ngeHack

MEMBANGUN RADIUS SERVER UNTUK KEAMANAN WIFI KAMPUS

MEMBANGUN RADIUS SERVER UNTUK
KEAMANAN WIFI KAMPUS

1.    PENDAHULUAN

A.   Permasalahan

Banyak pihak yang masih mempertanyakan tentang keamanan wireless LAN. Apabila kita meng-implementasikan wireless LAN, maka kita juga harus memikirkan sistem keamanan apa yang akan diterapkan. Banyak hotspot yang tidak menerapkan sistem keamanan yang memadai, sehingga memungkinkan pengguna yang tidak berhak (ilegal) dapat masuk ke jaringan komputer tersebut. Apabila hal ini sampai terjadi, maka pemilik hotspot tersebut secara langsung maupun tidak langsung akan dirugikan, penyusup itu dapat saja melakukan perbuatan yang tidak menyenangkan, seperti mengambil data, menyerang komputerkomputer yang ada di jaringan tersebut, kehilangan pendapatan (apabila pemilik hotspot adalah ISP), dll. 

Memang tidak mudah untuk memanajemen user dalam jaringan hotspot. Semakin banyak user dan semakin luas jangkauan wilayah dari jaringan wirelless, maka diperlukan penerapan manajemen kemanan jaringan yang semakin bagus.

C.       Alternatif Pemecahan

Banyak paper yang mencoba membahas mengenai bagaimana memanajemen user dan mengamankan jaringan hostpot. Diantara teknologi itu adalah :

a.         SSID (Service Set ID)

      dilakukan dengan menyembunyikan SSID namun kenyataannya cara ini tidak efektif sebab client akan tetap mengirimkan SSID dalam bentuk plain text (meskipun menggunakan enkripsi). Beberapa tools yang dapat digunakan untuk mendapatkan SSID yang dihidden antara lain, kismet (kisMAC), ssid_jack (airjack), aircrack, void11 dll

b.      WEP (Wired Equivalent Privacy)

Metode ini adalah system keamanan dan enkripsi pertama yang digunakan pada wireless,namun kelemahnnya karena enkripsi algoritma RC4 mempunyai kunci yang lemah yaitu kunci WEP bersifat statis. Beberapa bentuk serangan yang dilakukan misalnya FMS Attack (Fluhrer, Mantin, dan Shamir), atau dengan Traffict Injection. WEP juga menggunakan satu kunci enkripsi yang digunakan bersama-sama oleh para pengguna wireless LAN. Hal ini menyebabkan WEP tidak dapat diterapkan pada hotspot yang dipasang di tempat-tempat umum.

c.       MAC Filtering

adalah sistem keamanan bawaan yang sudah melekat pada perangkat wireless Access Point maupun Router. Hal ini sebenarnya tidak banyakmembantu mengamankan komunikasi wireless, karena MAC address sangatmudah dispoofing atau bahkan dirubah.Tools yang biasa digunakan network utilitis, regedit, smac, machange.

d.      DHCP

server hanya meng-identifikasi MAC Address kemudian memberikan IP ke klien. Tidak ada proses autentikasi selama proses permintaan IP namun punya kelebihan yaitu effective cost penggunaan resource network

e.       PPPoe and PPTP

biasanya digunakan untuk proses autentikasi untuk jaringanATM. Membutuhkan client resource seperti software client sehingga customer masih perlu intervensi.

f.       Proxy Server

teknologi sudah mendukung multi user dan roaming (perpindahan user) dalam jaringan, namun authentikasi yang diberikan hanya ketika user mau akses ke jaringan luar/internet. Sedangkan jika user hanya ingin membuat koneksi di jaringan lokal/intranet, maka authentikasi ini tidak akan muncul.

g.      RADIUS (Remote Authentication Dial In User Service),

teknologi sudah mendukung multi user dan roaming (perpindahan user) dalam jaringan. Authentikasi bersifat terpusat dan dilakukan diawal ketika seorang user mau menggunakan jaringan, baik untuk koneksi jaringan intranet maupun internet.

2.    PROTOKOL RADIUS

Remote Authentication Dial In User Service (RADIUS), adalah protokol yang dikembangkan untuk proses AAA (authentication, authorization, and accounting). Protocol AAA ini sendiri adalah sebuah model akses jaringan yang memisahkan tiga macam fungsi kontrol, yaitu Authentication, Authorization, dan Accounting, untuk diproses secara independen.

