kedua kunci berbeda namun mempunya relasi dengan perhitungan yang mudah. Studi modern terfokuskan pada block cipher dan stream cipher serta aplikasinya. Block cipher adalah aplikasi modern dari Alberti’s polyphabetic cipher. Block cipher menerima masukan berupa blok plaintext dan sebuah kunci dan kemudian menghasilkan keluaran blok ciphertext dengan ukuran yang sama. Dikarenakan pesan yang dikirim hampir selalu lebih panjang dari single block blok tunggal, maka diperlukan metode penggabungan beberapa blok. Data Encryption Standard DES dan Advanced Encryption Standard AES adalah contoh block ciphers yang dijadikan standar kriptografi oleh pemerintahan Amerika Serikat. Walaupun AES telah diresmikan sebagai standar kriptografi terbaru, namun DES, khususnya varian triple- DES, masih banyak digunakan sebagai enkripsi ATM, keamanan surat elektronik e-mail, dan secure remote access. Stream cipher adalah lawan dari block cipher, yakni menciptakan arus kunci yang panjang dan sembarang arbitrarily long stream of key yang dikombinasikan dengan plaintext bit-per-bit bit-by-bit dan karakter-per-karakter character-bycharacter. Pada stream cipher, arus keluaran dibangkitkan berdasarkan keadaan internal internal state yang berubah-ubah seiring dengan jalannya cipher. Perubahaan tersebut diatur oleh kunci dan dibeberapa stream cipher diatur pula oleh plaintext cipher. RC4 dan adalah contoh dari stream cipher. Gambar 2.25 Kriptografi Simetris

2.5.8 Kriptografi Asimetris

Kriptografi simetris menggunakan kunci yang sama untuk enkripsi dan dekripsi . Hal tersebut menyebabkan masalah yang signifikan, yakni kunci harus dikelola dengan sangat aman. Idealnya setiap kelompok yang terlibat komunikasi memiliki kunci yang berbeda. Kebutuhan akan variasi kunci meningkat, seiring dengan pertumbuhan jaringan, sehingga membutuhkan manajemen kunci yang kompleks untuk menjaga kerahasiaan tiap kunci. Masalah juga bertambah jika antara dua kelompok yang berkomunikasi tidak terdapat saluran aman secure channel. Pada tahun 1976, Whitfield Diffie dan Martin Hellman mengajukan konsep kriptografi asimetri yang meggunakan dua kunci yang secara matematika berhubungan satu sama lain, yakni kunci publik public key dan kunci pribadi private key. Kunci publik dibangkitkan sedemikian sehingga kunci pribadi sangat sulit untuk dihitung, walaupun keduanya sesungguhnya berhubungan satu sama lain. Dalam kriptografi asimetri, kunci publik dapat secara bebas disebarluaskan, sedangkan kunci pribadi harus senantiasa dijaga kerahasiaannya. Kunci publik digunakan untuk enkripsi, sedangkan kunci pribadi digunakan untuk dekripsi. Diffie dan Hellman membuktikan bahwa kriptografi asimetri adalah mungkin dengan menerapkan protokol pertukaran kunci Diffie-Hellman. Pada tahun 1978, Ronald Rivest, Adi Shamir, dan Len Adleman menemukan RSA, sebuah algoritma berdasarkan kriptografi asimetri. RSA juga akan dibahas secara mendalam pada bagian selanjutnya. Gambar 2.26 Kriptografi asimetris

2.5.8.1 RSA

RSA algoritma melakukan pemfaktoran bilangan yang sangat besar. Oleh karena itu RSA dianggap aman. Untuk membangkitkan kedua kunci, dipilih dua bilangan prima acak yang besar. Skema yang dikembangkan oleh rivest, shamir, dan adleman yang mengekspresikan bahwa plaintext dienkripsi menjadi blok blok, dimana setiap blok memiliki nilai biner yang diberi simbol ”n”, plaintext block ”m”, dan chipertext blok ”c”. Untuk melakukan enkripsi pesan ”m”, pesan dibagi kedalam blok blok numeric yang lebih kecil dari pada ”n”. data biner dengan pangkat terbesar jika bilangan prima panjangnya 200 digit, dan dapat menambah beberapa bit o dikiri bilangan untuk menjaga agar pesan tetap kurang dari nilai ”n”. Rumus enkripsi : C = M e mod n, dan rumus dekripsi M = C d mod n = M e d mod n = M ed mod n.

