Analisa Mekanisme PEAP - Mekanisme Kerja Penelitan

BAB III METODOLOGI PENELITIAN

1. Analisis dan

3.2 Mekanisme Kerja Penelitan

4.2.3 Analisa Mekanisme PEAP

Proses otentikasi protokol EAP-TLS dan protokol PEAP MSCHAPv2 memiliki beberapa tahapan yang sama, tahapan tersebut yaitu pada saat terjadinya pembentukan jalur komunikasi dengan menggunakan tranport layer security (TLS). PEAP dalam fase awal pembentukan jalur komunikasinya menggunakan handshake protocol, dimana handshake protokol merupakan bagian dari proses pembentukan jalur protokol TLS. Berikut adalah mekanisme PEAP :

EAPOL

EAP over RADIUS Supplicant

(EAP peer)

Authenticator

AAA Server

EAP type X exchange EAPOL Start

EAP response / user ID

Server hello complete EAP response / client Hello EAP request identity

EAP request, PEAP start

RADIUS access challenges / EAP request, PEAP start

RADIUS access request

EAP request / server Hello Sertifikat server / key exchange request

Change cipher spec EAP success EAP request identity EAP request identity - type X

CSK EAP success EAP success

Sertifikat client / key exchange verify Complete / TLS handshake done

Tunneled identity response Tunneled response for EAP type X

EAP request (crypto binding) EAP response

AP memblok semua request sampai proses otentikasi komplit / selesai

User database

Transmisi Data diproteksi Wpa key management

Fase 1 : PEAP

Fase 2 : PEAP

Gambar 4.1 Proses Otentikasi PEAP MSCHAPv2 Proses otentikasi PEAP terjadi dalam dua tahapan :

1. Fase pertama menggunakan EAP dan jenis PEAP EAP untuk membuat sebuah channel TLS.

2. Fase kedua menggunakan EAP dan jenis EAP yang berbeda untuk mengotentikasi akses ke jaringan. dalam hal ini EAP yang digunakan adalah MSCHAPv2.

Adapun langkah langkah otentikasi yang dilakukan antara client wireless dan perangkat access point yang memanfaatkan RADIUS server untuk melakukan proses transaksi paket paket PEAP - MSCHAPv2 sebagai berikut :

Pembuatan channel TLS :

1. Asosiasi dan Meminta Identitas

Ketika sebuah client wireless berasosiasi dengan access point, client akan mengirimkan sebuah pesan EAP-start. Jika 802.1x di access point memproeses penerimaan pesan EAP-start, access point akan mengirimkan sebuah pesan EAP-Request/Identity ke client wireless.

2. EAP-Response/Identity

Jika tidak terdapat user yang logon melalui client wireless, access point akan mengirimkan sebuah EAP-Response/identity yang berisi nama komputer. Untuk client windows yang dikirim berupa FQDN (Fully Qualified Domain Named) dari account komputer.

Jika terdapat user yang logon, access point akan mengirimkan EAP-Response identity yang berisi username. Dalam proses PEAP, username yang dikirimkan berupa anonim. Access Point akan melewatkan pesan Response/identity ke server RADIUS dalam bentuk RADIUS access request. Berikut hasil capture paket ini dengan menggunakan tools wireshark.

Gambar 4.2 Capture paket EAP Response Identity

Pada gambar 4.2 terlihat paket tersebut adalah paket Response dari client, berisi anonim dengan panjang paket 11 byte.

3. EAP-request dari Server RADIUS (TLS dimulai)

Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi sebuah pesan EAP-request dengan jenis EAP yang digunakan pada proses TLS, permintaan ini menunjukkan bahwa proses otentikasi TLS dimulai.

Gambar 4.3 Capture Paket EAP Request-TLS start

Pada gambar 4.3 terlihat paket tersebut adalah paket request dari server otentikasi, yang menandakan bahwa fase TLS dimulai. Tipe otentikasi yang digunakan adalah PEAP. Panjang paket ini adalah 6 byte.

4. EAP-Response dari Client wireless (paket Hello TLS client)

Client akan mengirimkan sebuah pesan EAP Response dengan jenis EAP yang digunakan, hal ini dikenal dengan proses pengiriman paket hello TLS. Access Point akan melewatkan pesan EAP ke server RADIUS dalam

bentuk pesan RADIUS access-request. Berikut hasil capture paket hello TLS client.

Gambar 4.4 Capture Paket Hello-TLS client

Pada gambar 4.4 terlihat paket tersebut adalah paket Response dari client, berisi paket client hello. Paket ini membawa atribut : random session ID, cipher suites, metode compression. dengan panjang paket 116 byte.

5. EAP request dari Server RADIUS (sertifikat milik RADIUS)

Server RADIUS mengirimkan sebuah pesan RADIUS access-challenge yang berisi pesan EAP request dengan jenis EAP yang digunakan pada PEAP dan berisi rangkaian server hello, sertifikat dari RADIUS server, dan pesan server hello done. Access point melewatkan pesan EAP ke client. Berikut hasil capture paket sertifikat server.

Gambar 4.5 Capture Paket EAP Request Sertifikat Server

Pada gambar 4.5 terlihat paket tersebut adalah paket request dari server, berisi paket server certificate dan paket server hello done. panjang paket ini adalah 1024 byte.

6. EAP-Response dari client wireless

Client mengirimkan pesan EAP Response yang beirisi rangkaian sertifikat dari client wireless. Access point melewatkan pesan EAP tersebut ke server RADIUS. Pada PEAP sertifikat pada sisi client tidak dikirim. Selanjutnya paket yang akan dikirim adalah client key exchange dan change cipher spec. berikut hasil capture paket tersebut.

