Hadi Rahman FST

SKRIPSI
IMPLEMENTASI HOTSPOT AUTHENTICATION DENGAN MENGGUNAKAN

RADIUS SERVER
DAN PROTOKOL EAP-TTLS
(STUDI KASUS : SEKOLAH ISLAM FITRAH AL FIKRI
DEPOK JAWA BARAT)
Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer
Oleh :
HADI RAHMAN
105091002797
PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2011 M / 1432 H
PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL
KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU
KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.
Jakarta, Juni 2011
Hadi Rahman
105091002797
ABSTRAK
Hadi Rahman – 105091002797 Implementasi Hotspot Autentication dengan Menggunakan
RADIUS SERVER dan Protokol EAP-TTLS Pada Jaringan Wireless Sekolah Islam Fitrah Al
Fikri Depok. Dibimbing oleh Victor Amrizal dan Herlino Nanang.
Sebagian besar jaringan wireless yang terdapat di berbagai fasilitas umum seperti
sekolah, dan instansi yang membutuhkan informasi, terdapat berbagai kendala diantaranya
kemanan jaringan. Dan juga pelayanan yang belum teradminstrasi dengan baik. Oleh karena
itu penelitian ini bertujuan untuk mengimplementasikan protokol TTLS-MSCHAPv2 sebagai
protokol otentikasi pengguna jaringan wireless untuk memudahkan dalam sisi administrasi
jaringan. Berdasarkan penelitian didapatkan bahwa TTLS-MSCHAPv2 memberikan tingkat
kemanan yang cukup baik tanpa harus mengurangi kinerja yang diperlukan untuk menangani
jumlah pengguna yang cukup banyak serta memudahkan administrator jaringan dalam
mengatur infarstruktur jaringan yang ada.
Keyword : Extensible Authentication Protocol (EAP), Tunneled Transport Layer Security

(TTLS), Microsoft Challenge Handshake Authentication Protocol version 2 (MSCHAPv2),
Protokol Otentikasi, Jaringan Wireless.
V Bab + xxiii Halaman + 175 Halaman + 58 Gambar + 16 Tabel + 8 Lampiran + Pustaka +
Lampiran
Pustaka : (21, 1999-2011)
DAFTAR RIWAYAT HIDUP
DATA PRIBADI
Nama : Hadi Rahman

Tempat, Tgl. Lahir : Jakarta, 11 Februari 1987
Jenis Kelamin : Laki-laki
Agama : Islam
Kewarganegaraan : Indonesia
Status : Belum Menikah
Alamat KTP : Jl. M. Kahfi II Rt 03 Rw 05 No. 42 Srengseng Sawah Jagakarsa
Jakarta Selatan 12640
Telepon, HP & email : 021-7868930(No. Rumah), 021-95996974 (No. HP)&
hdrahman87@gmail.com dan hadi_elkom@yahoo.co.id
IDENTITAS KELUARGA
Nama Orang Tua
a. Ayah : Djuhana
b. Ibu : Nurhasia
Pekerjaan Orang Tua

a. Ayah : PURNAWIRAWAN TNI AD
b. Ibu : IBU RUMAH TANGGA
LATAR BELAKANG PENDIDIKAN

A. FORMAL
1992-1993 : KB PERTIWI
1993-1999 : SD NEGERI SRENGSENG SAWAH 01
1999-2002 : SLTP NEGERI 242 JAKARTA
2002-2005 : SMA (MA NEGERI) 13 JAKARTA
2005-2011 : UIN SYARIF HIDAYATULLAH JAKARTA
B. NON FORMAL
2002-2002 : Kursus English Training Specialist BBC
2002-2005 : Kursus Keterampilan Elektronika Komputer Madrsah Aliyah Negeri
13 Jakarta
2006-2006 : Seminar Nasional Bersama Kementrian Komunikasi dan Informatika
“Strategi dan Tantangan Pengembangan Teknologi Informasi dan
Komunikasi beserta Penerapan dalam Dunia Bisnis, Pendidikan, dan
Pemerintahan”
2009-2009 : Workshop TIK untuk Proses Pembelajaran” Bersama Dr.Onno W.
Purbo.
2010-2010 : Workshop “IT FOR HELP U, HELP ME AND HELP EACH
OTHER”
2010-2010 : Workshop Aplikasi IT Pada Sistem Komunikasi Di Sekolah”
PENGALAMAN KERJA
- Praktek Kerja Lapangan

Bertempat Universitas Darma Persada
Periode : 10 Februari s.d 10 Maret 2009
- Penelitian Tugas Akhir
Sekolah Islam Fitrah Al Fikri Depok Jawa Barat
Periode : 11 Juli s.d Desember 2010
- Pengajar Bidang Studi Komputer
Sekolah Menengah Pertama Islam Fitrah Al Fikri Depok Jawa Barat
Periode : 1 Juli 2009 s.d 1 Juli 2010
- Staf Teknik Informasi dan Komunikasi
Sekolah Islam Fitrah Al Fikri Depok Jawa Barat
Periode : 1 Juli 2010 s.d 1 Juni 2011
KATA PENGANTAR
Segala puji serta syukur kehadirat Allah SWT, atas segala limpahkan rahmat dan
hidayah – Nya, hingga penulis dapat menyelesaikan skripsi ini. Penulisan skripsi ini
merupakan salah satu syarat dalam menyelesaikan Program Studi Sarjana (S-1) Teknik
Informatika Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah
Jakarta.
Penulis menyadari bahwa Skripsi ini tidak dapat terlaksana dengan baik apabila tanpa
bantuan dari berbagai pihak. Oleh karena itu, perkenankan penulis mengucapkan banyak
terima kasih dan rasa syukur terutama kepada :
1. Allah SWT, yang telah memberikan rahmat, nikmat dan kesehatan sehingga penulis
dapat menyelesaikan skripsi ini
2. Bapak Dr. Syopiansyah Jaya Putra, M.Sis selaku Dekan Fakultas Sains dan Teknologi
UIN Syarif Hidayatullah Jakarta.
3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik
Informatika UIN Syarif Hidayatullah Jakarta.
4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik Informatika UIN
Syarif Hidayatullah Jakarta.
5. Bapak Viktor Amrizal, M. Kom, selaku pembimbing pertama skripsi ini, yang
membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat
menyelesaikan skripsi ini.
6. Bapak Herlino Nanang, M.T, selaku pembimbing kedua, yang membantu
memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan
skripsi ini.
7. Kedua Orang Tua serta kedua kakakku.
8. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi
9. Seluruh teman-teman kelas TI A 2005 yang telah memberikan banyak bantuan
sehingga penulis dapat menyelesaikan skripsi ini.
10. Seluruh guru dan karyawan Sekolah Islam Fitrah Al Fikri.
11. Semua pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu.
Akhirnya dengan segala keterbatasan dan kekurangan yang ada dalam penulisan
skripsi ini, penulis mengucapkan terimakasih yang sebesar-besarnya, semoga skripsi ini dapat
bermanfaat bagi semua pihak
Jakarta, Juni 2011
Hadi Rahman
LEMBAR PERSEMBAHAN
Skripsi ini penulis persembahkan kepada beberapa pihak yang telah memberi
dukungan baik berupa dukungan moril maupun materil, diantaranya:
1. Terima kaih kepada Kedua Orang Tua atas segala yang telah diberikan dan doa
yang telah diberikan
2. kedua kakakku yang telah memberikan dukungan.
3. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik
Informatika UIN Syarif Hidayatullah Jakarta.
4. Ibu Viva Arifin, MMSI , selaku Sekretaris Program Studi Teknik Informatika UIN
Syarif Hidayatullah Jakarta.
5. Bapak Viktor Amrizal, M. Kom, selaku pembimbing pertama skripsi ini, yang
membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat
6. Bapak Herlino Nanang, M.T, selaku pembimbing kedua, yang membantu
memberikan bimbingan, arahan kepada penulis sehingga penulis dapat
7. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi
8. Seluruh teman-teman penulis Ariando, Bily, Dewi, Hadi, Nanang, Zein dan semua
sahabat kelas yang telah memberikan banyak bantuan sehingga penulis dapat
9. Seluruh guru dan karyawan Sekolah Islam Fitrah Al Fikri.
10. Dan pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu
persatu.
Semoga Allah membalas semua kebaikan dan ketulusan hati kalian. Amin.
Jakarta, Juni 2011
DAFTAR ISI
Halaman
HALAMAN SAMPUL ........................................................................ i
HALAMAN JUDUL ............................................................................ ii
LEMBAR PENGESAHAN PEMBIMBING ........................................ iii
LEMBAR PENGESAHAN UJIAN ..................................................... iv
LEMBAR PERNYATAAN …………………………………………. .. v
LEMBAR ABSTRAK.......................................................................... vi
KATA PENGANTAR.......................................................................... vii
LEMBAR PERSEMBAHAN ............................................................... ix
DAFTAR ISI ....................................................................................... x
DAFTAR GAMBAR ........................................................................... xv
DAFTAR TABEL ................................................................................ xviii
DAFTAR LAMPIRAN ........................................................................ xix
DAFTAR ISTILAH ………………………………………………….. . xx
BAB I PENDAHULUAN
1.1 Latar Belakang ...................................................... 1
1.2 Rumusan Masalah................................................... 3
1.3 Batasan Masalah .................................................... 4
1.4 Tujuan Penelitian .................................................... 4
1.5 Manfaat Penelitian .................................................. 4
1.6 Metodologi Penelitian ............................................. 5
1.6.1 Metodologi Pengumpulan Data ................... 5
1.6.2 Metode Pengembangan Sistem .................... 6
1.7 Sistematika Penulisan ............................................. 6
BAB II LANDASAN TEORI
2.1 Wireless LAN ....................................................... 9
2.1.1 Mode Pada Wireless LAN ........................... 9
2.1.2 Komponen Wireless LAN ........................... 11
2.1.3 Badan Standarisasi ...................................... 14
2.1.4 Standar Wireless LAN ................................ 15
2.2 Protokol Kemanan AAA ....................................... 17

2.2.1 Remote Dial-in User Service (RADIUS) ..... 19
2.2.1.1 Format Paket RADIUS ...................... 20
2.2.1.2 Tipe Paket RADIUS………………... 22
2.2.1.3 Tahapan Koneksi …………………… 27
2.2.1.4 REALM…………………………….. 29
2.3 Protokol Otentikasi .............................................. 30
2.3.1 Extensible Authentication Protocol (EAP)... 30
2.3.1.1 EAP Over RADIUS ………………… 33
2.3.1.2 EAP Over LAN …………………….. 34
2.4 EAP Methods …………………………………… 35

2.4.1 EAP MD5 ………………………………..... 36
2.4.2 EAP TLS………………………………….. . 37
2.4.3 EAP TTLS ………………………………… 37
2.5 Secure Socket Layer / Transport Layer Security…. 37

2.5.1 Protocol SSL Record ……………………… 38
2.5.2 Protocol SSL Handshake ………………….. 39
2.5.3 Protocol SSL Alert ………………………... 44
2.5.4 Arsitektur SSL / TLS ……………………… 45
2.5.5 Sertifikat Digital …………………………... 46
2.5.6 Enkripsi Public Key ……………………….. 49
2.5.7 Kriptografi Simetris ……………………….. 49
2.5.8 Kriptografi Asimetris ……………………… 51
2.5.8.1 RSA ………………………………… 52
2.6 Open System Interconnetion (OSI)……………… 53
2.6.1 Pengertian OSI ……………………………. 53
2.6.2 Fungsi – fungsi layer OSI………………….. 54

2.6.3 Komponen Jaringan dan Protokol Layer …. 57
2.7 Tools …………………….………………………. 60
2.7.1 freeRADIUS Server……………………….. 60
2.7.2 JRADIUS Simulator………………………. 62
2.8 Network Develpoment Life Cycle (NDLC)..…… 65
2.8.1 Tahapan NDLC ………………………….. 65
BAB III METODOLOGI PENELITIAN
3.1 Metode Pengumpulan Data ..................................... 71
3.1.1 Studi Lapangan / Observasi ........................... 71
3.1.2 Studi Pustaka dan Literatur ........................... 72
3.2 Metode Pengembangan Sistem ............................... 73
3.2.1 Tahapan Analisis........................................... 73
3.2.2 Tahapan Desain ............................................ 74
3.2.3 Tahapan Simulasi Prototyping …………….. 74
3.2.4 Tahapan Penerapan (Implementation) …….. . 74
3.2.5 Tahapan Pengawasan (Monitoring) ………. .. 75
3.2.6 Tahapan Pengaturan (Management) ……….. 75
3.3 Mekanisme Kerja Penelitian ................................... 75
BAB IV HASIL DAN PEMBAHASAN
4.1 Perencanaan……………………………………… 77
4.2 Analisa…………………………………………… 78
4.2.1 Kebutuhan Sistem Kemanan EAP-TTLS ... 78
4.2.2 Komponen-komponen .............................. 80
4.2.3 Mekanisme EAP-TTLS ............................. 82
4.3 Design (Perancangan)

4.3.1 Perancangan Topologi……………………. 94
4.3.2 Perancangan Sistem …………………….. 97
4.4 Simulation Prototyping………………………… 100
4.4.1 Simulasi Kinerja Server AAA………….. . 101
4.5 Implementasi…………………………………… 105
4.5.1 Instalasi Server RADIUS ………………. . 107
4.5.2 Pembuatan Sertifikat Digital …………….. 107
4.5.3 Konfigurasi Server RADIUS …………… . 108
4.5.4 Konfigurasi Access Point……………….. . 111
4.5.5 Instalasi Sertifikat CA pada Client………. 111
4.5.6 Instalasi Database Server………………… 111
4.5.7 Konfigurasi Database Server ……………. 111
4.6 Monitoring (Pengawasan) …………………….. . 112
4.7 Management (Manajemen)…………………….. 114
BAB V KESIMPULAN DAN SARAN....................................... 116
5.1 Kesimpulan ........................................................ 116
5.2 Saran ................................................................... 117
DAFTAR PUSTAKA .......................................................................... 118
LAMPIRAN ........................................................................................ 121

DAFTAR TABEL
Tabel 2.1 Perbandingan Standar Wireless LAN
Tabel 2.2 Kode tipe pesan RADIUS
Tabel 2.3 Paket Access-Request
Tabel 2.4 Paket Access-Accept
Tabel 2.5 Paket Access- Reject
Tabel 2.6 Paket Access-Challenge
Tabel 2.7 Alert Error Message
Tabel 2.8 Model OSI

Tabel 3.1 Studi Literatur
Tabel 4.1 Perbandingan EAP-TLS dan EAP-TTLS
Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat
Tabel 4.3 Spesifikasi Software
Tabel 4.4 Spesifikasi Hardware
Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses
Tabel 4.6 Alamat IP Jaringan Wireless SIF AL Fikri Depok
DAFTAR GAMBAR
Gambar 2.1 Mode Jaringan Ad-Hoc
Gambar 2.2 Model Jaringan Infrastruktur
Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan.
Gambar 2.4 Multiple Access Point dan Roaming
Gambar 2.5 Penggunaan Extension Point
Gambar 2.6 Format paket RADIUS
Gambar 2.7. Paket Access-Request
Gambar 2.8 Paket Access- Accept

Gambar 2.9 Paket Access- Reject
Gambar 2.10 Paket Access- Challenge
Gambar 2.11. Proses Pembentukan koneksi protokol RADIUS
Gambar 2.12 Proses komunikasi protokol EAP antara supplicant, NAS dan authentication
server
Gambar 2.13 Komponen EAP
Gambar 2.14 Skema port based authentication
Gambar 2.15 Konversi pesan EAP dan pesan RADIUS
Gambar 2.16. Format paket EAPOL
Gambar 2.17 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS
Gambar 2.18 Format SSL Record
Gambar 2.19 Handshake Protocol
Gambar 2.20 Arsitektur Protokol SSL
Gambar 2.21 Peran CA dalam penerbitan sertifikat
Gambar 2.22 Format X.509
Gambar 2.23 Kriptografi Simetris
Gambar 2.24 Kriptografi asimetris
Gambar 2.25 Log pada JRadius
Gambar 2.26 Konfigurasi Sertifikat Client
Gambar 2.27 Konfigurasi Attribute pada JRadius
Gambar 2.28 Set up JRadius untuk dijalankan
Gambar 2.29. NDLC
Gambar 3.1 Siklus Network Development Life Cycle
Gambar 3.2 Mekanisme Kerja Penelitian
Gambar 4.1 Proses Otentikasi TTLS MSCHAPv2

Gambar 4.2 Capture paket EAP Response Identity
Gambar 4.3 Capture Paket EAP Request-TLS start
Gambar 4.4 Capture Paket Hello-TLS client
Gambar 4.5 Capture Paket EAP Request Sertifikat Server
Gambar 4.6 Capture Paket EAP Response-Client Key Exchange
Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS complete
Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2
Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2
Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge
Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response
Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success
Gambar 4.13 Capture Paket EAP response/EAP-ms-chap v2 ack
Gambar 4.14 Capture Paket EAP Success
Gambar 4.15 Perancangan Topologi TTLS
Gambar 4.16 Topologi Jaringan Wireless Sekolah Islam Al Fikri
Gambar 4.17 Perancangan Sistem TTLS
Gambar 4.18 Setting JRADIUS alamat IP Server RADIUS, shared secret, dan authentication
protocol
Gambar 4.19 Setting Atribut Username dan Password
Gambar 4.20 Hasil Simulasi Jradius Simulator
Gambar 4.21 tampilan input username dan password pada sisi client windows 7
Gambar 4.22 tampilan input username dan password pada sisi client windows XP
Gambar 4.23 tampilan input username dan password pada sisi client Ubuntu 10.10 desktop
Gambar 4.24 mode debug freeRADIUS
Gambar 4.25 Konfigurasi database dengan phpmyadmin

Gambar 4.26 Perbandingan Performa Server berdasarkan jumlah request otentikasi
Gambar 4.27 Jumlah paket authentication request
Gambar 4.28 Jumlah paket accounting request
Gambar 4.29 manajemen akun pengguna
Gambar 4.30 manajemen access point
DAFTAR LAMPIRAN
Halaman
Lampiran 1. Instalasi FreeRADIUS Server …………………………….... 121
Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server …… 126
Lampiran 3. Konfigurasi eap.conf ………………………………………. 133
Lampiran 4. Konfigurasi clients.conf …………………………………… 157
Lampiran 5. Konfigurasi pada File Users ………………………………. 167
Lampiran 6. Konfigurasi Access Point …………………………………. 175
Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien…… 176
Lampiran 8 Wawancara dengan Staff IT Sekolah SIF Al Fikri………… 178
Lampiran 9 Pengujian Monitoring Secara Simulasi ……………………. 180

DAFTAR ISTILAH
Istilah Arti
Access read Kemampuan untuk membaca file / berkas
Account Representasi seorang pengguna
Active directory (AD) Layanan direktori yang dimiliki oleh system operasi
jaringan Microsof Windows 2000, Windows Server
2003 terdiri atas basis data dan juga layanan
direktori.
Analysis Suatu fase pada model pengembangan sistem
diamana biasanya dilakukan proses perumusan
masalah, identifikasi dan perbandingan terhadap
komponen.
Anywhere access Dapat diakses dimanapun
Application Programming Sekumpulan perintah, fungsi, dan protokol yang
Interface (API) dapat digunakan oleh programmer saat membangun
perangkat lunak untuk sistem operasi tertentu.
Automatic teller machine Sebuah alat elektronik yang mengijinkan nasabah
(ATM) bank untuk mengambil uang dan mengecek
rekening tabungan mereka tanpa perlu dilayani oleh
seorang teller (manusia)
Backend Istilah umum yang mengacu pada tahap akhir dari
sebuah proses
Backup Penyimpanan cadangan
Biometric Meliputi metode untuk mengenali manusia secara
unik berdasarkan satu atau lebih ciri-ciri fisik atau
perilaku intrinsic
Blackbox Deskripsi penggunaan software termasuk
spesifikasi, requirement, dan desain untuk
pengujian. Pengujian (test) ini bias menjadi
fungsional atau non-fungsional
Browser Antarmuka antara pemakai dan World Wide Web
yang menginterpretasikan hypertext link dan
digunakan untuk melihat dan memandu dari simpul
internet satu ke yang lain.
Built-in Suatu produk yang di dalamnya sudah tergabung
beberpa program atau produk sekaligus
cache proxy Menyimpan informasi (halaman, grafik, suara,
URL) dari situs sehingga informasi tersebut dapat
diperoleh dengan cepat.
Central Processing Unit Perangkat keras komputer yang memahami dan
(CPU) melaksanakan perintah dan data dari perangkat
lunak
Certificate Dokumen elektronik yang menggunakan tanda
tangan digital untuk mengikat kunci publik dengan
informasi identitas seperti nama orang atau
organisasi, alamat, dan sebagainya.
Client Pada jaringan, client adalah suatu program aplikasi
yang memungkinkan pengguna mengakses layanan
dari computer server
common name Atribut wajib dari suatu direktori digunakan untuk
penamaan atribut
Common Internet File Sebuah implementasi dari protokol berbagi
System (CIFS) berkas/file-sharing Server Message Block (SMB)
yang telah diusulkan agar menjadi standar Internet
(statusnya saat ini masih menjadi draft), sehingga
dapat diperoleh secara mudah
Community Enterprise OS Komunitas skala perusahaan
Console Mengacu kepada terminal yang terpasang pada
minicomputer atau mainframe dan digunakan
sebagai interface ke suatu system operasi serta
memonitor status system.
Container Wadah atau nama lain dari direktori
Copyleft Praktik penggunaan undang-undang hak cipta untuk
meniadakan larangan dalam pendistribusian salinan
dan versi yang telah dimodifikasi dari suatu karya
kepada orang lain dan mengharuskan kebebasan
yang sama diterapkan dalam versi-versi selanjutnya
kemudian.
Copyright Adalah hak eksklusif Pencipta atau Pemegang Hak

