ANALISIS DAN PERANCANGAN SISTEM KEAMANAN JARINGAN WIRELESS BERBASIS REMOTE AUTHENTICATION DIAL IN USER SERVICE (RADIUS) SERVER DI BADAN PENGKAJIAN DAN PENERAPAN TEKNOLOGI
Skri psi Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta
0leh : WAHYU IRZADI 103091029 587
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKAR TA 2009 M / 1430 H
BAB I PENDAHULUAN 1.1. Latar Belakang Jaringan nirkabel di Indonesia berkembang cukup pesat, terutama di kotakota besar seperti Jakarta, Surabaya, dan Bandung. Selain di gedung-gedung perkantoran, pengaksesan jaringan nirkabel ini juga dilakukan dengan mengadakan access point di hotel, mal, kafe atau tempat umum lain yang biasanya dikunjungi kalangan kelas menengah ke atas. Mereka cukup membawa laptop atau PDA ke kawasan tersebut untuk mendapatkan akses nirkabel. Saat ini, jaringan komputer lokal/Local Area Network (LAN) yang ada di Badan Pengkajian dan Penerapan teknologi (BPPT) tidak hanya berupa jaringan yang menggunakan media kabel sebagai media komunikasi seperti jaringan komputer pada
awalnya. Jaringan komputer ini telah berkembang dengan
penambahan jaringan tanpa kabel/nirkabel (wireless), dimana akses komputer ke jaringan tidak lagi dihubungkan dengan kabel, melainkan melalui media udara dengan menggunakan access point.
1.2.
Rumusan Masalah Berdasarkan hal di atas didapat permasalahan sebagai berikut : Teknologi keamanan wireless apa yang sesuai untuk di terapkan di BPPT ? Bagaiman memaksimalkan RADIUS di BPPT dengan tetap memperhatikan tingkat produktifitas ? Bagaimana desain dan implementasi teknologi RADIUS yang tepat sesuai kebutuhan di BPPT ?
1
1.3.
Batasan Masalah Untuk membatasi permasalahan yang cukup luas, penulis membrikan
batasan pada pembahasan : •
Keamanan wireless yang dibahas hanya untuk yang terkait dengan backbone yang dikelola secara terpusat dari NOC.
•
Sistem keamanan hanya meliputi keamanan logic terhadap akses jaringan lokal dan Internet, tidak mencakup keamanan fisik/perangkat.
•
Pembahasan tidak akan mencakup keamanan dari sebuah aplikasi.
1.4.
Tujuan dan Manfaat
1.4.1.
Tujuan Penelitian ini bertujuan untuk mengidentifikasi kebutuhan sistem
wireless, threat keamanan wireless dan juga mengetahui jaringan wireless yang tepat bagi BPPT.
1.4.2.
Manfaat Hasil penelitian ini diharapkan dapat memberikan informasi dan
gambaran yang bermanfaat tentang sistem kerja wireless LAN dan juga dari segi keamanannya bagi penulis khususnya dan berbagai pihak pada umumnya.
1.5.
Metodologi Penelitian
2
Metode yang digunakan dalam penelitian ini menggunakan The Security Policy Development Life Cycle (SPDLC) (Goldman, James E and Rawles, Philip T) yang memiliki enam tahapan, yaitu :
Identifikasi EvaluasiGambar 1.1 The Security Policy DAenvaelloispisment Life Cycle
ifiitkasi 1. IdA enutd
: Pokok permasPaelarhaanncanygang berhubungan dengan
keamanan. 2. Analisis
Implementasi : Resiko keamanan, ancaman, dan vulnerabilities.
3. Perancangan : Mengenai rancangan infrastruktur keamanan. 4. Implementasi : Penerapan teknologi keamanan. 5. Audit 6. Evaluasi
: Memeriksa penerapan teknologi keamanan. : Mengevaluasi efektivitas dan kebijakan arsitektur.
Karena keterbatasan waktu dan wewenang yang ada, maka tahap Audit dan Evalute tidak akan di bahas akan tetapi diterjemahkan sebagai proses pengujian dan analisisnya.
1.6.
Sistematika Penulisan Untuk memberikan gambaran yang lebih jelas dan sistematis, skripsi ini
dibagi menjadi enam bab dan tiap bab memiliki beberapa sub bab dengan urutan sebagai berikut:
3
BAB I : PENDAHULUAN Bab ini menguraikan mengenai latar belakang, rumusan masalah, batasan masalah, tujuan dan manfaat, metode penelitian dan sistematika penulisan.
BAB II : LANDASAN TEORI Pada bab ini akan dijelaskan tentang landasan teori yang digunakan sebagai dasar acuan dalam pembahasan penelitian ini.
BAB III : METODOLOGI PENELITIAN Bab ini akan menjelaskan mengenai waktu dan tempat penelitian, alat dan bahan yang diperlukan serta metode yang dilakukan.
BAB IV : ANALISIS DAN DESAIN Pada bab ini akan dibahas hasil analisis dan hasil desain infrastruktur serta penerapan sistem keamanan wireless LAN di BPPT.
BAB V : IMPLEMENTASI DAN PENGUJIAN Pada bab ini akan membahas hasil implementasi dan pengujian infrasruktur sistem keamanan wireless LAN di BPPT.
4
BAB VI : KESIMPULAN DAN SARAN Bab ini berisi kesimpulan dari hasil yang didapat melalui analisis
dan
implementasi, juga saran untuk pengembangan bagi peneliti lain terhadap pengembangan sistem wireless LAN selanjutnya.
BAB II LANDASAN TEORI
2.1
Wireless LAN Wireless LAN yang dengan nama lain adalah jaringan nirkabel merupakan
sebuah LAN dimana transmisi data (pengiriman maupun penerimaan data) dilakukan melalui teknologi frekuensi radio lewat udara, menyediakan sebagian besar keunggulan dan keuntungan dari teknologi lama LAN namun tidak dibatasi media kabel atau kawat. (Gunawan arief hamdani, Putra andi, 2004 : 5)
2.1.1 Keuntungan Wireless LAN Muncul dan berkembangnya sistem jaringan nirkabel dipicu oleh kebutuhan akan biaya pengeluaran yang lebih rendah menyangkut infrastruktur jaringan dan untuk mendukung aplikasi jaringan bergerak dalam efisiensi proses, akurasi dan biaya pengeluaran yang rendah dalam hitungan bisnis. Beberapa diantaranya adalah:
a. Kemudahan Bergerak (Mobilitas) Kemudahan bergerak memungkinkan pengguna untuk berpindah-pindah secara fisik ketika menggunakan aplikasi seperti PDA/personal digital assistance dan semacam-nya Ada begitu banyak pekerjaan yang membutuhkan pekerja untuk bisa bergerak dengan bebas secara fisik, seperti petugas PAM, PLN, polisi, UGD spe-sialis, dan lain-lain. Namun walaupun demikian, teknologi jaringan kabel juga masih diperlukan untuk penambatan antara workstation tempat si pekerja dengan server utama, untuk menjaga tempat mana saja yang dapat
6
diakses si pekerja ketika ia berpindah ke workstation lain.
b. Kesulitan dalam Penginstalasian Jaringan Kabel pada Area-area Tertentu Implementasi dari jaringan nirkabel memberikan banyak keuntungan yang nyata dalam penghematan biaya, ketika menghadapi keadaan dimana instalasi kabel sulit dilakukan. Bila Anda ingin menyambungkan 2 jaringan dalam masing-masing gedung dimana gedung tersebut dipisahkan oleh jalan, sungai atau rintangan lain dimana sulit dijangkau dengan sistem kabel, maka solusi yang terbaik adalah jaringan nirkabel. Solusi jaringan nirkabel dapat jauh lebih ekonomis daripada instalasi kabel atau menyewa peralatan komunikasi yang berupa kabel seperti layanan Informatika atau 56 Kbps lines. Beberapa perusahaan bahkan menghabiskan ribuan bahkan jutaan dolar untuk pemasangan sambungan fisik antar dua fasilitas atau gedung yang saling berdekatan.
c. Penghematan Biaya Jangka Panjang Perkembangan organisasi menyebabkan perpindahan orang, lantai pada kantor yang baru, pembagian kantor dan renovasi yang lain. Perubahan Ini biasanya membutuhkan pengaturan sistem jaringan yang baru. Melibatkan baik pekerja maupun biaya secara materi. Dalam beberapa kasus, biaya pengaturan sistem kabel yang baru sangat besar, khususnya pada perusahaan dimana jaringannya sangat besar. Maka dalam keadaan ini, sekali lagi, keuntungan sistem nirkabel menjawab masa-lah biaya. Sistem nirkabel bahkan tidak membutuhkan banyak instalasi kabel, Anda dapat
7
memindahkan sambungan jaringan dengan hanya semudah memindahkan PC para pekerja. (Gunawan arief hamdani, Putra andi, 2004 : 5)
2.1.2
Standar wireless LAN Pada dasarnya WLAN memiliki dua konfigurasi, pertama ad hoc yaitu
penggunaan WLAN pada suatu tempat bersifat sementara dan dibangun tanpa infrastruktur, contohnya dikelas, ruang rapat, ruang seminar, dll. Kedua konfigurasi infrastruktur yaitu penggunaan WLAN pada suatu tempat bersifat permanen dan memiliki infrastruktur, contohnya di kantor, pabrik dll. Untuk membangun WLAN diperlukan banyak elemen yang termasuk ke dalam perangkat keras, perangkat lunak, standarisasi dan pengukuran dan analisis kelayakan (misalnya untuk menentukan posisi antena base station/BS). Dengan adanya berbagai merek perangkat keras dan lunak, maka diperlukan suatu standar, di mana perangkat perangkat yang berbeda merek dapat difungsikan pada perangkat merek lain. Standar-standar WLAN adalah IEEE 802.11, WINForum dan High Performance Radio Local Area Network (HIPERLAN). Wireless Information Network Forum (WINForum) dilahirkan oleh Apple Computer dan bertujuan untuk mencapai pita Personal Communication Service (PCS) yang tidak terlisensi untuk aplikasi data dan suara dan mengembangkan spektrum yang menawarkan peraturan-peraturan yang sangat minim dan akses yang adil. HIPERLAN dilahirkan oleh European Telekommunications Standards Institute (ETSI) yang memfokuskan diri pada pita 5.12-5.30 GHz dan 17.1-17.3 GHz. IEEE 802.11 dilahirkan oleh Institute Electrical and Electronics Engineer (IEEE) dan berfokus pada pita ISM dan memanfaatkan teknik spread spectrum (SS) yaitu Direct Sequence (DS) dan Frequency Hopping (FH), standar ini adalah
8
yang
paling
banyak
dipakai.