Gambar 4.6 Capture Paket EAP Response-Client Key Exchange Pada gambar 4.6 terlihat paket tersebut adalah paket Response dari client, berisi paket client key exchange dan paket change cipher spec. panjang paket ini adalah 336 byte.

7. EAP-Request dari server RADIUS (bentuk cipher, TLS lengkap)

RADIUS mengirimkan sebuah pesan RADIUS access challenge / paket EAP request yang berisi sebuah pesan EAP request yang berisi cipher suite dan sebuah indikasi yang menyatakan pertukaran pesan pada otentikasi TLS telah selesai dilakukan. Access point melewatkan pesan EAP ke client.

Gambar 4.7 Capture Paket EAP Request – Change Cipher Spec TLS complete

Pada gambar 4.7 terlihat paket tersebut adalah paket request dari server, berisi paket change cipher. panjang paket ini adalah 65 byte. Server 8. EAP-Success dari server RADIUS

Server RADIUS memperoleh unicast session key dari proses otentikasi TLS. Pada fase ini jalur TLS telah terbentuk dan siap digunakan untuk fase selanjutnya.

Diakhir negosiasi PEAP, server RADIUS mengotentikasi dirinya ke client. Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS dengan menggunakan public key, dan bukan password. Semua rangkaian pesan EAP dikirim diantara client dan server RADIUS secara terenkripsi.

Setelah jalur PEAP-TLS dibuat, langkah berikut yang digunakan untuk mengotentikasi surat kepercayaan dari client menggunakan MSCHAPv2

Pada fase kedua ini, hasil paket data yang di-capture tidak dapat dilihat secara clear text, karena paket paket tersebut sudah berada pada jalur TLS yang terenkripsi.

1. Server RADIUS mengirimkan pesan EAP-request / identity

Gambar 4.8 Capture Paket EAP-Request Identity – EAP-MS-CHAP v2 2. Client merespon dengan pesan EAP-Response / identity yang berisi

identitas (nama user/nama komputer) dari client

Gambar 4.9 Capture Paket EAP-Response Identity – EAP-MS-CHAP v2 3. Server RADIUS mengirimkan sebuah EAP-request /EAP-ms-chap v2

Gambar 4.10 Capture Paket EAP-Request EAP-MS-CHAP v2 Challenge 4. Client merespon dengan pesan EAP-response/EAP-ms-chap v2 Response

yang berisi Response (jawaban) string challenge untuk server RADIUS

Gambar 4.11 Capture Paket EAP-Response/EAP-MS-CHAP v2 Response 5. Server RADIUS menerima pesan EAP request/ EAP-ms-chap v2 success.

Yang mengindikasikan jawaban dari client adalah benar dan berisi response challenge string ke client

6. Client merespon dengan pesan EAP response/EAP-ms-chap v2 ack, mengindikasikan bahwa respon dari server RADIUS adalah benar.

Gambar 4.13 Capture Paket EAP response/EAP-ms-chap v2 ack 7. Server RADIUS mengirimkan sebuah pesan EAP success

Gambar 4.14 Capture Paket EAP Success

Akhir dari proses saling mengotentikasi ini adalah client dan server RADIUS dapat membuktikan kebenaran password yang digunakan dan pertukaran terjadi didalam jalur yang terenkripsi oleh jalur TLS.

Hasil dari semua tahapan otentikasi ini akan membangkitkan suatu kunci MK (master session key) Kunci MK akan menghasilkan kunci PMK yang akan berubah secara dinamis yang akan di gunakan bersama oleh access point dan client pada proses enkripsi WPA dalam metransmisikan data nya. Proses distribusi kunci ini disebut 4 way handshake.

Performa PEAP dipengaruhi dengan jumlah transaksi pengiriman pesan EAP Request dan EAP response, jumlah transaksi ini terdiri dari beberapa round-trip. Round-trip adalah jumlah satu kali paket request dan paket response antara

supplicant dan server PEAP. Berikut adalah data paket paket PEAP dalam satu kali proses otentikasi nya.

Tabel 4.5 Ukuran Pesan Pesan EAP dan Waktu Proses

Urutan

Pesan ^Sumber ^{Nama Pesan}

PEAP MSCHAPv2 Ukuran Paket (byte) Total Waktu (milisecond) 1. client identity 194 0.00

2. server PEAP-start 119 0.767

3. client Client -Hello 178 0.729

4. server

1.server-hello 2.certificate

3. server key exchange 3.server hello done

1132 20.869

5. client Response-peap version 112 1.480

6. server

1.Server-hello 2.certificate

3. server key exchange 3.server hello done

1087 0.221

7. client

1. client key exchange 2. change cipher spec 3. encrypted handshake message

262 27.916

8. server

1. change cipher spec 2. encrypted handshake message

165 8.708

9. client Resonse-type 112 1.605

10. server ^{Encrypted Application}

data ¹⁴³ ^0.344

11. client ^{Encrypted Application}

data ²⁰² ^1.744

12. server ^{Encrypted Application}

data ¹⁵⁹ ^0.321

13. client ^{Encrypted Application}

data ²⁶⁶ ^6.719

14. server ^{Encrypted Application}

data ¹⁹¹ ^0.889

15. client ^{Encrypted Application}

data ¹⁸⁶ ^2.001

16. server ^{Encrypted Application}

data ¹⁴³ ^0.496

17. client ^{Encrypted Application}

data ²³⁴ ^1.870

18. server EAP-Success 208 0.534

server 3347

4.3 Design (Perancangan)

Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan spesfikasi rancangan sistem yang akan dibangun. Penulis membagi proses perancangan menjadi :

Dalam dokumen Implementasi protokol peap pada infrastruktur jaringan nirkabel Fakultas Sains dan Teknologi UIN Jakarta (Halaman 101-113)