Pada dasarnya terdapat tiga komponen yang membentuk model ini yaitu Remote User, Network Access Server (NAS), dan AAA server. Proses yang terjadi dalam sistem ini adalah user meminta hak akses ke suatu jaringan (internet, atau wireless LAN misalnya) kepada Network Access Server. Network Access Server kemudian mengidentifikasi user tersebut melalui AAA server. Jika server AAA mengenali user tersebut, maka server AAA akan memberikan informasi kepada NAS bahwa user tersebut berhak menggunakan jaringan, dan layanan apa saja yang dapat diakses olehnya. Selanjutnya, dilakukan pencatatan atas beberapa informasi penting mengenai aktivitas user tersebut,

seperti layanan apa saja yang digunakan, berapa besar data (dalam ukuran bytes) yang diakses oleh user, berapa lama user menggunakan jaringan, dan sebagainya.

System jaringan RADIUS menjalankan sistem administrasi pengguna yang terpusat, sistem ini akan mempermudah tugas administrator. Dapat kita bayangkan berapa banyak jumlah pelanggan yang dimiliki oleh sebuah ISP, dan ditambah lagi dengan penambahan pelanggan baru dan penghapusan pelanggan yang sudah tidak berlangganan lagi. Apabila tidak ada suatu sistem administrasi yang terpusat, maka akan merepotkan administrator dan tidak menutup kemungkinan ISP akan merugi atau pendapatan-nya berkurang. Dengan sistem ini pengguna dapat menggunakan hotspot di tempat yang berbedabeda dengan melakukan autentikasi ke sebuah RADIUS server.

3.    DESAIN JARINGAN WIFI KAMPUS

Berikut adalah stuktur umum jaringan Wifi Kampus yang dikembangkan :

Jaringan Wifi Kampus dengan RADIUS di atas dibagi menjadi 3 bagian yaitu :

a.       Supplicant/Remote User, terdiri dari User Labtop ataupun Desktop PC.

b.       NAS, terdiri dari Access Point/Hotspot ataupun Router sebagai Gateway dari koneksi user.

c.        RADIUS Server, yang melakukan proses AAA (Authentication, Authorization, Accounting) dan menyimpan data seluruh user secara terpusat.

Jaringan di atas juga mensupport 2 teknologi yaitu WireLAN (Kabel) dan WirellessLAN (Tanpa Kabel). Setiap User yang akan koneksi ke dalam jaringan Lokal Kampus maupun Internet diharuskan melakukan authentikasi terlebih dahulu melalui NAS (Access Point/Router Gateway) yang berwenang kemudian untuk diteruskan ke server RADIUS. Jika authentikasi berhasil dilakukan maka RADIUS server akan memberikan jawaban ke NAS dan NAS akan menerima atau menolak request user berdasarkan ke absahan authentikasi yang dilakukan user. Untuk database user disimpan secara terpusat di Server RADIUS, sehingga jika ada user yang ingin pindah ke Access Point lain maka tidak diperlukan daftar ulang lagi. Hal ini akan memberikan kemudahan user untuk roaming (melakukan perpindahan) di antara Access Point/Hostpot.

4.    IMPLEMENTASI

A.  Alat dan Bahan

Dalam desain ini menggunakan free RADIUS server, Alasan utama kenapa memilih free RADIUS server adalah karena mahalnya harga RADIUS server komersial. Sebagai contoh : Interlink’s Secure.XS harganya mulai dari $2375 untuk 250 pengguna, Funk Odyssey Server $2500, VOP Radius Small Business mulai dari $995 untuk 100 pengguna [4]. Harga RADIUS server komersial diatas kebanyakan tidak terjangkau bagi para pemilik hotspot, terutama bagi kalangan kampus.

Salah satu contoh RADIUS server yang non-komersial adalah FreeRADIUS server. FreeRADIUS server ini tidak kalah dengan RADIUS server yang komersial. Salah satu buktinya adalah freeRADIUS server sudah mendukung beberapa Access Point (AP)/ Network Access Server (NAS) dibawah ini:

a.       3Com/USR Hiper Arc Total Control

b.      3Com/USR NetServer

c.       3Com/USR TotalControl

d.       Ascend Max 4000 family

e.       Cisco Access Server family

f.       Cistron PortSlave

g.      Computone PowerRack

h.      Cyclades PathRAS

i.        Livingston PortMaster

j.        Multitech CommPlete Server

k.      Patton 2800 family

FreeRADIUS dapat berjalan di berbagaisistem operasi, misalnya Linux, FreeBSD, OpenBSD, OSF.Untuk lebih detailnya, berikut adalah alat dan bahan yang diperlukan dalam membangun Wifi Kampus dengan RADIUS, yaitu :

a.    NOS Server (SUSE Linux 9. )

