Gambar 2.19 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS

2.4.1 EAP MD5

EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan tingkat keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode dictionary attack, tidak ada mutual otentikasi, dan penurunan kunci; sehingga membuatnya tidak cocok untuk dipakai dengan dinamik WEP atau WPAWPA2 enterprise.

2.4.2 EAP TLS

EAP-TLS [RFC2716], adalah IETF standar dan banyak disupport oleh vendor peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi, semenjak TLS dianggap sebagai teknik enkripsi yang sukses pada mekanisme SSL. TLS menggunakan Public Key Infrastructure PKI untuk mengamankan komunikasi antara supplicant dan authentication server. EAP-TLS adalah standar EAP wireless LAN. Meskipun EAP-TLS jarang digunakan, tetapi mekanismenya merupakan salah satu standar EAP yang paling aman dan secara universal disupport oleh semua manufaktur dari wireless LAN hardware dan software termasuk Microsoft.

2.4.3 EAP TTLS

EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang dikembangkan oleh Funk Software dan Certicom. Standar ini secara luas disupport dan menawarkan tingkat keamanan yang bagus. Standar ini menggunakan PKI sertifikat hanya pada authentication server.

2.4.4 PEAP MSCHAP v2

Protected EAP PEAP, sama seperti EAP-TTLS, memakai TLS-tunnel. Sertifika supplicant untuk PEAP tidak diperlukan, tetapi untuk sertifikat server AS dibutuhkan. PEAP dikembangkan oleh Microsoft, Cisco System, dan RSA Security.

2.4.4.1 Microsoft PPP CHAP Extensions Version 2 MSCHAPv2

Berdasarkan dokumen RFC 2759, Microsoft PPP CHAP Extensions Version 2 MSCHAPv2, merupakan pengembangan dari protokol otentikasi Challenge Hanshake Authentication Protocol CHAP yang dikembangkan oleh tim dari Microsoft, MSCHAP v2 memiliki kemiripan dengan protokol MSCHAPv1 dan protokol CHAP standard nya. Perbedaan mendasar antara protokol MSCHAPv1 dan MSCHAPv2 adalah, pada versi 2 menyediakan fitur mutual authentication antara otentikator dan peer client. a. Format Paket MSCHAPv2 1. Challenge Packet Format paket challenge identik dengan format paket challenge pada CHAP standard. Pada paket ini authenticator akan mengirimkan kepada peer nilai challenge sepanjang 16 oktet. 2. Response Packet Format paket Response identik dengan format paket challenge pada CHAP standard. Format paket terdiri dari : - 16 oktet : peer challenge, merupakan nilai random yang dihasilkan dari sisi peer. - 8 oktet : nilai cadangan, harus diisi kosong zero - 24 oktet : NT response, berisi password yang terenkrisi dan username - 1 oktet : flag, diisi dengan nilai kosong zero 3. Success Packet Format paket Success identik dengan format paket Success pada CHAP standard. Paket ini terdiri dari 42 oktet. Paket ini merupakan pesan response dari authenticator apabila paket response yang dikirimkan peer memiliki nilai yang sesuai. Format paket ini adalah : “S=auth_string M=Message”. 4. Failure Packet Format paket Filure identik dengan format paket Failure pada CHAP standard. Paket ini dikirimkan apabila paket response dari peer tidak ditemukan kesamaan atau tidak sesuai. Format paket ini terdiri dari ”E=eeeeeeeeee R=r C=cccccccccccccccccccccccccc V=vvvvvvvvvv M=msg”. - eeeeeeeeee, merupakan representasi nilai desimal dari pesan error. Berikut daftar pesan error dalam paket ini : Tabel 2.7 Daftar Pesan Error MSCHAPv2 Sumber : RFC 2759 Kode Pesan 646 ERROR_RESTRICTED_LOGON_HOURS 647 ERROR_ACCT_DISABLED 648 ERROR_PASSWD_EXPIRED 649 ERROR_NO_DIALIN_PERMISSION 691 ERROR_AUTHENTICATION_FAILURE 709 ERROR_CHANGING_PASSWORD - r, merupakan flag, diset dengan nilai ”1” jika diizinkan, dan diset dengan nilai “0” jika tidak diizinkan. Nilai ini untuk mengaktifkan dan menonaktifkan short timeouts. - cccccccccccccccccccccccccc, merupakan nilai challenge, dalam hexadesimal memiliki panjang 32 oktet. Nilai challenge wajib ada. - vvvvvvvvvv, dalam ASCII merepresentasikan kode versi dalam desimal. Kode dalam 10 digit. Mengindikasikan perubahan password pada protokol versi yang disupport oleh server. Pada MSCHAPv2, nilai ini harus selalu di set dengan 3. -msg, merupakan text yang dapat dibaca dan dipahami menggunakan bahasa manusia. 5. Change-Password Packet Format paket Change-Password Packet tidak sama pada CHAP dan MSCHAPv1. paket ini memungkinkan peer mengubah password pada account yang telah ditetapkan pada paket response sebelumnya. Paket ni dikirimkan oleh peer kepada authenticator apabila authenticator melaporkan pesan 648 ERROR_PASSWD_EXPIRED. Pada paket Failure. Format paket ini terdiri dari : - 1 oktet, code, di set dengan nilai 7 - 1 oktet, identifier, mencocokkan antara request and replies. Nilai ini berasal dari nilai paket failure ditambah 1 - 516 oktet password terenkripsi - 16 oktet, hash terenkripsi - 16 oktet peer-challenge - 8 oktet cadangan - 24 oktet, server response - 2 oktet, flags.

2.5 Secure Socket Layer SSL Transport Layer Security TLS