2.10 Remote Authentication Dial-In User Service RADIUS Server
Menjalankan sistem administrasi pengguna yang terpusat, sistem ini akan mempermudah tugas administrator. Dapat kita bayangkan berapa banyak jumlah
pelanggan yang dimiliki oleh sebuah ISP, dan ditambah lagi dengan penambahan pelanggan baru dan penghapusan pelanggan yang sudah tidak
berlangganan lagi. Apabila tidak ada suatu sistem administrasi yang terpusat, maka akan merepotkan administrator dan tidak menutup kemungkinan ISP akan
merugi atau pendapatannya berkurang. Dengan sistem ini pengguna dapat menggunakan hotspot di tempat yang berbeda-beda dengan melakukan
autentikasi ke sebuah RADIUS server [8].
2.10.1 Prinsip Kerja RADIUS Server
RADIUS Remote Authentication Dial-In User Service, adalah suatu metode standar protokol yang mengatur komunikasi antara NAS
Network Access Server dengan AAA server. Dalam hal ini server AAA yang digunakan dapat juga disebut sebagai server RADIUS, dan paket-
paket data yang terlibat dalam komunikasi antara keduanya disebut sebagai paket RADIUS.
Ketika NAS menerima permintaan koneksi dari user, NAS akan mengirimkan informasi yang diperolehnya dari user ke server RADIUS.
Berdasarkan informasi tersebut, server RADIUS akan mencari dan mencocokkan informasi mengenai user tersebut pada database-nya, baik
internal, eksternal, maupun server RADIUS lain. Jika terdapat informasi
yang cocok, server RADIUS akan mengizinkan user tersebut untuk menggunakan jaringan. Jika tidak, maka user tersebut akan ditolak.
Berdasarkan informasi ini, NAS memutuskan apakah melanjutkan atau memutuskan koneksi dengan user. Selanjutnya, NAS mengirimkan data ke
server RADIUS untuk mencatat semua kegiatan yang dilakukan user dalam jaringan.
Server RADIUS dan NAS berkomunikasi melalui paket-paket RADIUS. Paket-paket RADIUS ini memiliki format sesuai dengan yang
ditentukan oleh IETF melalui dokumen RFC 2865 mengenai RADIUS, dan RFC 2866 mengenai RADIUS accounting. Paket-paket RADIUS
dikirimkan oleh NAS dan server RADIUS berdasarkan pola requestresponse : NAS mengirimkan request dan menerima response dari
server RADIUS. Jika NAS tidak menerima response dari server atas suatu request, NAS dapat mengirimkan kembali paket request secara periodik
sampai dicapai suatu masa timeout tertentu, dimana NAS tidak lagi mengirimkan request kepada server, dan menyatakan bahwa server sedang
downtidak aktif. Setiap paket memiliki fungsi tersendiri, apakah untuk authentication atau untuk accounting. Setiap paket RADIUS dapat
menyertakan nilai-nilai tertentu yang disebut atribut attributes. Atribut- atribut ini bergantung pada jenis paket authentication atau accounting,
dan jenis NAS yang digunakan. Informasi detail mengenai format paket dan nilai-nilai dari masing-masing field dalam paket RADIUS dapat
dilihat pada RFC 2865 dan RFC 2866.
Fungsi authentication dilakukan melalui field-field pada paket accessrequest. Fungsi authorization dilakukan melalui atribut-atribut pada
paket access-accept. Fungsi accounting dilakukan melalui atribut-atribut pada paket-paket accounting paket start, stop, on, off, dll.
Keamanan pada komunikasi antara NAS dengan server RADIUS dijamin dengan digunakannya konsep shared secret. Shared secret
merupakan rangkaian karakter alfanumerik unik yang hanya diketahui oleh server RADIUS dan NAS, dan tidak pernah dikirimkan ke jaringan.
Shared secret ini digunakan untuk mengenkripsi informasi-informasi kritis seperti user password. Enkripsi dilakukan dengan cara melewatkan shared
secret yang diikuti dengan request authenticator field pada paket access request dari NAS yang menandakan bahwa paket tersebut merupakan
paket access request pada algoritma MD5 satu arah, untuk membuat rangkaian karakter sepanjang 16 oktet, yang kemudian di- XOR-kan
dengan password yang dimasukkan oleh user. Hasil dari operasi ini ditempatkan pada atribut User-Password pada paket access request.
Karena shared secret ini hanya diketahui oleh NAS dan server RADIUS, dan tidak pernah dikirimkan ke jaringan, maka akan sangat sulit untuk
mengambil informasi user-password dari paket access request tersebut. NAS dan server RADIUS terhubung melalui jaringan TCPIP.
Protokol yang digunakan adalah UDP User Datagram Protocol, dan menggunakan port 1812 untuk authentication, dan port 1813 untuk
accounting [9].
Gambar 2.12 Struktur paket data RADIUS [8]
Struktur paket data RADIUS pada Gambar 2.12 terdiri dari lima bagian, yaitu:
1. Code Code memiliki panjang adalah satu oktet, digunakan untuk membedakan
tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut dalam desimal ialah:
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge 12 Status-Server
13 Status-Client 255 Reserved
2. Identifier Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan.
3. Length Memiliki panjang dua oktet, memberikan informasi mengenai panjang
paket. 4. Authenticator
Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password.
5. Attributes Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat
mmembawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, CHAP-password, alamat IP access pointAP, pesan
balasan [8].
2.10.2 Authentication, Authorization, dan Accounting AAA