2.2.8 Desain Wireless LAN WLAN

Menurut Gunawan 2004, pp77-120, perancangan jaringan wireless terbagi dalam 3 fase, yaitu : 1. Planning Merencanakan kebutuhan akan jaringan wireless. Menganalisis kebutuhan user mencakup kebutuhan bandwidth, lokasi atau tempat yang membutuhkan wireless. Keuntungan dan kekurangan wireless yang harus diperhatikan, yaitu kecepatan media wireless, biaya, dan mobilitas. 2. Desaining Biasa disebut blind desain, merencanakan lokasi-lokasi penempatan access point. Ini merupakan desain awal dan belum teruji. Dalam desain harus memperhatikan : a. Attenuation penurunan kekuatan gelombang radio. b. Sifat-sifat dari radio yang mudah terpengaruh oleh objek di sekitar. c. Interferensi dengan perangkat lain. d. Struktur bangunan. e. Pemilihan antena. f. Jaringan yang sudah ada. 3. Site Surveying Pada fase ini dilakukan pengujian pada tempat atau lokasi untuk pemasangan jaringan wireless. Pengujian ini berdasar dari desain, yaitu mengukur setiap varibel yang ada. Setelah dilakukan pengujian dilakukan revisi jika diperlukan. Pertimbangan dalam melakukan site survey adalah cakupan area dan kecepatan atau bandwidth.

2.2.9 Keamanan Wireless LAN WLAN

Wireless LAN khususnya IEEE 802.11, berkembang dengan pesatnya. Perkembangan ini menimbulkan masalah dalam hal keamanan. Masalah keamanan dalam wireless LAN sekarang ini menjadi satu hal yang penting Prasad, 2005, p95.

A. Ancaman Pada Keamanan Wireless LAN

Suatu sistem jaringan digunakan untuk menghubungkan dan saling komunikasi antar perangkat dalam jaringan. Dalam proses pengiriman data dan komunikasi dibutuhkan jaringan yang aman. Ancaman yang mungkin terjadi dan tujuan dari keamanan di jelaskan di bawah ini Prasad, 2005, p95. Menurut Prasad 2005, pp96-97 Ancaman atau serangan dalam keamanan jaringan di bagi menjadi dua, yaitu : 1. Pasif Serangan pasif adalah suatu situasi dimana intruder seseorang yang melakukan serangan tidak melakukan apapun pada jaringan tetapi ia mengumpulkan informasi untuk keuntungan pribadi atau untuk tujuan penyerangan yang lain. Serangan pasif dibagi menjadi dua yaitu : a. Eavesdropping Ini merupakan ancaman yang umum terjadi. Dalam serangan ini intruder mendengarkan apapun dalam komunikasi di jaringan. Informasi yang didapatkan bisa berupa session key, atau informasi lain yang cukup penting. b. Traffic analysis Serangan ini hampir tidak kelihatan. Serangan ini bertujuan untuk mendapatkan lokasi dan identitas dari device-device atau orang-orang yang berkomunikasi. Informasi yang mungkin dikumpulkan oleh intruder seperti berapa pesan yang telah dikirim, siapa mengirim pesan kepada siapa, berapa sering ia mengirim, dan berapa ukuran dari pesan tersebut. 2. Aktif Serangan aktif yaitu ketika intruder melakukan modifikasi pada data, jaringan, atau traffic dari jaringan. Serangan aktif dibagi menjadi : a. Masquerade Serangan ini dimana ketika intruder yang masuk ke jaringan dianggap sebagai trusted user orang yang benar. Serangan ini bisa dilakukan ketika intruder telah mendapatkan data user authentication data contohnya data username dan passwords. b. Authorization violation Serangan yang dilakukan oleh intruder atau bahkan oleh user yang ada di jaringan itu sendiri dimana menggunakan layanan services atau sumber daya resources walaupun sebenarnya ia dilarang untuk menggunakannya. Dalam kasus ini intruder sama seperti masquerading, telah masuk ke jaringan dan memiliki akses yang seharusnya tidak diijinkan. Atau pengguna jaringan yang mencoba untuk mengakses yang seharusnya tidak diijinkan. Hal ini bisa terjadi karena kurangnya keamanan dari sistem jaringan yang ada. c. Denial of service DoS Serangan DoS dilakukan untuk mencegah atau menghalangi penggunaan fasilitas komunikasi normal. Dalam kasus jaringan wireless secara mudah dilakukan dengan membuat interferensi di sekitar jaringan yang akan diserang. Sabotase juga merupakan salah satu contoh serangan DoS. Yaitu dengan cara menghancuran sistem jaringan tersebut. d. Modification atau forgery information Intruder menciptakan informasi baru atau memodifikasi ataupun menghancurkan informasi kemudian dikirimkan atas nama seorang pengguna yang sah. Atau seorang intruder yang secara sengaja membuat sebuah pesan menjadi terlambat.

