DIKTAT PROGRAM KEAHLIAN GANDA

TEKNIK KOMPUTER DAN JARINGAN

MODUL H - PROFESIONAL

AUTHENTICATION SERVER

Oleh :
Omar Muhammad Altoumi Alsyaibani, S.Pd.

PPPPTK BBL MEDAN

PB SMK NEGERI 2 BANJARBARU

JL. NUSANTARA NO. 1, LOKTABAT SELATAN, BANJARBARU

KALIMANTAN SELATAN, 70712
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

TUJUAN
1. Peserta mampu menjelaskan pengertian otentikasi.
2. Peserta mampu menyebutkan dan menjelaskan metode otentikasi.
3. Peserta menguasai konsep AAA
4. Peserta memahami cara kerja server otentikasi

MATERI
A. AAA
AAA (dibaca Triple A) adalah singkatan dari Authentication, Authorization,
dan Accounting. AAA merupakan istilah yang sering digunakan di dalam
dunia keamanan. Istilah ini merujuk tentang bagaimana sebuah sistem
memastikan akses yang sedang terjadi dilakukan oleh orang yang sah.
Selain itu, AAA juga digunakan untuk melakukan kontrol akses milik
client, memaksa aturan tertentu pada client, atau untuk proses
pencatatan aktifitas client. Dapat dianggap bahwa Authentication
(otentikasi), authorization (otorisasi), dan accounting (akunting)
merupakan serangkaian aktifitas yang merangkai sebuah proses
B. Authentication (Otentikasi)
Otentikasi (dari bahasa Yunani: authentikos αὐθεντικός, "nyata, asli," dari
authentes αὐθέντης, "penulis") adalah tindakan mengkonfirmasikan
kebenaran satu bagian data diklaim benar oleh satu pihak atau
seseorang. Otentikasi ini banyak bentuknya dan tidak hanya terdapat
dalam dunia IT saja. Otentikasi dapat berupa konfirmasi atas identitas
seseorang dengan memvalidasi dokumen identitas mereka,
memverifikasi keaslian sebuah website dengan digital certificate
(sertifikat digital), atau memastikan isi produk sesuai dengan apa yang
tertulis pada labelnya (Wikipedia: 2016).
Ada banyak pengertian yang dapat Anda temukan di Internet atau buku.
Namun pada intinya (khusus untuk dunia IT), otentikasi merupakan
mekanisme yang dilakukan untuk memastikan bahwa yang melakukan
akses adalah pengguna sebenarnya. Entah apapun yang diakses, entah
bagaimanapun mekanisme otentikasinya. Dalam kaitannya dengan dunia

1
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

jaringan, otentikasi dilakukan untuk memastikan siapa pengguna jaringan

sebenarnya. Hal ini dilakukan karena Anda tidak menginginkan
sembarang orang mengakses resource berupa data rahasia dan lain-lain.
Umumnya otentikasi ini diimplementasikan dalam bentuk username dan
password yang digunakan oleh admin jaringan untuk mengidentifikasi
siapa yang dapat terkoneksi ke piranti jaringan atau Internet.
Contoh praktisnya adalah saat Anda ingin terkoneksi ke sebuah Router,
biasanya Anda akan diminta untuk memasukkan username dan
password. Hal ini terjadi agar tidak ada orang yang tidak berhak
mengakses Router dan kemudian mengacaukan trafik jaringan. Well,
tampaknya hal ini cukup memberikan rasa aman. Namun faktanya,
Router secara umum terkoneksi ke Internet dan pelaku dapat mencoba
menebak-nebak password Router Anda kapanpun mereka menginginkan
tanpa Anda ketahui.
C. Metode Otentikasi
Secara umum ada tiga metode otentikasi yang umum digunakan, yaitu:
1. Something you know
Ini adalah metode otentikasi yang paling familiar dan banyak
digunakan. Cara ini mengandalkan kerahasiaan informasi yang hanya
diketahui oleh yang berhak, contohnya adalah password dan PIN. Cara
ini berasumsi bahwa tidak ada seorangpun yang mengetahui rahasia
tersebut kecuali anda seorang sebagai pemilik akses.
2. Something you have
Cara ini biasanya merupakan faktor tambahan untuk membuat
otentikasi menjadi lebih aman. Cara ini mengandalkan sebuah barang
bisa berupa NIP, sim card, ATM dan lain sebagainya yang sifatnya
unik. Cara ini berasumsi bahwa tidak ada seorangpun yang memiliki
barang tersebut kecuali Anda seorang. banyak implementasi dari
metode ini dipadukan dengan metode sebelumnya, sehingga lebih
aman.

