WNDW: Authentikasi
Sebelum diberi akses untuk ke sumber daya jaringan, user sebaiknya diauthentikasi terlebih dahulu. Di dunia ideal, setiap user nirkabel akan mempunyai identifier yang unik, tak bisa diubah, dan tidak bisa ditirukan oleh user lain. Ini ternyata masalah yang sangat sulit untuk diselesaikan di dunia nyata.
Fitur yang terdekat dengan identifier unik adalah alamat MAC. Ini adalah angka 48-bit yang diberikan pada setiap alat nirkabel dan Ethernet oleh pembuat alat. Dengan menjalankan mac filtering di akses point kami, kami bisa mengauthentikasi user berdasarkan dari alamat MAC mereka. Dengan fitur ini, akses point menyimpan internal table berisi alamat MAC yang sudah diakui. Kalau seorang user nirkabel berusaha untuk berrelasi ke akses point, alamat MAC klien harus ada di daftar yang diakui, atau relasi akan ditolak. Sebagai alternatif, AP mungkin menyimpan table berisi alamat MAC yang dikenal “buruk”, dan mengizinkan semua alat yang tidak ada di daftar untuk berelasi.
Sayangnya, ini bukan mekanisme keamanan yang ideal. Mempertahankan table MAC di setiap alat sangat tidak praktis, perlu mencatat semua alamat MAC client dan di upload ke AP. Lebih parah lagi, alamat MAC sering bisa diganti dengan software. Dengan memperhatikan alamat MAC di penggunaan pada jaringan nirkabel, seorang penyerang gigih bisa spoof / menipu (menirukan) alamat MAC yang diakui dan berhasil relasi kepada AP. Biarpun MAC filter akan mencegah user yang tak sengaja dan kebanyakan pengguna untuk mengakses jaringan, MAC filtering sendiri tidak bisa mencegah serangan dari penyerang yang gigih.
MAC filter berguna untuk membatasi akses untuk sementara dari client nakal. Misalnya, jika sebuah laptop mempunyai virus yang mengirim banyak spam atau trafik lain, alamat MAC-nya dapat ditambahkan ke table saringan untuk menghentikan trafik. Ini akan memberikan anda waktu untuk menemukan user itu dan membetulkan masalahnya.
Fitur authentikasi populer lain dari nirkabel adalah yang dinamakan jaringan tertutup. Di jaringan umum, AP akan membroadcast ESSID mereka banyak kali perdetik, membolehkan klien nirkabel (dan juga alat seperti NetStumbler) untuk menemukan jaringan dan menunjukan keberadaannya ke user. Di jaringan tertutup, AP tidak memberitahu ESSID, dan user harus mengetahui nama lengkap jaringan terlebih dahulu sebelum AP akan membolehkan relasi. Ini mencegah pemakai biasa untuk menemukan jaringan dan memilihnya di client nirkabel mereka.
Ada sejumlah kekurangan dari fitur ini. Memaksa pemakai untuk mengetik ESSID penuh sebelum bersambungan dengan jaringan biasanya banyak kesalahan dan sering menyebabkan menelpon bantuan dan pengaduan. Karena jaringan tidak jelas hadir di tool site survey seperti NetStumbler, ini bisa mencegah jaringan-jaringan anda terlihat di peta Wardriver. Tetapi menyatakan juga bahwa pembuat jaringan lainnya tidak bisa dengan mudah menemukan jaringan, dan mereka tidak tahu bahwa anda sudah memakai suatu kanal. Tetangga yang bersungguh-sungguh mungkin melakukan site survey, memastikan tidak ada jaringan didekatnya, dan memasang jaringan mereka sendiri di atas saluran sama dengan yang sedang anda gunakan. Ini akan menyebabkan masalah gangguan bagi baik anda maupun tetangga anda.
Menggunakan jaringan tertutup pada akhirnya akan menambah sedikit keamanan jaringan secara keseluruhan. Dengan memakai alat mengamat pasif (seperti Kismet), seorang user trampil bisa mengetahui frame yang dikirim dari klien sah anda ke AP. Frame ini perlu berisi nama jaringan itu. Seorang pemakai jahat kemudian bisa memakai nama ini untuk berelasi ke akses point, seperti seorang pemakai normal.
Enkripsi mungkin adalah alat terbaik kita yang ada untuk mengauthentikasi user nirkabel. Melalui enkripsi kuat, kita secara unik bisa mengenali seorang user dengan cara yang sangat sulit untuk di spoof, dan mempergunakan identitas itu untuk menentukan akses jaringan lebih lanjut. Enkripsi juga mempunyai keuntungan menambahkan selapis privasi dengan mencegah Eavesdropper melihat dengan mudah trafik jaringan.
Metode enkripsi yang paling banyak dipakai adalah enkripsi WEP. WEP adalah singkatan dari Wired Equivalent Privacy, dan disokong oleh semua peralatan 802.11a/b/g. WEP mempergunakan kunci shared 40 bit untuk enkripsi data antara akses point dan klien. Kunci harus dimasukkan di AP dan pada masing-masing klien. Dengan memakai WEP, klien nirkabel tidak bisa menghubungkan dengan AP sampai mereka memakai kunci yang benar. Seorang Eavesdropper yang mendengarkan jaringan yang sudah memakai WEP masih akan melihat trafik dan alamat MAC, tetapi muatan data masing-masing paket di enkripsi. Ini menyediakan mekanisme authetikasi yang cukup baik sedangkan juga menambahkan sedikit privasi ke jaringan.
