Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 Tahun 2007
• Code
Code memiliki panjang 1 byte (8 bit), digunakan
untuk membedakan tipe pesan RADIUS yang dikirim.
Tipe pesan RADIUS dapat berupa access request,
access accept, access reject dan access challenge.
• Identifier
Memilik panjang 1 byte yang digunakan untuk
menyesuaikan antara paket permintaan dan respon dari
server RADIUS.
• Length
Memiliki panjang 2 byte, memberikan informasi
mengenai panjang paket. Jika paket kurang atau lebih
dari yang diidentifikasikan pada length maka paket
akan dibuang.
• Authenticator
Gambar 2. Arsitektur Jaringan AAA Memiliki panjang 16 byte yang digunakan untuk
mengautentikasi tanggapan dari server RADIUS.
Pada Gambar 2 menunjukkan mekanisme jaringan • Attributes
AAA [4]. Memiliki panjang yang tidak tetap, berisi autentikasi,
• User melakukan koneksi keperalatan NAS point to autorisasi dan informasi. Contoh atribut RADIUS
point sebagai langkah awal koneksi ke jaringan. yaitu, username dan password.
• Network Access Server (NAS) sebagai client AAA
kemudian melakukan pengumpulan informasi 2.2.2. Prinsip Kerja RADIUS
pengguna dan melanjutkan data pengguna ke server. RADIUS merupakan protokol security yang bekerja
• Server AAA menerima dan memproses data menggunakan sistem client-server terdistribusi yang
pengguna, kemudian memberikan balasan ke NAS banyak digunakan bersama AAA untuk mengamankan
berupa pesan penerima atau penolakan pendaftaran jaringan pengguna yang tidak berhak.
dari pengguna.
• NAS sebagai client AAA kemudian menyampaikan
pesan server AAA tersebut kepada pengguna,
bahwa pendaftaran ditolak atau diterima beserta
layanan yang diperkenankan untuk akses.
2.2. RADIUS
Beberapa kelebihan yang diberikan oleh protokol memberikan bukti bahwa A yang hendak berkomunikasi
RADIUS yaitu : adalah benar-benar A (bukan pihak lain) [9].
− Menjalankan sistem administrasi terpusat.
− Protokol connectionless berbasis UDP yang tidak
menggunakan koneksi langsung.
− Mendukung autentikasi Password Authentication
Protocol (PAP) dan Challenge Handshake
Authentication Protocol (CHAP) Password melalui
PPP.
Pada protokol RADIUS masih ditemukan beberapa Gambar 6. Trusted Third Party pada Kerberos
kelemahan seperti :
− Tidak adanya autentikasi dan verifikasi terhadap
access request.
− Tidak sesuai digunakan pada jaringan dengan skala
yang besar.
2.3. Kerberos
Kerberos merupakan protokol yang menekankan
kepada layanan autentikasi yang dikembangkan oleh
Massachusetss Institute of Technology (MIT) dalam
proyek ATHENA. Protokol yang berlambangkan tiga
kepala anjing yang menjaga pintu neraka ini melindungi Gambar 7. Autentikasi protokol Kerberos
pesan pendaftaran yang dikirimkan melalui jaringan
dengan sistem enkripsi [7]. Cara kerja Kerberos melakukan autentikasi dapat
dibagi menjadi empat tahap seperti diperlihatkan pada
2.3.1. Format Paket Data Kerberos Gambar 7 yaitu [9] :
Format paket RADIUS terdiri dari CAVP Header, • Authentication Exchange
Digest, Length, Ptextlen dan Encrypted Data seperti Pihak yang terlibat adalah client dan Kerberos
ditunjukkan pada Gambar 5. Authentication Server (AS). Untuk login kejaringan,
program disisi client (dikenal kinit) akan meminta
user untuk memasukkan username dan password.
• TGS Exchange
Ticket Granting Server (TGS) exchange yaitu, data
dari AS dienkripsi dengan menggunakan Client Key
(Kc). Jika password yang dimasukkan sesuai
dengan username, maka client akan mampu
Gambar 5. Format paket data Kerberos mendekrip data dengan benar.
• Client-Server Exchange
• Digest Pada tahap ini client-server yang bersangkutan
Pesan ini berisi integritas yang melindungi pesan AVP melakukan autentikasi. Autentikasi ini dapat
yang digunakan untuk pengesahan timbal balik dan berlangsung dua arah (mutual Authentication).
pertukaran kunci.