B. Standar Keamanan Wireless LAN 1. WEP Wired Equivalent Privacy

Merupakan teknik keamanan pada wireless dengan cara mengenkripsi data yang lewat media wireless. Berdasarkan pada standar IEEE 802.11 WEP menggunakan algoritma enkripsi RC4 dengan 40 bit key. Untuk otentikasinya dapat menggunakan metode open authentication dan shared key authentication. Open authentication adalah metode otentikasi yang ditetapkan oleh IEEE 802.11 sebagai setting-an default pada wireless LAN. Dengan otentikasi ini, client bisa berasosiasi dengan access point hanya dengan memiliki SSID yang benar. Jika SSID antara client maupun access point sudah sesuai, maka client diperbolehkan untuk berasosiasi dengan jaringan wireless LAN. Dalam Open Authentication, dapat digunakan enkripsi WEP untuk mengenkripsi data yang ditransmit antara client dengan access point. Enkripsi dilakukan hanya pada saat client sudah dapat berotentikasi dan berasosiasi dengan access point. Bila WEP key digunakan, client dan access point harus mempunyai WEP key yang sama. Jika client menggunakan WEP key yang berbeda dengan access point, maka data yang dikirim tidak dapat dibaca oleh client ataupun access point karena data dienkripsi dengan WEP key yang berbeda. Pada WEP dalam satu paket hanya segment data payload saja yang dienkripsi, sedangkan header paket tidak dienkripsi. Jika client tidak mempergunakan WEP key sedangkan access point menggunakan WEP key, client tetap dapat melakukan asosiasi ke dalam access point. Karena header paket tidak dienkripsi, Client ini tetap memiliki hak akses ke dalam jaringan, tetapi tidak dapat membaca isi paket yang dikirim oleh access point karena paket tersebut telah dienkripsi. Sehingga jika ingin membaca isi paket yang dikirim maka harus mempunyai WEP key yang sama dengan access point untuk dapat mendekripsi paket tersebut. Pada metode Shared Key, access point akan mengirim “challenge” text yang tidak dienkripsi kepada client sebagai proses otentikasi. Client yang menerima harus mengenkripsi “challenge” text tersebut lalu mengembalikannya ke access point. Access point akan membandingkan paket “challenge” text yang dienkripsi tersebut dengan yang dimilikinya sendiri. Jika sama maka client diperbolehkan berasosiasi ke dalam jaringan. Shared Key ini kurang aman jika dibandingkan dengan Open Authentication karena sangat mungkin intruder untuk menangkap kedua paket tersebut plain text dan chiper text lalu memprediksi dan mendapatkan algoritma enkripsi serta kunci enkripsi yang dipakai.

