WEP dimaksudkan untuk tujuan keamanan yakni kerahasiaan data, mengatur hak akses dan integritas data. Selain WEP terdapat standar lain yakni standar 802.1x yakni EAP atau VPN.
WEP Keys
WEP keys diimplementasikan pada client dan infrastrukturnya digunakan pada Wireless LAN. WEP keys ini merupakan alphanumeric character string yang memiliki dua fungsi pada Wireless LAN. Pertama, WEP keys ini dapat digunakan untuk verifikasi identitas pada authenticating station. Kedua, WEP keys dapat digunakan untuk data encryption. WEP keys terdiri atas dua tipe, yakni tipe 64bit dan tipe 128bit. Untuk memasuki static WEP keys melalui client atau infrastruktur seperti bridge atau access point adalah muda. Berikut pada gambar 10.1 menunjukkan konfigurasi program untuk memasuki WEP keys. Terkadang tampilan untuk memasuki WEP keys berupa checkbox yang menyeleksi 40bit atau 128bit WEP. Terkadang tampilannya bukan checkbox, oleh karena itu administrator harus mengetahui berapa banyak karakter yang ditanyakan. Pada umumnya software client akan mengijinkan untuk memasukkan WEP keys baik berupa format alphanumeric (ASCII) ataupun hexadecimal (HEX)
Gambar 10.1 Memasuki WEP keys melalui client device
Static WEP Keys Untuk mengimplementasikan static WEP keys ini kita harus mengatur secara manual WEP key pada access point dan dihubungkan ke client. Pada gambar 10.2 ini untuk memasuki WEP keys melalui infrastruktur.
Gambar 10.2 Memasuki WEP keys melalui infrastruktur
Centralized Encryption Key ServersCentralized encryption key servers ini digunakan atas dasar alasanalasan berikut:
- centralized key generation
- centralized key distribution
- ongoing key rotation
- reduced key management overhead
Beberapa nomor dari device yang berbeda dapat bertindak sebagai Centralized key server. Berikut ini gambar Centralized Encryption Key Servers:
WEP UsageKetika WEP diinisialisasi, paket data akan dikirimkan dengan menggunakan WEP untuk mengencrypt. Namun paket header data yang berisi MAC address tidak mengalami proses encrypt. Semua layer 3 yang berisi source dan destination mengalami encrypt.
Advanced Encryption Standard (AES)AES merupakan pengganti algoritma RC4 yang digunakan pada WEP. AES menggunakan algoritma Rijndale.
FilteringMerupakan mekanisme keamanan dasar yang digunakan untuk mendukunng WEP dan atau AES. Filtering memiliki arti menutup semua hubungan yang tidak diijinkan dan membuka semua hubungan yang diijinkan. Filtering terdiri dari tiga tipe dasar yang dapat diimplementasikan pada WLAN, yakni:
- SSID Filtering
- MAC Address Filtering
- Protocol Filtering
SSID Filtering merupakan metode penyaringan/ filtering yang bersifat elementer dan hanya digunakan untuk mengontrol hak akses. SSID merupakan nama dari jaringan. MAC Address Filtering merupakan metoda filtering untuk membatasi hak akses dari MAC Address yang bersangkutan. Berikut ini adalah gambar yang menunjukkan illustrasi MAC filters:
Wireless GatewayResidential wireless gateway sekarang tersedia dengan teknologi VPN, seperti NAT, DHCP, PPPoE, WEP, MAC Filter dan bahkan sebuah built in firewall. Device ini cocok untuk kantor kecil atau lingkungan rumah dengan beberapa komputer dan jaringan ke internet. Biaya dari unit ini sangat tergantung pada servis yang ditawarkan. Beberapa dari unit hin bahkan mempunya static routing dan RIP v2. Enterprise Wireless gateway adalah sebuah adaptasi spesial dari VPN dan server authehtikasi untuk jaringan wireless. Sebuah enterprise gateway berada dalam segmen jaringan kabel antara akses point dan jaringan wired akstrim. Sesuai namanya, sebuah gateway mengontrol akses dari wireless Lan ke jaringan wired, sehingga ketika seorang hacker mendapatkan akses ke segmen wireless, gateway akan melindungi sistem distribusi jaringan wired dari serangan. Sebuah contoh dari waktu yang tepat untuk membangun sebuah enterprise wireless line gateway mungkin dapat dilihat pada situasi berikut. Anggaplah sebuah rumah sakit mempunyai 40 akses point dalam gedungnya. Investasi mereka pada akses point cukup penting, sehingga jika akses point tidak mendukung ukuran keamanan, rumah sakit bisa dalam keadaan yang sulit/bahaya dan harus mengganti semua akses point mereka. Malahan, rumah sakit dapat membangun sebuah wireless line gateway. Gateway ini dapat terhubung antara core switch dan distribution switch (yang terhubung pada akses point) dan dapat berfungsi sebagai sebuah authentikasi dan VPN server pada jaringan yang terhubung dengan semua wireless LAN client. Malahan daripada membangun seluruh akses point baru satu (atau lebih tergantung dari kebutuhan jaringan) gateway device dapat di install dibelakang semua akses point sebagai sebuah group. Kegunaan dari tipe gateway ini adalah untuk menyediakan keamanan untuk kepentingan sebuah akses point yang tidak aman. Sebagian besar entreprise wireless gateway mendukung sebuah array dari protokol VPN seperti PPTP, IP Sec, L2TP, Sertificate, dan bahkan QoS berdasarkan profile.
