MHz RAM : 16 MB
Flash : 4 MB
4 Komputer
Client Prossesor :
Core2Duo T5800 2,0GHz
RAM : 3 GB Harddisk : 250 GB
WLAN card : Broadcom 802.11 g
Fungsi
: client
terotentikasi 1
Digunakan sebagai komputer client yang terotentikasi dan
memiliki hak akses.
5 Komputer
Penyadap Prossesor : Intel
Core Duo T2250 1.6GHz
RAM : 1 GB DDR2 Harddisk : 120 GB
WLAN card : Integrated
802.11bg 1
Digunakan sebagai komputer pengguna
yang tidak
terotentikasi sniffer
4.2.3 Analisa Mekanisme PEAP
Proses otentikasi protokol EAP-TLS dan protokol PEAP MSCHAPv2 memiliki beberapa tahapan yang sama, tahapan tersebut yaitu pada saat terjadinya
pembentukan jalur komunikasi dengan menggunakan tranport layer security TLS. PEAP dalam fase awal pembentukan jalur komunikasinya menggunakan
handshake protocol, dimana handshake protokol merupakan bagian dari proses pembentukan jalur protokol TLS. Berikut adalah mekanisme PEAP :
EAPOL
EAP over RADIUS
Supplicant EAP peer
Authenticator AAA Server
EAP type X exchange EAPOL Start
EAP response user ID
Server hello complete EAP response client Hello
EAP request identity
EAP request, PEAP start
RADIUS access challenges EAP request, PEAP start
RADIUS access request
EAP request server Hello Sertifikat server key exchange request
Change cipher spec EAP success
EAP request identity EAP request identity - type X
CSK EAP success
EAP success Sertifikat client key exchange verify
Complete TLS handshake done
Tunneled identity response Tunneled response for EAP type X
EAP request crypto binding EAP response
AP memblok semua request sampai proses otentikasi komplit selesai
CA User database
Transmisi Data diproteksi Wpa key management
Fase 1 : PEAP
Fase 2 : PEAP
Gambar 4.1 Proses Otentikasi PEAP MSCHAPv2 Proses otentikasi PEAP terjadi dalam dua tahapan :
1. Fase pertama menggunakan EAP dan jenis PEAP EAP untuk membuat sebuah channel TLS.
2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk mengotentikasi akses ke jaringan. dalam hal ini EAP yang digunakan
adalah MSCHAPv2. Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan
perangkat access point yang memanfaatkan RADIUS server untuk melakukan proses transaksi paket paket PEAP - MSCHAPv2 sebagai berikut :
Pembuatan channel TLS :
1. Asosiasi dan Meminta Identitas Ketika sebuah client wireless berasosiasi dengan access point, client akan
mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point memproeses penerimaan pesan EAP-start, access point akan mengirimkan
sebuah pesan EAP-RequestIdentity ke client wireless. 2. EAP-ResponseIdentity
Jika tidak terdapat user yang logon melalui client wireless, access point akan mengirimkan sebuah EAP-Responseidentity yang berisi nama
komputer. Untuk client windows yang dikirim berupa FQDN Fully Qualified Domain Named dari account komputer.
Jika terdapat user yang logon, access point akan mengirimkan EAP- Response identity yang berisi username. Dalam proses PEAP, username
yang dikirimkan berupa anonim. Access Point akan melewatkan pesan Responseidentity ke server RADIUS dalam bentuk RADIUS access
request. Berikut hasil capture paket ini dengan menggunakan tools wireshark.
Gambar 4.2 Capture paket EAP Response Identity Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client,
berisi anonim dengan panjang paket 11 byte. 3. EAP-request dari Server RADIUS TLS dimulai
Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi sebuah pesan EAP-request dengan jenis EAP yang digunakan
pada proses TLS, permintaan ini menunjukkan bahwa proses otentikasi TLS dimulai.
Gambar 4.3 Capture Paket EAP Request-TLS start Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server
otentikasi, yang menandakan bahwa fase TLS dimulai. Tipe otentikasi yang digunakan adalah PEAP. Panjang paket ini adalah 6 byte.
4. EAP-Response dari Client wireless paket Hello TLS client Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP
yang digunakan, hal ini dikenal dengan proses pengiriman paket hello TLS. Access Point akan melewatkan pesan EAP ke server RADIUS dalam
bentuk pesan RADIUS access-request. Berikut hasil capture paket hello TLS client.
Gambar 4.4 Capture Paket Hello-TLS client Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client,
berisi paket client hello. Paket ini membawa atribut : random session ID, cipher suites, metode compression. dengan panjang paket 116 byte.
5. EAP request dari Server RADIUS sertifikat milik RADIUS Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge
yang berisi pesan EAP request dengan jenis EAP yang digunakan pada PEAP dan berisi rangkaian server hello, sertifikat dari RADIUS server,
dan pesan server hello done. Access point melewatkan pesan EAP ke client. Berikut hasil capture paket sertifikat server.
Gambar 4.5 Capture Paket EAP Request Sertifikat Server Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server,
berisi paket server certificate dan paket server hello done. panjang paket ini adalah 1024 byte.
