Professional Documents
Culture Documents
Autentikasi Pengguna Wireless LAN Berbasis Radius Server (Studi Kasus: WLAN Universitas Bina Darma)
Autentikasi Pengguna Wireless LAN Berbasis Radius Server (Studi Kasus: WLAN Universitas Bina Darma)
net/publication/308885995
CITATIONS READS
2 3,926
2 authors:
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Yesi Novaria Kunang on 11 October 2016.
1. PENDAHULUAN
Salah satu perubahan utama di bidang telekomunikasi adalah penggunaan
teknologi wireless. Teknologi wireless juga diterapkan pada jaringan komputer,
yang lebih dikenal dengan wireless LAN (WLAN). Kemudahan-kemudahan yang
ditawarkan wireless LAN menjadi daya tarik tersendiri bagi para pengguna
komputer menggunakan teknologi ini untuk mengakses suatu jaringan komputer
atau internet. Beberapa tahun terakhir ini pengguna wireless LAN mengalami
peningkatan yang pesat. Peningkatan pengguna ini juga dibarengi dengan
peningkatan jumlah Hotspot di tempat-tempat umum, seperti kafe, mal, bandara, di
perkantoran bahkan juga di kampus dan di sekolah-sekolah.
Dengan Hotspot kita bisa menikmati akses internet dimanapun kita berada
selama di area Hotspot tanpa harus menggunakan kabel. Di lingkungan kampus
sendiri dengan adanya layanan Hotspot inilah yang nanti diharapkan akan
mempercepat akses informasi bagi mahasiswa, karyawan dan dosen, khususnya di
dunia pendidikan yang mana diketahui sebagai barometer kemajuan teknologi
informasi.
Universitas Bina Darma saat ini memiliki kapasitas bandwidth internet
2Mbps dan akses ke jalur inherent hingga 2 Mbps. Akses internet dan inherent
tersebut dimanfaatkan untuk menunjang sistem pembelajaran dengan dilengkapi
sistem akademis, elearning, dan lain sebagainya. Untuk mempercepat akses
informasi Universitas Bina Darma saat ini juga sudah menyediakan layanan
Hotspot yaitu sebuah area dimana pada area tersebut tersedia koneksi internet
Wireless yang dapat diakses melalui Notebook, PDA maupun perangkat lainnya
yang mendukung teknologi tersebut. Hotspot tersebut disediakan bagi dosen dan
mahasiswa untuk mengakses internet. Hotspot di Universitas Bina Darma terdapat
beberapa titik area jangkauan yaitu di kampus Utama (hampir seluruh lantai),
kampus D dan Kampus C. Untuk pengembangan selanjutnya diharapkan di seluruh
lingkungan kampus Universitas Bina Darma terjangkau layanan Hotspot.
Jaringan Wireless LAN (Hotspot) di Universitas Bina Darma saat ini
menggunakan WEP (Wired Equivalent Privacy) sebagai wireless security-nya
dimana WEP ini menggunakan satu kunci enkripsi yang digunakan bersama-sama
oleh para pengguna wireless LAN. Penggunaan kunci WEP ini menyulitkan jika
pengguna (user) harus berpindah dari satu Hotspot ke Hotspot lain, user tersebut
harus merubah kunci WEP sesuai dengan titik Hotspot yang digunakan. Dan
karena lubang keamanan yang dimiliki WEP cukup banyak sehingga mudah
dibobol oleh pihak ketiga yang tidak berhak, maka penggunaannya tidak
disarankan. Sistem keamanan lainnya adalah WPA (Wi-Fi Protected Access), yang
menggeser WEP dan menghasilkan keamanan yang lebih baik dari WEP. WPA
bersifat meminta network key kepada setiap wireless client yang ingin melakukan
koneksi ke jaringan. Mengingat jumlah mahasiswa yang menggunakan komputer
jinjing (notebook) maupun perangkat wireless lain semakin bertambah membuat
penulis merasa bahwa sistem Hotspot seperti ini kurang optimal dalam pelayanan,
dikarenakan setiap mahasiswa yng ingin mengakses jaringan diharuskan membawa
perangkat wireless-nya untuk meminta network key kepada administrator (tidak
praktis). Serta tidak adanya sistem informasi bandwidth dan user management dan
monitoring membuat administrator tidak dapat memantau serta mengontrol user
maupun bandwidth di dalam jaringan Wireless LAN (Hotspot) di Universitas Bina
Darma.
Penelitian ini bertujuan untuk membuat autentifikasi server pada jaringan
Wireless LAN (Hotspot) menggunakan Sistem operasi Linux, FreeRADIUS,
ChilliSpot, Dialupadmin, untuk autentifikasi dan identifikasi pengguna Hotspot di
Universitas Bina Darma. Sehingga dari sisi mahasiswa (user) memiliki kemudahan
(praktis) dalam hal melakukan hubungan (konektivitas) ke jaringan Wireless LAN
dan dari sisi administrator mempunyai media dalam memantau dan mengontrol
user-user yang terhubung ke jaringan serta dapat membatasi penggunaan
bandwidth.