802.1x and Extensible Authentication Protocolstandart 802.1x menyediakan spesifikasi untuk akses control jaringan portbased. Akses kontrol portbased sebenarnya – dan masih – digunakan dengan eterneth switch. Ketika sebuah user mencoba untuk terhubung ke port ethernet, port kemudian menempatkan koneksi user pada bloked mode untuk menunggu verifikasi dari identitas user dengan sebuah sistem authentikasi back end. Protokol 802.1x telah dipergunakan pada banyak sistem wireless LAN dan hampir menjadi sebuah latihan standart pada banyak vendor. Ketika dikombinasikan dengan Extensible Authentication Protocol (IEP), 802.1x dapat menyediakan sebuah lingkungan yang fleksibel dan sangat aman berdasarkan berbagai macam skema authentikasi yang digunakan sekarang. IEP, yang dulunya didefinisikan untuk point to point protokol (ppp), adalah sebuah protocol untuk bernegosiasi dengan metode authentikasi. IEP diterangkan pada RFC 2284 dan mendefinisikan karakteristik dari metode authentikasi termasuk informasi user yang dibutuhkan (pasword, sertifikat, dll), protokol yang digunakan (MD5, TLS, GSM, OTP, dll), dukungan dari igeneration, dan dukungan dari mutu authentikasi. Mungkin terdapat beberapa tipe EAP yang berada dipasar sejak IEEE dan pelaku industri membuat persetujuan pada setiap single type,atau beberapa tipe lain untuk menciptakan sebuah standart.
Corporate Security PoliceSebuah perusahaan seharusnya memiliki sebuah hubungan dengan security police yang menunjukan resiko yang unik yang ditunjukkan WLAN terhadap suatu jaringan. Contoh, dari sebuah ukuran sel yang tidak tepat yang memperkenankan hacker untuk mengambil keuntungan akses jaringan pada area parkir adalah contoh yang sangat bagus dari sebuah item yang seharusnya termasuk dalam beberapa hubungan security police. Hal lain yang perlu diperhatikan dalam security police adalah pasword yang baik, WEP yang bagus keamanan secara fisik penggunaan solusi keamanan yan bagus dan keteraturan perlengkapan hardware pada wireless LAN. Semua itu jauh dari sempurna mengingat solusi keamanan yang akan mengalami perubahan diantara organisasiorganisasi. Luasnya pembahasan security policy pada wireless LAN akan bergantung pada perlengkapan securitas dari organisasi seperti halnya luas dari daerah wireless LAN pada suatu jaringan.
Keep Sensitive Informatio PrivateBeberapa hal yang seharusnya diketahui hanya oleh administrator jaringan pada level yang tepat adalah :
1. username dan password dari access point dan bridge
2. SNMP strings
3. WEP keys
4. dafta MAC address
Point penting untuk menjaga informasi ini hanya ditangan orang yang terpercaya. Kemampuan individual seperti administrator jaringan sangat penting karena seorang hacker akan sangat mudah mengunakan bagian informasi tersebut untuk mengambil keuntungan pada akses jaringan.
Physical SecurityWalaupun saat physical security menggunakan jaringan wired tradisional sangat penting tapi akan lebih penting lagi perusahaan yang menggunakan teknologi wireless LAN. Untuk alasan yang telah dibahas diawal seseorang yang memiliki sebuah wireless PC card (dan mungkin sebuah antena) tidak dapat berada dalam gedung yang sama, seperti halnya suatu jaringan mengambil keuntungan akses pada jaringan yang lain. Bahkan software pendeteksi gangguanpun tak sepenuhnya cukup untuk mencegah hacker wireless LAN untuk melakukan pencurian informasi sensitif/penting. Serangan pasif tidak meninggalkan jejak, karena tidak adanya koneksi yang dibuat. Sekarang semua itu merupakan kebutuhab pasaran yang dapat menunjukkan network card dengan mode yang menjanjikan, mengakses data tanpa membuat koneksi.
