i

MAKALAH
TUGAS AKHIR

ADMINISTRASI JARINGAN

RANGKUMAN MATERI SEMESTER GENAP

Diajukan untuk memenuhi nilai mata pelajaran Administrasi Jaringan

OLEH

NAMA
NO. INDUK
TINGKAT
KOMPETENSI KEAHLIAN
: TEZA RAHMATIANA
: 111009423
: III (TIGA)
: TEKNIK KOMPUTER DAN JARINGAN



SEKOLAH MENENGAH KEJURUAN NEGERI 1 CIMAHI
CIMAHI
2014
i

KATA PENGANTAR

Puji dan syukur kepada Allah SWT karena dengan rahmat dan
karunia-Nya maka Makalah ini dapat diselesaikan dengan lancar tanpa ada
masalah yang berarti. Tak lupa salawat serta salah selalu tercurah kepada
Nabi Muhammad SAW, keluarga, para sahabat, dan umatnya sampai akhir
zaman.
Ucapan terima kasih penulis ucapkan kepada kedua orang tua,
saudara, dan keluarga besar yang selalu memberikan dukungan, semangat
dan nasihat baik dari segi material maupun moril yang telah membuat
pengerjaan makalah ini terasa lebih ringan.
Makalah ini ditujukan sebagai salah satu syarat terpenuhinya nilai
tugas akhir pelajaran Administrasi Server di Sekolah Menengah Kejuruan
Negeri 1 Cimahi serta sebagai bahan pertanggung jawaban tertulis
mengenai rangkuman materi Administrasi Jaringan semester genap.
Selama proses pembuatan makalah ini, penulis mendapatkan
banyak dukungan dari berbagai pihak sehingga makalah dengan judul
RANGKUMAN MATERI ADMINISTRASI JARINGAN SEMESTER
GENAP dapat diselesaikan tepat pada waktunya.
Oleh karena itu, ucapan terima kasih kepada seluruh pihak yang
telah memberikan pendidikan dan bimbingannya diberikan kepada :
1. DODI PERMANA HIDAYAT, S.Pd., selaku Guru mata Pelajaran
Administrasi .
2. ADI SETIADI, S.Pd., selaku Guru mata Pelajaran Administrasi
Server.
3. ORANG TUA, yang senantiasa memberikan motivasi sehingga
makalah ini dapat terselesaikan
4. TEMAN TEMAN, yang telah membantu sehingga tugas ini dapat
terselesaikan.

ii

Saya juga mengucapkan terima kasih kepada semua pihak yang
terkait yang telah membantu saya dalam menyelesaikan makalah ini, yang
tidak mungkin disebutkan satu persatu. Semoga bantuan yang telah
mereka lakukan mendapat balasan dan kebaikan yang belipat ganda dari
Allah SWT.
Akhir kata, semoga makalah ini bisa menambah ilmu pengetahuan
dan menjadi manfaat bagi semua orang yang membacanya.


Cimahi, Juni 2014


Penulis

iii

DAFTAR ISI

Kata Pengantar ...................................................................................................... i
Daftar Isi ................................................................................................................ iii
DAFTAR GAMBAR .............................................................................................. v
BAB 1 Pendahuluan ............................................................................................. 1
1.1 Latar Belakang Masalah ....................................................................... 1
1.2 Tujuan ...................................................................................................... 1
1.3 Pembatasan Masalah ........................................................................... 2
1.4 Sistematika Pembahasan ..................................................................... 2
BAB 2 LANDASAN TEORI ................................................................................. 3
2.1 Administrasi Jaringan ............................................................................ 3
2.2 Jaringan Komputer ................................................................................ 4
2.2.1 Klasifikasi Jaringan Komputer ...................................................... 6
BAB 3 PEMBAHASAN ........................................................................................ 8
3.1 RADIUS (Remote Access Dial In User Service) ............................... 8
3.1.1 AAA (Authentication, Authorization, Accounting) ...................... 8
3.1.2 Network Access Server (NAS) ..................................................... 9
3.1.3 Pengertian RADIUS ..................................................................... 10
3.1.4 RFC 2865 ...................................................................................... 12
3.1.5 Struktur Paket Data Radius ........................................................ 14
3.1.6 Metode Free RADIUS .................................................................. 20
3.1.7 Jenis - Jenis .................................................................................. 21
3.1.8 Instalasi Radius ............................................................................ 22
3.1.9 Keamanan RADIUS Server ........................................................ 28
3.2 Proxy ...................................................................................................... 30
3.2.1 Konsep Dasar Proxy .................................................................... 30
3.2.2 Fungsi Proxy ................................................................................. 36
3.2.3 Transparent Proxy ........................................................................ 41
iv

3.2.4 Squid Proxy ................................................................................... 42
3.2.5 Proxy Server Level Circuit .......................................................... 44
3.3 Bandwith Management ....................................................................... 45
3.3.1 Quality of Service ......................................................................... 45
3.3.2 Teknik Antrian ............................................................................... 49
3.3.3 Filtering .......................................................................................... 54
3.3.4 Klasifikasi Paket ............................................................................ 55
3.4 Intrusion Detection System ................................................................ 60
3.4.1 Pendahuluan ................................................................................. 60
3.4.2 Cara Kerja ...................................................................................... 60
3.4.3 Jenis - Jenis .................................................................................. 62
3.4.4 Tipe Tipe Penggunaan ............................................................. 62
3.4.5 Karakteristik ................................................................................... 65
3.5 Network Monitoring .............................................................................. 66
3.5.1 Pendahuluan ................................................................................. 66
3.5.2 Protokol Jaringan SNMP ............................................................. 68
3.5.3 Tujuan Monitoring dan Testing Jaringan Komputer ................ 70
BAB 4 PENUTUP ............................................................................................... 72
4.1 Kesimpulan ........................................................................................... 72
4.2 Saran ..................................................................................................... 72
Daftar pustaka ....................................................................................................... 73



v

DAFTAR GAMBAR

Gambar 3.1-1 Basic Architecture for NAS/RADIUS/AAA ......................... 10
Gambar 3.1-2 Proses Komunikasi pada RADIUS Server ........................ 13
Gambar 3.1-3 Struktur Packet Data Radius ............................................. 15
Gambar 3.1-4 Mekanisme Autentikasi menggunakan RADIUS Server ... 18
Gambar 3.1-5 Pemfilteran Alamat MAC menggunakan RADIUS Server . 19
Gambar 3.2-1 Proxy Server & Gateway/Firewall ..................................... 32
Gambar 3.2-2 Mekanisme Caching ......................................................... 39
Gambar 3.2-3 Design Cache 1 ................................................................ 39
Gambar 3.2-4 Design Cache 2 ................................................................ 40
Gambar 3.2-5 Cara Kerja Transparent Proxy .......................................... 42
Gambar 3.3-1 Komputer dengan Satu Kartu Ethernet ............................. 46
Gambar 3.3-2 Komputer Linux sebagai Router/Gateway ........................ 47
Gambar 3.3-3 Struktur Kernel Traffic Control .......................................... 47
Gambar 3.3-4 Queuing Discipline ............................................................ 49
Gambar 3.3-5 Antrian FIFO ..................................................................... 50
Gambar 3.3-6 Prioritas Antrian ................................................................ 51
Gambar 3.3-7 Penjadwalan Round Robin ............................................... 52
Gambar 3.3-8 Token Bucket Filter ........................................................... 53
Gambar 3.3-9 Antrian Ingress pada Komputer Gateway ......................... 54
Gambar 3.3-10 Packet Filtering ............................................................... 54
Gambar 3.5-1 Faktor-Faktor yang Menyebabkan Network Down ............ 67
Gambar 3.5-2 Interaksi Antara Manager dan Agen ................................. 69
1

BAB 1
PENDAHULUAN


1.1 Latar Belakang Masalah
Jaringan berkembang begitu pesat sejalan dengan
perkembangan pola hidup manusia yang bertambah waktu demi
waktu. Jaringan mendukung dan memberikan keterhubungan antara
masing-masing lokasi walaupun dipisahkan dengan jarak yang jauh.
Jaringan juga dibutuhkan bagi banyak elemen masyarakat, mulai
dari pengguna jaringan Internet, perusahaan yang membutuhkan
jaringan untuk keterhubungan antar kantor yang berbeda lokasi,
hingga keperluan iptek. Berdasarkan hal-hal tersebut jaringan
menjadi salah satu hal yang berkembang begitu pesat di dunia,
terutama di Indonesia.
Jaringan pada sebuah perusahaan ataupun pada sebuah
instansi pasti akan berkembang untuk memenuhi kebutuhan
perusahaan hari demi hari. Hal ini mengakibatkan perusahaan harus
mengikuti perkembangan teknologi. Oleh karena itu, peran
Administrator sangat penting dalam Jaringan komunikasi.

1.2 Tujuan
Tujuan dari pembuatan makalah mengenai Rangkuman Materi
Administrasi Jaringan Semester Genap ini adalah :
a. Untuk memenuhi nilai mata pelajaran Administrasi Jaringan,
b. Untuk mengingat kembali materi Administrasi Jaringan yang telah
dipelajari pada semester genap,
c. Untuk membuat dokumentasi tentang praktikum apa saja yang
telah dikerjakan pada mata pelajaran Administrasi Jaringan
semester 2.

2

1.3 Pembatasan Masalah
Batasan masalah yang diambil penulis adalah hanya garis
besar Materi Pelajaran Administrasi Jaringan semester 2 dengan
batasan meliputi :
1. Materi yang disampaikan pada mata pelajaran Administrasi
Jaringan semester 2 dan besifat teoritis.

1.4 Sistematika Pembahasan
Laporan ini terdiri atas beberapa bab. Pembagian ini dimaksudkan
untuk memudahkan gambaran tentang isi laporan ini. Adapun sistematika
pembahasan dari judul diatas adalah sebagai berikut:

BAB 1 PENDAHULUAN
Membahas tentang latar belakang, tujuan, Pembatasan
Masalah, dan Sistematika Pembahasan.

BAB 2 LANDASAN TEORI
Landasan Teori mencakup materimateri dasar yang
melandasi masalah atau judul yang dibahas.

BAB 3 PEMBAHASAN
Pembahasan mencakup isi dari materi inti pembelajaran
Administrasi Jaringan semester 2.

BAB 4 PENUTUP
Berisi kesimpulan dari pembahasan bab 3 serta saran saran
yang bersifat solusi.

3

BAB 2
LANDASAN TEORI


2.1 Administrasi Jaringan
Administrator Jaringan Komputer adalah sebuah jenis pekerjaan
yang banyak dibutuhkan saat ini terutama pada perusahaan/instansi
yang telah mengimplementasikan teknologi komputer dan internet
untuk menunjang pekerjaan.
Penggunaaan sistem jaringan komputer dalam sekala kecil
maupun luas akan membutuhkan pengaturan-pengaturan mulai dari
tingkat fisik maupun non fisik. Pengaturan-pengaturan tersebut
melibatkan proses pengontrolan. Ada beberapa definisi mengenai
administrasi jaringan ini antara lain :
1. controlling corporate strategic (assets)
2. controlling complekxity
3. improving service
4. balancing various needs
5. reducing downtime
6. controlling costs
Pada intinya network administrator bertugas mengelola serta
menjaga seluruh sumber daya pada sistem jaringan agar kinerja
jaringan lebih efektif dan efisien dilihat dari fungsi, struktur dan
keamanan jaringan itu sendiri.
Fungsi dan Tugas Network Administrator
Ada beberapa fungsi dan kerja administrator, namun secara
garis besar dapat dinyatakan dari irisan antara network, hardware, dan
application. Tugas dari administrator jaringan adalah:
a. Security Management
4

Menitikberatkan kerja tentang masalah network
administrator yang mencakup hal-hal berikut:
1) Firewall
Sistem atau perangkat yang mengizinkan lalu lintas
jaringan yang dianggap aman untuk melaluinya dan
mencegah lalu lintas jaringan yang dianggap aman
untuk melaluinya dan mencegah lalulintas yang
dianggap tidak aman.
2) Username
Username akan digunakan sebagai informasi log in
3) Password Control
Pengendalian password yang dimiliki oleh sebuah
sistem.
4) Resource Access
Network administrator mampu melakukan pembatasan
penggunaan sumber daya sesuai dengan hak akses
yang diberikan.

2.2 Jaringan Komputer
Jaringan komputer merupakan sekumpulan komputer
berjumlah banyak yang terpisah-pisah akan tetapi saling berhubungan
dalam melaksanakan tugasnya. Dua buah komputer misalnya
dikatakan terkoneksi bila keduanya dapat saling bertukar informasi.
Bentuk koneksi dapat melalui: kawat tembaga, serat optik, gelombang
mikro, satelit komunikasi.
Dalam suatu jaringan komputer, pengguna harus secara eksplisit:
1. masuk atau log in ke sebuah mesin
2. menyampaikan tugas dari jauh
3. memindahkan file-file
4. menangani sendiri secara umum seluruh manajemen jaringan

5

Jaringan komputer menjadi penting bagi manusia dan
organisasinya karena jaringan komputer mempunyai tujuan yang
menguntungkan bagi mereka. Tujuan jaringan komputer adalah untuk:
1. Resource sharing/berbagi sesumber
Seluruh program, peralatan dan data yang dapat digunakan
oleh setiap orang yang ada dijaringan tanpa dipengaruhi
lokasi sesumber dan pemakai. Misalnya: Staff BIRO
Akademik mengirimkan daftar mahasiswa baru ke
perpustakaan dalam bentuk print out dengan langsung
mencetaknya di printer perpustakaan dari komputer di BIRO
akademik. Atau sebaliknya staff perpustakaan mendapatkan
langsung file daftar mahasiswa baru yang disimpan di
komputer staff BIRO akademik.
2. High reliability / kehandalan tinggi
Tersedianya sumber- sumber alternatif kapanpun diperlukan.
Misalnya pada aplikasi perbankan atau militer, jika salah satu
mesin tidak bekerja, kinerja organisasi tidak terganggu karena
mesin lain mempunyai sumber yang sama.
3. Menghemat uang
Membangun jaringan dengan komputer-komputer kecil lebih
murah dibandingkan dengan menggunakan mainframe. Data
disimpan di sebuah komputer yang bertindak sebagai server
dan komputer lain yang menggunakan data tersebut bertindak
sebagai client. Bentuk ini disebut client-server.
4. Scalability / skalabilitas
Meningkatkan kinerja dengan menambahkan komputer
server atau client dengan mudah tanpa mengganggu kinerja
komputer server atau komputer client yang sudah ada lebih
dulu.
5. Medium komunikasi
6