Cipta untuk mengatur penggunaan hasil penuangan
gagasan atau informasi tertentu.
Cost Salah satu fakor non-teknis ISO 9126
Design Perencanaan yang meletakkan dasar untuk
pembuatan setiap objek atau sistem
Device Perangkat keras komputer
Directory service Layanan direktori
Distinguish Name (DN) Tanda pengenal yang unik untuk suatu entri pada
LDAP
Domain controller Merupakan pusat dari sebuah domain yang
menyimpan informasi-informasi
Domain Name System Sebuah sistem yang menyimpan informasi tentang
(DNS) nama host maupun nama domain dalam bentuk
basis data tersebar (distributed database) di dalam
jaringan komputer
Domain server Server domain
Download Transfer data melalui jalur komunikasi digital dari
sistem yang lebih besar atau pusat (server) ke sistem
yang lebih kecil (client).
Entry Unit dasar dari direktori
File Server Komputer yang didedikasikan untuk menyimpan
file dalam suatu lokasi terpusat selama diizinkan
untuk mengakses ke komputer-komputer di dalam
jaringan
File Transfer Protocol Salah satu protokol yang paling populer pada
(FTP) jaringan internet (berbasis TCP/IP) yang digunakan
untuk kepentingan proses transfer file
Free Software Foundation Organisasi nirlaba dan merupakan sponsor utama
(FSF) dari proyek GNU
Functionality Funsionalitas, berhubungan dengan kesesuaian
dari fungsi perangkat lunak
Gateway Hardware atau software yang menjembatani dua
aplikasi atau jaringan yang tidak kompatibel,
sehingga data dapat ditransfer antar komputer
Generic Security Services Aplikasi interface pemrograman untuk program
Application Program untuk mengakses layanan keamanan
Interface (GSSAPI)
Graphical User Interface Metoda interaksi secara grafis antara pengguna dan
(GUI) computer
Groupware Software yang dirancang untuk membantu orang
yang umumnya menyangkut dalam tugas untuk
mencapai tujuan mereka
Hardware Perangkat keras mengacu kepada objek
memungkinkan untuk disentuh seperti disket, disk
drive , monitor, keyboard, dan lain-lain
Host Sistem komputer yang diakses oleh pengguna yang
bekerja pada lokasi yang jauh.
Istilah host juga digunakan untuk menyebut
komputer yang terhubung dengan jaringan TCP/IP,
termasuk internet. Setiap host memiliki IP yang
unik
Implementation Implementasi
Inetd Layanan server pada kebanyakan sistem Unix untuk
mengatur layanan internet
International Badan penetap standar internasional yang terdiri
Organization for dari wakil-wakil dari badan standardisasi nasional
Standardization (ISO) setiap Negara
Interoperability Kemampuan sistem dapat berinteraksi dengan
sistem lain
ip virtual Alamat IP yang tidak terhubung ke komputer
tertentu atau kartu antarmuka jaringan (NIC) pada
komputer. Paket masuk akan dikirim ke alamat IP
virtual, tapi semua perjalanan paket melalui
antarmuka jaringan real / nyata.
LDAP Account Manager Tampilan halaman depan web untuk mengatur
(LAM) berbagai tipe account direktori LDAP
Lightweight Directory Suatu protokol jaringan kelas ringan yang
Access Protocol (LDAP) digunakan untuk mengakses direktori. Pengertian
direktori disini adalah sekumpulan informasi yang
disusun berdasarkan hirarki tertentu
Local Area Network Network yang masing-masing node terpisah dalam
(LAN) jarak yang lokal dan menggunakan link berupa jalur
transmisi kabel.
logical volume groups Gabungan dari pysical volumes yang menjadi satu
logical volumes. Pembagian partisi dari logical volume groups,
dimana difefinisikan dengan masing – masing
mount point partisi yang dibutuhkan, misalkan / ,
/home, swap, /var dan lainnya, filesystem-nya bisa
ext2 atau ext3
Mail server Server email
Manageability Dapat dikelola
Management Pengelolaan / pengaturan
Minimum requirmen Kebutuhan / persyaratan minimum
Monitoring Salah satu tahap dalam metode pengembagan
NDLC. Didalamnya terdapat testing dan monitoring
Mozilla Public License Merupakan suatu lisensi perangkat lunak bebas dan
sumber terbuka
Multitasking Suatu sistem operasi yang dapat menjalankan
beberapa tugas sekaligus secara bersamaan
Multiuser Suatu system operasi yang dapat digunakan
beberapa user sekaligus secara bersamaan
Network Information Sebuah protokol yang digunakan untuk menamai
Service (NIS) dan menawarkan layanan direktori dalam beberapa
platform UNIX
Network Development Life Metode pengembangan sistem
Cycle (NDLC)
Network security Kemanan jaringan
Open source Perangkat lunak sumber terbuka
Open Source Edition Zimbra versi open source (free)
Packet sniffing Perangkat lunak komputer atau perangkat keras
komputer yang dapat mencegat dan log lalu lintas
melewati jaringan digital atau bagian dari jaringan
Password Kumpulan karakter atau string yang digunakan oleh
pengguna jaringan atau sebuah sistem operasi yang
mendukung banyak pengguna (multiuser) untuk
memverifikasi identitas dirinya kepada sistem
keamanan yang dimiliki oleh jaringan atau sistem
tersebut
Performance Kinerja
physical volumes Kapasitas fisik dari hardisk
Random Access Memory Sebuah tipe penyimpanan komputer yang isinya
(RAM) dapat diakses dalam waktu yang tetap tidak
memperdulikan letak data tersebut dalam memori
Redundant Array of Sebuah teknologi di dalam penyimpanan data
Independent Disks (RAID) komputer yang digunakan untuk
mengimplementasikan fitur toleransi kesalahan pada
media penyimpanan komputer (utamanya adalah
hard disk) dengan menggunakan cara redundansi
(penumpukan) data, baik itu dengan menggunakan
perangkat lunak, maupun unit perangkat keras
RAID terpisah
Request Perminataan
Request for Comments Salah satu dari seri dokumen infomasi dan standar
(RFC) Internet bernomor yang diikuti secara luas oleh
perangkat lunak untuk digunakan dalam jaringan,
Internet dan beberapa sistem operasi jaringan, mulai
dari Unix, Windows, dan Novell NetWare
Resource Sumber daya
Server Message Block Istilah dalam teknologi informasi yang mengacu
(SMB) kepada protokol client/server yang ditujukan
sebagai layanan untuk berbagi berkas (file sharing)
di dalam sebuah jaringan
Simple Authentication and Framework untuk otentikasi dan keamanan data
Security Layer (SASL) dalam Internet Protocols.
Task Tugas
Tools Alat
Transport Layer Security Merupakan kelanjutan dari protokol kriptografi
(TLS) yang menyediakan komunikasi yang aman di
Internet
Ttrusted server Server terpercaya
User Pengguna. Biasanya ditujukan kepada pengguna
suatu system yang umumnya adalah manusia.
Misalnya pengguna computer
User account Nama pengguna. Biasanya ditujukan kepada
pengguna suatu system yang umumnya adalah
manusia
web caching Caching dokumen web (misalnya, halaman HTML,
gambar) untuk mengurangi penggunaan bandwidth,
server load, dan menanggapi ketidak lancaran
Wide Area Network Network yang masing-masing node terletak di
(WAN) lokasi yang berjauhan satu dengan yang lainnya dan
menggunakan link berupa jalur transmisi jarak jauh
Workgroups Istilah Microsoft untuk jaringan peer-to-peer
komputer Windows
X Window System Sistim grafis dan windowing bagi sistem operasi
UNIX dan system operasi mirip UNIX yang
dikembangkan di Massachusetts Institute of
Technology (MIT) sejak tahun 1984
BAB I
PENDAHULUAN
1.1 Latar Belakang
Salah satu perubahan utama di bidang telekomunikasi adalah penggunaan teknologi
wireless. Teknologi wireless juga diterapkan pada jaringan komputer, yang lebih dikenal
dengan wireless LAN (WLAN). Kemudahan-kemudahan yang ditawarkan wireless LAN
menjadi daya tarik tersendiri bagi para pengguna komputer menggunakan teknologi ini untuk
mengakses suatu jaringan komputer atau internet. Beberapa tahun terakhir ini pengguna
wireless LAN mengalami peningkatan yang pesat.
Dengan Hotspot kita bisa menikmati akses internet dimanapun kita berada selama di
area Hotspot tanpa harus menggunakan kabel. Di lingkungan sekolah sendiri dengan adanya
layanan Hotspot inilah yang nanti diharapkan akan mempercepat akses informasi bagi siswa,
khususnya di dunia pendidikan yang mana diketahui sebagai barometer kemajuan teknologi
informasi.
Sekolah Islam Fitrah Al Fikri Depok (disingkat SIF Al Fikri) saat ini memiliki
kapasitas bandwidth internet 1 Mbps. SIF Al Fikri saat ini juga sudah menyediakan layanan
Hotspot yaitu sebuah area dimana pada area tersebut tersedia koneksi internet Wireless yang
dapat diakses melalui Notebook, PDA maupun perangkat lainnya yang mendukung teknologi
tersebut. Hotspot tersebut disediakan bagi guru, dan siswa untuk mengakses internet. Hotspot
di SIF Al Fikri terdapat beberapa titik area jangkauan yaitu di Gedung Ibnu Sina dan Gedung
Ibnu Kholdun. Pengguna jaringan wireless sebagain besar adalah guru dan siswa dengan
kurang lebih 30 pengguna. Oleh karena itu penulis menganalisa bahwa dari kurang lebih 30
pengguna jaringan wireless dan tanpa menggunakan pengamanan wireless dan pembatasan
akses ke dalam jaringan wireless dan juga tdak terdeteksi oleh pihak admistrator jaringan.
Sebelum penelitian penulis melakukan wawancara pada pihak administrator jaringan
(lampiran 8). kemudian penulis melakukan analisa dengan pendekatan literatur yang ada
yaitu dengan protokol EAP-TLS (Ali Mahrudi 2006) dan Protokol PEAP (Muhammad Arief
Faruqi 2010). Pada penulisan Ali Mahrudi 2006 menekankan pada sisi keamanan jaringan
wireless, tetapi pada sisi implementasinya tidak efisien, dikarenakan ada sertifikat digital
yang harus dilengkapi dari sisi klien dan server. Tetapi Muhammad Arief Faruqi
memperbaiki dengan memasukan protokol PEAP pada penelitiannya. keunggulan dari
protokol ini menggunakan sertifikat digital pada sisi administrator, sedangkan pada sisi klien
hanya menggunakan username dan password. kemudian penulis menganalisa dari kedua
referensi diatas bahwa protokol yang sama implementasinya yaitu protokol EAP-TTLS,
karena penulis melihat bahwa dari segi implementasi PEAP dan EAP-TTLS sama hanya saja
yang membedakan adalah vendor atau distributor.
EAP-TTLS dirancang untuk memberikan kemudahan implementasi otentikasi
protokol EAP yang berbasis sertifikat digital. Implementasi EAP-TTLS hanya memerlukan
sertifikat digital pada sisi authentication server, sedangkan sertifikat digital pada sisi wireless
klien akan digantikan dengan menggunakan kombinasi username dan password. Penggunaan
kombinasi username dan password untuk menggantikan sertifikat digital juga dapat
meningkatkan mobilitas pengguna, karena pengguna tidak dibatasi pada perangkat tertentu.
Sehingga untuk kondisi jaringan yang ada di SIF Al Fikri sesuai dengan data yang tertera
diatas maka untuk proses authentikasi yang cocok adalah menggunakan protokol EAP-TTLS
dan proses impelementasinya dilakukan pada penelitian tugas akhir ini dengan judul:
“IMPLEMENTASI HOTSPOT AUTHENTICATION DENGAN MENGGUNAKAN
RADIUS SERVER DAN PROTOKOL EAP-TTLS PADA JARINGAN WIRELESS
SEKOLAH ISLAM FITRAH AL FIKRI DEPOK”. Diharapkan hasil penelitian ini dapat
meningkatkan Quality of Service pada jaringan wireless di Sekolah Islam Fitrah Al Fikri
Depok.
1.2 Rumusan Masalah
Dalam penulisan skripsi ini, saya mencoba memaparkan beberapa permasalahan yang
kemudian diusahakan untuk mendapatkan solusi pemecahannya. Beberapa masalah tersebut
antara lain :
1. Bagaimana penerapan protokol EAP-TTLS untuk menangani proses otentikasi 30
pengguna jaringan wireless pada Sekolah Islam Fitrah Al Fikri Depok Jawa
Barat.
2. Bagaimana Penerapan RADIUS Server pada jaringan wireless Sekolah Islam
Fitrah Al Fikri Depok Jawa Barat.
1.3 Batasan Masalah
Untuk penulisan skripsi ini, penulis membatasi masalah dalam hal sebagai berikut:
1. Implementasi Otentikasi Hotspot
2. Protokol AAA yang yang digunakan untuk menangani proses otentikasi Terpusat
(RADIUS)
3. Informasi pengguna berupa kombinasi username dan password akan disimpan
dalam suatu database terpusat Database Terpusat
1.4 Tujuan Penelitian
Tujuan dari penelitian ini adalah :
1. menerapkan autentifikasi server pada jaringan Wireless LAN (Hotspot)
menggunakan Sistem operasi Linux, FreeRADIUS, Protokol EAP-TTLS dan
DaloRadius, untuk autentifikasi dan identifikasi pengguna Hotspot di SIF Al
Fikri.
2. administrator mempunyai media dalam memantau dan mengontrol user-user yang
terhubung ke jaringan wireless
1.5 Manfaat Penelitian
Manfaat yang diambil dari Skripsi ini adalah :
1. Hasil penelitian diharapkan dapat memberi manfaat bagi siapa saja yang ingin
membangun infrastruktur jaringan hotspot dengan tingkat keamanan yang tinggi
dan mudah untuk diimplementasikan.

2. Bagi Sekolah Islam Fitrah Al FIkri, hasil penelitian dapat digunakan menjadi
bahan pertimbangan untuk diimplementasikan pada infrastruktur jaringan hotspot
yang telah ada saat ini. Sehingga dapat memberikan layanan yang lebih bermutu.
3. Bagi penulis, dapat mempelajari, memahami dan menerapkan otentikasi hotspot
dengan RADIUS dan penerapannya pada layanan AAA. Mempermudah dalam
memanagement dan memonitoring user dalam jaringan wireless LAN. Berbasis
open source sehingga dapat mengurangi ketergantungan pada software berbayar
karena tidak perlu membeli lisensi.
4. Manfaat umum yaitu dapat digunakan sebagai acuan dalam penelitian berikutnya.
1.6 Metodologi Penelitian
Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu
metode pengumpulan data dan metode pengembangan sistem.
1.6.1 Metode Pengumpulan data
Merupakan metode yang digunakan penulis dalam melakukan analisis data
dan menjadikannya informasi yang akan digunakan untuk mengetahui permasalahan
yang dihadapi.
1. Studi Lapangan
Metode pengumpulan data dengan melakukan observasi dan melakukan
wawancara untuk memperoleh keterangan untuk tujuan penelitian.
2. Studi Kepustakaan dan literatur
Metode pengumpulan data melalui buku, jurnal, skripsi, dan laporan
penelitian yang relevan serta mencari data di internet yang dijadikan acuan
dalam penelitian yang dilakukan.

1.6.2 Metode Pengembangan sistem
Metode pengembangan sistem yang digunakan dalam penelitian ini adalah metode
pengembangan sistem Network Development Life Cycle (NDLC). siklus ini terdiri dari
beberapa tahapan, yaitu :
1. Analisis
2. Desain (Perancangan)
3. Simulasi prototipe
4. Implementasi (Penerapan)
5. Monitoring
6. Manajemen
1.7 Sistematika Penulisan
Dalam penyusunan tugas akhir ini, penulis menyajikan dalam 5 bab yang dijabarkan
sebagai berikut :
BAB I PENDAHULUAN
Bab ini membahas tentang latar belakang, perumusan masalah, batasan
masalah, metodologi penelitian, tujuan dan manfaat penelitian dan
sistematika penulisan pada penelitian ini.
BAB II LANDASAN TEORI
Bab ini menjelaskan teori-teori yang digunakan sebagai landasan
dalam penelitian, seperti teori jaringan nirkabel, keamanan jaringan
nirkabel, otentikasi, RADIUS.
BAB III METODOLOGI PENELITIAN
Bab ini akan menjelaskan tentang tahapan-tahapan yang dilakukan
dalam melaksanakan penelitian ini. Dalam hal ini penulis

menggunakan metodologi penelitian NDLC atau Network
Development Life Cycle.
BAB IV ANALISIS DAN IMPLEMENTASI
Bab ini berisi analisis terhadap kebutuhan sistem, perancangan serta
implementasi protokol otentikasi jaringan wireless pada Sekolah Islam
Fitrah Al Fikri.
BAB V KESIMPULAN DAN SARAN
Bab ini merupakan bab penutup yang berisi kesimpulan serta saran
yang dapat membantu pengembangan sistem ini di masa yang akan
datang.
BAB II
LANDASAN TEORI
2.1 Wireless LAN
Wireless (jaringan nirkabel) menggunakan gelombang radio (RF) atau gelombang
mikro untuk membentuk kanal komunikasi antar komputer. Jaringan nirkabel adalah
alternatif yang lebih modern terhadap jaringan kabel yang bergantung pada kabel tembaga
dan serat optik antar jaringan. LAN atau Local Area Network merupakan jaringan komputer
yang meliputi suatu area geografis yang relatif kecil (dalam satu lantai atau gedung). LAN
dicirikan dengan kecepatan data yang relatif tinggi dan kecepatan error yang relatif rendah.
(Kamus Lengkap Jaringan Komputer, 2004).
2.1.1 Mode pada Wireless LAN

WLAN sebenarnya memiliki kesamaan dengan jaringan LAN, akan tetapi setiap node
pada WLAN menggunakan wireless device untuk berhubungan dengan jaringan. Node pada
WLAN menggunakan channel frekuensi yang sama dan SSID yang menunjukkan identitas
dari wireless device. Tidak seperti jaringan kabel, jaringan wireless memiliki dua mode yang
dapat digunakan, yaitu:
a. Model Ad-Hoc
Model ad-hoc merupakan mode jaringan nirkabel yang sangat sederhana, karena pada
mode ini tidak memerlukan access point untuk host dapat saling berkomunikasi.
Setiap host cukup memiliki transmitter dan reciever wireless untuk berkomunikasi
secara langsung satu sama lain seperti tampak pada gambar 2.1. Kekurangan dari
mode ini adalah komputer tidak bisa berkomunikasi dengan komputer pada jaringan
yang menggunakan kabel. Selain itu, daerah jangkauan pada mode ini terbatas pada
jarak antara kedua komputer tersebut.
Gambar 2.1 Mode Jaringan Ad-Hoc
Sumber : http://oc.its.ac.id/ambilfile.php?idp=153
b. Model Infrastruktur
Jika komputer pada jaringan wireless ingin mengakses jaringan kabel atau berbagi
printer misalnya, maka jaringan wireless tersebut harus menggunakan mode

infrastruktur (gambar 2.2). Pada mode infrastruktur access point berfungsi untuk
melayani komunikasi utama pada jaringan wireless. Access point mentransmisikan
data pada PC dengan jangkauan tertentu pada suatu daerah. Penambahan dan
pengaturan letak access point dapat memperluas jangkauan dari WLAN.
Gambar 2.2 Model Jaringan Infrastruktur
Sumber : http://oc.its.ac.id/ambilfile.php?idp=153
2.1.2 Komponen Wireless LAN
Dalam membangun sebuah jaringan WLAN, maka diperlukan beberapa perangkat
keras agar komunikasi antara station dapat dilakukan. Secara umum, komponen wireless
LAN terdiri atas perangkat berikut :
1) Access Point (AP)
Pada wireless LAN, device transceiver disebut sebagai access point (AP), dan
terhubung dengan jaringan (LAN) melalui kabel. Fungsi dari AP adalah mengirim
dan menerima data, serta berfungsi sebagai buffer data antara wireless LAN dengan
wired LAN. Satu AP dapat melayani sejumlah user (beberapa literatur menyatakan
bahwa satu AP maksimal meng-handle sampai 30 user). Karena dengan semakin

banyak nya user terhubung ke AP maka kecepatan yang diperoleh tiap user juga
akan semakin berkurang.
Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan.
Sumber : http://www.hp.com/sbso/wireless/setup_wireless_network.html
Bila AP dipasang lebih dari satu dan coverage tiap AP saling overlap, maka
user/client dapat melakukan roaming. Roaming adalah kemampuan client untuk
berpindah tanpa kehilangan koneksi dan tetap terhubung dengan jaringan.
Gambar 2.4 Multiple Access Point dan Roaming
Sumber : http://ilmukomputer.org/2008/11/26/konsep-dasar-wlan/
2) Extension Point
Hanya berfungsi layaknya repeater untuk client ditempat yang jauh. Syarat dari AP
yang digunakan sebagai extension point ini adalah terkait dengan channel frekuensi
yang digunakan. Antara AP induk (yang terhubung langsung dengan backbone) dan
AP repeater-nya harus memiliki frekuensi yang sama.
Gambar 2.5 Penggunaan Extension Point
Sumber : http://library.thinkquest.org/04oct/01721/wireless/faq.htm
3) Antena
Digunakan untuk memperkuat daya pancar. Terdapat beberapa tipe antena yang
dapat mendukung dalam implementasi wireless LAN. Ada yang tipe omni,
sectorized serta directional.
4) Wireless LAN Card

WLAN card dapat berupa PCMCIA, USB card atau Ethernet card dan sekarang
banyak dijumpai sudah embedded di terminal (notebook maupun HP). Biasa nya
PCMCIA digunakan untuk notebook sedangkan yang lain nya digunakan untuk
komputer desktop. WLAN card berfungsi sebagai interface antara sistem operasi
jaringan client dengan format interface udara ke AP. (Gunadi, 2009)
2.1.3 Badan Standarisasi
a. Federal Communication Commission (FCC)
Federal Communiation Commission (FCC) adalah sebuah perwakilan independen
dari pemerintah Amerika Serikat, didirikan oleh Communication Act pada tahun
1943. FCC berhubungan dengan peraturan dibidang komunikasi yang
menggunakan radio, televisi, wire, satelit, dan kabel baik di wilayah Amerika
sendiri maupun untuk international.
FCC membuat peraturan yang didalamnya berisi perangkat perangkat wireless
LAN mana yang dapat beroperasi. FCC menentukan pada spectrum frequency
radio yang mana wireless LAN dapat berjalan dan seberapa besar power yang
dibutuhkan, teknologi transmisi mana yang digunakan, serta bagaimana dan
dimana berbagai jenis hardware wireless LAN dapat digunakan.
b. Internet Engineering Task Force (IETF)
IETF adalah komunitas terbuka, yang anggota anggota nya terdiri atas para
peneliti, vendor, dan perancangan jaringan. Tujuan IETF adalah
mengkoordinasikan pegoperasian, pengelolaan, dan evolusi internet, dan
memecahkan persoalan arsitektural dan protokol tingkat menengah. IETF
mengadakan pertemuan tiga kali setahun dan laporan hasil pertemuan pertemuan
itu secara lengkap termasuk kedalam IETF proceedings.
c. Institute of Electrical and Electronics Engineers (IEEE)

Institute of Electrical and Electronics Engineers (IEEE) adalah pembuat kunci
standar dari hampir semua hal yang berhubungan dengan teknologi dan informasi
di Amerika Serikat. IEEE membuat standar dengan peraturan yang telah
ditetapkan oleh FCC. IEEE telah menspesifikasikan begitu banyak standar
teknologi. Seperti Public Key cryptography (IEEE 1363), Ethernet (IEEE 802.3),
dan untuk Wireless LAN dengan standar IEEE 802.11. (Gunadi, 2009)
2.1.4 Standar Wireless LAN
Standar yang lazim digunakan untuk WLAN adalah 802.11 yang ditetapkan oleh
IEEE pada akhir tahun 1990. standar 802.11 kemudian dibagi menjadi tiga jenis, yaitu :
a. IEEE 802.11a
Menggunakan teknik modulasi Orthogonal Frequency Division Multiplexing
(OFDM) dan berjalan pada frekuensi 5 GHz dengan kecepatan transfer data
mencapai 54 Mbps. Kelebihan dari standar ini adalah kecepatan transfer data yang
lebih tinggi dan lebih kecil potensi terjadinya interferensi dari perangkat nirkabel
lainnya karena frekuensi ini jarang digunakan. Kelemahannya antara lain
membutuhkan biaya yang lebih besar, jarak jangkaun lebih pendek karena frekuensi
tinggi dan juga dapat menyebabkan sinyal mudah diserap oleh benda penghalang
seperti tembok.
b. IEEE 802.11b
Menggunakan teknik modulasi direct sequence spread sprectrum (DSSS) dan
berjalan pada pita frekuensi 2,4 Ghz dengan kecepatan transfer 11 Mbps. Kelebihan
dari standar ini adalah biaya implementasi yang lebih sedikit dan jarak jangkauan
yang lebih baik. Kelemahannya adalah kecepatan transfer yang lebih lambat dan
rentan terhadap interferensi karena frekuansi 2,4 GHz juga banyak digunakan oleh
perangkat lainnya.
c. IEEE 802.11g
Menggunakan teknik modulasi OFDM dan DSSS sehingga memiliki karakteristik
dari kedua standar 802.11b dan 802.11a. Standar ini bekerja pada frekuensi 2.4
GHz dengan kecepatan transfer data mencapai 54 Mbps tergantung dari jenis
modulasi yang digunakan. Kelebihan dari standar ini adalah kecepatan transfer
data yang tinggi (menyamai standar 802.11a), jarak jangkauan yang cukup jauh
dan lebih tahan terhadap penyerapan oleh material tertentu karena bekerja pada
frekuensi 2,4 GHz. Kelemahannya adalah rentan terhadap interferensi dari
perangkat nirkabel lainya. (Gunadi, 2009)
Secara umum perbandingan diantara standar WLAN yang dimaksud dapat
dijabarkan seperti pada table 2.1 berikut :
Tabel 2.1 Perbandingan Standar Wireless LAN
Sumber : (Gunadi, 2009 )
802.11b 802.11a 802.11g 802.11n

Standard July
July 1999 June 2003 Not yet ratified
approved 1999
Maximum
11 Mbps 54 Mbps 54 Mbps 600 Mbps
data rate
DSSS or
DSSS or DSSS or CCK
Modulation OFDM CCK or
CCK or OFDM
OFDM
2,4 GHz or 5
RF band 2,4 GHz 5 GHz 2,4 GHz
GHz
Number of
spatial 1 1 1 1, 2, 3, or 4
streams
Channel 20 MHz or 40
20 MHz 20 MHz 20 MHz
width MHz
Compatible
802.11 b 802.11 a 802.11 b/g 802.11 b/g/n
with …
2.2 Protokol Keamanan AAA
Menurut Jonathan Hassel (2002) Konsep kerja server otentikasi dikenal dengan
AAA (authentication, authorization, and accounting). Yang terdiri dari Otentikasi,