2.6 Tools

2.6.1 freeRADIUS Server

freeRADIUS merupakan implementasi dari server RADIUS. Sebenarnya ada banyak implementasi server RADIUS lainnya seperti Cisco CNS Access Registrar CAR dan Windows Internet Authentication Service IAS. Pemilihan freeRADIUS adalah karena software ini berplatform open source, bersifat gratis, performa yang stabil, dan banyak digunakan sebagai server otentikasi. Berdasarkan hasil tim survey freeRADIUS, lebih dari 10 juta pengguna yang menjadikan freeRADIUS sebagai server otentikasi dan lebih dari 100 juta user yang melakukan proses otentikasi dengan menggunakan freeRADIUS. FreeRADIUS juga banyak digunakan sebagai otentikasi server dalam penelitian - penelitian yang berhubungan dengan jaringan nirkabel. http:freeradius.orgpresssurvey.html freeRADIUS diperkenalkan oleh Alan Dekok dan Miquel van Smoorenburg pada bulan Agustus 2005. FreeRADIUS server merupakan modular dan produk open-source paling populer dan paling banyak digunakan di dunia sebagai RADIUS server yang berbasis sistem operasi UNIX. FreeRADIUS mendukung semua protokol umum otentikasi. freeRADIUS berjalan pada platform UNIX 32 bit dan 64 bit. freeRADIUS bersifat gratis dan dapat di download pada alamat http:freeradius.orgdownload.html . www.freeradius.org. freeRADIUS memiliki beberapa feature, diantaranya : a. Performa dan Skalabilitas, freeRADIUS merupakan salah satu server yang tercepat dan produk yang memiliki tingkat skalabilitas yang tinggi. b. Mendukung penerapan protokol semua EAP method termasuk diantaranya EAP-PEAP, protokol yang sering digunakan pada jaringan wireless Microsoft. c. Support untuk semua jenis database yang umum digunakan file text seperti LDAP, SQL, dll untuk authentication, authorization, dan accounting dalam protokol AAA. Disamping kelebihan kelebihan yang ada, salah satu kekurangan freeRADIUS adalah untuk konfigurasi masih berbasis command line. Berbeda dengan server IAS atau lainnya yang berbayar yang sudah berbasis Graphical User Interface GUI.

2.6.2 JRADIUS Simulator

JRADIUS Simulator merupakan utility tools yang digunakan untuk melakukan testing dan uji coba performa server RADIUS, tools ini digunakan untuk mengirimkan pesan pesan otentikasi RADIUS secara simultan, sehingga akan diketahui berapa banyak jumlah otentikasi yang dapat di handle oleh server RADIUS dalam waktu tertentu. JRADIUS Simulator merupakan project dari coova.org berplatform JAVA dan merupakan aplikasi berbasis open-source yang stand-alone. Aplikasi ini menggunakan JRadius Client API dan di generate dari JRadius Attributes Dictionary untuk mempermudah saat simulasi RADIUS saat dijalankan. JRadius Simulator memiliki karakteristik sebagai berikut : 1. menggunakan graphical user interface untuk menciptakan dan mengirimkan paket paket RADIUS. 2. menetapkan suatu kebijakan berupa atribut apa saja yang dikirimkan, dari apa jenis paket nya dan value yang digunakan. 3. untuk atribut RADIUS memiliki nilai nilai yang telah ditentukan, Jradius menyediakan menu drop-down untuk kemudahan penggunaan. 4. JRadius support untuk penggunaan beberapa metode otentikasi diantaranya, PAP, CHAP, MSCHAPv2, EAP-MD5, EAP-TLS, PEAP, dan EAP TTLSPAP 5. JRadius memberikan kemudahan dalam memverifikasi lalu lintas RADIUS dengan mengikuti berbagai standar, diantaranya standar Intel IRAP 6. Aplikasi ini dapat di jalankan dan di simpan konfigurasinya, tidak diperlukan setting ulang kembali. Jradius dapat di-download, diekstrak dan di-run dengan dengan perintah perintah berikut : wget http:dev.coova.orgmvnnetjradiusjradius- client1.1.3jradius-client-1.1.3-release.zip unzip jradius-client-1.1.3-release.zip cd jradius sh simulator.sh berikut adalah screenshot dari tampilan menu menu yang terdapat pada JRadius Simulator : Gambar 2.27 Log pada JRadius Gambar 2.28 Konfigurasi Sertifikat Client Gambar 2.29 Konfigurasi Attribute pada JRadius Gambar 2.32 Set up JRadius untuk dijalankan 66