2. TINJAUAN PUSTAKA
2.1 Teknologi Pengamanan Wireless
Sistem keamanan yang paling umum diterapkan pada wireless LAN adalah
dengan metode enkripsi, yaitu WEP (Wired Equivalent Privacy). WEP ini
menggunakan satu kunci enkripsi yang digunakan bersama-sama oleh para
pengguna wireless LAN. Hal ini menyebabkan WEP tidak dapat diterapkan pada
hotspot yang dipasang di tempat-tempat umum. Dan karena lubang keamanan yang
dimiliki WEP cukup banyak, sehingga mudah dibobol oleh pihak ketiga yang tidak
berhak, maka penggunaannya tidak disarankan lagi. (Agung S., 2008)
Sistem keamanan lainnya adalah WPA (Wi-Fi Protected Access), yang
menggeser WEP dan menghasilkan keamanan yang lebih baik dari WEP.
Implementasi WPA menggunakan 802.1x dan EAP (Extensible Authentication
Protocol) menghasilkan proses autentikasi pengguna yang relatif lebih aman. Pada
proses ini pengguna harus melakukan autentikasi ke sebuah server autentikasi,
misalnya RADIUS, sebelum terhubung ke wireless LAN atau internet. Pada
umumnya proses autentikasi ini menggunakan nama-pengguna dan password.
IEEE 802.1x atau sering disebut juga “port based authentication”
merupakan standar yang pada awal rancangannya digunakan pada koneksi dialup.
Tetapi pada akhirnya, standar 802.1x digunakan pula pada jaringan IEEE 802
standar. Berikut merupakan skema dasar dari standar 802.1x.(Reza Fuad,2007)
Teknik pengaman yang menggunakan standar 802.1x ini akan
mengharuskan semua pengguna jaringan wireless untuk melakukan proses
otentikasi terlebih dahulu sebelum dapat bergabung dalam jaringan. Sistem
otentikasinya dapat dilakukan dengan banyak cara, namun sistem otentikasi
menggunakan pertukaran key secara dinamik. Sistem pertukaran key secara
dinamik ini dapat dibuat dengan menggunakan Extensible Authentication Protocol
(EAP). Sistem EAP ini sudah cukup banyak terdapat di dalam implementasi
fasilitas-fasilitas di RADIUS.
Gambar 2.1: Skema 802.1x (sumber: Reza Fuad, 2007)
Keterangan:
a. Bila ada WN (Wireless Node) baru yang ingin mengakses suatu LAN,
maka access point (AP) akan meminta identitas WN. Tidak diperbolehkan
trafik apapun kecuali trafik EAP. WN yang ingin mengakses LAN disebut
dengan supplicant. AP pada skema 802.1x merupakan suatu authenticator.
Yang dimaksud dengan authenticator disini adalah device yang
mengeksekusi apakah suatu supplicant dapat mengakses jaringan atau
tidak. Istilah yang terakhir adalah authentication server, yaitu server yang
menentukan apakah suatu supplicant valid atau tidak. Authentication
server adalah berupa Radius server [RFC2865].
EAP, yang merupakan protokol yang digunakan untuk authentifikasi, pada
dasarnya dirancang untuk digunakan pada PPP dialup.
b. Setelah identitas dari WN dikirimkan, proses authentifikasi supplicant pun
dimulai. Protokol yang digunakan antara supplicant dan authenticator
adalah EAP, atau lebih tepatnya adalah EAP encapsulation over LAN
(EAPOL) dan EAP encapsulation over Wireless (EAPOW). Authenticator
me-rencapsulation paket dan dikirimkan ke authentication server.
Selama proses authentifikasi berlangsung, authenticator hanya merelaykan
paket dari supplicant ke authentication server. Setelah semua proses
selesai dan authentication server menyatakan bahwa supplicant valid,
maka authenticator membuka firewall untuk supplicant tersebut.
c. Setelah proses authentifikasi, supplicant dapat mengakses LAN secara
biasa.
2.2. RADIUS
Remote Access Dial-in User Service (RADIUS), merupakan suatu
mekanisme akses kontrol yang mengecek dan mengautentifikasi (authentication)
user atau pengguna berdasarkan pada mekanisme authentikasi yang sudah banyak
digunakan sebelumnya, yaitu menggunakan metode challenge / response.