Otorisasi, dan Pendaftaran akun pengguna. Konsep AAA mempunyai fungsi yang
berfokus pada tiga aspek dalam kontrol akses user, yaitu :
a. Authentication
Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum
yang biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID /
username dan password. jika kombinasi kedua nya benar maka client dapat
mengakses ke sumber daya jaringan tertentu. Proses otentikasi dapat dianalogikan
seperti seorang tamu yang datang ke rumah anda, sebelum tamu tersebut
diperbolehkan masuk, tentu anda harus mengetahui tamu itu terlebih dahulu, jika anda
kenal dengan tamu tersebut, maka tamu tersebut pastinya akan anda persilahkan
masuk dan sebaliknya.
b. Authorization
Otorisasi melibatkan penggunaan seperangkat aturan - aturan yang berlaku untuk
memutuskan aktifitas apa saja yang dizinkan dalam sistem atau sumber daya jaringan
tertentu untuk pengguna yang terotentikasi. Proses Authorization merupakan
lanjutan dari proses Authentication. Proses Authorization dapat dianalogikan sebagai
berikut: jika anda sudah mengizinkan tamu untuk masuk kerumah anda, tentu anda
mempunyai aturan – aturan yang ditempel di dinding rumah anda, misalnya tamu
hanya boleh masuk sampai dengan ruang tamu. Dengan aturan seperti ini tentu akan
memudahkan seseorang untuk melakukan kontrol terhadap sumber daya jaringan
tertentu.
c. Accounting
Proses Accounting merupakan proses dimana terdapat proses pencatatan berapa lama
seorang pengguna sudah terkoneksi (waktu mulai / waktu stop) yang telah dilakukan
selama pemakaian. Data dan informasi ini sangat berguna baik untuk pengguna
maupun administrator, biasanya laporan ini digunakan untuk melakukan auditing,
membuat laporan pemakaian, membaca karakteristik jaringan, dan pembuatan billing
tagihan. jadi pada intinya proses accounting berguna untuk mengetahui apa saja yang
dilakukan oleh client dan service apa saja yang dilakukan oleh client. analogi
sederhananya adalah mesin absensi dikantor, ia akan mencatat waktu datang dan
waktu pulang, dengan demikian petugas dapat memonitoring karyawan dengan
mudah. (Jonathan Hassel, 2002).
2.2.1 Remote Authentication Dial-In User Service (RADIUS)
RADIUS merupakan singkatan dari Remote Acces Dial in User Service.
Pertama kali di kembangkan oleh Livingston Enterprises. Merupakan network
protokol keamanan komputer yang digunakan untuk membuat manajemen akses
secara terkontrol pada sebuah jaringan yang besar. RADIUS didefinisikan di dalam
RFC 2865 dan RFC 2866. RADIUS biasa digunakan oleh perusahaan untuk
mengatur akses ke internet bagi client.
RADIUS melakukan otentikasi, otorisasi, dan pendaftaran akun pengguna
secara terpusat untuk mengakses sumber daya jaringan. Sehingga memastikan bahwa
pengguna yang mengakses jaringan adalah pengguna yang sah. RADIUS berstandar
IEEE 802.1x. Sering disebut “port based authentication”. RADIUS merupakan
protokol client – server yang berada pada layer aplikasi pada OSI layer. Dengan
protokol transport berbasis UDP. (Jonathan Hassel, 2002).
2.2.1.1 Format Paket RADIUS
Protokol RADIUS menggunakan paket UDP untuk melewati transmisi antara
client dan server. Protokol tersebut akan berkomunikasi pada port 1812. Berikut
struktur paket RADIUS :

Gambar 2.6 Format paket RADIUS
Format paket data RADIUS pada gambar 2.4 terdiri dari lima bagian,
yaitu:
1. Code : memiliki panjang satu oktet, digunakan untuk membedakan tipe pesan
RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal)
dapat dilihat pada tabel 2.2
Tabel 2.2 Kode tipe pesan RADIUS
Kode Tipe pesan RADIUS

1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge
12 Status-Server (experimental)
13 Status-Client (experimental)
255 Reserved
2. Identifier : Memiliki panjang satu oktet, bertujuan untuk mencocokkan
permintaan.
3. Length : Memiliki panjang dua oktet, memberikan informasi mengenai panjang
paket.
4. Authenticator : Memiliki panjang 16 oktet, digunakan untuk membuktikan
balasan dari RADIUS server, selain itu digunakan juga untuk algoritma
password.
5. Attributes : Berisikan informasi yang dibawa pesan RADIUS, setiap pesan
dapat membawa satu atau lebih atribut. Contoh atribut RADIUS: nama
pengguna, password, alamat IP access point (AP), pesan balasan. Tujuan

standar 802.1x IEEE adalah untuk menghasilkan kontrol akses, autentikasi,
dan manajemen kunci untuk wireless LAN. Standar ini berdasarkan pada
Internet Engineering Task Force (IETF) Extensible Authentication Protocol
(EAP), yang ditetapkan dalam RFC 2284.
2.2.1.2 Tipe Paket Pesan RADIUS
Ada empat jenis paket pesan RADIUS yang relevan dengan otentikasi dan
otorisasi pada fase transaksi AAA yaitu :
1. Access-Request
Paket Access-Request digunakan oleh layanan konsumen ketika meminta
layanan tertentu dari jaringan. Client mengirimkan paket request ke RADIUS
server dengan daftar layanan yang diminta. Faktor kunci dalam transmisi ini
adalah kolom kode pada header paket, dimana header paket tersebut harus di
set dengan nilai 1, yang merupakan nilai unik pada paket permintaan. RFC
menyatakan bahwa balasan harus dikirimkan ke semua paket permintaan yang
valid, apakah jawabannya adalah otorisasi atau penolakan.
Gambar
2.7. Paket Access-Request
Sumber : RADIUS, O'Reilly
Tabel 2.3 Paket Access-Request
Packet Type Response

Code 1
Identifier Unique per request
Header length plus all additional
Length
attribute data
Authenticator Request
Attribute Data 2 or more
2. Access-Accept
Paket Access-Accept dikirim oleh RADIUS server kepada client untuk
mengakui bahwa permintaan klien diberikan. Jika semua permintaan Access-
Request dapat diterima, maka server RADIUS harus mengatur paket respon
dengan nilai 2 pada sisi client, setelah paket tersebut diterima, paket tersebut di
cek apakah sama atau benar paket tersebut adalah paket respon dari RADIUS
server dengan menggunakan identifier field. Jika terdapat paket yang tidak
mengikuti standar ini maka paket tersebut akan dibuang.
Paket Access-Accept dapat berisi banyak atau sedikit atribut informasi yang
perlu untuk dimasukkan. Kemungkinan besar atribut informasi pada paket ini
akan menjelaskan jenis layanan apa saja yang telah dikonfirmasi dan resmi
sehingga client dapat menggunakan layanan tersebut. Namun, jika tidak ada
atribut informasi yang disertakan, maka client menganggap bahwa layanan
yang diminta adalah yang diberikan.
Gambar 2.8 Paket Access- Accept
Sumber: RADIUS, O'Reilly
Tabel 2.4 Paket Access-Accept

Sumber: RADIUS, O'Reilly

Code 2
Identical to Access-Request
Identifier
per transaction
Header length plus all
Length
additional attribute data
Authenticator Response
3. Access-Reject
RADIUS server dapat pula mengirimkan paket Access-Reject kembali ke
client jika harus menolak salah satu layanan yang diminta client dalam paket
Access-Request. Penolakan tersebut dapat didasarkan pada kebijakan sistem,
hak istimewa yang tidak cukup, atau kriteria lain. Access-Reject dapat dikirim
setiap saat selama waktu koneksi. Nilai yang diberikan untuk kode pada paket
ini adalah 3.
Gambar 2.9 Paket Access- Reject
Tabel 2.5 Paket Access- Reject

Code 3
Identifier Identical to Access-Request
Header length plus all
Length
additional attribute data
4. Access-Challenge
Apabila server menerima informasi yang bertentangan dari user, atau
membutuhkan informasi lebih lanjut, atau hanya ingin mengurangi risiko
otentikasi palsu, server dapat menerbitkan paket Access-Challenge untuk
client. Setelah client menerima paket Access-Challenge client harus
memberikan paket Access-Request yang baru disertai atribut informasi yang
diminta server. Nilai yang diberikan pada header paket ini adalah 11.
Gambar 2.10 Paket Access- Challenge
Tabel 2.6 Paket Access-Challenge

Code 11
Identifier Identical to Access-Request
Length Header length plus all additional attribute data
Attribute 0 or
Data more
2.2.1.3 Tahapan Koneksi RADIUS
Penggunaan RADIUS terhadap usaha pembentukan koneksi jaringan dapat
dilakukan dengan melalui tahapan tahapan berikut:
1. Access server, access point menerima permintaan koneksi dari access client.
2. Access server dikonfigurasi agar dapat menggunakan RADIUS sebagai
protokol yang melakukan proses otentikasi, otorisasi dan accounting,
membuat sebuah pesan access request dan mengirimkannya ke server
RADIUS.
3. Server RADIUS melakukan evaluasi pesan Access request
4. Jika dibutuhkan, server RADIUS mengirimkan pesan access challenge ke
access server. Jawaban terhadap pesan tersebut dikirimkan dalam bentuk
access request ke server RADIUS.
5. Surat kepercayaan dan otorisasi dari usaha pembentukan koneksi
diverifikasi.
6. Jika usaha pembentukan koneksi dan diotorisasi, server RADIUS
mengirimkan sebuah pesan access accept ke access server. Sebaliknya jika
usaha tersebut ditolak maka server RADIUS mengirimkan sebuah pesan
access reject ke access server.
7. Selama menerima pesan access accept, access server melengkapi proses
koneksi dengan access client dan mengirimkan sebuah pesan accounting
request ke server radius.
8. Setelah pesan accounting request diproses, server RADIUS mengirimkan
sebuah pesan accounting response. (Zaenal Arifin, 2008)

Gambar
2.11.
Proses
Pembentukan koneksi protokol RADIUS
Sumber: http://www.wi-fiplanet.com/tutorials/article.php/3114511/Using-
RADIUS-For-WLAN-Authentication-Part-I.htm
2.2.1.4 REALM
RADIUS hadir dengan kemampuan untuk mengidentifikasi user berdasarkan
desain dan area yang berlainan. atau disebut realm. Realm adalah identifier yang
ditempatkan sebelum atau sesudah nilai yang biasanya berisikan atribut Username
yang bisa digunakan server RADIUS untuk mengenal dan menghubungi server yang
sedang digunakan untuk memulai proses AAA.
Tipe pertama dari realm identifier yang dikenal sebagai realm prefix., yang
mana nama realm ditempatkan sebelum username, dan kedua dipisahkan oleh
karakter prekonfigurasi, seperti kebanyakan @, \, atau /. Untuk lebih lanjut, sebuah
user bernama jhassel yang terdaftar di layanan central state internet (merupakan
realm dengan nama CSI) bisa mengatur klien untuk memberikan username seperti
CSI/jhassel.
Sintaks realm identifier lainnya adalah realm suffix, dimana username
ditempatkan sebelum nama realm. Pemisah yang sama masih digunakan didalam
sintaks ini hingga saat ini, lebih lanjut yang pada umum nya adalah tanda @. Sebagai
contoh, user awatson mendaftar ke layanan northwest internet (nama realm : NWI)
menggunakan identifikasi suffix realm bisa memberikan username seperti
awatson@NWI. (Jonathan Hussel, 2003).
2.3 Protokol Otentikasi
Protokol adalah suatu kumpulan dari aturan-aturan yang berhubungan dengan
komunikasi data antara alat-alat komunikasi supaya komunikasi data dapat dilakukan dengan
benar. Jabatan tangan merupakan contoh dari protokol antara dua manusia yang akan
berkomunikasi. Pada istilah komputer, jabatan tangan (handshaking) menunjukkan suatu
protokol dari komunikasi data bila dua buah alat dihubungkan satu dengan yang lainnya
untuk menentukan bahwa keduanya telah kompatibel. (Jogianto, 1999).
Otentikasi adalah proses verifikasi untuk menyatakan suatu identitas. Bentuk umum yang
biasa digunakan untuk melakukan otentikasi menggunakan kombinasi logon ID / username
dan password, jika kombinasi kedua nya benar maka client dapat mengakses ke sumber daya
jaringan tertentu. Proses otentikasi dapat dianalogikan seperti seorang tamu yang datang ke
rumah anda, sebelum tamu tersebut diperbolehkan masuk, tentu anda harus mengetahui tamu
itu terlebih dahulu, jika anda kenal dengan tamu tersebut, maka tamu tersebut pastinya akan
anda persilahkan masuk dan sebaliknya. (Jonathan Hassel).
2.3.1 Extensible Authentication Protocol (EAP)

EAP atau Extensible Authentication Protocol adalah suatu framework otentikasi yang
menyediakan layanan transport dan penggunaan key material dan parameter yang dihasilkan
oleh EAP pada awalnya dikembangkan untuk koneksi Point-to-Point atau PPP. Namun, saat
ini EAP juga diimplementasikan dan banyak digunakan untuk otentikasi penggunaan pada
jaringan nirkabel. EAP digunakan pada three-tier authentication, maka pada proses
komunikasinya EAP akan menggunakan transport protokol yang berbeda. Pertama, pada
komunikasi antara supplicant dan authenticator, EAP akan menggunakan data link protokol
seperti PPP, Ethernet atau WLAN. Kedua, pada komunikasi mengunakan application layer
protokol seperti RADIUS atau Diameter.
Gambar 2.12 Proses komunikasi protokol EAP antara supplicant, NAS dan
authentication server
Dalam EAP terdapat beberapa komponen diantaranya :
Gambar
2.13
Komponen EAP
Sumber : Tom Rixom

1. Supplicant
Merupakan Wireless Node yang ingin mengakses Jaringan disebut Supplicant.
2. Authenticator
Merupakan perangkat yang memberikan akses menuju server. Authenticator
merupakan device yang memproses apakah suatu supplicant dapat mengakses
jaringan atau tidak. authenticator mengontrol dua jenis port yaitu yang disebut dengan
controlled ports dan yang disebut dengan uncontrolled ports. Kedua jenis port
tersebut merupakan logikal port dan menggunakan koneksi fisikal yang sama.
Sebelum otentikasi berhasil, hanya port dengan jenis uncontrolled yang dibuka.
Trafik yang diperbolehkan hanyalah EAPOL atau EAPOW. Setelah supplicant
melakukan autentifikasi dan berhasil, port jenis controlled dibuka sehingga supplicant
dapat mengakses LAN secara biasa. IEEE 802.1x mempunyai peranan penting dari
standar 802.11i.
Gambar 2.14
Skema port
based
authentication
Sumber :
Standar IEEE
802.1x. Teori
dan
Implementasi
3. Authentication Server / RADIUS

yaitu server yang menentukan apakah suatu supplicant valid atau tidak.
Authentication server adalah berupa RADIUS server [RFC2865].
2.3.1.1 EAP Over RADIUS
EAP over RADIUS merupakan sebuah mekanisme otentikasi yang dilakukan oleh
access server (access point) untuk melewatkan pesan EAP dari jenis EAP apa pun ke
RADIUS server untuk melakukan proses otentikasi. Sebuah pesan EAP dikirim diantara
access client dan access server dengan menggunakan format attribute EAP Message
RADIUS dan dikirim sebagai pesan RADIUS antara access server dan server RADIUS.
Access server hanya menjadi perangkat yang melewatkan pesan EAP diantara client dan
server RADIUS. Pemrosesan pesan EAP dilakukan oleh access client dan server RADIUS,
tidak dilakukan oleh access server.
EAP over RADIUS digunakan dalam lingkungan dimana RADIUS sebagai penyedia
mekanisme otentikasi. Keuntungan yang bisa diperoleh dengan menerapkan EAP over
RADIUS adalah jenis EAP tidak perlu diinstall pada setiap access server, cukup dilakukan
pada server RADIUS. Tetapi, access server harus mendukung EAP sebagai protokol untuk
melakukan kegiatan otentikasi dan melewatkan pesan EAP ke server RADIUS.
Karena EAP merupakan bagian dari standar 802.1x, kita harus mengaktifkan
otentikasi 802.1x untuk mengaktifkan AP agar dapat menggunakan EAP. Ketika koneksi
dibuat, access client bernegosiasi dengan access server menggunakan EAP. Ketika client
mengirimkan pesan EAP ke access server, access server membungkus pesan EAP dalam
bentuk attribut EAP message kemudian diubah menjadi pesan RADIUS access Request dan
mengirimkannya ke server RADIUS. Server RADIUS memproses attribute EAP-Message
dan mengirimkan sebuah pesan EAP-Response dalam bentuk pesan RADIUS Access-
Challenge ke access server. Selanjutnya, access server melewatkan pesan EAP ke access
client.
Gambar 2.15 Konversi pesan EAP dan pesan RADIUS
Sumber : (sistem pengamanan jaringan wireless, zaenal arifin)
2.3.1.2 EAP over LAN (EAPOL)
EAPOL adalah suatu protokol yang menyediakan cara-cara mengenkapsulasi paket-
paket EAP dalam protokol LAN atau Ethernet. EAPOL didesain untuk standarisasi IEEE
802.1X yang digunakan pada jaringan kabel maupun nirkabel. Berikut ini adalah beberapa
jenis paket-paket EAPOL, yaitu:
1. EAPOL-Start : merupakan sebuah frame EAPOL yang baru. Frame ini dikembangkan
untuk mekanisme network-sensing pada jaringan nirkabel. Pada saat permintaan
akses, supplicant akan mengirimkan frame EAPOL start secara multicast ke beberapa
alamat MAC yang telah dipersiapkan untuk 802.1x authenticator, sehingga
authenticator dapat mengetahui apabila ada pengguna yang memerlukan ijin akses.
2. EAPOL-Key : frame ini dirancang untuk mendukung kombinasi antara proses
otentikasi dan proses pendistribusian kunci, dimana authenticator akan mengirim
kunci yang digunakan untuk enkripsi komunikasi data ke supplicant.
3. EAPOL-Packet : frame ini merupakan frame utama untuk protokol EAPOL, dimana
frame ini bertugas untuk membawa paket atau pesan EAP. Semua tipe pesan EAP
(EAP request, EAP response, EAP success dan EAP failure) dibawa oleh frame
EAPOL-Packet.
4. EAPOL-Logoff : frame ini digunakan oleh supplicant untuk mengindikasikan bahwa
pengguna ingin mengakhiri koneksi.
Gambar
2.16. Format
paket EAPOL
2.4 EAP Methods
EAP sebenarnya hanya sebuah authentication framework dan tidak menyediakan
mekanisme tertentu yang dapat digunakan untuk proses otentikasi. Tetapi, EAP menyediakan
fungsi-fungsi umum dan negosiasi metode otentikasi yang disebut EAP methods. Beberapa
EAP methods yang sering digunakan, yaitu EAP-MD5, EAP-OTP, EAP-GTC, EAP-SIM,
EAP-AKA, EAP-TLS, EAP-TTLS dan PEAP. Ketiga EAP methods yang terakhir, yaitu
EAP-TLS, EAP-TTLS dan PEAP adalah EAP methods yang sering digunakan pada jaringan
nirkabel. EAP methods ini mendukung fitur mutual authentication dan penggunaan digital
certificate. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada sisi client
dan satu lagi pada sisi server. sedangkan pada EAP-TTLS dan PEAP, digital certificate pada
sisi client bersifat optional dan dapat digantikan oleh kombinasi username dan password.
(Madjid Nakhjiri)
Gambar 2.17 Pemodelan untuk membawa pesan pada otentikasi dengan metode TLS
2.4.1 EAP MD5

EAP-MD5 [RFC3748], merupakan IETF open standar tetapi menawarkan tingkat
keamanan yang rendah. Fungsi hash MD5 mudah diserang dengan metode dictionary attack,
tidak ada mutual otentikasi, dan penurunan kunci, sehingga membuatnya tidak cocok untuk
dipakai dengan dinamik WEP atau WPA/WPA2 enterprise.
2.4.2 EAP TLS
EAP-TLS [RFC2716], adalah IETF standar dan banyak didukung oleh vendor
peralatan wireless. EAP-TLS menawarkan tingkat keamanan yang tinggi, semenjak TLS
dianggap sebagai teknik enkripsi yang sukses pada mekanisme SSL. TLS menggunakan
Public Key Infrastructure (PKI) untuk mengamankan komunikasi antara supplicant dan
authentication server. EAP-TLS adalah standar EAP wireless LAN. Meskipun EAP-TLS
jarang digunakan, tetapi mekanismenya merupakan salah satu standar EAP yang paling aman
dan secara universal didukung oleh semua manufaktur dari wireless LAN hardware dan
software termasuk Microsoft.
2.4.3 EAP TTLS
EAP-Tunneled TLS atau EAP-TTLS merupakan standar yang dikembangkan oleh
Funk Software dan Certicom. Standar ini secara luas disupport dan menawarkan tingkat
keamanan yang bagus. Standar ini menggunakan PKI sertifikat hanya pada authentication
server.
2.5 Secure Socket Layer (SSL) / Transport Layer Security (TLS)
Secure socket layer dikembangkan oleh Netscape Communication Corp pada tahun
1994. SSL melindungi transmisi EAP dengan menambahkan lapisan enkripsi pengaman. SSL
tidak hanya melindungi data yang dikirim tetapi juga dapat meyakinkan pihak pihak yang
berkomunikasi bahwa lawan bicara mereka dapat dipercaya (melalui penggunaan sertifikat
digital).
SSL memberikan tiga keamanan diantaranya :
1. Menjadikan saluran (kanal) sebagai saluran private. Enkripsi digunakan terhadap seluruh
data setelah handshaking (protokol pembuka sebelum terjadi pertukaran data). Jadi, data
data yang dikirim melalui internet ke tempat tujuan akan terjamin keamanannya.
2. karnel diotentikasi, server selalu diotentikasi dan klien diotentikasi untuk menjaga
keamanan data yang akan dikirimkan melalui jaringan. kernel yang andal, dimana setiap
data yang disadap dan dimodifikasi saat data dikirim oleh pihak yang tidak bertanggung
jawab dapat diketahui oleh pihak yang sedang berkirim data dengan menggunakan
message integrity check.
2.5.1 Protocol SSL Record
Digunakan untuk membungkus data yang dikirim dan diterima setelah protokol
handshake digunakan untuk membangun parameter keamanan waktu terjadi pertukaran data.
Protokol SSL record membagi data yang ada kebentuk blok-blok dan melakukan kompresi
dengan cara ceksum (MAC).
Gambar 2.18 Format SSL Record
2.5.2 Protocol SSL Handshake

Berfungsi membangun parameter keamanan sebelum terjadinya pertukaran data
antara dua sistem. Berikut tipe tipe pesan yang dikirimkan antara klien dan server :
Gambar
2.19 Handshake
Protocol
Sumber :
http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-1/ssl.html
1. Client Hello Message
Untuk memulai komunikasi antara klien dan server, sisi klien terlebih dahulu
harus mengirimkan pesan client hello ke server. Isi dari pesan ini akan
memberitahukan versi, nilai acak, ID sesi, cipher yang didukung dan metode
kompresi data yang dapat digunakan/diproses oleh klien. Sebuah pesan client hello
berisikan informasi berikut:
a. Client_version. Bagian ini menginformasikan versi SSL paling tinggi yang dapat
dimengerti oleh klien.