Memungkinkan kerjasama antar orang-orang yang saling
berjauhan melalui jaringan komputer baik untuk bertukar data
maupun berkomunikasi.
6. Akses informasi luas
Dapat mengakses dan mendapatkan informasi dari jarak jauh
7. Komunikasi orang ke orang
Digunakan untuk berkomunikasi dari satu orang ke orang
yang lain
8. Hiburan interaktif

Dalam pengenalan jaringan komputer, pembahasan dilihat dari
dua aspek: perangkat keras dan perangkat lunak. Dalam perangkat
keras pengenalan meliputi jenis transmisi, dan bentukbentuk jaringan
komputer atau topologi. Sedangkan dalam pembahasan perangkat
lunaknya akan meliputi susunan protokol dan perjalanan data dari satu
komputer ke komputer lain dalam suatu jaringan.
2.2.1 Klasifikasi Jaringan Komputer
Berdasarkan jarak dan area kerjanya jaringan komputer dibedakan
menjadi tiga kelompok, yaitu :
1. Local Area Network (LAN)
Local Area Network (LAN), merupakan jaringan milik pribadi di
dalam sebuah gedung atau kampus yang berukuran sampai
beberapa kilometer. LAN seringkali digunakan untuk
menghubungkan komputer-komputer pribadi dan workstation
dalam kantor suatu perusahaan atau pabrik-pabrik untuk
memakai bersama sumber daya (resource, misalnya printer) dan
saling bertukar informasi.
2. Metropolitan Area Network (MAN)
Metropolitan Area Network (MAN), pada dasarnya merupakan
versi LAN yang berukuran lebih besar dan biasanya
menggunakan teknologi yang sama dengan LAN. MAN dapat
mencakup kantor-kantor perusahaan yang letaknya berdekatan
7

atau juga sebuah kota dan dapat dimanfaatkan untuk keperluan
pribadi (swasta) atau umum. MAN mampu menunjang data dan
suara, bahkan dapat berhubungan dengan jaringan televisi kabel.
3. Wide Area Network (WAN)
Wide Area Network (WAN), jangkauannya mencakup daerah
geografis yang luas, seringkali mencakup sebuah negara bahkan
benua. WAN terdiri dari kumpulan mesin-mesin yang bertujuan
untuk menjalankan program-program (aplikasi) pemakai.

8

BAB 3
PEMBAHASAN


3.1 RADIUS (Remote Access Dial In User Service)
3.1.1 AAA (Authentication, Authorization, Accounting)
A. Authentication
Mengacu pada konfirmasi bahwa pengguna yang meminta
layanan adalah pengguna yang valid.
Dilakukan melalui presentasi identitas dan kepercayaan.
Contoh surat-surat password, token satu kali, sertifikat digital,
dan nomor telepon (memanggil / dipanggil).
B. Authorization
Mengacu pada pemberian jenis layanan tertentu (termasuk
"tidak ada layanan") kepada pengguna, berdasarkan
otentikasi mereka.
Mungkin didasarkan pada pembatasan, misalnya
pembatasan waktu-dari-hari, atau pembatasan lokasi fisik,
atau pembatasan terhadap beberapa login oleh pengguna
yang sama.
Contoh layanan termasuk, namun tidak dibatas pada: alamat
IP filtering, alamat tugas, tugas rute, enkripsi, layanan QoS /
diferensial, bandwidth management control / traffic
management.

C. Accounting
Mengacu pada pelacakan konsumsi sumber daya jaringan
oleh pengguna.
Informasi khas yang dikumpulkan dalam akuntansi adalah
identitas pengguna, sifat dari layanan yang disampaikan,
ketika layanan dimulai, dan ketika itu berakhir.
9

Bisa digunakan untuk manajemen, perencanaan, billing dll.


D. AAA Protocols
Terminal Access Controller Access Control System
(TACACS)
Protokol otentikasi remote yang digunakan untuk
berkomunikasi dengan sebuah server otentikasi yang umum
digunakan dalam jaringan UNIX. TACACS memungkinkan
akses remote server untuk berkomunikasi dengan server
otentikasi dalam rangka untuk menentukan apakah pengguna
memiliki akses ke jaringan. Daemon Unix adalah TACACSD
dan berjalan pada port 49. Menggunakan TCP.
TACACS+
Merupakan protokol yang menyediakan kontrol akses untuk
router, server akses jaringan dan perangkat komputasi
jaringan lain melalui satu atau lebih server terpusat.
Menggunakan TCP dan menyediakan otentikasi, otorisasi
dan akuntansi layanan yang terpisah. Port 49.
RADIUS
Sebuah protokol AAA untuk aplikasi seperti Network Access
atau IP Mobility. Kita akan melihat lebih banyak tentang
RADIUS dalam bab-bab berikutnya.
DIAMETER :
Diameter direncanakan menjadi pengganti RADIUS.
3.1.2 Network Access Server (NAS)
Network Access Server (NAS) adalah elemen layanan yang
klien dial dalam rangka untuk mendapatkan akses ke jaringan.
Sebuah Network Access Server adalah perangkat yang biasanya
memiliki antarmuka baik untuk backbone dan ke telco (POTS atau
ISDN) dan menerima panggilan dari host yang ingin mengakses
10

backbone dengan layanan dialup. Sebuah NAS terletak pada titik
penyedia internet itu hadir untuk memberikan pelanggan mereka
akses internet.
Network Access Server adalah Sebuah titik akses ke suatu
sumber daya Remote Access Server, karena memungkinkan akses
remote ke jaringan. Titik awal masuk ke jaringan Gateway untuk
menjaga akses ke sumber daya yang dilindungi
Beberapa contoh adalah:
Internet Access Verifikasi menggunakan User ID dan Password
Menggunakan VoIP, FoIP, VMoIP membutuhkan Nomor Telepon
valid atau IP Address.
Telepon Kartu Prabayar menggunakan Nomor Kartu Prabayar.

Gambar 3.1-1 Basic Architecture for NAS/RADIUS/AAA

3.1.3 Pengertian RADIUS
RADIUS adalah singkatan dari Remote Acces Dial In User
Service. RADIUS adalah sebuah bagian dari solusi AAA yang
disampaikan oleh Livingston Enterprise kepada Merit Network pada
1991. Merit Network adalah sebuah ISP yang tidak mencari
keuntungan, yang mana membutuhkan sebuah cara yang kreatif
11

untuk memanage akses dial-in kepada berbagai macam Points-Of-
Presence (POPs) semua networknya.
Solusi yang diberikan oleh Livingston Enterprise mempunyai
pusat penyimpanan user yang digunakan untuk autentikasi. Ini bisa
digunakan oleh banyak server RAS (dial-in). Authorisasi dan
Accounting juga bisa dilakukan dengan cara memenuhi persyaratan
AAA. Aspek utama yang lain dari solusi Livingston memasukkan
proxying untuk bisa melakukan scaling.
Protokol RADIUS lalu kemudian dipublikasikan pada tahun
1997 di RFC. Beberapa perubahan dilakukan, dan sekarang ini kita
mempunyai RFC2865, yang mengkover tentang protokol RADIUS,
dan RFC2866 yang mengkover tentang radius accounting. Dan juga
ada beberapa RFC yang lain yang mengkover pembaruan didalam
beberapa aspek RADIUS.
ISP dan network administrator pasti sudah mengenal RADIUS
semenjak ia banyak digunakan oleh berbagai macam device yang
mengkontrol akses network TCP/IP. Dibawah ini adalah contohnya :
Sebuah firewall dengan layanan VPN dapat menggunakan
RADIUS.
WI-Fi dengan enkripsi WPA2-Enterprise menggunakan RADIUS.
Ketika pengguna berhubungan dengan infrastruktur telco yang
sudah ada menggunakan DSL. Peralatan telco akan
menggunakan radius untuk berhubungan dengan server ISP atau
network provider untuk menentukan apakah ia mendapatkan
akses internet melalui DSL(proxying).
Radius mempunyai 802.1x STANDAR IEEE, yang berguna
untuk menghasilkan untuk menghasilkan kontrol akses, Konsep AAA
(Autentikasi, authorization, and accounting) dan manajemen kunci
untuk wireless LANs berbasis UDP Protocol. Tapi kelemahan RADIUS
adalah lambat. Tidak ada keamanan jaringan yang benar-benar
secure.
12

Apabila pelanggan konek ke suatu netwotk menggunakan
wireless, maka RADIUS akan bekerja dengan metode 3 konsepnya
tersebut. Dengan metode Autentikasi, yaitu memastikan apakah
pelanggan tersebut benar telah terdaftar pada sebuah jaringan
wireless tersebut, autentikasi merupakan keaslian, dapat melihat
keaslian pelanggan dengan menggunakan user name dan password.
RADIUS menggunakan RAS Secure ID untuk membuat autentikasi
yang kuat dalam pengontrolan akses. Terdapat port di RADIUS
autentikasi, yaitu port 1812. Terdapat vendor vendor hardware dan
software yang mengimplementasikan RADIUS sebagai solusi
autentikasi user, jadi keaslian dalam suatu network dapat benar
benar terjaga apabila menggunakan RADIUS.
RADIUS juga meng-authorization, yaitu untuk mengetahui hak
akses dia sebagai apa, apakah hanya sebagai pelanggan,
administrator (yang bekerja untuk meng-insert, update, delete), atau
sebagai pimpinan. Ini digunakan agar kemananan jaringan lebih
terkontrol karena telah di bagi hak haknya masing masing. Konsep
lainnya adalah accounting, accounting ini merupakan pendaftaran
account, apakah pelanggan ini sah sebagai pelanggan atau tidak.
RADIUS accounting menggunakan port 1813 namun ada juga vendor
yang menggunakan port 1645/1646 (cisco) dan 1645/1646 (juniper).
3.1.4 RFC 2865
Protokol RADIUS adalah protokol client / server. Yang dimana
untuk berkomunikasi menggunakan UDP. Menggunakan UDP bukan
TCP malah membuat komunikasi tidak ketat sesuai jalurnya.
tipikalnya flowdata antara client dan server yaitu single request dari
client dan diikuti single reply dari server. ini membuat protocol
RADIUS sangat ringan dan membantu dengan keefesiennya
melewati link jaringan.
Sebelum komunikasi yang sukses antara klien dan server
dapat, masing-masing memiliki kode untuk mendefinisikan shared
secret. Ini digunakan untuk otentikasi klien.
13


Gambar 3.1-2 Proses Komunikasi pada RADIUS Server

RADIUS packet mempunyai beberapa pengspesifikasian
fomat di RFC. 2 komponen kunci didalam paket RADIUS adalah:
1. Code, mengindikasikan jenis paket.
2. Attributes, yang membawa data penting dari RADIUS.
RADIUS accounting server bekerja pada port 1813, saat user
memulai session NAS dan mengirimkan accounting paket ke radius
server. paket ini harus mempunyai AVPs tertentu. ini adalah paket
pertama yang dikirimkan setelah authentikasi sukses. Server akan
mengkonfirm reception dengan mengirimkan paket matching
Accounting-Response.
Dengan melewati session NAS bisa menggunakan optional
update reports dengan seperti berapa waktu yang digunakan user
dan data usege yang digunakan user. Saat user mengakhiri session
NAS akan menginformasikannya ke sever radius. nah ini yang
disebut accounting detail saat user melakukan koneksi.
Fungsi Radius client membuat ketentuan, contohnya saat
server radius down. radius client ini akan menentukan mecoba retry
ke server radius, atau mencari server radius yang lain, ini tergantung
dari konfigurasi yang diterapkan.
14

Saat RADIUS server berfungsi sebagai fordwarding proxy ke
RADIUS server yang lain, ini akan membuat relay sebagai
accounting data. ini juga bisa membuat record accounting data lokal
sebelum forwarding itu dimulai.
3.1.5 Struktur Paket Data Radius
Radius mempunyai struktur paket data. Di sinilah tugas
protocol RADIUS, Paket paket data tersebut di encapsulation. Paket
data tersebut terdiri dari 5 bagian dan memiliki pengertian masing
masing. Antara lain :
1. Code
Code digunakan untuk membedakan tipe pesan RADIUS
yang dikirimkan pada paket. Code memiliki panjang adalah satu
octet. Kode-kode tersebut (dalam desimal) ialah:
1 = Access-Request
2 = Access-Accept
3 = Access-Reject
4 = Accounting-Request
5 = Accounting-Response
11 = Access-Challenge
12 = Status-Server
13 = Status-Client
255 = Reserved









15



Berikut gambar dari penjelasan di atas :

Gambar 3.1-3 Struktur Packet Data Radius

Gambar di atas ini merupakan paket data , terdapat remote
user pelanggan yang benar benar sah untuk mengakses wireless
tersebut. Terdapat juga NAS server, NAS Server itu yang biasa
disingkat Network-Attached Storage (NAS) device adalah sebuah
sistem penyimpanan yang mempunyai tujuan khusus yaitu untuk
diakses dari jauh melalui data network. Dari gambar tesebut terlihat
terdapat hubungan antara Remote user (pelanggan) dengan AAA
16

