BAB III ANALISA DAN PERANCANGAN
Pada bab ini akan dilakukan analisis kebutuhan dan perancangan dalam pembuatan proyek akhir “Implementasi FreeRADIUS berbasis LDAP pada management jaringan infrastruktur internet service provider”. Berikut adalah analisis dan perancangan dari proyek akhir ini.
3.1 Pengumpulan Data
1. Pencarian referensi yang berhubungan dengan cara kerja dan penggunaan FreeRADIUS.
2. Pencarian referensi yang berhubungan dengan cara kerja dan penggunaan LDAP dan phpldapadmin.
3. Pencarian refrensi tentang pengintegrasian radius berbabis ldap dengan perangkat cisco switch, router dan mikrotik dalam hak akses.
3.2 Analisa
3.2.1 Analisa Sistem Berjalan
Berdasarkan hasil pengamatan penulis pada system yang berjalan di PT. Padinet sebagai penyedia internet service provider, infrastruktur jaringan selain sebagai perangkat keras juga memiliki perangkat lunak. Perangkat keras tersebut tidak akan ada artinya tanpa perangkat lunak tersebut. Dalam skripsi ini infrastruktur perangkat keras jaringan akan disebut sebagai
hardware, sedangkan perangkat lunak akan disebut sebagai software.Dalam
sebuah perangkat keberadaan hardware dan software adalah tidak
terpisahkan. Kedua hal tersebut berjalan bersama untuk satu tujuan yakni dapat berfungsi sesuai keinginan.Perangkat keras atau hardware berwujud
fisik, sedangkan software tidak berwujud, dia berupa logical script yang
berfungsi untuk memberikan instruksi-instruksi kepada hardware.Software
dapat berupa operating system atau firmware.Dengan adanya software
tersebut perangkat dapat berfungsi secara dinamis dan dapat disesuaikan dengan keinginan kita. Dengan adanya software tersebut sebuah infrastruktur jaringan dapat dimanage dan bekerja optimal sesuai keinginan dan mengoptimalkan fungsi-fungsi perangkat dengan cara efisien. Dengan
adanya protocol TCP-IP semua perangkat dalam jaringan dapat dimanage secara remote dan tersentral tanpa harus bersentuhan secara fisik.Kesimpulannya disini adalah betapapun besarnya sebuah perusahaan internet service provider dan betapapun banyaknya jumlah perangkat yang dimiliki, sesuatu yang pasti adalah semua infrastruktur tersebut dapat dimanage dan dikelola secara terpusat dengan metode remote.
Sampai pada paragraph ini pertanyaan selanjutnya adalah siapakah yang akan melakukan akses dan control terhadap semua infrastruktur `jaringan tersebut?Jawabannya adalah person yang memiliki hak akses,
seberapa besar dan jauh haknya tergantung dari kapabilitas dan skill untuk melakukan mengelola dan mengontrol jaringan.Di dalam sebuah internet sebuah provider hak akses terhadap perangkat dibagi secara hirarkis berdasarkan kapabilitas, dan skillnya.Secara konvensional hirarki dalam infrastruktur jaringan dibagi menjadi 3 layer mulai yang paling bawah yakni
access, distribution dan core.Layer access adalah perangkat yang berada di
layer ini adalah perangkat yang bersentuhan dengan customer yang disebut CPE (customer primises equipment). Perangkat di layer access juga memiliki
fungsi security, layer ini selain memberikan akses jaringan ke pelanggan juga
melakukan filtering terhadap end-user policy. Layer distribution adalah layer yang bertugas untuk mendistribusikancore ke beberapa layer-layer access. Pada layer distribution ini perangkat menerima semua paket data yang sudah difilter oleh layer access. Layer distribution berada di tengah dan jumlahnya lebih sedikit dibanding layer access. Namun perangkat yang berada di layer distribution memiliki kapabilitas, speed dan availability yang lebih besar dari pada layer akses. Layer core adalah layer yang bersentuhan dengan WAN. Perangkat pada layer core ini sebagai border gateway dengan WAN. Perangkat di layer core posisi secara hirarki berada dipuncak, jumlah lebih sedikit namun memiliki kapabilitas yang paling besar dibanding layer-layer yang lain, berfungsi untuk berkomunikasi dengan WAN dan melempar data-network secepat mungkin. Performance, speed dan availability menjadi issue yang paling kritikal untuk perangkat di layer ini. Kebijakan hak akses perangkat biasanya, perangkat layer access diberikan kepada network
engineer atau technical support engineer. Perangkat layer distribution dan layer core dikelola oleh NOC (network operation centre) engineer.