b. Random. Bagian ini berisi rangkaian/kombinasi acak yang dihasilkan oleh klien,
dimana kombinasi ini nantinya akan digunakan untuk proses komputasi
kriptografi pada protokol SSL. Keseluruhan 32-byte struktur bagian ini
sebenarnya tidak sepenuhnya acak. Melainkan, 4-byte diambil dari informasi
tanggal/waktu yang berguna untuk menghindari replay attacks.
c. Session_id. Bagian ini berisikan identifier suatu sesi SSL. Bagian ini seharusnya
tidak memiliki nilai atau kosong apabila klien ingin menghasilkan parameter
keamanan yang baru. Apabila terdapat identifier suatu sesi, maka nilai dari bagian
ini seharusnya berisi informasi dari sesi sebelumnya.
d. Cipher_suites. Bagian ini berisi daftar kombinasi algoritma kriptografi yang
didukung oleh klien. Hal ini memberikan kemudahan pada sisi klien, tetapi sisi
server tetap menjadi penentu akan algoritma kriptografi yang akan digunakan.
Apabila server tidak menemukan suatu pilihan dari daftar kombinasi yang
diberikan oleh klien, maka server akan memberikan respons berupa pesan
handshake failure alert dan kemudian mengakhiri koneksi tersebut.
e. Compression_methods. Sama seperti bagian cipher_suites, bagian ini berisikan
daftar kombinasi metode kompresi yang didukung oleh klien. Daftar ini disusun
menurut kebutuhan/konfigurasi dari klien, tetapi sisi server yang akan
memutuskan metode kompresi yang akan digunakan. Bagian jarang digunakan
pada SSLv3 dan merupakan fitur pengembangan untuk TLSv1.
2. Server Hello Message
Setelah server menerima dan memroses pesan client hello, maka server
memiliki dua pilihan pesan yang dapat dikirim ke klien, yaitu pesan handshake failure
alert dan server hello. Isi dari pesan server hello kurang lebih sama dengan pesan
client hello. Perbedaannya adalah pada pesan client hello berisikan daftar dukungan
protokol pada sisi klien, sedangkan pesan server hello memutuskan/memberitahukan
protokol yang akan digunakan kepada klien. Adapun isi dari pesan server hello, yaitu:
a. Server_version. Bagian ini berisi versi protokol yang dipilih oleh server, dimana
versi ini akan digunakan seterusnya untuk komunikasi dengan klien. Server
memutuskan hal ini berdasarkan dukungan tertinggi pada kedua pihak. Sebagai
contoh, apabila klien mendukung hingga versi SSLv3 dan server mendukung
hingga versi TLSv1, maka server akan memilih SSLv3.
b. Random. Bagian ini sama seperti yang terdapat pada sisi klien, yang berfungsi
untuk proses komputasi kriptografi pada SSL. Nilai dari bagian ini harus bersifat
independen dan berbeda dari apa yang dihasilkan pada sisi klien.
c. Session_id. Bagian ini menyediakan informasi pengenal/identitas dari sesi yang
sedang berjalan. Jika nilai dari session identifier adalah tidak kosong, maka server
akan memeriksa dan mencocokan dengan yang terdapat pada session cache. Jika
ditemukan nilai yang sama, maka server dapat membentuk sebuah koneksi baru
dan melanjutkan status dari sesi yang dimaksud.
d. Cipher_suite. Bagian ini mengindikasikan sebuah cipher suite yang dipilih oleh
server berdasarkan daftar yang diberikan oleh klien.
e. Compression_method. Sama seperti bagian cipher suite, bagian ini
mengindikasikan sebuah metode kompresi yang dipilih oleh server berdasarkan
daftar dukungan yang diberikan oleh klien
3. Server Certivicate Message
Bersamaan dengan pengiriman pesan server hello, server juga mengirimkan
sertifikat untuk proses otentikasi. Jenis sertifikat yang umum digunakan adalah
x.509v3. sertifikat ini juga digunakan sebagai peertukaran kunci. Algoritma enkripsi
yang digunakan berasal dari pemilihan cipher dari client. Nantinya pesan ini yang
akan digunakan sebagai public key oleh client saat untuk mengencrypt pesan ke
server.
4. Server Key Exchange
Pesan ini berisi efek dari pendistribusian kunci server dan algoritma enkripsi
yang akan digunakan antara server dan client.
5. Certificate Request Message
Pesan ini bertujuan untuk meminta sertifikat dari pihak client. Pengiriman
pesan ini menandakan dua indicator : 1. mengindikasikan tipe algoritma yang
digunakan pada sertifikat. 2. sertifikat yang diterima adalah sertifikat yang telah
diakui oleh Certivicate Authority (CA).
6. Server Hello Done Message
Pesan ini menandakan bahwa pesan server hello telah dikirim ke pihak client.
Dan server menunggu respon dari client
7. Client Certificate Message
Pesan ini adalah pesan pertama yang dikirimkan oleh client setelah server
hello done message diterima client. Dalam pesan ini client mengirimakn sertifikat
client ke server. Jika client tidak dapat mengirimkan sertifikat yang diminta server
makan server akan memutuskan komunikasi dengan client.
8. Client Key Exchange
Pesan ini membawa kunci untuk server. Tipe algoritma kunci yang digunakan
dapat berupa RSA, atau yang lainnya.
9. Certificate Verify Message
Pesan ini dikirimkan oleh client bertujuan agar server dapat melakukan
verifikasi sertifikat client.

10. Finished Message
Pada fase selanjutnya client mengirimkan pesan yang berisi perubahan
spesifikasi cipher dibarengi dengan pengiriman pesan finished message. Apabila
server menerima pesan finished message dari client. Server mengirimkan change
cipher spec message dan mengirimkan finished message. Pada fase ini handshake
protocol telah sempurna dan jalur ini selanjutnya dapat digunakan untuk transfer
pesan atau data secara aman. (Steve Burnett at all, 2004).
2.5.3. Protocol SSL Alert
Protokol ini akan memberikan tanda kondisi sudah tidak terkoneksi lagi (jika
pengirim mengirimkan pesan dan yang akan menerima sedang offline maka pesan akan
dipending sampai penerima terkoneksi lagi). SSL alert error message bisa dilihat pada tabel
2.x berikut ini :
Tabel 2.7 Alert Error Message
Sumber : http://msdn.microsoft.com/en-us/library/dd721886%28VS.85%29.aspx
TLS or SSL alert Schannel error code

SSL3_ALERT_UNEXPECTED_MESSAGE SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_BAD_RECORD_MAC SEC_E_MESSAGE_ALTERED
TLS1_ALERT_DECRYPTION_FAILED SEC_E_DECRYPT_FAILURE
TLS1_ALERT_RECORD_OVERFLOW SEC_E_ILLEGAL_MESSAGE
SSL3_ALERT_DECOMPRESSION_FAIL SEC_E_MESSAGE_ALTERED
SSL3_ALERT_HANDSHAKE_FAILURE SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_BAD_CERTIFICATE SEC_E_CERT_UNKNOWN
TLS1_ALERT_UNSUPPORTED_CERT SEC_E_CERT_UNKNOWN
TLS1_ALERT_CERTIFICATE_REVOKED CRYPT_E_REVOKED
TLS1_ALERT_CERTIFICATE_EXPIRED SEC_E_CERT_EXPIRED
TLS1_ALERT_CERTIFICATE_UNKNOWN SEC_E_CERT_UNKNOWN
SSL3_ALERT_ILLEGAL_PARAMETER SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_UNKNOWN_CA SEC_E_UNTRUSTED_ROOT
TLS1_ALERT_ACCESS_DENIED SEC_E_LOGON_DENIED
TLS1_ALERT_DECODE_ERROR SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_DECRYPT_ERROR SEC_E_DECRYPT_FAILURE
TLS1_ALERT_EXPORT_RESTRICTION SEC_E_ILLEGAL_MESSAGE
TLS1_ALERT_PROTOCOL_VERSION SEC_E_UNSUPPORTED_FUNCTION
TLS1_ALERT_INSUFFIENT_SECURITY SEC_E_ALGORITHM_MISMATCH
TLS1_ALERT_INTERNAL_ERROR SEC_E_INTERNAL_ERROR
Default SEC_E_ILLEGAL_MESSAGE
2.5.4. Arsitektur SSL / TLS
Protokol SSL didesain untuk bisa digunakan pada provider TCP yang dapat dipercaya
layanan keamanannya. SSL tidak hanya menggunakan satu protokol, tetapi dua layer (lapis)
protokol. SSL record protocol merupakan layanan keamanan dasar kelapisan protokol yang
lebih tinggi. EAP bisa beroperasi dengan SSL/TLS. Arsitektur dari SSL dapat dilihat pada
gambar 2.22 dbawah ini :
Gambar 2.20 Arsitektur Protokol SSL
Sumber : http://technet.microsoft.com/en-us/library/Cc767139.f14-2_big%28en-
us,TechNet.10%29.gif
2.5.5. Sertifikat Digital
Sertifikat digital adalah kunci publik dan informasi penting mengenai jati diri pemilik
kunci tersebut, seperti misalnya nama, alamat, pekerjaan, jabatan, perusahaan, dan bahkan
hash dari suatu informasi rahasia ysng ditandatangani oleh suatu pihak terpercaya. Sertifikat
digital tersebut ditandatangani oleh sebuah pihak yang terpercaya, yaitu Certificate Authority
(CA).
Gambar 2.21 Peran CA dalam penerbitan sertifikat
Sertifikat digital diterbitkan oleh CA, suatu perusahaan atau individu yang
mendaftarkan diri kepada CA baru mereka akan mendapatkan sertifikat digital. CA bukan
hanya bertugas menerbitkan sertifikat saja, tetapi juga melakukan pemeriksaan apakah
sertifikat tersebut masih berlaku atau tidak, dan juga membatalkan sertifikat atas permintaan.
Dengan demikian, berarti CA juga memiliki daftar sertifikat yang mereka buat, baik yang
masih berlaku maupun yang sudah dibatalkan. Pada sertifikat digital terdapat tanggal
kadaluarsa, sertifikat yang sudah kadaluarsa akan dihapus dari daftar CA dan masih bisa
diperpanjang.
Struktur standar dari sertifikat digital meliputi hal-hal berikut :
a. Version : merupakan versi dari x.509 pada versi 1 yang memiliki fasilitas dari serial
number sertifikat sampai dengan subject public key info, versi 2 ditambah dengan
identitas subject yang unik, dan pada versi 3 diberi tambahan extention dari sertifikat
digital. Lihat gambar 2.x
b. Serial number merupakan bilang integer yang unik yang dibuat oleh CA.
c. Signature Algoritma identifier merupakan algoritma yang digunakan untuk
menandatangani sertifikat yang bersamaan dengan parameternya.
d. Issuer name : nama dari pembuat dan yang mengeluarkan sertifikat

e. Period of validity : batas tanggal, bulan, dan tahun sertifikat bisa digunakan.
f. Subject name : nama yang menggunakan sertifikat atau yang memiliki kunci private
dari sertifikat tersebut.
g. Subject public key information : public key subject, identifikasi algoritma kunci yang
digunakan dan perusahaan mana yang mengeluarkan sertifikat tersebut
h. Issuer unique identifier : identifikasi unik perusahaan
i. Subject unique identifier : digunakan untuk membedakan subject yang satu dengan
yang liannya
j. Extention meliputi pemakaian kunci, identifikasi kunci public, identifikasi policy
sertifikat, dan lainnya.
k. Signature
Salah satu layanan otentikasi adalah X.509 yang menyediakan layanan dan mengatur
pendistribusian serta memperbaiki informasi user. Informasi user meliputi :
i. username
ii. alamat jaringan
iii. serta atribut user
X.509 merupakan suatu standar yang penting untuk menangani sertifikat digital
karena struktur dari sertifikat digital dan protokol otentikasi terdapat pada X.509. X.509
beroperasi berdasarkan kunci publik dan tandatangan digital serta menggunakan algortima
standar seperti RSA, format dari X.509 seperti gambar berikut :

Gambar 2.22 Format X.509
Sumber : Dony Ariyus, 2006
2.5.6. Enkripsi Public Key
Public key memecahkan masalah pendistribusian karena tidak diperlukan suatu kunci
untuk diditribusikan. Semua partisipan memiliki akses ke kunci public, dan kunci private
dihasilkan secara local oleh setiap partisan sehingga tidak perlu untuk didistribusikan. Selama
sistem mengontrol masing masing private key dengan baik, komunikasi bisa menjadi
komunikasi yang aman. (Dony Ariyus, 2006)
2.5.7. Kriptografi Simetris
Kriptografi simetris adalah metode enskripsi dimana pengirim dan penerima pesan
memiliki kunci yang sama, atau dalam beberapa kasus kedua kunci berbeda namun
mempunyai relasi dengan perhitungan yang mudah. Studi modern terfokuskan pada block
cipher dan stream cipher serta aplikasinya. Block cipher adalah aplikasi modern dari
Alberti’s polyphabetic cipher. Block cipher menerima masukan berupa blok plaintext dan
sebuah kunci dan kemudian menghasilkan keluaran blok ciphertext dengan ukuran yang
sama. Dikarenakan pesan yang dikirim hampir selalu lebih panjang dari single block (blok
tunggal), maka diperlukan metode penggabungan beberapa blok.
Data Encryption Standard (DES) dan Advanced Encryption Standard (AES) adalah
contoh block ciphers yang dijadikan standar kriptografi oleh pemerintahan Amerika Serikat.
Walaupun AES telah diresmikan sebagai standar kriptografi terbaru, namun DES, khususnya
varian triple- DES, masih banyak digunakan sebagai enkripsi ATM, keamanan surat
elektronik (e-mail), dan secure remote access.
Stream cipher adalah lawan dari block cipher, yakni menciptakan arus kunci yang
panjang dan sembarang (arbitrarily long stream of key) yang dikombinasikan dengan
plaintext bit-per-bit (bit-by-bit) dan karakter-per-karakter (character-bycharacter). Pada
stream cipher, arus keluaran dibangkitkan berdasarkan keadaan internal (internal state) yang
berubah-ubah seiring dengan jalannya cipher. Perubahaan tersebut diatur oleh kunci dan
dibeberapa stream cipher diatur pula oleh plaintext cipher. RC4 dan adalah contoh dari
stream cipher.
Gambar 2.23 Kriptografi Simetris
2.5.8. Kriptografi Asimetris
Kriptografi simetris menggunakan kunci yang sama untuk enkripsi dan dekripsi . Hal
tersebut menyebabkan masalah yang signifikan, yakni kunci harus dikelola dengan sangat
aman. Idealnya setiap kelompok yang terlibat komunikasi memiliki kunci yang berbeda.
Kebutuhan akan variasi kunci meningkat, seiring dengan pertumbuhan jaringan, sehingga
membutuhkan manajemen kunci yang kompleks untuk menjaga kerahasiaan tiap kunci.
Masalah juga bertambah jika antara dua kelompok yang berkomunikasi tidak terdapat saluran
aman (secure channel).
Pada tahun 1976, Whitfield Diffie dan Martin Hellman mengajukan konsep
kriptografi asimetri yang meggunakan dua kunci yang secara matematika berhubungan satu
sama lain, yakni kunci publik (public key) dan kunci pribadi
(private key). Kunci publik dibangkitkan sedemikian sehingga kunci pribadi sangat sulit
untuk dihitung, walaupun keduanya sesungguhnya berhubungan satu sama lain.
Dalam kriptografi asimetri, kunci publik dapat secara bebas disebarluaskan,
sedangkan kunci pribadi harus senantiasa dijaga kerahasiaannya. Kunci publik digunakan
untuk enkripsi, sedangkan kunci pribadi digunakan untuk
dekripsi. Diffie dan Hellman membuktikan bahwa kriptografi asimetri adalah mungkin
dengan menerapkan protokol pertukaran kunci Diffie-Hellman. Pada tahun 1978, Ronald
Rivest, Adi Shamir, dan Len Adleman menemukan RSA, sebuah algoritma berdasarkan
kriptografi asimetri. RSA juga akan dibahas secara mendalam pada bagian selanjutnya.
Gambar 2.24 Kriptografi Asimetris
2.5.8.1. RSA
RSA algoritma melakukan pemfaktoran bilangan yang sangat besar. Oleh karena itu
RSA dianggap aman. Untuk membangkitkan kedua kunci, dipilih dua bilangan prima acak
yang besar. Skema yang dikembangkan oleh rivest, shamir, dan adleman yang
mengekspresikan bahwa plaintext dienkripsi menjadi blok blok, dimana setiap blok memiliki
nilai biner yang diberi simbol ”n”, plaintext block ”m”, dan chipertext blok ”c”. Untuk
melakukan enkripsi pesan ”m”, pesan dibagi kedalam blok blok numeric yang lebih kecil dari
pada ”n”. (data biner dengan pangkat terbesar) jika bilangan prima panjangnya 200 digit, dan
dapat menambah beberapa bit o dikiri bilangan untuk menjaga agar pesan tetap kurang dari
nilai ”n”. Rumus enkripsi : C = M e mod n, dan rumus dekripsi M = C d mod n = (Me)d mod
n = Med mod n.
2.6 Open System Interconnection (OSI)
2.6.1 Pengertian OSI
Masalah utama dalam komunikasi antar komputer dari vendor yang berbeda adalah
karena mereka mengunakan protokol dan format data yang berbeda-beda. Untuk mengatasi
ini, International Organization for Standardization (ISO) membuat suatu arsitektur
komunikasi yang dikenal sebagai Open System Interconnection (OSI) model yang
mendefinisikan standar untuk menghubungkan komputer-komputer dari vendor-vendor yang
berbeda.
Model-OSI tersebut terbagi atas 7 layer, dan layer kedua juga memiliki sejumlah sub-
layer (dibagi oleh Institute of Electrical and Electronic Engineers (IEEE)).
Perhatikan tabel berikut ini :
Tabel 2.8 Model OSI
Sumber : PENGERTIAN & FUNGSI 7 OSI LAYER « Disconnected32's Blog.htm
7th - Layer : Application Services

6th - Layer : Presentation Services
5th - Layer : Session Communications
4th - Layer : Transport Communications
3rd - Layer: Network Communications
2nd - Layer: Data-Link Physical Connections
1st - Layer: Physical Physical Connections
Layer-layer tersebut disusun sedemikian sehingga perubahan pada satu layer tidak
membutuhkan perubahan pada layer lain. Layer teratas (5, 6 and 7) adalah lebih cerdas
dibandingkan dengan layer yang lebih rendah; Layer Application dapat menangani protokol
dan format data yang sama yang digunakan oleh layer lain, dan seterusnya. Jadi terdapat
perbedaan yang besar antara layer Physical dan layer Application.
2.6.2 Fungsi – fungsi layer OSI
1) Layer Physical
Ini adalah layer yang paling sederhana, berkaitan dengan electrical (dan optical)
koneksi antar peralatan. Data biner dikodekan dalam bentuk yang dapat ditransmisi
melalui media jaringan, sebagai contoh kabel, transceiver dan konektor yang berkaitan
dengan layer Physical. Peralatan seperti repeater, hub dan network card adalah berada
pada layer ini.
2) Layer Data-link
Layer ini sedikit lebih “cerdas” dibandingkan dengan layer physical, karena
menyediakan transfer data yang lebih nyata. Sebagai penghubung antara media
network dan layer protokol yang lebih high-level, layer data link bertanggung-jawab
pada paket akhir dari data binari yang berasal dari level yang lebih tinggi ke paket
diskrit sebelum ke layer physical. Akan mengirimkan frame (blok dari data) melalui
suatu network. Ethernet (802.2 & 802.3), Tokenbus (802.4) dan Tokenring (802.5)
adalah protokol pada layer Data-link.
3) Layer Network
Tugas utama dari layer network adalah menyediakan fungsi routing sehingga paket
dapat dikirim keluar dari segment network lokal ke suatu tujuan yang berada pada
suatu network lain. IP, Internet Protocol, umumnya digunakan untuk tugas ini.
Protokol lainnya seperti IPX, Internet Packet eXchange. Perusahaan Novell telah
memprogram protokol menjadi beberapa, seperti SPX (Sequence Packet Exchange) &
NCP (Netware Core Protocol). Protokol ini telah dimasukkan ke sistem operasi
Netware. Beberapa fungsi yang mungkin dilakukan oleh Layer Network
a. Membagi aliran data biner ke paket diskrit dengan panjang tertentu
b. Mendeteksi Error
c. Memperbaiki error dengan mengirim ulang paket yang rusak
d. Mengendalikan aliran
4) Layer Transport
Layer transport data, menggunakan protokol seperti UDP, TCP dan/atau SPX
(Sequence Packet eXchange, yang satu ini digunakan oleh NetWare, tetapi khusus
untuk koneksi berorientasi IPX). Layer transport adalah pusat dari mode-OSI. Layer
ini menyediakan transfer yang reliable dan transparan antara kedua titik akhir, layer
ini juga menyediakan multiplexing, kendali aliran dan pemeriksaan error serta
memperbaikinya.
5) Layer Session
Layer Session, sesuai dengan namanya, sering disalah artikan sebagai prosedur logon
pada network dan berkaitan dengan keamanan. Layer ini menyediakan layanan ke dua
layer diatasnya, Melakukan koordinasi komunikasi antara entiti layer yang
diwakilinya. Beberapa protokol pada layer ini: NETBIOS: suatu session interface dan
protokol, dikembangkan oleh IBM, yang menyediakan layanan ke layer presentation
dan layer application. NETBEUI, (NETBIOS Extended User Interface), suatu
pengembangan dari NETBIOS yang digunakan pada produk Microsoft networking,
seperti Windows NT dan LAN Manager. ADSP (AppleTalk Data Stream Protocol).
PAP (Printer Access Protocol), yang terdapat pada printer Postscript untuk akses pada
jaringan AppleTalk.
6) Layer Presentation
Layer presentation dari model OSI melakukan hanya suatu fungsi tunggal: translasi
dari berbagai tipe pada syntax sistem. Sebagai contoh, suatu koneksi antara PC dan
mainframe membutuhkan konversi dari EBCDIC character-encoding format ke ASCII
dan banyak faktor yang perlu dipertimbangkan. Kompresi data (dan enkripsi yang
mungkin) ditangani oleh layer ini.
7) Layer Application
Layer ini adalah yang paling “cerdas”, gateway berada pada layer ini. Gateway
melakukan pekerjaan yang sama seperti sebuah router, tetapi ada perbedaan diantara
mereka. Layer Application adalah penghubung utama antara aplikasi yang berjalan
pada satu komputer dan resources network yang membutuhkan akses padanya. Layer
Application adalah layer dimana user akan beroperasi padanya, protokol seperti FTP,
telnet, SMTP, HTTP, POP3 berada pada layer Application.
2.6.3 Komponen Jaringan dan Protokol Layer
1) Layer 1 – Physical
Network components: Protocols:
 Repeater  IEEE 802 (Ethernet standard)
 Multiplexer  IEEE 802.2 (Ethernet standard)
 Hubs(Passive and Active)  ISO 2110
 TDR  ISDN
 Oscilloscope
 Amplifier
2) Layer 2 – Datalink
 Bridge Media Access Control:
 Switch Communicates with the adapter card
 ISDN Router Controls the type of media being
 Intelligent Hub used:
 NIC  802.3 CSMA/CD (Ethernet)
 Advanced Cable Tester  802.4 Token Bus (ARCnet)
 802.5 Token Ring
 802.12 Demand Priority
Logical Link Control
 error correction and flow control
 manages link control and
defines SAPs
802.2 Logical Link Control
3) Layer 3 (Network)
 Brouter  IP,ARP,RARP,ICMP,RIP,OSFP,
 Router  IGMP
 Frame Relay Device  IPX
 ATM Switch  NWLink
 Advance Cable Tester  OSI
 DDP
 DECnet
4) Layer 4 – Transport
 Gateway  TCP, ARP, RARP
 Advance Cable Tester  SPX
 Brouter  NWLink
 NetBIOS / NetBEUI
 ATP
5) Layer 5 – Session
 Gateway  NetBIOS
 Names Pipes
 Mail Slots
 RPC
6) Layer 6 – Presentation
 Gateway  None
 Redirector
7) Layer 7 – Application
 Gateway  DNS, FTP

 TFTP, BOOTP
 SNMP, RLOGIN
 SMTP, MIME
 NFS, FINGER
 TELNET, NCP
 APPC, AFP
 SMB
2.7 Tools
2.7.1 freeRADIUS Server
freeRADIUS merupakan implementasi dari server RADIUS. Sebenarnya ada banyak
implementasi server RADIUS lainnya seperti Cisco CNS Access Registrar (CAR) dan
Windows Internet Authentication Service (IAS). Pemilihan freeRADIUS adalah karena
software ini berplatform open source, bersifat gratis, performa yang stabil, dan banyak
digunakan sebagai server otentikasi. Berdasarkan hasil tim survey freeRADIUS, lebih dari
10 juta pengguna yang menjadikan freeRADIUS sebagai server otentikasi dan lebih dari 100
juta user yang melakukan proses otentikasi dengan menggunakan freeRADIUS.
FreeRADIUS juga banyak digunakan sebagai otentikasi server dalam penelitian – penelitian
yang berhubungan dengan jaringan nirkabel. (http://freeradius.org/press/survey.html)
freeRADIUS diperkenalkan oleh Alan Dekok dan Miquel van Smoorenburg pada
bulan Agustus 2005. FreeRADIUS server merupakan modular dan produk open-source
paling populer dan paling banyak digunakan di dunia sebagai RADIUS server yang berbasis
sistem operasi UNIX. FreeRADIUS mendukung semua protokol umum otentikasi.
freeRADIUS berjalan pada platform UNIX 32 bit dan 64 bit. freeRADIUS bersifat gratis dan
dapat di download pada alamat http://freeradius.org/download.html (www.freeradius.org).

