Está en la página 1de 8

Volume 6 No.

1 Tahun 2007

STUDI PROTOKOL AUTENTIKASI PADA LAYANAN


INTERNET SERVICE PROVIDER (ISP)

Teuku Yuliar Arif, Syahrial, dan Zulkiram

Jurusan Teknik Elektro - Fakultas Teknik


Universitas Syiah Kuala

layanan akses Internet dituntut agar mampu


ABSTRAK menyediakan sistem keamanan yang baik.
Autentikasi merupakan salah satu sistem keamanan
Autentikasi merupakan proses pengesahan identitas saat pengguna mengakses jaringan. Saat ini terdapat
pelanggan yang diawali dengan pengiriman kode unik beberapa protokol autentikasi yang dapat digunakan oleh
berupa username dan password yang bertujuan untuk ISP untuk meningkatkan keamanan jaringannya seperti,
memastikan bahwa user yang meminta service adalah RADIUS, Kerberos, TACACS, DIAMETER.
user yang sah. Proses ini merupakan salah satu aspek Banyaknya jumlah pengguna Internet yang dilayani oleh
yang sangat penting dalam sistem keamanan jaringan. sebuah ISP, pertumbuhan jumlah pengguna baru dan
Jika tidak aman, jaringan tersebut bisa saja disadap oleh penghapusan pelanggan yang sudah tidak berlangganan
pihak yang tidak berwenang. Saat ini banyak protokol lagi mengakibatkan dibutuhkannya sebuah sistem
autentikasi yang dikembangkan seperti, RADIUS, autentikasi yang handal yang mampu memberikan
Kerberos, TACACS dan DIAMETER yang mampu tingkat keamanan yang tinggi.
melindungi jaringan terhadap eavesdroppers dan Tulisan ini akan membahas tentang protokol-
attacker. Tulisan ini akan membahas bagaimana protokol autentikasi dan mengetahui sistem autentikasi
protokol-protokol tersebut melakukan autentikasi serta yang tepat untuk digunakan pada sebuah ISP. Studi
membandingkan antara protokol RADIUS, Kerberos, autentikasi ini juga bertujuan menjelaskan cara kerja
TACACS dan DIAMETER sehingga diketahui protokol sistem autentikasi protokol RADIUS, Kerberos,
autentikasi yang tepat untuk digunakan pada layanan TACACS dan DIAMETER, memaparkan dan
Internet Service Provider (ISP). Dari hasil perbandingan membandingkan kelebihan dan kelemahan masing-
didapatkan bahwa protokol RADIUS dan TACACS masing protokol tersebut.
tidak sesuai digunakan pada layanan ISP, karena data
hilang pada saat digunakan pada skala yang besar hal ini
disebabkan RADIUS dan TACACS menggunakan 2. PROTOKOL-PROTOKOL AUTENTIKASI
sistem password base authentication. Kerberos
merupakan perbaikan dari sistem konvensional yang 2.1. Protokol AAA
memiliki tingkat keamanannya yang tinggi karena Protokol AAA (Authentication, Authorization,
menggunakan crypto base authentication. Sedangkan Accounting) mengatur mekanisme bagaimana tata cara
DIAMETER merupakan protokol perbaikan dari berkomunikasi, baik antara client ke domain-domain
RADIUS yang mencakup sistem transportasi data, jaringan maupun antar client dengan domain yang
pengiriman pesan dan penanganan kesalahan pada berbeda dengan tetap menjaga keamanan pertukaran data
sistem jaringan yang luas. [3].

