Selamat Datang !

Tugas sekolah si pimen :D

Minggu, 13 Februari 2011

PPP, CHAP dan Frame Relay

PPP (point to point protocol)

PPP protocol yang merupakan salah satu jenis koneksi WAN , adalah protocol point-to-point yang pada awalnya di kembangkan sebagai method encapsulation pada komunikasi point-to-point antara piranti yang menggunakan protocol suite. PPP protocol menjadi sangat terkenal dan begitu banyak diterima sebagai metoda encapsulation WAN khususnya dikarenakan dukungannya terhadap berbagai macam protocol seperi IP; IPX; AppleTalk dan banyak lagi. Berikut ini adalah fitur kunci dari PPP protocol ini:

1. PPP protocol beroperasi melalui koneksi interface piranti Data Communication Equipment (DCE) dan piranti Data Terminal Equipment (DTE).

2. PPP protocol dapat beroperasi pada kedua modus synchronous (dial-up) ataupun asynchronous dan ISDN.

3. Tidak ada batas transmission rate

4. Keseimbangan load melalui multi-link

5. LCP dipertukarkan saat link dibangun untuk mengetest jalur dan setuju karenanya.

6. PPP protocol mendukung berbagai macam protocol layer diatasnya seperti IP; IPX; AppleTalk dan sbgnya.

7. PPP protocol mendukung authentication kedua jenis clear text PAP (Password Authentication Protocol) dan enkripsi CHAP (Chalange Handshake Authentication Protocol)

8. NCP meng-encapsulate protocol layer Network dan mengandung suatu field yang mengindikasikan protocol layer atas.

Diagram berikut menunjukkan bagaimana PPP protocol dihubungkan dengan model OSI.

PPP Protocol vs model OSI

PPP Protocol vs model OSI

Spesifikasi PPP berakhir pada layer Data link. NCP (Network COntrol Protocol) mengijinkan PPP protocol mendukung protocol-2 layer bagian atas seperti IP; IPX; APleTalk dll. Fleksibilitas inilah yang membuat PPP protocol menjadi begitu popular. NCP bertindak sebagai interface antara Data Link layer (yg dispesifikasikan oleh PPP Protocol) dengan jaringan. PPP protocol menggunakan NCP untuk meng-encapsulate paket-2 layer Network. Paket PPP mengandung Header yang mengindikasikan pemakaian protocol layer Network.

PPP protocol Link Control Protocol (LCP) merupakan sayu set layanan-2 yang melaksanakan setup link dan administrasi meliputi:

1. Yesting dan negosiasi Link

2. Kompresi

3. Authentication

4. Deteksi error

Saat sesi dimulai, piranti-2 bertukar paket LCP untuk negosiasi layanan-2 pada yang terdaftar disini. Spesifikasi PPP protocol tidak mengandung standard layer Physical. Akan tetapi PPP protocol dapat berjalan pada bermacam-2 standard physical synchronous dan asynckronous termasuk:

1. Serial asynchronous seperti dial-up

2. ISDN

3. Serial synchronous

4. HIgh Speed Serial Interface (HSSI)

PPP protocol membentuk komunikasi dalam tiga fase:

1. Membuka link dan membentuk sesi dengan saling bertukar LCP

2. Membentuk opsi authentication melalui PAP atau CHAP, CHAP sangat direkomendasikan.

3. Setuju dengan protocol layer diatasnya (IP; IPX; AppleTalk; dll)

Konfigurasi PPP protocol

Default protocol point-to-point untuk router Cisco adalah HDLC (High-Level Data Link Control) yang mana umum dipakai pada leased line seperti T1; T3 dll, akan tetapu HDLC tidak support authentication. KDLC adalah patennya Cisco jadi bukan standard industry, jadi hanya bisa dipakai sesame Cisco saja.

Bagaimana cara untuk enable PPP protocol? Berikut ini adalah implementasi PPP protocol:

Router# configure terminal

Router (config)# interface serial 0

Router (config-if) # encapsulation ppp

Router (config-if) # exit

PPP protocol diinisialisasi dan di enable pada interface serial 0. Langkah selanjutnya adalah men-set jenis authentication yang dipakai:

Router (config) # int s0

Router (config-if) # ppp authentication pap

Or you can use the CHAP authentication method.