freeRADIUS memiliki beberapa feature, diantaranya :
a) Performa dan Skalabilitas, freeRADIUS merupakan salah satu server yang tercepat
dan produk yang memiliki tingkat skalabilitas yang tinggi.
b) Mendukung penerapan protokol semua EAP method termasuk diantaranya EAP-
PEAP, protokol yang sering digunakan pada jaringan wireless Microsoft.
c) Support untuk semua jenis database yang umum digunakan (file text seperti LDAP,
SQL, dll) untuk authentication, authorization, dan accounting dalam protokol AAA.
Disamping kelebihan kelebihan yang ada, salah satu kekurangan freeRADIUS adalah
untuk konfigurasi masih berbasis command line. Berbeda dengan server IAS atau lainnya
yang berbayar yang sudah berbasis Graphical User Interface (GUI).
2.8 Network Development Life Cycle (NDLC)
2.8.1 Tahapan Pada NDLC
Gambar 2.29. NDLC
(Sumber : Applied Data Communications, A business-Oriented Approach, James E.
Goldman, Philips T. Rawles, Third Edition, 2001, John Wiley & Sons : 470)
1) Analysis : Tahap awal ini dilakukan analisa kebutuhan, analisa permasalahan yang
muncul, analisa keinginan user, dan analisa topologi / jaringan yang sudah ada saat
ini. Metode yang biasa digunakan pada tahap ini diantaranya ;

a. Wawancara, dilakukan dengan pihak terkait melibatkan
dari struktur manajemen atas sampai ke level bawah / operator agar
mendapatkan data yang konkrit dan lengkap. Pada kasus di Computer
Engineering biasanya juga melakukan brainstorming juga dari pihak vendor
untuk solusi yang ditawarkan dari vendor tersebut karena setiap mempunyai
karakteristik yang berbeda.
b. survey langsung kelapangan, pada tahap analisis juga
biasanya dilakukan survey langsung kelapangan untuk mendapatkan hasil
sesungguhnya dan gambaran seutuhnya sebelum masuk ke tahap design, survey
biasa dilengkapi dengan alat ukur seperti GPS dan alat lain sesuai kebutuhan
untuk mengetahui detail yang dilakukan.
c. membaca manual atau blueprint dokumentasi, pada
analisis awal ini juga dilakukan dengan mencari informasi dari manual-manual
atau blueprint dokumentasi yang mungkin pernah dibuat sebelumnya. Sudah
menjadi keharusan dalam setiap pengembangan suatu sistem dokumentasi
menjadi pendukung akhir dari pengembangan tersebut, begitu juga pada project
network, dokumentasi menjadi syarat mutlak setelah sistem selesai dibangun.
d. menelaah setiap data yang didapat dari data-data
sebelumnya, maka perlu dilakukan analisa data tersebut untuk masuk ke tahap
berikutnya. Adapun yang bisa menjadi pedoman dalam mencari data pada tahap
analisis ini adalah ;
1. User / people : jumlah user, kegiatan yang sering
dilakukan, peta politik
2. Media H/W & S/W : peralatan yang ada, status jaringan, ketersedian
data yang dapat diakses dari peralatan, aplikasi s/w yang digunakan
3. Data : jumlah pelanggan, jumlah inventaris sistem,
sistem keamanan yang sudah ada dalam mengamankan data.
4. Network : konfigurasi jaringan, volume trafik jaringan,
protokol monitoring network yang ada saat ini, harapan dan rencana
pengembangan kedepan
5. Perencanaan fisik : masalah listrik, tata letak, ruang
khusus, system keamanan yang ada, dan kemungkinan akan
pengembangan kedepan.
2) Design : Dari data-data yang didapatkan sebelumnya,
tahap Design ini akan membuat gambar design topologi jaringan interkoneksi yang
akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran
seutuhnya dari kebutuhan yang ada. Design biasa berupa design struktur topology,
design akses data, design data, design tata layout perkabelan, dan sebagainya yang
akan memberikan gambaran jelas tentang project yang akan dibangun. Biasanya hasil
dari design berupa :
a. Gambar-gambar topologi (server farm, firewall, data
center, storages, lasrmiles, perkabelan, titik akses dan sebagainya)
b. Gambar-gambar detailed estimasi kebutuhan yang ada
3) Simulasi Prototipe : network’s akan membuat dalam
bentuk simulasi dengan bantuan Tools khusus di bidang network seperti BOSON,
PACKET TRACERT, NETSIM, dan sebagaimana, hal ini dimaksudkan untuk melihat
kinerja awal dari network yang akan dibangun dan sebagai bahan presentasi dan
sharing dengan team work lainnya. Namun karena keterbatasan perangkat lunak
perangkat simulasi ini, banyak para networker’s yang hanya menggunakan alat bantu
tools VISIO untuk membangun topologi yang akan didesign.
4) Implementasi : di Tahapan ini akan memakan waktu
yang lebih lama dari tahapan sebelumnya. Dalam implementasi networker’s akan
menerangkan semua yang telah direncanakan dan di design sebelumnya.
Implementasi merupakan tahapan yang sangat menentukan dari berhasilnya /
gagalnya project yang akan dibangun dan tahapan inilah Team Work akan diuji
dilapangan untuk menyelesaikan maslah teknis dan non teknis. Ada beberapa
masalah-masalah yang sering muncul pada tahapan ini diantaranya :
a. Jadwal yang tidak tepat karena faktor-faktor penghambat
b. Masalah dana / anggaran dan perubahan kebijakan
c. Team work yang tidak solid
d. Peralatan pendukung dari vendor
maka dibutuhkan manajemen project dan manajemen resiko untuk meminimalkan
sekecil mungkin hambatan-hambatan yang ada.
5) Monitoring : setelah implementasi tahapan monitoring
merupakan tahapan yang penting agar jaringan komputer dan komunikasi dapat
berjalan sesuai dengan keinginan dan tujuan awal dari user pada awal analisis, maka
perlu dilakukan kegiatan monitoring. Monitoring biasa berupa melakukan
pengamatan pada :
a. Infrastruktur hardware : dengan mengamati kondisi
reliability / kehandalan sistem yang telah dibangun (realibility = performance +
availability + security)
b. Memperhatikan jalannya packet data di jaringan (times,
latency, peektime, troughput)
c. Metode yang digunakan untuk mengamati “kesehatan”
jaringan dan komunikasi secara umum, secara terpusat atau tersebar.
Pendekatan yang paling sering dilakukan adalah pendekatan Network Management,
dengan pendekatan ini banyak perangkat baik yang lokal dan tersebar dapat di
monitor secara utuh.
6) Management, di management atau pengaturan, salah satu
yang menjadi perhatian khusus adalah masalah Policy, kebijakan perlu dibuat untuk
membuat / mengatur agar sistem yang telah dibangun dan berjalan dengan baik dapat
berlangsung lama dan unsure Reliability terjaga. Policy akan sangat tergantung
dengan kebijakan level management dan startegi bisnis perusahaan tersebut. IT sebisa
mungkin harus dapat mendukung atau memanagement dengan starategi bisnis
perusahaan.
BAB III
METODOLOGI PENELITIAN
Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu
metode pengumpulan data dan metode pengembangan sistem.
Berikut penjelasan kedua metode tersebut :
3.1 Metode Pengumpulan Data
Pengumpulan data merupakan proses pengadaan data primer untuk keperluan
penelitian. Pengumpulan data merupakan proses yang penting pada metode ilmiah, karena
pada umumnya data yang dikumpulkan digunakan untuk menguji rumusan hipotesis.
Pengumpulan data adalah prosedur yang sistematis dan standar untuk memperoleh data yang
diperlukan (Nazir, 2005).
3.1.1 Studi Lapangan / Observasi
Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke
lokasi adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat
standar lain untuk keperluan tersebut. Penulis melakukan penelitian di Sekolah Islam Fitrah
Al Fikri Depok Jl. Raden Saleh, Sukmajaya Depok dengan melakukan wawancara langsung
dengan pihak administartor jaringan yang dilakukan pada penelitian sekitar bulan januari
2011 dan hasil dari wawancara dapat dilihat pada lampiran 8.
3.1.2 Studi Pustaka atau Literatur
Metode pengumpulan data melalui buku atau browsing internet yang dijadikan
sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data
penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi
tersebut berasal dari dokumen dokmen resmi RFC (Request for Comment) yang telah di
standarisasikan oleh badan standarisasi seperti IEEE dan IETF. Referensi tersebut sebagai
acuan untuk membuat landasan teori. dan referensi – referensi lainnya yang digunakan oleh
penulis dapat dilihat pada Daftar Pustaka.
Studi literatur yang penulis gunakan sebagai referensi yaitu :
Tabel 3.1 Studi Literatur
No JUDUL PENULIS TAHUN PEMBAHASAN
1. Analisis dan Ali 2006 Skripsi ini menekankan

Perancangan Sistem Mahrudi pada analisa dan
Keamanan Jaringan perancangan extensible
Nirkabel authentication protocol –
Menggunakan EAP- Transport Layer Protocol
TLS (EAP-TLS) sebagai solusi
dari resiko terhadap
gangguan keamanan
jaringan nirkabel FST
UIN Jakarta . EAP TLS
merupakan protokol
802.1x mekanisme kerja
otentikasi EAP-TLS
memerlukan certificate
pada sisi client dan server
2. AUTENTIKASI Oleh: Yesi 2007 Skripsi ini menekankan
PENGGUNA Novaria pada analisa dan
WIRELESS LAN Kunang & perancangan sistem
BERBASIS RADIUS Ilman Zuhri autententikasi wireless
SERVER Yadi berbasi RADIUS
(Studi Kasus WLAN Dosen SERVER sebagai solusi
Universitas Bina Tetap dari resiko terhadap
Darma) Universitas gangguan keamanan di
Bina Universitas Bina Darma)
Darma
3. Analisa Protokol Ari 2003 RADIUS merupakan

Autentikasi Darmariyadi protokol yang digunakan
Remote Access Dial- untuk melakukan authen-
In User Service tication, authorization and
dan Aspek accounting (AAA) pada
Keamanannya jaringan akses den-
gan menyediakan proteksi
terhadap pencurian akses.
4. Implementasi M. Arief 2010 Mengimplentasikan
Authentikasi Faruqi Protokol PEAP pada FST
Wireless Security UIN Jakarta. Dengan
dengan protokol terfokus pada
PEAP pengimplementasikan
( Studi kasus : dengan membandingkan
PUSDATIN FST referensi sebelumnya
UIN Jakarta) yaitu EAP-TLS.
3.2 Metode Pengembangan Sistem
Penulis menggunakan model pengembangan sistem NDLC (Network Development
Life Cycle). Secara spesifik NDLC dan kegiatan yang dilakukan penulis dalam penelitian ini
adalah sebagai berikut :
Gambar 3.1 Siklus Network Development Life Cycle
Sumber : Goldman, James E. & Rawles, 2001
Menurut (Goldman, 2001), NDLC adalah kunci dibalik proses perancangan jaringan
komputer. NDLC merupakan model mendefenisikan siklus proses pembangunan atau
pengembangan sistem jaringan komputer. Kata cycle (siklus) adalah kata kunci deskriptif dari
siklus hidup pengembangan sistem jaringan yang menggambarkan secara eksplisit seluruh
proses dan tahapan pengembangan sistem jaringan yang berkesinambungan.
3.2.1 Tahapan Analisis

Model pengembangan sistem NDLC dimulai pada fase analisis. Pada tahap ini
dilakukan wawancara secara langsung dengan administrator jaringan dapat dilihat (lampiran
8) dan juga dilakukan observasi langsung kelapangan dapat dilihat pada bab 4.2 yaitu
meliputi analisis kebutuhan, analisis permasalahan yang muncul, analisa komponen-
komponen meliputi perangka keras dan perangkat lunak, dan analisis kebutuhan sistem
kemanan EAP-TTLS, analisis mekanisme EAP-TTLS.
3.2.2 Tahapan Desain
Tahapan selanjutnya adalah design. Pada tahap ini, penulis membaginya dalam dua
kegiatan dapat dilihat pada bab 4.3, yaitu: desain topologi dapat dilihat pada gambar 4.15 dan
desain sistem dapat dilihat pada gambar 4.17. Dari data - data yang didapatkan dari tahapan
analisis, tahap perancangan ini akan membuat gambar rancangan topologi jaringan
interkoneksi yang akan dibangun, diharapkan dengan gambar ini akan memberikan gambaran
seutuhnya kebutuhan yang ada. pada tahap ini penulis membuat desain topologi dan sistem
jaringan wireless.
3.2.3 Tahapan Simulasi Prototyping
Tahapan ini bertujuan untuk melihat kinerja awal dari jaringan yang akan dibangun
dan sebagai bahan pertimbangan. Sebelum jaringan benar benar akan diterapkan. Pada
tahapan ini penulis melakukan simulasi protokol TTLS dalam network skala kecil, dimana
pada tahap ini penulis dapat melihat dan meneliti apakah protokol TTLS yang akan
diterapkan mengalami keberhasilan ataukah mengalami kegagalan. Dapat dilihat pada bab
4.4 yaitu melakukan simulasi instalasi freeRadius Server,dan kemudian Instalasi sertifikat
digital pada sisi server dan dilanjutkan dengan instalasi sertifikat digital pada sisi klien.
kemudian konfigurasi eap, konfigurasi client, konfigurasi file user, dan yang terakhir
kemudian konfigurasi pada Access Point. Selanjutnya melakukan pengujian / monitoring 3
parameter seperti di sampaikan pada sub bab 2, yaitu dengan mengamati kondisi reliability /
kehandalan sistem yang diimplementasikan. kemudian pengujian paket data di jaringan dari
proses waktu otentikasi dari klien ke server, dan yang terakhir yaitu komunikasi secara
umum, secara terpusat atau tersebar proses monitoring dapat dilihat pada lampiran 9.
3.2.4 Tahapan Penerapan (Implementation)
Tahapan selanjutnya adalah implementasi, dimana hasil dari tahapan sebelumnya
diimplementasikan. Proses implementasi yang dilakukan adalah instalasi dan konfigurasi
terhadap rancangan topologi. Dapat dilihat pada bab 4.5 yaitu supplicant dan authenticator.
Pada sisi authenticator, perangkat ini harus mengetahui alamat IP dari server RADIUS dan
kombinasi shared secret yang digunakan untuk dapat berkomunikasi dengan server RADIUS
tersebut.
3.2.5 Tahapan Pengawasan (Monitoring)
Pada NDLC proses pengawasan merupakan tahapan yang penting, agar jaringan
komputer dan komunikasi dapat berjalan sesuai dengan keinginan dan tujuan awal dari user
pada tahap awal analisis, maka perlu dilakukan kegiatan monitoring. Tahapan ini dapat
dilihat pada bab 4.6 yaitu melakukan beberapa pengujian yang diantaranya pengujian
keandalan sistem, kemudian pengujian paket data pada jaringan. Dari semua proses
monitoring yang telah dilakukan dapat disimpulkan bahwa server dapat melayani klien tanpa
adanya kendala dari infarstruktur hardware dan pengujian data yang ada.
3.2.6 Tahapan Pengaturan (Management)
Tahapan ini memiliki fungsi untuk membuat / mengatur agar sistem yang telah
dibangun dan berjalan dengan baik dapat berlangsung lama dan unsur reliability terjaga.
Dapat dilihat pada bab 4.7 yaitu dilakukan 2 bagian yang pertama adalah User management
atau administrasi pengguna dan yang kedua adalah NAS management atau administrasi NAS
(WLAN access point).
3.3 Mekanisme Kerja Penelitian
Pendefinisian gambaran umum proses kerja penelitian skripsi. Penulis mendefinisikan
dan merepresentasikan metode dan alur proses penelitian, elemen-elemen, beserta
interkoneksinya satu sama lainnya yang penulis terapkan pada penelitian skripsi ini dengan
menggunakan pendekatan terhadap model NDLC dengan menggunakan media diagram
model proses berikut pada halaman 74:

Perencanaan
Penelitian Skripsi
Perumusan & Pendefinisian

Masalah & Judul Penelitian
Perumusan
Metode Metode Jenis Penelitian

Pengembangan Pengumpulan
Sistem Data
Network Development
Penelitian
Life Cycle
Studi
Analysis Observasi
Wawanca
Perancangan Perancangan
Design
Topologi SDIF AL Sistem
Simulasi Mempersiapkan Membangun

Prototyping Lingkungan Virtual Prototipe Simulasi
Implementasi Implementasi Implementasi Skema

Implementation IEEE 802.1 EAP-TTLS
Topologi Jaringan Sistem Pendukung
Monitoring Pemantauan
Pengelola Pengelola
Management
Administarsi Perangkat RADIUS
client
Perumusan Pembuatan
Gambar 3.2 Mekanisme Kerja Penelitian
BAB IV
ANALISIS DAN IMPLEMENTASI
Pada bab ini, penulis akan menjelaskan proses pengembangan sistem keamanan
jaringan dengan menerapkan protokol otentikasi EAP Tunneled TLS Authentication Protocol
(EAP-TTLS), studi kasus kendali akses dan pengamanan pada jaringan wireless Sekolah
Islam Fitrah Al Fikri Depok dengan menerapkan landasan teori dan metode penelitian yang
sudah dibahas pada bab sebelumnya.
Metode penelitian yang penulis gunakan adalah NDLC (Network Development Life-
Cycle). Dengan NDLC, siklus pengembangan sistem jaringan didefinisikan pada jumlah fase
berikut : analysis (analisis) design (perancangan), simulasi prototyping (prototipe simulasi),
implementation (implementasi), monitoring (pengamatan), dan management (manajemen).
4.1 Analisa
Metode pengembangan NDLC memulai siklus pengembangan sistem jaringan pada
tahap analisis. Pada tahap ini dilakukan analisa dengan melakukan perbandingan komponen-
komponen yang terdapat pada model yang bertujuan untuk penulis menggunakan teknologi
tersebut dalam penelitian ini. Pada tahap ini pula penulis menganalisa serta menentukan
komponen yang digunakan secara detail.
4.2.1. Analisa Kebutuhan Sistem Kemanan EAP-TTLS
Keamanan dan kendali akses merupakan isu yang banyak dibahas ketika
mengimplementasikan jaringan wireless. Beberapa solusi dikembangkan untuk memenuhi
akan adanya jaringan wireless yang aman. Namun beberapa solusi tersebut kurang tepat bila
digunakan untuk jaringan wireless yang memiliki pengguna dalam jumlah besar. Pada
infrastruktur jaringan seperti ini model pengamanan yang tepat adalah three-tier autentication
model, yang terdiri dari tiga komponen yaitu : supplicant (wireless client), authenticator
(wireless access point ) dan authentication server.
Pada penelitian sebelumnya, Ali Mahrudi telah mengimplementasikan protokol
kemanan IEEE 802.1X yang dintegrasikan dengan IEEE 802.11 untuk mengamankan
jaringan wireless di FST. Solusi ini menggunakan protokol otentikasi EAP-TLS. Protokol ini
telah menjawab kebutuhan keamanan di FST. Namun, berdasarkan analisa penulis, protokol
tersebut memiliki kesulitan pada fase implementasi. Hal ini dikarenakan, protokol EAP-TLS
membutuhkan sertifikat digital pada dua sisi, yaitu di sisi klien dan sisi server. Hal ini akan
menyulitkan pada tiga fase pengembangan jaringan, yaitu fase implementasi awal,
administrasi pengguna dan pembuatan security policy atau kebijakan keamanan.
Pada penelitian ini, penulis mengajukan protokol EAP-TTLS untuk menggantikan
otentikasi pada sisi klien dengan menggunakan kombinasi username dan password. Dari sisi
mobilitas, EAP-TTLS karena pengguna dapat mengakses menggunaan PC atau notebook
lainnya untuk terkoneksi ke jaringan selama pengguna tersebut memiliki akun yang sah.
Sedangkan EAP-TLS hanya dapat digunakan pada PC atau notebook pengguna yang telah
terinstal sertifikat digital yang diberikan oleh network administrator. Perbandingan antara
EAP TLS dan EAP-TTLS dapat dilihat pada tabel 4.1.
Tabel 4.1 Perbandingan EAP-TLS dan EAP-TTLS
Jenis Otentikasi
Perbandingan
EAP-TLS EAP-TTLS
Internet – Draft
Spesifikasi RFC 2716
3 / 2003
Cisco, Funk,
Client Meetinghouse,
Funk,
implementatio Microsoft,
Meetinghouse
ns Open1X (open
source)
Linux, Mac OS
Linux, MacOS
X,Windows
Supported X, Windows
95/98/ME,
client 95/98/ME,
Windows
platforms Windows
NT/2000/XP,
NT/2000/XP
Mac OS X
Cisco ACS, Funk
Odyssey,
Authenticatio Interlink
Funk,
n server Secure.XS,
Meetinghouse,
Implementati Meetinghouse
Interlink
ons AEGIS,
Microsoft IAS,
FreeRADIUS
CHAP, PAP,
MS-CHAP,
Authenticatio X.509 Certifikat
MS-CHAPv2,
n methods Only
and EAP
methods
Protocol operations
Terdapat dua
fase :
1. pembent
ukan
jalur
TLS
antara
Sesi
client
pembentukan
dan
jalur TLS dan
Basic protocol server
validasi
structure TTLS
sertifikat
2. Exchan
client dan
ge
server
attribute
value
pairs
between
client
and
server
Fast session
Tidak Ya
reconnect
Standard Terbuka Terbuka
Key Material Ya Ya
Mutual
Ya Ya
Authentication
Informasi Supplicant : Supplicant :
Otentikasi sertifikat username-
Server : passsword
sertifikat Server :
sertifikat
Proteksi
terhadap
Tidak Ya
identitas
pengguna
4.2.2. Analisa Komponen-komponen
Setelah menentukan protokol otentikasi user terpusat yang akan digunakan, yaitu
jenis EAP-TTLS. Maka kegiatan selanjutnya adalah menganalisa dan menentukan
komponen-komponen yang akan digunakan.
Tabel 4.2 Spesifikasi Sistem Otentikasi Terpusat
Sistem Keterangan
Sitem otentikasi user Sistem otentikasi user terpusat berperan sebagai data
terpusat atau daftar user dan administrator yang ada, yang
diberikan izin akses ke sistem atau jaringan.
Tabel 4.3 Spesifikasi Software
No Software Versi Keterangan
1 Ubuntu 10.10 Sistem operasi
digunakan sebagai
OS yang diinstall
Ubuntu untuk
otentikasi user
terpusat.
2 Windows 7 7 Untuk sistem
operasi client / user

3 Ubuntu 10.10 Untuk sistem
operasi komputer
sniffer
4 FreeRADIUS 2.1.10 Software yang
digunakan untuk
memberikan
layanan dan
pengolahan
otentikasi/ hak
akses user /
pengguna
5 MySQL 5.1 Aplikasi yang
digunakan untuk
menyimpan dan
mengelola
database user
secara terpusat
6 XAMPP Linux Sebagai web server
7 aircrack-ng 1.1 Software yang
digunakan untuk
uji coba serangan
pada jaringan
wireless
8 Wireshark 1.0.4 Software yang
digunakan untuk
meng-Capture
paket TTLS dan
paket data yang
ditransmisikan
0.9.8 Merupakan web
based interface
9 DaloRADIUS yang digunakan
dalam manajemen
user.
0.8.7 Berfungsi untuk
mengawasi user
yang memakai
10 Cacti
jaringan. dan
memantau beban
pada server
1.1 Capture paket data

11 Aerodam
jaringan
6.1 Untuk Meng
Capture trafik
CommView
12 jaringan dari sisi
Build 678
klien dan sisi
Server.
Tabel 4.4 Spesifikasi Hardware
No Perangkat Spesifikasi Jumlah Keterangan

1 Komputer Prosesor : 1 Digunakan sebagai server
Server Core2Duo 2,2 GHz otentikasi terpusat
AAA / RAM : 3 GB menggunakan
RADIUS Harddisk : 250 GB FreeRADIUS, serta
server LAN Card : manajemen dan
Realtek RTL8168B pengelolaan database user
WLAN Card : yang terpusat.
Atheros AR9285
2 Access WRT54GL 2 Sebagai access server /
Point (AP) Prosesor : device yang
Broadcom menghantarkan paket EAP
BCM5352 @ 200 antara client dan server
MHz otentikasi
RAM : 16 MB
Flash : 4 MB
4 Komputer Prossesor : Digunakan sebagai
Client Core2Duo T5800 komputer client yang
2,0GHz 1 terotentikasi dan memiliki
RAM : 1 GB hak akses.
Harddisk : 250 GB
WLAN card :
Broadcom 802.11 g
Fungsi : client
terotentikasi
5 Komputer Prossesor : Intel Digunakan sebagai

Penyadap Core Duo T2250 komputer / pengguna yang
1.6GHz 1 tidak terotentikasi / sniffer
RAM : 1 GB DDR2
Harddisk : 120 GB
WLAN card :
Integrated
802.11b/g
4.2.1 Analisa Mekanisme EAP-TTLS
Proses otentikasi protokol EAP-TLS dan protokol TTLS MSCHAPv2 memiliki
beberapa tahapan yang sama, tahapan tersebut yaitu pada saat terjadinya pembentukan jalur
komunikasi dengan menggunakan tranport layer security (TLS). TTLS dalam fase awal
pembentukan jalur komunikasinya menggunakan handshake protocol, dimana handshake
protocol merupakan bagian dari proses pembentukan jalur protokol TLS. Berikut adalah
mekanisme TTLS :
Gambar 4.1 Proses Otentikasi TTLS MSCHAPv2
Proses otentikasi TTLS terjadi dalam dua tahapan :
1. Fase pertama menggunakan EAP dan jenis TTLS EAP untuk membuat sebuah
channel TLS.
2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk mengotentikasi
akses ke jaringan. dalam hal ini EAP yang digunakan adalah MSCHAPv2.
Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan
perangkat access point yang memanfaatkan RADIUS server untuk melakukan proses
transaksi paket paket TTLS-MSCHAPv2 sebagai berikut :
Pembuatan channel TLS :
1. Asosiasi dan Meminta Identitas
Ketika sebuah client wireless berasosiasi dengan access point, client akan
mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point memproeses
penerimaan pesan EAP-start, access point akan mengirimkan sebuah pesan EAP-
Request/Identity ke client wireless.
2. EAP-Response/Identity
Jika tidak terdapat user yang logon melalui client wireless, access point akan
mengirimkan sebuah EAP-Response/identity yang berisi nama komputer. Untuk client
windows yang dikirim berupa FQDN (Fully Qualified Domain Named) dari account
komputer.
Jika terdapat user yang logon, access point akan mengirimkan EAP-Response identity
yang berisi username. Dalam proses TTLS, username yang dikirimkan berupa
anonim. Access Point akan melewatkan pesan Response/identity ke server RADIUS
dalam bentuk RADIUS access request. Berikut hasil capture paket ini dengan
menggunakan tools wireshark.
Gambar 4.2 Capture paket EAP Response Identity
Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client, berisi
anonim dengan panjang paket 11 byte.