(http://the-exploration.net/index.php/sejarah-
wireless-lan-wifi)
2.1.2.1 IEEE 802.11 Standar 802.11 adalah standar pertama yang menjelaskan tentang peng operasian wireless LAN. Standar ini mengandung semua teknologi tranmisi yang tersedia termasuk Direct Sequence Spread Spectrum (DSSS), Frequency Hoping Spread Spectrum (FHSS), dan infra merah. Standar IEEE 802.11 mendeskripsikan system DSSS yang beroperasi hanya pada 1 Mbps dan 2 Mbps. Jika suatu system DSSS beroperasi pada rate data lain sebaik seperti pada 1 Mbps, 2 Mbps dan 11 Mbps maka itu masih termasuk standar 802.11. Tapi bilamana suatu sistem bekerja pada suatu rate data di luar atau selain 1 atau 2 Mbps, dan walaupun sistemnya kompatibe untuk bekerja pada 1 & 2 Mbps, sistem ini tidak bekerja pada mode 802.11 dan tidak bisa berkomunikasi dengan perangkat system 802.11 yang lain. (Gunawan arief hamdani, Putra andi, 2004 : 125 )
2.1.2.2 IEEE 802.11a Standar IEEE 802.1la adalah standar dimana wireless LAN bekerja pada frekuensi 5 GHz UNII. Karena berada pada UNII bands, standar ini tidak kompatibel dengan standar 802.11 yang lain. Alasannya adalah karena
9
sistem yang bekerja pada 5 GHz tidak akan dapat berkomunikasi dengan sistem yang bekerja di frekuensi 2.4 GHz. Dengan menggunakan UNII band, laju data bisa mencapai 6, 9, 12, 18, 24, 36, 48, dan 54 Mbps. Beberapa bisa mencapai 108 Mbps dengan menggunakan teknologi proprietary, seperti penggandaan laju. Laju tertinggi yang bisa dicapai dengan menerapkan teknologi terbaru tidak dideskripsikan oleh standar ini. Standar 802.1 la menetapkan agar wireless LAN dapat kompatibel dengan laju data 6,12, dan 24 Mbps. Sedangkan maksimum laju data adalah 54 Mbps. ( Gunawan arief hamdani, Putra andi, 2004 : 125 )
2.1.2.3 IEEE 802.11b IEEE 802.lib, menetapkan DSSS yang bekerja pada frekuensi 1, 2, 5.5 dan 11 Mbps. 802.l i b samasekali tidak mendeskripsikan FHSS, sedangkan pe-rangkatnya sama dengan 802.11. Sehingga akan kompatibel dan dibutuhkan biaya yang rendah untuk meng-upgrade. Karena biaya yang rendah, dan laju data yang tinggi, membuat 802.lib sangat populer. Laju
data yang
tinggi
dikarenakan
penggunaan teknik
pengkodean yang berbeda. Walaupun masih merupakan direct sequence, pengkodean chips (CCK dibanding Barker Code) dan teknik modulasi yang digunakan (QPSK pada frekuensi 2, 5.5, & 11 Mbps dan BPSK pada frekuensi 1 Mbps) meng-hasilkan jumlah data yang ditransfer lebih banyak dalam satu time frame. 802.1 Ib hanya bekerja pada 2,4 GHz ISM band, antara 2.4000 dan 2.4835 GHz. (Gunawan arief hamdani, Putra andi, 2004 : 125)
10
2.1.2.4 IEEE 802.11g Standar 802.llg menghasilkan kecepatan maksimum yang sama dengan 802.1l a, dan kompatibel dengan 802.11 b. Kekompatibelan ini akan membuat proses upgrading wireless LAN lebih mudah dan lebih murah. IEEE 802.1 Ig bekerja pada frekuensi 2.4 GHz ISM. Untuk mencapai laju data yang sama dengan pada standar 802.11 a, teknik modulasi yang digunakan pada standar 802.llg adalah Orthogonal Frequency Division Multiplexing (OFDM). Dan bisa secara otomatis diswitch ke modulasi QPSK untuk berkomunikasi dengan standar 802.l i b yang lebih lambat dan standar 802.11 yang kompatibel. ( Gunawan arief hamdani, Putra andi, 2004 : 125 )
2.1.2.5 IEEE 802.11n Secara spesifikasi, memang terlihat perbedaan yang cukup mencolok untuk kinerjanya. Terutama untuk transfer rate yang dimungkinkan oleh masing-masing standar tersebut. 802.11n juga memasukan standardisasi 802.11e untuk QoS dan power saving, ini memungkinkannya bekerja lebih baik. efisien dengan data rate yang lebih baik. Dan memang salah satu fitur utama pengembangan 802.11n adalah high throughput (HT), dengan raw bit-rate hingga maksimal 600 Mbps. Dibandingkan dengan 802.11g yang hanya memiliki raw bit rate 54 Mbps. Subcarrier yang digunakan pada 802.11g hanya terdiri dari 48 OFD data subcarrier. Sedangkan, 802.11n menggunakan 52 subcarrier. Forward Error Correction (FEC)
11
yang digunakan pada 802.11g mencapai rasio 3:4. Pada 802.11n FEC ini ditingkatkan dengan rasio 5:6. Guard interval pada transmisi 802.11g sama seperti 802.11a pada kisaran 800ns. Sedangkan, pada 802.11n dipersingkat menjadi 400ns. (http://www.pcmedia.co.id / detail.asp?Id=1966&Cid=18&Eid=52)
2.1.3 Komponen Jaringan Wireless LAN Untuk membangun jaringan wirelesss LAN diperlukan beberapa komponen yang sangat penting dan merupakan kebutuhan utama. Komponen jaringan wireless LAN yang dimaksud antara lain adalah :
2.1.3.1 Access Point Administrator Wireless
LAN
dapat mengkonfigurasi dan
mengelola device. Sesuai namanya, access point bertindak sebagai penghubung agar client dapat bergabung ke dalam sebuah system jaringan. Access point dapat menghubungkan client-client wireless dengan jaringan kabel dan access point lainnya. Dalam implementasinya, kita dapat membentuk access point ke dalam 3 mode, yakni :
1. Mode root Mode di gunakan ketika access point di hubungkan ke jaringan kabel.
Kebanyakan access
point
yang
mendukung
mode
root
menjadikannya mode default. Selain dengan client wireless, access point bermode root dapat pula berkomunikasi dengan access point bermode
12
root lainnya. Kemudian, access point dapat saling berkoordinasi dalam melakukan fungsi roaming. Dengan demikian, wireless client masih dapat berkomunikasi melalui cell berbeda.
Gambar 2.1 Mode Root (Arifin, Zainal, 2007 : 15 )
2. Mode Repeater Di dalam mode repeater, access point mempunyai kemampuan menyediakan sebuah jalur upstream wirelesske jaringan kabel seperti gambar berikut. Penggunaan access point dengan mode repeater tidak disarankan. Mode demikian hanya digunakan jika benar-benar di perlukan karena antar-cell harus saling membnetuk irisan minimum 50%. Akibatnya, komfigurasi demikian mengurangi jangkauan access point terhadap client wireless.
13
Gambar 2.2 Mode Repeater ( Arifin, Zainal, 2007 : 15 )
3. Mode Bridge Pada mode bridge, access point bertindak seperti bridge wireless. Device bridge wireless berfungsi menghubungkan dua atau beberapa jaringan kabel secara wireless. ( Arifin, Zainal, 2007 : 11 )
Gambar 2.3 Mode Bridge ( Arifin, Zainal, 2007 : 15 )
2.1.3.2 Wireless Network Interface Card adapter (WNIC)
14
Pada umumnya setiap stasiun wireless (laptop) keluaran terbaru dilengkapi (built-in) dengan Wireless Network Interface Card adapter (WNIC). Namun ada jenis WNIC lain yang dapat digunakan pada laptop atau PC dalam bentuk eksternal yaitu PCMCIA, USB dan PCI wireless adapter. Dalam sebuah WNIC tersebut terdapat radio dengan frekuensi 2,4 sampai 5GHz dan juga dilengkapi dengan antena untuk buatan vendor tertentu.
Gambar 2.4 Wireless Network Interface Card adapter (WNIC)
2.1.3.3 Wireless Bridge Sebuah wireless bridge menyediakan konektifitas antara dua jaringan kabel dam digunakan dalam bentuk konfigurasi point to point atau point to multipoint. Sebuah wireless bridge merupakan device half duplex yang memiliki kemampuan konektifitas layer 2. Dalam impelementasinya, sebuah bridge dapat membentuk mode berikut : 1. Mode Root Sebuah root bridge hanya dapat berkomunikasi dengan non-root bridge dan device-device client lainnya serta tidak dapat berasosiasi dengan root bridge lainnya.
15
2. Mode Non-Root Pada wireless bridge dalam mode non-root, bridge terpasang secara wireless ke wireless bridge yang menerapkan mode root. 3. Mode Access Point Dengan menggunakan mode demikian, sebuah bridge bertindak sebagai access point. 4. Mode Repeater Di dalam konfigurasi repeater, sebuah bridge akan ditempatkan diantara dua bridge lainnya dengan tujuan memperpanjang jangkauan wireless bridge. (Arifin, Zainal, 2007 : 14)
2.1.3.4 Antena Perangkat yang dibutuhkan oteh device wireless salah satunya adalah Antena RF. Antena RF merupakan sebuah device yang digunakan untuk mengkonversi sinyat frekuensi tinggi di jalur pengirim agar dapat memancarkan gelombang ke udara. Ada 3 kategori antena RF, di antaranya: a. Omnidirectional b. Semidirectional c. Highly directional Masing-masing kategori memiliki beberapa jenis antena
dengan
karakteristik yang berbeda-beda.
a. Antena Omnidirectional (dipole) Omnidirectional
memancarkan
16
energinya
ke
semua
arah.
Kebanyakan antenna yang digunakan wireless LAN menggunakan jenis ini.
Gambar 2.5 Dipole Doughnut ( Gambar disadur dan "Certified Wireless Network Administrator Study Guide" Administrator Study Guide )
Antena omnidirectional digunakan ketika jangkauan ke segala juaisan
di sekitar
poros antena
horizontal
diperlukan.
Antena
omnidirectional paling erektif jika cakupan area di sekitar titik pusat diperlukan. Antena omnidirectional biasa digunakan pada -hubungan point to multipoint dengan menggunakan topologi star.
b.
Antena Semidirectional Antena semidirectional memiliki beberapa bentuk yang berbeda. Beberapa jenis antena semidirectional yang digunakan pada Wireless LAN antara lain jenis antena Patch, Panel, dan Yagi. Semua jenis pada umumnya flat dan dirancang untuk dipasangkan pada dinding. Masingmasing memiliki karateristik tersendiri. Antena mengarahkan energi dari pemancar secara lebih kuat ke a rah tertentu.
17
Gambar 2.6 Antena-antena semidiiectional ( Arifin zainal, 2007 : 79 )
Antena semi directional lebih cocok digunakan untuk jarak pendek dan menengah. Oenis koneksi point to point biasa menggunakan jenis antena demikian. Contohnya adalah antena yang digunakan untuk menghubungkan jaringan dua gedung yang terpisah dengan jalan raya.
c. Antena Highly Directional Antena highly directional terdiri atas beberapa bentuk, di antaranya adalah: Antena parabolic dish
Gambar 2.7 Antena parabolic dish ( Arifin zainal, 2007 : 80 )
Antena grid
Gambar 2.8 Antena dish ( Arifin zainal, 2007 : 80 )
18
Antena jenis demikian ideal untuk menghubungkan jenis koneksi wireless secara point to point. Lebih lanjut, antena highly directional dapat memancarkan sinyal hingga 42 km. ( Arifin zainal, 2007 : 71 )
2.1.4 Terminal Wireless LAN Ada beberapa yang menjadi bagian dari sebuah terminal pada Wireless LAN, diantaranya yaitu :
2.1.4.1 Tablet PC Tablets PC merupakan peralatan wireless yang menyerupai notebook dengan kelebihan yang hampir sama. Memiliki bentuk compact dan dilengkapi dengan pena elektronik untuk keperluan digital signature.
2.1.4.2 Smart Phones Telepon mobile atau telepon selular adalah telepon yang mempunyai kemampuan dalam transmisi panjang gelombang analog atau digital yang memungkinkan pengguna untuk mengadakan koneksi wireless ke transmitter terdekat. Luas jangkauan transmitter disebut dengan cell. Pengguna telepon selular bergerak dari satu cell ke cell lainnya, sehingga koneksi telepon secara efektif dikirimkan dari satu transmitter cell ke
19
transmitter cell lainnya. Pada saat ini, telepon selular berintegrasi dengan PDA, yang menyediakan peningkatan akses e-mail dan internet wireless. Telepon mobile dengan kemampuan memproses informasi dan jaringan data disebut dengan smart phone.
2.1.4.3 Personal Digital Assistan ( PDA ) Personal Digital Assistant (PDA) merupakan data organizer yang berukuran kecil. PDA ini menawarkan aplikasi seperti office productivity, basis data, buku alamat, penjadwalan dan daftar kegiatan.
PDA
juga
memungkinkan
pengguna
untuk
mengsinkronisasikan data antar PDA atau antara PDA dengan PC. Versi yang lebih baru memungkinkan pengguna mendownload email.
2.1.4.4 Wireless Fidellity ( Wi-Fi ) Phones Wi-Fi phones menggunakan jaringan untuk melakukan panggilan dan membutuhkan bandwidth yang cukup untuk dapat beroperasi. Wi-Fi phones dapat digunakan untuk roaming melalui jaringan VoIP ke jaringan selular.