BAB III METODOLOGI PENELITIAN

Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. Berikut penjelasan kedua metode tersebut :

3.1 Metode Pengumpulan Data

Pengumpulan data merupakan proses pengadaan data primer untuk keperluan penelitian. Pengumpulan data merupakan proses yang penting pada metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk menguji rumusan hipotesis. Pengumpulan data adalah prosedur yang sistematis dan standar untuk memperoleh data yang diperlukan Nazir, 2005.

3.1.1 Studi Lapangan Observasi

Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Penulis melakukan penelitian di PUSDATIN Pusat Data dan Informasi Fakultas Sains dan Teknologi, Universitas Islam Negeri UIN Syarif Hidayatullah Jakarta, Jl. Ir. H. Juanda no. 95 Ciputat 15412. PUSDATIN dipilih sebagai lokasi penelitian karena ketersediaan fasilitas perangkat dan sumber daya yang dibutuhkan untuk mendukung proses penelitian.

3.1.2 Studi Pustaka atau Literatur

Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi tersebut berasal dari dokumen dokmen resmi RFC Request for Comment yang telah di standarisasikan oleh badan standarisasi seperti IEEE dan IETF. Referensi tersebut sebagai acuan untuk membuat landasan teori. dan referensi – referensi lainnya yang digunakan oleh penulis dapat dilihat pada Daftar Pustaka. Studi literatur yang penulis gunakan sebagai referensi yaitu : Tabel 3.1 Studi Literatur No JUDUL PENULIS TAHUN PEMBAHASAN 1. Analisis dan Perancangan Sistem Keamanan Jaringan Nirkabel Menggunakan EAP- TLS Ali Mahrudi 2006 Skripsi ini menekankan pada analisa dan perancangan extensible authentication protocol – Transport Layer Protocol EAP-TLS sebagai solusi dari resiko terhadap gangguan keamanan jaringan nirkabel FST UIN Jakarta . EAP TLS merupakan protokol 802.1x mekanisme kerja otentikasi EAP-TLS memerlukan certificate pada sisi client dan server

3.1 Metode Pegembangan Sistem

Penulis menggunakan model pengembangan sistem NDLC Network Development Life Cycle. Secara spesifik NDLC dan kegiatan yang dilakukan penulis dalam penelitian ini adalah sebagai berikut : analysis management monitoring implementation Simulation prototyping design Gambar 3.1 Siklus Network Development Life Cycle Sumber : Goldman, James E. Rawles, 2001 Menurut Goldman, 2001, NDLC adalah kunci dibalik proses perancangan jaringan komputer. NDLC merupakan model mendefenisikan siklus proses pembangunan atau pengembangan sistem jaringan komputer. Kata cycle siklus adalah kata kunci deskriptif dari siklus hidup pengembangan sistem jaringan yang menggambarkan secara eksplisit seluruh proses dan tahapan pengembangan sistem jaringan yang berkesinambungan.