3. EAP-request dari Server RADIUS (TLS dimulai)
Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi
sebuah pesan EAP-request dengan jenis EAP yang digunakan pada proses TLS,
permintaan ini menunjukkan bahwa proses otentikasi TLS dimulai.
Gambar 4.3 Capture Paket EAP Request-TLS start
Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server otentikasi,
yang menandakan bahwa fase TLS dimulai. Tipe otentikasi yang digunakan adalah
TTLS. Panjang paket ini adalah 6 byte.
4. EAP-Response dari Client wireless (paket Hello TLS client)
Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP yang
digunakan, hal ini dikenal dengan proses pengiriman paket hello TLS. Access Point
akan melewatkan pesan EAP ke server RADIUS dalam bentuk pesan RADIUS
access-request. Berikut hasil capture paket hello TLS client.

Gambar 4.4 Capture Paket Hello-TLS client
Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client, berisi paket
client hello. Paket ini membawa atribut : random session ID, cipher suites, metode
compression. dengan panjang paket 116 byte.
5. EAP request dari Server RADIUS (sertifikat milik RADIUS)
Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi
pesan EAP request dengan jenis EAP yang digunakan pada TTLS dan berisi
rangkaian server hello, sertifikat dari RADIUS server, dan pesan server hello done.
Access point melewatkan pesan EAP ke client. Berikut hasil capture paket sertifikat
server.
Gambar 4.5 Capture Paket EAP Request Sertifikat Server
Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server, berisi paket
server certificate dan paket server hello done. panjang paket ini adalah 1024 byte.
6. EAP-Response dari client wireless
Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat dari client
wireless. Access point melewatkan pesan EAP tersebut ke server RADIUS. Pada
TTLS sertifikat pada sisi client tidak dikirim. Selanjutnya paket yang akan dikirim
adalah client key exchange dan change cipher spec. berikut hasil capture paket
tersebut.
Gambar 4.6 Capture Paket EAP Response-Client Key Exchange
Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client, berisi paket
client key exchange dan paket change cipher spec. panjang paket ini adalah 336 byte.
7. EAP-Request dari server RADIUS (bentuk cipher, TLS lengkap)
RADIUS mengirimkan sebuah pesan RADIUS access challenge / paket EAP request
yang berisi sebuah pesan EAP request yang berisi cipher suite dan sebuah indikasi
yang menyatakan pertukaran pesan pada otentikasi TLS telah selesai dilakukan.
Access point melewatkan pesan EAP ke client.
Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS complete
Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server, berisi paket
change cipher. panjang paket ini adalah 65 byte. Server
8. EAP-Success dari server RADIUS
Server RADIUS memperoleh unicast session key dari proses otentikasi TLS. Pada
fase ini jalur TLS telah terbentuk dan siap digunakan untuk fase selanjutnya.
Diakhir negosiasi TTLS, server RADIUS mengotentikasi dirinya ke client. Kedua
node telah saling menentukan kunci enkripsi untuk jalur TLS dengan menggunakan public
key, dan bukan password. Semua rangkaian pesan EAP dikirim diantara client dan server
RADIUS secara terenkripsi.
Setelah jalur TTLS-TLS dibuat, langkah berikut yang digunakan untuk
mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2.
Otentikasi menggunakan MSCHAPv2 :
Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara clear text,
karena paket paket tersebut sudah berada pada jalur TLS yang terenkripsi.
1. Server RADIUS mengirimkan pesan EAP-request / identity
Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2

2. Client merespon dengan pesan EAP-Response / identity yang berisi identitas (nama
user/nama komputer) dari client
Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2
3. Server RADIUS mengirimkan sebuah EAP-request /EAP-ms-chap v2 challenge yang
berisi serangkaian string challenge
Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge
4. Client merespon dengan pesan EAP-response/EAP-ms-chap v2 Response yang berisi
Response (jawaban) string challenge untuk server RADIUS
Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response

5. Server RADIUS menerima pesan EAP request/ EAP-ms-chap v2 success. Yang
mengindikasikan jawaban dari client adalah benar dan berisi response challenge
string ke client
Gambar 4.12 Capture Paket EAP-Request/EAP-MS-CHAP v2 Success
6. Client merespon dengan pesan EAP response/EAP-ms-chap v2 ack, mengindikasikan
bahwa respon dari server RADIUS adalah benar.
Gambar 4.13 Capture Paket EAP response/EAP-ms-chap v2 ack
7. Server RADIUS mengirimkan sebuah pesan EAP success
Gambar 4.14 Capture Paket EAP Success
Akhir dari proses saling mengotentikasi ini adalah client dan server RADIUS dapat
membuktikan kebenaran password yang digunakan dan pertukaran terjadi didalam jalur yang
terenkripsi oleh jalur TLS.

Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci MK (master
session key) Kunci MK akan menghasilkan kunci PMK yang akan berubah secara dinamis
yang akan di gunakan bersama oleh access point dan client pada proses enkripsi WPA dalam
metransmisikan data nya. Proses distribusi kunci ini disebut 4 way handshake.
Performa TTLS dipengaruhi dengan jumlah transaksi pengiriman pesan EAP Request
dan EAP response, jumlah transaksi ini terdiri dari beberapa round-trip. Round-trip adalah
jumlah satu kali paket request dan paket response antara supplicant dan server TTLS.
Berikut adalah data paket paket TTLS dalam satu kali proses otentikasinya.
Tabel 4.5 Ukuran Pesan EAP dan Waktu Proses
TTLS MSCHAPv2
Urutan Ukuran Total
Sumber Nama Pesan
Pesan Paket Waktu
(byte) (milisecond)
1. Client Identity 194 0.00
2. Server TTLS-start 119 0.767
3. Client Client –Hello 178 0.729
1.server-hello
2.certificate
4. Server 1132 20.869
3. server key exchange
3.server hello done
5. Client Response-TTLS version 112 1.480
1.Server-hello
2.certificate
6. Server 1087 0.221
3. server key exchange
3.server hello done
7. Client 1. client key exchange 262 27.916

2. change cipher spec
3. encrypted handshake
message
1. change cipher spec
8. server 2. encrypted handshake 165 8.708
message
9. Client Resonse-type 112 1.605
Encrypted Application
10. server 143 0.344
data
11. client 202 1.744
data
12. Server 159 0.321
data
13. Client 266 6.719
data
14. Server 191 0.889
data
15. Client 186 2.001
data
16. Server 143 0.496
data
17. Client 234 1.870
data
18. Server EAP-Success 208 0.534
Total Client 1746 77.213

Server 3347
4.3 Design (Perancangan)
Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem yang akan
dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan
spesfikasi rancangan sistem yang akan dibangun. Penulis membagi proses perancangan
menjadi :
4.3.1 Perancangan Topologi
Pada tahap ini, penulis menentukan topologi dari simulasi dari penerapan protokol
TTLS yang akan dibangun dan mendefinisikan parameter – parameter konfigurasi yang
dibutuhkan untuk menjamin sistem keamanan jaringan yang akan dibangun dapat berjalan
dengan baik. Pada tahap ini dirancang suatu skema implementasi infrastruktur TTLS-
MSCHAPv2 dengan hasil sebagai berikut :
C lient 1
AP 1
DB Server
C lient 2
AP 2
FR Server
C lient 3
AP 3
internet
Gambar 4.15 Perancangan Topologi TTLS
Rincian keterangan dari gambar rancangan topologi sistem jaringan wireless diatas
adalah sebagai berikut :
1. jenis topologi yang diterapkan adalah mode jaringan wireless infrastruktur

2. seluruh alamat IP client dan access point yang digunakan menggunakan kelas C
(subnet-mask 255.255.255.0); direpresentasikan dengan format Classless Inter-
Domain Routing (disingkat menjadi CIDR) (/24).
3. pada segmen jaringan terdapat :
a. Client : mendefinisikan client dari WLAN internal.
b. Server : mendefinisikan dan merepresentasikan mesin server pada sistem
jaringan komputer
c. Access point (AP) : mendefinisikan sebagai device yang menjadi perantara
antara komunikasi berbasis kabel dan udara
Hasil dari pembangunan sistem ini adalah sistem keamanan jaringan wireless yang
secure dan mudah untuk di implementasikan serta sistem ini dapat melakukan proses
otentikasi secara terdistribusi. Penggunaan sertifikat digital pada sisi client pada protokol
EAP-TLS dirubah dengan menggunakan kombinasi username dan password. Topologi TTLS
yang dirancang ini akan diimplementasikan pada jaringan Wireless Sekolah Islam AL Fikri.
Berikut adalah topologi jaringan wireless Sekolah Islam AL Fikri saat ini :
Gambar
4.16 Topologi Jaringan Wireless Sekolah Islam Al Fikri
Secara umum jaringan SIF Al Fikri menggunakan pemodelan Topologi Extended Star
(Extended Star Topology) yaitu. Merupakan perkembangan dari topologi star. Memiliki
beberapa titik yang terhubung ke satu titik utama
http://hendri.staff.uns.ac.id/2009/10/topologi-jaringan-komputer/#more-554).
Pada Sekolah Islam Fitrah AL Fikri, Jaringan WLAN diterapkan pada 2 Gedung
berbeda, yaitu Gedung Ibnu Sina lantai 1 dengan akses point berjumlah 1 buah AP, lantai 2
dengan akses point berjumlah 1 buah AP dan Gedung Ibnu Kholdun lantai 1 dengan akses
point berjumlah 1 buah AP, lantai 3 dengan akses point berjumlah 1 buah AP. Masing masing
akses point seluruhnya dihubungkan kedalam jaringan LAN dan dikonfigurasikan didalam
Ruang IT Sekolah. Sedangkan pada sisi client di set dengan menggunakan IP dinamis /
DHCP dengan IP kelas C. Berikut penggunaan IP untuk masing masing akses point.
Tabel 4.6 Alamat IP Jaringan Wireless SIF AL Fikri Depok

No Lokasi Lokasi Kelas IP IP Address
AP Lantai 1
Ruang IT C 192.168.x.x
1 Gedung Ibnu Sina
AP Lantai 2 Ruang Guru

C 192.168.x.x
2 Gedung Ibnu Sina SMP
AP Lantai 1
Ruang Guru SD C 192.168.x.x
3 Gedung Ibnu Kholdun
AP Lantai 3 Ruang Learning

C 192.168.x.x
4 Gedung Ibnu Kholdun Support Center
Range :
Lantai 1
192.168.2.100-
5 Client Mobile Gedung Ibnu C
192.168.2.254
Sina
Lantai 2,3 Range:
Client Mobile Gedung Ibnu C 192.168.3.100-
6 Sina 192.168.3.254
Lantai 1,2 Range:
7 Kholdun 192.168.4.254
Lantai 3 Range:
8 Kholdun 192.168.254
4.3.2 Perancangan sistem

Setelah rancangan topologi jaringan dibuat, langkah selanjutnya adalah membuat
rancangan sistem sistem baru yang akan dibangun dan diimplementasikan, yang akan
menjadi solusi berbagai rumusan permasalahan. Penulis menggunakan diagram alur untuk
menggambarkan dan mendefinisikan alur koneksi fungsionalitas sistem yang akan penulis
bangun, sehingga dapat dengan jelas diidentifikasi dan dipahami dengan lebih mudah.
Gambar 4.17 menspesifikasikan diagram alur dari sistem otentikasi TTLS MSCHAPv2.
Gambar
4.17
Sistem
TTLS
Keterangan dari simbol simbol diatas adalah sebagai berikut :
Tabel 4.7 keterangan simbol diagram alur
Model Simbol Keterangan
Terminal Mendefinisikan awal atau akhir proses

Mendefinisikan input data secara
Manual input
manual
Process, Mendefinisikan suatu kegiatan yang
report terjadi atau hasil dari kegiatan tersebut.
Mendefinisikan kondisi pilihan dari
decision sejumlah kemungkinan dari suatu proses
tertentu
Mendefinisikan data yang tersimpan
pada suatu sistem atau media
Stored data penyimpana, untuk nantinya dapat
dimanfaatkan oleh proses atau sistem
lain
Mendefinisikan output dalam layar /

Display
display
Sequence Urutan terjadinya proses-proses
Diagram alur diatas dapat dijelaskan sebagai berikut :
1. Saat client ingin bergabung dan masuk kedalam jaringan, client diwajibkan untuk
melakukan input kombinasi username dan password.
2. Data username dan password tersebut akan diterima oleh access point, oleh
access point data tersebut tidak diproses oleh AP melainkan di-forward ke server
otentikasi.
3. Oleh server otentikasi, data username dan password tersebut dicocokkan dengan
data username dan password yang tersimpan didalam database nya

4. Jika ditemukan kecocokan data, maka server otentikasi akan mengirimkan paket
RADIUS access accept. Paket ini selanjutnya dikirimkan ke access point.
5. Namun jika tidak ditemukan kecocokan, maka server otentikasi mengirimkan
paket RADIUS access reject. Paket ini selanjutnya juga akan dikirimkan ke
access point.
6. Oleh access point paket yang diterima dari server otentikasi akan diproses untuk
memutuskan apakah client dapat terkoneksi dan bergabung kedalam jaringan
ataukah tidak. Jika paket yang diterima oleh access point adalah access accept.
Maka AP akan memberikan hak akses kepada client untuk masuk kedalam
jaringan.
7. Jika paket yang diterima oleh AP dari server otentikasi adalah paket RADIUS
access reject. Maka AP akan memblok dan meminta input username dan
password kembali kepada client.
4.4 Simulation Prototyping (Prototipe Simulasi)
Pada tahap ini penulis membangun prototipe dari sistem baru yang akan dibangun dan
diimplementasikan pada lingkungan WLAN dengan menggunakan server virtual pada
lingkungan virtual. Simulation prototyping mendemonstrasikan fungsionalitas sistem yang
akan dibangun.
Penulis menggunakan Virtual Box versi 3.1.6 r59338 untuk memvirtualisasikan
sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan prototipe
(lampiran 1 s/d 7). Hasil pengujian monitoring secara simulasi dapat dilihat pada lampiran 9.
4.5 Implementasi
Setelah selesai melakukan tahapan simulasi, penulis kemudian mengimplementasikan
solusi ini pada perangkat yang sebenarnya. Pengaturan yang dilakukan adalah pada dua
komponen yaitu supplicant dan authenticator. Pada sisi authenticator, perangkat ini harus
mengetahui alamat IP dari server RADIUS dan kombinasi shared secret yang digunakan
untuk dapat berkomunikasi dengan server RADIUS tersebut. Sedangkan pada sisi supplicant,
perangkat ini terlebih dahulu diinstall sertifikat digital untuk CA atau sertifikat digital dari
server RADIUS. Hal ini bertujuan, agar supplicant terhindar dari serangan rogue access point
dan rogue RADIUS server, sehingga informasi username dan password pengguna tidak jatuh
ke pihak yang tidak sah.
Sertifikat digital ini memastikan bahwa supplicant terkoneksi dan melakukan
otentikasi ke server RADIUS yang sebenarnya. Mekanisme ini juga disebut dengan server
authentication. Setelah konfigurasi pada supplicant dan authenticator selesai dilakukan,
maka pengguna telah dapat mengakses jaringan wireless menggunakan akunnya masing-
masing. Adapun tampilan yang akan terdapat pada sisi pengguna adalah seperti yang terlihat
pada gambar 4.21 (windows 7), gambar 4.22 (windows XP), dan gambar 4.23 (ubuntu 10.10).
Gambar 4.21 tampilan input username dan password pada sisi client windows 7
Gambar 4.22 tampilan input username dan password pada sisi client windows XP
Gambar 4.23 tampilan input username dan password pada sisi client Ubuntu 10.10 desktop
Proses implementasi meliputi beberapa tahap-tahapan berikut ini:
4.5.1 Instalasi Server RADIUS
Server RADIUS merupakan server AAA yang bertugas untuk menangani proses
otentikasi, otorisasi, dan accounting. Dalam penelitian kali ini, penulis mengimplementasikan
server RADIUS dengan menggunakan aplikasi FreeRADIUS. Berikut perintah untuk

menginstal aplikasi freeRADIUS. Tahapan instalasi freeRADIUS secara lengkap dapat
dilihat pada halaman lampiran 1.
# apt-get update
# apt-get install freeradius
Aplikasi freeRADIUS berbasis command-line, semua perintah dan konfigurasi aplikasi ini
berbasis teks. Berikut perintah untuk mengaktifkan aplikasi ini :
# freeradius start
Untuk menjalankan freeRADIUS dalam mode debug :
# freeradius –X
Saat mode debug, freeRADIUS siap digunakan setelah menyatakan ready to process request,
berikut tampilan nya :
Gambar 4.24 mode debug freeRADIUS
4.5.2 Pembuatan Sertifikat Digital
Sertifikat ini nantinya akan didistribusikan kepada setiap client yang terdaftar untuk
melakukan koneksi kedalam jaringan. Hal ini bertujuan, agar supplicant terhindar dari
serangan rogue access point dan rogue RADIUS server. sertifikat yang dibuat adalah
sertfikat CA, sertifikat ini akan didistribusikan kepada para masing masing pengguna/client.
Berikut konfigurasi pembuatan certifkat. Selengkapnya dapat dilihat pada Lampiran 2.
mkdir CA
mkdir CA/signed_certs
mkdir CA/private
chmod 700 CA/private
cp /etc/ssl/openssl.cnf /home/radius/CA/
nano /home/arief/CA/openssl.cnf
dir = /home/radius/CA
certs = $dir/
new_certs_dir = $dir/signed_certs
4.5.3 Konfigurasi Server RADIUS
setelah menginstall aplikasi freeRADIUS, terdapat file konfigurasi yang di akan di
setting, yaitu :
a. Konfigurasi eap.conf
Bertujuan untuk mengaktifkan protokol EAP, Selengkapnya dapat dilihat pada
Lampiran 3. berikut settingannya :
#nano EAP.conf
Selanjutnya menyesuaikan data berikut :
TLS {
certdir = /home/radius/CA2 [arahkan ke dir CA]
cadir = /home/radius/CA
private_key_password = qwerty
private_key_file = ${certdir}server_key.pem
CA_file = ${cadir}/cacert.pem
dh_file = ${certdir}/dh [diffie halffman]
random_file = ${certdir}/random
b. Konfigurasi sql.conf
Melakukan setting dan konfigurasi database, berikut settinganya :
sql {
database = "mysql"
driver = "rlm_sql_${database}"
server = "localhost"
port = 3306
login = "radius"
password = "radpass"
radius_db = "radiusdb"
acct_table1 = "radacct"
acct_table2 = "radacct"
postauth_table = "radpostauth"
authcheck_table = "radcheck"
authreply_table = "radreply"
groupcheck_table = "radgroupcheck"
usergroup_table = "radusergroup"
sqltrace = no
sqltracefile = ${logdir}/sqltrace.sql
num_sql_socks = 5
connect_failure_retry_delay = 60
lifetime = 0
nas_table = "nas"
$INCLUDE sql/${database}/dialup.conf
}
c. Konfigurasi clients.conf
file ini bertujuan untuk melakukan konfigurasi berupa penambahan maupun
pengurangan client baru, yang dimaksud client disini adalah Access point.
client 192.168.1.11 {
secret = testing123
shortname = simulator
nastype = other
4.5.4 Konfigurasi Access Point
Pada Access point dilakukan Setting alamat IP, mengubah security mode menjadi
WPA enterprise dan setting nama SSID. Selengkapnya dapat dilihat pada Lampiran 6.
4.5.5 Instalasi Sertifikat CA pada Client
Tahapan instalasi ini dapat dilihat selengkapnya pada Lampiran 7
4.5.6 Instalasi Database Server
Aplikasi database server yang digunakan adalah MYSQL, berikut adalah perintah
untuk melakukan instalasi database MYSQL, lebih lengkapnya dapat dilihat pada lampiran x.
# apt-get update
# apt-get install mysql-server
4.5.7 Konfigurasi Database Server
Konfigurasi database menggunakan phpmyadmin, berikut screenshot konfigurasi
database.
Gambar 4.25 Konfigurasi database dengan phpmyadmin
4.6 Monitoring (Pengawasan)
Pada tahapan ini penulis melakukan pegujian keandalaan sistem dengan melihat
performa dari sisi server ketika melakukan otentikasi dari sisi klien, dapat dilihat pada
gambar 4.26
Gambar 4.26 Perbandingan Performa Server berdasarkan jumlah request otentikasi
4.6.1 Pengujian realibility (keandalan sistem)
Untuk Membuktikan sistem otentikasi aman dimana data yang ditransmisikan
terenkripsi maka penulis melakukan pengujian dengan menggunakan tools Aerodam 1.1.
berbasis linux. Tools ini biasanya digunakan dengan melakukan scanning untuk
mengetahui alamat SSID, jenis otentikasi dan enkripsi yang digunakan, serta channel
yang dipakai pada jaringan wireless. Setelah dilakukan scanning selanjutnya paket hasil
scanning tersebut di buka dengan menggunakan tools wireshark. Tools wireshark
digunakan untuk melihat secara detail suatu paket data yang di transmisikan pada
jaringan. Pertama-tama dengan mensetting Access Point dengan SSID black_usb,
Gambar 4.27 Konfigurasi AP SSID black_usb
Pada tahap kedua alamat IP diset dengan IP 192.168.1.11, RADIUS server
dengan IP 192.168.1.10, client 192.168.1.12 dan sniffer 192.168.1.13. pada AP
black_usb di setting dengan mode security WPA enterprise, WPA alghoritm AES,
RADIUS port 1812, dan shared secret “testing123”.
Gambar 4.28 Konfigurasi Security mode WPA enterprise
Dikondisika
n AP dengan
SSID
black_usb
telah aktif,
client mengirimkan paket “ping” ke server. Komputer sniffer selanjutnya melakukan
scanning dan Capture paket yang terdapat didalam jaringan nirkabel. Berikut hasil Capture
dari scanning dengan menggunakan Aerodam 1.1
Gambar 4.31 scanning status AP black_usb
erlihat
pada
SSID
black_us
b menggunakan channel wlan 11, nilai AUTH adalah MGT, nilai MGT bermakna
menggunakan server RADIUS untuk proses otentikasinya. cipher nya adalah CCMP dan data
enkripsi bernilai WPA. Berikut hasil interface paket data yang diCapture tersebut :
Gambar 4.29 Capture paket data pada AP black_usb
Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada jaringan
WLAN yang menggunakan WPA Enterprise data tersebut telah terenkripsi. Berdasarkan hasil
ini terbukti bahwa dengan menggunakan WPA Enterprise (TTLS), dapat mengamankan paket
paket data yang ditransmisikan

4.6.2 Pengujian paket data jaringan.
Pada tahap ini dilakukan dengan melakukan pengujian paket data yang pada jaringan
ada, dengan melihat dari sisi waktu dan paket otentikasi dan proses pingiriman pesan dari
klien ke server. dapat dilihat pada gambar 4.27.
Gambar 4.30 Jumlah paket authentication request
Pada gambar diatas terlihat bahwa sistem memproses paket authentication request
rata-rata 3 paket/detik dengan nilai maksimum adalah 7 paket/detik. Dengan total paket
authentication Response 3 paket/detik dan nilai maksimum 7 paket perdetik. Akses yang
ditolak sebanyak 2 paket authentication dan nilai maksimum 4 paket / detik
Gambar 4.31 Jumlah paket accounting request
Pada gambar diatas terlihat bahwa sistem memproses paket accounting request rata-
rata 4 paket/detik dan nilai maksimum adalah 10 paket/detik. Begitu pula pada proses
accounting response, rata-rata 4 paket /detik dan nilai maksimum 10 paket/detik.