Router (config-if) # ppp authentication chap

Router (config-if) # ^Z

Router # show int s0

CHAP direkomendasikan sebagai metoda authentication PPP protocol, yang memberikan suatu authentication terenkripsi dua arah yang mana lebih secure daripada PAP. Jika jalur sudah tersambung, kedua server di masing-2 ujung saling mengirim pesan ‘Challenge’. Segera setelah pesan ‘Challenge’ terkirim, sisi remote yang diujung akan merespon dengan fungsi ‘hash’ satu arah menggunakan Message Digest 5 (MD5) dengan memanfaatkan user dan password mesin local. Kedua sisi ujung router harus mempunyai konfigurasi yang sama dalam hal PPP protocol ini termasuk metoda authentication yang dipakai.

Router (config) # username router password cisco

Router (config) # interface serial 0

Router (config-if) # encapsulation ppp

Router (config-if) # ppp chap hostname router

Router (config-if) # ppp authentication chap

Cara konfigurasi authentication jika digunakan metoda CHAP bisa dijelaskan dalam diagram berikut:

PPP protocol - CHAP authenticatin

PPP protocol - CHAP authenticatin

  • Konfigurasi kedua router dengan username dan password
  • Username yang dipakai adalah hostname dari router remote
  • Password yang dikonfigurasikan haruslah klop sama

Jika authentication PAP dipakai, password akan dipakai dan dikirim dalam authentication process. Akan tetapi jika CHAP dipakai, password merupakan shared secret yang tidak dikirim dalam proses authentication.

CHAP

(Challenge Handshake Authentication Protocol)

Pendahuluan

Challenge Handshake Authentication Protocol (CHAP) merupakan salah satu protokolPoint -to-Point yang menyediakan layanan otentikasi dengan menggunakan suatuidentifier yang berubah-ubah dan suatu variabel challenge. CHAP digunakan secara periodik untuk memverifikasi pengguna atau host network menggunakan suatu metode yang dinamakan 3-way handshake. Proses ini dilakukan selama inisialisasi link establishment. Dan sewaktu-waktu bisa saja diulang setelah hubungan telah terbentuk. Berikut di bawah ini proses yang terjadi pada protokol CHAP :
  1. Setelah fase link establishment selesai, otentikator mengirimkan sebuah pesanchallenge ke peer atau pasangan usernya.
  2. Peer meresponnya dengan menghitung suatu nilai hash-nya.
  3. Otentikator merespon nilai hash tersebut, kemudian membandingkannya. Jika nilai hash-nya sama, maka otentikasi valid, sebaliknya koneksi bisa saja diputus.
  4. Pada interval tertentu (ditentukan secara acak), otentikator mengirimkan suatuchallenge baru kepada peer dan peer meresponnya seperti pada tahap (2).
  5. Begitupun dengan otentikator merespon nilai hash tersebut seperti pada tahap (3).

Spesifikasi Umum CHAP

  1. Persyaratan Desain
Algoritma CHAP mensyaratkan bahwa panjang nilai secret minimal harus delapan oktet (64-bit). Dan juga nilai secret tersebut diusahakan tidak terlalu pendek serta susah untuk ditebak (tidak bersifat umum, contoh : root, 123456, dan lain-lain). Nilaisecret tersebut disarankan minimal sepanjang nilai hashnya (hal ini tergantung dari algoritma hash yang dipilih) atau dengan kata lain panjangnya tidak kurang dari nilai hashnya. Hal ini dimaksudkan agar cukup tahan terhadap exhaustive search attack. Masing - masing nilai challenge harus unique (tidak sama satu sama lain), karena perulangan dari nilai challenge tersebut dalam hal ini untuk nilai secret yang sama, akan memberikan peluang bagi attacker untuk melakukan replay attack. Oleh karena itu diharapkan bahwa untuk nilai secret yang sama yang digunakan untuk melakukan
otentikasi dengan server – server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifatunpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan – serangan aktif dengan jangkauan yang luas.
  1. Kelebihan
CHAP memberikan perlindungan terhadap playback attack yang dilakukan olehpeer. Kegunaan dari challenge yang diulang-ulang adalah dimaksudkan untuk membatasi waktu pembukaan untuk suatu single attack. Otentikator bertugas mengontrol frekuensi dan waktu dari challenges. Metode otentikasi ini tergantung pada suatu nilai secret yang hanya diketahui oleh otentikator danpeer yanag bersangkutan dimana nilai secret tersebut tidak dikirimkan lewat jaringannya. Walaupun otentikasinya bersifat satu arah (one way), melalui negosiasi CHAP pada kedua arah, maka nilai secret yang sama dapat dengan mudah digunakan untuk mutual authentication.
  1. Kekurangan
Disamping memiliki kelebihan, CHAP juga memiliki kekurangan yakni nilaisecret-nya harus tersedia dalam bentuk plaintext. Basis data untuk passwordyang terenkripsi satu arah, ada yang tidak bisa digunakan. Sehingga hal tersebut membuat CHAP tidak baik untuk jaringan yang lebih luas. Hal ini karena akan membuat instalasi yang besar yang harus dikelola di kedua pihak (peer) dalam jaringan.

