Gambar 1 Model AAA

Pada gambar 1 terlihat komponen-komponen yang terlibat dalam model AAA. Pada dasarnya terdapat tiga komponen yang membentuk model ini yaitu Remote User, Network Access Server (NAS), dan AAA server. Proses yang terjadi dalam sistem ini ialah user meminta hak akses ke suatu jaringan (internet, atau wireless LAN misalnya) kepada Network Access Server. Network Access Server kemudian mengidentifikasi user tersebut melalui AAA server. Jika server AAA mengenali user tersebut, maka server AAA akan memberikan informasi kepada NAS bahwa user tersebut berhak menggunakan jaringan, dan layanan apa saja yang dapat diakses olehnya. Selanjutnya, dilakukan pencatatan atas beberapa informasi penting mengenai aktivitas user tersebut, seperti layanan apa saja yang digunakan, berapa besar data (dalam ukuran bytes) yang diakses oleh user, berapa lama user menggunakan jaringan, dan sebagainya.

Authentication adalah suatu proses dimana user diidentifikasi oleh server AAA sebelum user menggunakan jaringan. Pada proses ini, user meminta hak akses kepada NAS untuk menggunakan suatu jaringan. NAS kemudian menanyakan kepada server AAA apakah user yang bersangkutan berhak untuk menggunakan jaringan atau tidak. Yang dimaksud dengan Authorization adalah pengalokasian layanan apa saja yang berhak diakses oleh user pada jaringan. Authorization dilakukan ketika user telah dinyatakan berhak untuk menggunakan jaringan. Accounting merupakan proses yang dilakukan oleh NAS dan AAA server yang mencatat semua aktivitas user dalam jaringan, seperti kapan user mulai menggunakan jaringan, kapan user mengakhiri koneksinya dengan jaringan, berapa lama user menggunakan jaringan, berapa banyak data yang diakses user dari jaringan, dan lain sebagainya. Informasi yang diperoleh dari proses accounting disimpan pada AAA server, dan dapat digunakan untuk berbagai keperluan seperti billing, auditing, atau manajemen jaringan.

RADIUS (Remote Authentication Dial-In User Service), adalah suatu metode standar (protokol) yang mengatur komunikasi antara NAS dengan AAA server. Dalam hal ini server AAA yang digunakan dapat juga disebut sebagai server RADIUS, dan paket-paket data yang terlibat dalam komunikasi antara keduanya disebut sebagai paket RADIUS.

Ketika NAS menerima permintaan koneksi dari user, NAS akan mengirimkan informasi yang diperolehnya dari user ke server RADIUS. Berdasarkan informasi tersebut, server RADIUS akan mencari dan mencocokkan informasi mengenai user tersebut pada databasenya, baik internal, eksternal, maupun server RADIUS lain. Jika terdapat informasi yang cocok, server RADIUS akan mengizinkan user tersebut untuk menggunakan jaringan. Jika tidak, maka user tersebut akan ditolak. Berdasarkan informasi ini, NAS memutuskan apakah melanjutkan atau memutuskan koneksi dengan user. Selanjutnya, NAS mengirimkan data ke server RADIUS untuk mencatat semua kegiatan yang dilakukan user dalam jaringan.

Server RADIUS dan NAS berkomunikasi melalui paket-paket RADIUS. Paket-paket RADIUS ini memiliki format sesuai dengan yang ditentukan oleh IETF melalui dokumen RFC 2865 mengenai RADIUS, dan RFC 2866 mengenai RADIUS accounting. Paket-paket RADIUS dikirimkan oleh NAS dan server RADIUS berdasarkan pola request/response : NAS mengirimkan request dan menerima response dari server RADIUS. Jika NAS tidak menerima response dari server atas suatu request, NAS dapat mengirimkan kembali paket request secara periodik sampai dicapai suatu masa timeout tertentu, dimana NAS tidak lagi mengirimkan request kepada server, dan menyatakan bahwa server sedang down/tidak aktif. Setiap paket memiliki fungsi tersendiri, apakah untuk authentication atau untuk accounting. Setiap paket RADIUS dapat menyertakan nilai-nilai tertentu yang disebut atribut (attributes). Atribut-atribut ini bergantung pada jenis paket (authentication atau accounting), dan jenis NAS yang digunakan. Informasi detail mengenai format paket dan nilai-nilai dari masing-masing field dalam paket RADIUS dapat dilihat pada RFC 2865 dan RFC 2866.

