Remote Access Dial-In User Service (Radius)

Selamat Pagi, Siang, Sore , Malem..... :D. Posting pertama di bulan Agustus, setelah dua bulan kgak ngeblog.hehe... Artikel yang mau saya share disini ialah kelanjutan atau masih berafiliasi dengan postingan yang sebelumnya yaitu tentang PPTP dan L2TP, kalau anda belum baca silakan dibaca biar nambah pengetahuannnya. :)

Pada postingan ini saya akan menshare tentang RADIUS, kependekan dari Remote Access Dial-In User Service. Terdiri dari pengenalan, karakteristik, cara kerja dan tumpuan implementasi. Mungkin secara singkatnya saja, tetapi kalau anda masih belum memahami dan paham silakan tanya mbah google saja.hehe...

Pengenalan

Remote Access (pada sebagian literatur Authentication) Dial-In User Service, yang sering disingkat menjadi RADIUS, yaitu suatu protokol keselamatan komputer yang dipakai untuk melaksanakan autentikasi, otorisasi, dan registrasi akun pengguna secara terpusat untuk mengakses jaringan. RADIUS didefinisikan didalam RFC 2865 dan RFC 2866, yang pada mulanya dipakai untuk melaksanakan autentikasi terhadap susukan jaringan jarak jauh (remote) dengan menggunakan koneksi dial-up.

RADIUS sekarang sudah diimplementasikan untuk melaksanakan autentikasi terhadap susukan jaringan secara jarak jauh dengan menggunakan koneksi selain dial-up, menyerupai halnya Virtual Private Networking (VPN), access point nirkabel, switch Ethernet, dan perangkat lainnya.

RADIUS mula-mula dikembangkan oleh perusahan Livingston. Pada permulaan pengembangannya, RADIUS menggunakan port 1645, yang ternyata bentrok dengan layanan “datametrics”. Sekarang, port yang dipakai RADIUS yaitu port 1812. Berikut ini yaitu RFC (Request For Comment) yang berafiliasi dengan RADIUS:
  • RFC 2865 : Remote Authentication Dial-In User Service (RADIUS)
  • RFC 2866 : RADIUS Accounting
  • RFC 2867 : RADIUS Accounting for Tunneling
  • RFC 2868 : RADIUS Authentication for Tunneling
  • RFC 2869 : RADIUS Extensions
  • RFC 3162 : RADIUS over IP6
  • RFC 2548 : Microsoft Vendor-Specific RADIUS Attributes
Karakteristik

Beberapa karakteristik dari RADIUS yaitu selaku berikut:
  • Berbasis UDP Protocol
  • Bisa diposisikan dimana saja di internet dan sanggup menciptakan autentikasi (PPP, PAP, CHAP, MS-CHAP, EAP) antara Network Access Server (NAS) dan server itu sendiri
  • RADIUS menggunakan Remote Access Server (RAS) Secure ID untuk menciptakan autentikasi yang memiliki pengaruh dalam pengontrolan akses
Struktur paket data RADIUS sanggup digambarkan selaku berikut:

Paket Data RADIUS

Code, memiliki panjang satu oktet dan dipakai untuk membedakan tipe pesan RADIUS yang diantarkan pada paket. Kode-kode tersebut (dalam desimal) antara lain:
1. Access-Request
2. Access-Accept
3. Access-Reject
4. Accounting-Request
5.Accounting-Response
11.Access-Challenge
12. Status-Server
13. Status-Client
255. Reserved


Identifier, Memiliki panjang satu oktet dan berniat untuk mencocokkan permintaan.

Length, Memiliki panjang dua oktet, memamerkan isu mengenai panjang paket.

Authenticator, Memiliki panjang 16 oktet, dipakai untuk menjelaskan akibat dari RADIUS server, disamping itu dipakai juga untuk algoritma password.

Attributes, Berisikan isu yang dibawa pesan RADIUS. Setiap pesan dapat
menenteng satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, CHAP-password, alamat IP access point (AP), pesan balasan.


Cara Kerja


RADIUS menggunakan rancangan AAA (Authentication, Authorization, Accounting). Konsep tersebut sanggup digambarkan selaku berikut:

Aliran Data Pada RADIUS
  • Access Reject
    User ditolak aksesnya ke semua sumberdaya dalam jaringan. Penyebabnya sanggup tergolong kegagalah untuk menawarkan indentifikasi yang sempurna atau nama akun yang salah/tidak aktif
  • Access Challenge
    Permintaan isu suplemen dari user, menyerupai password alteernatif, PIN, token atau kartu.
  • Access Accept
    User diberikan susukan masuk. Begitu User ter-autentifikasi, server RADIUS akan sering memeriksa agar User cuma menggunakan sumberdaya sesuai dengan yang diminta. Misalnya User cuma boleh mengakses kepraktisan hotspot, dan tidak untuk menggunakan printer. Informasi tentang User dalam database sanggup disimpan secara setempat dalam server RADIUS atau disimpan dalam kawasan penyimpanan eksternal menyerupai LDAP atau Active Directory
Proses Authentication
    Proses autentikasi dikehendaki dikala Anda memiliki keperluan untuk menangkal semua orang yang diperbolehkan masuk ke dalam jaringan remote access milik Anda. Untuk menyanggupi keperluan tersebut, pengguna yang ingin mengakses suatu jaringan secara remote mesti diidentifikasi terlebih dahulu. Pengguna yang ingin masuk ke dalam jaringan pribadi tersebut perlu dimengerti terlebih dulu sebelum bebas mengakses jaringan tersebut. Pengenalan ini berniat untuk mengetahui apakah pengguna tersebut berhak atau tidak untuk mengakses jaringan.
    Analoginya sederhananya yaitu menyerupai rumah Anda. Apabila ada orang yang ingin berkunjung ke tempat tinggal Anda, kali pertama yang mau dilaksanakan oleh pemilik rumahnya yaitu mengidentifikasi siapa yang ingin tiba dan masuk ke dalamnya. Jika Anda tidak memedulikan orang tersebut, sanggup saja Anda tolak permintaannya untuk masuk ke tempat tinggal Anda. Namun kalau sudah dikenal, maka Anda mungkin akan pribadi mempersilakannya masuk. Demikian juga dengan apa yang dilaksanakan oleh perangkat remote access terhadap pengguna yang ingin bergabung ke dalam jaringan di belakangnya.
    Pada umumnya, perangkat remote access sudah dilengkapi dengan suatu daftar yang terdiri dari siapa-siapa saja yang berhak masuk ke jaringan di belakangnya. Metode yang paling lazim dipakai untuk mengetahui pengakses jaringan yaitu pembicaraan Login dan Password. Metode ini juga disokong oleh banyak komponen lainnya, menyerupai metode challenge dan response, messaging support, dan enkripsi, tergantung pada protokol sekuriti apa yang Anda gunakan.
Proses Authorization
    Proses authorization ialah langkah selanjutnya setelah proses autentikasi berhasil. Ketika pengguna yang ingin mengakses jaringan Anda sudah dimengerti dan tergolong dalam daftar yang diperbolehkan membuka akses, langkah selanjutnya Anda mesti memamerkan batas-batas hak-hak apa saja yang mau diterima oleh pengguna tersebut.
    Analogi dari proses ini sanggup dimisalkan menyerupai peraturan-peraturan yang tertempel di dinding-dinding rumah Anda. Isi dari peraturan tersebut biasanya akan menangkal para hadirin agar mereka tidak sanggup dengan bebas berkeliling rumah Anda. Tentu ada penggalan yang privasi di rumah Anda, bukan? Misalnya setiap hadirin rumah Anda tidak diperbolehkan masuk ke ruang kerja Anda. Atau setiap hadirin mesti membuka ganjal kakinya dikala memasuki ruangan ibadah di rumah Anda. Atau setiap hadirin cuma diperbolehkan masuk hingga teras rumah.
    Semua itu ialah peraturan yang sanggup dengan bebas Anda buat di rumah Anda. Begitu juga dengan apa yang terjadi pada proses penjagaan jaringan remote access Anda. Perlu sekali adanya batas-batas untuk para pengguna jaringan remote sebab Anda tidak akan pernah tahu siapa yang ingin masuk ke dalam jaringan Anda tersebut, walaupun sudah teridentifikasi dengan benar. Bisa saja orang lain yang tidak berhak menggunakan username dan password yang bukan miliknya untuk mendapat susukan ke jaringan Anda.
    Bagaimana untuk menangkal masing-masing pengguna tersebut? Banyak sekali metode untuk melaksanakan pembatasan ini, tetapi yang paling lazim dipakai yaitu dengan menggunakan seperangkat atribut khusus yang dirangkai-rangkai untuk menciptakan policy tentang hak-hak apa saja yang sanggup dilaksanakan si pengguna. Atribut-atribut ini kemudian daripada apa yang dicatat di dalam database.
    Setelah daripada isu yang ada di database, jadinya akan dikembalikan lagi terhadap kepraktisan AAA yang berlangsung pada perangkat tersebut. Berdasarkan hasil ini, perangkat remote access akan memamerkan apa yang menjadi hak dari si pengguna tersebut. Apa saja yang sanggup dilakukannya dan apa saja yang dihentikan sudah berlaku dalam tahap ini.
    Database yang berfungsi untuk memuat semua isu ini sanggup dibentuk secara setempat di dalam perangkat remote access atau router maupun dalam perangkat khusus yang biasanya disebut dengan perumpamaan server sekuriti. Di dalam server sekuriti ini biasanya tidak cuma isu profil penggunanya saja yang ditampung, protokol sekuriti juga mesti berlangsung di sini untuk sanggup melayani seruan isu profil dari perangkat-perangkat yang berperan selaku kliennya. Pada perangkat inilah nantinya attribute-value (AV) dari pengguna yang ingin bergabung diterima dan diproses untuk kemudian dikembalikan lagi menjadi suatu peraturan oleh kepraktisan AAA tersebut.
    Metode authorization biasanya dilaksanakan dalam banyak cara. Bisa dilaksanakan dengan cara one-time authorization yang memamerkan seluruh hak dari si pengguna cuma dengan satu kali proses authorization. Atau sanggup juga dilaksanakan per service authorization yang menciptakan pengguna mesti diotorisasi berkali-kali dikala ingin menggunakan layanan tertentu. Authorization juga sanggup dibentuk per pengguna menurut daftar yang ada di server sekuriti, atau kalau protokolnya mendukung otorisasi sanggup diberlakukan per group pengguna. Selain itu, kalau keselamatan server memungkinkan, Anda sanggup memberlakukan aturan-aturan otorisasi menurut tata cara pengalamatan IP, IPX, dan banyak lagi
Proses Accounting
    Proses accounting dalam layanan koneksi remote access amat sungguh penting, terlebih kalau Anda menciptakan jaringan ini untuk kepentingan komersial. Dalam proses accounting ini, perangkat remote access atau server sekuriti akan menghimpun isu seputar berapa usang si pengguna sudah terkoneksi, billing time (waktu start dan waktu stop) yang sudah dilaluinya selama pemakaian, hingga berapa besar data yang sudah dilewatkan dalam transaksi komunikasi tersebut. Data dan isu ini akan memiliki faedah sekali untuk pengguna maupun administratornya. Biasanya isu ini akan dipakai dalam melaksanakan proses auditing, menciptakan laporan pemakaian, penganalisisan karakteristik jaringan, pengerjaan billing tagihan, dan banyak lagi. Fasilitas accounting pada jaringan remote access lazimnya juga memungkinkan Anda untuk melaksanakan monitoring terhadap layanan apa saja yang dipakai oleh pengguna. Dengan demikian, kepraktisan accounting sanggup mengetahui seberapa besar resource jaringan yang Anda gunakan. Ketika kepraktisan AAA diaktifkan pada suatu perangkat jaringan remote access, perangkat tersebut akan melaporkan setiap transaksi tersebut ke keselamatan server. Tergantung pada protokol sekuriti apa yang Anda gunakan, maka cara melaporkannya pun berbeda-beda. Setiap record accounting akan menghipnotis nilai-nilai atribut dari proses AAA yang lain menyerupai authentication dan authorization. Semua isu yang saling terkait ini kemudian disimpan di dalam database server sekuriti atau kalau memang diperlukan, kumpulan isu ini sanggup disimpan di server khusus tersendiri. Biasanya server khusus billing dikehendaki kalau penggunanya sudah berjumlah sungguh banyak. Berikut ini yaitu tumpuan cara kerja RADIUS:
    1. Sebuah Wireless Node (WN) / Supplicant dengan alamat IP 192.168.10.30 dan IP yang sudah terdaftar dalam pemfilteran MAC ADDRESS meminta susukan ke wireless network atau Access Point (AP).