Pilihan format konfigurasi untuk CHAP:

§ Type - 3
§ Length - 5
§ Authentication-Protocol - C223 (Hex) untuk CHAP
§ Algorithm - algoritma berisi satu oktet yang mengindikasikan metode authentikasi yang digunakan

Packet format

§ Code - mengidentifikasi tipe paket CHAP:
1. Challenge;
2. Response;
3. Success;
4. Failure.
§ Identifier – identifier yang digunakan dalam pencocokan challanges, responses and replies.
§ Length – panjang bit dari paket CHAP yang berisi Code, Identifier, Length and Data fields.
§ Data - 0 atau lebih oktet, formatnya ditentukan oleh Code field.

Challenge and response

Paket challenge digunakan untuk protokol autentikasi challenge-handshake (CHAP). Pihak autentikasi harus mengirim paket CHAP dengan kolom kode yang di-set 1. Tambahan paket challenge harus dikirim sampai paket Respon yang valid diterima, atau pilihan lain yang counternya telah berakhir.
Paket challenge dapat ditransmisikan setiap saat selama layer protokol jaringan dapat menjamin koneksi tidak mengalami perubahan.
Suatu pihak harus memperkirakan paket challenge selama fase autentikasi dan fase protokol Lapisan jaringan. Setiap kali paket challenge diterima, pihak tsb mengirim paket dengan kolom kode di-set 2 (response).
Setiap kali paket response diterima, pihak autentikasi akan membandingkan nilairesponse dengan nilai perhitungan yang diharapkan. Berdasarkan perbandingan ini, pihak autentikasi harus mengirim paket Sukses atau Gagal.
Implementasi: karena kesuksesan dapat hilang atau gagal, maka pihak autentikasi dapat mengulang paket response selama fase protokol lapisan jaringan menyelesaikan tahap autentikasi. Untuk mencegah penemuan alternatif Nama dan Kunci rahasia, setiap paket response yang diterima memiliki identitas challenge yang kembali dengan jawaban yang sama sebelumnya untuk challenge yang spesifik ( namun bagian pesan dapat berbeda). Setiap paket response yang diterima dalam fase lainnya harus dihilangkan secara diam-diam. Ketika kegagalan dapat dihilangkan dan pihak autentikasi memberhentikan hubungan, LCP terminate-request-terminate-ack akan memberikan indikasi lain bahwa autentikasi gagal.
Ringkasan mengenai format paket challenge dan response adalah sebagai berikut:
Field yang ditransmisikan dari kiri ke kanan.
1. Code
Bernilai: 1 untuk challenge
2 untuk response
2. Field Identifier
Field identifier berisi satu byte. Field identifier harus diubah setiap kali paketchallenge dikirim. ID response harus disalin dari kolom ID challenge yang menyebabkan response.
3. Value-size
Field ini berisi satu byte dan menjelaskan panjang dari kolom Value
4. Value
Field value ini berisi satu atau lebih byte. Byte yang terbesar ditransmisikan terlebih dahulu. Nilai dari challenge adalah variabel aliran dari byte. Pentingnya nilai challenge yang unik dan hubungannya dengan nilai rahasia akan dijelaskan lebih lanjut. Nilai challenge harus berubah setiap kalichallenge dikirimkan. Panjang dari nilai challenge bergantung pada metode yang digunakan untuk menghasilkan byte dan saling bebas terhadap algoritma hash yang digunakan.
Nilai response merupakan hasil perhitungan hash satu arah pada aliran byte yang terdiri dari Identitas, diikuti (di-concate dengan) nilai rahasia, dan nilaichallenge. Panjang dari nilai response bergantung pada algoritma hash yang digunakan. (MD5: 16-byte)
5. Name
Field dari Nama berisi satu atau lebih byte yang merepresentasikan identitas dari sistem transmisi paket. Tidak ada batasan pada isi dari field ini. Sebagai contoh, field ini dapat berisi rangkaian karakter ASCII atau identitas unik dalam syntax ASN.1. Nama tidak diperkenankan NUL atau CR/LF. Ukurannya ditentukan dari panjang Field.
Sukses dan Kegagalan
Jika Nilai yang diterima dalam Respon sama dengan yang nilai diharapkan, maka otentikator harus mengirimkan paket CHAP dengan kolom kode di-set ke 3 (Sukses).
Jika Nilai yang diterima dalam Respon tidak sama dengan yang diharapkan nilai, maka otentikator harus mengirimkan paket CHAP dengan kolom Kode diatur ke 4 (gagal), dan mengakhiri link.
Ringkasan mengenai format paket challenge dan response adalah sebagai berikut:
Field yang ditransmisikan dari kiri ke kanan.