2
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

3. Something you are

Ini adalah metode yang paling jarang diapakai karena faktor teknologi
dan manusia juga. Cara ini mengandalkan keunikan bagian-bagian
tubuh anda yang tidak mungkin ada pada orang lain seperti sidik jari,
suara, retina, darah, atau pola urat tangan. Cara ini berasumsi bahwa
bagian tubuh Anda, tidak mungkin sama dengan orang lain. E-ktp
telah mengumpulkan sekaligus menelanjangi sifat unik yang kita
miliki, dan keberadaannya pun pasti sudah banyak yang mengincar.

Ada satu metode lagi sebenarnya yang sampai saat ini masih sering
digunakan dan tetap menjadi bahan otentikasi yang cukup dipercaya
yaitu tanda tangan. Masuk ke kategori manakah cara itu dari ketiga
metode di atas? Menurut beberapa refrensi metode ini tidak cocok
dengan ketiga meotde di atas, sehingga banyak para penulis
menambahkan satu lagi yaitu “Something You Can“. Cara ini berasumsi
bahwa tidak ada orang lain di dunia ini yang bisa melakukan itu (tanda
tangan anda) selain Anda sendiri. Memang otentikasi dengan tanda
tangan dibangun di atas asumsi itu, walaupun pada kenyataannya ada
saja orang yang bisa meniru tanda tangan anda dengan sangat baik,
namun walaupun menyadari fakta tersebut tanda tangan di atas kertas
tetap diakui sebagai bukti otentik atas siapa Anda. Metode ini sangat
rentan sehingga tidak dianggap aman.
D. Authorization (Otorisasi)
Baiklah, kita masuk ke bagian kedua yaitu otorisasi. Otorisasi berperan
ketika seorang user telah melewati tahap otentikasi. Otorisasi mengatur
apa saja yang boleh dilakukan dan apa saja yang tidak boleh dilakukan
oleh seorang pengguna dalam sebuah sistem. Contoh paling sederhana
adalah saat Anda login ke dalam salah sistem Linux, misal Debian,
sebagai user biasa, tidak sebagai root, maka Anda tidak mempunyai
otorisasi untuk mengedit file-file konfigurasi atau melakukan restart salah
satu service yang berjalan. Otorisasi memungkinkan admin mengatur
hak akses seorang pengguna terhadap resource apapun yang ada di
dalam sebuah sistem. Proses pengaturan ini sering disebut user

3
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

management yang pada intinya berkutat pada pengaturan tingkatan

akses (privilege levels) ke sebuah sistem.
E. Accounting
Ini merupakan tahap terakhir dari prosedur keamanan triple A kita dan ini
terjadi setelah tahap otentikasi dan otorisasi. Pada tahap ini sistem
melakukan pencatatan siapa saja yang masuk ke dalam sistem dan apa
saja yang mereka lakukan. Tahap ini kadang disebut juga logging atau
pencatatan. Tahap ini menjadi penting saat terjadi hal-hal yang tidak
diinginkan dan dapat menjadi bukti digital yang sangat berguna bagi tim
digital forensics. Pencatatan ini umumnya berisi username, tanggal,
waktu, aktifitas yang dilakukan atau bahkan berapa banyak data yang
ditransfer masuk atau keluar.
F. Real World Example
Okay, anggap saja Anda adalah salah satu pengguna jasa Internet dari
sebuah ISP. Tentu saja Anda mempunyai modem yang Anda gunakan
untuk terkoneksi ke jaringan milik ISP tersebut. Tanpa modem tersebut,
Anda sama sekali tidak bisa terkoneksi ke manapun. Pada modem
tersebut, Anda harus memasukkan username dan password yang telah
diberikan oleh ISP. Pada saat Anda memasukkan username dan password
inilah proses otentikasi berlangsung. Beberapa detik setelah Anda
memasukkan username dan password, Anda kemudian akan terkoneksi
ke Internet. Anda pun mulai berkelana ke manapun Anda inginkan. Setiap
kali Anda mengakses Internet, AAA server milik ISP akan mengecek
aturannya apakah Anda diperbolehkan mengakses alamat yang Anda
tuju. Pada tahap inilah proses otorisasi terjadi. Jika Anda tidak
diperbolehkan mengakses alamat tersebut, maka Anda akan mendapat
pesan peringatan dan akses Anda akan ditolak. Setiap akses yang Anda
lakukan ke Internet akan dicatat oleh pihak ISP, baik tanggal, waktu,
alamat yang dituju, seberapa lama Anda mengakses alamat tersebut,
dan lain-lain. Pencatatan ini merupakan tahap Accounting. I hope this
makes it more clear :-)

