CHAP
Challenge Handshake Authentication Protocol(CHAP) adalah suatu protocol point to point yang menyediakan layanan autentikasi dengan menggunakan suatu identifier yang berubah-ubah dan suatu variable challenge. CHAP digunakan secara periodik untuk memverfikasi pengguna atau host network menggunakan metode yang dinamakan 3- way handshake. proses ini dilakukan selama inisialisasi link establishment.Proses ini dilakukan selama inisialisasi link establishment. Dan sewaktu-waktu bisa saja diulang setelah hubungan telah terbentuk. Berikut di bawah ini proses yang terjadi pada protokol CHAP :
- Setelah fase link establishment selesai, otentikator mengirimkan sebuah pesanchallenge ke peer atau pasangan usernya.
- Peer meresponnya dengan menghitung suatu nilai hash-nya.
- Otentikator merespon nilai hash tersebut, kemudian membandingkannya. Jika nilai hash-nya sama, maka otentikasi valid, sebaliknya koneksi bisa saja diputus.
- Pada interval tertentu (ditentukan secara acak), otentikator mengirimkan suatuchallenge baru kepada peer dan peer meresponnya seperti pada tahap (2).
- Begitupun dengan otentikator merespon nilai hash tersebut seperti pada tahap (3).
Spesifikasi Umum CHAP
- Persyaratan Desain
Algoritma CHAP mensyaratkan bahwa panjang nilai secret minimal harus delapan oktet (64-bit). Dan juga nilai secret tersebut diusahakan tidak terlalu pendek serta susah untuk ditebak (tidak bersifat umum, contoh : root, 123456, dan lain-lain). Nilaisecret tersebut disarankan minimal sepanjang nilai hashnya (hal ini tergantung dari algoritma hash yang dipilih) atau dengan kata lain panjangnya tidak kurang dari nilai hashnya. Hal ini dimaksudkan agar cukup tahan terhadap exhaustive search attack. Masing - masing nilai challenge harus unique (tidak sama satu sama lain), karena perulangan dari nilai challenge tersebut dalam hal ini untuk nilai secret yang sama, akan memberikan peluang bagi attacker untuk melakukan replay attack. Oleh karena itu diharapkan bahwa untuk nilai secret yang sama yang digunakan untuk melakukan
otentikasi dengan server – server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifatunpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan – serangan aktif dengan jangkauan yang luas.
otentikasi dengan server – server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifatunpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan – serangan aktif dengan jangkauan yang luas.
- Kelebihan
CHAP memberikan perlindungan terhadap playback attack yang dilakukan olehpeer. Kegunaan dari challenge yang diulang-ulang adalah dimaksudkan untuk membatasi waktu pembukaan untuk suatu single attack. Otentikator bertugas mengontrol frekuensi dan waktu dari challenges. Metode otentikasi ini tergantung pada suatu nilai secret yang hanya diketahui oleh otentikator danpeer yanag bersangkutan dimana nilai secret tersebut tidak dikirimkan lewat jaringannya. Walaupun otentikasinya bersifat satu arah (one way), melalui negosiasi CHAP pada kedua arah, maka nilai secret yang sama dapat dengan mudah digunakan untuk mutual authentication.
- Kekurangan
Disamping memiliki kelebihan, CHAP juga memiliki kekurangan yakni nilaisecret-nya harus tersedia dalam bentuk plaintext. Basis data untuk passwordyang terenkripsi satu arah, ada yang tidak bisa digunakan. Sehingga hal tersebut membuat CHAP tidak baik untuk jaringan yang lebih luas. Hal ini karena akan membuat instalasi yang besar yang harus dikelola di kedua pihak (peer) dalam jaringan.
Pilihan format konfigurasi untuk CHAP:
§ Type - 3
§ Length - 5
§ Authentication-Protocol - C223 (Hex) untuk CHAP
§ Algorithm - algoritma berisi satu oktet yang mengindikasikan metode authentikasi yang digunakan
Packet format
§ Code - mengidentifikasi tipe paket CHAP:
1. Challenge;
2. Response;
3. Success;
4. Failure.
§ Identifier – identifier yang digunakan dalam pencocokan challanges, responses and replies.