Kata Kunci: Autentikasi, RADIUS, Kerberos, TACACS,


Autentikasi
DIAMETER.
Autentikasi (Authentication) yaitu proses
pengesahan identitas pengguna (end user) untuk
mengakses jaringan. Proses ini diawali dengan
1. PENDAHULUAN pengiriman kode unik misalnya, username, password,
pin, sidik jari) oleh pengguna kepada server. Di sisi
Pertumbuhan penggunaan Internet saat ini
server, sistem akan menerima kode unik tersebut,
mengalami peningkatan cukup pesat, secara kuantitas
selanjutnya membandingkan dengan kode unik yang
maupun kualitas. Secara kuantitas dapat dilihat dari
disimpan dalam database server. Jika hasilnya sama,
pertumbuhan jaringan dan pengguna Internet. Sedangkan
maka server akan mengirimkan hak akses kepada
secara kualitas terlihat pada perkembangan teknologi
pengguna. Namun jika hasilnya tidak sama, maka server
dan pertambahan jenis-jenis aplikasi Internet baru yang
akan mengirimkan pesan kegagalan dan menolak hak
dipicu oleh tuntutan kebutuhan pengguna. Adanya
akses pengguna [3].
pertumbuhan tersebut telah membawa kepada tuntutan
kebutuhan sistem keamanan (secuity) yang tinggi.
Internet Service Provider (ISP) selaku operator penyedia

Jurnal Rekayasa Elektrika 21


Volume 6 No.1 Tahun 2007

Autorisasi 2.2.1. Format Paket Data RADIUS


Autorisasi (Authorization) merupakan proses
Format paket RADIUS terdiri dari Code, Identifier,
pengecekan wewenang pengguna, mana saja hak-hak
Length, Authenticator dan Attributes seperti ditunjukkan
akses yang diperbolehkan dan mana saja yang tidak.
pada Gambar 3.
Pencatatan
0 8 16 32
Pencatatan (Accounting) merupakan proses 1 byte 1 byte 2 byte
pengumpulan data informasi seputar berapa lama user
Code Identifier Length
melakukan koneksi dan billing time yang telah dilalui
selama pemakaian. Authenticator
Attributes...

2.1.1. Arsitektur Jaringan AAA


Gambar 3. Format paket data RADIUS

• Code
Code memiliki panjang 1 byte (8 bit), digunakan
untuk membedakan tipe pesan RADIUS yang dikirim.
Tipe pesan RADIUS dapat berupa access request,
access accept, access reject dan access challenge.
• Identifier
Memilik panjang 1 byte yang digunakan untuk
menyesuaikan antara paket permintaan dan respon dari
server RADIUS.
• Length
Memiliki panjang 2 byte, memberikan informasi
mengenai panjang paket. Jika paket kurang atau lebih
dari yang diidentifikasikan pada length maka paket
akan dibuang.
• Authenticator
Gambar 2. Arsitektur Jaringan AAA Memiliki panjang 16 byte yang digunakan untuk
mengautentikasi tanggapan dari server RADIUS.
Pada Gambar 2 menunjukkan mekanisme jaringan • Attributes
AAA [4]. Memiliki panjang yang tidak tetap, berisi autentikasi,
• User melakukan koneksi keperalatan NAS point to autorisasi dan informasi. Contoh atribut RADIUS
point sebagai langkah awal koneksi ke jaringan. yaitu, username dan password.
• Network Access Server (NAS) sebagai client AAA
kemudian melakukan pengumpulan informasi 2.2.2. Prinsip Kerja RADIUS
pengguna dan melanjutkan data pengguna ke server. RADIUS merupakan protokol security yang bekerja
• Server AAA menerima dan memproses data menggunakan sistem client-server terdistribusi yang
pengguna, kemudian memberikan balasan ke NAS banyak digunakan bersama AAA untuk mengamankan
berupa pesan penerima atau penolakan pendaftaran jaringan pengguna yang tidak berhak.
dari pengguna.
• NAS sebagai client AAA kemudian menyampaikan
pesan server AAA tersebut kepada pengguna,
bahwa pendaftaran ditolak atau diterima beserta
layanan yang diperkenankan untuk akses.

