02. admin server-proxy authentikasi

5/17/2018 02. Admin Server-Proxy Authentikasi - slidepdf.com

http://slidepdf.com/reader/full/02-admin-server-proxy-authentikasi 1/9

Raissa Nur Fauzia |Admin Server-Authentication Proxy

Proram Studi : TKJ

PROXY SERVER

(Authentikasi)

Nama : Raissa Nur Fauzia

Experimen : Admin Server Kelas : 3 TKJ B

No Experimen :Ins : Dodi Permana

Trimans Yogiana

TUJUAN

Siswa dapat memahami materi tentang proxy server.

Siswa dapat melakukan konfigurasi authentikasi proxy.

Siswa dapat mengaplikasikan materi autentikasi proxy dengan baik.

PENDAHULUAN

Autentifikasi Proxy

Squid server merupakan suatu daemon yang digunakan sebagai webcache ataupunproxy server. Squid server berfungsi untuk mempercepat akses internet denganmelakukan

caching permintaan terhadap DNS, situs web dan pencarian-pencarian padaweb. Squid

server juga dapat menjadi suatu alat pembantu keamanan yang memiliki prinsipkerja

menyaring lalu lintas yang keluar dari jaringan. Squid digunakan pada berbagaiperusahaan

dan lingkungan pendidikan untuk melakukan penyaringan jaringan terhadap situsatau web

yang akan diakses oleh client. Untuk melakukan pengawasan dan penyaringanterhadap

kinerja internet di dalam lingkungannya, squid menerapkan sistem autentikasi.

Dalampenggunaannya, squid meminta autentikasi dari semua client untuk dapat mengakses

jaringaninternet. Client diharuskan memasukkan username dan password yang telah

terdaftar padasquid proxy. Setelah client memasukkan informasinya, maka informasi ituakan dikirimkansecara langsung ke squid server untuk kemudian diautentikasi. Dalam

penerapannya,pengiriman informasi berupa username dan password tersebut tidak

terenkripsi, sehingga halini memungkinkan terjadinya pengambilan informasi ini oleh pihak

yang tidak berhak.Dalam melakukan fungsinya yang dapat melakukan pengawasan dan

penyaringanterhadap kinerja jaringan internet dan untuk menjamin kerahasiaan informasi

yang diakses olehclient, ada beberapa metode autentikasi yang dapat diterapkan pada

Squid, diantaranya adalahmetode autentikasi NCSA, metode autentikasi PAM dan metode

autentikasi LDAP.Autentikasi proxy adalah sebuah proxy yang membutuhkan hak akses

apabila klien ingin mengaksesnya. Hak akses ini berupa username dan password yang telah

terdaftar pada server proxy.System autentikasi pada squid mendukung 4 skema autentikasi yaitu :

1. Basic

2. Digest

3. NTLM

4. Negotiate

1. Basic authentication

Ini adalah skema autentikasi yang didukung oleh semua peramban (browser) utama.Dan

lebih dari itu, bisa berfungsi dengan baik di semua platform OS. Jadi kalau

inginmenggunakan skema autentikasi yang yakin berfungsi dengan baik di semua browser,pakailahskema autentikasi basic. Sayangnya skema autentikasi basic ini memiliki satu




kelemahan utama,yaitu proses pengiriman data user dan password dikirim dalam format

plain text. Jadi sangatrentan terhadap proses snip atau penyadapan saat proses autentikasi

berlangsung.Skema ini tidak disarankan ketika layanan yang diberikan akan diakses melalui

jaringaninternet. Tapi masih bisa ditolerir jika layanan itu dibuat untuk kalangan terbatas,

misalnya LANkantor. Dan karena squid pada umumnya digunakan di jaringan terbatas,skema autentikasi inimasih bisa digunakan. Helper atau program bantu untuk autentikasi ke

backend Squid menyediakan beberapa program bantu untuk skema autentikasi basic. Anda

bisa memilih manayang cocok dengan keperluan Anda.

1.LDAP: Autentikasi ke LDAP.

2.NCSA: Menggunakan format penulisan username dan password format NCSA.

3.MSNT: Autentikasi ke domain Windows NT.

4.PAM: Menggunakan skema autentikasi PAM yang umum digunakan di sistem

operasiUnix/Linux.

5.SMB: Menggunakan server SMB seperti Windows NT atau Samba.

6.getpwam: Menggunakan cara kuno, berkas password di Unix/Linux.

7.SASL: Mengggunakan pustaka SASL.

8.mswin_sspi: Windows native authenticator.