(Autentikasi, authorization, and accounting ) melalui NAS (Network-
Attached Storage).
NAS menyediakan jalan yang cocok untuk setiap komputer
dalam sebuah LAN untuk saling berbagi pool penyimpanan dengan
kemudahan yang sama seperti menamai dan menikmati akses
seperti HAS lokal. Tetapi kelemahan dari NAS ini adalah umumnya
cenderung untuk lebih tidak efisien dan memiliki peforma yang lebih
buruk dari penyimpanan direct-attached. SCSI adalah protokol NAS
terbaru. Protokol ini menggunakan protokol IP network untuk
membawa protokol SCSI. Host dapat memperlakukan
penyimpanannya seperti direct-attached, tapi storage-nya sendiri
dapat berada jauh dari host.
Ketika Terkoneksi terdapat kode kode yang di gunakan untuk
membedakan tipe pesan RADIUS, misal paket data yang di kirimkan
oleh kode RADIUS access-requst menuju ke AAA Server, di AAA
Server tersebut terdapat user database, pengertian dari database itu
sendiri adalah sekumpulan data-data atau file yang saling
berhubungan satu sama lain dalam satu media penyimpanan, dimana
pemakai dapat mengakses dan memanipulasi data. Data base yang
terdapat pada AAA Server merupakan data base yang terdistribusi.
Jadi di dalam database AAA Server tersebut berisi Autentikasi yang
bisa berupa user name dan password atau authorization yang berisi
hak akses pelanggan untuk menggunakan network tersebut dan
membatasi kekuasaan, sedangkan accounting berisikan account
account pelanggan yang menggunakan network tersebut. Dari paket
data yang berisikan kode kode tersebut di AAA Server akan di
kembalikan lagi ke NAS Client yang mempunyai tujuan khusus yang
dapat di akses dari jauh melalui data network.
1. Identifier
Identifier juga berguna untuk mengidentifikasikan dan untuk
mencocokkan permintaan, apabila permintaan itu cocok maka
17

akan terjadi RADIUS access Request. Identifier memiliki panjang
satu oktet.
2. Length
Memiliki panjang dua oktet, memberikan informasi mengenai
panjang paket.
3. Authenticator
Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan
dari RADIUS server, selain itu digunakan juga untuk algoritma
password.
4. Attributes
Berisikan informasi yang dibawa pesan RADIUS, setiap pesan
dapatmembawa satu atau lebih atribut. Contoh atribut RADIUS:
nama pengguna, password, CHAP-password, alamat IP access
point(AP), pesan balasan.
Tujuan standar 802.1x IEEE adalah untuk menghasilkan
kontrol akses, autentikasi, dan manajemen kunci untuk wireless
LANs. Standar ini berdasarkan pada Internet Engineering Task
Force (IETF) Extensible Authentication Protocol (EAP), yang
ditetapkan dalam RFC 2284. Standar 802.1x IEEE juga mendukung
beberapa metode autentikasi, seperti smart cards, password yang
hanya bisa digunakan oleh satu pengguna pada satu waktu, dan
yang lebih baik lagi adalah biometrics. Standar ini berdasarkan pada
Internet Engineering Task Force (IETF) Extensible Authentication
Protocol (EAP), yang ditetapkan dalam RFC 2284. Standar 802.1x
IEEE juga mendukung beberapa metode autentikasi, seperti smart
cards, password yang hanya bisa digunakan oleh satu pengguna
pada satu waktu, dan yang lebih baik lagi adalah biometrics.
802.1x terdiri dari tiga bagian, yaitu wireless node
(supplicant), access point (autentikator), autentikasi server.
Autentikasi server yang digunakan adalah Remote Authentication
Dial-In Service (RADIUS) server dan digunakan untuk autentikasi
18

pengguna yang akan mengakses wireless LAN. EAP adalah protokol
layer 2 yang menggantikan PAP dan CHAP.

Gambar 3.1-4 Mekanisme Autentikasi menggunakan RADIUS Server

Penjelasan :
1. Wireless Node (WN) / Supplicant akan meminta akses ke wireless
network Akses Point atau disebut dengan AP akan menanyakan
identitas Supplicant. Tidak ada trafik data selain EAP yang di
perbolehkan sebelum Supplicant terautentikasi. Access Point
bukanlah sebuah autentikator, tetapi akses point berisi autentikator.
2. Setelah nama-pengguna dan password di kirim, proses autentikasi
dimulai. Protokokol yang di gunakan antara Supplicant dan
Autentikator adalah EAP. Protocol over LAN (EAPoL) Autentikator
mengencapsulasi kembali pesan EAP ke dalam format RADIUS, dan
mengirimnya ke RADIUS server. Selama proses autentikasi,
autentikator hanya menyampaikan paket antara Supplicant dan
RADIUS server. Setelah proses autentikasi selesai, RADIUS server
mengirimkan pesan sukses ( atau gagal, apabila proses autentikasi
gagal).
19

3. Apabila proses autentikasi sukses, Supplicant diperbolehkan untuk
mengakses wireless LAN dan/atau internet.
Pemfilteran alamat MAC
MAC address merupakan alamat setiap computer. Setiap
computer (PC), server, laptop pasti mempunyai NIC, NIC itu berupa
hardware. Di dalam NIC itu terdapat nomor MAC. Pengguna wireless
LAN dapat difilter berdasarkan alamat MAC wireless card yang
dimiliki pengguna.Hampir semua access point telah mempunyai
fiturpemfilter alamat MAC.
Administrator jaringan dapat memprogram access point,
program ini yang berisi daftar alamat-alamat MAC yang dapat
mengakses access point tersebut. Memprogram access point
untuk memasukkan alamat-alamat MAC akan sangat merepotkan,
terutama apabila jumlah alamat MAC yang ingin terhubung ke
access point sangat banyak. Pemfilteran alamat MAC dapat
diimplementasikan pada RADIUS server, alamat MAC beserta
identitas pengguna dimasukkan ke dalam RADIUS server. Hal ini
tentu akan mempermudah administrator untuk mengelola wireless
LAN.

Gambar 3.1-5 Pemfilteran Alamat MAC menggunakan RADIUS Server
Berikut ini penjelasan dari mengenai pemfilteran alamat MAC
dengan RADIUS server:
20

1. Client (Wireless Node) meminta akses ke Access Point (AP).
2. AP meneruskan permintaan client ke RADIUS Server, di RADIUS
Server alamat MAC client diperiksa apakah ada di database.
3. RADIUS memberikan tanggapan ke AP, apabila autentikasi di
RADIUS Server berhasil maka client diperbolehkan untuk
mengakses AP, dan apabila gagal maka client tidak diijinkan untuk
mengakses AP tersebut.
Autentikasi menggunakan RADIUS Server yang dibarengi
dengan pemfilteran alamat MAC diharapkan dapat menambah
keamanan wireless LAN dari orang orang yang tidak mempunyai
hak akses ke wireless LAN. Sistem ini cocok di terapkan disuatu
instansi, baik itu swasta maupun pemerintahan. Karena alamat MAC
yang dapat mengakses wireless LAN dibatasi, maka sistem ini
kurang cocok apabila diterapkan pada hotspot yang terpasang di
tempat-tempat umum, seperti kafe, mal, bandara. Alasan orang
menggunakan hotspot yang berada di tempat-tempat umum adalah
karena kemudahan yang ditawarkan oleh teknologi wireless. Apabila
sistem ini diterapkan pada hotspot yang terdapat di tempattempat
umum, ada kemungkinan para pelanggan yang menggunakan
hotspot tidak tertarik lagi karena merasa repot.
3.1.6 Metode Free RADIUS
Alasan utama kenapa memilih free RADIUS server adalah
karena mahalnya harga RADIUS server komersial. Sebagai contoh :
Interlinks Secure.XS harganya mulai dari $2375 untuk 250
pengguna, Funk Odyssey Server $2500, VOP Radius Small
Business mulai dari $995 untuk 100 pengguna [8]. Harga RADIUS
server komersial diatas kebanyakan tidak terjangkau bagi para
pemilik hotspot, terutama bagi kalangan kampus. Salah satu contoh
RADIUS server yang non-komersial adalah FreeRADIUS server.
FreeRADIUS server ini tidak kalah dengan RADIUS server yang
komersial. Salah satu buktinya adalah freeRADIUS server sudah
21

mendukung beberapa Access Point (AP)/ Network Access Server
(NAS) dibawah ini:
3Com/USR Hiper Arc Total Control
3Com/USR NetServer
3Com/USR TotalControl
Ascend Max 4000 family
Cisco Access Server family
Cistron PortSlave
Computone PowerRack
Cyclades PathRAS
Livingston PortMaster
Multitech CommPlete Server
Patton 2800 family
3.1.7 Jenis - Jenis
FreeRADIUS dapat berjalan di berbagai sistem operasi,
misalnya Linux, FreeBSD, OpenBSD, OSF. Selain FreeRADIUS,
ada beberapa RADIUS server non-komersial yang lain, diantaranya
adalah:
Cistron RADIUS Server
Cistron RADIUS dibuat oleh Miguel van Smoorenburg.
Merupakan free software (dibawah lisensi GNU GPL).
ICRADIUS
ICRADIUS merupakan varian dari Cistron. ICRADIUS
menggunakan MySQL untuk menyimpan database nama-
pengguna beserta password. ICRADIUS sudah berbasis web,
hal ini akan memudahkan administrator untuk mengelola
server ini.
XtRADIUS
XtRadius adalah freeware RADIUS server yang berbasiskan
pada Cistron RADIUS Server. Perbedaan utama antara
22

XtRadius dengan RADIUS server yang lain adalah kita dapat
mengeksekusi skript untuk menangani autentikasi.
OpenRADIUS
OpenRADIUS server dapat berjalan di beberapa sistem
operasi unix. OpenRADIUS juga merupakan free software,
bebas digunakan tanpa harus bayar, pengguna dapat
melakukan modifikasi apabila dianggap perlu.
YARDRRADIUS
Adalah singkatan dari Yet Another Radius Daemon RADIUS.
Tulisannya YARDRADIUS, tetapi membacanya Y-A-R-D
RADIUS. YARDRADIUS merupakan free software yang
berasal dari open source Livinston RADIUS Server 2.1.
JRadius
Merupakan Java plug-in untuk FreeRADIUS
3.1.8 Instalasi Radius
FreeRADIUS
SUSE Linux 9.0 ternyata sudah mempunyai paket RADIUS
server yang terdiri dari:
a. Big Sister
Paket ini merupakan Big Sister plug-in untuk pemonitoran sebuah
RADIUS server.
b. FreeRADIUS
Paket ini merupakan RADIUS server.
c. freeradius-devel
Paket ini berisi file-file untuk pengembangan FreeRADIUS.
d. pam_radius
Pam_radius adalah suatu modul PAM yang digunakan untuk
autentikasi pengguna pada RADIUS server.
e. radiusclient
RADIUS client server memberikan beberapa program untuk
proses outentitikasi melalui radius server.
f. radiusd-livingston
23

Radiusd-livingston adalah RADIUS server dari Lucent
Technologies
FreeRADIUS merupakan salah satu paket program yang
terdapat di SUSE Linux 9.0, maka proses instalasinya relatif lebih
mudah. Karena paket free RADIUS bukan termasuk paket default
yang otomatis terinstal apabila kita menginstal SUSE Linux 9.0,
maka instalasinya harus dilakukan secara manual. Langkahlangkah
proses instalasi paket freeRADIUS yang terdapat pada SUSE Linux
9.0 adalah sebagai berikut:
1. Kita dapat menggunakan program YaST. Ada dua cara untuk
menjalankan program YaST, cara pertama : Start Menu
System YaST, apabila kita login sebagai pengguna biasa
(bukan super user),maka akan muncul window yang meminta
password root. Sedangkan cara yang kedua adalah melalui
konsole dan harus login sebagai root, kemudian ketik yast.
Apabila window YaST Control Center sudah muncul, pada menu
sebelah kiri pilih Software, kemudian pilih Install and Remove
Software. Agar tidak terlalu binggung, kita dapat menggunakan
fasilitas search untuk mencari paket. RADIUS, pada menu filter
pilih search, ketik radius pada kolom isian, tekan enter, maka
akan muncul paket-paket RADIUS seperti yang telah disebutkan
diatas.
2. Pilih paket yang ingin kita instal.
3. Tombol accept apabila sudah selesai memilih paket yang akan
diinstal.
Apabila kita telah memilih freeRADIUS sebagai RADIUS
server, maka kita tidak boleh memilih radiusd-livingston sebagai
RADIUS server dan begitu juga sebaliknya. Apabila kita memilih
freeRADIUS dan radiusd-livingston bersamasama, maka pada saat
kita menekan tombol accept akan keluar window yang berisi
peringatan bahwa ada konflik. Untuk menghindari konflik tersebut,
24

maka kita harus memilih salah satu dari freeRADIUS dan radiusd-
livingston yang akan digunakan sebagai RADIUS server.
Dibawah ini merupakan cuplikan dari file /etc/raddb/users, file
ini perlu diubah dengan cara menghilangkan tanda # pada baris-
baris yang berisi konfigurasi.

# This is a complete entry for "steve". Note that there is no Fall-
Through
# entry so that no DEFAULT entry will be used.
#
steve Auth-Type = Local, Password = "testing"
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 172.16.3.33,
Framed-IP-Netmask = 255.255.255.255,
Framed-Routing = Broadcast-Listen,
Framed-Filter-Id = "std.ppp",
Framed-MTU = 1500,
Framed-Compression = Van-Jacobson-TCP-
Untuk menjalankan freeRADIUS dari konsole gunakan
perintah: radiusd , dan untuk memastikan bahwa radiusd sudah
berjalan, ketik ps ax. Apabila ada radiusd dalam daftar proses yang
sedang berjalan, maka RADIUS server sudah dapat digunakan.
Uji coba untuk mengetahui apakah RADIUS server yang kita
instal tadi sudah berjalan dengan baik atau tidak, dapat dilakukan
dengan menggunakan perintah radtest. Aturan pemakaian radtest
harus menurut skript dibawah ini:
radtest user passwd radius-server[:port] nas-port-number secret
[ppphint] [nasname]
Dari file /etc/raddb/users diatas, kita dapat menggunakan user
steve dan password testing. Perintah radtest diatas menjadi:
25

linux:/home/agungws # radtest steve testing localhost:1812 10
testing123
Pada RADIUS server akan muncul:
Sending Access-Request of id 125 to 127.0.0.1:1812
User-Name = "steve"
User-Password = "testing"
NAS-IP-Address = linux
NAS-Port = 10
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=125,
length=71
Service-Type = Framed-User
Framed-Protocol = PPP
Framed-IP-Address = 172.16.3.33
Framed-IP-Netmask = 255.255.255.255
Framed-Routing = Broadcast-Listen
Filter-Id = "std.ppp"
Framed-MTU = 1500
Framed-Compression = Van-Jacobson-TCP-IP
Dari file diatas dapat kita lihat ada kata Access-Accept, yang
berarti permintaan client telah diterima oleh RADIUS server.
Sedangkan apabila permintaan client ditolak oleh RADIUS server
maka akan muncul kata Access-Reject.