2.2. RADIUS

Remote Access Dial In User Service (RADIUS)


dikembangkan dipertengahan tahun 1990 oleh
Livingstone Enterprise (sekarang Lucent Technologies). Gambar 4. Proses user meminta layanan koneksi
Pada awalnya perkembangan RADIUS
menggunakan port 1645 yang ternyata bentrok dengan RADIUS melakukan autentikasi user melalui
layanan datametrics. Sekarang port yang dipakai serangkain komunikasi antara client dan server. Bila
RADIUS adalah port 1812 yang format standarnya user telah berhasil melakukan autentikasi, maka user
ditetapakan pada Request for Command (RFC) 2138 [5]. tersebut dapat menggunakan layanan yang disediakan
oleh jaringan [6].

Jurnal Rekayasa Elektrika


22
Volume 6 No.1 Tahun 2007

Beberapa kelebihan yang diberikan oleh protokol memberikan bukti bahwa A yang hendak berkomunikasi
RADIUS yaitu : adalah benar-benar A (bukan pihak lain) [9].
− Menjalankan sistem administrasi terpusat.
− Protokol connectionless berbasis UDP yang tidak
menggunakan koneksi langsung.
− Mendukung autentikasi Password Authentication
Protocol (PAP) dan Challenge Handshake
Authentication Protocol (CHAP) Password melalui
PPP.
Pada protokol RADIUS masih ditemukan beberapa Gambar 6. Trusted Third Party pada Kerberos
kelemahan seperti :
− Tidak adanya autentikasi dan verifikasi terhadap
access request.
− Tidak sesuai digunakan pada jaringan dengan skala
yang besar.

2.3. Kerberos
Kerberos merupakan protokol yang menekankan
kepada layanan autentikasi yang dikembangkan oleh
Massachusetss Institute of Technology (MIT) dalam
proyek ATHENA. Protokol yang berlambangkan tiga
kepala anjing yang menjaga pintu neraka ini melindungi Gambar 7. Autentikasi protokol Kerberos
pesan pendaftaran yang dikirimkan melalui jaringan
dengan sistem enkripsi [7]. Cara kerja Kerberos melakukan autentikasi dapat
dibagi menjadi empat tahap seperti diperlihatkan pada
2.3.1. Format Paket Data Kerberos Gambar 7 yaitu [9] :
Format paket RADIUS terdiri dari CAVP Header, • Authentication Exchange
Digest, Length, Ptextlen dan Encrypted Data seperti Pihak yang terlibat adalah client dan Kerberos
ditunjukkan pada Gambar 5. Authentication Server (AS). Untuk login kejaringan,
program disisi client (dikenal kinit) akan meminta
user untuk memasukkan username dan password.
• TGS Exchange
Ticket Granting Server (TGS) exchange yaitu, data
dari AS dienkripsi dengan menggunakan Client Key
(Kc). Jika password yang dimasukkan sesuai
dengan username, maka client akan mampu
Gambar 5. Format paket data Kerberos mendekrip data dengan benar.
• Client-Server Exchange
• Digest Pada tahap ini client-server yang bersangkutan
Pesan ini berisi integritas yang melindungi pesan AVP melakukan autentikasi. Autentikasi ini dapat
yang digunakan untuk pengesahan timbal balik dan berlangsung dua arah (mutual Authentication).
pertukaran kunci.
• Secure Communication
• Ptextlen (Plaintext Data Length) Pada tahap ini client dan Target Server (TS) telah
Merupakan pesan yang berisi teks dari panjang diyakinkan akan kebenaran identitas masing-masing.
username dan password.
• Encrypted Data Beberapa kelebihan Protokol Kerberos yaitu :
Pesan yang berisi enkripsi data AVP [8]. • Memiliki tingkat keamanannya yang tinggi.
• Username dan password tidak dikirimkan melintasi
2.3.2. Prinsip Kerja Kerberos
jaringan.
Kerberos bekerja berdasarkan model pendistribusian
• Merupakan perbaikan dari sistem konvensional
kunci yang dikembangkan oleh Needham Schoeder yang
yang rentan terhadap eavesdropping.
digunakan untuk mengenkrip dan mendekrip data yang
akan melintasi jaringan. Jenis kriptografi yang
Kelemahan Protokol Kerberos :
digunakan adalah symmetric key dan asymmetric key.
Kerberos menggunakan prinsip trusted third party. • Jika server Kerberos down maka tidak ada yang
Artinya, baik client maupun server yang meminta dapat mengakses sumber daya jaringan.
autentikasi satu sama lain memepercayai apa yang • Rawan terhadap Denial of Service (DoS).
dikatakan oleh Kerberos. Hal ini di perlihatkan pada • Keterbatasan skalabilitas akibat server Kerberos
gambar, dimana A dan B merupakan pihak yang hendak harus selalu bekerja setiap kali request akses ke
berkomunikasi. Autentikasi dilakukan melalui S yang sumber daya karingan muncul.
2.4. TACACS