§ Length – panjang bit dari paket CHAP yang berisi Code, Identifier, Length and Data fields.
§ Data - 0 atau lebih oktet, formatnya ditentukan oleh Code field.
Challenge and response
Paket challenge digunakan untuk protokol autentikasi challenge-handshake (CHAP). Pihak autentikasi harus mengirim paket CHAP dengan kolom kode yang di-set 1. Tambahan paket challenge harus dikirim sampai paket Respon yang valid diterima, atau pilihan lain yang counternya telah berakhir.
Paket challenge dapat ditransmisikan setiap saat selama layer protokol jaringan dapat menjamin koneksi tidak mengalami perubahan.
Suatu pihak harus memperkirakan paket challenge selama fase autentikasi dan fase protokol Lapisan jaringan. Setiap kali paket challenge diterima, pihak tsb mengirim paket dengan kolom kode di-set 2 (response).
Setiap kali paket response diterima, pihak autentikasi akan membandingkan nilairesponse dengan nilai perhitungan yang diharapkan. Berdasarkan perbandingan ini, pihak autentikasi harus mengirim paket Sukses atau Gagal.
Implementasi: karena kesuksesan dapat hilang atau gagal, maka pihak autentikasi dapat mengulang paket response selama fase protokol lapisan jaringan menyelesaikan tahap autentikasi. Untuk mencegah penemuan alternatif Nama dan Kunci rahasia, setiap paket response yang diterima memiliki identitas challenge yang kembali dengan jawaban yang sama sebelumnya untuk challenge yang spesifik ( namun bagian pesan dapat berbeda). Setiap paket response yang diterima dalam fase lainnya harus dihilangkan secara diam-diam. Ketika kegagalan dapat dihilangkan dan pihak autentikasi memberhentikan hubungan, LCP terminate-request-terminate-ack akan memberikan indikasi lain bahwa autentikasi gagal.
Field yang ditransmisikan dari kiri ke kanan.
1. Code
Bernilai: 1 untuk challenge
2 untuk response
2. Field Identifier
Field identifier berisi satu byte. Field identifier harus diubah setiap kali paketchallenge dikirim. ID response harus disalin dari kolom ID challenge yang menyebabkan response.
3. Value-size
Field ini berisi satu byte dan menjelaskan panjang dari kolom Value
4. Value
Field value ini berisi satu atau lebih byte. Byte yang terbesar ditransmisikan terlebih dahulu. Nilai dari challenge adalah variabel aliran dari byte. Pentingnya nilai challenge yang unik dan hubungannya dengan nilai rahasia akan dijelaskan lebih lanjut. Nilai challenge harus berubah setiap kalichallenge dikirimkan. Panjang dari nilai challenge bergantung pada metode yang digunakan untuk menghasilkan byte dan saling bebas terhadap algoritma hash yang digunakan.
Nilai response merupakan hasil perhitungan hash satu arah pada aliran byte yang terdiri dari Identitas, diikuti (di-concate dengan) nilai rahasia, dan nilaichallenge. Panjang dari nilai response bergantung pada algoritma hash yang digunakan. (MD5: 16-byte)
5. Name
Field dari Nama berisi satu atau lebih byte yang merepresentasikan identitas dari sistem transmisi paket. Tidak ada batasan pada isi dari field ini. Sebagai contoh, field ini dapat berisi rangkaian karakter ASCII atau identitas unik dalam syntax ASN.1. Nama tidak diperkenankan NUL atau CR/LF. Ukurannya ditentukan dari panjang Field.
Sukses dan Kegagalan
Jika Nilai yang diterima dalam Respon sama dengan yang nilai diharapkan, maka otentikator harus mengirimkan paket CHAP dengan kolom kode di-set ke 3 (Sukses).
Jika Nilai yang diterima dalam Respon tidak sama dengan yang diharapkan nilai, maka otentikator harus mengirimkan paket CHAP dengan kolom Kode diatur ke 4 (gagal), dan mengakhiri link.
Ringkasan mengenai format paket challenge dan response adalah sebagai berikut:
Field yang ditransmisikan dari kiri ke kanan.
Kode:
4 untuk Kegagalan.