OpenRADIUS
Selain menggunakan freeRADIUS yang terdapat dalam paket
SUSE Linux sebagai RADIUS server, dilakukan juga percobaan
menggunakan OpenRADIUS. OpenRADIUS dapat diperoleh secara
gratis di alamat situs yang telah disebutkan diatas. Versi
OpenRADIUS yang digunakan adalah openradius-0.9.10.
Proses instalasi:
1. Pastikan bahwa program GNU make telah terinstal
2. Ekstrak file openradius-0.9.10.tar.gz, perintah yang dapat
26

3. digunakan adalah tar zxvf openradius-0.9.10.tar.gz
4. Pindah ke direktori openradius-0.9.10
5. Ketik make f Makefile.gnu
6. Ketik make f Makefile.gnu install
File konfigurasi terdapat di direktori ./openradius-
0.9.10/etc/openradius. Ada dua buah file yang dapat diubah apabila
diperlukan dalam direktori tersebut, yaitu:
Configuration
File ini berisi nomor port dan alamat yang digunakan oleh
RADIUS server.
Behavior
File ini digunakan untuk menangani permintaan yang masuk.
Untuk menjalankan server:
Dari direktori openradius-0.9.10 ketik perintah: ./server/radius
Dari direktori openradius-0.9.10 ketik perintah:
./server/radiusd -dall b
Untuk mengetahui apakah program radiusd telah berjalan,
dapat dilakukan dengan mengetik perintah ps ax.
Lakukan permintaan ke RADIUS server, dari direktori
openradius-0.9.10 ketik perintah : ./bin/radtest evbergen
welcome1 localhost h1dd3n
Di server akan muncul :
[recv] job_new: Received request:
INTERNAL:None:Timestamp = 1117759304
INTERNAL:None:IP-Source = 127.0.0.1
INTERNAL:None:IP-Dest = 0.0.0.0
INTERNAL:None:UDP-Source = 32768
INTERNAL:None:UDP-Dest = 1812
UDP-PKT:Any:RAD-Packet =
27

"\x01`\x006W\xefA\xde\x02a`\x96f\x02\xd6\x0a\xe0\xbc\xb1\xd7\
x01\x0aevbergen\x04\x0
6\x0a\x00\x00\x0a\x02\x12\xc1\xec\x9d\xae/\xad\x9ej\x8a\xcc\x
22@\x03!\x1a\x0f"
RAD-PKT:None:RAD-Code = Access-Request
RAD-PKT:None:RAD-Identifier = 96
RAD-PKT:None:RAD-Length = 54
RAD-PKT:None:RAD-Authenticator =
"W\xefA\xde\x02a`\x96f\x02\xd6\x0a\xe0\xbc\xb1\xd7"
RAD-ATR:None:User-Name = "evbergen"
RAD-ATR:None:NAS-IP-Address = 10.0.0.10
RAD-ATR:None:User-Password =
"\xc1\xec\x9d\xae/\xad\x9ej\x8a\xcc\x22@\x03!\x1a\x0f"
Pada kalimat terakhir file diatas terdapat kata Access-Accept,
yang berartipermintaan client telah diterima oleh RADIUS server.

YARDRADIUS
YARDRADIUS yang digunakan adalah yardradius-1.1.1,
yang dapat diperoleh di alamat situs yang telah disebutkan
diatas.
Proses instalasi:
1. Pastikan program GNU make dan GDBM telah terinstal.
2. Ekstrak file yardradius-1.1.1.tar.gz (tar zxvf yardradius-
1.1.1.tar.gz)
3. Pindah ke direktori yardradius-1.1.1 (cd yardradius1.1.1)
4. Ketik ./configure
5. Ketik make
6. Ketik make install
File hasil instalasi terdapat di direktori /usr/local/yardradius.
Untuk menjalankan RADIUS server ketik perintah ./src/radius


28

CISTRON RADIUS
Yang digunakan adalah radiusd-cistron-1.6.7, yang dapat
diperoleh di alamat situs yang telah disebutkan diatas.
Proses instalasi:
1. Pastikan program GNU make.
2. Ekstrak file radiusd-cistron-1.6.7.tar.gz (tar zxvf radiusd-cistron-
tar.gz)
3. Pindah ke direktori radiusd-cistron-1.6.7 (cd radiusd-cistron-
1.6.7)
4. Ketik make
5. Ketik make install
Untuk menjalankan RADIUS server ketik perintah:
/usr/local/sbin/radiusd [options]
Manual radius(8) dapat dijadikan referensi lebih lanjut.
3.1.9 Keamanan RADIUS Server
Protokol RADIUS yang digunakan sebagai salah satu sistem
keamanan wireless LAN melalui autentikasi pengguna wireless LAN,
ternyata memiliki beberapa lubang keamanan.
Mekanisme proteksi menggunakan nama pengguna dan
password ternyata tidak cukup aman untuk diterapkan. Hal ini
diperparah dengan penerapan teknik enkripsi dan kriptografi yang
tidak benar. Paket access-request yang tidak diautentikasi oleh
RADIUS server. Metode shared secret sudah sangat berisiko apabila
diterapkan untuk proses autentikasi dari client ke RADIUS server.
Beberapa lubang keamanan protokol RADIUS:
MD5 dan shared secret
Seperti yang sudah disebutkan diatas bahwa metode shared
secret sudah sangat berisiko untuk diterapkan, hal ini
dikarenakan lemahnya MD5 hash yang menyimpan tanggapan
autentikator. Hacker / penyusup dapat dengan mudah
29

mengetahui paket access-request beserta tanggapannya.
Penyusup dapat dengan mudah mengetahui shared secret
dengan cara melakukan penghitungan awal terhadap
perhitungan MD5.
Paket access-request
Tidak adanya autentikasi dan verifikasi terhadap paket access-
request merupakan salah satu kelemahan dari protokol RADIUS.
Paket access-request harus berisi atribut alamat IP access point
(AP), nama pengguna beserta password atau CHAP-password,
port yang digunakan oleh access point [6]. Nama pengguna
beserta password disembunyikan dengan memakai metode RSA
Message Digest Algorithm MD5. RADIUS server akan
memeriksa dan memastikan bahwa pesan yang dikirim oleh
alamat IP adalah salah satu dari client yang terdaftar. Penyusup
dapat mengetahui dan menggunakan alamat IP yang menjadi
client dari RADIUS server ini. Hal ini merupakan salah satu
keterbatasan dari rancangan protokol RADIUS.
Pemecahan password
Skema proteksi password yang dipakai adalah stream-chiper,
dimana MD5 digunakan sebagai sebuah ad hoc pseudorandom
number generator (PRNG). 16 oktet pertama bertindak sebagai
sebuah synchronous stream chiper. Yang menjadi masalah
adalah keamanan dari cipher ini masih menjadi suatu
pertanyaan, protokol RADIUS tidak dengan jelas menyebutkan
apa yang menjadi kebutuhan dari cipher tersebut. MD5 hash
secara umum digunakan untuk crypthographic hash, bukan
stream chiper. Ada kemungkinan masalah keamanan yang
ditimbulkan dari penggunaan MD5 hash tersebut.
Seperti yang telah dijelaskan diatas bahwa atribut password
diamankan dengan metode stream chiper. Hal ini memungkinkan
penyusup mendapatkan informasi shared secret apabila mereka
30

melakukan sniffing ke jaringan wireless dan mencoba masuk ke
RADIUS server
Serangan menggunakan Request Authenticator
Keamanan RADIUS bergantung pada pembangkitan Request
Authenticator. Request Authenticator ini harus unik dan tidak
dapat diprediksi untuk menjamin keamanan. Protokol RADIUS
tidak menekankan pada pentingnya Pembangkitan Request
Authenticator, sehingga banyak implementasi yang
menggunakan PRNG yang jelek untuk membangkitkan Request
Authenticator. Apabila client menggunakan PRNG yang
mempunyai short cyrcle, maka protokol tidak mneyediakan
proteksi.

3.2 Proxy
3.2.1 Konsep Dasar Proxy
Proxy dapat dipahami sebagai pihak ketiga yang berdiri
ditengah-tengah antara kedua pihak yang saling berhubungan dan
berfungsi sebagai perantara, sedemikian sehingga pihak pertama
dan pihak kedua tidak secara langsung berhubungan, akan tetapi
masing-masing berhubungan dengan perantara, yaitu proxy.
Sebuah analogi; bila seorang mahasiswa meminjam buku di
perpustakaan, kadang si mahasiswa tidak diperbolehkan langsung
mencari dan mengambil sendiri buku yang kita inginkan dari rak,
tetapi kita meminta buku tersebut kepada petugas, tentu saja dengan
memberikan nomor atau kode bukunya, dan kemudian petugas
tersebut yang akan mencarikan dan mengambilkan bukunya. Dalam
kasus diatas, petugas perpustakaan tersebut telah bertindak sebagai
perantara atau Proxy. Petugas tersebut juga bisa memastikan dan
menjaga misalnya, agar mahasiswa hanya bisa meminjam buku
31

untuk mahasiswa, dosen boleh meminjam buku semua buku, atau
masyarakat umum hanya boleh meminjam buku tertentu.
Mungkin proses tersebut menjadi lebih lama dibandingkan
bila kita langsung mencari dan mengambil sendiri buku yang kita
inginkan. Namun bila saja setiap kali petugas mencari dan
mengambil buku untuk seseorang, si petugas juga membuat
beberapa salinan dari buku tersebut sebelum memberikan bukunya
kepada orang yang meminta, dan menyimpannya di atas meja
pelayanan, maka bila ada orang lain yang meminta buku tertentu,
sangat besar kemungkinan buku yang diminta sudah tersedia
salinannya diatas meja, dan si petugas tinggal memberikannya
langsung. Hasilnya adalah layanan yang lebih cepat dan sekaligus
keamanan yang baik.
Analogi diatas menjelaskan konsep dan fungsi dasar dari
suatu proxy dalam komunikasi jaringan komputer dan internet. Proxy
server mempunyai 3 fungsi utama yaitu Connection Sharing, Filtering
dan Caching. Masing masing fungsi akan dijelaskan lebih lanjut
dibawah.
Proxy dalam pengertiannya sebagai perantara, bekerja dalam
berbagai jenis protokol komunikasi jaringan dan dapat berada pada
level-level yang berbeda pada hirarki layer protokol komunikasi
jaringan. Suatu perantara dapat saja bekerja pada layer Data-Link,
layer Network dan Transport, maupun layer Aplikasi dalam hirarki
layer komunikasi jaringan menurut OSI. Namun pengertian proxy
server sebagian besar adalah untuk menunjuk suatu server yang
bekerja sebagai proxy pada layer Aplikasi, meskipun juga akan
dibahas mengenai proxy pada level sirkuit.
Dalam suatu jaringan lokal yang terhubung ke jaringan lain
atau internet, pengguna tidak langsung berhubungan dengan
jaringan luar atau internet, tetapi harus melewati suatu gateway,
yang bertindak sebagai batas antara jaringan lokal dan jaringan luar.
Gateway ini sangat penting, karena jaringan lokal harus dapat
32

dilindungi dengan baik dari bahaya yang mungkin berasal dari
internet, dan hal tersebut akan sulit dilakukan bial tidak ada garis
batas yang jelas jaringan lokal dan internet. Gateway juga bertindak
sebagai titik dimana sejumlah koneksi dari pengguna lokal akan
terhubung kepadanya, dan suatu koneksi ke jaringan luar juga
terhubung kepadanya. Dengan demikian, koneksi dari jaringan lokal
ke internet akan menggunakan sambungan yang dimiliki oleh
gateway secara bersama-sama (connection sharing). Dalam hal ini,
gateway adalah juga sebagai proxy server, karena menyediakan
layanan sebagai perantara antara jaringan lokal dan jaringan luar
atau internet.
Gambar berikut menggambarkan posisi dan fungsi dari proxy
server, diantara pengguna dan penyedia layanan:

Gambar 3.2-1 Proxy Server & Gateway/Firewall

Cara Kerja
Proxy server memotong hubungan langsung antara
pengguna dan layanan yang diakases. Dilakukan pertama-tama
dengan mengubah alamat IP, membuat pemetaan dari alamat IP
jaringan lokal ke suatu alamat IP proxy, yang digunakan untuk
jaringan luar atau internet. Pada prinsipnya hanya lamat IP proxy
33

tersebut yang akan diketahui secara umum di internet, Berfungsi
sebagai network address translator.

PROXY, GATEWAY DAN FIREWALL
Proxy server juga biasanya menjadi satu dengan firewall
server, meskipun keduanya bekerja pada layer yang berbeda.
Firewall atau packet filtering yang digunakan untuk melindungi
jaringan lokal dari serangan atau gangguan yang berasal dari
jaringan internet bekerja pada layer network, sedangkan proxy
server bekerja pada layer aplikasi. Firewall biasanya diletakkan pada
router-router, untuk sehingga bisa melakukan filtering atas paket
yang lewat dari dan ke jaringan-jaringan yang dihubungkan.
Karena firewall melakukan filtering berdasarkan suatu daftar
aturan dan pengaturan akses tertentu, maka lebih mudah mengatur
dan mengendalikan trafik dari sumber-sumber yang tidak dipercaya.
Firewall juga melakukan filtering berdasarkan jenis protokol yang
digunakan (TCP,UDP,ICMP) dan port TCP atau UDP yang
digunakan oleh suatu layanan (semisal telnet atau FTP). Sehingga
firewall melakukan kendali dengan metode boleh lewat atau tidak
boleh lewat, sesuai dengan daftar aturan dan pengaturan akses yang
dibuat. Bila suatu layanan tertentu atau alamat tertentu merupakan
layanan atau alamat yang terpercaya, maka dapat diatur pada
firewall agar paket dari sumber terpercaya diperbolehkan lewat.
Packet filtering pada firewall mempunyai keunggulan yaitu
kecapatan yang lebih dan tidak memerlukan konfigurasi tertentu
pada pengguna-pengguna yang terhubung. Namun di sisi lain dapat
menimbulkan kesulitan, karena akan sangat sulit bila kita harus
membuat satu daftar aturan yang banyak dan kompleks. Disamping
itu, yang bisa dilakukan firewall hanya memperbolehkan atau tidak
memperbolehkan suatu paket lewat berdasarkan pada alamat IP
sumber atau alamat IP tujuan yang ada pada paket tersebut.
Penyerang bisa melakukan memalsukan alamat IP pada paket
34

(spoofing) emnggunakan alamat IP tertentu yang terpercaya, dan
firewall akan melewatkannya. Penyerang juga dapat melakukan
penyadapan paket (sniffing) dengan relatif mudah untuk mengetahui
struktur alamat IP pada header paket yang lewat di jaringan.
Dalam analogi perpustakaan diatas, filtering pada firewall
serupa dengan petugas perpustakaan menimpan daftar mahasiswa
dan dosen yang terpercaya, dan mereka boleh langsung mengambil
sendiri buku yang diinginkan dari rak. Ini bisa menghasilkan proses
sirkulasi buku yang lebih cepat, namun memerlukan penanganan
khusus atas daftar yang diperbolehkan tersebut. Ini juga beresiko
bila ada seseorang yang menggunkan identitas palsu, sehingga
seolah-olah dia adalah salah satu dari yang ada dalam daftar yang
diperbolehkan.
Proxy server menggunakan cara yang berbeda. Proxy server
memotong hubungan langsung antara pengguna dan layanan yang
diakases (atau antara mahasiswa dan buku-buku perpustakaan
dalam analogi diatas). Ini dilakukan pertama-tama dengan
mengubah alamat IP, membuat pemetaan dari alamat IP jaringan
lokal ke suatu alamat IP proxy, yang digunakan untuk jaringan luar
atau internet. Karena hanya lamat IP proxy tersebut yang akan
diketahui secara umum di internet (jaringan yang tidak terpercaya),
maka pemalsuan tidak bisa dilakukan.