Jurnal Rekayasa Elektrika 23


Volume 6 No.1 Tahun 2007

Terminal Access Controller Access Control System Client melakukan dial in menggunakan modem pada
(TACACS) adalah suatu spesifikasi standar protokol NAS dan kemudian NAS akan meminta user
industri, dalam pengiriman informasi username dan memasukkan nama dan password jika koneksi modem
password ke server pusat. TACACS ditetapkan pada berhasil dibangun. Bila user telah behasil melakukan
RFC 1492 yang pengembangannya diprakarsai oleh autentikasi, maka user tersebut dapat menggunakan
Cisco [10]. layanan yang disediakan.

2.4.1. Format Paket Data TACACS Protokol TACACS mempunyai kelebihan antara lain :
Format paket request TACACS seperti ditunjukkan • Lebih mudah diterapkan, karena menggunakan Use
pada Gambar 8. Datagram Protokol (UDP) sebagai protokol
0 8 16 32 transport.
1 byte 1 byte 2 byte • Menjalankan sistem administrasi terpusat.
Version Type Nonce
Username Lenght Password Length Data ... Kelemahan Protokol TACACS :
• Tidak membuat ketetapan untuk keamanan host.
Gambar 8. Struktur format request TACACS
• Proses autentikasi, autorisasi dan pencatatan
Struktur paket data request pada TACACS terdiri dilakukan secara terpisah.
dari :
• Version
2.5. DIAMETER
Memiliki panjang 1 byte, menetapkan jumlah versi.
• Type
DIAMETER pertama kali dirancang oleh Pat
Panjang 1 byte untuk penyandian tipe permintaan.
Calhoun tahun 1996. Protokol ini menyediakan
• Nonce mekanisme dasar untuk transport, pengiriman pesan dan
Panjang 2 byte sebagai nilai yang tidak tetap. penanganan error yang handal. Protokol DIAMETER
• Username Length diajukan oleh IETF sebagai sebuah standar autentikasi
Memiliki panjang 1 byte untuk panjangnya username. pada juni 2003 yang ditetapkan pada RFC 3588 [3].
• Password Length
Memiliki panjang 1 byte, untuk panjangnya password. 2.5.1. Format Paket Data DIAMETER
• Data Format paket DIAMETER seperti ditunjukkan pada
Data hanya berisi teks dari username dan password. Gambar 11.
0 8 16 32
1 byte 1 byte 2 byte
Version Type Nonce
Response Reason Data ...

Gambar 9. Struktur format reply TACACS


Format paket reply TACACS seperti ditunjukkan
pada Gambar 9 yang terdiri dari :
• Version
• Type Gambar 11. Format header AVP DIAMETER
• Nonce
• Response Struktur paket DIAMETER terdiri dari [11]:
Memilki panjang 1 byte, server mengatur nilai salah ƒ Version
satu dari : diterima (1) dan ditolak (2) Mempunyai panjang 1 byte, untuk menandakan
• Reason adanya versi DIAMETER.
Reason memiliki panjang 1 byte untuk permintaan ƒ Message Length
logout dan slip off. Panjang 3 byte yang menandakan panjang pesan.
ƒ Command Flag
2.4.2. Prinsip Kerja Kerberos Memilki panjang 1 byte / 8 bit. Bit-bit yang diikuti
Dalam protokol TACACS, proses autentikasi, adalah :
autorisasi dan pencatatan dilakukan secara terpisah. - R (equest)
Pesan ini merupakan suatu pesan permintaan.
- P (roxiable)
Merupakan pesan pengalihan.
- E (rror)
Merupakan pesan pemberitahuan kesalahan.
- T (potentially retransmitted message)
Gambar 10. Proses user meminta layanan koneksi Pesan ini membantu perpindahan salinan
permintaan .