2. WPA Wi-Fi Protected Access

Salah satu latar belakang munculnya WPA ini adalah adanya kekurangan dari WEP yaitu dipergunakannya kunci enkripsi yang statik. Sehingga kunci enkripsi ini harus dimasukkan manual pada access point dan juga semua client. Hal ini tentu saja sangat membuang-buang waktu. Selain itu WEP masih dapat dengan mudah ditembus oleh intruder seperti : data di udara yang terenkripsi dapat diambil lalu didekripsi, merubah data yang ditransmit, dan juga dalam WEP otentikasi masih sangat mudah untuk ditembus. WPA menggunakan skema enkripsi yang lebih baik, yaitu Temporal Key Integrity Protocol TKIP. WPA juga mengharuskan client untuk melakukan otentikasi menggunakan metode 802.1X EAP, jika otentikasi berhasil maka access point akan memberikan seperangkat kunci enkripsi yang telah di-generate oleh TKIP. Dalam WPA juga dapat ditambah dengan fungsi IV Key Hashing dan MIC Message Integrity Check. IV Key Hashing berguna untuk merubah alur perubahan kunci enkripsi dan MIC Message Integrity Check berguna untuk melindungi dan membuang paket-paket yang tidak dikenal sumbernya. a. Metode enkripsi TKIP Temporal Key Integrity Protocol TKIP standarnya menggunakan key size 128 bit, tetapi ada beberapa access point yang mendukung fasilitas dengan key size 40 maupun 128 bit. TKIP ini secara dinamik akan meng- generate key yang berbeda-beda lalu didistribusikan ke client. TKIP menggunakan metodologi key hierarchy dan key management dalam meng-generate kunci enkripsi untuk mempersulit intruder dalam memprediksi kunci enkripsi. Dalam hal ini, TKIP bekerja sama dengan 802.1X EAP. Setelah authentication server menerima otentikasi dari client, authentication server ini lalu meng-generate sepasang kunci master pair-wise key. TKIP lalu mendistribusikannya kepada client dan access point dan membuat key hierarchy dan management system menggunakan kunci master untuk secara dinamik meng-generate kunci enkripsi yang unik. Kunci enkripsi ini yang dipakai mengenkripsi setiap paket data yang ditransmit dalam jaringan wireless selama client session berlangsung. TKIP key hierarchy sanggup menghasilkan sekitar 500 milyar kombinasi kunci yang dapat dipakai untuk mengenkripsi paket data. b. WPA dengan PSK Pre Shared Key Dengan PSK, WPA tidak menggunakan TKIP sebagai peng-generate kunci enkripsi, melainkan telah ditentukan sebelumnya beberapa kunci statik yang akan digunakan secara acak oleh access point sebagai kunci enkripsi. Kunci statik ini harus didefinisi pada client juga dan harus sama dengan yang ada pada access point. c. Metode Otentikasi dalam WPA WPA menggunakan otentikasi 802.1X dengan salah satu dari tipe EAP yang ada sekarang ini. 802.1X adalah otentikasi dengan metode port-based network access control untuk jaringan wired dan juga jaringan wireless.

3. WPA2

Seperti yang dapat disimpulkan ketika dilihat dari namanya, WPA2 adalah versi kedua dan terbaru dari WPA. Enkripsi TKIP, otentikasi 802.1XEAP dan PSK yang merupakan fitur dalam WPA dimasukkan juga kedalam WPA2. Yang membedakan antara keduanya adalah metode enkripsinya. Dimana WPA menggunakan RC4, sedangkan WPA2 menggunakan Advanced Encryption Standard AES. Metode enkripsi AES ini diyakini lebih kuat dan aman dibanding dengan RC4. Metode AES ini dapat mempergunakan key sizes 128, 192 ataupun 256 bits.

4. EAP Extensible Aunthentication Protocol

Adalah suatu protokol untuk jaringan wireless dimana merupakan perluasan dari metode otentikasi Point-To-Point Protocol PPP, protokol sering digunakan ketika menghubungkan komputer ke Internet. EAP dapat mendukung berbagai mekanisme otentikasi, seperti certificates, token card token cards, smart card, one-time passwords, dan public key encryption autentication.

5. PAP

PAP Password Authentication Protocol adalah bentuk otentikasi paling dasar, di mana username dan password yang ditransmisikan melalui jaringan dan dibandingkan dengan tabel pasangan username dan password. Biasanya password yang disimpan dalam tabel terenkripsi. Otentikasi dasar yang digunakan dalam protokol HTTP adalah PAP. Kelemahan pokok PAP adalah bahwa username dan password dikirim tanpa dienkripsi lebih dahulu. Agoritma yang digunakan untuk menyembunyikan informasi username dan password terdiri dari banyak proses. Pertama, RADIUS klien akan mendeteksi nilai identifier dan shared secret, lalu mengirimnya untuk diproses dengan MD5 hashing. Informasi password pengguna akan diteruskan pada proses XOR dan hasil dari kedua proses ini akan dimasukkan pada attribut username dan password. Kemudian server RADIUS yang menerima paket tersebut akan melakukan prosedur sebelumnya tetapi dengan urutan terbalik, sehingga server RADIUS dapat menentukan otorisasi bagi pengguna. Mekanisme penyembunyian password ini digunakan untuk mencegah pengguna mengetahui penyebab kegagalan proses otentikasi apakah disebabkan kesalahan pada password atau shared secret.