PENDEKATAN LAYER OSI
Karena proxy bekerja pada layer aplikasi, proxy server dapat
berjalan pada banyak aplikasi antara lain HTTP Proxy atau Web
Proxy untuk protokol HTTP atau Web, FTP Proxy, SMTP/POP Proxy
untuk email, NNTP proxy untuk Newsgroup, RealAudio/RealVideo
Proxy untuk multimedia streaming, IRC proxy untuk Internet Relay
Chat (IRC), dan lain-lain. Masing-masing hanya akan
menerima,meneruskan atau melakukan filter atas paket yang
dihasilkan oleh layanan yang bersesuaian.
35

Proxy aplikasi spesifik memiliki pilihan konfigurasi yang
sangat banyak. Sebagai contoh, Web Proxy dapat dikonfigurasi
untuk menolak akses ke situs web tertentu pada waktu-waktu
tertentu. Demikian juga proxy yang lain, misalnya dapat dikonfigurasi
untuk hanya memperbolehkan download FTP dan tidak
memperbolehkan upload FTP, hanya memperbolehkan pengguna
tertentu yang bisa memainkan file-file RealAudio, mencegah akses
ke email server sebelum tanggal tertentu, dan masih banyak lagi.
Proxy server juga sangat baik dalam hal kemampuan
menyimpan catatan (logging) dari trafik jaringan, dan dapat
digunakan untuk memastikan bahwa koneksi untuk jenis trafik
tertentu harus selalu tersedia. Sebagai contoh, sebuah kantor
mempunyai koneksi terus menerus ke Internet untuk keperluan
akses Web menggunakan satu koneksi Dial-up. Proxy server dapat
dikonfigurasi untuk membuka satu lagi koneksi Dial-up kedua bila
ada pengguna yang melakukan download melalui FTP pada koneksi
Dial-up pertama dalam waktu lama.
Sebagaimana biasa, kelemahan dari konfigurasi yang sangat
fleksibel dan banyak pilihan adalah timbulnya kompleksitas. Aplikasi
pada sisi pengguna seperti Web Browser atau RealAudio Player
harus ikut dikonfigurasi untuk bisa mengetahui adanya proxy server
dan bisa menggunakan layanannya. Bila suatu layanan baru dibuat
di internet yang berjalan pada layer aplikasi, dengan menggunakan
protokol baru dan port yang baru, maka harus dibuat juga proxy yang
spesifik dan bersesuaian dengan layanan tersebut. Proses
penambahan pengguna dan pendefinisian aturan akses pada suatu
proxy juga bisa sangat rumit.
Sebagai perantara antara pengguna dan server-server di
internet, proxy server bekerja dengan cara menerima permintaan
layanan dari user, dan kemudian sebagai gantinya proxy server akan
mewakili permintaan pengguna, ke server-server di internet yang
dimaksudkan. Dengan demikian, sebenarnya proxy server hanya
36

meneruskan permintaan pengguna ke server yang dimaksud, akan
tetapi disini identitas peminta sudah berganti, bukan lagi pengguna
asal, tetapi proxy server tersebut. Server-server di internet hanya
akan mengeahui identitas proxy server tersebut, sebagai yang
meminta, tetapi tidak akan tahu peminta sebenarnya (yaitu
pengguna asalnya) karena permintaan yang sampai kepada server-
server di internet bukan lagi dari pengguna asal, tetapi dari proxy
server.
Bagi penggguna sendiri, proses yang terjadi pada proxy
server diatas juga tidak kelihatan (transparan). Pengguna melakukan
permintaan atas layanan-layanan di internet langsung kepada
server-server layanan di internet. Penguna hanya mengetahui
keberadaan atau alamat dari proxy server, yang diperlukan untuk
melakukan konfigurasi pada sisis pengguna untuk dapat
menggunakan layanan dari proxy server tersebut.
3.2.2 Fungsi Proxy
Berikut adalah fungsi dari Proxy:
Connection Sharing,
Filtering,
Filter Situs-Situs Terlarang,
Filter Pengguna Internet,
Caching,
Management Users Authentication,
Management Waktu Akses Internet,
Management Bandwidth,
Dst.
Connection Sharing
Konsep dasar, pengguna tidak langsung berhubungan
dengan jaringan luar atau internet, tetapi harus melewati suatu
gateway, yang bertindak sebagai batas antara jaringan lokal dan
jaringan luar.
37

Gateway ini sangat penting, karena jaringan lokal harus dapat
dilindungi dengan baik dari bahaya yang mungkin berasal dari
internet, dan hal tersebut akan sulit dilakukan bila tidak ada garis
batas yang jelas jaringan lokal dan internet.
Gateway juga bertindak sebagai titik dimana sejumlah
koneksi dari pengguna lokal akan terhubung kepadanya, dan suatu
koneksi ke jaringan luar juga terhubung kepadanya.
Dengan demikian, koneksi dari jaringan lokal ke internet akan
menggunakan sambungan yang dimiliki oleh gateway secara
bersama-sama (connection sharing).
Dalam hal ini, gateway adalah juga sebagai proxy server,
karena menyediakan layanan sebagai perantara antara jaringan
lokal dan jaringan luar atau internet.

Filtering
Filter situs-situs terlarang, Konsepnya adalah jika ada client
yang ingin mengakses situs-situs yang sudah difilter oleh proxy
server maka akses akan gagal.
Filter Pengguna Internet, pengguna internet sudah
didefinisikan di konfigurasi proxy. Pendefinisan yang digunakan
adalah dengan menggunakan IP Address yang digunakan client.
Proxy juga bisa mendefinisikan beberapa IP yang tidak bisa akses
internet.
Bekerja pada layer aplikasi shg berfungsi sebagai firewall
packet filtering yang digunakan untuk melindungi jaringan lokal dari
serangan atau gangguan yang berasal dari jaringan internet.
Berfungsi melakukan filtering atas paket yang lewat dari dan ke
jaringan-jaringan yang dihubungkan.
Dapat dikonfigurasi untuk menolak akses ke situs web
tertentu pada waktu-waktu tertentu. Dapat dikonfigurasi untuk hanya
memperbolehkan download FTP dan tidak memperbolehkan upload
FTP, hanya memperbolehkan pengguna tertentu yang bisa
38

memainkan file-file RealAudio, mencegah akses ke email server
sebelum tanggal tertentu, dll.

Caching
Proxy server memiliki mekanisme penyimpanan obyek-obyek
yang sudah pernah diminta dari server-server di internet. Proxy
server yang melakukan proses diatas biasa disebut cache server.
Mekanisme caching akan menyimpan obyek-obyek yang merupakan
hasil permintaan dari dari para pengguna, yang didapat dari internet.
Disimpan dalam ruang disk yang disediakan (cache).
Dengan demikian, bila suatu saat ada pengguna yang
meminta suatu layanan ke internet yang mengandung obyek-obyek
yang sama dengan yang sudah pernah diminta sebelumnya, yaitu
yang sudah ada dalam cache, maka proxy server akan dapat
langsung memberikan obyek dari cache yang diminta kepada
pengguna, tanpa harus meminta ulang ke server aslinya di internet.
Bila permintaan tersebut tidak dapat ditemukan dalam cache
di proxy server, baru kemudian proxy server meneruskan atau
memintakannya ke server aslinya di internet.

Dua Jenis Metode Caching
Object yang disimpan dalam cache bisa saja mencapai
expired, untuk memeriksanya dilakukan validasi. Jika validasi ini
dilakukan setelah ada permintaan dari klien, metode ini disebut pasif.
Pada caching aktif, cache server mengamati object dan pola
perubahannya. Misalkan pada sebuah object didapati setiap harinya
berubah setiap jam 12 siang dan pengguna biasanya membacanya
jam 14, maka cache server tanpa diminta klien akan memperbaharui
object tersebut antara jam 12 dan 14 siang, dengan cara update
otomatis ini waktu yang dibutuhkan pengguna untuk mendapatkan
object yang fresh akan semakin sedikit.

39

Proses Penghapusan Cache
Pada kondisi tertentu, kapasitas penyimpanan akan terkuras
habis oleh object. Ada beberapa metode penghapusan untuk
menjaga kapasitas tetap terjaga, sesuai dengan konfigurasi yang
telah ditetapkan. Penghapusan didasarkan pada umur dan
kepopuleran, semakin tua umur object akan tinggi prioritasnya untuk
dihapus. Dan juga untuk object yang tidak popular akan lebih cepat
dihapus juga.

Gambar 3.2-2 Mekanisme Caching

Design Cache

Gambar 3.2-3 Design Cache 1




A B C D E F G H
SELECTED
ON-LINE
internet
Firewall/router
Web Proxy/cache
server
switch
Pengguna jaringan lokal
Data dari internet, ketika
diminta, akan disimpan
dalam cache
Permintaan dari
proxy/cache server,
terurut dan teratur
Permintaan dari
pengguna web
browser, random dan
tidak teratur
Data yang diberikan
oleh cache server
ke web browser
40

Parent
Cache server yang wajib mencarikan content yang diminta oleh
klien.
Sibling
Cache server yang wajib memberikan content yang diminta jika
memang tersedia. Jika tidak, sibling tidak wajib untuk
mencarikannya.
Dari dua hubungannya ini, sistem cache bias didesain
secara bertingkat. Misalkan dalam mendesain sebuah ISP atau
network kampus, anda bias mempunyai lebih dari satu cache
server yang saling sibling satu dengan yang lainnya.
Misalkan antara cache kantor pusat dan kantor cabang,
dimana kantor pusat terletak di gateway internet. Parent kantor
pusat selain digunakan network lokalnya, juga dibebani trafik
yang berasal dari cache server milik kantor cabang.

Gambar 3.2-4 Design Cache 2

Bersifat ketergantungan penuh
Cache child (cache server) mau tidak mau harus meminta
kepada parent, dan parent pun berkewajiban untuk memenuhi
permintaan child tanpa kecuali, pada kondisi ada atau tidaknya
object yang diminta di dalam hardsiknya.
Bila parent tidak bias memenuhi permintaan, maka cache
child akan memberikan pesan error pada browser klien bahwa URL
maupun content yang diminta tidak dapat diambil
41

3.2.3 Transparent Proxy
Salah satu kompleksitas dari proxy pada level aplikasi adalah
bahwa pada sisi pengguna harus dilakukan konfigurasi yang spesifik
untuk suatu proxy tertentu agar bisa menggunakan layanan dari
suatu proxy server.
Agar pengguna tidak harus melakukan konfigurasi khusus,
kita bisa mengkonfigurasi proxy/cache server agar berjalan secara
benar-benar transparan terhadap pengguna (transparent proxy).
Transparent Proxy memerlukan bantuan dan konfigurasi
aplikasi firewall (yang bekerja pada layer network) untuk bisa
membuat transparent proxy yang bekerja pada layer aplikasi.

Cara Kerja Transparent Proxy
Pengguna benar-benar tidak mengetahui tentang keberadaan
proxy ini, dan apapun konfigurasi pada sisi pengguna, selama proxy
server ini berada pada jalur jaringan yang pasti dilalui oleh pengguna
untuk menuju ke internet, maka pengguna pasti dengan sendirinya
akan menggunakan proxy/cache ini.
Cara membuat transparent proxy adalah dengan
membelokkan arah (redirecting) dari paket-paket untuk suatu
aplikasi tertentu, dengan menggunakan satu atau lebih aturan pada
firewall/router.
Prinsipnya setiap aplikasi berbasis TCP akan menggunakan
salah satu port yang tersedia, dan firewall membelokkan paket yang
menuju ke port layanan tertentu, ke arah port dari proxy yang
bersesuaian.
Sebagai Contoh : Pada saat klient membuka hubungan HTTP
(port 80) dengan suatu web server, firewall pada router yang
menerima segera mengenali bahwa ada paket data yang berasal
dari klien dengan nomor port 80.
Misal kita juga mempunyai satu HTTP proxy server yang
berjalan pada port 3130. Pada Firewall router kita buat satu aturan
42

yang menyatakan bahwa setiap paket yang datang dari jaringan lokal
menuju ke port 80 harus dibelokkan ke arah alamat HTTP proxy
server port 3130. Akibatnya, semua permintaan web dari pengguna
akan masuk dan diwakili oleh HTTP proxy server diatas.

Gambar 3.2-5 Cara Kerja Transparent Proxy

/sbin/iptables -t nat -A PREROUTING -i eth+ -p tcp --dport 80 -j
REDIRECT --to-port 8080
3.2.4 Squid Proxy
Squid sudah termasuk di dalam distro REDHAT. Install squid
dengan menggunakan Add/remove Application.