Inventaris Peralatan Wireless LAN dan Security AuditsSebagai bagian dari physical security policy, semua peralatan Wireless LAN seharusnya secara teratur dicatat disahkan dan mencegah penggunaan peralatan WLAN yang tidak sah untuk mengakses organization’s network. Jika jaringan terlalu besar dan berisi sejulah peralatan Wireless yang penting, maka inventori peralatan secara berkala sangat tidak praktis. Jika masalahnya seperti ini, penyeleseian kemanan Wireless LAN sangat penting untuk diimplementasikan, yang tidak berdasar pada hardware tetapi berdasar pada username dan password atau beberapa tipe yang bukan hardwarebased peneleseian keamanan.
Menngunakan penyeleseian keamanan tingkat lanjutOrganisasi yang menerapkan WLAN seharusnya mengambil keuntungan dari mekanisme keamanan yang lebih maju yang sudah tersedia dipasaran saat ini. Ini juga diperlukan suatu kebijakan keamanan yang mengimplementasikan tentang segala sesuatu yang mengedepankan mekanisme keamanan secara menyeluruh. Karena ini merupakan teknologi baru, hak milik, dan sering juga digunakan dalam kombinasi dengan protokol keamanan yang lain, mereka harus mendokumentasikannya, sehingga jika terjadi suatu pelanggaran keamanan, network administrator dapat menentukan dimana dan bagaiman pelanggaran itu terjadi.
Publik Wireless NetworkIni sangat mutlak bahwa mereka (corporate users) dengan informasi yang sensitif pada komputer mereka akankah terhubung dengan publik wireless LAN. Ini seharusnya menjadi masalah bagi kebijakan peusahaan bahwa semua pengguna wireless berjalan di keduanya, yaitu sofware firewall pribadi dan antiviral sofware pada labtop mereka. Kebayakan publik wireles network hanya memiliki sedikit atau bahkan tanpa pengamanan pada saat membuat hubungan/konektifitas sederhana bagi pengguna dan mengurangi jumlah pendukung teknis diperlukan.
Limited dan Tracked AccessKebanyakan perusahaan LAN memiliki beberapa metode dalam membatasi tracking akses pengguna pada LAN. Secara khusus, sistem pendukung servis authentikasi, Authorisasi, dan Laporan dipekerjakan. Tindakan pengamanan yang sama ini seharusnya didokumentasikan dan diterapkan sebagai bagian dari keamanan Wierless LAN. AAA servis akan menizinkan perusahaan untuk menempatkan penggunaan yag tepat ke kelas user tertentu. Pengunjung (misalnya) hanya boleh mengakses internet, sedangkan karyawan diperbolehkan mengakses datadata departemen dan juga mengakses intenet.
Rekomendasi keamananSebagai ringkasan pada bab ini , di bawah adalah beberaparekomendasi untuk pengamanan wireless LAN.
WEPJangan sematamatahanya percaya pada WEP, tidak perduli sebaaikbaiknya kamu mengimplementasikan sebuah solusi keamaan wireless LAN end to end. Suatu peralatan wireless LAN dilindungi hanya dengan WEP hal itu bukan suatu jaminan. Ketika menggunakan WEP, jangan menggunakan WEP keys yang dihubungkan ke SSID atau ke organisasi. Membuat WEP keys sangat sulit untuk di ingat di dibawa keluar. Pada banyak kasus, WEP key dapat dengan mudah ditebak hanya dengan melihat SSID atau nama dari organisasi.
Cell CizingDalam rangka mengurangi kesempatan eavesdropping, administrator harus yakin bahwa cell size dari aksess point adalah tepat. Mayoritas hackers mencari penempatan di mana sangat kecil energi dan waktu harus dihabiskan untuk memperoleh akses ke dalam jaringan tersebut. Karena alasan ini, adalah penting untuk tidak mempunyai access point yang memancarkan sinyal yang kuat yang meluas keluar daearh organisasi/perusahan kecuali jika perlu. Beberapa enterpriselevel access point mengizinkan menkonfigurasi power output, yang mana secara efektif mengendalikan ukuran dari RF cell disekitar access point. Jika pembajak berada diarea perusahaan tidak dapat mendeteksi jaringanmu, kemudian jaringanmu tidak akan terbajak.