Jurnal Rekayasa Elektrika


24
Volume 6 No.1 Tahun 2007

- r (eserved) dan server. Pada bagian berikut ini akan dijabarkan


Disediakan untuk penggunaan selanjutnya. perbandingan antara protokol-protokol tersebut.
ƒ Command Code
Memiliki panjang 3 byte, digunakan untuk
3.1. RADIUS
komunikasi pesan perintah.
Protokol RADIUS merupakan protokol
ƒ Application ID
connectionless berbasis UDP yang tidak menggunakan
Memiliki panjang 4 byte digunakan untuk
koneksi langsung. Satu paket RADIUS ditandai dengan
mengidentifikasi aplikasi pesan.
field UDP yang menggunakan port 1812. Beberapa
ƒ Hop by Hop Identifier
pertimbangan RADIUS menggunakan lapisan transport
Memiliki panjang 3 byte, digunakan untuk
UDP yaitu:
membedakan permintaan dan jawaban. Apabila ada
1. Jika permintaan autentikasi pertama gagal, maka
pesan diterima oleh Hop By Hop Identifier tetapi
permintaan kedua harus dipertimbangkan.
tidak sesuai dengan data yang ada, maka pesan
2. Bersifat stateless yang menyederhanakan protokol
tersebut dibuang.
pada penggunaan UDP.
ƒ End to End Identifier
3. UDP menyederhanakan implementasi dari sisi
Memiliki panjang 3 byte digunakan untuk
server.
mendeteksi permintaan pesan yang disalin.
ƒ AVP
Mekanisme Akses RADIUS
AVP adalah suatu metode enkapsulasi informasi
Lalu lintas pesan pada RADIUS menggunakan
relevan kepada pesan DIAMETER dengan
metode permintaan dan tanggapan (client/server) yang
membawa authentication, authorization dan
dapat dilihat pada gambar di bawah [13].
accounting, routing dan informasi keamanan. AVP
memiliki panjang 32 bit.

2.5.2. Prinsip Kerja DIAMETER

Gambar 14. Traffic pesan client NAS dengan server


RADIUS

Gambar 13 Proses user meminta layanan koneksi ƒ User melakukan dial-in pada NAS. NAS akan
meminta user memasukkan nama dan password jika
Dari gambar di atas dijelaskan bahwa client koneksi tersebut berhasil dibangun.
melakukan dial in menggunakan modem pada NAS dan ƒ NAS akan membangun paket data berupa informasi,
kemudian NAS akan meminta user memasukkan yang dinamakan access request. Informasi diberikan
password jika koneksi modem berhasil dibangun. Bila oleh NAS pada server RADIUS berisi informasi
user telah berhasil melakukan autentikasi, maka user spesifik dari NAS itu sendiri yang meminta access
dapat menggunakan layanan yang disediakan [12]. request, port yang digunakan untuk koneksi modem
serta nama dan password. Untuk proteksi dari
Kelebihan Protokol TACACS : hackers, NAS yang bertindak sebagai RADIUS
• Relatif mudah diimplementasikan. client, melakukan enkripsi password sebelum
• Mendukung penanganan sejumlah request yang dikirimkan pada RADIUS server. Access request ini
datang bersamaan. dikirimkan pada jaringan dari RADIUS client ke
• Pendefenisian kegagalan secara baik dan cepat. RADIUS server. Jika RADIUS server tidak dapat
• Tidak ada penolakan pesan inaktif (silent message) dijangkau, RADIUS client dapat melakukan
pemindahan rute pada server alternatif jika
Protokol TACACS juga memiliki kelemahan yaitu didefenisikan pada konfigurasi NAS.
masing-masing user harus terautentikasi setiap ƒ Ketika access request diterima, server autentikasi
dibentuknya session. akan memvalidasi permintaan tersebut dan
melakukan dekripsi paket data untuk memperoleh
informasi nama dan password. Jika nama dan
3. PERBANDINGAN PROTOKOL AUTENTIKASI password sesuai dengan basis data pada server,
server akan mengirimkan access accept yang berisi
Seperti yang telah dijabarkan pada bagian informasi kebutuhan sistem network yang harus
sebelumnya, protokol RADIUS, Kerberos, TACACS disediakan oleh user. Selain itu access accept ini
dan DIAMETER merupakan protokol autentikasi yang dapat berisi informasi untuk membatasi akses user
menyediakan sistem keamanan koneksi antara pengguna pada jaringan. Jika proses login tidak menemui
kesesuaian, maka RADIUS server akan mengirimkan