Konfigurasi Dasar
Edit file : /etc/squid/squid.conf
akan berjalan di Ip berapa dan port berapa.
Contoh :
http_port 10.252.105.21:8080 (jalan di IP 10.252.105.21 di port
8080)
http_port 8080 (jalan di sembarang IP di port 8080)

Cache Peer
Cache_peer adalah metode squid dalam melakukan hirarki
akses, squid memungkinkan dirinya untuk bekerjasama dengan
43

mesin proxy yang lain. Cache_peer sangat berguna bagi mesin yang
tidak punya koneksi langsung ke internet tapi bisa mengakses ke
suatu proxy yang konek ke internet (mesin yang punya akses ke
internet disebut dengan parent)
Cache_peer
cache_peer parent.foo.net parent 3128 3130
Parent.foo.net adalah mesin parent yang membuka port pada 3128

Membuat Cache
Menggunakan Directory. Harus dibangun dulu sebelum digunakan.
Ditentukan dalam konfigurasi cache_dir:
Tipe Cache storage file system secara default adalah ufs
Nama directory harus writable oleh squid
Ukuran ukuran maks dari Cache ini
Jumlah subdirektori Level1
Jumlah subdirektori level 2
Ukuran Cache tidak bisa dirubah-rubah secara fleksibel tanpa harus
membangun, sehingga cache_dir bisa kita berikan lebih dari satu
baris
Contoh cache_dir :
cache_dir ufs /var/spool/squid 100 16 256

Membangun Cache
Tentukan dulu cache_dir nya, ukuran dan lokasinya
Jalankan squid dengan options z
Contoh : /usr/sbin/squid z
Proses ini berjalan agak lama karena squid akan membuat direktori
yang kosong
Setiap kali kita akan menambah cache_dir kita harus membangun
cache_dir tersebut dulu menggunakan option -z


44

File System
Ufs: file system default untuk cache storage
Aufs : menggunakan Thread untuk menghindari blocking I/O
DISKD: menggunakan process yang berbeda untuk menghindarkan
blocking I/O (harus menentukan dan menghidupkan program diskd)
Jumlah Subdirektori akan menentukan kecepatan akses squid
terhadap cache-nya

Logging
Sangat diperlukan untuk menganalisa dan memonitor kejadian pada
squid
cache_access_log : melihat URL akses ke proxy
cache_access_log /var/log/squid/access.log
cache_log : melihat kejadian pada squid tergantung dari nilai
debug_options
cache_log /var/log/squid/cache.log
Harus dipastikan bahwa file tersebut adalah writable oleh squid.
3.2.5 Proxy Server Level Circuit
Proxy ini tidak bekerja pada layer aplikasi, akan tetapi bekerja
sebagai sambungan antara layer aplikasi dan layer transport,
melakukan pemantauan terhadap sesi-sesi TCP antara pengguna
dan penyedia layanan atau sebaliknya.
Proxy ini bertindak sebagai perantara, namun juga
membangun suatu sirkuit virtual diantara layer aplikasi dan layer
transport. Dengan proxy level sirkuit, aplikasi klien pada pengguna
tidak perlu dikonfigurasi untuk setiap jenis aplikasi.
Sebagai contoh, dengan menggunakan Microsoft Proxy
Server, sekali saja diperlukan untuk menginstall WinSock Proxy pada
komputer pengguna, setelah itu aplikasi-apliakasi seperrti Windows
Media Player, IRC atau telnet dapat langsung menggunakannya
seperti bila terhubung langsung ke internet.
45

Kelemahan dari proxy level sirkuit adalah tidak bisa memeriksa
isi dari paket yang dikirimkan atau diterima oleh aplikasi-aplikasi yang
menggunakannya.


3.3 Bandwith Management
3.3.1 Quality of Service
Quality of Service atau QoS digunakan untuk mengukur
tingkat kualitas koneksi jaringan TCP/IP internet atau intranet.
Ada beberapa metode untuk mengukur kualitas koneksi
seperti konsumsi bandwidth oleh user, ketersediaan koneksi,
latency, losses dll. Sekarang kita bahas istilah-istilah dalam
Quality of Service.

Bandwidth
Bandwidth adalah kapasitas atau daya tampung kabel
ethernet agar dapat dilewati trafik paket data dalam jumlah
tertentu. Bandwidth juga bisa berarti jumlah konsumsi paket
data per satuan waktu dinyatakan dengan satuan bit per
second [bps]. Bandwidth internet di sediakan oleh provider
internet dengan jumlah tertentu tergantung sewa pelanggan.
Dengan QoS kita dapat mengatur agar user tidak menghabiskan
bandwidth yang disediakan oleh provider.

Latency
Jika kita mengirimkan data sebesar 3 Mbyte pada saat
jaringan sepi waktunya 5 menit tetapi pada saat ramai 15
menit, hal ini di sebut latency. Latency pada saat jaringan
sibuk berkisar 50-70 msec.

Losses
46

Losses adalah jumlah paket yang hilang saat pengiriman
paket data ke tujuan, kualitas terbaik dari jaringan
LAN/WANmemilikijumlah lossespaling kecil.

Availability
Availability berarti ketersediaan suatu layanan web,
smtp, pop3 dan aplikasi pada saat jaringan LAN/WAN sibuk
maupun tidak.

Linux Traffic Control
Pengendalian trafik jaringan. Trafik jaringan berhubungan
dengan paket data yang dibangkitkan oleh kartu ethernet
pada komputer, sebelumnya kita membahas terlebih dahulu kartu
ethernet. Pada Gambar dibawah ini menunjukkan computer linux
dengan satu kartu ethernet.

Gambar 3.3-1 Komputer dengan Satu Kartu Ethernet

Paket data yang dikirimkan oleh komputer lain diterima
NIC (kartu ethernet), kemudian teruskan oleh driver kartu
ethernet (Network Driver) ke bagian kernel linux untuk diproses.
Proses ini hanya mengatur paket data yang keluar maupun
masuk melalui satu kartu ethernet. Kernel linux yang
bertanggung jawab mengaturaliran data disebu tkernel traffic control.
Sedangkan pada gambar di bawah menggambarkan
komputer linux yang dioperasikan sebagai gateway atau router,
aliran paket data dapat diatur secara bidirectional (dua arah)
melalui NIC0 dan NIC1. Gateway linux dikonfigurasi untuk
memisahkan trafik dari jaringan lain atau koneksi internet yang
disediakan oleh ISP. Hubungan komputer klien yang dibagian
47

NIC1 ke ISP dapat dikendalikan, misalnya bandwidth smtp
dijatah 64Kbps, &ftp mendapatkan bandwidth 10Kbps.


Gambar 3.3-2 Komputer Linux sebagai Router/Gateway

Struktur kernel traffic control
Pada dasarnya kernel traffic controll memiliki 3 bagian,
yang pertama perangkat ingress yaitu jika paket data diterima
oleh kartu LAN maka paket tersebut akan diproses oleh
ingress, biasanya ingress dipakai untuk mengendalikan traffic
upload / uplink. Kemudian perangkat egress dipergunakan
untuk mengendalikan paket data yang keluar dari kartu
ethernet, sehingga trafik download oleh computer klien dapat
dibatasi sesuai konfigurasi.

Gambar 3.3-3 Struktur Kernel Traffic Control

Metode pengendalian trafik
Dalam mengendalikan trafik administrator jaringan bisa
memilih beberapa metode tergantung dari situasi pada jaringan
LAN atau backbone. Tiap trafik akan dikendalikan dengan
metode tertentu yang akan berdampak pada kecepatan akses,
jadi administrator jaringan perlu membaca dan mengerti bagian
ini terlebih dahulu, beberapa metode pengendalian trafik sebagai
berikut:
Prioritas
48

Pada metode prioritas paket data yang melintasi
gateway diberikan prioritas berdasarkan port, alamat IP atau
sub net. Jika trafik pada gateway sedang tinggi maka prioritas
dengan nilai terendah (nilai paling rendah berarti prioritas
tertinggi) akan di proses terlebih dahulu, sedangkan yang
lainnya akan di berikan ke antrian atau dibuang. Metode
prioritas paling cocok diterapkan pada koneksi internet yang
memiliki bandwidth sempit, hanya trafik paling penting sajayang
dilewatkan sepertismtp dan pop3.
FIFO
Pada metode FIFO jika trafik melebihi nilai set maka
paket data akan dimasukkan ke antrian, paket data tidak
mengalami pembuangan hanya tertunda beberapa saat.
Metode FIFO cocok diterapkan pada koneksi internet dengan
bandwidth menengah 64kbps, untuk menghindari bootle neck
pada jaringan LAN. Paket data jika melebihi batas konfigurasi
akan di masukkan ke dalam antrian dan pada saat jaringan
LAN tidak sibuk maka paket data dalam antrian akan dikeluarkan.
Penjadwalan
Metode penjadwalan atau scheduling ini paling sering
dipakai karena memiliki kemampuan membagi paket data ke
dalam ukuran yang sama besar kemudian memasukkan ke
dalam beberapa antrian. Antrian itu kemudian di keluarkan oleh
scheduler dengan algoritma round robin.
Shape&drop
Shape & drop merupakan metode paling cocok serta
efektif untuk jaringan yang memiliki beban trafik sangat tinggi.
Jika trafik melebihi nilai set maka paket data akan di masukan ke
dalam antrian sehingga trafik menurun secara perlahan,
metode ini disebut pemotongan bandwidth, kemudian jika
trafik terus menerus melebihi nilai set maka paket data
akan dibuang (drop).
49

qdisc
Antrian dalam setiap kartu ethernet di sebut qdisc
(queuing discipline) yang dipergunakan untuk menyimpan
antrian paket data, paket data masuk ataupun keluar melalui
qdisc. Paket data yang memasuki qdisc akan dipisahkan oleh
bagian filter untuk menentukan port / alamat ip yang akan diatur
aliran trafiknya. Bagian class atau klasifikasi trafik akan
dibahas pada bagian berikutnya, sedangkan qdisc yang
berwarna ungu dipergunakan untuk mengeluarkan paket data
ke kartu ethernet.

Gambar 3.3-4 Queuing Discipline

3.3.2 Teknik Antrian
First In First Out
Teknik antrian FIFO mengacu pada FCFS (First Come
First Server), paket data yang pertama datang diprosesterlebih
dahulu. Paketdatayang keluarterlebih dahulu dimasukan ke dalam
antrian FIFO, kemudian dikeluarkan sesuai dengan urutan
kedatangan. Teknik antrian FIFO sangat cocok untuk jaringan
dengan bandwidth menengah 64kbps tetapi cukup
menghabiskan sumber daya prosessor dan memori.

50


Gambar 3.3-5 Antrian FIFO

Gambar diatas menunjukkan kedatangan beberapa
paket data yang berbeda waktu, paket pertama (1) dari flow 8
yang tiba lebih awal dikeluarkan ke port terlebih dahulu oleh antrian
FIFO.
Untuk men-set antrian kita memerlukan perintah tc
dengan qdisc pfifo, parameter limit untuk menentukan batas
maksimum antrian.
Menambahkan qdisc FIFO
[root@server root]# tc qdisc add dev eth0 root pfifo limit 100
[root@server root]# tc qdisc show dev eth0
qdisc pfifo 8001: limit 100p
untuk melihatpaketdatayang telah diterimadengan perintah
[root@server root]# tc -s -d qdisc ls dev eth0
qdisc pfifo 8001: limit 100p
Sent 267399 bytes 318 pkts (dropped 0, overlimits 0)
Menghapus qdisc FIFO
[root@server root]# tc qdisc del dev eth0 root

Prioritas Antrian
Pada situasi tertentu kadangkala kita harus memutuskan
suatu permasalahan dengan memilih salah satu solusi yang perlu
di laksanakan terlebih dahulu dan hal ini di sebut prioritas. Hal ini
sama jika kita memiliki bandwidth internet yang sempit, sedangkan
ada transaksi penting yang tidak boleh di interupsi seperti layanan
51

email smtp dan pop3. Traffic controll pada linux memberikan
kita suatu fasilitas pengendalian prioritas trafik TCP/IP, kita
dapat memberikan prioritas berdasarkan alamat port, IP
address, subnet maupun jenis type of service. Prioritas di
tandai dengan angka numerik 1 sampai dengan 100 misalnya,
prioritas tertinggi dimiliki oleh angka 1 kemudian di ikuti
dengan angka berikutnya.

Gambar 3.3-6 Prioritas Antrian

Perintah untuk menentukan prioritasadalah sebagai berikut;
[root@pc01 root]# tc qdisc add dev eth0 root handle 1: prio
[root@pc01 root]# tc filter add dev eth0 parent 1:0 prio 1 protocol ip
u32 \
> match ip dst 192.168.0.3 flowid 1:1
[root@pc01 root]# tc filter add dev eth0 parent 1:0 prio 2 protocol ip
u32 \
> match ip dst 192.168.1.1 flowid 1:2
[root@pc01 root]# tc filter add dev eth0 parent 1:0 prio 3 protocol ip
u32 \
> match ip dst 192.168.1.3 flowid 1:3
Paketyang telah diterimadapatkitalihatdengan perintah;
[root@pc01 root]# tc -s -d qdisc ls dev eth0
qdisc prio 1: bands 3 priomap 1 2 2 2 1 2 0 0 1 1 1 1 1 1 1 1
Sent 4324463 bytes 4655 pkts (dropped 0, overlimits 0)

52

Dari perintah diatas terlihat paket yang dikirimkan
kartu ethernet 4324463 bytes dengan 4655 paket, filteryang
lain tidak terlihatkarenabelumdiklasifikasikan.

Stochastic Fairness Queuing (SFQ)
Stochastic Fairness Queuing (SFQ) memiliki kemampuan
membagi setiap paket data yang diterima dalam jumlah yang
sama rata, setiap paket data yang telah terbagi dimasukkan
ke dalam suatu antrian dan menunggu dikeluarkan oleh
penjadwalan, antrian dikeluarkan dengan algoritma round robin.
Berikut ini adalah opsi dari teknik antrian SFQ.
perturb nilai[detik]
algoritma hash akan di konfigurasi ulang secara
otomatis tergantung dari nilai yang diberikan [detik].
quantum nilai[bytes]
Jumlah paket data stream yang dizinkan untuk di
keluarkan (dequeue) sebelum antrian lain diproses. Nilainya
tidak boleh dibawah MTU (Maximum Transfer Unit), untuk
Ethernet 10/100MbitnilaiMTUnya1500 bytes, periksadengan
perintah ifconfig.

Gambar 3.3-7 Penjadwalan Round Robin



53

Contoh:
[root@server root]# tc qdisc add dev eth0 root handle 1: sfq perturb
10

Token bucket filter
Token bucket filter (TBF) membatasi bandwidth dengan
metode shape & drop, prinsip kerja menggunakan aliran
token yang memasuki bucket dengan kecepatan (rate)
konstan, jika token dalam bucket habis maka paket data akan di
antri dan kelebihannya dibuang, setiap paket data yang dikeluarkan
identik dengan token. Token dalam bucket akan lebih cepat habis
jika aliran paket data melampaui kecepatan token memasukki
bucket, jadi kita asumsikan bahwa trafik melebihi batas
konfigurasi.