Dari semua proses monitoring yang telah dilakukan dapat disimpulkan bahwa server
dapat melayani klien tanpa adanya kendala dari infarstruktur hardware dan pengujian data
yang ada.
4.7 Management (Manajemen)
Pada tahap ini penulis hanya melakukan manajemen user dan perangkat jaringan
wireless yang telah diterapkan. Administrasi yang dilakukan dibagi menjadi dua bagian,
yaitu:
1. User management atau administrasi pengguna
2. NAS management atau administrasi NAS (WLAN access point)
Pada bagian user management, sysadmin dapat melakukan beberapa konfigurasi, yaitu
penambahan pengguna baru, menghapus dan mengubah informasi pengguna.
Gambar 4.32 manajemen akun pengguna
Sedangkan pada bagian NAS management, dalo radius dapat menambahkan accses
point yang dapat berkomunikasi dengan server RADIUS.
Gambar 4.33 manajemen access point

BAB V
KESIMPULAN DAN SARAN
5.1 Kesimpulan
Kesimpulan dari penelitian yang telah penulis lakukan adalah sebagai berikut:
1. Penerapan Protokol Tunneleed TLS EAP (TTLS-EAP) dapat digunakan untuk
menangani protokol otentikasi pada jaringan wireless serta mudah pada sisi
administrasinya dapat dilihat pada gambar 4.21
2. Penerapan RADIUS Server dengan menggunakan tambahan protokol EAP-TTLS
pada jaringan wireless.
3. Dengan otentikasi user terpusat memudahkan administrator dan user atau pengguna
baik dalam mengatur dan menggunakan sumber daya jaringan. dapat dilihat pada
gambar 4.29 dan gambar 4.30.
5.2 Saran
Saran dari penulis untuk pengembangan penelitian selanjutnya yang berkaitan dengan
sistem otentikasi terpusat dengan TTLS-EAP ini yaitu:
1. Kinerja protokol EAP-TTLS dipengaruhi oleh spesifikasi hardware yang digunakan.
Untuk jumlah pengguna yang semakin bertambah dan meningkat, kedepan diperlukan
suatu mekanisme load balancing, dengan sistem load balancing pembagian beban
dan kinerja server otentikasi dibagi secara merata ke beberapa server yang ada
sehingga dapat mempertahankan Quality of Service dari jaringan tersebut.
2. Hasil dari penelitian ini dapat dilanjutkan dengan melakukan analisa pada fitur re-
authentication pada protokol EAP-TTLS MSCHAPv2. Fitur re-authentication

merupakan fitur untuk mengurangi waktu yang diperlukan untuk menyelesaikan
proses otentikasi.
3. Dari proses penelitian yang dilakukan otentikasi user terpusat ini masih tergolong
sederhana. Penulis menyarankan bagi yang ingin meneliti lebih dalam lagi, mengerti
sedikit tentang linux / open source dan konsep EAP-TTLS.

DAFTAR PUSTAKA
Arifin, Zaenal. 2008. Sistem Pengamanan Jaringan Wireless LAN berbasis Protokol 802.1x
& Sertifikat. Yogyakarta : Andi.
Ariyus, Dony. 2006. Computer Security. Yogyakarta : Andi.
Burnett Steve, Stephene Paine. 2000. RSA Security’s Official Guide to Cryptography.
California : RSA Press.
Gast, Matthew. TTLS and PEAP Comparison. [Online] Tersedia :
http://www.opus1.com/www/whitepapers/ttlsandpeap.pdf [5 November 2010].
Charles M. Kozierok. TCP/IP Guide. [Online] tersedia : http://www.tcpipguide.com. [3
Agustus 2010].
Goldman, James E. Rawles, Philip T. 2001. Applied Data Communication : a business
Oriented Approach 3rd edition. New York : Wiley John and Sons Inc.
Hantoro, Gunandi Dwi. 2009. WiFi (Wireless LAN) Jaringan Komputer Tanpa Kabel.
Bandung : Informatika.
Hartono, Jogiyanto, MBA, PhD. 1999. Pengenalan Komputer. Yogyakarta : Andi
Hassel, Jonathan. 2002. RADIUS. Cambridge, Massachusetts : O'Reilly Media.
Internet Draft. EAP-TTLS Version 2 [Online] : http://tools.ietf.org/html/draft-josefsson-
pppext-eap-tls-eap-10 [25 Agustus 2010].
Madjid Nakhjiri, Mahsa Nakhjiri. 2005. AAA and Network Security for Mobile Access
RADIUS, DIAMETER, EAP, PKI AND IP Mobility. Chichester : John Wiley & Sons
Ltd.
Nazir, Moh. 2005. Metode Penelitian. Bogor : Ghalia Indonesia

Reid, Neil. 2010. Wireless Mobility the Way of Wireless. New York : McGraw-Hill
Companies.
Reza Fuad R. Standar IEEE 802.1x Teori dan Implementasi. [online] tersedia :
http://oc.its.ac.id/ambilfile.php?idp=129 [1 Agustus 2010].
RFC 2716. PPP EAP TLS Authentication Protocol. [Online] tersedia :
http://tools.ietf.org/html/rfc2716 [25 Agustus 2010].
RFC 2759. Microsoft PPP CHAP Extensions, Version 2. [online] tersedia :
http://tools.ietf.org/html/rfc2759 [25 Agustus 2010 ].
RFC 3748. Extensible Authentication Protocol (EAP). [Online] tersedia :
http://tools.ietf.org/html/rfc3748 [25 Agustus 2010].
RFC 4017. Extensible Authentication Protocol (EAP) Method Requirements for Wireless
LANs. [Online] tersedia : http://tools.ietf.org/html/rfc4017 [25 Agustus 2010]
Setiawan, Deris. 2009. Fundamental Internetworking Development & design Life Cycle.
[online] tersedia : http://ilkom.unsri.ac.id/deris/materi/jarkom/
network_development_cycles.pdf [29 Juli 2010].
Tim Penelitian dan Pengembangan Wahana Komputer. 2004. Kamus Lengkap Jaringan
Komputer. Semarang : Salemba Infotek.
Yadi, Ilman Zuhri, Yesi Novaria Kunang. Keamanan Wireless LAN : Teknik Pengamannan
Access Point. [online] tersedia :
http://blog.binadarma.ac.id/yesinovariakunang/wpcontent/uploads/2010/08/Ilman-
Yessi-Wireless-LAN.pdf [28 Juli 2010].

Lampiran 1. Instalasi FreeRADIUS Server
1. Hal pertama yang dilakukan adalah melakukan update repository database package ubuntu.
masuk sebagai root kemudian ketik :
apt-get update
2. perintah untuk proses instalasi freeRADIUS:
root@ns1:/home/vpnserver# apt-get install freeradius

3. untuk proses instalasi RADIUS server dengan dukungan EAP, maka paket yang digunakan
harus dibuat sendiri, tidak bisa dari repository ubuntu. Oleh karena akan dibuat built
environment sendiri.
Apt-get install build-essential
4. Setelah proses install build environemt selesai Maka kita selanjutnya mengunduh paket
source freeradius dengan perintah berikut:
wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg-
1ubuntu1.dsc
wget
http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg.orig.tar.gz
wget http://archive.ubuntu.com/ubuntu/pool/main/f/freeradius/freeradius_2.1.8+dfsg-
1ubuntu1.diff.
5. selanjutnya mengekstrak paket tar.gz pada paket paket freeradius yang telah di download
tadi dengan perintah :
dpkg-source -x *.dsc
$ cd freeradius-2.1.8
$ dpkg-buildpackage –rfakeroot
6. Cek repository dependencies yang diperlukan agar freeradius dapat berjalan dengan
normal :
nano debian/control
7. selanjutnya Perintah untuk menginstal semua software dependencies agar freeradius dapat
berjalan dengan normal :
apt-get install quilt autotools-dev libtool libltdl3-dev libpam0g-dev libmysqlclient-dev
libgdbm-dev libldap2-dev libiodbc2-dev libkrb5-dev libperl-dev libsnmp-dev libpq-dev libssl-
dev python-dev libpcap-dev debhelper ssl-cert

8. selanjutnya meng-compile seluruh source code menjadi deb dengan perintah berikut :
sudo dpkg buildpackage
sudo dpkg –i libfreeradius2*.deb
sudo dpkg –i freeradius-common*.deb
sudo dpkg –i freeradius_2*.deb 121
apt-get install libltdl7
apt-get install libper15.10
apt-get install ssl-cert

Lampiran 2. Pembuatan Sertifikat Digital CA dan Sertifikat Server
 Masuk ke root dengan mengetik “sudo su” masukkan password root nya
 Buat folder baru dengan mengetik :
~ $ mkdir CA
~ $ mkdir CA/signed_certs
~ $ mkdir CA/private
~ $ chmod 700 CA/private
 Lakukan copy file openssl.conf ke yang dipilih
~ $ cp /etc/ssl/openssl.cnf /home/radius/CA/
 Buka file konfigurasi open ssl yang telah di-copy sebelumnya :
nano /home/radius/CA/openssl.cnf
 Ubah settingan pada file tersebut sebagai berikut
35 [ CA_default ]
36
37 dir = /home/radius/CA # Where everything is kept
38 certs = $dir/ # Where the issued certs are kept
39 crl_dir = $dir/crl # Where the issued crl are kept
40 database = $dir/index.txt # database index file.
41 #unique_subject = no # Set to 'no' to allow creation of
42 # several ctificates with same subject.
43 new_certs_dir = $dir/signed_certs # default place for new certs.
44
45 certificate = $dir/cacert.pem # The CA certificate

46 serial = $dir/serial # The current serial number
47 crlnumber = $dir/crlnumber # the current crl number
48 # must be commented out to leave a V1 CRL
49 crl = $dir/crl.pem # The current CRL
50 private_key = $dir/private/cakey.pem# The private key
51 RANDFILE = $dir/private/.rand # private random number file
52
53 x509_extensions = usr_cert # The extentions to add to the cert
Tambahkan konfigurasi pada file openssl.cnf dengan (baris paling bawah)
316 # Windows XP TLS Extenstions
317 [ xpclient_ext ]
318 extendedKeyUsage=1.3.6.1.5.5.7.3.2
319 [ xpserver_ext ]
320 extendedKeyUsage=1.3.6.1.5.5.7.3.1
 Berikut perintah untuk membuat sertifikat CA :
~/CA $ openssl req -new -keyout private/cakey.pem -out careq.pem
-config ./openssl.cnf
 Masukkan password / kunci private CA. kunci ini nantinya akan digunakan untuk
konfirmasi setiap sertifikat yang akan diterbitkan oleh CA
Selanjutnya, buat sertifikat CA, isi dengan data berikut :
 Buat index.txt pada didalam dir CA

touch index.txt
 Perintah untuk menandatangani Certifikat digital yang dibuat :
~/CA $
openssl
ca -create_serial -out
cacert.pem –keyfile
private/cakey.pem -
selfsign -extensions v3_ca -config ./openssl.cnf -in careq.pem
 Perintah untuk mengubah file .pem ke .der (file .der agar sertifikat CA yang dibuat
dapat di-import ke sistem operasi berbasis windows).
~/CA $ openssl x509 -inform PEM -outform DER -in cacert.pem -out cacert.der
 Membuat sertifikat server untuk RADIUS server :

~/CA $ openssl req -new -config ./openssl.cnf -keyout server_key.pem -out server_req.pem
 Selanjutnya sertifikat server tersebut ditandatangi dulu oleh CA dengan perintah
berikut : CA $ openssl ca -config ./openssl.cnf -in server_req.pem -out
server_cert.pem
 Buat parameter 1024-bit Diffie-Hellman dengan perintah : ( pada folder CA)
openssl dhparam -out dh 1024
dd if=/dev/urandom of=random count=2

Lampiran 3. Konfigurasi eap.conf
# -*- text -*-
##
## eap.conf -- Configuration for EAP types (PEAP, TTLS, etc.)
##
## $Id$
#######################################################################
# Whatever you do, do NOT set 'Auth-Type := EAP'. The server
# is smart enough to figure this out on its own. The most
# common side effect of setting 'Auth-Type := EAP' is that the
# users then cannot use ANY other authentication method.
# EAP types NOT listed here may be supported via the "eap2" module.
# See experimental.conf for documentation.
eap {
# Invoke the default supported EAP type when
# EAP-Identity response is received.
# The incoming EAP messages DO NOT specify which EAP
# type they will be using, so it MUST be set here.
# For now, only one default EAP type may be used at a time.
#
# If the EAP-Type attribute is set by another module,
# then that EAP type takes precedence over the
# default type configured here.
default_eap_type = ttls
# A list is maintained to correlate EAP-Response
# packets with EAP-Request packets. After a
# configurable length of time, entries in the list
# expire, and are deleted.
timer_expire = 60
# There are many EAP types, but the server has support
# for only a limited subset. If the server receives
# a request for an EAP type it does not support, then
# it normally rejects the request. By setting this
# configuration to "yes", you can tell the server to
# instead keep processing the request. Another module
# MUST then be configured to proxy the request to
# another RADIUS server which supports that EAP type.
# If another module is NOT configured to handle the
# request, then the request will still end up being
# rejected.
ignore_unknown_eap_types = no
# Cisco AP1230B firmware 12.2(13)JA1 has a bug. When given

# a User-Name attribute in an Access-Accept, it copies one
# more byte than it should.
# We can work around it by configurably adding an extra
# zero byte.
cisco_accounting_username_bug = no
# Help prevent DoS attacks by limiting the number of
# sessions that the server is tracking. Most systems
# can handle ~30 EAP sessions/s, so the default limit
# of 4096 should be OK.
max_sessions = 4096
# Supported EAP-types
# We do NOT recommend using EAP-MD5 authentication
# for wireless connections. It is insecure, and does
# not provide for dynamic WEP keys.
md5 {
# Cisco LEAP
# We do not recommend using LEAP in new deployments. See:
# http://www.securiteam.com/tools/5TP012ACKE.html
#
# Cisco LEAP uses the MS-CHAP algorithm (but not
# the MS-CHAP attributes) to perform it's authentication.
# As a result, LEAP *requires* access to the plain-text
# User-Password, or the NT-Password attributes.
# 'System' authentication is impossible with LEAP.
leap {
# Generic Token Card.
# Currently, this is only permitted inside of EAP-TTLS,
# or EAP-PEAP. The module "challenges" the user with
# text, and the response from the user is taken to be
# the User-Password.
# Proxying the tunneled EAP-GTC session is a bad idea,
# the users password will go over the wire in plain-text,
# for anyone to see.
gtc {
# The default challenge, which many clients
# ignore..
#challenge = "Password: "

# The plain-text response which comes back
# is put into a User-Password attribute,
# and passed to another module for
# authentication. This allows the EAP-GTC
# response to be checked against plain-text,
# or crypt'd passwords.
# If you say "Local" instead of "PAP", then
# the module will look for a User-Password
# configured for the request, and do the
# authentication itself.
auth_type = PAP
## EAP-TLS
# See raddb/certs/README for additional comments
# on certificates.
# If OpenSSL was not found at the time the server was
# built, the "tls", "ttls", and "peap" sections will
# be ignored.
# Otherwise, when the server first starts in debugging
# mode, test certificates will be created. See the

# "make_cert_command" below for details, and the README
# file in raddb/certs
# These test certificates SHOULD NOT be used in a normal
# deployment. They are created only to make it easier
# to install the server, and to perform some simple
# tests with EAP-TLS, TTLS, or PEAP.
# See also:
# http://www.dslreports.com/forum/remark,9286052~mode=flat
# Note that you should NOT use a globally known CA here!
# e.g. using a Verisign cert as a "known CA" means that
# ANYONE who has a certificate signed by them can
# authenticate via EAP-TLS! This is likey not what you want.
tls {
# These is used to simplify later configurations.
certdir = /home/arief/CA
cadir = /home/arief/CA
private_key_password = qwerty
private_key_file = ${certdir}/server_key.pem
# If Private key & Certificate are located in
# the same file, then private_key_file &
# certificate_file must contain the same file
# name.
# If CA_file (below) is not used, then the
# certificate_file below MUST include not
# only the server certificate, but ALSO all
# of the CA certificates used to sign the
# server certificate.
certificate_file = ${certdir}/server_cert.pem
# Trusted Root CA list
# ALL of the CA's in this list will be trusted
# to issue client certificates for authentication.
# In general, you should use self-signed
# certificates for 802.1x (EAP) authentication.
# In that case, this CA file should contain
# *one* CA certificate.
# This parameter is used only for EAP-TLS,
# when you issue client certificates. If you do
# not use client certificates, and you do not want
# to permit EAP-TLS authentication, then delete

# this configuration item.
CA_file = ${cadir}/cacert.pem
# For DH cipher suites to work, you have to
# run OpenSSL to create the DH file first:
# openssl dhparam -out certs/dh 1024
dh_file = ${certdir}/dh
random_file = ${certdir}/random
# This can never exceed the size of a RADIUS
# packet (4096 bytes), and is preferably half
# that, to accomodate other attributes in
# RADIUS packet. On most APs the MAX packet
# length is configured between 1500 - 1600
# In these cases, fragment size should be
# 1024 or less.
# fragment_size = 1024
# include_length is a flag which is
# by default set to yes If set to
# yes, Total Length of the message is
# included in EVERY packet we send.
# If set to no, Total Length of the

# message is included ONLY in the
# First packet of a fragment series.
# include_length = yes
# Check the Certificate Revocation List
# 1) Copy CA certificates and CRLs to same directory.
# 2) Execute 'c_rehash <CA certs&CRLs Directory>'.
# 'c_rehash' is OpenSSL's command.
# 3) uncomment the line below.
# 5) Restart radiusd
# check_crl = yes
CA_path = ${cadir}
# If check_cert_issuer is set, the value will
# be checked against the DN of the issuer in
# the client certificate. If the values do not
# match, the cerficate verification will fail,
# rejecting the user.
# In 2.1.10 and later, this check can be done
# more generally by checking the value of the
# TLS-Client-Cert-Issuer attribute. This check
# can be done via any mechanism you choose.
#
# check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd"
# If check_cert_cn is set, the value will
# be xlat'ed and checked against the CN
# in the client certificate. If the values
# do not match, the certificate verification
# will fail rejecting the user.
# This check is done only if the previous
# "check_cert_issuer" is not set, or if
# the check succeeds.
# In 2.1.10 and later, this check can be done
# more generally by checking the value of the
# TLS-Client-Cert-CN attribute. This check
# can be done via any mechanism you choose.
# check_cert_cn = %{User-Name}
# Set this option to specify the allowed
# TLS cipher suites. The format is listed
# in "man 1 ciphers".
cipher_list = "DEFAULT"
#
#
# This configuration entry should be deleted
# once the server is running in a normal
# configuration. It is here ONLY to make
# initial deployments easier.
make_cert_command = "${certdir}/bootstrap"
# Session resumption / fast reauthentication
# cache.
# The cache contains the following information:
# session Id - unique identifier, managed by SSL
# User-Name - from the Access-Accept
# Stripped-User-Name - from the Access-Request
# Cached-Session-Policy - from the Access-Accept
# The "Cached-Session-Policy" is the name of a
# policy which should be applied to the cached
# session. This policy can be used to assign
# VLANs, IP addresses, etc. It serves as a useful
# way to re-apply the policy from the original
# Access-Accept to the subsequent Access-Accept

# for the cached session.
# On session resumption, these attributes are
# copied from the cache, and placed into the
# reply list.
# You probably also want "use_tunneled_reply = yes"
# when using fast session resumption.
cache {
# Enable it. The default is "no".
# Deleting the entire "cache" subsection
# Also disables caching.
# You can disallow resumption for a
# particular user by adding the following
# attribute to the control item list:
# Allow-Session-Resumption = No
# If "enable = no" below, you CANNOT
# enable resumption for just one user
# by setting the above attribute to "yes".
#
enable = no
# Lifetime of the cached entries, in hours.
# The sessions will be deleted after this
# time.
lifetime = 24 # hours
# The maximum number of entries in the
# cache. Set to "0" for "infinite".
# This could be set to the number of users
# who are logged in... which can be a LOT.
max_entries = 255
# As of version 2.1.10, client certificates can be
# validated via an external command. This allows
# dynamic CRLs or OCSP to be used.
# This configuration is commented out in the
# default configuration. Uncomment it, and configure
# the correct paths below to enable it.
#
verify {
# A temporary directory where the client
# certificates are stored. This directory
# MUST be owned by the UID of the server,
# and MUST not be accessible by any other
# users. When the server starts, it will do
# "chmod go-rwx" on the directory, for
# security reasons. The directory MUST
# exist when the server starts.
# You should also delete all of the files
# in the directory when the server starts.
# tmpdir = /tmp/radiusd
# The command used to verify the client cert.
# We recommend using the OpenSSL command-line
# tool.
# The ${..CA_path} text is a reference to
# the CA_path variable defined above.
# The %{TLS-Client-Cert-Filename} is the name
# of the temporary file containing the cert
# in PEM format. This file is automatically
# deleted by the server when the command
# returns.
# client = "/path/to/openssl verify -CApath ${..CA_path} %{TLS-Client-Cert-Filename}"
# The TTLS module implements the EAP-TTLS protocol,
# which can be described as EAP inside of Diameter,
# inside of TLS, inside of EAP, inside of RADIUS...
# Surprisingly, it works quite well.
# The TTLS module needs the TLS module to be installed
# and configured, in order to use the TLS tunnel
# inside of the EAP packet. You will still need to
# configure the TLS module, even if you do not want
# to deploy EAP-TLS in your network. Users will not
# be able to request EAP-TLS, as it requires them to
# have a client certificate. EAP-TTLS does not
# require a client certificate.
# You can make TTLS require a client cert by setting
# EAP-TLS-Require-Client-Cert = Yes
# in the control items for a request.
#
ttls {
# The tunneled EAP session needs a default
# EAP type which is separate from the one for
# the non-tunneled EAP module. Inside of the
# TTLS tunnel, we recommend using EAP-MD5.
# If the request does not contain an EAP
# conversation, then this configuration entry
# is ignored.
default_eap_type = md5
# The tunneled authentication request does
# not usually contain useful attributes
# like 'Calling-Station-Id', etc. These
# attributes are outside of the tunnel,
# and normally unavailable to the tunneled
# authentication request.
# By setting this configuration entry to
# 'yes', any attribute which NOT in the
# tunneled authentication request, but
# which IS available outside of the tunnel,
# is copied to the tunneled request.
# allowed values: {no, yes}
copy_request_to_tunnel = no
# The reply attributes sent to the NAS are

# usually based on the name of the user
# 'outside' of the tunnel (usually
# 'anonymous'). If you want to send the
# reply attributes based on the user name
# inside of the tunnel, then set this
# configuration entry to 'yes', and the reply
# to the NAS will be taken from the reply to
# the tunneled request.
# allowed values: {no, yes}
use_tunneled_reply = no
# The inner tunneled request can be sent
# through a virtual server constructed
# specifically for this purpose.
# If this entry is commented out, the inner
# tunneled request will be sent through
# the virtual server that processed the
# outer requests.
virtual_server = "inner-tunnel"
# This has the same meaning as the
# same field in the "tls" module, above.
# The default value here is "yes".