4
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

G. External Security Server

Pada implementasinya di tingkat enterprise, AAA biasanya dipadukan
dengan server keamanan tambahan. Biasanya server ini merupakan
server otentikasi terpusat yang berisi daftar akun pengguna sistem atau
jaringan. Setiap ada user yang ingin login ke dalam sistem, user tersebut
akan memasukkan username dan password-nya ke sistem. Username
dan password tersebut akan dienkripsi dan kemudian dikirimkan lagi ke
server otentikasi ini. Jika server otentikasi tersebut mengizinkan akses,
maka user dapat login ke dalam sistem. Dengan kata lain, sistem tidak
mengetahui daftar username dan password yang berhak masuk ke dalam
sistem. Server otentikasi seperti ini cukup efektif digunakan jika dalam
sebuah instansi tersebut ada banyak resource yang harus diakses
menggunakan username dan password. Suatu saat jika ada karyawan
baru dan Anda sebagai sistem administrator ditugaskan untuk
membuatkan akun bagi karyawan tersebut. Jika tidak menggunakan
server otentikasi, maka Anda harus membuatkan akun satu-persatu pada
masing-masing resource. Namun jika instansi Anda sudah
mengimplementasikan server otentikasi, maka Anda cukup satu kali
membuat akun pada server otentikasi tersebut, mak karyawan baru
tersebut dapat login ke semua resource yang ada. Hal ini akan
mempermudah pekerjaan Anda tentunya.
Namun di sisi lain, server otentikasi ini akan menjadi titik rentan instansi
Anda. Jika ternyata terjadi breaching atau ada yang mampu masuk ke
dalam sistem, maka pelaku akan mendapatkan akses ke manapun di
dalam instansi Anda. Mengerikan memang...
Ada banyak produk-produk server otentikasi yang sekarang beredar,
namun yang dua produk yang paling terkenal adalah TACACS dan
RADIUS.
H. TACACS
TACACS merupakan singkatan dari Terminal Access Controller Access-
Control System. TACACS adalah salah satu produk milik Cisco. TACACS
merupakan protokol yang dibuat untuk mengontrol akses ke terminal
perangkat. Ada tiga versi TACACS, yaitu TACACS, extended TACACS, dan

5
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

TACACS+.
Versi pertama TACACS menyediakan verifikasi dan otentikasi sederhana.
Accounting dibatasi dengan hanya request dan denial yang ada dalam
daftar. Versi TACACS berikutnya yaitu extended TACACS dan kemudian
TACACS+ menyediakan accounting terinci dan harus digunakan dengan
AAA model. Umumnya TACACS berjalan pada sistem operasi Windows
Server atau UNIX.
TACACS+ menggunakan protokol TCP pada port 49 untuk komunikasi
antara TACACS+ client dan TACACS+ server. Lho, ada client-nya kah? Yes.
Misal, Anda sedang mencoba me-remote sebuah switch dengan
mengirimkan username dan password ssh ke switch tersebut. Switch
tersebut kemudian mengenkripsi username dan password tersebut lalu
mengirimkannya ke TACACS+ server. Dalam kasus ini, switch merupakan
TACACS+ client.
Fitur yang cukup unik pada TACACS+ adalah kemampuan untuk
memisahkan antara otentikasi, otorisasi dan accounting sebagai fungsi
yang independen dan terpisah. Hal inilah yang membuat TACACS+
secara umum digunakan untuk administrasi sebuah device atau
perangkat, meskipun RADIUS juga menyediakan fitur administrasi AAA
untuk perangkat. Dengan menggunakan TACACS+, Anda dapat
melakukan sekali otentikasi, namun otorarisasi berkali-kali. Anda bahkan
dapat mengotorisasi setiap perintah yang dimasukkan oleh client ke
dalam perangkat switch atau router. Seperti namanya, TACACS+
merupakan sistem kontrol akses yang mengatur akses ke sebuah
terminal.
Komunikasi antara TACACS+ server dan TACACS+ client mempunyai
format yang berbeda-beda apakah komunikasi tersebut digunakan untuk
otentikasi, otorisasi, atau accounting. Namun satu hal yang sama, semua
komunikasi antara keduanya dienkripsi secara keseluruhan (baik data
maupun header).
I. RADIUS
RADIUS merupakan singkatan dari Remote Authentication Dial-In User
Service dan merupakan standar dari IETF untuk AAA model. RADIUS