Kode:
3 untuk Sukses;
4 untuk Kegagalan.
Identifier merupakan 1 oktet untuk membandingkan request dan replies. Identifier harus diambil dari field identifier pada respon.
Message merupakan 0 atau lebih oktet, isinya bisa dibaca dan tidak boleh mempengaruhi operasi dalam protocol, direkomendasikan isi dari pesan ini merupakan karakter ASCII antara decimal 32 sampai 126. Ukurannya ditentukan dari field length.

FRAME RELAY

Pengantar Frame Relay
wan.gifFrame Relay adalah protokol WAN yang beroperasi pada layer pertama dan kedua dari model OSI, dan dapat diimplementasikan pada beberapa jenis interface jaringan. Frame relay adalah teknologi komunikasi berkecepatan tinggi yang telah digunakan pada ribuan jaringan di seluruh dunia untuk menghubungkan LAN, SNA, Internet dan bahkan aplikasi suara/voice.

Frame relay adalah cara mengirimkan informasi melalui wide area network (WAN) yang membagi informasi menjadi frame atau paket. Masing-masing frame mempunyai alamat yang digunakan oleh jaringan untuk menentukan tujuan. Frame-frame akan melewati switch dalam jaringan frame relay dan dikirimkan melalui “virtual circuit” sampai tujuan.

Fitur Frame Relay

Beberapa fitur frame relay adalah sebagai berikut:

  1. Kecepatan tinggi
  2. Bandwidth Dinamik
  3. Performansi yang baik/ Good Performance
  4. Overhead yang rendah dan kehandalah tinggi (High Reliability)

Perangkat Frame Relay

Sebuah jaringan frame relay terdiri dari “endpoint” (PC, server, komputer host), perangkat akses frame relay (bridge, router, host, frame relay access device/FRAD) dan perangkat jaringan (packet switch, router, multiplexer T1/E1). Perangkat-perangkat tersebut dibagi menjadi dua kategori yang berbeda:

framerelaywan.gif

  • DTE: Data Terminating Equipment

DTE adalah node, biasanya milik end-user dan perangkat internetworking. Perangkat DTE ini mencakup “endpoint” dan perangkat akses pada jaringan Frame Relay. DTE yang memulai suatu pertukaran informasi.

  • DCE: Data Communication Equipment

DCE adalah perangkat “internetworking” pengontrol “carrier”. Perangkat-perangkat ini juga mencakup perangkat akses, teatpi terpusat di sekitar perangkat jaringan. DCE merespon pertukaran informasi yang dimulai oleh perangkat DTE.

Virtual Circuit (VC) Frame Relay

Pengantar Virtual Circuit (VC)

Suatu jaringan frame relay sering digambarkan sebagai awan frame relay (frame relay cloud), karena jaringan frame relay network bukan terdiri dari satu koneksi fisik antara “endpoint” dengan lainnya, melainkan jalur/path logika yang telah didefinisikan dalam jaringan. Jalur ini didasarkan pada konsep virtual circuit (VC). VC adalah dua-arah (two-way), jalur data yang didefinisikan secara software antara dua port yang membentuk saluran khusur (private line) untuk pertukaran informasi dalam jaringan.Terdapat dua tipe virtual circuit (VC):

  • Switched Virtual Circuit (SVC)
  • Permanent Virtual Circuit (PVC)

Switched Virtual Circuit (SVC)

Switched Virtual Circuits (SVC), adalah koneksi sementara yang digunakan ketika terjadi transfer data antar perangkat DTE melewati jaringan Frame Relay. Terdapat empat status pada sebuah SVC:

svc.gif

Empat status pada SVC :

  1. Call setup
  2. Data transfer
  3. Idling
  4. Call termination

Status SVC

Call Setup

svc_setup.gif

Call Setup: Dalam status awal memulai komunikasi, virtual circuit (vc) antar dua perangkat DTE Frame Relay terbentuk.

