Tgl: 04-02-2011 Nama: Fajar Aris Viandi

Pelajaran: Admin Server Authenticated Proxy Kelas : 3 TKJ A

SMKN 1 CIMAHI Pemateri: P.Nusirwan/P.Dodi

Authenticated Proxy
Squid server merupakan suatu daemon yang digunakan sebagai web cache ataupun proxy
server. Squid server berfungsi untuk mempercepat akses internet dengan melakukan caching
permintaan terhadap DNS, situs web dan pencarian-pencarian pada web. Squid server juga dapat
menjadi suatu alat pembantu keamanan yang memiliki prinsip kerja menyaring lalu lintas yang
keluar dari jaringan. Squid digunakan pada berbagai perusahaan dan lingkungan pendidikan
untuk melakukan penyaringan jaringan terhadap situs atau web yang akan diakses oleh client.
Untuk melakukan pengawasan dan penyaringan terhadap kinerja internet di dalam
lingkungannya, squid menerapkan sistem autentikasi. Dalam penggunaannya, squid meminta
autentikasi dari semua client untuk dapat mengakses jaringan internet. Client diharuskan
memasukkan username dan password yang telah terdaftar pada squid proxy. Setelah client
memasukkan informasinya, maka informasi itu akan dikirimkan secara langsung ke squid server
untuk kemudian diautentikasi. Dalam penerapannya, pengiriman informasi berupa username dan
password tersebut tidak terenkripsi, sehingga hal ini memungkinkan terjadinya pengambilan
informasi ini oleh pihak yang tidak berhak.
Dalam melakukan fungsinya yang dapat melakukan pengawasan dan penyaringan
terhadap kinerja jaringan internet dan untuk menjamin kerahasiaan informasi yang diakses oleh
client, ada beberapa metode autentikasi yang dapat diterapkan pada Squid, diantaranya adalah
metode autentikasi NCSA, metode autentikasi PAM dan metode autentikasi LDAP.
Autentikasi proxy adalah sebuah proxy yang membutuhkan hak akses apabila klien ingin
mengaksesnya. Hak akses ini berupa username dan password yang telah terdaftar pada server
proxy.
Sistem uutentikasi di squid, squid mendukung 4 skema autentikasi, yaitu:
1. Basic
2. Digest
3. NTLM
4. Negotiate (mulai dari versi 2.6)

 Basic Authentication
Ini adalah skema autentikasi yang didukung oleh semua peramban (browser) utama. Dan lebih
dari itu, bisa berfungsi dengan baik di semua platform OS. Jadi kalau ingin menggunakan skema
autentikasi yang yakin berfungsi dengan baik di semua browser, pakailah skema autentikasi
basic. Sayangnya skema autentikasi basic ini memiliki satu kelemahan utama, yaitu proses
pengiriman data user dan password dikirim dalam format plain text. Jadi sangat rentan terhadap
proses snip atau penyadapan saat proses autentikasi berlangsung.
Skema ini tidak disarankan ketika layanan yang diberikan akan diakses melalui jaringan internet.
Tapi masih bisa ditolerir jika layanan itu dibuat untuk kalangan terbatas, misalnya LAN kantor.
Dan karena squid pada umumnya digunakan di jaringan terbatas, skema autentikasi ini masih
bisa digunakan. Helper atau program bantu untuk autentikasi ke backend Squid

menyediakan beberapa program bantu untuk skema autentikasi basic. Anda bisa memilih mana
yang cocok dengan keperluan Anda.
1. LDAP: Autentikasi ke LDAP.
2. NCSA: Menggunakan format penulisan username dan password format NCSA.
3. MSNT: Autentikasi ke domain Windows NT.
4. PAM: Menggunakan skema autentikasi PAM yang umum digunakan di sistem operasi
Unix/Linux.
5. SMB: Menggunakan server SMB seperti Windows NT atau Samba.
6. getpwam: Menggunakan cara kuno, berkas password di Unix/Linux.
7. SASL: Mengggunakan pustaka SASL.
8. mswin_sspi: Windows native authenticator.
9. YP: Menggunakan database NIS.