2.1.5 Model Jaringan Wireless Jaringan komputer menggunakan sistem wireless terbagi menjadi dua macam, yaitu : Ad-hoc Mode dan Client/Server dan Access Point Mode. Pada Ad-hoc Mode, setiap komputer yang akan terhubung ke jaringan wireless cukup
20
hanya menggunakan sebuah Wireless Network Adapther, tanpa menggunakan suatu sentral komunikasi (Access Ponit) yang berfungsi sebagai pengatur lalu lintas data. Sedangkan pada Client/Server dan Access Point Mode, disamping menggunakan Wireless Adapther untuk dapat terkoneksi ke jaringan wireless dibutuhkan juga suatu sentral komunikasi (Access Ponit) yang berfungsi sebagai pengatur lalu lintas data pada sistem jaringan tersebut. (http://www.wahyudi.or.id/artikel/MembangunHotspot.doc)
2.1.5.1 Ad-hoc Standarisasi IEEE 802.11 mendefinisikan protokol dalam dua tipe jaringan, yaitu jaringan Ad Hoc dan Client/Server. Jaringan Ad Hoc merupakan jaringan sederhana di mana komunikasi terjadi di antara dua perangkat atau lebih pada cakupan area tertentu tanpa harus memerlukan sebuah access point atau server. Standarisasi ini semacam etiket pada setiap perangkat jaringan dalam melakukan akses media wireless. Metode ini meliputi penentuan pemberian permintaan koneksi pada sebuah media untuk memastikan throughput yang dimaksimalkan untuk pengguna dalam menerima layanan. Komunikasi Ad Hoc menggunakan media gelombang radio satu dengan yang lain, dan peralatan ini akan mengenal peralatan RF lain dalam cakupan sinyal yang saling berdekatan, sehingga komunikasi dapat dilakukan. Jaringan Ad Hoc dapat digunakan pada komputer-komputer notebook, laptop, atau peralatan handheld lain yang membutuhkan transfer date mobile lingkup kecil, dan tentunya yang memunyai peralatan RF yang sama dan telah mendukung teknik Ad Hoc. (Mulyanta edi s, 2005 : 53)
21
Gambar 2.9 Jaringan Ad Hoc ( Mulyanta edisi, 2005 : 53 )
2.1.5.2 Access Point Jaringan Client/Server
menggunakan access point sebagai
pengatur alokasi waktu transmisi untuk semua perangkat jaringan dan mengizinkan perangkat mobile melakukan proses roaming dari sel ke sel. Access point digunakan untuk menangani lalu lintas dari radio mobile ke perangkat yang menggunakan kabel maupun pada jaringan wireless. Access Point, digunakan untuk melakukan pengaturan lalu lintas jaringan dari mobile radio ke jaringan kabel atau dari backbone jaringan wireless client/server. Pengaturan ini digunakan untuk melakukan koordinasi dari semua node jaringan dalam mempergunakan layanan dasar jaringan scrta memastikan penanganan lalu lintas data dapat ber-jalan dengan sempuma. Access point akan merutekan aliran data antara pusat jaringan dengan jaringan wireless yang lain. Dalam sebuah WLAN, pengaturan jaringan akan dilakukan oleh access point pusat yang memunyai performa troughput yang lebih baik. Jaringan yang menggunakan access point sering disebut multipoint
22
RF network. Tipe jaringan wireless ini memunyai beberapa station dengan RF transmitter dan receiver, di mana setiap station akan berkomunikasi ke peralatan pusat access point ini atau sering disebut wireless bridge, Pada sistem RF, wireless bridge disebut wireless access point (WAP). WAP menyediakan koneksi secara transparan ke host LAN melalui koneksi ethemet dan jaringan metode wireless. (Mulyanta edi s, 2005 : 54)
2.1.6 Hotspot Secara fungsional, sebuah kawasan hotspot menyediakan ketersediaan koneksi jaringan tanpa kabel di mana user menggunakan perlengkapan yang kompatibel untuk dapat melakukan koneksi ke internet atau ke intranet, aktivitas e-mail, dan aktivitas jaringan lain. Peralatan yang digunakan tidak terbatas hanya Personal Computer atau laptop, akan tetapi peralatan mobile yang lain seperti PDA, telepon selular, notebook, atau peralatan game online lainnya. Beberapa komponen dalam hotspot adalah: Station yang mobile Access Point Switch, Router, Network Access Controller Web server atau server yang lain Koneksi Internet kecepatan tinggi Internet Service Provider Wireless ISP
Hal yang periu dipahami dalam membangun sebuah kawasan wireless
23
area adalah konfigurasi serta persyaratan apa yang harus dipenuhi serta untuk siapa wireless area ini diperuntukkan. Beberapa hal tersebut adalah ukuran lokasi cakupan, jumlah perkiraan user yang simultan, dan tipe pengguna wireless sasaran. Anda dapat mempelajari secara singkat pembangunan hotspot dengan sederhana pada bagian akhir buku ini.
a. Ukuran lokasi cakupan Ukuran ini menjadi pertimbangan awal yang sangat menentukan dalam membangun area wireless hotspot Dengan menentukan lokasi cakupan, akan dapat dipilih peralatan access point (AP) mana yang dapat melayaninya, misalnya dengan menentukan daya jangkau jarak tertentu. Beberapa AP diperlukan untuk menyediakan area cakupan yang lebih luas.
b. Jumlah Pengguna Dalam melakukan layout hotspot, jumlah user dapat digunakan untuk menentukan serta memerkirakan kepadatan pengguna pada kawasan tersebut. Kepadatan ini dapat diukur dari jumlah pengguna per kawasan. Di samping jumlah pengguna, hal yang lebih penting adalah pola pengguna sasaran yang dituju, sehingga akan dapat ditentukan pula target minimum bandwith per user yang aktif. Sebagai contoh, target bandwith adalah 100 Kbps per user aktif, di dalam daerah tersebut ter-koneksi 5 user yang aktif sehingga memerlukan minimal 500 Kbps atau lebih untuk melakukan koneksi Internet dengan baik.
c. Model penggunaan Faktor ketiga adalah tipe aplikasi apa yang diguna-kan oleh user yang
24
akan terkoneksi di hotspot tersebut. Model pada lingkungan kampus akan berlainan tipe aplikasinya dibanding dengan di hotel, atau di kafe-kafe yang menyediakan hotspot. Kebutuhan apa yang dapat digunakan sebagai standar minimal bandwith yang dibutuhkan untuk menyediakan ketersediaan resource bandwith, adalah faktor utama dalam menentukan kapasitas minimal bandwith Internet yang akan digunakan. Sebagai contoh, penggunaan minimal kawasan wireless tersebut adalah 250 Kbps, di mana kapasitas ini cukup memadai untuk melakukan koneksi hotspot dan menjaiankan aplikasi. Bandwith yang dibutuhkan untuk menghasilkan performa yang baik, saat 4 user melakukan koneksi secara simultan adalah 1 Mbps. Perhitungan sederhananya adalah: 250 Kbps x User Simultan = 1.000 Kbps atau 1.0 Mbps. (Mulyanta edi s, 2005 : 148)
2.1.7 ` Komponen dan Fungsi Hotspot Anda memerlukan beberapa komponen dasar untuk membangun sebuah hotspot, Berikut adalah daftar fitur penting dan fungsionalitas dari pembangunan hotspot yang diperlukan (Mulyanta edi s, 2005 : 150) : a. Melakukan akses ke wireless link • Menyediakan mobile station dengan informasi jaringan wireless • Membuat association dengan mobile station • Melakukan akses ke jaringan local • Menyediakan layanan transfer data paket • Melakukan disassociation dari mobile station b. Menetapkan sebuah hotspot • Melakukan page redirection
25
• Autentikasi mobile station • Autorisasi user c. Manajemen pada layer 3 (IP) • Menyediakan alamat IP pada peralatan mobile • Translasi dari aiamat privat menjadi publik jika dipertukan • Menyediakan Domain Name Services (DNS) • Menyediakan informasi gateway Berikut referensi arsitektur hotspot yang dikembangkan oleh Intel.
2.1.7.1 WISP (Wireless Internet Service Provider) Layanan ini merupakan bentuk komunikasi buat pengembangan dan ISP standar. Layanan tersebut antara lain: • Desain hotspot • Manajemen, yang meliputi pemonitoran, update hardware/ software, konfigurasi jaringan, serta pengaturan user account. • Pemonitoran dan pengaturan akses yang meliputi penetapanpenetapan, autentikasi, dan keamanan. • Accounting dan billing, digunakan untuk menentukan tipe pembayaran seperti prabayar, pascabayar, dan penetapan roaming. • Akses WAN. (Mulyanta edi s, 2005 : 152)
2.1.7.2 Internet Service Provider/ISP Menyediakan koneksi antara hotspot dengan Internet pada jaringan yang lebih besar atau WAN. ISP dapat pula menyediakan
26
layanan WISP, tetapi bersifat optional. (Mulyanta edi s, 2005 : 152)
2.1.7.3 WAN Access Gateway/Router Merupakan titik pintu keluar dari hotspot ke ISP. Komponen ini merupakan fungsi penyedia akses utama ke WAN. (Mulyanta edi s, 2005 : 152)
2.1.7.4 Access Point (AP) AP secara harafiah dapat diartikan sebagai proses komunikasi LAN hotspot dengan peralatan yang digunakan oleh user. (Mulyanta edi s, 2005 : 152)
2.1.7.5 Switch/Hub Tujuan utama adanya switch dan hub adalah menyediakan banyak port untuk melakukan koneksi AP dan komponen jaringan hotspot lain. Kapabilitas switch dan user dapat digunakan untuk mengatur routing paket dan untuk membawa properti paket sebagai dukungan terhadap fungsi switch, misalnya port, MAC address, dan IP address. (Mulyanta edi s, 2005 : 152)
2.1.7.6 Network Access Controller Fungsi utama NAS adalah untuk mengontrol akses ke jaringan. Fungsi NAS cenderung bersifat penjaga gawang jaringan dengan mengimplementasikan filter cerdas untuk melakukan seleksi sebelum ke
27
jaringan lain. (Mulyanta edi s, 2005 : 153)
2.1.7.7 IP Address Allocation Manager Dalam rangka menjaga komunikasi antar komponen dengan baik membutuhkan alamat IP yang unik di dalam kawasan hotspot. Metode yang sudah sangat umum digunakan adalah menggunakan server Dynamic Host Configuration Protocol (DHCP). DHCP merupakan protokol Internet yang melakukan otomatisasi konfigurasi komputer dengan menggunakan protokol TCP/IP. Hal yang sangat kritis adalah fungsionalitas hotspot dalam memilih IP address yang digunakan. IP terdiri dari dua macam bentuk alamat, yaitu alamat IP public (publik) dan IP private (privat). Perbedaan IP publik dan IP privat adalah :
IP Publik
IP Privat
IP publik dapat digunakan untuk IP address bersifat privat dalam melakukan koneksi jaringan Internet sebuah jaringan LAN, yang luas.
Internet Assigned Numbers Authority (IANA) telah menyediakan sekumpulan alamat IP yang digunakan untuk private network. Sebagai contoh adalah :
10.0.0.0 - 10.255.255.255
Blok 24 bit kelas tunggal
172.16.0.0 – 172.31.255.255
Blok 20 bit, jumlahnya 16 kelas B yang saling berdekatan
28
192.168.0.0 – 192.168.255.255
16 bit blok, 256 kelas C
Alamat IP privat hanya dapat digunakan pada setiap jaringan privat dan akan terlihat pada jaringan Internet. Oleh karena itu, jaringan ini tidak akan dapat berkomunikasi langsung di Internet. Untuk dapat berkomunikasi langsung di luar jangkauan cakupan area privat, peralatan tersebut menggunakan Network Address /port translator. (Mulyanta edi s, 2005 : 153)
2.1.7.8 Network Address/Port Translator Saat paket IP dikirimkan melalui Internet, paket tersebut akan menggunakan alamat IP publik. Bagaimana mungkin alamat privat dapat mengirimkan paket melalui jaringan umum di Internet? Jawabnya adalah dengan melakukan switch IP address. Setiap paket tersebut akan melintas dari jaringan privat, kemudian ke jaringan publik untuk mendapatkan akses ke jaringan Internet sehingga alamat IP sumber harus diubah ke alamat IP publik. Translasi dari alamat privat ke alamat publik ditangani oleh Network Address Translator (NAT). Variasi dari model translasi ini juga melakukan translasi port IP, peralatan ini disebut Network Address Port Translators (NAPT). Peralatan NAPT akan melakukan map atau pemetaan terhadap semua alamat IP privat ke dalam sebuah alamat IP public. (Mulyanta edi s, 2005 : 153)
29
Gambar 2.10 Network Address Translator (NAT) (http://en.kioskea.net/internet/nat.php3)
2.2
Arsitektur Jaringan Wireless LAN Ketika Anda menginstal mengkonfigurasi, dan mengaktif-kan perangkat Wireless
LAN di sisi dient seperti PCMCIA card, maka dient secara otomatis dalam posisi listen untuk mendengar sinyal yang dikirimkan dari perangkat wireless LAN lainnya. Proses listen di sini dikenal pula dengan istitah scanning. Scanning terjadi sebelum proses lainnya karena berfungsi mencari perangkat wireless lainnya. Ada 2 jenis scanning, yaitu: • Scanning secara pasif (passive scanning). • Scanning secara aktif (active scanning).