WEP pasti bukan solusi enkripsi terkuat yang ada. Untuk satu hal, kunci WEP di pakai bersama-sama oleh semua pemakai. Jika kunci ketahuan (seperti, jika seorang user memberitahu kepada seorang teman apa passwordnya, atau jika seorang pegawai dilepaskan) lalu mengganti password bisa sulit, karena semua AP dan alat client perlu diganti. Ini juga berarti pemakai sah jaringan masih bisa menguping pada trafik masing-masing , karena semuanya mengetahui kunci yang dipakai bersama-sama.
Kuncinya itu sendiri sering dipilih secara buruk, membuat penge-crack-an offline bisa dilakukan. Lebih buruknya lagi, implementasi WEP dipecah ke banyak akses point, membuatnya lebih mudah lagi untuk meng-crack beberapa jaringan. Biarpun pembuat sudah melaksanakan sejumlah extensi pada WEP (seperti kunci yang lebih panjang dan fast rotation scheme), extensi ini bukan bagian dari standar, dan secara umum tidak akan interoperate di antara perlengkapan dari pembuat yang berbeda. Dengan upgrade ke firmware yang paling baru untuk semua alat nirkabel, anda bisa mencegah beberapa serangan awal yang ditemukan di WEP.
WEP masih bisa menjadi alat authentikasi yang berguna. Mengasumsikan user anda bisa dipercaya untuk tidak menyerahkan password, anda bisa cukup yakin bahwa klien nirkabel anda sah. Biarpun menge-crack WEP itu mungkin, itu bukan ketrampilan kebanyakan user. WEP cukup berguna untuk mengamankan sambungan point-to-point jarak jauh, bahkan di jaringan-jaringan yang umumnya terbuka. Dengan memakai WEP di sambungan tersebut, anda mengurangi niat orang untuk berasosiasi dengan sambungan anda, dan mereka akan cenderung menggunakan AP yang lain. Pikirkan WEP sebagai tanda “jangan masuk” untuk jaringan anda. Siapa saja yang mendeteksi jaringan akan melihat bahwa jaringan tersebut menggunakan kunci, membuatnya jelas bahwa sambungan tersebut bukan untuk mereka.
Kekuatan paling hebat dari WEP adalah interoperability. Untuk mengikuti standar 802.11, semua alat nirkabel harus mendukung WEP yang paling dasar. Biarpun bukan metode paling kuat yang ada, tentu dia adalah fitur enkripsi yang paling umum untuk digunakan. Kita akan melihat teknik enkripsi tingkat lanjut lainnya nanti di bab ini.
Untuk lebih detil tentang enkripsi WEP, silahkan lihat alamat berikut ini:
- http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
- http://www.cs.umd.edu/~waa/wireless.pdf
- http://www.crypto.com/papers/others/rc4_ksaproc.ps
Protokol authentikasi lapisan data-link lain adalah Wi-Fi Protected Access, atau WPA. WPA diciptakan khusus untuk mengatasi masalah / kekurangan WEP. WPA menyediakan pola enkripsi yang lebih kuat secara signifikan, dan bisa memakai kunci private yang dipakai bersama, kunci unik yang dialokasikan pada masing-masing user, atau bahkan sertifikat SSL untuk authentikasi baik klien maupun akses point. Keabsahan authentikasi diperiksa menggunakan protokol 802.1X, yang bisa berunding dengan database pihak ketiga seperti RADIUS. Melalui penggunaan Temporal Key Integrity Protocol (TKIP), kunci bisa dirotasi dengan cepat setelah selang waktu tertentu, sehingga sangat mengurangi kemungkinan sebuah sesi di crack. Secara keseluruhan, WPA menyediakan authentikasi dan privasi lebih baik secara signifikan daripada WEP standar.
WPA memerlukan hardware akses point yang cukup baru dan firmware terbaru pada semua klien nirkabel, serta sejumlah besar konfigurasi. Jika anda sedang memasang jaringan di tempat di mana anda menguasai seluruh hardware, WPA menjadi sangat ideal. Dengan mengauthentikasi baik klien maupun AP, dia memecahkan masalah rogue akses point dan menyediakan banyak keuntungan dibandingkan WEP. Tapi di kebanyakan jaringan yang menggunakan campuran hardware tua dan pengetahuan pengguna yang terbatas, pemasangan WPA bisa menjadi mimpi buruk. Oleh karenanya banyak lokasi tetap memakai WEP, jika ingin menggunakan enkripsi.
Pranala Menarik
- WNDW
- Keamanan dan Pengawasan Jaringan
- Keamanan secara Fisik
- Authentikasi
- Captive portal
- Projek hotspot yang populer
- Privasi
- SSL
- SSH
- OpenVPN
- Tor & Anonymizers
- Network Monitoring
- Apa yang di monitor
- Tipe tool monitoring
- Pendeteksi Jaringan
- Tool Spot check
- Protocol analyzers
- Trending tools
- Pengujian throughput
- Tool realtime
- Snort
- Alat berguna lainnya
- Trafik Normal?
- Membangun baseline
- Bagaimana saya menginterpretasi grafik trafik?
- Mendeteksi overload di jaringan
- Mengukur 95 persen
- Monitoring Penggunaan RAM dan CPU