Jurnal Rekayasa Elektrika 25


Volume 6 No.1 Tahun 2007

access reject pada NAS dan user tidak dapat


mengakses jaringan.
ƒ Untuk menjamin permintaan user benar-benar
diberikan pada pihak yang benar, RADIUS server
mengirimkan authentication key atau signature yang
menandakan keberadaannya pada RADIUS client.

3.2 Kerberos
Pada protokol Kerberos menggunakan protokol
transport UDP dan TCP untuk melakukan proses
komunikasi antar client dan server. Server Kerberos Gambar 17. Pertukaran kunci Kerberos tahap III
mendukung permintaan IP transport UDP dan TCP
dengan menggunakan port 88. Client menggunakan Key • Client mengirimkan digitally signed dan encrypted
Distribution Center (KDC) dengan menandakan IP request ke server Kerberos.
Adderss dan port pesan yang akan dikirim. • Server Kerberos mendekripsi request menggunakan
private key dan mengautentikasi pengirim request
Mekanisme Akses Kerberos dengan cara memverifikasi digital signature
Lalu lintas pesan pada Kerberos menggunakan pengirim menggunakan public key pengirim request.
metode permintaan dan tanggapan (client-server) dengan
menggunakan proses pertukaran kunci secara bertahap
yang dapat dilihat pada gambar [14].

Gambar 18. Pertukaran kunci Kerberos tahap IV

• Jika server Kerberos telah menerima request dan


mengautentikasi identitas pengirim request, maka
Gambar 15. Pertukaran kunci Kerberos tahap I
server memverifikasi bahwa client memiliki
autorisasi untuk mengakses sumber daya jaringan
• Client mengirimkan permintaan (request) digital
yang diminta.
signature, oleh client menggunakan private key client
• Jika Kerberos telah menentukan bahwa client
(digitally signed client request) untuk melakukan
memiliki autoritas untuk mengakses server, maka
pengiriman ke server Kerberos.
Kerberos akan mengirimkan session ticket yang sama
• Pada gambar di atas, request diajukan untuk
baik kepada client maupun ke server.
mengakses sebuah server.
• Untuk mengirimkan session ticket kepada client,
Kerberos mengenkripsinya menggunakan public key
dari client. Dan untuk mengirimkan session ticket ke
server, Kerberos menggunakan public key dari server.
• Ketika menerima encrypted session ticket, baik client
maupun server akan mendekripsi menggunakan
private keys masing-masing.

Gambar 16. Pertukaran kunci Kerberos tahap II


Gambar 19. Pertukaran kunci Kerberos tahap V
Pada tahap ini client Kerberos mengenkripsi
digitally signed request menggunakan public key dari
• Client kemudian mengirimkan salinan dari ticket nya
server Kerberos.
ke server.
• Sebelum mengirimkan ticket, client mengenkripsi
ticket menggunakan public key server.

Jurnal Rekayasa Elektrika


26
Volume 6 No.1 Tahun 2007

SCTP transport yang beroperasi pada DIAMETER


menyediakan suatu transport yang dapat dipercaya
karena masing-masing node didalam jaringan proxy
bertanggung jawab untuk transmisi kembali dari pesan
yang tidak diakui.