Data Transfer

svc_data.gif

Data Transfer: Kemudian, data ditransfer antar perangkat DTE melalui virtual circuit (vc).

Idling

svc_idle.gif

Idling: Pada kondisi “idling”, koneksi masih ada dan terbuka, tetapi transfer data telah berhenti.

Call Termination

svc_terminate.gif

Call Termination: Setelah koneksi “idle” untuk beberapa perioda waktu tertentu, koneksi antar dua DTE akan diputus.

Permanent Virtual Circuit (PVC)
pvc.gif
PVC adalah jalur/path tetap, oleh karena itu tidak dibentuk berdasarkan permintaan atau berdasarkan “call-by-call”. Walaupun jalur aktual melalui jaringan berdasarkan variasi waktu ke waktu (TDM) tetapi “circuit” dari awal ke tujuan tidak akan berubah. PVC adalah koneksi permanen terus menerus seperti “dedicated point-to-point circuit”.

Perbandingan PVC vs SVC
PVC lebih populer karena menyediakan alternatif yang lebih murah dibandingkan “leased line”. Berbeda dengan SVC, PVC tidak pernah putus (disconnect), oleh karena itu, tidak pernah terdapat status “call setup” dan “termination”. Hanya terdapat 2 status :

  • Data transfer
  • Idling

Format Frame “Frame Relay”
Struktur Frame

Dalam sebuah frame Frame Relay, paket data user tidak berubah, Frame Relay menambahkan header dua-byte pada paket. Struktur frame adalah sebagai berikut:

framerelay_frame.gif

  • Flags - menandakan awal dan akhir sebuah frame
  • Address - terdiri dari DCLI (data link connection identifier), Extended Address (EA), C/R, dan “Congestion control information”
  • DLCI Value - menunjukkan nilai dari “data link connection identifier”. Terdiri dari 10 bit pertama dari “Address field”/alamat.
  • Extended Address (EA) - menunjukkan panjang dari “Address field”, yang panjangnya 2 bytes.
  • C/R - Bit yang mengikuti byte DLCI dalam “Address field”. Bit C/R tidak didefinisikan saat ini.
  • Congestion Control - Tiga bit yang mengontrol mekanisme pemberitahuan antrian (congestion) Frame Relay.
  • Data - terdiri dari data ter-encapsulasi dari “upper layer” yang panjangnya bervariasi.
  • FCS - (Frame Check Sequence) terdiri dari informasi untuk meyakinkan keutuhan frame.

Pendeteksi Error pada Frame Relay

Frame Relay menerapkan pendeteksi “error” pada saluran transmisi, tetapi Frame Relay tidak memperbaiki “error”. Jika terdeteksi sebuah “error”, frame akan dibuang (discarded) dari saluran transmisi. Proses seperti ini disebut :

Cyclic redundancy check (CRC)

Cyclic redundancy check (CRC) adalah sebuah skema “error-checking” yang mendeteksi dan membuang data yang rusak (corrupted). Fungsi yang memperbaiki error (Error-correction) (seperti pengiriman kembali/retransmission data) diserahkan pada protokol layer yang lebih tinggi (higher-layer).

Implementasi Frame Relay

Frame Relay dapat digunakan untuk jaringan publik dan jaringan “private” perusahaan atau organisasi.

Jaringan Publik

Pada jaringan publik Frame Relay, “Frame Relay switching equipment” (DCE) berlokasi di kantor pusat (central) perusahaan penyedia jaringan telekomunikasi. Pelanggan hanya membayar biaya berdasarkan pemakain jaringan, dan tidak dibebani administrasi dan pemeliharan perangkat jaringan Frame Relay.

Jaringan “Private”

Pada jaringan “private” Frame Relay, administrasi dan pemeliharaan jaringan adalah tanggungjawab perusahaan (private company). Trafik Frame Relay diteruskan melalui “interface” Frame Relay pada jaringan data. Trafik “Non-Frame Relay” diteruskan ke jasa atau aplikasi yang sesuai (seperti “private branch exchange” [PBX] untuk jasa telepon atau untuk aplikasi “video-teleconferencing”).


Sumber :

http://www.sysneta.com/ppp-protocol

http://cryptoagi.blogspot.com/2010/05/challenge-handshake-authentication.html

http://mudji.net/press/?p=111
Diposting oleh di
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)