9.YP: Menggunakan database NIS.

2. Digest Authentication

Skema autentikasi digest diperkenalkan untuk mengatasi kelemahan yang ada di

skemaautentikasi basic. Skema ini lebih aman, karena pada saat autentikasi, data username

danpassword tidak dikirim dalam format plain text. Secara umum, kelebihan skema

autentikasidigest dibandingkan skema autentikasi basic, yaitu lebih aman. Tapi sayangnyatidak didukungoleh semua browser. Internet Explorer 5 & 6 adalah salah satu browser yang

tidak mendukung skema autentikasi digest.

3. NTLM Authentiaction

Ini adalah skema autentikasi yang diperkenalkan oleh Microsoft. Dengan menggunakan

skema autentikasi NTLM, semua user yang sudah login ke domain, ketika mengakses squid

tidakakan diminta lagi username dan password. Ini yang kita kenal sebagai proses Single

Sign On. Jikasudah sukses autentikasi di satu layanan, ketika ingin menggunakan layanan

lain tidak perlumemasukkan login dan password lagi, proses autentikasi berlangsung secara

transparan.Sayangnya, seperti yang mungkin Anda sudah bisa tebak, ini hanya berfungsi




dengan baik disistem operasi Windows. Dan tidak semua browser mendukung skema

autentikasi NTLM.Internet Explorer dan Firefox adalah salah satu browser yang mendukung

skema autentikasiNTLM. Chrome, Safari dan Opera adalah contoh browser yang belum

mendukung skemaautentikasi NTLM.Biasanya, untuk browser atau OS yang tidak

mendukung skema autentikasi NTLM, adapilihan fallback ke skema autentikasi basic. Helper

atau program bantu untuk autentikasi kebackend Paket samba menyertakan winbind ntlm

helper untuk membantu squid bisamemberikan layanan skema autentikasi NTLM.Sedikit

catatan di Debian atau Ubuntu, yang Anda gunakan adalah

/usr/bin/ntlm_auth,dan BUKAN ke /usr/lib/squid/ntlm_auth

4. Negotiate Authentication

Protokol negotiate diperkenalkan lagi-lagi oleh Microsoft, sering dikenal juga

sebagaiSPNEGO. Skema autentikasi ini memperbarui skema Single Sign On yang

sebelumnyamenggunakan autentikasi NTLM. Skema ini bisa dianggap sebagai wrapper (atau

alat bantu) untuk menggunakan salah satu dari autentikasi ke Kerberos atau NTLM.

Kelebihan skema ini, jauh lebih aman bila dibandingkan dengan skema autentikasi

NTLM.Kelemahannya, lagi-lagi hanya berfungsi dengan baik di lingkungan OS Windows.

Selainitu untuk saat ini mengkonfigurasi skema autentikasi negotiate agak ribet, karena

helper barutersedia untuk sistem operasi windows

NCSA Authentication

Saat ini perkembangan internet sudah sangat pesat, sehingga sangat mudahuntukmelakukan pencurian terhadap password milik seseorang yang berada pada jaringan

yang samadengan menggunakan sniffer tool biasa. Karena itulah sangat dibutuhkan sebuah

sistemautentikasi untuk menjaga keamanan dan kerahasiaan data yang dikirimkan melalui

sebuahproxy server.Terdapat berbagai jenis autentikasi yang dapat digunakan pada sistem

squid server,tetapi yang paling sederhana dari kesemua sistem autentikasi tersebut adalah

NCSAauthentication. NCSA authentication merupakan autentikasi berbasis httpd (web

server)password yang memungkinkan seorang client melakukan koneksi setelah

melakukanautentikasi berupa username dan password. Username dan password ini telah

tersimpan diserver dengan format yang telah ditentukan sebelumnya.

Cara kerja NCSA authentication adalah :

1.Client mengirimkan username dan password kepada sistem, yang telah terenrkripsi.

2.Sistem akan melakukan decoding ulang dari password dan membandingkan denganberkas

passwd yang ada pada server.

3.Jika password dan username cocok, maka client akan diizinkan untuk melakukan

koneksiinternet melalui proxy




ALAT & BAHAN

1. 1 buah pc dengan os Ubuntu, atau menggunakan virtual box

2. Package squid 3, apache2-utils, mini_httpd

3. Akses internet

LANGKAH KERJA

1) Siapkan semua alat dan bahn yang dibutuhkan.

2) Lalu lakukan konfigurasi ip address dan network, dan pastikan dapat berjalan dengan

baik.