Remote Access Dial In User Service (RADIUS) dikembangkan di
pertengahan tahun 1990 oleh Livingstone Enterprise (sekarang Lucent
Technologies). Pada awalnya perkembangan RADIUS menggunakan port 1645
yang ternyata bentrok dengan layanan datametrics. Sekarang port yang dipakai
RADIUS adalah port 1812 yang format standarnya ditetapakan pada Request for
Command (RFC) 2138 (C. Rigney, 1997).
Protokol RADIUS merupakan protokol connectionless berbasis UDP yang
tidak menggunakan koneksi langsung. Satu paket RADIUS ditandai dengan field
UDP yang menggunakan port 1812. Beberapa pertimbangan RADIUS
menggunakan lapisan transport UDP (T.Y. Arif dkk., 2007) yaitu: a)Jika
permintaan autentikasi pertama gagal, maka permintaan kedua harus
dipertimbangkan; b)Bersifat stateless yang menyederhanakan protokol pada
penggunaan UDP; c) UDP menyederhanakan implementasi dari sisi server.
Keterangan:
a) User melakukan dial-in menggunakan modem pada Network Access
Server (NAS). NAS akan meminta user memasukan nama dan password
jika koneksi modem berhasil dibangun.
b) NAS akan membangun paket data berupa informasi, yang dinamakan
access-request. Informasi ini diberikan NAS pada server RADIUS berisi
informasi spesifik dari NAS itu sendiri yang meminta access-request, port
yang digunakan untuk koneksi modem serta nama dan password. Untuk
proteksi dari hackers, NAS yang bertindak sebagai RADIUS client,
melakukan enkripsi password sebelum dikirimkan pada RADIUS server.
Access-request ini dikirimkan pada jaringan dari RADIUS client ke
RADIUS server. Jika RADIUS server tidak dapat dijangkau, RADIUS
client dapat melakukan pemindahan rute pada server alternatif pada
konfigurasi NAS.
c) Ketika access-request diterima, server autentikasi akan memvalidasi
permintaan tersebut dan melakukan dekripsi paket data untuk memperoleh
informasi nama dan password. Jika nama dan password sesuai dengan
basis data pada server, server akan mengirimkan access-accept yang berisi
informasi kebutuhan sistem network yang harus disediakan oleh user, misal
RADIUS server akan menyampaikan pada NAS bahwa user memerlukan
TCP/IP dan/atau Netware menggunakan PPP (Point-to-Point Protocol)
atau user memerlukan SLIP (Serial Line Internet Protocol) untuk dapat
terhubung pada jaringan. Selain itu access-accept ini dapat berisi informasi
untuk membatasi akses user pada jaringan. Jika proses login tidak
menemui kesesuaian, maka RADIUS server akan mengirimkan access-
reject pada NAS dan user tidak dapat mengakses jaringan.
d) Untuk menjamin permintaan user benar-benar diberikan pada pihak yang
benar, RADIUS server mengirimkan authentication key atau signature,
yang menandakan keberadaannya pada RADIUS client.
Pada Gambar 2.4 menunjukkan mekanisme jaringan AAA (H. Ventura, 2002): 1)
User melakukan koneksi keperalatan NAS point to point sebagai langkah awal
koneksi ke jaringan; 2) Network Access Server (NAS) sebagai client AAA
kemudian melakukan pengumpulan informasi pengguna dan melanjutkan data
pengguna ke server; 3) Server AAA menerima dan memproses data pengguna,
kemudian memberikan balasan ke NAS berupa pesan penerima atau penolakan
pendaftaran dari pengguna; 4) NAS sebagai client AAA kemudian menyampaikan
pesan server AAA tersebut kepada pengguna, bahwa pendaftaran ditolak atau
diterima beserta layanan yang diperkenankan untuk akses.
2. 4. ChilliSpot
ChilliSpot, merupakan open source captive portal atau Wireless LAN
access point controller. Digunakan untuk meng-authentikasi user dari sebuah
jaringan Wireless LAN. Men-support login berbasis web yang merupakan standard
untuk public hotspot dewasa ini. ChilliSpot juga dapat sebagai media authentikasi,
authorisasi dan accounting (AAA) yang merupakan framework atau arsitektur
kerja dari sebuah RADIUS server (http://www.chillicpot.info/).
Chilli men-support dua jenis metode authentikasi, yaitu :1) Universal
Access Method (UAM); dengan UAM, wireless client me-request sebuah IP
address, dan dialokasikan oleh Chilli. Ketika seorang user membuka sebuah web
browser, Chilli akan menangkap koneksi TCP tersebut dan meredirect browser
tersebut ke authentikasi web server. Web server meminta user untuk username dan
password, password di-enkripsi dan dikirim kembali ke Chilli; 2) Wireless
Protected Access (WPA); dengan WPA, metode authentikasi dihandle oleh access
point dan subsequently di forward dari access point ke Chilli. Jika WPA
digunakan, maka koneksi yang terjadi antara access point dan user di-enkripsi.