Fungsi authentication dilakukan melalui field-field pada paket access-request. Fungsi authorization dilakukan melalui atribut-atribut pada paket access-accept. Fungsi accounting dilakukan melalui atribut-atribut pada paket-paket accounting (paket start, stop, on, off, dll).

Keamanan pada komunikasi antara NAS dengan server RADIUS dijamin dengan digunakannya konsep shared secret. Shared secret merupakan rangkaian karakter alfanumerik unik yang hanya diketahui oleh server RADIUS dan NAS, dan tidak pernah dikirimkan ke jaringan. Shared secret ini digunakan untuk mengenkripsi informasi-informasi kritis seperti user password. Enkripsi dilakukan dengan cara melewatkan shared secret yang diikuti dengan request authenticator (field pada paket access request dari NAS yang menandakan bahwa paket tersebut merupakan paket access request) pada algoritma MD5 satu arah, untuk membuat rangkaian karakter sepanjang 16 oktet, yang kemudian di-XOR-kan dengan password yang dimasukkan oleh user. Hasil dari operasi ini ditempatkan pada atribut User-Password pada paket access request. Karena shared secret ini hanya diketahui oleh NAS dan server RADIUS, dan tidak pernah dikirimkan ke jaringan, maka akan sangat sulit untuk mengambil informasi user-password dari paket access request tersebut.

Steel-Belted RADIUS merupakan implementasi dari server RADIUS, yang dibuat oleh Funk Software (http://www.funk.com). Sebenarnya terdapat banyak implementasi server RADIUS lainnya seperti Cisco CNS Access Registrar (CAR), Freeradius, dan Windows Internet Authentication Service (IAS). Pemilihan software Steel-Belted RADIUS adalah karena software ini banyak digunakan pada jaringan wireless seperti PDSN atau wireless LAN, di samping platform-nya yaitu Windows atau UNIX, sehingga konfigurasi dan maintenance-nya cukup mudah dan intuitif.

Software ini memiliki beberapa feature yaitu :

a. Mendukung EAP-PEAP, protokol yang sering digunakan pada jaringan wireless Microsoft.

b. Mendukung perubahan password pada EAP-TTLS dan EAP-PEAP, sehingga user dapat mengganti password yang expired ketika proses otentikasi.

c. Menangani atribut RADIUS dengan adanya filter pada EAP-TTLS plug-in.

d. Mendukung Novell NDS dalam LDAP authentication plug-in.

e. Proses start-up yang lebih cepat.

f. Kontrol yang lebih baik dalam menangani EAP fragment length.

Sebagai contoh, software Steel-Belted RADIUS Global Enterprise Edition v4.04. Software ini merupakan shareware sehingga penggunaannya dibatasi selama 30 hari.

Fungsi authentication pada server ini dilakukan melalui berbagai metode otentikasi seperti Native user authentication, Pass through authentication, Proxy RADIUS authentication, External authentication, Directed authentication, dan Authenticate-only authentication. Fungsi authorization pada server ini dilakukan melalui atribut Service Type pada paket Access-accept dari server. Proses accounting dilakukan dengan menciptakan sebuah file log yang berisi berbagai informasi accounting, dan disimpan pada folder Service pada folder instalasi RADIUS (misal C:\\Program Files\\Radius\\Service).

Pada platform Windows, administrasi Steel-Belted RADIUS dilakukan melalui program Administrator (radadnt.exe). User interface dari program ini dapat dilihat pada gambar 2.

Dalam program ini terdapat berbagai radio button, yang jika diaktifkan akan membuka dialog untuk melakukan berbagai pilihan konfigurasi seperti konfigurasi client RADIUS, konfigurasi user dan profile, pool alamat IP, dan lain sebagainya.

Selain konfigurasi melalui program administrator, software ini juga dapat dikonfigurasi melalui file-file konfigurasi yang diletakkan pada folder Service pada folder instalasi RADIUS (misal C:\\Program Files\\Radius\\Service). File-file ini umumnya memiliki extension .ini, .dct, .dci, .aut, dan .acc.

Steel-Belted RADIUS merupakan implementasi dari server RADIUS, yang dibuat oleh Funk Software (http://www.funk.com). Pemilihan software Steel-Belted RADIUS adalah karena software ini banyak digunakan pada jaringan wireless seperti PDSN atau wireless LAN, di samping platform-nya yaitu Windows atau UNIX, sehingga konfigurasi dan maintenance-nya cukup mudah dan intuitif.