Dalam proses mencari keberadaan access point station atau client akan mengidentifikasi sebuah identifier yang dikenal dengan istilah SSID (Service Set Identifiers). SSID merupakan nama kelompok jaringan yang digunakan pada Wireless LAN. Sifatnya unik dan case sensitive. Kemudian, nilainya berupa karakter atfanumerik yang memiliki panjang 2 hingga 32 karakter. SSID digunakan untuk membagi jaringan
30
dan untuk proses bergabung ke dalam sebuah jaringan.
Gambar 2.11 Client mengidentifikasikan adanya SSID (http://www.wlanbook.com/wp-content/uploads/2007/06/ssid-advertising.gif)
Sebuah client hams memiliki SSID yang benar supaya dapat bergabung ke dalam sebuah jaringan Wireless LAN. Administrator memasangkan SSID di setiap access point Beberapa client memiliki kemampuan menggunakan nilai SSID secara manual (dipasangkan oleh administrator), tetapi ada pula dient yang dapat menemukan sendiri SSID yang dipancar-kan oleh access point Nilai SSID yang terpasang di client dan access point harus sama. SSID dari access point dikirimkan da lam sebuah beacon, yakni sebuah frame pendek yang dikirimkan dari access point ke station atau client (pada mode infrastruktur) atau antarclient (pada mode adhoc). Beacon berfungsi mengelola dan mensinkronisasikan komunikasi wireless pada Wireless LAN. (Arifin zaenal, 2007 : 33)
2.2.1 Passive Scanning Scanning
secara
pasif ( Passive Scanning ) merupakan
proses
mendengarkan beacon pada tiap-tiap channel dalam periode waktu tertentu
31
setelah client diinisialisasi. Access point mengirim beacon, sedangkan client melakukan proses scanning karakteristik katalog tentang access point berbasis beacon. Station (client) mendengarkan beacon hingga mendengar sebuah beacon yang memperlihatkan SSID dari jaringan yang ingin dimasuki. Kemudian, station (client) berusaha bergabung dengan jaringan melalui access point yang telah mengirim beacon. Jika di dalam sebuah area ada beberapa access point SSID jaringan dibroadcast oleh beberapa access point Pada situasi ini, station akan berusaha bergabung dengan jaringan melalui access point berdasarkan kekuatan sinyal. Station melanjutkan scanning secara pasif setelah beraso-siasi dengan access point. Scanning secara pasif menyimpan waktu reconnect ke jaringan jika client memutuskan hubu-ngan dengan access point Dengan menyimpan daftar access point yang tersedia beserta karakteristik-karakteristiknya, station (client) dapat dengan cepat mencari access point terbaik yang seharusnya dihubungi oleh client Station (client) akan berpindah dari satu access point ke access point tainnya setelah sinyal radio dari access point yang dihubungi dient melemah. Agar station (client) dapat tetap terhubung dengan jaringan, kita dapat menerapkan mekanisme roaming. Station (client) menggunakan infbrma-si yang diperoteh melalui mekanisme scanning secara pasif untuk mencari access point terbaik. Selanjutnya, access point digunakan untuk rnenghubungi kern ball jaringan. Untuk alasan tersebut, kita perlu mendesain pemasangan beberapa access point supaya saling melakukan overlap (membentuk irisan) kurang lebih 10-15%. Overlap meng-izinkan station-station untuk melakukan roaming an taraccess point walaupun jaringan terputus dan terhubung kernbali tanpa
32
sepengetahuan user.(Arifin zaenal, 2007 : 36) 2.2.2 Active Scanning Scanning secara aktif (Active Scanning) meliputi pengiriman sebuah frame berisi probe pemtintaan dari client wireless. Station (client) mengirimkan probe permintaan ketika secara aktif mencari sebuah ketompok jaringan wireless. Probe permintaan berisi SSID suatu kelompok jaringan wireless. Jika sebuah probe yang dikirim menetapkan sebuah SSID, lalu hanya access point yang melayani SSID akan merespons dengan sebuah frame berisi probe response. Jika sebuah frame probe request dikirim dengan sebuah broadcast SSID, maka semua access point yang terjangkau akan merespons dengan sebuah probe respons. Cara menghubungi sebuah Wireless LAN terdiri atas dua subproses. Subproses selalu terjadi da lam urutan yang sama dan disebut proses autentikasi dan asosiasi. Sebagai contoh, ketika ktta berkomunikasi dari sebuah wireless PC card ke sebuah Wireless LAN, artinya PC card telah diautentikasi dan telah berasosiasi dengan sebuah access point Ketika berkomunikasi melalui asosiasi, kita berbicara pada layer 2 dan autentikasi secara langsung dilakukan ke radio bukan ke user. (Arifin zaenal, 2007 : 37)
2.2.3 Autentikasi dan Asosiasi Langkah pertama untuk menghubungi sebuah device wireless (access point) adalah autentikasi. Autentikasi adalah proses yang dilakukan jaringan (biasanya oleh access point) untuk memeriksa identitas wireless node yang akan bergabung ke jaringan. Client mulai melakukan proses autentikasi dengan mengirimkan sebuah frame autentikasi request ke access point Access point akan
33
menerima atau menolak permintaan, lalu client akan mendapatkan sebuah frame respons. Proses autentikasi dapat dilakukan pada access point atau access point hanya akan melewatkan proses autentikasi ke sebuah server seperti RADIUS. Radius akan melakukan autentikasi berdasarkan kriteria-kriteria yang muncul Kemudian, hasilnya akan diberikan ke access point, yang akan memberi-tahukan hasilnya ke client. Setelah diautentikasi, dient akan melakukan proses asosiasi dengan access point Associated adalah sebuah status yang menyatakan bahwa client diizinkan untuk melewatkan data melalui sebuah access point Jika PC card berasosiasi ke sebuah access point Anda terhubung ke access point dan jaringan. Status antara proses auntentikasi dan asosiasi dapat terdiri atas beberapa status : UnAuthenticated dan UnAssociated Wireless node terputus dari jaringan dan tidak dapat melewatkan frame melalui access point. Autenticated dan UnAssociated Wireless client telah melakukan proses auntentikasi tetapi belum melakukan proses asosiasi dengan access point. Maka, client belum diiziinkan untuk mengirim atau menerima data melalui access point. Authenticated dan Associated Wireless node telah terhubung ke jaringan dan dapat melakukan proses pengiriman dari penerimaan data melalui access point. (Arifin zaenal, 2007 : 38)
2.3 Topologi Jaringan WLAN
34
Ada tiga bentuk konfigurasi wireless LAN dan masing-masing bentuk tersebut memiliki set peralatan yang berbeda-beda. Tiga bentuk konfigurasi tersebut adalah: 1. Independent Basic Service Set 2. Basic Service Set 3. Extended Service Set
2.3.1 Independent Basic Service Set ( IBSS ) Network Sebuah independent basic service set disebut pula jaringan wireless yang menggunakan metode adhoc. Sebuah IBSS tidak memertukan access point atau device lain untuk mengakses ke sistem distribusi, tetapi hanya melingkupi satu cell dan memiliki sebuah SSID. Client pada IBSS secara bergantian bertanggung jawab mengirimkan beacon yang biasa dilakukan oleh access point. Agar dapat mengirimkan data ke luar IBSS, sebuah client harus bertindak sebagai gateway atau router dengan menggunakan software khusus untuk mengimpiementasikan tuju-an. Pada IBSS, client membuat koneksi secara langsung ke client lainnya, sehingga jaringan jenis demikian disebut jaringan peer to peer. ( Arifin zaenal, 2007 : 50 )
Gambar 2.12 Topologi IBSS (http://digilib.petra.ac.id/viewer.php) 2.3.2 Basic Service Set ( BSS) Network
35
Ketika sebuah access point dihubungkan ke jaringan kabel dan serangkatan station wireless, konfigurasi jaringan dikatakan sebuah basic service set. Basic Ssrvice set hanya terdiri atas satu access point dan satu atau beberapa client wireless. Sebuah basic service set menggunakan mode infrastruktur, yaitu sebuah mode yang membutuhkan sebuah access point dan semua trafik wireless melewati access point Tidak ada transmisi langsung dient to client yang diizinkan.
Gambar 2.13 Topologi BSS (http://digilib.petra.ac.id/viewer.php)
Setiap client
wireless harus menggunakan access
point untuk
berkomunikasi dengan client wireless lainnya atau dengan host yang terdapat pada jaringan kabel. Basic service set membentuk sebuah cell atau area frekuensi radio, yang mengelilingi access point dengan beragam rate zone dan speed diukur dengan Mbps. Jika basic service set menggunakan perangkat 802.11b, maka lingkaran akan memiliki kecepatan 11, 5.5, 2, dan 1 Mbps. Rate data akan semakin kecil jika semakin jauh dari access point Sebuah basic service set akan memiliki 1 SSID. ( Arifin zaenal, 2007 : 50 ) 2.3.3 Extended Service Set ( ESS ) Network Sebuah extended service set didefinisikan sebagai dua atau beberapa basic service set yang dihubungkan dengan sebuah sistem distribusi bersama.
36
Sistem distribusi dapat berupa kabel, wireless, LAN, WAN, atau bentuk jaringan lain. Sebuah extended service set harus memiliki paling sedikit 2 access point yang bekerja dalam mode infrastruktur. Semua paket harus melewati salah satu access point yang tersedia. Karakteristik lain ESS (extended service set), penggunaan standard 802.11, ESS melingkupi beberapa cell mengizinkan kemampuan roaming dan tidak membutuhkan SSID yang sama diantara kedua BSS (basic service set). ( Arifin zaenal, 2007 : 50 )
Gambar 2.14 Topologi ESS (http://digilib.petra.ac.id/viewer.php)
2.4 Keamanan Jaringan Wireless Anda mungkin ingin mengetahui mengapa seseorang menggunakan koneksi wireless yang sebenarnya tidak aman. Memang tidak semua seperti itu, terima kasih kepada Wired Equivalent Protocol, atau Wireless Encryption Protocol atau bahkan Wired Equivalent
Privacy. Tampaknya "para ahli
37
industri" memperdebatkan
kepanjangan WEP. Terlepas dari bagaimana Anda mengucapkan atau menyatakannya, WEP adalah sebuah algoritma enkripsi yang dapat diaktifkan untuk mengenkripsi transmisi di antara pengguna wireless dan WAP-nya. Pada awalnya, standar 802.lib tidak dimaksudkan untuk men-jabarkan seperangkat alat keamanan tingkatan enterprise. Tetapi, standar tersebut memasukkan beberapa ukuran keamanan dasar yang da-pat dikembangkan untuk membantu membuat jaringan lebih aman. Dengan masing-masing fitur keamanan, hal yang terjadi pada jaringan kemungkinan bisa lebih aman atau lebih terbuka untuk diserang. Dengan konsep pertahanan layered, bagian berikut akan melihat pada bagaimana peranti wireless mengoneksi ke sebuah access point dan bagaimana Anda dapat mengaplikasikan keamanan sedapat mungkin pada acces point yang pertama. (Thomas tom, 2005 : 345)
2.4.1 Service Set Identifier (SSID) Secara default, access point mem-broadcast SSID setiap beberapa detik dalam beacon frame. Meskipun ini memudahkan bagi authorized user untuk mencari jaringan yang benar, tap! juga memudahkan bagi unauthorized user untuk mendapatkan nama jaringan. Fitur ini memungkinkan sebagian perangkat lunak deteksi jaringan wireless untuk mendapatkan jaringan tanpa memiliki SSID upfront.
Setting SSID pada jaringan Anda harus ditetapkan sebagai ting-kat keamanan yang pertama. Sesuai standarnya, SSID tidak dapat memberikan semua proteksi terhadap siapa saja yang mengumpulkan akses pada jaringan
38
Anda, tetapi mengonfigurasi SSID Anda kepada sesuatu yang tidak bisa diprediksi dapat mempersulit penyusup untuk mengetahui apa sebenarnya yang mereka lihat.
