Rabu, April 07, 2010

802.1x pada D-Link Managed Switch

Kita sering mendengar istilah 802.1x dalam enterprise network. Banyaknya dokumentasi mengenai ini seolah-olah membuatnya terlihat sulit, mahal dan complicated. Namun apakah penerapan 802.1x sesulit yang dibayangkan? Ternyata tidak juga, kami akan tunjukkan dibawah.

802.1x sangat berguna untuk memastikan bahwa hanya PC/Laptop yang legal saja yang bisa memasukin jaringan kita. Misalnya disebuah perusahaan pasti banyak menyediakan port Ethernet "nganggur" ntah di ruang meeting, ruang kerja, ruang tamu, dll. Disadari atau tidak membiarkan port ini kosong bisa menimbulkan masalah baik yang disengaja atau tidak disengaja. Misalnya, ada tamu penting (temen bos misalnya, takut dunk larang2 temen bos supaya ga colok2 laptopnya sembarangan hehehe), dan laptop tamu tsb ternyata mengandung virus/trojan, jadi begitu up akan menyebarkan ke jaringan kita.

Ada yang mengatakan, saya khan sudah buat VLAN utk tamu di port2 kosong di public area, benar membuat VLAN khusus utk tamu bisa membantu namun banyak kejadian tamu2 ini (terutama yg penting, lagi2 temen bos :-D) yg bisa akses kemana saja, termasuk plug di port kosong diruangan bos.

Solusi utk semua ini adalah 802.1x, Konsep dasar 802.1x framework adalah ada 3 bagian yang terlibat yaitu :

1. Supplicant (yaitu client)
2. Authenticator (yaitu Access Point atau Switch)
3. Authentication Server (yaitu Radius Server)

Cara kerjanya secara sederhana bisa digambarkan sbb :

Supplicant ----- Authenticator ----- Authentication Server

Supplicant akan mengirimkan paket EAP ke Authenticator lalu Authenticator akan menanyakan dan meneruskan ke Authentication Server, lalu Authentication Server akan challenge Supplicant menanyakan informasi yang diperlukan lalu Supplicant akan memberikan informasi, bila benar maka Authentication Server akan meminta Authenticator agar Supplicant diijinkan akses.

Sekarang kita bahas cara penerapannya dgn layout sederhana sbb :



Pada lab kali ini digunakan 2 buah PC dgn OS Windows dan 1 buah Managed Switch DES-3526. Software RADIUS server yang digunakan adalah FreeRADIUS utk Windows, ini bisa didownload di sini.


Setting RADIUS Server (Authentication Server)

Setelah didownload, install dan akan muncul icon FreeRADIUS di systray (no. 1) :


Klik kanan icon itu dan pilih "Edit Radius Client.conf" (no. 2), maka akan membuka aplikasi wordpad atau textpad, tambahkan kata2 berikut dan save bila sudah selesai :

client 192.168.10.50/24 {
secret = 12345
shortname = des-3526

}


Disini maksudnya kita menambahkan IP address yang akan menjadi authenticator dalam hal ini adalah D-Link Managed Switch DES-3526. Secret adalah password utk Authenticator.

Setelah itu pilih "Edit Users" (no. 3), dan tambahkan user yang kita inginkan, disini ditambahkan user dlink dgn password dlink :

dlink User-Password == "dlink"

Setelah itu pilih "Start FreeRADIUS.net in Debug Mode" untuk memudahkan kita melihat apa yang terjadi :



Pada windows tsb paling bawah akan ada tulisan "Ready to process request" artinya RADIUS server siap beraksi :-). Note : Untuk production, dianjurkan menggunakan "Start FreeRADIUS.net Service" karena bila menggunakan Debug Mode, begitu Windows ditutup maka RADIUS akan berhenti bekerja. Debug Mode hanya utk troubleshooting dan Fun saja :-)


Setting DES-3526 (Authenticator)

1. Ganti IP dari DES-3526 dgn command :

DES-3526:admin#config ipif System ipaddress 192.168.10.50/24
Command: config ipif System ipaddress 192.168.10.50/24


Success.

2. Setting mode dari 802.1x (DES-3526 support port-based dan mac-based, apa bedanya nantikan posting kami selanjutnya :-D), disini kita pilih port-based :

DES-3526:admin#config 802.1x auth_mode port_based
Command: config 802.1x auth_mode port_based

Success.

3. Setelah itu tentukan port mana saja yang akan diaktifkan 802.1x ini, disini contoh diaktifkan port 1-12 :

DES-3526:admin#config 802.1x capability ports 1-12 authenticator
Command: config 802.1x capability ports 1-12 authenticator


Success.

4. Lalu enable 802.1x :

DES-3526:admin#enable 802.1x
Command: enable 802.1x


Success.

5. Masukkan RADIUS server beserta secret yang sudah didefine diatas :

DES-3526:admin#config radius add 1 192.168.10.97 key 12345 default
Command: config radius add 1 192.168.10.97 key 12345 default


Success.