    2. Access Point (AP) akan menanyakan identitas Supplicant. Tidak ada trafik data selain Client yang diperbolehkan sebelum Supplicant terautentikasi. Dalam hal ini, Access point bukanlah suatu autentikator, tetapi access point berisi autentikator.

    3. Setelah nama-pengguna dan password dikirim, proses autentikasi dimulai. Autentikator mengenkapsulasi kembali pesan ke dalam format RADIUS, dan mengirimnya ke RADIUS server. Selama proses autentikasi, autentikator cuma menyodorkan paket antara Supplicant dan RADIUS server. Setelah proses autentikasi selesai, RADIUS server mengantarkan pesan berhasil (atau gagal, apabila proses autentikasinya gagal.) Apabila proses autentikasi sukses, Supplicant diperbolehkan untuk mengakses wireless LAN dan/atau internet.

    4. Jika nama Supplicant tidak terautentifikasi, maka radius server akan mengirim pesan gagal. Dan proses authentifikasi tidak berlangsung atau gagal.
Contoh Implementasi

RADIUS lazimnya dipakai oleh ISP (Internet Service Provider) atau penyedia layanan internet untuk melaksanakan Authentication (pembuktian keaslian pengguna), Authorize (mengatur derma hak/otoritas) dan Accounting (mencatat penggunaan layanan yang digunakan).

RADIUS melakukan tata cara tata kelola pengguna yang terpusat. Sistem ini akan membuat lebih mudah kiprah administrator. Dapat kita bayangkan berapa banyak jumlah konsumen yang dimiliki oleh suatu ISP, dan ditambah lagi dengan penambahan konsumen gres dan peniadaan konsumen yang sudah tidak berlangganan lagi.

Apabila tidak ada suatu tata cara tata kelola yang terpusat, maka akan menyibukkan eksekutif dan tidak menutup kemungkinan ISP akan merugi atau pendapatannya berkurang.

Dengan tata cara ini pengguna sanggup menggunakan hotspot di kawasan yang berbeda-beda dengan melaksanakan autentikasi ke suatu RADIUS server.

Related : Remote Access Dial-In User Service (Radius)

0 Komentar untuk "Remote Access Dial-In User Service (Radius)"