Gambar 3.3-8 Token Bucket Filter

Ingress
Paket data yang memasuki komputer gateway akan
diproses terlebih dahulu oleh qdisc ingress, sebelum diberikan
kernel traffic control. Jadi ingress merupakan teknik antrian untuk
mengatur data yang memasuki kartu ethernet. Gambar di bawah
54

menunjukkan paket data diterima dari kartu ethernet 1 (eth0)
kemudian dimasukkan ke dalam antrian ingress dan diproses
oleh kernel traffic control. Dalam prakteknya ingress tidak
mempengaruhi trafik yang memasuki gateway, mungkin ini
bug kernel traffic control.

Gambar 3.3-9 Antrian Ingress pada Komputer Gateway

3.3.3 Filtering
Paket data yang akan memasuki antrian melalui
klasifikasi (class) sebelumnya disaring (filter) terlebih dahulu,
agar setiap paket bisa ditentukan jenisnya, alamat IP, alamat
PORT dan TOS nya. Kemudian fungsi yang kedua, filtering
digunakan untuk mengarahkan suatu paket agar ke tujuan
yang benar, keklasifikasipaket(class)sesuaidengan arah alirannya,
contoh;

Gambar 3.3-10 Packet Filtering


55

Pada gambar tersebut menunjukkan paket dibagi menjadi
3 bagian, untuk dari port ssh (22), alamat tujuan
192.168.1.0/24 dan dari port POP3 (110), sedangkan bilangan
heksadesimal 0xfff menunjukkan semuapaketdarisportxx. Perintah
untuk membangun filtering paketsebagaiberikut;
[root@server root]# tc filter add dev eth1 parent 1:0 protocol ip prio 1
u32
> match ip sport 22 0xfff flowid 1:1
[root@server root]# tc filter add dev eth1 parent 1:0 protocol ip prio 2
u32
match ip sport 110 0xfff flowid 1:3
[root@server root]# tc filter add dev eth1 parent 1:0 protocol ip prio 3
u32
match ip dst 192.168.1.0/24 flowid 1:2
Parameter prio digunakan untuk menentukan prioritas
paket yang akan ditangani oleh teknik antrian (qdisc), angka1
menunjukkan prioritastertinggidan 3 prioritas terendah.

3.3.4 Klasifikasi Paket
Klasifikasi prioritas
Klasifikasi paket merupakan cara memberikan suatu kelas
atau perbedaan pada setiap paket, hal ini dilakukan untuk
mempermudah penanganan paket oleh antrian. Klasifikasi berbeda
dengan filtering yang berfungsi mengarahkan dan menyaring
aliran paket data.

Class Based Queue (CBQ)
Teknik klasifikasi paket data yang paling terkenal
adalah CBQ, mudah dikonfigurasi, memungkinkan sharing
bandwidth antar kelas (class) dan memiliki fasilitas user
interface. CBQ mengatur pemakaian bandwidth jaringan yang
dialokasikan untuk tiap user, pemakaian bandwidth yang melebihi
56

nilai set akan dipotong (shaping), cbq juga dapat diatur untuk sharing
dan meminjam bandwidth antarclass jika diperlukan.
[root@server root]# tc qdisc add dev eth0 root handle 1:0 cbq
bandwidth 100Mbit avpkt
1000 cell 8
[root@server root]# tc class add dev eth0 parent 1:0 classid 1:1 cbq
bandwidth 100Mbit
rate 128kbit weight 12.8kbit avpkt 1000 sharing borrow
[root@server root]# tc class add dev eth0 parent 1:1 classid 1:2 cbq
bandwidth 100Mbit
rate 56kbit weight 5.6kbit avpkt 1000 sharing borrow prio 1
[root@server root]# tc class add dev eth0 parent 1:1 classid 1:3 cbq
bandwidth 100Mbit
rate 56kbit weight 5.6kbit avpkt 1000 sharing borrow prio 2
[root@server root]# tc qdisc add dev eth0 parent 1:2 handle 20: sfq
[root@server root]# tc qdisc add dev eth0 parent 1:3 handle 30: sfq
[root@server root]# tc -s -d qdisc show dev eth0
[root@server root]# tc -s -d class show dev eth0
[root@server root]# tc -s -d filter show dev eth0

Parameter CBQ:
avpkt
Jumlah paket rata rata saat pengiriman bandwidth
Lebar bandwidth kartu ethernetbiasanya10 100Mbit rate
Kecepatan rata rata paket data saat meninggalkan qdisc,
ini parameter untuk men-set bandwidth.
cell
Peningkatan paket data yang dikeluarkan ke kartu ethernet
berdasarkan jumlah byte, misalnya800 ke808 dengan nilaicell8.
isolated /sharing
parameter isolated mengatur agar bandwidth tidak bisa dipinjam
oleh klas (class) lain yang sama tingkat / sibling. Parameter
57

sharing menunjukkan bandwidth kelas (class) bisa dipinjam
oleh kelaslain.
bounded /borrow
parameter borrow berarti kelas (class) dapat meminjam bandwidth
dari klas lain, sedangkan bounded berarti sebaliknya.
Pembuatan antrian (queue) dan klasifikasi
[root@server root]# tc class add dev eth1 parent 1:0 classid 1:1
bandwidth 100Mbit rate
128Kbit avpkt 3000
[root@server root]# tc class add dev eth1 parent 1:0 classid 1:1 cbq
bandwidth 100Mbit
rate 128Kbit avpkt 3000
[root@server root]# tc class add dev eth1 parent 1:1 classid 1:2 cbq
bandwidth 100Mbit
rate 64Kbit avpkt 1000 sharing borrow
[root@server root]# tc class add dev eth1 parent 1:1 classid 1:3 cbq
bandwidth 100Mbit
rate 10Kbit avpkt 1000 sharing borrow
[root@server root]# tc class add dev eth1 parent 1:1 classid 1:4 cbq
bandwidth 100Mbit
rate 44Kbit avpkt 1000 bounded isolated
[root@server root]# tc qdisc add dev eth1 parent 1:2 handle 20: sfq
perturb 10
[root@server root]# tc qdisc add dev eth1 parent 1:3 handle 30: pfifo
[root@server root]# tc qdisc add dev eth1 parent 1:4 handle 40: pfifo
cek konfigurasi dengan perintah
[root@server root]# tc -s -d qdisc show dev eth1
[root@server root]# tc -s -d class show dev eth1
Pembuatan filter
[root@server root]# tc filter add dev eth1 parent 1:0 protocol ip u32
match ip dst
192.168.1 flowid 1:2
58

[root@server root]# tc filter add dev eth1 parent 1:0 protocol ip u32
match ip dst
192.168.2 flowid 1:3
[root@server root]# tc filter add dev eth1 parent 1:0 protocol ip u32
match ip dst
192.168.3 flowid 1:4
[root@server root]# tc -s -d filter ls dev eth1

Hierarchy Token Bucket (HTB)
Teknik antrian HTB mirip dengan CBQ hanya perbedaannya
terletak pada opsi, HTB lebih sedikit opsi saat konfigurasi serta
lebih presisi. Teknik antrian HTB memberikan kita fasilitas
pembatasan trafik pada setiap level maupun klasifikasi,
bandwidth yang tidak terpakai bisa digunakan oleh klasifikasi
yang lebih rendah. Kita juga dapat melihat HTB seperti suatu struktur
organisasi dimana pada setiap bagian memiliki wewenang dan
mampu membantu bagian lain yang memerlukan, teknik antrian
HTBsangatcocok diterapkan padaperusahaan dengan banyak
strukturorganisasi.
Contoh scripthtc.tc
CMD=tc
DEVICE=eth0
BANDWIDTH=2Mbit
CUSTOMER_A=128Kbit
CUSTOMER_B=512Kbit
SSH=64Kbit
TELNET=4Kbit
POP3=32Kbit
SMTP=32Kbit
QDISC_ADD="qdisc add dev"
FILTER_ADD="filter add dev"
CLASS_ADD="class add dev"
59

ROOT="root handle 1:0 htb"
$CMD $QDISC_ADD $DEVICE $ROOT
$CMD $CLASS_ADD $DEVICE parent 1:0 classid 1:1 htb rate 2Mbit
ceil 2Mbit
$CMD $CLASS_ADD $DEVICE parent 1:1 classid 1:2 htb rate
128Kbit ceil 128Kbit
$CMD $CLASS_ADD $DEVICE parent 1:1 classid 1:3 htb rate
512Kbit ceil 512Kbit
$CMD $CLASS_ADD $DEVICE parent 1:2 classid 1:21 htb rate
64Kbit ceil 64Kbit
$CMD $CLASS_ADD $DEVICE parent 1:2 classid 1:22 htb rate
4Kbit ceil 128Kbit
$CMD $CLASS_ADD $DEVICE parent 1:3 classid 1:31 htb rate
32Kbit ceil 32Kbit
$CMD $CLASS_ADD $DEVICE parent 1:3 classid 1:32 htb rate
32Kbit ceil 32Kbit
$CMD $QDISC_ADD $DEVICE parent 1:21 handle 210: pfifo limit 10
$CMD $QDISC_ADD $DEVICE parent 1:22 handle 220: pfifo limit 10
$CMD $QDISC_ADD $DEVICE parent 1:31 handle 310: pfifo limit 10
$CMD $QDISC_ADD $DEVICE parent 1:32 handle 320: pfifo limit 10
$CMD $FILTER_ADD $DEVICE parent 1:0 protocol ip u32 match ip
dst 192.168.1/24
match ip sport 22 0xff flowid 1:21
$CMD $FILTER_ADD $DEVICE parent 1:0 protocol ip u32 match ip
dst 192.168.1/24
match ip sport 23 0xff flowid 1:22
$CMD $FILTER_ADD $DEVICE parent 1:0 protocol ip u32 match ip
dst 192.168.2/24
match ip sport 25 0xff flowid 1:31
$CMD $FILTER_ADD $DEVICE parent 1:0 protocol ip u32 match ip
dst 192.168.2/24
match ip sport 110 0xff flowid 1:32
60

Eksekusiscripthtb.tc
chmod 700 htb.tc
./htb.tc

Parameter HTB
rate
parameter rate menentukan bandwidth maksimum yang bisa
dipakai oleh setiap class, jika bandwidth
melebihinilairatemakapaketdataakan dipotong atau dijatuhkan
(drop)
ceil
parameter ceil di set untuk menentukan peminjaman
bandwidth antar class (kelas), peminjaman bandwith dilakukan
class paling bawah ke kelas di atasnya, teknik ini disebut link
sharing.
3.4 Intrusion Detection System
3.4.1 Pendahuluan
IDS (Intrusion Detection System) merupakan sistem untuk
mendeteksi adanya intrusion yang dilakukan oleh intruder atau
pengganggu atau penyusup di jaringan. IDS (Intrusion Detection
System) sangat mirip seperti alarm, yaitu IDS (Instrusion Detection
System) akan memperingati bila terjadinya atau adanya penyusupan
pada jaringan. IDS (Intrusion Detection System) dapat didefinisikan
sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate
yang terjadi di jaringan atau host. IDS (Intrusion Detection System)
adalah sistem keamanan yang bekerja bersama Firewall untuk
mengatasi Intrusion.
3.4.2 Cara Kerja
IDS juga memiliki cara kerja dalam menganalisa apakah paket
data yang dianggap sebagai intrusion oleh intruser. Cara kerja IDS
dibagi menjadi dua, yaitu :
61

1. Knowledge Based (Misuse Detection )
Knowledge Based pada IDS (Intrusion Detection System) adalah
cara kerja IDS (Intrusion Detection System) dengan mengenali
adanya penyusupan dengan cara menyadap paket data
kemudian membandingkannya dengan database rule pada IDS
(Intrusion Detection System) tersebut. Database rule tersebut
dapat berisi signature signature paket serangan. Jika pattern
atau pola paket data tersebut terdapat kesamaan dengan rule
pada database rule pada IDS (Intrusion Detection System), maka
paket data tersebut dianggap sebagai seranganm dan demikian
juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan
dengan rule pada database rule pada IDS(Intrusion Detection
System), maka paket data tersebut tidak akan dianggap
serangan.
2. Behavior Based ( Anomaly Based )
Behavior Base adalah cara kerja IDS (Intrusion Detection
System) dengan mendeteksi adanya penyusupan dengan
mengamati adanya kejanggalan kejanggalan pada sistem, aatu
adanya keanehan dan kejanggalan dari kondiri pada saat sistem
normal, sebagai contoh : adanya penggunaan memory yang
melonjak secara terus menerus atau terdapatnya koneksi secara
paralel dari satu IP dalam jumlah banyak dan dalam waktu yang
bersamaan. Kondisi tersebut dianggap kejanggalan yang
selanjutnya oleh IDS (Intrusion Detection System) Anomaly
Based ini dianggap sebagai serangan.
Intrusion itu sendiri didefinisikan sebagai kegiatan yang
bersifat anomaly, incorrect, inappropite yang terjadi di jaringan atau
di host tersebut. Intrusion tersebut kemudian akan diubah menjadi
rules ke dalam IDS (Intrusion Detection System). Sebagai contoh,
intrusion atau gangguan seperti port scanning yang dilakukan oleh
intruder. Oleh karena itu IDS (Intrusion Detection System) ditujukan
untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion.
62


3.4.3 Jenis - Jenis
1. Network Instrusion Detection System (NIDS)
Memantau Anomali di Jaringan dan mampu mendeteksi seluruh
host yang berada satu jaringan dengan host implementasi IDS
(Intrusion Detection System) tersebut. NIDS (Network Instrusion
Detection System) pada umumnya bekerja dilayer 2 pada OSI
layer, IDS (Intrusion Detection System) menggunakan raw
traffic dari proses sniffing kemudian mencocokknannya dengan
signature yang telah ada dalam policy. Jika terdapat kecocokan
antara signature dengan raw traffinc hasil sniffing paket, IDS
(Intrusion Detection System) memberikan allert atau peringgatan
sebagai tanda adanya proses intrusi ke dalam sistem. NIDS
(Network Instrusion Detection System) yang cukup banyak
dipakai adalah snort karena signature yang customizable,
sehingga setiap vulnerability baru ditemukan dapat dengan
mudah ditambahkan agar jika terjadi usaha punyusupan atau
intrusion dari intruder akan segera terdeteksi.
cotoh : melihat adanya network scanning
2. Host Instrusion Detection System (HIDS)
Mamantau Anomali di Host dan hanya mampu mendeteksi pada
host tempat implementasi IDS (Intrusion Detection System)
tersebut. HIDS (Host Instrusion Detection System) biasanya
berupa tools yang mendeteksi anomali di sebuah host seperti
perubahan file password dengan penambahan user ber UID 0,
perubahan loadable kernel, perubahan ini script, dan gangguan
bersifat anomali lainnya.
contoh : memonitor logfile, process, file ownership, dan mode.
3.4.4 Tipe Tipe Penggunaan
Ada beberapa tipe penggunaan IDS (Intrusion Detection
System) untuk menajemen keamanan informasi dan pengamanan
jaringan, yaitu dengan menggunakan Snort IDS (Intrusion Detection
63

System) dan IDS (Intrusion Detection System) dengan
menggunakan Box.
1. Snort IDS
Snort IDS merupakan IDS open source yang secara
defacto menjadi standar IDS (Intrusion Detection System) di
industri. Snort merupakan salah satu software untuk mendeteksi
instruksi pada system, mampu menganalisa secara real-time
traffic dan logging IP, mampu menganalisa port dan mendeteksi
segala macam intrusion atau serangan dari luar seperti buffter
overflows, stealth scan, CGI attacks, SMP probes, OS
fingerprinting.
Secara default Snort memiliki 3 hal yang terpenting, yaitu :
1) Paket Snifferm
Contoh : tcpdump, iptraf, dll.
2) Paket Logger
Berguna dalam Paket Traffic.
3) NIDS (Network Intrusion Detection System )
Deteksi Intrusion pada Network
Komponen komponen Snort IDS (Intrusion Detection
System) meliputi :
a. Rule Snort
Rule Snort merupakan database yang berisi pola pola
serangan berupa signature jenis jenis serangan. Rule
snort IDS (Intrusion Detection System) harus selalu
terupdate secara rutin agar ketika ada suatu teknik
serangan yang baru, serangan tersebut dapat terdeteksi.
Rule Snort dapat di download pada website
www.snort.org.