Semua perangkat di dalam jaringan ISP memiliki fungsi yang sudah ditetapkan dalam sebuah desain network.Person yang memegang hak akses ke perangkat jaringan adalah orang yang memahami topologi desain dan fungsi-fungsi dalam jaringan.Oleh karena itu salah satu hal yang paling penting untuk menjaga agar semua perangkat dapat berfungsi dengan sebagai mana mestinya adalah memastikan agar perangkat tersebut hanya bisa diakses oleh orang yang memiliki wewenang.Apabila perangkat dalam jaringan dapat diakses oleh orang yang tidak memiliki wewenang maka integritas jaringan dalam kondisi yang berbahaya.Untuk menghindari hal tersebut oleh karenanya disetiap perangkat yang ada dalam jaringan diberikan filtering agar hanya person yang memiliki wewenang saja yang diberi hak.Hak akses tersebut adalah otentikasi dan otorisasi yang sah untuk mendapatkan akses ke perangkat.Dalam software perangkat tersebut didefiniskan user dan kewenangannya berdasarkan kebijakan-kebijakan perusahaan.Jadi, di setiap memori perangkat tersimpan database otentikasi user dan otorisasi.
Permasalahan baru yang kami hadapi adalah dalam sebuah internet service provider yang besar dimana jumlah perangkat sudah sangat banyak, managemen perangkat menjadi sebuah issue. Sistem otentikasi dan otorisasi konvensional dimana setiap database user tersimpan disetiap perangkat tentu akan menjadi tidaklah efisien dalam manajemen perangkat. Selain itu system konvensional tersebut akan menjadi issue keamanan karena banyaknya keterbatasan dalam sisi human error dalam memanage banyaknya perangkat.
Administrator jaringan bertugas mengelola dan memanage jaringan harus selalu memantau keberlangsungan dan ketersediaan layanan. Ketersediaan menjadi hal yang paling kritis dalam menjaga keberlangsungan dari bisnis sebuah internet service provider. Salah satu issue yang sangat penting dalam menjaga keberlangsungan jaringan adalah bagaimana seorang network engineer melindungi akses akses dari orang yang tidak berwenang.Sistem konvensional dimana database user disimpan di memory perangkat sudah tidak lagi scalable lagi untuk internet service provider yang
memiliki banyak perangkat. Dimana pengaturan hak akses dilakukan di masing-masing perangkat, dimana jumlah perangkat sudah sangat banyak. Permasalahan-permasalahan yang sering ditemui ketika menggunakan system otentikasi dan otorisasi konvensional adalah :
- Factor manusia (human error) adalah celah keamanan karena terlalu
banyaknya jumlah perangkat sehingga terkadang lepas dari pengawasan.
- Hak akses priviledge yang berbeda-beda di tiap-tiap hak akses, user
dan password yang berbeda untuk perangkat, server, switch dan perangkat lainnya . Kemudian hak akses untuk server seperti file server, ftp, VOIP, server, SIP id, yang berbeda-beda dan tidak mudah untuk dikelola karena tidak tersentralisasi.
- Sering terjadi human error dimana hak akses lupa, sehingga
perangkat tidak bisa diakses.
- User dan password bersama dalam sebuah group adalah celah
keamanan.
- Kebijakan perusahaan untuk mengganti password atau mengacak
password secara berkala sulit untuk diimplementasikan.
- Keterbatasan dalam mengakses direktori karena memiliki banyak
perangkat dikarenakan direktori belum cloud.
- Management user untuk customer tidak tersentralisasi. Banyak
kesulitan-kesulitan yang harus dihadapi karena system yang konvensional.
LDAP dan FreeRADIUS didefinisikan sebagai protokol yang mampu dalam menyediakan layanan AAA (autentication autorization, accounting) secara tersentralisasi. Penerapan AAA menggunakan LDAP & FreeRADIUS merupakan langkah yang tepat untuk di implementasikan pada internet service provider yang memilikijaringan yang luas seperti contoh pada jaringan internet service provider dimana memiliki ratusan POP(point of presence) di setiap kota.Pengaturan AAA secara tersentralisasi sangat
suatu client dalam setiap komunikasi yang di lakukan.Dengan hal ini diharapkan seorang administrator jaringan tidak perlu bersusah payah untuk mengatur AAA secara detail pada setiap router. Namun,cukup mengatur AAA secara global dan mengarahkan ke LDAP atau FreeRADIUS server, dimana di dalam LDAP dan FreeRADIUS server terdapat database yang berfungsi untuk mengatur AAA pada setiap user/group yang akan melakukan akses ke suatu perangkat atau server.