Daftar SSID dari pemanufaktur dan perangkat jaringan lain yang dapat membongkar password dapat ditemukan di http:// www.cirt.net/. Seperti yang dapat Anda lihat, SSID telah tersedia di Internet. Jadi, mematikan SSID broadcasting sebagai langkah awal Anda merupakan gagasan yang bagus. (Thomas tom, 2005 : 345)
2.4.2
Menggabungkan Peranti dan Access Point Sebelum semua komunikasi lain terjadi di antara wireless client dan wire-
less access point, pertama-tama keduanya hams memulai sebuah dialog. Proses ini dikenal sebagai associating. Saat 802.lib didesain, IEEE menambahkan fitur untuk
memungkinkan jaringan wireless menjalankan otentikasi sesegera
mungkin sesudah peranti klien bergabung dengan access point, tetapi sebelum transmisi access point muncul. Tujuan dari persyaratan ini adalah untuk menambahkan layer keamanan lain. Otentikasi ini dapat diset menjadi shared key authentication atau open key authentication. Anda harus menggunakan open key authentication karena shared key lemah; meskipun kontra-intuitif, namun rekomendasi ini didasarkan pada pemahaman bahwa enkripsi lain akan digunakan. (Thomas tom, 2005 : 347)
2.4.3
Wired Equivalent Privacy (WEP)
39
Ada banyak salah pengertian mengenai WEP. Jadi, mari kita perjelas hal ini. WEP bukanlah sebuah algoritma keamanan. WEP tidak pemah didesain untuk melindungi data Anda dari script kiddies atau dari penyerang pintar yang ingin menemukan rahasia Anda. WEP tidak didesain untuk menolak; ia hanya memastikan bahwa Anda sedikit aman karena Anda tidak mengelola data Anda dalam sebuah wire. Masalahnya akan muncul saat orang melihat kata "enkripsi" dan membuat asumsi. WEP didesain untuk memperbaiki keridakamanan yang melekat pada transmisi wireless, sama dengan transmisi wired. WEP membuat data Anda sama amannya jika data tersebut ada pada jaringan wired Ethernet yang tidak dienkripsi. Itulah tujuan desain WEP. Kini salah pengertian itu telah terpecahkan dan Anda dapat memelajari.
WEP melindungi traffic wireless dengan mengombinasikan "secret" WEP key dengan bilangan 24-bit (Initialization Vector atau IV), dihasil-kan secara acak untuk menyediakan layanan enkripsi. 24-bit IV dikom-binasikan dengan 40bit atau 104-bit WEP pass phrase untuk memberi Anda kekuatan dan perlindungan enkripsi 128-bit — benarkah demiki-an? Ada beberapa isu mengenai kekurangan implementasi WEP:
Kelemahan pertama WEP adalah keterbatasan numerical 24-bit Initialization Vector (IV), yang menghasilkan value 16777.216 (224). Ini mungkin tampaknya besar, tetapi Anda mengetahui dari diskusi pada Bab 4, "Protokol Keamanan", bahwa bilangan mi hanyalah semu. Masalah pada bilangan kecil ini adalah nilai-nilai dan key start mengulang dirinya sendiri, inilah bagaimana penyerang dapat menyingkapkan WEP key.
40
Kelemahan kedua adalah value 16 juta, tidak semuanya bagus. Misalnya, bilangan 1 tidak akan menjadi sangat bagus. Jika penyerang dapat menggunakan alat untuk menemukan kelemahan pada nilai IV, WEP dapat disingkapkan. Kelemahan ketiga dari WEP adalah perbedaan di antara enkripsi 64-bit dan 128-bit. Hal ini akan mengindikasikan bahwa 128-bit harus menjadi dua kali lebih aman, bukankah demikian? Salah. Semua tingkatan ini masih menggunakan 24-bit IV yang sama, yang memiliki kelemahan bawaan. Karenanya, jika Anda berpikir bahwa
128-bit lebih
aman, dalam
kenyataannya Anda akan men-dapati bahwa keamanan jaringan Anda tidak meningkat secara signitikan. (Thomas tom, 2005 : 347)
2.4.4 Pemfilteran MAC Address Pemfilteran MAC address merupakan pemfilteran di atas standar 802,lib untuk mengamankan jaringan. MAC address dari card jaringan adalah bilangan hexadecimal 12-digit yang unik satu sama lain. Karena masing-masing card wireless Ethernet memiliki MAC address-nya sendiri, maka jika Anda hendak membatasi akses ke AP hanya pada MAC address dari peranti yang telah diotorisasikan tersebut, Anda dapat dengan mudah mengeluarkan tiap orang yang tidak berada pada jaringan Anda.
41
Gambar 2.15 Pemfilteran MAC address menggunakan RADIUS Server (http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf)
Akan tetapi, pemfilteran MAC address tidak seluruhnya aman dan jika Anda semata-mata mengandalkan pemfilteran MAC address, Anda akan mendapatkan kegagalan. Perhatikan hal berikut: Seseorang akan melacak database MAC address dari setiap peranti wireless dalam jaringan Anda. Tidak masalah jika hanya ada 10 sampai 20 peranti, tetapi jika Anda harus melacak ratusan MAC address, maka ini akan segera menjadi mimpi buruk. MAC address dapat diubah sehingga penyerang dapat menggu-nakan wireless sniffer untuk mengonfigurasi MAC address yang di-izinkan dan mengeset PC-nya supaya dianggap valid. Ingat bahwa enkripsi menempati Layer 2 sehingga MAC address akan terlihat pada packet sniffer. (Thomas tom, 2005 : 350)
2.4.5 Extensible Authentication Protocol (EAP) 802.IX adalah standar yang terkait dengan port level security yang diratifikasi
IEEE.
Ratifikasi
ini
42
pada
awalnya
dimaksudkan
untuk
menstandarisasi keamanan pada wired network port, tetapi dia juga dapat diaplikasikan pada jaringan wireless. Extensible Authentication Protocol (EAP) adalah protokol keamanan (MAC address layer) Layer 2 yang berada di tahap otentikasi pada proses keamanan, dan bersama-sama dengan ukuran keamanan yang telah didiskusikan sejauh ini, menyediakan layer ketiga dan terakhir dari keamanan untuk jaringan wireless Anda.
2.5
Remote Authentication Dial-In User Service (RADIUS) Server
Menjalankan sistem administrasi pengguna yang terpusat, sistem ini akan mempermudah tugas administrator. Dapat kita bayangkan berapa banyak jumlah pelanggan yang dimiliki oleh sebuah ISP, dan ditambah lagi dengan penambahan pelanggan baru dan penghapusan pelanggan yang sudah tidak berlangganan lagi. Apabila tidak ada suatu sistem administrasi yang terpusat, maka akan merepotkan administrator dan tidak menutup kemungkinan ISP akan merugi atau pendapatannya berkurang. Dengan sistem ini pengguna dapat menggunakan hotspot di tempat yang berbeda-beda dengan
melakukan
autentikasi
ke
sebuah
RADIUS
server.
(http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
2.5.1 Prinsip Kerja RADIUS Server RADIUS (Remote Authentication Dial-In User Service), adalah suatu metode standar (protokol) yang mengatur komunikasi antara NAS dengan AAA server. Dalam hal ini server AAA yang digunakan dapat juga disebut sebagai server RADIUS, dan paket-paket data yang terlibat dalam komunikasi antara
43
keduanya disebut sebagai paket RADIUS. Ketika NAS menerima permintaan koneksi dari user, NAS akan mengirimkan informasi yang diperolehnya dari user ke server RADIUS. Berdasarkan informasi tersebut, server RADIUS akan mencari dan mencocokkan informasi mengenai user tersebut pada databasenya, baik internal, eksternal, maupun server RADIUS lain. Jika terdapat informasi yang cocok, server RADIUS akan mengizinkan user tersebut untuk menggunakan jaringan. Jika tidak, maka user tersebut akan ditolak. Berdasarkan informasi ini, NAS memutuskan apakah melanjutkan atau memutuskan koneksi dengan user. Selanjutnya, NAS mengirimkan data ke server RADIUS untuk mencatat semua kegiatan yang dilakukan user dalam jaringan. Server RADIUS dan NAS berkomunikasi melalui paket-paket RADIUS. Paket-paket RADIUS ini memiliki format sesuai dengan yang ditentukan oleh IETF melalui dokumen RFC 2865 mengenai RADIUS, dan RFC 2866 mengenai RADIUS accounting. Paket-paket RADIUS dikirimkan oleh NAS dan server RADIUS berdasarkan pola request/response : NAS mengirimkan request dan menerima response dari server RADIUS. Jika NAS tidak menerima response dari server atas suatu request, NAS dapat mengirimkan kembali paket request secara periodik sampai dicapai suatu masa timeout tertentu, dimana NAS tidak lagi mengirimkan request kepada server, dan menyatakan bahwa server sedang down/tidak aktif. Setiap paket memiliki fungsi tersendiri, apakah untuk authentication atau untuk accounting. Setiap paket RADIUS dapat menyertakan nilai-nilai tertentu yang disebut atribut (attributes). Atribut-atribut ini bergantung pada jenis paket (authentication atau accounting), dan jenis NAS yang
44
digunakan. Informasi detail mengenai format paket dan nilai-nilai dari masingmasing field dalam paket RADIUS dapat dilihat pada RFC 2865 dan RFC 2866. Fungsi authentication dilakukan melalui field-field pada paket accessrequest. Fungsi authorization dilakukan melalui atribut-atribut pada paket access-accept. Fungsi accounting dilakukan melalui atribut-atribut pada paketpaket accounting (paket start, stop, on, off, dll). Keamanan pada komunikasi antara NAS dengan server RADIUS dijamin dengan digunakannya konsep shared secret. Shared secret merupakan rangkaian karakter alfanumerik unik yang hanya diketahui oleh server RADIUS dan NAS, dan tidak pernah dikirimkan ke jaringan. Shared secret ini digunakan untuk mengenkripsi informasi-informasi kritis seperti user password. Enkripsi dilakukan dengan cara melewatkan shared secret yang diikuti dengan request authenticator (field pada paket access request dari NAS yang menandakan bahwa paket tersebut merupakan paket access request) pada algoritma MD5 satu arah, untuk membuat rangkaian karakter sepanjang 16 oktet, yang kemudian diXOR-kan dengan password yang dimasukkan oleh user. Hasil dari operasi ini ditempatkan pada atribut User-Password pada paket access request. Karena shared secret ini hanya diketahui oleh NAS dan server RADIUS, dan tidak pernah dikirimkan ke jaringan, maka akan sangat sulit untuk mengambil informasi user-password dari paket access request tersebut. NAS dan server RADIUS terhubung melalui jaringan TCP/IP. Protokol yang digunakan adalah UDP (User Datagram Protocol), dan menggunakan port 1812
untuk
authentication,
dan
port
(http://www.telkomrdc-media.com/index.php)
45
1813
untuk
accounting.
Gambar 2.16 Struktur paket data RADIUS (http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
Struktur paket data RADIUS pada Gambar 2.20 terdiri dari lima bagian, yaitu: 1. Code Code memiliki panjang adalah satu oktet, digunakan untuk membedakan tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal) ialah: 1
Access-Request
2
Access-Accept
3
Access-Reject
4
Accounting-Request
5
Accounting-Response
11
Access-Challenge
12
Status-Server
13
Status-Client
255
Reserved
2. Identifier Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan. 3. Length Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket.
46
4. Authenticator Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password. 5. Attributes Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat mmembawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, CHAP-password,
alamat
IP
access
point(AP),
pesan
balasan.