6. EAP-Response dari client wireless Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat
dari client wireless. Access point melewatkan pesan EAP tersebut ke server RADIUS. Pada PEAP sertifikat pada sisi client tidak dikirim.
Selanjutnya paket yang akan dikirim adalah client key exchange dan change cipher spec. berikut hasil capture paket tersebut.
Gambar 4.6 Capture Paket EAP Response-Client Key Exchange Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client,
berisi paket client key exchange dan paket change cipher spec. panjang paket ini adalah 336 byte.
7. EAP-Request dari server RADIUS bentuk cipher, TLS lengkap RADIUS mengirimkan sebuah pesan RADIUS access challenge paket
EAP request yang berisi sebuah pesan EAP request yang berisi cipher suite dan sebuah indikasi yang menyatakan pertukaran pesan pada
otentikasi TLS telah selesai dilakukan. Access point melewatkan pesan EAP ke client.
Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS
complete Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server,
berisi paket change cipher. panjang paket ini adalah 65 byte. Server 8. EAP-Success dari server RADIUS
Server RADIUS memperoleh unicast session key dari proses otentikasi TLS. Pada fase ini jalur TLS telah terbentuk dan siap digunakan untuk
fase selanjutnya. Diakhir negosiasi PEAP, server RADIUS mengotentikasi dirinya ke client.
Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS dengan menggunakan public key, dan bukan password. Semua rangkaian pesan EAP
dikirim diantara client dan server RADIUS secara terenkripsi. Setelah jalur PEAP-TLS dibuat, langkah berikut yang digunakan untuk
mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2
Otentikasi menggunakan MSCHAPv2 :
Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara clear text, karena paket paket tersebut sudah berada pada jalur TLS yang
terenkripsi. 1. Server RADIUS mengirimkan pesan EAP-request identity
Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2
2. Client merespon dengan pesan EAP-Response identity yang berisi identitas nama usernama komputer dari client
Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2
3. Server RADIUS mengirimkan sebuah EAP-request EAP-ms-chap v2 challenge yang berisi serangkaian string challenge
Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge 4. Client merespon dengan pesan EAP-responseEAP-ms-chap v2 Response
yang berisi Response jawaban string challenge untuk server RADIUS
Gambar 4.11 Capture Paket EAP-ResponseEAP-MS-CHAP v2 Response 5. Server RADIUS menerima pesan EAP request EAP-ms-chap v2 success.
Yang mengindikasikan jawaban dari client adalah benar dan berisi response challenge string ke client
Gambar 4.12 Capture Paket EAP-RequestEAP-MS-CHAP v2 Success
6. Client merespon dengan pesan EAP responseEAP-ms-chap v2 ack, mengindikasikan bahwa respon dari server RADIUS adalah benar.
Gambar 4.13 Capture Paket EAP responseEAP-ms-chap v2 ack 7. Server RADIUS mengirimkan sebuah pesan EAP success
Gambar 4.14 Capture Paket EAP Success Akhir dari proses saling mengotentikasi ini adalah client dan server
RADIUS dapat membuktikan kebenaran password yang digunakan dan pertukaran terjadi didalam jalur yang terenkripsi oleh jalur TLS.
Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci MK master session key Kunci MK akan menghasilkan kunci PMK yang akan
berubah secara dinamis yang akan di gunakan bersama oleh access point dan client pada proses enkripsi WPA dalam metransmisikan data nya. Proses
distribusi kunci ini disebut 4 way handshake. Performa PEAP dipengaruhi dengan jumlah transaksi pengiriman pesan
EAP Request dan EAP response, jumlah transaksi ini terdiri dari beberapa round- trip. Round-trip adalah jumlah satu kali paket request dan paket response antara
supplicant dan server PEAP. Berikut adalah data paket paket PEAP dalam satu kali proses otentikasi nya.
Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses
Urutan Pesan
Sumber Nama Pesan
PEAP MSCHAPv2 Ukuran Paket
byte Total Waktu
milisecond
1. client
identity 194
0.00 2.
server PEAP-start
119 0.767
3. client
Client -Hello 178
0.729 4.
server 1.server-hello
2.certificate 3. server key exchange
3.server hello done 1132
20.869 5.
client Response-peap version
112 1.480
6. server
1.Server-hello 2.certificate
3. server key exchange 3.server hello done
1087 0.221
7. client
1. client key exchange 2. change cipher spec
3. encrypted handshake message
262 27.916
8. server
1. change cipher spec 2. encrypted handshake
message 165
8.708 9.
client Resonse-type
112 1.605
10. server
Encrypted Application data
143 0.344
11. client
Encrypted Application data
202 1.744
12. server
Encrypted Application data
159 0.321
13. client
Encrypted Application data
266 6.719
14. server
Encrypted Application data
191 0.889
15. client
Encrypted Application data
186 2.001
16. server
Encrypted Application data
143 0.496
17. client
Encrypted Application data
234 1.870
18. server
EAP-Success 208
0.534
Total client
1746 77.213
server 3347
4.3 Design Perancangan