 Digest Authentication
Skema autentikasi digest diperkenalkan untuk mengatasi kelemahan yang ada di skema
autentikasi basic. Skema ini lebih aman, karena pada saat autentikasi, data username dan
password tidak dikirim dalam format plain text. Secara umum, kelebihan skema autentikasi
digest dibandingkan skema autentikasi basic, yaitu lebih aman. Tapi sayangnya tidak didukung
oleh semua browser. Internet Explorer 5 & 6 adalah salah satu browser yang tidak mendukung
skema autentikasi digest.
 NTLM Authentication
Ini adalah skema autentikasi yang diperkenalkan oleh Microsoft. Dengan menggunakan skema
autentikasi NTLM, semua user yang sudah login ke domain, ketika mengakses squid tidak akan
diminta lagi username dan password. Ini yang kita kenal sebagai proses Single Sign On. Jika
sudah sukses autentikasi di satu layanan, ketika ingin menggunakan layanan lain tidak perlu
memasukkan login dan password lagi, proses autentikasi berlangsung secara transparan.
Sayangnya, seperti yang mungkin Anda sudah bisa tebak, ini hanya berfungsi dengan baik di
sistem operasi Windows. Dan tidak semua browser mendukung skema autentikasi NTLM.
Internet Explorer dan Firefox adalah salah satu browser yang mendukung skema autentikasi
NTLM. Chrome, Safari dan Opera adalah contoh browser yang belum mendukung skema
autentikasi NTLM.
Biasanya, untuk browser atau OS yang tidak mendukung skema autentikasi NTLM, ada pilihan
fallback ke skema autentikasi basic. Helper atau program bantu untuk autentikasi ke backend
Paket samba menyertakan winbind ntlm helper untuk membantu squid bisa memberikan layanan
skema autentikasi NTLM.
Sedikit catatan di Debian atau Ubuntu, yang Anda gunakan adalah /usr/bin/ntlm_auth, dan
BUKAN ke /usr/lib/squid/ntlm_auth.
 Negotiate Authentication
Protokol negotiate diperkenalkan lagi-lagi oleh Microsoft, sering dikenal juga sebagai SPNEGO.
Skema autentikasi ini memperbarui skema Single Sign On yang sebelumnya menggunakan
autentikasi NTLM. Skema ini bisa dianggap sebagai wrapper (atau alat bantu untuk
menggunakan salah satu dari autentikasi ke Kerberos atau NTLM. Kelebihan skema ini, jauh
lebih aman bila dibandingkan dengan skema autentikasi NTLM.
Kelemahannya, lagi-lagi hanya berfungsi dengan baik di lingkungan OS Windows. Selain itu
untuk saat ini mengkonfigurasi skema autentikasi negotiate agak ribet, karena helper baru
tersedia untuk sistem operasi windows.
Terdapat berbagai jenis autentikasi yang dapat digunakan pada sistem squid server, tetapi
yang paling sederhana dari kesemua sistem autentikasi tersebut adalah NCSA authenticat ion.
NCSA authentication merupakan autentikasi berbasis httpd (web server) password yang
memungkinkan seorang client melakukan koneksi setelah melakukan autentikasi berupa
username dan password. Username dan password ini telah tersimpan di server dengan format
yang telah ditentukan sebelumnya.
Cara kerja NCSA authentication adalah :
1. Client mengirimkan username dan password kepada sistem, yang telah terenrkripsi.
2. Sistem akan melakukan decoding ulang dari password dan membandingkan dengan berkas
passwd yang ada pada server.
3. Jika password dan username cocok, maka client akan diizinkan untuk melakukan koneksi
Internet melalui proxy.

Contoh pembuatan authentication proxy dengan skema NCSA:

1. Install aplikasi squid
# apt-get install squid

2. Masuk direktori “/etc/squid/” Backup konfigurasi squid lalu buat dua buah user
# cd / etc/squid
# cp squid.conf squid.conf.bak
# htpasswd -c / etc/squid/ passwd [username1]
# htpasswd /etc/squid/passwd [username2]
Opsi -c digunakan untuk membuat file tersebut
3. Buat sebuah file yang nantinya isi dari file tersebut berisi alamat-alamat web yang di blok,
contoh
# nano /etc/squid/blok

4. Edit file /etc/squid/squid.conf

Tambahkan baris berikut pada baris terakhir
Pada konfigurasi di atas ada dua username yaitu guru dan siswa, dengan ketentuan user guru
dapat
mengakses domain facebook.com sedangkan user siswa tidak dapat mengakses domain
facebook.com.

5. Pastikan bahwa
http_port 3128
dan
http_access deny all
yang ada pada baris lainnya telah di beri
tanda crash (#) di awal barisnya.

Adapun baris lainnya yang dapat ditambahkan pada konfigurasi tersebut, antara lain sbb:
a) auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd : Specify
squid password file and helper program location

b) auth_param basic children 5 : The number of authenticator processes to spawn.

c) auth_param basic realm Squid proxy-caching web server : Part of the text the user
will see when prompted their username and password

d) auth_param basic credentialsttl 2 hours : Specifies how long squid assumes an

externally validated username:password pair is valid for - in other words how often the
helper program is called for that user with password prompt. It is set to 2 hours.

e) auth_param basic casesensitive off : Specifies if usernames are case sensitive. It can be
on or off only

f) acl ncsa_users proxy_auth REQUIRED : The REQURIED term means that any
authenticated user will match the ACL named ncsa_users

g) http_access allow ncsa_users : Allow proxy access only if user is successfully

authenticated.

6. Save konfigurasinya, lalu restart service squid

# invoke-rc.d squid restart

7. Lakukan pengujian di browser, buka firefox lalu piih Menu

Edit , lalu pilih Preferences

lalu akan muncul jendela baru maka pilih tab Advanced

setelah itu pilih tab Network

lalu klik Settings , pilih Manual proxy configuration

Masukkan ip proxy server dan port yang digunakan.

8. Masuk ke alamat facebook.com lalu akan diminta username dan password, gunakan user siswa
untuk membuktikan web tersebut tidak dapat di akses.
9. Lakukan pengujian kedua dengan menggunakan user guru untuk membuktikan web
facebook.com dapat di akses