b.    Radius Server (Opensource:FreeRADIUS)

c.    Router Multihoming

d.    Access Point

e.    Gateway Router NAS

f.     Client (Desktop PC/Labtop,NOS:Wind/Linux)

g.    Hub Switch

h.    ISP (Penyedia Jaringan Internet)

a

 B. Uji Coba

Untuk melengkapi tulisan ini, dilakukan suatu percobaan instalasi free RADIUS server pada satu buah komputer, sistem operasi yang digunakan adalah SUSE Linux 9.0 dengan versi kernel 2.4.21. SUSE Linux 9.0 ternyata sudah mempunyai paket RADIUS server yang terdiri dari:

a.    Big Sister Paket ini merupakan Big Sister plug-in untuk pemonitoran sebuah RADIUS server.

b.    FreeRADIUS Paket ini merupakan RADIUS server.

c.    freeradius-devel Paket ini berisi file-file untuk pengembangan FreeRADIUS

d.     pam_radius Pam_radius adalah suatu modul PAM yang digunakan untuk autentikasi pengguna pada RADIUS server.

e.     Radiusclient RADIUS client memberikan beberapa program untuk proses autentikasi melalui RADIUS server.

f.      radiusd-livingston Radiusd-livingston adalah RADIUS server dari Lucent Technologies

FreeRADIUS merupakan salah satu paket program yang terdapat di SUSE Linux 9.0, maka proses instalasinya relatif lebih mudah. Karena paket freeRADIUS bukan termasuk paket default yang otomatis terinstal apabila kita menginstal SUSE Linux 9.0, maka instalasinya harus dilakukan secara manual.

Langkah-langkah proses instalasi paket freeRADIUS yang terdapat pada SUSE Linux 9.0 adalah sebagai berikut:

a.       Kita dapat menggunakan program YaST. Ada dua cara untuk menjalankan program YaST, cara pertama : Start Menu _ System _ YaST, apabila kita login sebagai pengguna biasa (bukan super user), maka akan muncul window yang meminta password root. Sedangkan cara yang kedua adalah melalui konsole dan harus login sebagai root, kemudian ketik yast. Apabila window YaST Control Center sudah muncul, pada menu sebelah kiri pilih Software, kemudian pilih Install and Remove Software. Agar tidak terlalu binggung, kita dapat menggunakan fasilitas search untuk mencari paket RADIUS, pada menu filter pilih search, ketik radius pada kolom isian, tekan enter, maka akan muncul paket-paket RADIUS seperti yang telah disebutkan diatas.

b.      Pilih paket yang ingin kita instal.

c.       Tekan tombol accept apabila sudah selesai memilih paket yang akan diinstal.

 

Untuk lebih memperjelas proses instalasi freeRADIUS di SUSE Linux 9.0 diatas, lihat

Apabila kita telah memilih freeRADIUS sebagai RADIUS server, maka kita tidak boleh memilih radiusd-livingston sebagai RADIUS server dan begitu juga sebaliknya. Apabila kita memilih free RADIUS dan radiusd-livingston bersama-sama, maka pada saat kita menekan tombol accept akan keluar window yang berisi peringatan bahwa ada konflik. Untuk menghindari konflik tersebut, maka kita harus memilih salah satu dari freeRADIUS dan radiusd-livingston yang akan digunakan sebagai RADIUS server.

5.        SARAN DAN KESIMPULAN

A.   Kesimpulan

   a.    Server radius dapat digunakan untukautentikasi user di jaringan WiFi Kampus secara terpusat. 
   b.    Jika User tidak berhasil melakukan authentikasi ke server RADIUS, makauser tidak bisa memanfaatkan fasilitas jaringan kampus sekalipun hanya untukintranet. 
   c.    Server RADIUS WiFi kampus yang digunakan mendukung multiuser dan multiroaming, sehingga user bisa pindahpindah ke Acces Point lainnya tanpa registrasi ulang.

B.   Saran

a
        a.    Untuk dapat mendeteksi posisi user, setiap NAS (Access Point, Router Gateway) dapat disetting menggunakan NAT (Network Address Translation). Dengan NAT, setiap user yang mencoba konek jaringan, maka server RADIUS akan mengenali MAC dan IP Address dari NAS yang gunakan oleh user (mengikuti konsep NAT). Dengan memetakan alamat NAS yang ada, maka dapat diketahui posisi seorang user pada saat itu.
    
      Sumber : 
       Jurnal SimanteC
Vol 1, No 3 Desember 2010
      Agus Prihanto
Jurusan Teknik Elektro – Universitas Negeri Surabaya
email : cogierB201@yahoo.com