Identifier merupakan 1 oktet untuk membandingkan request dan replies. Identifier harus diambil dari field identifier pada respon.
Message merupakan 0 atau lebih oktet, isinya bisa dibaca dan tidak boleh mempengaruhi operasi dalam protocol, direkomendasikan isi dari pesan ini merupakan karakter ASCII antara decimal 32 sampai 126. Ukurannya ditentukan dari field length.
Frame Relay
Frame relay merupakan protocol WAN yang mempunyai performance tinggi yang bisa
memberikan koneksi jaringan WAN sampai 2,048 Mbps (dan bahkan bisa lebih tinggi) ke
berbagai belahan dunia. Frame relay menggunakan circuit virtual untuk koneksi site-2 dan
memberikan lebar pipa bandwidth berskala yang bisa dijamin (dengan menggunakan apa yang
disebut sebagai CIR- committed information rate). Frame relay begitu popular karena penawaran
bandwidth yan berskala melalui jalur digital. Dengan menggunakan konfigurasi standard frame
relay akan merupakan cara yang sederhana untuk meminimalkan masalah jaringan-2 frame relay.
Frame relay didesign untuk transmisi digital melalui medium yang sudah handal, yang
pada umumnya adalah fiber optic, bandingkan dengan jaringan yang menggunakan X.25 yang
pada awalnya didesign untuk jaringan transmisi analog melalui medium yang dianggap tidak
handal seperti standard line telpon.
Frame Relay adalah protokol packet-switching yang menghubungkan perangkat-perangkat
telekomunikasi pada satu Wide Area Network (WAN). Protokol ini bekerja pada lapisan Fisik
dan Data Link pada model referensi OSI. Protokol Frame Relay menggunakan struktur Frame
yang menyerupai LAPD, perbedaannya adalah Frame Header pada LAPD digantikan oleh field
header sebesar 2 bita pada Frame Relay.
Berikut ini adalah fitur utama dari frame relay:
Frame relay memberikan deteksi error tapi tidak memberikan recovery error.
Frame relay memberikan transfer data sampai 1.54Mbs
Frame relay mempunyai ukuran paket yang bervariable (disebut frame)
Frame relay bisa dipakai sebagai koneksi backbone kepada jaringan LAN
Frame relay bisa dimplementasikan melalui berbagai macam koneksi sambungan (56K,
T1, T3)
Frame relay beroperasi pada layer physical dan layer Data link pada model OSI
Keuntungan Frame Relay
Frame Relay menawarkan alternatif bagi teknologi Sirkuit Sewa lain seperti jaringan
X.25 dan sirkuit Sewa biasa. Kunci positif teknologi ini adalah:
Sirkuit Virtual hanya menggunakan lebar pita saat ada data yang lewat di dalamnya,
banyak sirkuit virtual dapat dibangun secara bersamaan dalam satu jaringan transmisi.
Kehandalan saluran komunikasi dan peningkatan kemampuan penanganan error pada
perangkat-perangkat telekomunikasi memungkinkan protokol Frame Relay untuk
mengacuhkan Frame yang bermasalah (mengandung error) sehingga mengurangi data
yang sebelumnya diperlukan untuk memproses penanganan error.
5. PRINSIP KERJA FRAME RELAY
• Aliran data pada dasarnya pengarahannya berbasis pada header yang memuat DLCI,
yang mendeskripsikan tujuan frame-nya. Jika jaringan mempunyai masalah dalam
menangani sebuah frame, baik yang disebabkan oleh kesalahan jaringan atau kemacetan
secara praktis ia akan membuang frame tersebut.
• Frame Relay membutuhkan jaringan dengan laju kesalahan yang rendah (low error rate)
untuk mencapai kinerja yang baik. Jaringannya tidak mempunyai kemampuan untuk
mengoreksi kesalahan, maka Frame Relay tergantung pada protokol-protokol pada
lapisan yang lebih tinggi di dalam piranti-piranti pengguna yang memiliki kecerdasan
untuk memulihkannya dengan mentransmisikan ulang frame-frame yang hilang.