Mekanisme Akses
Lalu lintas pesan pada DIAMETER menggunakan
metode peer to peer. Gambar dibawah merupakan proses
Gambar 20. Pertukaran kunci Kerberos tahap VI autentikasi pada protokol DIAMETER [16].

• Server kemudian membandingkan ticket yang


diterima dari client dengan ticket yang berasal dari
Kerberos .
• Setelah koneksi terbentuk, sistem dapat
mengenkripsi komunikasi menggunakan session key
atau public key dari client atau tidak menggunakan
enkripsi sama sekali.

3.3. TACACS
Gambar 22 Aliran pesan DIAMETER
TACACS menggunakan UDP sebagai protokol
ƒ User melakukan dial in ke NAS dengan
transport melalui port 49.
memasukkan nama dan password dan memberikan
suatu permintaan pada server DIAMETER (tahap
Mekanisme Akses
autentikasi).
Mekanisme akses pada protokol TACACS adalah
ƒ Jika kombinasi nama dan password diterima dan,
sebagai berikut :
kemudian server DIAMETER mengirimkan suatu
tanggapan.
ƒ NAS mengirimkan suatu pesan accounting kepada
server AAA.
ƒ Kemudian server AAA menjawab dengan suatu
jawaban dengan mengakui adanya permintaan
accounting.
ƒ Ketika user ingin mengakhiri koneksi, kemudian
NAS mengirimkan suatu pesan accounting kepada
server AAA.
ƒ Server AAA menjawab dengan suatu jawaban
dengan mengakui bahwa adanya permintaan
accounting.
Gambar 21. Aliran pesan TACACS

1. User melakukan dial in ke NAS dengan


5. KESIMPULAN
memasukkan nama dan password yang kemudian
NAS mengirimkan suatu pesan ‘Login’ kepada Dari pembahasan di atas maka dapat diambil
server TACACS (tahap autentikasi) [15]. kesimpulan sebagai berikut :
2. Jika kombinasi nama dan password diterima dan
kemudian server TACACS mengirimkan suatu 1. Sistem autentikasi pada protokol RADIUS
tanggapan. merupakan protokol connectionless yang
3. Kemudian NAS mengirimkan pesan ‘Logout’ menggunakan Use Datagram Protocol (UDP) port
meminta untuk mengijinkan server TACACS untuk 1812 sebagai protokol transport yang ditetapkan
memasuki SLIP mode. pada RFC 2138.
4. Server TACACS menjawab dengan suatu jawaban 2. Pada Kerberos menggunakan protokol transport
dengan mengakui bahwa adanya permintaan keluar. UDP dan TCP port 88 yang ditetapkan pada RFC
4120 yang menggunakan metode AVP sebagai
format pesan dan mekanisme aksesnya
3.4. DIAMETER
Protokol DIAMETER menggunakan lapisan menggunakan metode client-server.
transport TCP dan SCTP melalui port 3868. Protokol 3. Protokol TACACS menggunakan metode client-
DIAMETER memulai koneksi dari suatu sumber port server dengan protokol transport UDP port 49 yang
dengan sebuah perintah jika koneksi diterima. ditetapkan pada RFC 1492.