3) Kemudian instalkan aplikasi squid3

apt-get install squid3

4) Buatlah folder passwd pada folder /etc/squid3

5) Aturlah squid.conf yamg terletak pada folder /etc/squid3/ untuk mengaturautentikasi

6) Masukanlah script berikut untuk melakukan autentikasi dengan mode basic

http_port 3128

icp_port 0

cache_dir ufs /cache 500 2 256

cache_mem 256 MB

cache_mgr raissa

visible_hostname [email protected]

minimum_object_size 1 KB

maximum_object_size 512 KB

auth_param basic program /usr/lib/squid3/ncsa_auth etc/squid3/passwd

auth_param basic realm raissa

auth_param basic children 2

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

mailto:[email protected]







Penjelasan :

•Auth_param basic program /usr/lib/squid/ ncsa_auth /etc/squid/passwd : merupakan

spesifikasi file password base64 dan juga lokasi program NCSA authentication.

• Auth_param basic children 3 : Jumlah dari proses autentikasi yang akan dilakukan

• Auth_param basic realm raissa : merupakan bagian teks yang akan ditampilkan bersama

“prompt” untuk meminta username dan password.

• Auth_param basic credentialsttl 2 hours : merupakan jumlah jeda waktu validasi yang

akan dilakukan untuk meminta username dan password dari user. Dalam hal ini, username

diset menjadi 2 jam.

• Auth_param basic casesensitive off : menspesifikasikan apakah username yang

dimasukkan bersifat case sensitive atau tidak.

• Acl ncsa proxy_auth REQUIRED : semua pengguna yang terautentikasi harus memenuhi

ACL yang bernama ncsa_users.

• http_access allow ncsa : mengizinkan akses terhadap layanan internet jika pengguna

berhasil diautentikasi.7) Buatlah username dan password untuk login pada saat melakukan autentikasi pada

browser (password ternkripsi pada file passwd) htpasswd passwd raissa

8) Melakukan autentikasi mode digest

http_port 3128

icp_port 0

cache_dir ufs /cache 500 2 256

cache_mem 256 MB

cache_mgr raissa

visible_hostname [email protected] minimum_object_size 1 KB








maximum_object_size 512 KB

auth_param digest program /usr/lib/squid3/digest_pw_auth etc/squid3/passwd

auth_param digest realm raissa

auth_param digest children 2

auth_param digest nonce_garbage_interval 5 minutesauth_param digest nonce_max_duration 30 minutes

auth_param digest nonce_max_count 50

9) Buatlah username dan password untuk login pada saat melakukan autentikasi pada

browser (password tidak ternkripsi pada file passwd) htpasswd -p passwd raissa

Parameter konfigurasi squid

visible_hostname : parameter ini mendefinisikan nama komputer proxy server Anda

, nilai

default parameter ini tidak diset. Terkadang pengguna awam sering menjumpai squi

d errror

dikarenakan parameter ini tidak diset dan squid mencoba menggunkan nama hostname komputer Anda yang ternyata hostname nya tidak ditulis lengkap dengan na




ma domain. parameter ini dapat diisi dengan nama komputer yang dilengkapi de

ngan nama domain.

http_port:parameter ini menunjukkan nomor port service squid. Nilai defaultnya dal

ah 3128

acl: parameter ini digunakan untuk mendefinisikan access control list format penulisannya

sebagai berikut:

acl <nama-acl> <tipe-acl> <pattern> [<pattern...>]

http_access: parameter ini menunjukkan rule yang akan diterapkan pada suatu acce

ss control list. Untuk skenario kita maka Anda harus mendefinisikan rule yang a

kan mengijinkan LAN Anda untuk dapat mengakses internet (tulis rule tersebut dibag

ian bawah dari pendefinisian acl )

10) Save konfigurasi tersebut

11) Kemudian buatlah folder cache

mkdir /cache

12) Restart squid3

invoke-rc.d squid3 restart

13) Kemudian ceklah proxy tersebut pada sisi client menggunakan browser

HASIL EXPERIMEN

1) Setting proxy pada browser client




2) Memasukkan password dan user baru

3) Isi file passwd

4) Autentikasi pada browser

KESIMPULAN

1) Proxy autentikasi dapat digunakan untuk memproteksi browser dengan

menggunakan password. Sehingga saat membuka browser terlebih dahulu harus

memasukkan username dan password.




2) Proxy dapat diterapkan pada client jika proxy diatur dalam browser yanag digunakan

oleh client tersebut.

02. admin server-proxy authentikasi

Documents