• Pemulihan kesalahan oleh protokol-protokol lapisan yang lebih tinggi, walaupun itu
otomatis dan andal, adalah tidak ekonomis dipandang dari sudut penundaan pemrosesan
dan lebarpita. Maka mau tidak mau jaringannya harus meminimumkan terjadinya
pembuangan frame.
v. Implementasi
Frame Relay dapat digunakan untuk jaringan publik dan jaringan “private” perusahaan atau
organisasi.
1. Jaringan Publik
Pada jaringan publik Frame Relay, “Frame Relay switching equipment” (DCE) berlokasi
di kantor pusat (central) perusahaan penyedia jaringan telekomunikasi. Pelanggan hanya
membayar biaya berdasarkan pemakain jaringan, dan tidak dibebani administrasi dan
pemeliharan perangkat jaringan Frame Relay.
2. Jaringan “Private”
Pada jaringan “private” Frame Relay, administrasi dan pemeliharaan jaringan adalah tanggung
jawab perusahaan (private company). Trafik Frame Relay diteruskan melalui “interface” Frame
Relay pada jaringan data. Trafik “Non-Frame Relay” diteruskan ke jasa atau aplikasi yang sesuai
(seperti “private branch exchange” *PBX+ untuk jasa telepon atau untuk aplikasi “video-
teleconferencing”).
Konsep Cara Data ditransmisikan
1. Router membuat koneksi ke switch frame relay baik langsung maupun lewat CSU/DSU
2. Jaringan Frame relay mensimulasikan suatu koneksi “selalu on” dengan PVC
3. Outer pengirim mulai mengirim data segera tanpa membentuk suatu sesi
4. Switch frame relay melaksanakan pemeriksaan error tapi tidak memperbaiki error tersebut
5. Paket yang corrupt akan di jatuhkan tanpa notifikasi
6. Paket akan menjelajah melalu cloud frame relay tanpa adanya acknowledgement
7. Piranti pengirim dan penerima lah yang akan melakukan koreksi error
8. Switch frame relay akan mulai menjatukan paket jika kemapetan jalur mulai terbentuk
9. Kebanjiran atau kemampetan jaringanlah penyebab dari kehilangan paket secara umum pada
jaringan frame relay
10. Paket akan dihilangkan berdasarkan informasi pada bit Discard Elligable (DE)
11. Switch frame relay mengirim notifikasi Backward explicit congestion notification (BECN)
untuk mengisyaratkan menurunkan rate transfer data.
Konfigurasi Frame Relay dengan Cisco Router
Konfigurasi LAN di Head Office:
Network : 10.10.10.0
Subnet Mask : 255.255.255.0
Jumlah IP Host : 10.10.10.1 sd 10.10.10.254 (254 IP Addresses)
IP PC Server : 10.10.10.2
PC Client : 10.10.10.4 & 10.10.10.5
IP Ethernet Router : 10.10.10.1
Konfigurasi LAN Remote A/Branch Office:
Network : 10.10.11.0
Subnet Mask : 255.255.255.0
Jumlah IP Host : 10.10.11.1 sd 10.10.11.254 (254 IP Addresses)
PC Client : 10.10.11.2 & 10.10.11.4
IP Ethernet Router : 10.10.11.1
Konfigurasi LAN Remote B/Branch Office:
Network : 10.10.15.0
Subnet Mask : 255.255.255.0
Jumlah IP Host : 10.10.15.1 sd 10.10.15.254 (254 IP Addresses)
PC Client : 10.10.15.2 & 10.10.15.4
IP Ethernet Router : 10.10.15.1
Gambar Konfigurasi:
Konfigurasi Router Cisco Head Office
Konfigurasi Ethernet
RouterHQ#config term
RouterHQ(config)#interface fastethernet 0/0
RouterHQ(config-if)#ip address 10.10.10.1 255.255.255.0
RouterHQ(config-if)#speed auto
RouterHQ(config-if)#duplex auto
RouterHQ(config-if)#exit
Konfigurasi WAN Serial
Sub-interface for point-to-point connection
RouterHQ#config term
RouterHQ(config)#interface serial 0
RouterHQ(config-if)#encapsulation Frame Relay
RouterHQ(config-if)#Frame Relay LMI-type ansi
RouterHQ(config)#interface serial0.1 point-to-point