Jurnal Rekayasa Elektrika 27


Volume 6 No.1 Tahun 2007

4. Protokol DIAMETER menyediakan mekanisme [8] Narayan, “DIAMETER Strong Security Extension
dasar untuk transport, pengiriman pesan dan using Kerberos”, Experimental, [Online]. Available:
penanganan error yang handal. Protokol http://www.ietf.org/draft-kaushik-diameter-
DIAMETER mengacu pada RFC 3588 yang strong-sec-00-txt, 2001.
menggunakan TCP port 3868 sebagai protokol [9] I. Cristian, “Sistem Otentikasi Keberos Pada
transport. Jaringan Komputer ITB, [Online].Available:
5. Dari hasil perbandingan didapatkan bahwa protokol
RADIUS dan TACACS tidak sesuai digunakan pada
http://www/budi.insan.co.id/courses/ec501
layanan ISP, karena penurunan kinerja dan 0/projects/ ivan-christian-report.pdf, 2004.
kemungkinan data hilang saat digunakan pada [10] C. Finseth, “An Access Control Protocol, Sometime
sistem dengan skala yang besar karena Called TACACS”, RFC 1492, [Online]. Available:
menggunakan sistem password based authentication. http://www.ietf.org/rfc/rfc1492.txt,1993.
Sedangkan pada Kerberos dan DIAMETER sesuai [11] P. Calhoun, G. Zorn, H. Akhtar, “Diameter Base
digunakan pada layanan ISP. Kerberos merupakan Protocol”, AAA Working Group, Information,
perbaikan dari sistem konvensional yang memiliki [Online]. Available:
tingkat keamanan yang tinggi karena menggunakan http://www.ietf.org/rfc/rfc3588, 2001.
crypto based authentication untuk mengenkrip dan [12] F. Alfano, P. Mccann, H. Tschofenig, T. Tsenov,
mendekrip data yang akan dikirim. Sedangkan “Diameter Quality of Service Application”, [Online].
DIAMETER merupakan protokol perbaikan dari Available:
beberapa kekurangan yang ada pada protokol http://tools.ietf.org/wg/aaa/draft-alfano-
RADIUS yang mendukung aplikasi-aplikasi baru.
DIAMETER menggunakan Cryptographic Message
aaa-qosprot-04.txt, 2006.
Syntax (CMS) security yang menangani fitur-fitur [13] Anonymoues, “How Does RADIUS Work”,
keamanan. [Online], Available:
http://www.cisco.com/,2004
4. REFERENSI [14] T. Juhana, “Kerberos Key Exchange”, Bahan
Presentasi, [Online]. Available:
[1] B. Rahardjo, “Keamanan Sistem Informasi Berbasis
http://telecom.ee.itb.ac.id/~tutun/ET7053/4.
Internet”, PT Insan Infonesia - Bandung & PT
INDOCISC - Jakarta, [Online]. Available: ppt,
[15] Anonymoues, “The Internet Next generation
http://www.cert.or.id/~budi/books/handboo Project”, TACACS, [Online]. Available:
k.pdf ,2005 http://www.ing.ctit.utwente.nl/WU5/D5.1/Te
[2] Anonymoues, “Protokol TCP/IP Part 1” Prasimax
Technology Development Center, [Online]. chnology/tacacs/, 1999.
[16] Anonymoues, “The Internet Next generation
Available: http://www.prasimax.com,2004
Project”, DIAMETER, [Online].Available:
[3] Warsito, “Sistem Kemanan Jaringan Multi Domain
Menggunakan Protokol DIAMETER”, Laporan http://www.ing.ctit.utwente.nl/WU5/D5.1/Te
Akhir EC7010 Institut Teknologi Bandung, chnology/ diameter/, 1999.
[Online].Available:
http://budi.insan.co.id/courses/ec7010/dikm
enjur-2004/ warsito-report.pdf, 2004
[4] H. Ventura, “DIAMETER Next Generation’s AAA
Protocol”, Master Thesis in Information Theory,
Linköpings University [Online]. Available:
http://www.diva-
portal.org/liu/abstract.xsql?dbid=1195 , 2002.
[5] C. Rigney, S. Willens, A. Rubens, W. Simpson,
“Remote Authentication Dial In User Service
(RADIUS)”, RFC 2138, [Online]. Available:
http://www.ietf.org/rfc/rfc2138.txt, 1997.
[6] A. Darmariyadi, “Analisa Protokol Autentikasi
Remote Access Dial-In User Service dan Aspek
Keamanannya”, [Online], Available:
http://www.budi.insan.co.id/courses/daftar-
topik-security.sxw, 2002.
[7] Tung, “The Moronn’s Guide To Kerberos, Version
2.0. [Online]. Available: http://www.
isi.edu/gost/brian/security/kerberos.html, 1996.

Jurnal Rekayasa Elektrika


28

También podría gustarte