6. Verifikasi setingan spt dibawah ini :

DES-3526:admin#show 802.1x
Command: show 802.1x

802.1X : Enabled
Authentication Mode : Port_based
Authentication Protocol : Radius_EAP
Authentication Failover : Disabled
Forward EAPOL PDU : Disabled

Max Users : 448
RADIUS Authorization : Enabled

DES-3526:admin#show 802.1x auth_configuration ports 1-12

Command: show 802.1x auth_configuration ports 1-12


Port Number : 1

Capability : Authenticator

AdminCrlDir : Both
OpenCrlDir : Both
Port Control : Auto
QuietPeriod : 60 sec

TxPeriod : 30 sec
SuppTimeout : 30 sec
ServerTimeout : 30 sec
MaxReq : 2 times

ReAuthPeriod : 3600 sec
ReAuthenticate : Disabled

Forward EAPOL PDU On Port : Disabled

Max Users On Port : 16

DES-3526:admin#show radius
Command: show radius
Index IP Address Auth-Port Acct-Port Timeout Retransmit Key (secs)
----- --------------- --------- --------- ------- ---------- ----------------
1 192.168.10.97 1812 1813 5 2 12345


Setting PC (Supplicant)

1. Untuk Windows XP SP3, pastikan Service "Wired AutoConfig" sudah dalam posisi "Started"



2. Buka Properties dari LAN card PC tsb dan masuk ke tab "Authentication", pastikan "Enable IEEE 802.1X authentication" sudah dicentang dan pilih method " Protected EAP (PEAP)". Untuk lab kali ini kita menggunakan PEAP yang mudah, sementara yang lainnya (EAP-TLS/TTLS/etc) akan dibahas dilain kesempatan.



Disini kita punya opsi utk mengaktifkan "Cache user information for subsequent connections to this network", ini berfungsi agar OS tidak menanyakan credential information lagi bila kita konek utk kedua kali dst-nya. Dalam lab kali ini kita non-aktifkan saja biar lebih Fun :-D

3. Klik Setting dan set spt dibawah ini :



4. Bila sudah selesai, klik OK, kemudian OK sekali lagi dan siap utk dites.


Testing

1. Plug PC tsb ke port 1, maka DES-3526 akan menampilkan state "Authenticating" pada port 1 :

DES-3526:admin#show 802.1x auth_state ports 1
Command: show 802.1x auth_state ports 1

Port MAC Address State VLAN ID Assigned Priority
---- ---------------- ---------- ------ --------
1 - (p) Authenticating - -

2. Saat yang bersamaan pada PC akan meminta utk dimasukkan credential information :



3. Klik balloon tsb dan masukkan username n password spt yang sudah kita define di Users.conf pada RADIUS server diatas yaitu username : dlink, password : dlink


4. Klik OK maka proses authentication akan dimulai dan setelah beberapa saat PC akan terhubung ke jaringan dan mendapat IP dari DHCP server yang ada.

DES-3526:admin#show 802.1x auth_state ports 1
Command: show 802.1x auth_state ports 1


Port MAC Address State VLAN ID Assigned Priority

---- ---------------- ---------- ------ --------

1 - (p) Authenticated 1
-

5. Bila kita pasang sniffer di PC tsb maka akan terlihat jelas prosesnya :



Jadi menerapkan 802.1x pada jaringan sangat mudah bukan? Mahal? tidak, D-Link Managed Switch memberikan harga yang sangat baik (bahkan untuk para mahasiswa/pelajar yang tertarik utk belajar networking pun, harga kami sangat baik) dan Limited Lifetime Warranty tanpa harus membeli service apa2 lagi (misalnya ada beberapa merk yang memberikan Limited Lifetime Warranty tapi mengharuskan membeli Next Business Day service).

Info utk pembelian bisa lihat di http://www.dlink.co.id/corporate/wheretobuy.asp

Happy "Ngoprek" !! :-)

7 komentar:

besz mengatakan...

mas admin, numpang tanya.
kalau client nya di setting ip address automatically (dhcp) atau manual ya?

D-Link Indonesia mengatakan...

To : besz

Terima kasih atas pertanyaan anda.

"kalau client nya di setting ip address automatically (dhcp) atau manual ya?"

---> Pada contoh diatas client diset ke DHCP client (Automatically). Tapi bila ingin diset static pun tidak masalah karena proses 802.1x berlangsung sebelum IP address assignment.

Mudah2an membantu

besz mengatakan...

mas admin,
saya coba konfigurasi spt paparan diatas dan sudah berhasil mendapatkan ip address, hanya ip address nya belum sesuai dengan range yg sudah ditetapkan. Mungkin mas admin bisa bantu informasi bagian mana dari langkah - langkah diatas untuk pengaturan range ip address nya.
Terima Kasih untuk respon cepat nya.
:)

D-Link Indonesia mengatakan...

To : besz

Terima kasih atas pertanyaan anda.

"saya coba konfigurasi spt paparan diatas dan sudah berhasil mendapatkan ip address, hanya ip address nya belum sesuai dengan range yg sudah ditetapkan. Mungkin mas admin bisa bantu informasi bagian mana dari langkah - langkah diatas untuk pengaturan range ip address nya."

---> Range IP itu didapat dari DHCP Server, jadi di network itu ada DHCP Server (saya pake D-Link Router DIR-655, sbg DHCP Server). Dan rangenya saya tentukan dari 192.168.10.100 - 192.168.10.200.

Saya memang sengaja tidak mencantumkan di layout karena fokus pembahasannya adalah 802.1x framework sementara DHCP Server adalah komponen yang tidak terlibat dalam proses ini. Anda bisa lihat di gambar wireshark diatas, setelah EAP Success maka proses DHCP discover dari client baru dimulai.

Mudah2an membantu

Ahmad Fanirosyadi mengatakan...

pak admin,numpang tanya
kenapa ko tombol conec pada modem d-link dwm 152 ga bisa di klik pada windows 8?
trimakasih

xetiawan mengatakan...

trimakasih atas tutornya... saya baca baca dulu. nanti kalo saya ada kesulitan, mohon di bantu ya :)

Ami mengatakan...

Selamat pagi
saya mau tanya saya punya Router WIFI D-Link DIR-615 kenapa kalau dippakai password selalu susah masuk selalu harus reset dulu setelah nyambung di putus lagi ga bakal bisa masuk lagi dan harus di reset dulu
mohon pencerahannya