User AuthenticationSejak user authentication adalah sebuah wireless LAN paling lemah, dan standart 802.11 tidak menetapkan metode apapun dari user authentikasi, ini sangat penting bahwa administrator secepat mengimplementasikan userbased authentikasi pada saat instalasi infrastruktur wireless LAN. User authentiksi harus berdasar pada rencana device independent seperti, username dan password, biometric, smart card, sistem tokenbased, atau beberapa tipe yang lain dari alat keamanan yang mengidentifikasi user, bukan pada hardware. Solusi yang kamu terapkan seharusnya didukung authentikasi bidirecsional antara server authentikasi dan wireless client.
Security NeedMemilihlah suatu solusi keamanan yang sesuai dengan anggaran dan kebutuhan organisasimu, keduanya untuk hari ni dan seterusnya. Wireless LAN memperoleh popularitas yang sangat cepat karena kemudahannya dalam pengimplementasian. Ini berarti bahwa wireless LAN yang dimulai dari sebuah access point dan 5 buah client dapat tumbuh dengan cepat menjadi 15 acces point dan 300 client. Mekanisme keamanan yang sama bekerja dengan baik untuk satu accses point tidak akan bisa diterima, atau dijamin untuk 300 user. Sebuah organisasi bisa membuang uang untuk solusi keamanan yang akan tumbuh dan berkembang dengan cepat seperti perkembangan wireless LAN. Pada banyak kasus, organisasi sudah memiliki keamanan ditempatnya seperti sistem deteksi gangguan, firewall, dan RADIUS server. Ketika memutuskan pada sebuah solusi wireless LAN, maka peralatan yang ada menjadi pengaruh yang sangat penting dalam penurunan biaya.
Use additional security toolMengambil keuntungan dari teknologi yang ada tersedia, seperti VPNs, firewalls, intrusion detection systems (IDS), standart dan protokol seperti 802.1x dan EAP, dan client authentication dengan RADIUS dapat membantu membuat solusi wireless diatas dan melebihi standart 802.11 yang dibutuhkan. Biaya dan waktu untuk mengimplementasikan solusi ini sangat dianjurkan dari SOHO solution dan solusi perusahaan besar.
Monitoring for Rogue HarwareUntuk mengetahui penjahat accsess point, access point regular sesi penemuan seharusnya dijadwal tetapi tidak diumumkan. Dengan aktif menemukan dan memindahkan penjahat access point akan seperti menjauhkan hacker dan mengizinkan administrator untuk merawat control jaringan dan keamanan. Pemeriksaan keamanan secara regular harus dilakukan untuk menempatkan configurasi access point yan salah, dapat menjadi resiko keamanan. Tugas ini bisa dilakukan selagi mengawasi jaringan dari kejahatan penjahat access point adalah bagian dari suatu keamanan reguler yang rutin. Kini, konfigurasiharus dibandingkan denga konfigurasi yang lama dalam rangka untuk melihat jika hacker telah meng konfigurasi ulang access point. Penguncian access harus diterapkan dan dimonitor bertujuan untuk menemukan semua access yang tidak beraturan pada segmen wireless. Type pengawasan ini bahkan dapat membantu menemukan hilangnya atau tercurinya peralatan wireless client.
Switches, not hubPetunjuk sederhana yang lain untuk mengikuti selalu menghubungkan accsess point ke switch malahan ke hub. Hub adalah peralatan broadcast, jadi setiap paket yang diterima oleh hub akan dikirimkan ke semua port hub yang lain. Jika access point terhubung dengan hub, kemudian setiap paket dikirim melalui segmen wired akan di broadcast menyeberangi segmen wireless. Kemampuan ini memberi informasi tambahan kepada hacker seperti pasword dan ip address.
Wireless DMZIde yang lain untuk menerapkan keamanan untuk segmen wireless LANadalah menciptakam WDMZ. Membuat WDMZ ini menggunakan firewall atau router biayanya dapat bergantung pada level implementasi. WDMZS biasanya diterapkan di medium dan largescale LAN deployments. Karena pada dasarnya access point adalah alat yang tidak aman dan tidak dipercaya, mereka harus terpisah dari segmen jaringan lain oleh perlatan firewall. Dapat digambarkan pada gambar 10.13 dibawah ini.
Firmware & Software UpdatesUpdetelah firmware dan driver pada access point dan wireless card anda. Merupakan keputusan yang tepat untuk menggunakan firmware dan driver terbaru pada access point dan wireless card anda. Perusahaanperusahaan sangat biasa mengalami kesulitan untuk mengetahui isu, security hole dan mengaktifkan fitur baru dengan melkukan update tersebut Pertanyaan:
Suatu jaringan yang menggunakan standar protocol 802.1x untuk kondisi?
A. peruser
B. perport
C. persession
D. perMAC Address
E. perSSID
Jawaban
B. Standar 802.1x merupakan protocol yang melayani untuk akses jaringan.