(http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
2.5.2 Authentication, Authorization, dan Accounting (AAA) AAA adalah sebuah model akses jaringan yang memisahkan tiga macam fungsi kontrol, yaitu Authentication, Authorization, dan Accounting, untuk diproses secara independen. Model jaringan yang menggunakan konsep AAA diilustrasikan pada gambar 2.19
Gambar 2.17 Model AAA (http://www.telkomrdc-media.com/index.php)
47
Pada gambar 2.19
terlihat komponen-komponen yang terlibat dalam
model AAA. Pada dasarnya terdapat tiga komponen yang membentuk model ini yaitu Remote User, Network Access Server (NAS), dan AAA server. Proses yang terjadi dalam sistem ini ialah user meminta hak akses ke suatu jaringan (internet, atau wireless LAN misalnya) kepada Network Access Server. Network Access Server kemudian mengidentifikasi user tersebut melalui AAA server. Jika server AAA mengenali user tersebut, maka server AAA akan memberikan informasi kepada NAS bahwa user tersebut berhak menggunakan jaringan, dan layanan apa saja yang dapat diakses olehnya. Selanjutnya, dilakukan pencatatan atas beberapa informasi penting mengenai aktivitas user tersebut, seperti layanan apa saja yang digunakan, berapa besar data (dalam ukuran bytes) yang diakses oleh user, berapa lama user menggunakan jaringan, dan sebagainya. (http://www.telkomrdcmedia.com/index.php)
2.5.2.1 Authentication Proses autentikasi diperlukan ketika Anda mempunyai kebutuhan untuk membatasi siapa saja yang diperbolehkan masuk ke dalam jaringan remote access milik Anda. Untuk memenuhi kebutuhan tersebut, pengguna yang ingin mengakses sebuah jaringan secara remote harus diidentifikasi terlebih dahulu. Pengguna yang ingin masuk ke dalam jaringan pribadi tersebut perlu diketahui terlebih dahulu sebelum bebas mengakses jaringan tersebut. Pengenalan ini bertujuan untuk mengetahui apakah pengguna tersebut berhak atau tidak untuk mengakses jaringan. Analoginya sederhananya adalah seperti rumah Anda. Apabila ada orang yang ingin berkunjung ke rumah Anda, kali pertama yang akan
48
dilakukan oleh pemilik rumahnya adalah mengidentifikasi siapa yang ingin datang dan masuk ke dalamnya. Jika Anda tidak mengenal orang tersebut, bisa saja Anda tolak permintaannya untuk masuk ke rumah Anda. Namun jika sudah dikenal, maka Anda mungkin akan langsung mempersilakannya masuk. Demikian juga dengan apa yang dilakukan oleh perangkat remote access terhadap pengguna yang ingin bergabung ke dalam jaringan di belakangnya. Pada umumnya, perangkat remote access telah dilengkapi dengan sebuah list yang berisikan siapa-siapa saja yang berhak masuk ke jaringan di belakangnya. Metode yang paling umum digunakan untuk mengenali pengakses jaringan adalah dialog login dan password. Metode ini juga didukung oleh banyak komponen lainnya, seperti metode challenge dan response, messaging support, dan enkripsi, tergantung pada protokol sekuriti apa yang Anda gunakan. (http://www.scriptintermedia.com / view.php?id=105&jenis=ITKnowledg)
Gambar 2.18 Proses Autentikasi (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
49
2.5.2.2 Authorization Proses authorization merupakan langkah selanjutnya setelah proses autentikasi berhasil. Ketika pengguna yang ingin mengakses jaringan Anda telah dikenali dan termasuk dalam daftar yang diperbolehkan membuka akses,
langkah berikutnya
Anda
harus
memberikan batasan hak-hak apa saja yang akan diterima oleh pengguna tersebut. Analogi dari proses ini dapat dimisalkan seperti peraturanperaturan yang tertempel di dinding-dinding rumah Anda. Isi dari peraturan tersebut biasanya akan membatasi para pengunjung agar mereka tidak dapat dengan bebas berkeliling rumah Anda. Tentu ada bagian yang privasi di rumah Anda, bukan? Misalnya setiap pengunjung rumah Anda tidak diperbolehkan masuk ke ruang kerja Anda. Atau setiap pengunjung harus membuka alas kakinya ketika memasuki ruangan ibadah di rumah Anda. Atau setiap pengunjung hanya diperbolehkan masuk sampai teras rumah. Semua itu merupakan peraturan yang dapat dengan bebas Anda buat di rumah Anda. Begitu juga dengan apa yang terjadi pada proses pengamanan jaringan remote access Anda. Perlu sekali adanya batasan untuk para pengguna jaringan remote karena Anda tidak akan pernah tahu siapa yang ingin masuk ke dalam jaringan Anda tersebut, meskipun telah teridentifikasi dengan benar. Bisa saja orang lain yang tidak berhak menggunakan username dan password yang bukan miliknya untuk mendapatkan akses ke jaringan Anda.
50
Bagaimana untuk membatasi masing-masing pengguna tersebut? Banyak sekali metode untuk melakukan pembatasan ini, namun yang paling umum digunakan adalah dengan menggunakan seperangkat atribut khusus yang dirangkai-rangkai untuk menghasilkan policy tentang hakhak apa saja yang dapat dilakukan si pengguna. Atribut-atribut ini kemudian dibandingkan dengan apa yang dicatat di dalam database. Setelah dibandingkan dengan informasi yang ada di database, hasilnya akan dikembalikan lagi kepada fasilitas AAA yang berjalan pada perangkat tersebut. Berdasarkan hasil ini perangkat remote access akan memberikan apa yang menjadi hak dari si pengguna tersebut. Apa saja yang bisa dilakukannya dan apa saja yang dilarang sudah berlaku dalam tahap ini. Database yang berfungsi untuk menampung semua informasi ini dapat dibuat secara lokal di dalam perangkat remote access atau router maupun dalam perangkat khusus yang biasanya disebut dengan istilah server sekuriti. Di dalam server sekuriti ini biasanya tidak hanya informasi profil penggunanya saja yang ditampung, protokol sekuriti juga harus berjalan di sini untuk dapat melayani permintaan informasi profil dari perangkat-perangkat yang berperan sebagai kliennya. Pada perangkat inilah nantinya attribute-value (AV) dari pengguna yang ingin bergabung diterima dan diproses untuk kemudian dikembalikan lagi menjadi sebuah peraturan oleh fasilitas AAA tersebut. Metode authorization biasanya dilakukan dalam banyak cara. Bisa dilakukan dengan cara one-time authorization yang memberikan seluruh
51
hak dari si pengguna hanya dengan satu kali proses authorization. Atau bisa juga dilakukan per service authorization yang membuat pengguna harus diotorisasi berkali-kali ketika ingin menggunakan servis tertentu. Authorization juga bisa dibuat per pengguna berdasarkan list yang ada di server sekuriti atau kalau protokolnya mendukung otorisasi bisa diberlakukan per group pengguna. Selain itu, jika server sekuritinya memungkinkan, Anda dapat memberlakukan aturan-aturan otorisasi berdasarkan sistem pengalamatan IP, IPX, dan banyak lagi yg lainnya. (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge )
2.5.2.3 Accounting Proses accounting dalam layanan koneksi remote access amat sangat penting, apalagi jika Anda membuat jaringan ini untuk kepentingan komersial. Dalam proses accounting ini, perangkat remote access atau server sekuriti akan mengumpulkan informasi seputar berapa lama si pengguna sudah terkoneksi, billing time (waktu start dan waktu stop) yang telah dilaluinya selama pemakaian, sampai berapa besar data yang sudah dilewatkan dalam transaksi komunikasi tersebut. Data dan informasi
ini
akan
berguna
sekali
untuk
pengguna
administratornya. Biasanya informasi ini akan digunakan
maupun dalam
melakukan proses auditing, membuat laporan pemakaian, penganalisisan karakteristik jaringan, pembuatan billing tagihan, dan banyak lagi. Analogi yang tepat untuk proses accounting ini adalah mesin
52
absensi yang ada di kantor-kantor. Dengan mesin absensi ini para karyawan dapat dimonitor waktu kerjanya. Kapan mereka datang dan kapan mereka pulang tentu merupakan informasi yang cukup berguna. Baik hanya untuk keperluan analisis saja, maupun untuk menentukan berapa upah yang akan dibayarkan kepada mereka. Fasilitas accounting pada jaringan remote access umumnya juga memungkinkan Anda untuk melakukan monitoring terhadap servis apa saja yang digunakan oleh pengguna. Dengan demikian, fasilitas accounting dapat mengetahui seberapa besar resource jaringan yang Anda gunakan. Ketika fasilitas AAA diaktifkan pada sebuah perangkat jaringan remote access, perangkat tersebut akan melaporkan setiap transaksi tersebut ke server sekuriti. Tergantung pada protokol sekuriti apa yang Anda gunakan, maka cara melaporkannya pun berbeda-beda. Setiap record accounting akan mempengaruhi nilai-nilai atribut dari proses AAA yang lain seperti authentication dan authorization. Semua informasi yang saling terkait ini kemudian disimpan di dalam database server sekuriti atau jika memang diperlukan, kumpulan informasi ini dapat disimpan di server khusus tersendiri. Biasanya server khusus billing diperlukan jika penggunanya sudah berjumlah sangat banyak. (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledg)
53
Gambar 2.19 Proses di mulainya pencatatan (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
Gambar 2.20 Proses di akhirinya pencatatan (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
2.5.3 Captive Portal Captive portal bekerja dengan cara mengalihkan semua permintaan akses
54
http dari klien menuju ke sebuah halaman khusus yang biasanya berupa halaman autentikasi pengguna atau halaman kesepakatan antara pengguna dengan penyedia jaringan wíreles yang berfungsi untuk melakukan autentikasi, sebelum user atau clien mengakses sumberdaya jaringan atau jaringan internet. Pengalihan permintaan http tersebut dilakukan dengan menginterupsi semua paket dengan mengabaikan setiap alamat dan nomor port yang dituju. Pada halaman autentikasi, user akan disuguhi variable-variabel yang harus di isi untuk autnetikasi, biasanya berupa kode pengguna dan kata kunci. Karena halaman autentikasi harus di suguhkan kepada user atau clien, maka halaman login harus disimpan secara local di gateway, atau pada web server yang diijinkan untuk di akses oleh pengguna tanpa harus melalui proses autentikasi terlebih dahulu. Captive portal sendiri merupakan satu set perangkat lunak yang saling bekerja sama untuk melakukan tugasnya, beberapa perangkat lunak tersebut diantaranya adalah :
Remote Access Dial Up service (RADIUS) Server Sesuai dengan namanya server ini berfungsi untuk menangani sambungan dari jarak jauh. Dalam server ini juga diatur manajemen akses yang diberikan kepada pengguna seperti misalnya perhitungan penggunaan baik berdasarkan waktu ataupun data yang di download.
Dinamic Host Control Protocol (DHCP) Server Berfungungsi untuk mengatur penggunaan Internet Protocol (IP) oleh client. DHCP ini akan memberikan IP untuk klien yang mengakses jaringan wireless.
55
Domain Name System (DNS) Merupakan system yang menyimpan informasi mengenai nama domain maupun nama host dalam bentuk basis data tersebar didalam jaringan komptuer. DNS menyediakan alamat IP untuk setiap alamat host dan IP untuk setiap alamat email.