# include_length = yes
##################################################
# !!!!! WARNINGS for Windows compatibility !!!!!
##################################################
# If you see the server send an Access-Challenge,
# and the client never sends another Access-Request,
# then
# STOP!
# The server certificate has to have special OID's
# in it, or else the Microsoft clients will silently
# fail. See the "scripts/xpextensions" file for
# details, and the following page:
# http://support.microsoft.com/kb/814394/en-us
# For additional Windows XP SP2 issues, see:
# http://support.microsoft.com/kb/885453/en-us
#
#
# If is still doesn't work, and you're using Samba,
# you may be encountering a Samba bug. See:
# https://bugzilla.samba.org/show_bug.cgi?id=6563
# Note that we do not necessarily agree with their
# explanation... but the fix does appear to work.
##################################################
# The tunneled EAP session needs a default EAP type
# which is separate from the one for the non-tunneled
# EAP module. Inside of the TLS/PEAP tunnel, we
# recommend using EAP-MS-CHAPv2.
# The PEAP module needs the TLS module to be installed
# and configured, in order to use the TLS tunnel
# inside of the EAP packet. You will still need to
# configure the TLS module, even if you do not want
# to deploy EAP-TLS in your network. Users will not
# be able to request EAP-TLS, as it requires them to
# have a client certificate. EAP-PEAP does not
# require a client certificate.
#
#
# You can make PEAP require a client cert by setting
# EAP-TLS-Require-Client-Cert = Yes
# in the control items for a request.
peap {
# The tunneled EAP session needs a default
# EAP type which is separate from the one for
# the non-tunneled EAP module. Inside of the
# PEAP tunnel, we recommend using MS-CHAPv2,
# as that is the default type supported by
# Windows clients.
default_eap_type = mschapv2
# the PEAP module also has these configuration
# items, which are the same as for TTLS.
copy_request_to_tunnel = no
use_tunneled_reply = no
# When the tunneled session is proxied, the
# home server may not understand EAP-MSCHAP-V2.
# Set this entry to "no" to proxy the tunneled
# EAP-MSCHAP-V2 as normal MSCHAPv2.
# proxy_tunneled_request_as_eap = yes
#
# The inner tunneled request can be sent
# through a virtual server constructed
# specifically for this purpose.
# If this entry is commented out, the inner
# tunneled request will be sent through
# the virtual server that processed the
# outer requests.
virtual_server = "inner-tunnel"
# This takes no configuration.
# Note that it is the EAP MS-CHAPv2 sub-module, not
# the main 'mschap' module.
# Note also that in order for this sub-module to work,
# the main 'mschap' module MUST ALSO be configured.
# This module is the *Microsoft* implementation of MS-CHAPv2
# in EAP. There is another (incompatible) implementation
# of MS-CHAPv2 in EAP by Cisco, which FreeRADIUS does not
# currently support.
#
mschapv2 {
}
Lampiran 4 Konfigurasi clients.conf
# Each client has a "short name" that is used to distinguish it from
# other clients.
# In version 1.x, the string after the word "client" was the IP
# address of the client. In 2.0, the IP address is configured via
# the "ipaddr" or "ipv6addr" fields. For compatibility, the 1.x
# format is still accepted.
client localhost {
# Allowed values are:
# dotted quad (1.2.3.4)
# hostname (radius.example.com)
ipaddr = 127.0.0.1
# OR, you can use an IPv6 address, but not both
# at the same time.
# ipv6addr = :: # any. ::1 == localhost
# A note on DNS: We STRONGLY recommend using IP addresses
# rather than host names. Using host names means that the
# server will do DNS lookups when it starts, making it
# dependent on DNS. i.e. If anything goes wrong with DNS,
# the server won't start!
#
# The server also looks up the IP address from DNS once, and
# only once, when it starts. If the DNS record is later
# updated, the server WILL NOT see that update.
# One client definition can be applied to an entire network.
# e.g. 127/8 should be defined with "ipaddr = 127.0.0.0" and
# "netmask = 8"
# A note on DNS: We STRONGLY recommend using IP addresses
# rather than host names. Using host names means that the
# server will do DNS lookups when it starts, making it
# dependent on DNS. i.e. If anything goes wrong with DNS,
# the server won't start!
# The server also looks up the IP address from DNS once, and
# only once, when it starts. If the DNS record is later
# updated, the server WILL NOT see that update.
# One client definition can be applied to an entire network.
# e.g. 127/8 should be defined with "ipaddr = 127.0.0.0" and
# "netmask = 8"
# If not specified, the default netmask is 32 (i.e. /32)
# We do NOT recommend using anything other than 32. There

# are usually other, better ways to achieve the same goal.
# Using netmasks of other than 32 can cause security issues.
# You can specify overlapping networks (127/8 and 127.0/16)
# In that case, the smallest possible network will be used
# as the "best match" for the client.
# Clients can also be defined dynamically at run time, based
# on any criteria. e.g. SQL lookups, keying off of NAS-Identifier,
# etc.
# See raddb/sites-available/dynamic-clients for details.
# netmask = 32
# The shared secret use to "encrypt" and "sign" packets between
# the NAS and FreeRADIUS. You MUST change this secret from the
# default, otherwise it's not a secret any more!
# The secret can be any string, up to 8k characters in length.
# Control codes can be entered vi octal encoding,
# e.g. "\101\102" == "AB"
# Quotation marks can be entered by escaping them,
# e.g. "foo\"bar"
#
# A note on security: The security of the RADIUS protocol
# depends COMPLETELY on this secret! We recommend using a
# shared secret that is composed of:
# upper case letters
# lower case letters
# numbers
# And is at LEAST 8 characters long, preferably 16 characters in
# length. The secret MUST be random, and should not be words,
# phrase, or anything else that is recognizable.
# The default secret below is only for testing, and should
# not be used in any real environment.
secret = testing123
# Old-style clients do not send a Message-Authenticator
# in an Access-Request. RFC 5080 suggests that all clients
# SHOULD include it in an Access-Request. The configuration
# item below allows the server to require it. If a client
# is required to include a Message-Authenticator and it does
# not, then the packet will be silently discarded.
# allowed values: yes, no

require_message_authenticator = no
# The short name is used as an alias for the fully qualified
# domain name, or the IP address.
# It is accepted for compatibility with 1.x, but it is no
# longer necessary in 2.0
# shortname = localhost
# the following three fields are optional, but may be used by
# checkrad.pl for simultaneous use checks
# The nastype tells 'checkrad.pl' which NAS-specific method to
# use to query the NAS for simultaneous use.
# Permitted NAS types are:
# cisco
# computone
# livingston
# max40xx
# multitech
# netserver
# pathras
# patton
# portslave
# tc
# usrhiper
# other # for all other types
nastype = other # localhost isn't usually a NAS...
# The following two configurations are for future use.
# The 'naspasswd' file is currently used to store the NAS
# login name and password, which is used by checkrad.pl
# when querying the NAS for simultaneous use.
# login = !root
# password = someadminpas
# As of 2.0, clients can also be tied to a virtual server.
# This is done by setting the "virtual_server" configuration
# item, as in the example below.
# virtual_server = home1
# A pointer to the "home_server_pool" OR a "home_server"
# section that contains the CoA configuration for this

# client. For an example of a coa home server or pool,
# see raddb/sites-available/originate-coa
# coa_server = coa
# IPv6 Client
#client ::1 {
# secret = testing123
#}
# All IPv6 Site-local clients
#client fe80::/16 {
#}
#client some.host.org {
#}
# You can now specify one secret for a network of clients.
# When a client request comes in, the BEST match is chosen.
# i.e. The entry from the smallest possible network.
#client 192.168.0.0/24 {
# secret = testing123-1
# shortname = private-network-1
#}
#client 192.168.0.0/16 {
# secret = testing123-2
# shortname = private-network-2
#}
#client 10.10.10.10 {
# # secret and password are mapped through the "secrets" file.
# shortname = liv1
# # the following three fields are optional, but may be used by
# # checkrad.pl for simultaneous usage checks
# nastype = livingston
# login = !root
# password = someadminpas
#}
#}
#######################################################################
# Per-socket client lists. The configuration entries are exactly
# the same as above, but they are nested inside of a section.
# You can have as many per-socket client lists as you have "listen"
# sections, or you can re-use a list among multiple "listen" sections.
# Un-comment this section, and edit a "listen" section to add:
# "clients = per_socket_clients". That IP address/port combination
# will then accept ONLY the clients listed in this section.
#clients per_socket_clients {
# client 192.168.3.4 {
#}
#}
client 192.168.1.11 {
secret = testing123
shortname = simulator
nastype = other
}
Lampiran 5 Konfigurasi pada File Users
# Please read the documentation file ../doc/processing_users_file,
# or 'man 5 users' (after installing the server) for more information.
# This file contains authentication security and configuration
# information for each user. Accounting requests are NOT processed
# through this file. Instead, see 'acct_users', in this directory.
# The first field is the user's name and can be up to
# 253 characters in length. This is followed (on the same line) with
# the list of authentication requirements for that user. This can
# include password, comm server name, comm server port number, protocol
# type (perhaps set by the "hints" file), and huntgroup name (set by
# the "huntgroups" file).
# If you are not sure why a particular reply is being sent by the
# server, then run the server in debugging mode (radiusd -X), and
# you will see which entries in this file are matched.
# When an authentication request is received from the comm server,
# these values are tested. Only the first match is used unless the
# "Fall-Through" variable is set to "Yes".
# A special user named "DEFAULT" matches on all usernames.

# You can have several DEFAULT entries. All entries are processed
# in the order they appear in this file. The first entry that
# matches the login-request will stop processing unless you use
# the Fall-Through variable.
# If you use the database support to turn this file into a .db or .dbm
# file, the DEFAULT entries _have_ to be at the end of this file and
# you can't have multiple entries for one username.
# Indented (with the tab character) lines following the first
# line indicate the configuration values to be passed back to
# the comm server to allow the initiation of a user session.
# This can include things like the PPP configuration values
# or the host to log the user onto.
# You can include another `users' file with `$INCLUDE users.other'
# For a list of RADIUS attributes, and links to their definitions,
# see:
# http://www.freeradius.org/rfc/attributes.html
# Deny access for a specific user. Note that this entry MUST
# be before any other 'Auth-Type' attribute which results in the user
# being authenticated.
# Note that there is NO 'Fall-Through' attribute, so the user will not
# be given any additional resources.
#lameuser Auth-Type := Reject
# Reply-Message = "Your account has been disabled."
# Deny access for a group of users.
# Note that there is NO 'Fall-Through' attribute, so the user will not
# be given any additional resources.
#DEFAULT Group == "disabled", Auth-Type := Reject
# Reply-Message = "Your account has been disabled."
# This is a complete entry for "steve". Note that there is no Fall-Through
# entry so that no DEFAULT entry will be used, and the user will NOT
# get any attributes in addition to the ones listed here.
#steve Cleartext-Password := "testing"
# Service-Type = Framed-User,
# Framed-Protocol = PPP,
# Framed-IP-Address = 172.16.3.33,
# Framed-IP-Netmask = 255.255.255.0,
# Framed-Routing = Broadcast-Listen,
# Framed-Filter-Id = "std.ppp",
# Framed-MTU = 1500,
# Framed-Compression = Van-Jacobsen-TCP-IP
# This is an entry for a user with a space in their name.
# Note the double quotes surrounding the name.
#"John Doe" Cleartext-Password := "hello"
# Reply-Message = "Hello, %{User-Name}"
"sqltest" Cleartext-Password := "testpwd"
Reply-Message = "Hello, %{User-Name}"
"arief" Cleartext-Password := "mautauaja"
Reply-Message = "Hello, %{User-Name}"
# Dial user back and telnet to the default host for that port
#Deg Cleartext-Password := "ge55ged"
# Service-Type = Callback-Login-User,
# Login-IP-Host = 0.0.0.0,
# Callback-Number = "9,5551212",
# Login-Service = Telnet,
# Login-TCP-Port = Telnet
#
# Another complete entry. After the user "dialbk" has logged in, the
# connection will be broken and the user will be dialed back after which
# he will get a connection to the host "timeshare1".
#dialbk Cleartext-Password := "callme"
# Service-Type = Callback-Login-User,
# Login-IP-Host = timeshare1,
# Login-Service = PortMaster,
# Callback-Number = "9,1-800-555-1212"
# user "swilson" will only get a static IP number if he logs in with
# a framed protocol on a terminal server in Alphen (see the huntgroups file).
# Note that by setting "Fall-Through", other attributes will be added from
# the following DEFAULT entries
#swilson Service-Type == Framed-User, Huntgroup-Name == "alphen"
# Fall-Through = Yes
# If the user logs in as 'username.shell', then authenticate them
# using the default method, give them shell access, and stop processing
# the rest of the file.
#
#DEFAULT Suffix == ".shell"
# Service-Type = Login-User,
# Login-Service = Telnet,
# The rest of this file contains the several DEFAULT entries.
# DEFAULT entries match with all login names.
# Note that DEFAULT entries can also Fall-Through (see first entry).
# A name-value pair from a DEFAULT entry will _NEVER_ override
# an already existing name-value pair.
# Set up different IP address pools for the terminal servers.
# Note that the "+" behind the IP address means that this is the "base"
# IP address. The Port-Id (S0, S1 etc) will be added to it.
#DEFAULT Service-Type == Framed-User, Huntgroup-Name == "alphen"
# Framed-IP-Address = 192.168.1.32+,
# Sample defaults for all framed connections.
#DEFAULT Service-Type == Framed-User
# Framed-MTU = 576,
# Service-Type = Framed-User,
# Default for PPP: dynamic IP address, PPP mode, VJ-compression.
# NOTE: we do not use Hint = "PPP", since PPP might also be auto-detected
# by the terminal server in which case there may not be a "P" suffix.
# The terminal server sends "Framed-Protocol = PPP" for auto PPP.
DEFAULT Framed-Protocol == PPP
Framed-Protocol = PPP,
Framed-Compression = Van-Jacobson-TCP-IP
# Default for CSLIP: dynamic IP address, SLIP mode, VJ-compression.
DEFAULT Hint == "CSLIP"
Framed-Protocol = SLIP,
Framed-Compression = Van-Jacobson-TCP-IP
# Default for SLIP: dynamic IP address, SLIP mode.
DEFAULT Hint == "SLIP"
# Last default: rlogin to our main server.
#DEFAULT
# Service-Type = Login-User,
# Login-Service = Rlogin,
# Login-IP-Host = shellbox.ispdomain.com
##
# # Last default: shell on the local terminal server.
##
# DEFAULT
# Service-Type = Administrative-User
# On no match, the user is denied access.

Lampiran 6 Konfigurasi Access Point
 Buka browser dan masukkan alamat IP access point pada address bar
 Masuk ke menu “setup” pilih menu “basic setup” Setting pembagian alamat IP client
dengan opsi “Automatic Configuration - DHCP” dan
alamat IP access point dengan IP = 192.168.1.11. kemudian centangkan pilihan DHCP Server
“enable”.
Setting IP access point Klik “Save Setting”. Selanjutnya untuk mengakses menu setting
Access point kembali samakan Network IP komputer yang terhubung yang melakukan setting
IP Access Point dengan alamat network IP akses point yang baru. Buka browser dan
masukkan alamat IP access point yang baru yaitu “192.168.1.11” pada address bar
Selanjutnya klik menu “wireless”. Lalu klik menu “basic wireless setting” setting “ Wireless
Network name (SSID)” dengan “black_usb” Setting SSID Wireless Selanjutnya klik menu
“wireless security”. setting “security mode” menjadi WPA Enterprise dan “WPA
Algorithms” menggunakan AES, selanjutnya menambahkan alamat IP “RADIUS server
address” dengan alamat IP 192.168.1.10, “RADIUS port” 1812, dan input “shared key”
dengan “testing123”. berikut tampilan setting pada akses point :
Gambar 4.37 Setting Wireless Security

Lampiran 7. Instalasi dan Konfigurasi Sertifikat CA pada sisi klien
Pilih file sertifikat CA dalam extensi .der lakukan double klik file sertifikat CA yang
akan di install klik “install certificate” untuk mengimport file sertifikat tersebut. akan muncul
window “certificate import wizard”, klik next, selanjutnya akan muncul window yang
meminta konfirmasi peletakan sertifikat apakah secara otomatis atau manual. Pilih manual,
klik browse, Maka akan muncul window “Select Certification Store”, pilih folder / root
“Trusted Root Certification Authorities”. Klik ok. klik next, akan muncul window “complete
the certificate import wizard”. Klik “finish” selanjutnya akan ada alert “security warning”
yang menandakan windows meminta confirmasi atas certifikat CA yang telah kita install
tersebut. klik “yes”. Maka akan muncul window “certificate import wizard” bahwa proses
import sertifikat berhasil
 Selanjutnya setting penggunaan dan manajemen sertifkat pada windows 7. Masuk ke
windows > control panel > view network status and task > manage wireless network >
pilih jaringan wireless yang telah di create sebelumnya (dalam penelitian ini adalah
jaringan wireless dengan SSID “black_usb”) > klik kanan properties
 Selanjutnya akan muncul window “wirelesss network properties”, klik tab “security”
setting dengan “security type” adalah “wpa enterprise”, “encryption type” adalah
AES, dan pilih “network authentication method” adalah “Microsoft Protected EAP
(PEAP)”.
 Untuk mensetting validasi sertifikat pada sisi klien, klik tombol setting pada window
“wireless network properties”. Maka akan muncul window “protected EAP
properties”. Centangkan “validate server certificate”, masukkan alamat IP server
RADIUS, dalam penelitian ini alamat server RADIUS memiliki IP 192.168.1.10.
selanjutnya pada pilihan “trused root certification authorities” pilih sertifikat CA
PEAP yang telah di install sebelumnya. Klik tombol “configure” dan hilangkan
centang pada pilihan “automatically use my windows logon name and password (and
domain if any)”. Klik ok untuk window EAP MSCHAPv2 properties dan klik ok
kembali pada window protected EAP properties.

Lampiran 8 Wawancara dengan Staf IT Sekolah SIF Al Fikri
Responden : Rama Saputra, S.Kom (Staff IT Sekolah Al Fikri)
Penanya : Hadi Rahman
Pertanyaan 1 : Bagaiamana model infrastruktur jaringan wireless SIF Al Fikri Depok ?
Jawaban 1 : Secara umum jaringan SIF Al Fikri menggunakan pemodelan Topologi Extended
Star (Extended Star Topology) yaitu. Merupakan perkembangan dari topologi star.
Pertanyaan 2 : Bagaimana kebijakan penggunaan jaringan wireless ? teknologi wireless yang
digunakan ?
Jawaban 2 : dalam implementasi jaringan wireless SIF Al FIkri memiliki beberapa kebijakan
diantaranya : 1. mobilitas yang tinggi, terutama untuk mengakses jaringan tanpa
menggunakan media berbasis kabel. 2. tingkat kinerja sistem yang baik dalam merespon
akses dari luar kedalam maupun sebaliknya. Adapun teknologi jaringan wireless yang
digunakan adalah captive portal (hotspot). Untuk terhubung kedalam jaringan pengguna
harus memasukkan serangkaian string kode / password.
Pertanyaan 3 : Hardware apa saja yang digunakan pada jaringan wireless ? dan dimana saja
lokasi access point berada ? dan bagaimana pengalamatan IP pengguna ?
Jawaban 3 : Sebagai akses wireless SIF Al Fikri menggunakan access point dan WRT54G
access point dengan menggunakan IP DHCP / dinamis kelas c. adapun lokasi access point
berada pada lantai 1 terdapat 1 unit di ruang IT dan 1 unit diruang guru SMP dan 1 unit
diruang guru SD
Pertanyaan 4 : service / layanan apa saja yang terdapat dalam jaringan SIF Al Fikri ?
Jawaban 4 : di SIF Al Fikri terdapat share data, dan print. Kemudian jaringan internet.
Lampiran 9 Pengujian Monitoring Secara Simulasi
1. Pengujian realibility (keandalan sistem)
Pada pengujian ini dilakukan dengan menggunkan server virtual. yaitu dengan menggunakan
virtual box Virtual Box versi 3.1.6 r59338. dan menggunakan tools CommView untuk
melihat bagaimana server dilihant dari keandalan sistemnya. dapat dilihat pada hasil capture
dibawah ini :
Dari hasil Capture tersebut terlihat bahwa data yang ditransmisikan pada jaringan
WLAN yang menggunakan WPA Enterprise data tersebut telah terenkripsi. Berdasarkan hasil
ini terbukti bahwa dengan menggunakan WPA Enterprise (TTLS), dapat mengamankan paket
paket data yang ditransmisikan.
2. Pengujian Paket Data Pada Jaringan

Pada tahap ini dilakukan dengan melakukan pengujian paket data yang pada jaringan ada,
dengan melihat dari sisi waktu dan paket otentikasi dan proses pingiriman pesan dari klien ke
server.
Dari semua proses monitoring yang telah dilakukan dapat disimpulkan bahwa server
dapat melayani klien tanpa adanya kendala dari infarstruktur hardware dan pengujian data
yang ada.
3. Metode umum Kesehatan jaringan
Penulis melakukan metode untuk melihat kesehatan jaringan secara umum menggunakan
monitoring jaringan secara umum menggunakan CommView pada IP mana saja yan
terkoneksi kedalm jaringan untuk melihat paket yang masuk dan dapat dilihat pada gambar
dibwah ini :

Hadi Rahman FST

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Hadi Rahman FST

Diunggah oleh

Hak Cipta:

Format Tersedia

SKRIPSI

IMPLEMENTASI HOTSPOT AUTHENTICATION DENGAN MENGGUNAKAN

PROGRAM STUDI TEKNIK INFORMATIKA

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL

KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU

KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.

Jakarta, Juni 2011

Keyword : Extensible Authentication Protocol (EAP), Tunneled Transport Layer Security

DAFTAR RIWAYAT HIDUP

Nama : Hadi Rahman

Pekerjaan Orang Tua

LATAR BELAKANG PENDIDIKAN

- Praktek Kerja Lapangan

Jakarta, Juni 2011

Jakarta, Juni 2011

HALAMAN SAMPUL ........................................................................ i

HALAMAN JUDUL ............................................................................ ii

LEMBAR PENGESAHAN PEMBIMBING ........................................ iii

LEMBAR PENGESAHAN UJIAN ..................................................... iv

LEMBAR PERNYATAAN …………………………………………. .. v

LEMBAR PERSEMBAHAN ............................................................... ix

DAFTAR ISI ....................................................................................... x

DAFTAR GAMBAR ........................................................................... xv

DAFTAR TABEL ................................................................................ xviii

DAFTAR LAMPIRAN ........................................................................ xix

DAFTAR ISTILAH ………………………………………………….. . xx

1.1 Latar Belakang ...................................................... 1

1.2 Rumusan Masalah................................................... 3

1.3 Batasan Masalah .................................................... 4

1.4 Tujuan Penelitian .................................................... 4

1.5 Manfaat Penelitian .................................................. 4

1.6 Metodologi Penelitian ............................................. 5

1.6.1 Metodologi Pengumpulan Data ................... 5

1.6.2 Metode Pengembangan Sistem .................... 6

1.7 Sistematika Penulisan ............................................. 6

BAB II LANDASAN TEORI

2.1 Wireless LAN ....................................................... 9

2.1.1 Mode Pada Wireless LAN ........................... 9

2.1.2 Komponen Wireless LAN ........................... 11

2.1.3 Badan Standarisasi ...................................... 14

2.1.4 Standar Wireless LAN ................................ 15

2.2 Protokol Kemanan AAA ....................................... 17

2.2.1.1 Format Paket RADIUS ...................... 20

2.2.1.2 Tipe Paket RADIUS………………... 22

2.2.1.3 Tahapan Koneksi …………………… 27

2.3 Protokol Otentikasi .............................................. 30

2.3.1 Extensible Authentication Protocol (EAP)... 30

2.3.1.1 EAP Over RADIUS ………………… 33

2.3.1.2 EAP Over LAN …………………….. 34

2.4 EAP Methods …………………………………… 35

2.4.2 EAP TLS………………………………….. . 37

2.4.3 EAP TTLS ………………………………… 37

2.5 Secure Socket Layer / Transport Layer Security…. 37

2.5.4 Arsitektur SSL / TLS ……………………… 45

2.5.5 Sertifikat Digital …………………………... 46

2.5.6 Enkripsi Public Key ……………………….. 49

2.5.7 Kriptografi Simetris ……………………….. 49

2.5.8 Kriptografi Asimetris ……………………… 51

2.5.8.1 RSA ………………………………… 52

2.6 Open System Interconnetion (OSI)……………… 53

2.6.1 Pengertian OSI ……………………………. 53

2.6.2 Fungsi – fungsi layer OSI………………….. 54

2.7 Tools …………………….………………………. 60