• Secure Communication
• Ptextlen (Plaintext Data Length) Pada tahap ini client dan Target Server (TS) telah
Merupakan pesan yang berisi teks dari panjang diyakinkan akan kebenaran identitas masing-masing.
username dan password.
• Encrypted Data Beberapa kelebihan Protokol Kerberos yaitu :
Pesan yang berisi enkripsi data AVP [8]. • Memiliki tingkat keamanannya yang tinggi.
• Username dan password tidak dikirimkan melintasi
2.3.2. Prinsip Kerja Kerberos
jaringan.
Kerberos bekerja berdasarkan model pendistribusian
• Merupakan perbaikan dari sistem konvensional
kunci yang dikembangkan oleh Needham Schoeder yang
yang rentan terhadap eavesdropping.
digunakan untuk mengenkrip dan mendekrip data yang
akan melintasi jaringan. Jenis kriptografi yang
Kelemahan Protokol Kerberos :
digunakan adalah symmetric key dan asymmetric key.
Kerberos menggunakan prinsip trusted third party. • Jika server Kerberos down maka tidak ada yang
Artinya, baik client maupun server yang meminta dapat mengakses sumber daya jaringan.
autentikasi satu sama lain memepercayai apa yang • Rawan terhadap Denial of Service (DoS).
dikatakan oleh Kerberos. Hal ini di perlihatkan pada • Keterbatasan skalabilitas akibat server Kerberos
gambar, dimana A dan B merupakan pihak yang hendak harus selalu bekerja setiap kali request akses ke
berkomunikasi. Autentikasi dilakukan melalui S yang sumber daya karingan muncul.
2.4. TACACS
Terminal Access Controller Access Control System Client melakukan dial in menggunakan modem pada
(TACACS) adalah suatu spesifikasi standar protokol NAS dan kemudian NAS akan meminta user
industri, dalam pengiriman informasi username dan memasukkan nama dan password jika koneksi modem
password ke server pusat. TACACS ditetapkan pada berhasil dibangun. Bila user telah behasil melakukan
RFC 1492 yang pengembangannya diprakarsai oleh autentikasi, maka user tersebut dapat menggunakan
Cisco [10]. layanan yang disediakan.
2.4.1. Format Paket Data TACACS Protokol TACACS mempunyai kelebihan antara lain :
Format paket request TACACS seperti ditunjukkan • Lebih mudah diterapkan, karena menggunakan Use
pada Gambar 8. Datagram Protokol (UDP) sebagai protokol
0 8 16 32 transport.
1 byte 1 byte 2 byte • Menjalankan sistem administrasi terpusat.
Version Type Nonce
Username Lenght Password Length Data ... Kelemahan Protokol TACACS :
• Tidak membuat ketetapan untuk keamanan host.
Gambar 8. Struktur format request TACACS
• Proses autentikasi, autorisasi dan pencatatan
Struktur paket data request pada TACACS terdiri dilakukan secara terpisah.
dari :
• Version
2.5. DIAMETER
Memiliki panjang 1 byte, menetapkan jumlah versi.
• Type
DIAMETER pertama kali dirancang oleh Pat
Panjang 1 byte untuk penyandian tipe permintaan.
Calhoun tahun 1996. Protokol ini menyediakan
• Nonce mekanisme dasar untuk transport, pengiriman pesan dan
Panjang 2 byte sebagai nilai yang tidak tetap. penanganan error yang handal. Protokol DIAMETER
• Username Length diajukan oleh IETF sebagai sebuah standar autentikasi
Memiliki panjang 1 byte untuk panjangnya username. pada juni 2003 yang ditetapkan pada RFC 3588 [3].
• Password Length
Memiliki panjang 1 byte, untuk panjangnya password. 2.5.1. Format Paket Data DIAMETER
• Data Format paket DIAMETER seperti ditunjukkan pada
Data hanya berisi teks dari username dan password. Gambar 11.
0 8 16 32
1 byte 1 byte 2 byte
Version Type Nonce
Response Reason Data ...