DNS Redirector Merupakan pengalih permintaan HTTP dari klien untuk di alihkan ke halaman atau alamat tertentu, misalnya halaman login, halaman persetujuan atau halaman peringatan. Dipasaran banyak terdapat perangkat lunak yang tergolong pada captive portal ini. diantaranya adalah : 1. Chillispot berbasis opensource 2. CoovaChilli berbasis opensource 3. FirstSpot,komersial dan beroperasi pada system operasi Windows 4. WiFiDog Captive Portal Suite 5. SweetSpot 6. AirMarshal 7. Mikrotik, Komersial berbasis Linux
Captive portal dapat di terapkan pada jenis topologi jaringan apapun, namun perancangan topologi jaringan akan sangat membantu dalam pelaksanaan operasional captive portal. Misalnya dalam sebuah jaringan computer terdapat dua jenis jaringan; jaringan berbasis nirkabel atau wireless network dan jaringan berbasis kabel atau wired network, jika ditentukan hanya user dari jaringan wireless yang memanfaatkan captive portal maka jaringan kabel harus berada di
56
belakang trafik captive portal sedangkan jaringan wireless sebaliknya harus berada di depan captive portal atau semua trafik harus melalui captive portal gateway. Setiap captive portal menyediakan user interface standar yang dapat digunakan tanpa harus melakukan perubahan. Namun walau demikian administrator dapat melakukan perubahan-perubahan seperlunya sesuai dengan kondisi pengguna. Halaman login pengguna dapat di rubah sesuai dengan kebutuhan atau dengan memperhatikan kenyamanan pengguna jaringan wireless. Kendatipun halaman login standar sudah cukup user friendly namun belum tentu sesuai dengan kondisi user di tempat implementasi. (http://118.98.212.211/ pustakamaya /files/disk1/32/ict-100-1001-- glendispm-1567-1-perancan-r.pdf)
57
5 BAB II LANDASAN TEORI
2.1
Wireless LAN Wireless LAN yang dengan nama lain adalah jaringan nirkabel merupakan
sebuah LAN dimana transmisi data (pengiriman maupun penerimaan data) dilakukan melalui teknologi frekuensi radio lewat udara, menyediakan sebagian besar keunggulan dan keuntungan dari teknologi lama LAN namun tidak dibatasi media kabel atau kawat. (Gunawan arief hamdani, Putra andi, 2004 : 5)
2.1.1 Keuntungan Wireless LAN Muncul dan berkembangnya sistem jaringan nirkabel dipicu oleh kebutuhan akan biaya pengeluaran yang lebih rendah menyangkut infrastruktur jaringan dan untuk mendukung aplikasi jaringan bergerak dalam efisiensi proses, akurasi dan biaya pengeluaran yang rendah dalam hitungan bisnis. Beberapa diantaranya adalah:
a. Kemudahan Bergerak (Mobilitas) Kemudahan bergerak memungkinkan pengguna untuk berpindah-pindah secara fisik ketika menggunakan aplikasi seperti PDA/personal digital assistance dan semacam-nya Ada begitu banyak pekerjaan yang membutuhkan pekerja untuk bisa bergerak dengan bebas secara fisik, seperti petugas PAM, PLN, polisi, UGD spe-sialis, dan lain-lain. Namun walaupun demikian, teknologi jaringan kabel juga masih diperlukan untuk penambatan antara workstation tempat si pekerja dengan server utama, untuk menjaga tempat mana saja yang dapat
6
diakses si pekerja ketika ia berpindah ke workstation lain.
b. Kesulitan dalam Penginstalasian Jaringan Kabel pada Area-area Tertentu Implementasi dari jaringan nirkabel memberikan banyak keuntungan yang nyata dalam penghematan biaya, ketika menghadapi keadaan dimana instalasi kabel sulit dilakukan. Bila Anda ingin menyambungkan 2 jaringan dalam masing-masing gedung dimana gedung tersebut dipisahkan oleh jalan, sungai atau rintangan lain dimana sulit dijangkau dengan sistem kabel, maka solusi yang terbaik adalah jaringan nirkabel. Solusi jaringan nirkabel dapat jauh lebih ekonomis daripada instalasi kabel atau menyewa peralatan komunikasi yang berupa kabel seperti layanan Informatika atau 56 Kbps lines. Beberapa perusahaan bahkan menghabiskan ribuan bahkan jutaan dolar untuk pemasangan sambungan fisik antar dua fasilitas atau gedung yang saling berdekatan.
c. Penghematan Biaya Jangka Panjang Perkembangan organisasi menyebabkan perpindahan orang, lantai pada kantor yang baru, pembagian kantor dan renovasi yang lain. Perubahan Ini biasanya membutuhkan pengaturan sistem jaringan yang baru. Melibatkan baik pekerja maupun biaya secara materi. Dalam beberapa kasus, biaya pengaturan sistem kabel yang baru sangat besar, khususnya pada perusahaan dimana jaringannya sangat besar. Maka dalam keadaan ini, sekali lagi, keuntungan sistem nirkabel menjawab masa-lah biaya. Sistem nirkabel bahkan tidak membutuhkan banyak instalasi kabel, Anda dapat
7
memindahkan sambungan jaringan dengan hanya semudah memindahkan PC para pekerja. (Gunawan arief hamdani, Putra andi, 2004 : 5)
2.1.2
Standar wireless LAN Pada dasarnya WLAN memiliki dua konfigurasi, pertama ad hoc yaitu
penggunaan WLAN pada suatu tempat bersifat sementara dan dibangun tanpa infrastruktur, contohnya dikelas, ruang rapat, ruang seminar, dll. Kedua konfigurasi infrastruktur yaitu penggunaan WLAN pada suatu tempat bersifat permanen dan memiliki infrastruktur, contohnya di kantor, pabrik dll. Untuk membangun WLAN diperlukan banyak elemen yang termasuk ke dalam perangkat keras, perangkat lunak, standarisasi dan pengukuran dan analisis kelayakan (misalnya untuk menentukan posisi antena base station/BS). Dengan adanya berbagai merek perangkat keras dan lunak, maka diperlukan suatu standar, di mana perangkat perangkat yang berbeda merek dapat difungsikan pada perangkat merek lain. Standar-standar WLAN adalah IEEE 802.11, WINForum dan High Performance Radio Local Area Network (HIPERLAN). Wireless Information Network Forum (WINForum) dilahirkan oleh Apple Computer dan bertujuan untuk mencapai pita Personal Communication Service (PCS) yang tidak terlisensi untuk aplikasi data dan suara dan mengembangkan spektrum yang menawarkan peraturan-peraturan yang sangat minim dan akses yang adil. HIPERLAN dilahirkan oleh European Telekommunications Standards Institute (ETSI) yang memfokuskan diri pada pita 5.12-5.30 GHz dan 17.1-17.3 GHz. IEEE 802.11 dilahirkan oleh Institute Electrical and Electronics Engineer (IEEE) dan berfokus pada pita ISM dan memanfaatkan teknik spread spectrum (SS) yaitu Direct Sequence (DS) dan Frequency Hopping (FH), standar ini adalah
8
yang
paling
banyak
dipakai.
(http://the-exploration.net/index.php/sejarah-
wireless-lan-wifi)
2.1.2.1 IEEE 802.11 Standar 802.11 adalah standar pertama yang menjelaskan tentang peng operasian wireless LAN. Standar ini mengandung semua teknologi tranmisi yang tersedia termasuk Direct Sequence Spread Spectrum (DSSS), Frequency Hoping Spread Spectrum (FHSS), dan infra merah. Standar IEEE 802.11 mendeskripsikan system DSSS yang beroperasi hanya pada 1 Mbps dan 2 Mbps. Jika suatu system DSSS beroperasi pada rate data lain sebaik seperti pada 1 Mbps, 2 Mbps dan 11 Mbps maka itu masih termasuk standar 802.11. Tapi bilamana suatu sistem bekerja pada suatu rate data di luar atau selain 1 atau 2 Mbps, dan walaupun sistemnya kompatibe untuk bekerja pada 1 & 2 Mbps, sistem ini tidak bekerja pada mode 802.11 dan tidak bisa berkomunikasi dengan perangkat system 802.11 yang lain. (Gunawan arief hamdani, Putra andi, 2004 : 125 )
2.1.2.2 IEEE 802.11a Standar IEEE 802.1la adalah standar dimana wireless LAN bekerja pada frekuensi 5 GHz UNII. Karena berada pada UNII bands, standar ini tidak kompatibel dengan standar 802.11 yang lain. Alasannya adalah karena
9
sistem yang bekerja pada 5 GHz tidak akan dapat berkomunikasi dengan sistem yang bekerja di frekuensi 2.4 GHz. Dengan menggunakan UNII band, laju data bisa mencapai 6, 9, 12, 18, 24, 36, 48, dan 54 Mbps. Beberapa bisa mencapai 108 Mbps dengan menggunakan teknologi proprietary, seperti penggandaan laju. Laju tertinggi yang bisa dicapai dengan menerapkan teknologi terbaru tidak dideskripsikan oleh standar ini. Standar 802.1 la menetapkan agar wireless LAN dapat kompatibel dengan laju data 6,12, dan 24 Mbps. Sedangkan maksimum laju data adalah 54 Mbps. ( Gunawan arief hamdani, Putra andi, 2004 : 125 )
2.1.2.3 IEEE 802.11b IEEE 802.lib, menetapkan DSSS yang bekerja pada frekuensi 1, 2, 5.5 dan 11 Mbps. 802.l i b samasekali tidak mendeskripsikan FHSS, sedangkan pe-rangkatnya sama dengan 802.11. Sehingga akan kompatibel dan dibutuhkan biaya yang rendah untuk meng-upgrade. Karena biaya yang rendah, dan laju data yang tinggi, membuat 802.lib sangat populer. Laju
data yang
tinggi
dikarenakan
penggunaan teknik
pengkodean yang berbeda. Walaupun masih merupakan direct sequence, pengkodean chips (CCK dibanding Barker Code) dan teknik modulasi yang digunakan (QPSK pada frekuensi 2, 5.5, & 11 Mbps dan BPSK pada frekuensi 1 Mbps) meng-hasilkan jumlah data yang ditransfer lebih banyak dalam satu time frame. 802.1 Ib hanya bekerja pada 2,4 GHz ISM band, antara 2.4000 dan 2.4835 GHz. (Gunawan arief hamdani, Putra andi, 2004 : 125)
10
2.1.2.4 IEEE 802.11g Standar 802.llg menghasilkan kecepatan maksimum yang sama dengan 802.1l a, dan kompatibel dengan 802.11 b. Kekompatibelan ini akan membuat proses upgrading wireless LAN lebih mudah dan lebih murah. IEEE 802.1 Ig bekerja pada frekuensi 2.4 GHz ISM. Untuk mencapai laju data yang sama dengan pada standar 802.11 a, teknik modulasi yang digunakan pada standar 802.llg adalah Orthogonal Frequency Division Multiplexing (OFDM). Dan bisa secara otomatis diswitch ke modulasi QPSK untuk berkomunikasi dengan standar 802.l i b yang lebih lambat dan standar 802.11 yang kompatibel. ( Gunawan arief hamdani, Putra andi, 2004 : 125 )
2.1.2.5 IEEE 802.11n Secara spesifikasi, memang terlihat perbedaan yang cukup mencolok untuk kinerjanya. Terutama untuk transfer rate yang dimungkinkan oleh masing-masing standar tersebut. 802.11n juga memasukan standardisasi 802.11e untuk QoS dan power saving, ini memungkinkannya bekerja lebih baik. efisien dengan data rate yang lebih baik. Dan memang salah satu fitur utama pengembangan 802.11n adalah high throughput (HT), dengan raw bit-rate hingga maksimal 600 Mbps. Dibandingkan dengan 802.11g yang hanya memiliki raw bit rate 54 Mbps. Subcarrier yang digunakan pada 802.11g hanya terdiri dari 48 OFD data subcarrier. Sedangkan, 802.11n menggunakan 52 subcarrier. Forward Error Correction (FEC)
11
yang digunakan pada 802.11g mencapai rasio 3:4. Pada 802.11n FEC ini ditingkatkan dengan rasio 5:6. Guard interval pada transmisi 802.11g sama seperti 802.11a pada kisaran 800ns. Sedangkan, pada 802.11n dipersingkat menjadi 400ns. (http://www.pcmedia.co.id / detail.asp?Id=1966&Cid=18&Eid=52)
2.1.3 Komponen Jaringan Wireless LAN Untuk membangun jaringan wirelesss LAN diperlukan beberapa komponen yang sangat penting dan merupakan kebutuhan utama. Komponen jaringan wireless LAN yang dimaksud antara lain adalah :
2.1.3.1 Access Point Administrator Wireless
LAN
dapat mengkonfigurasi dan
mengelola device. Sesuai namanya, access point bertindak sebagai penghubung agar client dapat bergabung ke dalam sebuah system jaringan. Access point dapat menghubungkan client-client wireless dengan jaringan kabel dan access point lainnya. Dalam implementasinya, kita dapat membentuk access point ke dalam 3 mode, yakni :
1. Mode root Mode di gunakan ketika access point di hubungkan ke jaringan kabel.
Kebanyakan access
point
yang
mendukung
mode
root
menjadikannya mode default. Selain dengan client wireless, access point bermode root dapat pula berkomunikasi dengan access point bermode
12
root lainnya. Kemudian, access point dapat saling berkoordinasi dalam melakukan fungsi roaming. Dengan demikian, wireless client masih dapat berkomunikasi melalui cell berbeda.
Gambar 2.1 Mode Root (Arifin, Zainal, 2007 : 15 )
2. Mode Repeater Di dalam mode repeater, access point mempunyai kemampuan menyediakan sebuah jalur upstream wirelesske jaringan kabel seperti gambar berikut. Penggunaan access point dengan mode repeater tidak disarankan. Mode demikian hanya digunakan jika benar-benar di perlukan karena antar-cell harus saling membnetuk irisan minimum 50%. Akibatnya, komfigurasi demikian mengurangi jangkauan access point terhadap client wireless.