6. CHAP

Challenge Handshake Authentication Protocol CHAP merupakan salah satu protokol point to point yang menyediakan layanan otentikasi dengan menggunakan suatu identifier yang berubah-ubah dan suatu variabel challenge. CHAP digunakan secara periodik untuk memverifikasi pengguna atau host network menggunakan suatu metode yang dinamakan 3-way handshake. Proses ini dilakukan selama inisialisasi link establishment. Dan sewaktu- waktu bisa saja diulang setelah hubungan telah terbentuk. 1. Challenge : authenticator membuat sebuah frame yang dinamakan challenge dan dikirimkan initiator. Frame ini berisi text sederhana yang disebut challenge text. 2. Response : initiator menggunakan password untuk melakukan proses encrypt pada challenge text. Kemudian challenge text yang sudah ter-encrypt dikirimkan kepada authenticator. 3. Success or Failure : authenticator melakukan sesi pencocokkan pesan yang di encrypt tersebut dengan challenge text miliknya yang di encrypt dengan password yang sama. Jika hasil encrypt initiator sama dengan hasil encrypt authenticator, maka authenticator menyatakan proses otentikasi sukses. Sebaliknya jika tidak ditemukan kecocokan, maka proses otentikasi failure. Algoritma CHAP mensyaratkan bahwa panjang nilai secret minimal harus delapan oktet 64-bit. Dan juga nilai secret tersebut diusahakan tidak terlalu pendek serta susah untuk ditebak tidak bersifat umum, contoh : root, 123456, dan lain-lain. Nilai secret tersebut disarankan minimal sepanjang nilai hash-nya hal ini tergantung dari algoritma hash yang dipilih atau dengan kata lain panjangnya tidak kurang dari nilai hash-nya. Hal ini dimaksudkan agar cukup tahan terhadap exhaustive search attack. Masing-masing nilai challenge harus unique tidak sama satu sama lain, karena perulangan dari nilai challenge tersebut dalam hal ini untuk nilai secret yang sama, akan memberikan peluang bagi attacker untuk melakukan replay attack. Oleh karena itu diharapkan bahwa untuk nilai secret yang sama yang digunakan untuk melakukan otentikasi dengan server-server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifat unpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan-serangan aktif dengan jangkauan yang luas.

C. Tujuan Dalam Keamanan Jaringan

Ada beberapa hal yang menjadi tujuan dalam keamanan jaringan security requirement yaitu Prasad, 2005, p95 : 1. Authentication Meyakinkan bahwa komunikasi yang terjadi adalah benar. Dalam contoh seperti komunikasi antara terminal dan host. Pertama ketika koneksi di inisialisasi service mengecek apakah dua entity ini sah. Yang kedua service harus meyakinkan kalau dalam koneksi ini tidak ada yang menyusup. 2. Confidentiality Memproteksi data yang lewat pada jaringan dari orang-orang yang tidak diijinkan. Untuk memenuhi hal ini dapat dilakukan dengan membuat enkripsi selama pengiriman data. Tetapi dalam serangan aktif, enkripsi mungkin saja bisa di tembus dengan men- decrypt data tersebut. Intruder ini harus mempunyai kemampuan matematika ataupun cryptographer yang cukup baik, dengan mengunakan komputer yang cukup kuat, dan punya banyak waktu. Confidentiality utamanya untuk menjaga dari serangan pasif. 3. Integrity Mencegah orang-orang tidak berwenang untuk mengubah data. Hanya orang tertentu yang mempunyai kewenangan ini yang dapat mengubah data. Perubahan ini mencakup perubahan status, penghapusan, pembuatan, penundaan dari pesan yang dikirimkan. 4. Access Control Dalam konteks keamanan jaringan, access control adalah kemampuan untuk membatasi dan mengendalikan akses kepada sistem, jaringan, dan aplikasi. Walau authentication terpisah namun access control sering digabungkan dengan authentication. Pertama user akan ter-authenticate kemudian server memberikan aturan-aturan tentang hak aksesnya.

2.2.10 Captive Portal

Secara umum captive portal memiliki fungsi untuk mencegah atau memblokir koneksi yang tidak di inginkan dan mengarahkan client ke protokol tertentu, captive portal sebenarnya sama dengan router atau gateway yang memiliki fungsi untuk menyaring semua koneksi yang masuk dan menolak koneksi yang tidak di inginkan client tidak terdaftar. Pada saat seorang pengguna berusaha untuk melakukan browsing ke internet, captive portal akan memaksa pengguna yang belum terauthentikasi untuk menuju ke authentication web dan akan di beri prompt login termasuk informasi tentang hotspot yang sedang dia gunakan. Cara kerja captive portal adalah sebagai berikut : 1. User dengan wireless client diizinkan untuk terhubung wireless untuk mendapatkan IP address DHCP. 2. Block semua traffick kecuali yang menuju ke captive portal registrasiotentikasi berbasis web yang terletak pada jaringan. 3. Redirect atau belokkan semua traffick web ke captive portal. 4. Setelah user melakukan registrasi atau login, izinkan akses ke jaringan internet. Gambar 2.30 Cara Kerja Captive Portal

2.2.11 RADIUS Remote Access Dial-in User Service