3.1.1 Tahapan Analisis

Model pengembangan sistem NDLC dimulai pada fase analisis. Dimana pada tahap ini dilakukan proses perumusan masalah, mengidentifikasi konsep dari otentikasi user terpusat dengan menggunakan protokol PEAP. Pada tahap ini dilakukan analisis kebutuhan, analisis permasalahan yang muncul, analisa perangkat keras dan perangkat lunak, dan analisis keamanan sistem. Dapat dilihat pada bab 4.2

3.1.2 Tahapan Desain

Tahapan selanjutnya adalah design. Pada tahap ini, penulis membaginya dalam dua kegiatan, yaitu: desain topologi dan desain sistem. Dari data data yang didapatkan dari tahapan analisis, tahap perancangan ini akan membuat gambar rancangan topologi jaringan interkoneksi yang akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran seutuhnya kebutuhan yang ada. pada tahap ini penulis membuat desain topologi dan sistem jaringan wireless. Topologi yang spesifik dapat dilihat pada bab 4.3

3.1.3 Tahapan Simulasi Prototyping

Tahapan ini bertujuan untuk melihat kinerja awal dari jaringan yang akan dibangun dan sebagai bahan pertimbangan. Sebelum jaringan benar benar akan diterapkan. Pada tahapan ini penulis melakukan simulasi protokol PEAP dalam network skala kecil, dimana pada tahap ini penulis dapat melihat dan meneliti apakah protokol PEAP yang akan diterapkan mengalami keberhasilan ataukah mengalami kegagalan. Dapat dilihat pada bab 4.4

3.1.4 Tahapan Penerapan implementation

Tahapan selanjutnya adalah implementasi, dimana hasil dari tahapan sebelumnya diimplementasikan. Proses implementasi yang dilakukan adalah instalasi dan konfigurasi terhadap rancangan topologi. Dapat dilihat pada bab 4.5

3.1.5 Tahapan Pengawasan Monitoring

Pada NDLC proses pengawasan merupakan tahapan yang penting, agar jaringan komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan tujuan awal dari user pada tahap awal analisis, maka perlu dilakukan kegiatan monitoring. Tahapan ini dapat dilihat pada bab 4.6

3.1.6 Tahapan Pengaturan Management

Tahapan ini memiliki fungsi untuk membuat mengatur agar sistem yang telah dibangun dan berjalan dengan baik dapat berlangsung lama dan unsur reliability terjaga. Dapat dilihat pada bab 4.7

3.2 Mekanisme Kerja Penelitan

Pendefinisian gambaran umum proses kerja penelitian skripsi. Penulis mendefinisikan dan merepresentasikan metode dan alur proses penelitian, elemen- elemen, beserta interkoneksinya satu sama lainnya yang penulis terapkan pada penelitian skripsi ini dengan menggunakan pendekatan terhadap model NDLC dengan menggunakan media diagram model proses berikut ini : Perencanaan Penelitian Skripsi Perumusan Pendefinisian Masalah Judul Penelitian Perumusan Hipotesis Jenis Penelitian Metode Pengumpulan Data Network Development Life-Cycle Penelitian Experimental Identify Analyze Understand Report Studi Pustaka Wawancara Observasi Waktu penelitian Perangkat penelitian Lokasi penelitian Ananlysis Simulation Prototyping Design Implementation Monitoring Management Network Development Life Cycle Perumusan Kesimpulan Pembuatan Laporan Metode Pengembangan Sistem Mempersiapkan lingkungan virtual Membangun prototipe simulasi sistem Perancangan sistem otentikasi PEAP Perancangan topologi jaringan FST Implementasi sistem pendukung Implementasi topologi jaringan Implementasi skema IEEE 802.1x EAP PEAP pengelolaan Perangkat RADIUS client Pengelolaan administrasi pengguna jaringan Pemantauan Kinerja Server Gambar 3.2 Mekanisme Kerja Penelitian 72

BAB IV ANALISA DAN IMPLEMENTASI

Pada bab ini, penulis akan menjelaskan proses pengembangan sistem keamanan jaringan dengan menerapkan protokol otentikasi protected extensible authentication protocol PEAP, studi kasus kendali akses dan pengamanan pada jaringan nirkabel Fakultas Sains dan Teknologi UIN Jakarta dengan menerapkan landasan teori dan metode penelitian yang sudah dibahas pada bab bab sebelumnya. Metode penelitian yang penulis gunakan adalah metode NDLC Network Development Life-Cycle. Dengan NDLC, siklus siklus pengembangan sistem jaringan didefinisikan pada sejumlah fase berikut : analysis analisis design perancangan, simulation protoyping prototipe simulasi, implementation implementasi, monitoring pengamatan, dan management manajemen.