Gambar 13 Proses user meminta layanan koneksi User melakukan dial-in pada NAS. NAS akan
meminta user memasukkan nama dan password jika
Dari gambar di atas dijelaskan bahwa client koneksi tersebut berhasil dibangun.
melakukan dial in menggunakan modem pada NAS dan NAS akan membangun paket data berupa informasi,
kemudian NAS akan meminta user memasukkan yang dinamakan access request. Informasi diberikan
password jika koneksi modem berhasil dibangun. Bila oleh NAS pada server RADIUS berisi informasi
user telah berhasil melakukan autentikasi, maka user spesifik dari NAS itu sendiri yang meminta access
dapat menggunakan layanan yang disediakan [12]. request, port yang digunakan untuk koneksi modem
serta nama dan password. Untuk proteksi dari
Kelebihan Protokol TACACS : hackers, NAS yang bertindak sebagai RADIUS
• Relatif mudah diimplementasikan. client, melakukan enkripsi password sebelum
• Mendukung penanganan sejumlah request yang dikirimkan pada RADIUS server. Access request ini
datang bersamaan. dikirimkan pada jaringan dari RADIUS client ke
• Pendefenisian kegagalan secara baik dan cepat. RADIUS server. Jika RADIUS server tidak dapat
• Tidak ada penolakan pesan inaktif (silent message) dijangkau, RADIUS client dapat melakukan
pemindahan rute pada server alternatif jika
Protokol TACACS juga memiliki kelemahan yaitu didefenisikan pada konfigurasi NAS.
masing-masing user harus terautentikasi setiap Ketika access request diterima, server autentikasi
dibentuknya session. akan memvalidasi permintaan tersebut dan
melakukan dekripsi paket data untuk memperoleh
informasi nama dan password. Jika nama dan
3. PERBANDINGAN PROTOKOL AUTENTIKASI password sesuai dengan basis data pada server,
server akan mengirimkan access accept yang berisi
Seperti yang telah dijabarkan pada bagian informasi kebutuhan sistem network yang harus
sebelumnya, protokol RADIUS, Kerberos, TACACS disediakan oleh user. Selain itu access accept ini
dan DIAMETER merupakan protokol autentikasi yang dapat berisi informasi untuk membatasi akses user
menyediakan sistem keamanan koneksi antara pengguna pada jaringan. Jika proses login tidak menemui
kesesuaian, maka RADIUS server akan mengirimkan
3.2 Kerberos
Pada protokol Kerberos menggunakan protokol
transport UDP dan TCP untuk melakukan proses
komunikasi antar client dan server. Server Kerberos Gambar 17. Pertukaran kunci Kerberos tahap III
mendukung permintaan IP transport UDP dan TCP
dengan menggunakan port 88. Client menggunakan Key • Client mengirimkan digitally signed dan encrypted
Distribution Center (KDC) dengan menandakan IP request ke server Kerberos.
Adderss dan port pesan yang akan dikirim. • Server Kerberos mendekripsi request menggunakan
private key dan mengautentikasi pengirim request
Mekanisme Akses Kerberos dengan cara memverifikasi digital signature
Lalu lintas pesan pada Kerberos menggunakan pengirim menggunakan public key pengirim request.
metode permintaan dan tanggapan (client-server) dengan
menggunakan proses pertukaran kunci secara bertahap
yang dapat dilihat pada gambar [14].
Mekanisme Akses
Lalu lintas pesan pada DIAMETER menggunakan
metode peer to peer. Gambar dibawah merupakan proses
Gambar 20. Pertukaran kunci Kerberos tahap VI autentikasi pada protokol DIAMETER [16].
3.3. TACACS
Gambar 22 Aliran pesan DIAMETER
TACACS menggunakan UDP sebagai protokol
User melakukan dial in ke NAS dengan
transport melalui port 49.
memasukkan nama dan password dan memberikan
suatu permintaan pada server DIAMETER (tahap
Mekanisme Akses
autentikasi).
Mekanisme akses pada protokol TACACS adalah
Jika kombinasi nama dan password diterima dan,
sebagai berikut :
kemudian server DIAMETER mengirimkan suatu
tanggapan.
NAS mengirimkan suatu pesan accounting kepada
server AAA.
Kemudian server AAA menjawab dengan suatu
jawaban dengan mengakui adanya permintaan
accounting.
Ketika user ingin mengakhiri koneksi, kemudian
NAS mengirimkan suatu pesan accounting kepada
server AAA.
Server AAA menjawab dengan suatu jawaban
dengan mengakui bahwa adanya permintaan
accounting.