3. METODOLOGI PENELITIAN
Router/modem
Proxy server
Internet Gateway
256 kbps
Switch catalyst
pot
Radius server
h ots
Pc mahasiswa
firewall
Pc mahasiswa
Pc mahasiswa
Gambar 3.1 Rancangan Topologi jaringan Server Radius
Web page login ini sebagai perantara antara user dan RADIUS server
dimana RADIUS client sebagai medianya, dengan memiliki uamsecret untuk
authorisasi.
START
Cari jaringan
wireless aktif
HotSpot_UBD2
terdeteksi
Koneksikan ke
HotSpot_UBD2
Koneksi
Berhasil
Buka Halaman
browser
User
Request
Baca Username
dan Password
Mahasiswa
sudah terdaftar
(registrasi
SPP)
Reply reject
Reply
accept
STOP
4. PEMBAHASAN
Gambar 4.11. Menu Interface Dialup Admin untuk melihat user accounting
Pada gambar 4.11 merupakan menu interface untuk melihat user accounting.
Dengan menu tersebut bisa terlihat tanggal dan jam login serta logout, user yang
login, ipnya serta jumlah upload dan downlod.
Gambar 4.12. Menu Interface Dialup Admin untuk melihat user yang online.
Dialup Admin juga memiliki fasilitas untuk melihat user online seperti pada
gambar 4.12.
Gambar 4.13. Menu Interface Dialup Admin untuk melihat statistik harian
Gambar 4.14. Menu Interface Dialup Admin untuk melihat statistik user
4.4. Evaluasi
Dari hasil pengujian sistem autentikasi pengguna wireless berbasis radius
server yang diujikan pada Hotspot Universitas Bina Darma untuk konektivitas
cukup efisien dan praktis. Untuk terkoneksi ke hotspot seorang user membutuhkan
waktu kurang dari 10 detik. Di sisi lain kemudahan menggunakan sistem
autentikasi yang dibuat, mahasiswa tidak perlu mendaftar untuk bisa menggunakan
layanan hotspot. Karena mahasiswa yang sudah registrasi secara otomatis akan
dimasukan sebagai user.
Dengan adanya sistem autentikasi ini juga memungkinkan adanya
monitoring dan manajemen bandwidth. Jika sebelumnya pembatasan bandwidth
dan manajemen bandwidth hanya dilakukan di proxy, maka dengan adanya sistem
autentikasi ini bisa dilakukan pembatasan bandwidth upload, download dan
pembatasan waktu maksimal perhari untuk akses mahasiswa. Hal ini sangat
bermanfaat sekali mengingat keterbatasan bandwidth yang disediakan bagi
mahasiswa. Selain itu juga dengan sistem monitoring bisa dilihat keaktifan
mahasiswa yang menggunakan hotspot, dengan adanya record di database yang
bisa digunakan untuk evaluasi.
Dari sisi keamanan penggunaan sistem autentikasi ini juga relatif aman
bagi data pengguna, karena memanfaatkan sistem tunelling seperti VPN yang akan
mengenkrip semua data yang dikirim client maupun server hotspot. Sehingga data
yang dikirim via wireless semuanya akan dienkrip sehingga lebih aman untuk aksi
penyadapan. Di sisi kenyamanan pengguna juga sistem autentikasi yang dibuat
memudahkan bagi mahasiswa untuk terkoneksi ke hotspot tanpa adanya prosedur
yang berbelit-belit (seperti meminta password WEP KEY ).
5. KESIMPULAN
DAFTAR RUJUKAN
[1] Agung S., “Remote Authentication Dial In User Service (RADIUS) untuk
Autentikasi Pengguna Wireless LAN”, Laporan Akhir EC-5010 Institut
Teknologi Bandung, 2005,
http://br.paume.itb.ac.id:80/courses/ec5010/2005/index.html, (5 Mei 2008)
[9] Nixon Erzed MT, Adnan ST, Dasa Aprily Ardy, Perancangan dan
Implementasi Sistem Jaringan WLAN Berbasis Radius Server ( Studi Kasus :
Wlan Stti I-Tech ), Teknik Informatika STTI NIIT I-Tech, Jakarta,
2008 ,http://www.i-tech.ac.id
[10] Reza Fuad, Standar IEEE 802.1xTeori dan Implementasi, 2007, Reza Fuad,
http://oc.its.ac.id/materilain.php, (7 Agustus 2008)
[11] Teuku Yuliar Arif, Syahrial, dan Zulkiram, “Studi Protokol Autentikasi pada
Layanan Internet Service Provider (ISP)”, Jurnal Rekayasa ELektrika:
Volume 6 No.1 / April 2007, http://ft-elektro.usk.ac.id/content/view/242/, (1
Mei 2008)