6
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

umumnya digunakan untuk mengamankan jaringan dari orang yang tidak

berhak mengaksesnya. Contoh umum hal ini adalah saat Anda mencoba
mengakses Internet dari sebuah jaringan wifi, Anda diminta untuk
memasukkan username dan password oleh Router Mikrotik misalnya.
Saat Anda memasukkan username dan password Anda lalu mengirimnya,
maka Router akan mengenkripsi data tersebut dan meneruskannya ke
RADIUS server. Jawaban dari RADIUS server ini akan menentukan apakah
Anda berhak mengakses Internet atau tidak. Meskipun Mikrotik hotspot
mampu menyimpan username dan password client-nya secara internal di
dalam Router, ia juga dapat berkolaborasi dengan server RADIUS. RADIUS
banyak dipilih untuk mengamankan jaringan karena RADIUS merupakan
protokol layer transport yang mendukung EAP (Extensible Authentication
Protocol) dan protokol-protokol otentikasi lainnya.
Seperti namanya, awalnya RADIUS hanya digunakan untuk otentikasi PPP
(Point-to-Point Protocol) pada layer data link khusus untuk otentikasi
sebuah koneksi Dial-Up/Dial-In. Meskipun hingga sekarang RADIUS masih
menggunakan pola kerja yang sama, yaitu membawa username dan
password dari RADIUS server ke RADIUS client, namun RADIUS sudah
berkembang jauh dari fungsi awalnya. Sama seperti TACACS+, RADIUS
Server dapat berjalan pada platform Windows server atau UNIX. Berbeda
dengan TACACS+, RADIUS hanya mengenkripsi data password saja.
J. TACACS+ v.s. RADIUS
Fitur TACACS+ RADIUS
UDP: 1812 & 1813 atau
Protokol dan Port TCP : 49
UDP: 1645 & 1646
Hanya mengenkripsi
Enkripsi Seluruh paket dienkripsi
password
Penggunaan Administrasi perangkat Akses ke jaringan
Siapa yang login, kapan, Siapa yang login, kapan,
aktivitas yang dilakukan, bagaimana user
perintah apa yang terotentikasi, seberapa
dimasukkan. lama mereka
Laporan
menggunakan jaringan,
device apa yang
digunakan untuk
terkoneksi.

7
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

Gambar 1. Perbedaan fungsi antara TACACS+ dan RADIUS

Pada praktiknya, Anda sebenarnya dapat menggabungkan antara

TACACS+ server dan RADIUS server dalam satu perangkat. Namun hal ini
sebaiknya tidak Anda lakukan, apa lagi jika bos Anda adalah orang yang
pemarah. Bayangkan ketika bos Anda sedang mencoba menggunakan
wifi di kantor. Laptop bos Anda akan mengirimkan username dan
password ke perangkat wireless yang kemudian diteruskan ke server
RADIUS yang ternyata juga digabung dengan server TACACS+. Setelah
10 detik lebih bos Anda menunggu, ia masih belum bisa terkoneksi ke
jaringan dikarenakan server tadi sedang sibuk berpikir dan mengecek
apakah perintah-perintah yang dimasukkan oleh salah satu Staf IT Anda
pada sebuah perangkat diperbolehkan atau tidak. Hal ini tentu saja bisa
jadi malapetaka. Atau mungkin bisa jadi ada yang usil mengirimkan DDoS
dengan cara mengirimkan permintaan otentikasi secara berulang-ulang.
Cara berpikir ini terlalu paranoid memang, namun kemungkinan hal ini
terjadi itu ada, entah berapa persen.

8
MODUL H - PROFESIONAL PPPPTK BBL MEDAN
SISTEM KEAMANAN JARINGAN KOMPUTER PB SMK NEGERI 2 BANJARBARU

AUTHENTICATION SERVER

TUGAS
Buatlah catatan-catatan dengan versi Anda sendiri mengenai materi di atas
dan gabungkan dengan materi yang Anda dapatkan dari Internet, buku,
atau sumber lain!

DAFTAR PUSTAKA
Khozaimi, Achmad. 2013. Security : Metode Otentikasi.
http://khozaimi.blogspot.co.id/2013/06/security-metode-otentikasi.html
diakses pada tanggal 17 Januari 2016 pukul 21.43 WITA.
Tom Thomas. 2004. Network Security first-step. Pearson Education.
Wikipedia. 2016. Authentication.
https://en.wikipedia.org/wiki/Authentication. Diakses pada tanggal 15
Januari 2016 pukul 21.15 WITA.
Woland, Aaron. 2014. An explanation and comparison of RADIUS and
TACACS+ for Authentication, Authorization and Accounting (AAA).
http://www.networkworld.com/article/2838882/radius-versus-
tacacs.html. Diakses pada tanggal 18 Januari 2016 pukul 06.11 WITA.