RouterHQ(config-subif)#ip address 192.168.1.1 255.255.255.252
RouterHQ(config-subif)#frame-relay interface-dlci 50
(contoh jika koneksi ke remote A menggunakan DLCI 50)
RouterHQ(config)#interface serial0.2 point-to-point
RouterHQ(config-subif)#ip address 192.168.1.5 255.255.255.252
RouterHQ(config-subif)#frame-relay interface-dlci 100
(contoh jika koneksi ke remote B menggunakan DLCI 100)
Konfigurasi Routing Statik ke Remote A dan Remote B
RouterHQ(config)#ip route 10.10.11.0 255.255.255.0 s0.1
RouterHQ(config)#ip route 10.10.15.0 255.255.255.0 s0.2
=========================================
Konfigurasi Router Cisco Remote A
Konfigurasi Ethernet
RouterA#config term
RouterA#(config)#interface fastethernet 0/0
RouterA#(config-if)#ip address 10.10.11.1 25.255.255.0
RouterA#(config-if)#speed auto
RouterA#(config-if)#duplex auto
RouterA#(config-if)#exit
Konfigurasi WAN Serial
Sub-interface for point-to-point connection
RouterA(config)#interface serial 0
RouterA(config-if)#encapsulation Frame Relay
RouterA(config-if)#Frame Relay LMI-type ansi
RouterA(config-if)#exit
!
RouterA(config)#interface serial0.1 point-to-point
RouterA(config-subif)#ip address 192.168.1.2 255.255.255.252
RouterA(config-subif)#frame-relay interface-dlci 50
Routing Statik ke Head Office
RouterA(config)#ip route 10.10.10.0 255.255.255.0 s0.1
=========================================
Konfigurasi Router Cisco Remote B
Konfigurasi Ethernet
Konfigurasi Ethernet
RouterB#config term
RouterB#(config)#interface fastethernet 0/0
RouterB#(config-if)#ip address 10.10.15.1 25.255.255.0
RouterB#(config-if)#speed auto
RouterB#(config-if)#duplex auto
RouterB#(config-if)#exit
Konfigurasi WAN Serial
Sub-interface for point-to-point connection
RouterB(config)#interface serial 0
RouterB(config-if)#encapsulation Frame Relay
RouterB(config-if)#Frame Relay LMI-type ansi
RouterB(config-if)#exit
!
RouterB(config)#interface serial0.1 point-to-point
RouterB(config-subif)#ip address 192.168.1.6 255.255.255.252
RouterB(config-subif)#frame-relay interface-dlci 100
Routing Statik ke Head Office
RouterB(config)#ip route 10.10.10.0 255.255.255.0 s0.1
=========================================
Hasil Show Running Configuration
RouterHQ#sh running
!
inteface FastEthernet 0
ip address 10.10.10.1 25.255.255.0
speed auto
duplex auto
inteface serial 0
encapsulation Frame-Relay
Frame Relay LMI-type ansi
interface serial 0.1 point-to-point
ip address 192.168.1.1 255.255.255.252
frame-relay interface-DLCI 50
interface serial 0.2 point-to-point
ip address 192.168.1.5 255.255.255.252
frame-relay interface-DLCI 100
!
ip classless
ip route 10.10.11.0 255.255.255.0 s0.1
ip route 10.10.15.0 255.255.255.0 s0.2
RouterA#sh running
!
inteface FastEthernet 0
ip address 10.10.11.1 25.255.255.0
speed auto
duplex auto
inteface serial 0
encapsulation Frame-Relay
Frame Relay LMI-type ansi
interface serial 0.1 point-to-point
ip address 192.168.1.2 255.255.255.252
frame-relay interface-DLCI 50
!
ip classless
ip route 10.10.10.0 255.255.255.0 s0.1
RouterB#sh running
!
inteface FastEthernet 0
ip address 10.10.15.1 25.255.255.0
speed auto
duplex auto
inteface serial 0
encapsulation Frame-Relay
Frame Relay LMI-type ansi
interface serial 0.1 point-to-point
ip address 192.168.1.6 255.255.255.252
frame-relay interface-DLCI 100
!
ip classless
ip route 10.10.10.0 255.255.255.0 s0.1