Gambar 21. Aliran pesan TACACS
4. Protokol DIAMETER menyediakan mekanisme [8] Narayan, “DIAMETER Strong Security Extension
dasar untuk transport, pengiriman pesan dan using Kerberos”, Experimental, [Online]. Available:
penanganan error yang handal. Protokol http://www.ietf.org/draft-kaushik-diameter-
DIAMETER mengacu pada RFC 3588 yang strong-sec-00-txt, 2001.
menggunakan TCP port 3868 sebagai protokol [9] I. Cristian, “Sistem Otentikasi Keberos Pada
transport. Jaringan Komputer ITB, [Online].Available:
5. Dari hasil perbandingan didapatkan bahwa protokol
RADIUS dan TACACS tidak sesuai digunakan pada
http://www/budi.insan.co.id/courses/ec501
layanan ISP, karena penurunan kinerja dan 0/projects/ ivan-christian-report.pdf, 2004.
kemungkinan data hilang saat digunakan pada [10] C. Finseth, “An Access Control Protocol, Sometime
sistem dengan skala yang besar karena Called TACACS”, RFC 1492, [Online]. Available:
menggunakan sistem password based authentication. http://www.ietf.org/rfc/rfc1492.txt,1993.
Sedangkan pada Kerberos dan DIAMETER sesuai [11] P. Calhoun, G. Zorn, H. Akhtar, “Diameter Base
digunakan pada layanan ISP. Kerberos merupakan Protocol”, AAA Working Group, Information,
perbaikan dari sistem konvensional yang memiliki [Online]. Available:
tingkat keamanan yang tinggi karena menggunakan http://www.ietf.org/rfc/rfc3588, 2001.
crypto based authentication untuk mengenkrip dan [12] F. Alfano, P. Mccann, H. Tschofenig, T. Tsenov,
mendekrip data yang akan dikirim. Sedangkan “Diameter Quality of Service Application”, [Online].
DIAMETER merupakan protokol perbaikan dari Available:
beberapa kekurangan yang ada pada protokol http://tools.ietf.org/wg/aaa/draft-alfano-
RADIUS yang mendukung aplikasi-aplikasi baru.
DIAMETER menggunakan Cryptographic Message
aaa-qosprot-04.txt, 2006.
Syntax (CMS) security yang menangani fitur-fitur [13] Anonymoues, “How Does RADIUS Work”,
keamanan. [Online], Available:
http://www.cisco.com/,2004
4. REFERENSI [14] T. Juhana, “Kerberos Key Exchange”, Bahan
Presentasi, [Online]. Available:
[1] B. Rahardjo, “Keamanan Sistem Informasi Berbasis
http://telecom.ee.itb.ac.id/~tutun/ET7053/4.
Internet”, PT Insan Infonesia - Bandung & PT
INDOCISC - Jakarta, [Online]. Available: ppt,
[15] Anonymoues, “The Internet Next generation
http://www.cert.or.id/~budi/books/handboo Project”, TACACS, [Online]. Available:
k.pdf ,2005 http://www.ing.ctit.utwente.nl/WU5/D5.1/Te
[2] Anonymoues, “Protokol TCP/IP Part 1” Prasimax
Technology Development Center, [Online]. chnology/tacacs/, 1999.
[16] Anonymoues, “The Internet Next generation
Available: http://www.prasimax.com,2004
Project”, DIAMETER, [Online].Available:
[3] Warsito, “Sistem Kemanan Jaringan Multi Domain
Menggunakan Protokol DIAMETER”, Laporan http://www.ing.ctit.utwente.nl/WU5/D5.1/Te
Akhir EC7010 Institut Teknologi Bandung, chnology/ diameter/, 1999.
[Online].Available:
http://budi.insan.co.id/courses/ec7010/dikm
enjur-2004/ warsito-report.pdf, 2004
[4] H. Ventura, “DIAMETER Next Generation’s AAA
Protocol”, Master Thesis in Information Theory,
Linköpings University [Online]. Available:
http://www.diva-
portal.org/liu/abstract.xsql?dbid=1195 , 2002.
[5] C. Rigney, S. Willens, A. Rubens, W. Simpson,
“Remote Authentication Dial In User Service
(RADIUS)”, RFC 2138, [Online]. Available:
http://www.ietf.org/rfc/rfc2138.txt, 1997.
[6] A. Darmariyadi, “Analisa Protokol Autentikasi
Remote Access Dial-In User Service dan Aspek
Keamanannya”, [Online], Available:
http://www.budi.insan.co.id/courses/daftar-
topik-security.sxw, 2002.
[7] Tung, “The Moronn’s Guide To Kerberos, Version
2.0. [Online]. Available: http://www.
isi.edu/gost/brian/security/kerberos.html, 1996.