Penelitian ini bertujuan untuk mencari solusi yang efisien atas situasi problematikdi sebuah internet service provider dalam mengelola otentikasi dan otorisasi terhadap hak akses perangkat .Kedua, diharapkan dengan system
yang baru akan membuat keamanan jaringan menjadi semakin baik , karena manajemen perangkat sudah tidak lagi menjadi pekerjaan yang yang memakan waktu. Pengaturan hak akses secara terpusat untuk memudahkan kinerja administrator jaringan adalah solusi yang paling tepat.Diharapkan system otentikasi dan otorisasi LDAP dan FreeRADIUS menjadi solusi untuk manangani masalah akses keamanan jaringan yang sedang terjadi saat ini Perancangan dan Desain Sistem
3.3 Perancangan dan Desain Sistem 3.3.1 Rancangan Topologi Fisik
Pada proyek akhir ini akan dibuat sistem FreeRADIUS berbasis LDAP untuk hak akses manajemen perangkat secara terpusat. Berikut adalah rancangan topologi fisik jaringan.
Gambar 3.1. Skema perancangan penambahan FreeRADIUS dan LDAP server dalam topologi fisik jaringan.
Berdasarkan hasil analisis permasalahan di atas, perancangan sistem secara fisik dilakukan dengan penambahan dan pengalihan fungsi server. Penambahan yang dilakukan dengan memasang FreeRADIUS dan LDAP server. Secara fisik kedua server tersebut diletakkan pada mesin server yang sama. Server LDAP berfungsi sebagai direktori untuk menyimpan akun user, sedangkan server FreeRADIUS berfungsi untuk melakukan proses AAA pada sistem perangkat yang ada.
3.3.2 Rancangan Sistem Secara Logis
Gambar 3.2. Skema perancangan sistem secara logis.
Perancangan dari gambar 3.2 dapat dilihat hubungan antara LDAP dengan FreeRADIUS. Saat user akan mengakses perangkat, user harus memasukkan ID (username dan password) yang akan diproses oleh FreeRADIUS. FreeRADIUS akan mengambil data dari LDAP saat melakukan otentikasi ID user. Setelah ID terotentikasi, FreeRADIUS akan proses otorisasi pemberian izin akses untuk user.
3.3.3 Diagram alir Rancangan Back-end 3.3.3.1 Sistem Back-end Secara Umum
Gambar 3.3. Skema hubungan sistem back-end secara umum.
Pada Gambar 3.3, Pada sisi back-end, LDAP berhubungan dengan berbagai proses, yaitu menambah data user baru, mengubah data yang sudah ada, menampilkan dan mencari data user, menghapus data user, proses otentikasi FreeRADIUS, proses otentikasi dan juga sinkronisasi LDAP .Sinkronisasi diperlukan untuk menyelaraskan data LDAP yang berhubungan dengan data. Proses tersebut mengakses LDAP untuk keperluan verifikasi, penyimpanan, dan sinkronisasi.
Gambar 3.4. Diagram alir menambah data user
Pada Gambar 3.4, Untuk menambah data user baru, administrator akan membuka halaman untuk memasukkan data user baru. Data tersebut diperoleh dari form penerimaan pegawai yang didapat dari bagian administrasi kepegawaian. Data-data yang dibutuhkan untuk dimasukkan antara lain: nama lengkap, username, dan password. Setelah data tersebut dimasukkan, data akan tersimpan dalam database di LDAP. Kemudian, administrator harus membuka command-line interface (CLI) untuk melakukan proses sinkronisasi data yang ada di LDAP dan di perangkat.
3.3.3.3 Mengubah Data User
Gambar 3.5. Diagram alir mengubah data user
Pada Gambar 3.5, Untuk mengubah data user, administrator akan memasukkan username yang datanya akan diubah. Jika username yang dimasukkan ada di LDAP, data dari username tersebut akan diambil dari LDAP lalu ditampilkan untuk diubah. Data yang dapat diubah adalah nama
lengkap dan password. Selesai pengubahan, data akan disimpan kembali (diupdate) dalam database LDAP. Proses pengubahan data selesai.
3.3.3.4 Mencari Data User
Gambar 3.6. Diagram alir mencari data user
Pada Gambar 3.6, untuk mencari data user baru, Administrator yang hendak mencari dan menampilkan data user akan memasukkan username yang bersangkutan pada kolom search. Nama tesebut akan dicek pada LDAP. Jika username tesebut ada pada database LDAP, data user akan ditampilkan. Proses pencarian selesai
Gambar 3.7. Diagram alir menghapus data user
Pada Gambar 3.7, untuk menghapus data user baru, administrator akan melakukan hal yang sama seperti saat mencari data user. Saat data dari username yang bersangkutan sudah ditampilkan, administrator akan memilih delete atas akun tersebut. Halaman peringatan akan muncul berikutnya untuk konfirmasi penghapusan. Jika administrator memilih tidak, maka akan kembali ke halaman awal. Jika administrator memilih ya, maka data username tersebut akan terhapus dari LDAP. Kemudian administrator akan melakukan sinkronisasi data LDAP dengan perangkat.