64

b. Snort Engine
Snort Engine merupakan program yang berjalan sebagai
daemon proses yang selalu bekerja untuk membaca paket
data dan kemudian membadingkan dengan Rule Snort.
c. Alert
Alert merupakan catatan serangan pada deteksi
penyusupan. Jika Snort engine mendeteksi paket data
yang lewat sebagai sebuah serangan, maka snort engine
akam mengirimkan alert berupa log file. Kemudian alert
tersebut akan tersimpan di dalam database.
Hubungan ketiga komponen snort IDS (Intrusion Detection
System) tersebut dapat digambarkan dalam gambar
berikut.

Gambar 3.4-1 Hubungan ketiga Komponen Snort IDS

2. IDS (Intrusion Detection System) dengan menggunakan Box
IDS (Intrusion Detection System) dengan menggunakan BOX
adalah IDS (Intrusion Detection System) dengan yang
merupakan product dari suatu perusahaan pengembang
keamanan jaringan komputer (Vendor). Sama seperti IDS
(Intrusion Detection System) Snort, IDS (Intrusion Detection
System) dengan menggunakan Box ini memiliki kemampuan
yang sama untuk melakukan pendeteksian terhadap intursion
65

dalam sebuah jaringan. Pada IDS (Intrusion Detection System)
dengan menggunakan Box allert yang digunakan dapat berupa
message, message tersebut dapat berupa sms ataupun email ke
administrator.
3.4.5 Karakteristik
Karateristik atau sifat yang dimiliki Oleh IDS pada umumnya :
1. Suitability
Aplikasi IDS yang cenderung memfokuskan berdasarkan skema
manajemen dan arsitektur jaringan yang dihadapkannya.
2. Flexibility
Aplikasi IDS yang mampu beradaptasi dengan spesifikasi
jaringan yang akan dideteksi oleh aplikasi tersebut.
3. Protection
Aplikasi IDS yang secara ketat memproteksi gangguan yang
sifatnya utama dan berbahaya.
4. Interoperability
Aplikasi IDS yang secara umum mampu beroperasi secara baik
dengan perangkat-perangkat keamanan jaringan serta
manajemen jaringan lainnya.
5. Comprehensiveness
Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu
melakukan sistem pendeteksian secara menyeluruh seperti
pemblokiran semua yang berbentuk Java Applet, memonitor isi
dari suatu email serta dapat memblokir address url secara
spesifik.
6. Event Management
Konsep IDS yang mampu melakukan proses manajemen suatu
jaringan serta proses pelaporan pada saat dilakukan setiap
pelacakan, bahkan aplikasi ini mampu melakukan updating pada
sistem basis data pola suatu gangguan.
7. Active Response
66

Pendeteksi gangguan ini mampu secara cepat untuk
mengkonfigurasi saat munculnya suatu gangguan, biasanya
aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi
Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang
spesifikasi router pada jaringannya.
8. Support
Lebih bersifat mendukung pada suatu jenis produk apabila
diintegrasikan dengan aplikasi lain.


3.5 Network Monitoring
3.5.1 Pendahuluan
Kebutuhan akan komunikasi data saat ini sangat dibutuhkan
untuk terhubung dengan kantor cabang, para pagawai atau rekan
bisnis lainya. Karena dengan ketersediaan informasi yang akurat,
cepat dan murah dapat meningkatkan kredibilitas perusahaan.
Kebutuhan akan system informasi yang terintegrasi saat ini sangat
mendesak, dikarenakan dengan system ini maka suatu informasi
dapat bernilai guna yang pada akhirnya dapat meningkatkan
kredibilitas di mata pelanggan. Untuk mendukung segala keputusan
tingkat manajemen, suatu perusahaan sangat tergantung dari
informasi yang tepat, akurat dan cepat dimana informasi ini dapat
bermanfaat bagi manajemen untuk mengambil suatu keputusan
yang tepat. Untuk itu dibutuhkan suatu jaringan komunikasi yang
baik agar pihak manajemen tidak salah mengambil keputusan.
67


Gambar 3.5-1 Faktor-Faktor yang Menyebabkan Network Down

Seperti yang terlihat dari gambar, ada beberapa faktor yang
menyebabkan internetworking infrastructure sering failure yang
berakibat terganggunya layanan kepada user, untuk itu saat ini
dibutukan suatu mekanisme pengaturan jaringan (management
network) agar kondisi kesehatan internetwork terjaga dan
secepatnyaakan diketahui jika akan terjadi downtime, karena hal ini
sangat berkaitan eratdengan layanan yang diberikan.
Saat ini sangat dibutuhkan solusi network yang reliabilitasnya
mencapai 100% uptime tanpa down. Dahulu kebutuhan network
down zero time hanya dicapai oleh perusahaan yang menggunakan
IT secara significant seperti banking, dan provider telco, namun
seiring kebutuhan zaman, saat ini tidak adalagi perusahaan atau
pengguna jasa telco yang menginginkan networknya down. Pada
saat sebuah enterprise company merancang atau mengintegrasikan
internetworking dari pusat ke cabangnya pastilah terdapat banyak
perangkatperangkat jaringan yang berada di Network Operating
Center (NOC) yang harus tetap dimonitor dan dikontrol. Ini juga
berlaku untuk perusahaan yang layanannya diakses oleh banyak
penggguna, seperti perbankan, provider, dan sebagainya. Biasanya
68

yang bertugas untuk memonitor operasi ini disebut team Network
Monitoring Center (NMC).
3.5.2 Protokol Jaringan SNMP
Pada saat banyakya perangkat network yang digunakan
dibutuhkan suatu mekanisme monitoring jaringan yang didesain
untuk memantau status koneksi LAN / WAN dan memastikan
perangkat-perangkat tersebut dalam kondisi normal dan aktif,
melihat statistik dalam bentuk grafik, pengecekan kondisi signal
masalah yangakan muncul atau dapat memantau paket data yang
lewat di trafik jaringan.
Simple Network Management Protocol (SNMP), sebuah
protocol yang digunakan sebagai standar untuk melakukan
pengaturan perangkat-perangkat jaringan. Dengan bantuan tools /
daemon lain dapat Mengumpulkan dan memanipulasiinformasi
network dengan mengumpulkan informasi baselinedengan interval
waktu tertentu. SNMP dapat digunakan untuk mengonfigurasi device
yang jauh, memantau unjuk kerja jaringan, mendeteksi kesalahan
jaringan atau akses yang tidak cocok, dan mengaudit pemakaian
jaringan.
Terdapat 3 konsep dasar pada SNMP, yaitu : manager, agent,
dan management information based (MIB). Pada beberapa
konfigurasi di titik manager menjalankan suatu software
management, dimana perangkat yang dapat dimanage seperti
bridges, routers, servers dan workstations yang dapat integrasikan
dengan sebuah modul software agent. Agent pertanggung jawab
untuk menyediakan akses ke lokal MIB dari object resources dan
aktivitas node tersebut.
Agen tersebut juga akan bereaksi terhadap perintah manager
untuk mendapat kembali nilainilai dari MIB dan untuk menetapkan
nilai-nilai di dalam MIB. Satu contoh dari suatu obyek didapat
kembali dari suatu perhitungan dari banyaknya paket-paket pengirim
69

dan penerima pada sebuah node. Manager dapat memonitor nilai
yang diload padajaringan tersebut.
Software Agent berada pada di devices tersebut, beberapa
agent menerima pesan yang masuk dari manager, pesan permintaan
tersebut di bacaatau ditulis pada data device tersebut. Agent akan
mengirimkan kembali respon yang diterima, dimana agent tidak
harus menunggu untuk bertanya tentang sebuah informasi. Namun
pada beberapa kasus tertentu agent akan mengirimkan sebuah
pesan notifikasi untuk melakukan trap ke satu atau lebih manager.
Software Management pada sebuah station management
akan mengirimkan pesan request ke agent dan menerima respon
dan trap dari agent. Protocol UDP yang biasa digunakan sebagai
pembawa paket tersebut dengan karakteristiknya yang hemat
dengan bandwidth, namun protocol pembawa lainnya juga dapat
digunakan.

Gambar 3.5-2 Interaksi Antara Manager dan Agen
70


3.5.3 Tujuan Monitoring dan Testing Jaringan Komputer
Mungkin sebagian orang berpikir jika suatu jaringan
komputer sudah up dan dapat berjalan dengan baik maka
pekerjaan sudah selesai dan jaringan komputer tersebut tidak perlu
diutak-utik lagi. Padahal setelah jaringan komputer tersebut
sudah bisa berjalan dengan baik masih harus dilakukan
pemeliharaan /maintenance untuk menjaga kesehatan jaringan,
memastikan availability, dan improving performance. Oleh karena
itu, monitoring jaringan komputer sangat penting perananya pada
sebuah jaringan komputer.
Monitoring dan testing jaringan komputer sendiri adalah
sebuah tugas yang dilakukan oleh seorang administrator jaringan
komputer untuk menciptakan traffic jaringan komputer yang
lancar, efektif, dan optimal secara continue selama jaringan
komputer tersebut aktif sehingga bisa mendatangkan profit ataupun
menghemat pengeluaran untuk maintenance jaringan komputer di
tempat tersebut. Monitoring jaringan komputer juga berfungsi
sebagai tracker atau system pertama yang digunakan untuk
mencari dimana permasalahan yang dialami suatu jaringan
komputer apabila terjadi slow ataupun failing components yang
disebabkan oleh berbagai macam hal seperti overloaded,crashed
application servers/ web servers / other systems, permasalahan
koneksi network dan device, ataupun juga human error. Setelah
system ini mengetahui dimana letak kerusakan yang terjadi,
system tersebut kemudian akan langsung memberi notifikasi
kepada admin melalui berbagai macam media seperti komputer,
handphone, ataupun device yang lain agar admin dapat dengan
cepat memecahkan permasalahan yang terjadi pada jaringan
tersebut. Monitoring jaringan computer juga digunakan untuk
memeriksa penggunaan bandwidth, application performance,
server performance, dll.
71

Selain itu, dengan adanya monitoring jaringan komputer
seorang admin juga dapat membuat sebuah database mengenai
informasi-informasi penting yang bisa digunakan untuk perencanaan
pengembangan jaringan di masa depan.

72

BAB 4
PENUTUP


4.1 Kesimpulan
Pada semester genap mata pelajaran Administrasi Jaringan ini, kita
mendapatkan 5 materi pokok, yaitu RADIUS, Proxy, Bandwidth
Management, IDS, dan Network Monitoring.
Materi RADIUS mencakup protokol AAA, Network Access
Server, Struktur Paket Data, dan pesan-pesan yang digunakan
RADIUS untuk berkomunikasi.
Materi Proxy mencakup pembahasan mengenai Konsep Dasar
Proxy, Fungsi Prox danTransparent Proxy.
Materi Bandwidth Management berisi pembahasan tentang
Quality of Services, Teknik antrian, Filtering, dan Klasifikasi
Paket.
Materi IDS mencakup Cara Kerja IDS, Jenis IDS, Penggunaan
IDS dan Karakteristik IDS dalam mengamankan jaringan
komputer.
Materi Network Monitoring mencakup pembahasan Protokol
Jaringan SNMP dan Tujuan Monitoring Jaringan.

4.2 Saran
a. Penyampaian materi diharapkan semakin mendalam lagi agar
materi benar benar dapat dipahami.
b. Materi hendaknya disesuaikan dengan perkembangan IT masa
kini sehingga ilmu yang didapatkan dapat diimplementasikan
langsung setelah lulus.


73

DAFTAR PUSTAKA

Diansyah, H. F. (2014). Pengenalana IDS dan IPS sebagai Manajemen Keamanan
Informasi dan Pengamanan Jaringan. Palembang: Universitas Sriwijawa.
Keamanan Jaringan. (2013, December 25). Retrieved June 05, 2014, from
Wikipedia: http://id.wikipedia.org/wiki/Keamanan_jaringan
Konsep Proxy. (2009, August 12). Retrieved June 05, 2014, from Telkomspeedy:
http://opensource.telkomspeedy.com/wiki/index.php/Konsep_Proxy
Muryanto, P. U. (2011). Implementasi Sistem Wireless Security dan Manajemen
Bandwith Berbasis Radius Server dengan Mikrotik. Jakarta: Universitas
Islam Negeri Syarif Hidayatullah. Retrieved from
http://repository.uinjkt.ac.id/dspace/bitstream/123456789/5203/1/PRASET
YO%20UJI
Stiawan, D. (n.d.). Isu - isu utama pada Pengaturan Jaringan (Network
Management). Palembang: Universitas Sriwijaya.
varamitha. (2008, May 30). Remote Authentication Dial-In User Service. Retrieved
June 05, 2013, from Universitas Sriwijaya:
http://www.unsri.ac.id/upload/arsip/radius