3.3.4 Diagram alir Rancangan Front-end 3.3.4.1 Sistem Front-end Secara Umum
Gambar 3.8. Diagram sistem front-end secara umum
Pada Gambar 3.8, Pada sisi front-end, User akan melakukan login menggunakan username dan password yang telah dibuat. Saat ID telah terotentikasi oleh LDAP, user dapat melanjutkan untuk mengakses jaringan.
3.3.4.2 Use Case
Gambar 3.9. Use Case
Pada Gambar 3.9, Administrator memasuki sistem dengan memasukkan username dan passwordnya. Setelah itu, administrator dapat menggunakan fitur pencarian nama pegawai. administrator bisa melakukan penambahan entry pegawai baru dan pengubahan beberapa data pegawai dan menghapus entry pegawai dari sistem.
3.4 Kebutuhan Perangkat Keras dan Perangkat Lunak 3.4.1 Perangkat Lunak
Table 3.1. Kebutuhan Perangkat Lunak
No. Perangkat Lunak Versi
1. FreeRADIUS 2.2.8 2. phpLDAPadmin 1.2 3. Slapd 2.4.42 3. Openldapscript - 4. Ubuntu Versi 16.04 LTS 5. Apache 2.4.18 6. Smldap-tools - 7. Putty - 8. Winbox Versi 2.2.18
9 Mozilla Browser Versi 47
3.4.2 Perangkat Keras server RADIUS LDAP, Cisco switch, Router dan Mikrotik
Table 3.2. Kebutuhan Perangkat Keras Server
No. Perangkat Keras Spesifikasi
1. Processor Intel Core i3-3120M CPU @2.50 Ghz
2. RAM 2 Gb
3. Hard drives 32Gb
4. Optical devices DVD RW SuperMulti DL
5. Communication Intel Fast Ethernet Integrated Controller (10/100 NIC), 56K v.92 modem
Table 3.3. Kebutuhan Perangkat Keras Cisco Switch
No. Perangkat Keras Spesifikasi
1. Model Cisco Catalyst C3560-24 E Series
2. RAM 16-MB Flash memory
3. iOS Flash c3560e-ip -mz.122-58.SE2.bin 4. Connectors 1000Base ports: RJ-45
5. Communication 28 Gigabit Ethernet interfaces
Table 3.4. Kebutuhan Perangkat Keras Cisco Router
No. Perangkat Keras Spesifikasi
1. Model Cisco Router C2600
2. Flash Mempory 32 MB
3. iOS Flash c2600-entbasek9-mz.124-3.bin 4. Connectors 100Base ports: RJ-45
Table 3.5. Kebutuhan Perangkat Keras Mikrotik
No. Perangkat Keras Spesifikasi
1. Model RB751U-2HnD
2. RAM 32 MB
3. OS RouterOS
4. Connectors 100Base ports: RJ-45
5. Communication 5 FastEthernet interfaces and Wireless
3.4.3 Kebutuhan Komponen Jaringan
Table 3.6. Komponen Jaringan Nama Komponen Keterangan
Kabel UTP Media transmisi menggunakan kawat tembaga
RJ 45 Konektor kabel UTP
Tang crimping Tang penjepit RJ45 dengan kabel UTP
Tester Media uji koneksi kabel UTP
3.5 Skenario Sistem
Pada Proyek Akhir ini yang berjudul ” Implementasi freeradius berbasis ldap pada management jaringan infrastruktur internet service provider “ akan dibuat skenario implentasi dan pengujian sistem, yaitu :
1. Sistem freeradius berbasis ldap ini akan dibuat pada jaringan local area
network (LAN) dengan pengalamatan IPv4 dan dibuat berupa
Prototype.
2. Radius yang akan dipakai sebagai hak akses ke perangkat menggunakan platform freeradius.
3. LDAP yang akan dipakai sebagai direktori data user yang akan dipakai menggunakan platform openldap dan phpldapmin.
4. Pada server dibuat prototype menggunakan Ubuntu Server dan perangkat cisco switch, router dan miktorik.
5. Komunikasi antara server dengan perangkat menggunakan local area network.