13
Gambar 2.2 Mode Repeater ( Arifin, Zainal, 2007 : 15 )
3. Mode Bridge Pada mode bridge, access point bertindak seperti bridge wireless. Device bridge wireless berfungsi menghubungkan dua atau beberapa jaringan kabel secara wireless. ( Arifin, Zainal, 2007 : 11 )
Gambar 2.3 Mode Bridge ( Arifin, Zainal, 2007 : 15 )
2.1.3.2 Wireless Network Interface Card adapter (WNIC)
14
Pada umumnya setiap stasiun wireless (laptop) keluaran terbaru dilengkapi (built-in) dengan Wireless Network Interface Card adapter (WNIC). Namun ada jenis WNIC lain yang dapat digunakan pada laptop atau PC dalam bentuk eksternal yaitu PCMCIA, USB dan PCI wireless adapter. Dalam sebuah WNIC tersebut terdapat radio dengan frekuensi 2,4 sampai 5GHz dan juga dilengkapi dengan antena untuk buatan vendor tertentu.
Gambar 2.4 Wireless Network Interface Card adapter (WNIC)
2.1.3.3 Wireless Bridge Sebuah wireless bridge menyediakan konektifitas antara dua jaringan kabel dam digunakan dalam bentuk konfigurasi point to point atau point to multipoint. Sebuah wireless bridge merupakan device half duplex yang memiliki kemampuan konektifitas layer 2. Dalam impelementasinya, sebuah bridge dapat membentuk mode berikut : 1. Mode Root Sebuah root bridge hanya dapat berkomunikasi dengan non-root bridge dan device-device client lainnya serta tidak dapat berasosiasi dengan root bridge lainnya.
15
2. Mode Non-Root Pada wireless bridge dalam mode non-root, bridge terpasang secara wireless ke wireless bridge yang menerapkan mode root. 3. Mode Access Point Dengan menggunakan mode demikian, sebuah bridge bertindak sebagai access point. 4. Mode Repeater Di dalam konfigurasi repeater, sebuah bridge akan ditempatkan diantara dua bridge lainnya dengan tujuan memperpanjang jangkauan wireless bridge. (Arifin, Zainal, 2007 : 14)
2.1.3.4 Antena Perangkat yang dibutuhkan oteh device wireless salah satunya adalah Antena RF. Antena RF merupakan sebuah device yang digunakan untuk mengkonversi sinyat frekuensi tinggi di jalur pengirim agar dapat memancarkan gelombang ke udara. Ada 3 kategori antena RF, di antaranya: a. Omnidirectional b. Semidirectional c. Highly directional Masing-masing kategori memiliki beberapa jenis antena
dengan
karakteristik yang berbeda-beda.
a. Antena Omnidirectional (dipole) Omnidirectional
memancarkan
16
energinya
ke
semua
arah.
Kebanyakan antenna yang digunakan wireless LAN menggunakan jenis ini.
Gambar 2.5 Dipole Doughnut ( Gambar disadur dan "Certified Wireless Network Administrator Study Guide" Administrator Study Guide )
Antena omnidirectional digunakan ketika jangkauan ke segala juaisan
di sekitar
poros antena
horizontal
diperlukan.
Antena
omnidirectional paling erektif jika cakupan area di sekitar titik pusat diperlukan. Antena omnidirectional biasa digunakan pada -hubungan point to multipoint dengan menggunakan topologi star.
b.
Antena Semidirectional Antena semidirectional memiliki beberapa bentuk yang berbeda. Beberapa jenis antena semidirectional yang digunakan pada Wireless LAN antara lain jenis antena Patch, Panel, dan Yagi. Semua jenis pada umumnya flat dan dirancang untuk dipasangkan pada dinding. Masingmasing memiliki karateristik tersendiri. Antena mengarahkan energi dari pemancar secara lebih kuat ke a rah tertentu.
17
Gambar 2.6 Antena-antena semidiiectional ( Arifin zainal, 2007 : 79 )
Antena semi directional lebih cocok digunakan untuk jarak pendek dan menengah. Oenis koneksi point to point biasa menggunakan jenis antena demikian. Contohnya adalah antena yang digunakan untuk menghubungkan jaringan dua gedung yang terpisah dengan jalan raya.
c. Antena Highly Directional Antena highly directional terdiri atas beberapa bentuk, di antaranya adalah: Antena parabolic dish
Gambar 2.7 Antena parabolic dish ( Arifin zainal, 2007 : 80 )
Antena grid
Gambar 2.8 Antena dish ( Arifin zainal, 2007 : 80 )
18
Antena jenis demikian ideal untuk menghubungkan jenis koneksi wireless secara point to point. Lebih lanjut, antena highly directional dapat memancarkan sinyal hingga 42 km. ( Arifin zainal, 2007 : 71 )
2.1.4 Terminal Wireless LAN Ada beberapa yang menjadi bagian dari sebuah terminal pada Wireless LAN, diantaranya yaitu :
2.1.4.1 Tablet PC Tablets PC merupakan peralatan wireless yang menyerupai notebook dengan kelebihan yang hampir sama. Memiliki bentuk compact dan dilengkapi dengan pena elektronik untuk keperluan digital signature.
2.1.4.2 Smart Phones Telepon mobile atau telepon selular adalah telepon yang mempunyai kemampuan dalam transmisi panjang gelombang analog atau digital yang memungkinkan pengguna untuk mengadakan koneksi wireless ke transmitter terdekat. Luas jangkauan transmitter disebut dengan cell. Pengguna telepon selular bergerak dari satu cell ke cell lainnya, sehingga koneksi telepon secara efektif dikirimkan dari satu transmitter cell ke
19
transmitter cell lainnya. Pada saat ini, telepon selular berintegrasi dengan PDA, yang menyediakan peningkatan akses e-mail dan internet wireless. Telepon mobile dengan kemampuan memproses informasi dan jaringan data disebut dengan smart phone.
2.1.4.3 Personal Digital Assistan ( PDA ) Personal Digital Assistant (PDA) merupakan data organizer yang berukuran kecil. PDA ini menawarkan aplikasi seperti office productivity, basis data, buku alamat, penjadwalan dan daftar kegiatan.
PDA
juga
memungkinkan
pengguna
untuk
mengsinkronisasikan data antar PDA atau antara PDA dengan PC. Versi yang lebih baru memungkinkan pengguna mendownload email.
2.1.4.4 Wireless Fidellity ( Wi-Fi ) Phones Wi-Fi phones menggunakan jaringan untuk melakukan panggilan dan membutuhkan bandwidth yang cukup untuk dapat beroperasi. Wi-Fi phones dapat digunakan untuk roaming melalui jaringan VoIP ke jaringan selular.
2.1.5 Model Jaringan Wireless Jaringan komputer menggunakan sistem wireless terbagi menjadi dua macam, yaitu : Ad-hoc Mode dan Client/Server dan Access Point Mode. Pada Ad-hoc Mode, setiap komputer yang akan terhubung ke jaringan wireless cukup
20
hanya menggunakan sebuah Wireless Network Adapther, tanpa menggunakan suatu sentral komunikasi (Access Ponit) yang berfungsi sebagai pengatur lalu lintas data. Sedangkan pada Client/Server dan Access Point Mode, disamping menggunakan Wireless Adapther untuk dapat terkoneksi ke jaringan wireless dibutuhkan juga suatu sentral komunikasi (Access Ponit) yang berfungsi sebagai pengatur lalu lintas data pada sistem jaringan tersebut. (http://www.wahyudi.or.id/artikel/MembangunHotspot.doc)
2.1.5.1 Ad-hoc Standarisasi IEEE 802.11 mendefinisikan protokol dalam dua tipe jaringan, yaitu jaringan Ad Hoc dan Client/Server. Jaringan Ad Hoc merupakan jaringan sederhana di mana komunikasi terjadi di antara dua perangkat atau lebih pada cakupan area tertentu tanpa harus memerlukan sebuah access point atau server. Standarisasi ini semacam etiket pada setiap perangkat jaringan dalam melakukan akses media wireless. Metode ini meliputi penentuan pemberian permintaan koneksi pada sebuah media untuk memastikan throughput yang dimaksimalkan untuk pengguna dalam menerima layanan. Komunikasi Ad Hoc menggunakan media gelombang radio satu dengan yang lain, dan peralatan ini akan mengenal peralatan RF lain dalam cakupan sinyal yang saling berdekatan, sehingga komunikasi dapat dilakukan. Jaringan Ad Hoc dapat digunakan pada komputer-komputer notebook, laptop, atau peralatan handheld lain yang membutuhkan transfer date mobile lingkup kecil, dan tentunya yang memunyai peralatan RF yang sama dan telah mendukung teknik Ad Hoc. (Mulyanta edi s, 2005 : 53)
21
Gambar 2.9 Jaringan Ad Hoc ( Mulyanta edisi, 2005 : 53 )
2.1.5.2 Access Point Jaringan Client/Server
menggunakan access point sebagai
pengatur alokasi waktu transmisi untuk semua perangkat jaringan dan mengizinkan perangkat mobile melakukan proses roaming dari sel ke sel. Access point digunakan untuk menangani lalu lintas dari radio mobile ke perangkat yang menggunakan kabel maupun pada jaringan wireless. Access Point, digunakan untuk melakukan pengaturan lalu lintas jaringan dari mobile radio ke jaringan kabel atau dari backbone jaringan wireless client/server. Pengaturan ini digunakan untuk melakukan koordinasi dari semua node jaringan dalam mempergunakan layanan dasar jaringan scrta memastikan penanganan lalu lintas data dapat ber-jalan dengan sempuma. Access point akan merutekan aliran data antara pusat jaringan dengan jaringan wireless yang lain. Dalam sebuah WLAN, pengaturan jaringan akan dilakukan oleh access point pusat yang memunyai performa troughput yang lebih baik. Jaringan yang menggunakan access point sering disebut multipoint
22
RF network. Tipe jaringan wireless ini memunyai beberapa station dengan RF transmitter dan receiver, di mana setiap station akan berkomunikasi ke peralatan pusat access point ini atau sering disebut wireless bridge, Pada sistem RF, wireless bridge disebut wireless access point (WAP). WAP menyediakan koneksi secara transparan ke host LAN melalui koneksi ethemet dan jaringan metode wireless. (Mulyanta edi s, 2005 : 54)
2.1.6 Hotspot Secara fungsional, sebuah kawasan hotspot menyediakan ketersediaan koneksi jaringan tanpa kabel di mana user menggunakan perlengkapan yang kompatibel untuk dapat melakukan koneksi ke internet atau ke intranet, aktivitas e-mail, dan aktivitas jaringan lain. Peralatan yang digunakan tidak terbatas hanya Personal Computer atau laptop, akan tetapi peralatan mobile yang lain seperti PDA, telepon selular, notebook, atau peralatan game online lainnya. Beberapa komponen dalam hotspot adalah: Station yang mobile Access Point Switch, Router, Network Access Controller Web server atau server yang lain Koneksi Internet kecepatan tinggi Internet Service Provider Wireless ISP
Hal yang periu dipahami dalam membangun sebuah kawasan wireless
23
area adalah konfigurasi serta persyaratan apa yang harus dipenuhi serta untuk siapa wireless area ini diperuntukkan. Beberapa hal tersebut adalah ukuran lokasi cakupan, jumlah perkiraan user yang simultan, dan tipe pengguna wireless sasaran. Anda dapat mempelajari secara singkat pembangunan hotspot dengan sederhana pada bagian akhir buku ini.
a. Ukuran lokasi cakupan Ukuran ini menjadi pertimbangan awal yang sangat menentukan dalam membangun area wireless hotspot Dengan menentukan lokasi cakupan, akan dapat dipilih peralatan access point (AP) mana yang dapat melayaninya, misalnya dengan menentukan daya jangkau jarak tertentu. Beberapa AP diperlukan untuk menyediakan area cakupan yang lebih luas.
b. Jumlah Pengguna Dalam melakukan layout hotspot, jumlah user dapat digunakan untuk menentukan serta memerkirakan kepadatan pengguna pada kawasan tersebut. Kepadatan ini dapat diukur dari jumlah pengguna per kawasan. Di samping jumlah pengguna, hal yang lebih penting adalah pola pengguna sasaran yang dituju, sehingga akan dapat ditentukan pula target minimum bandwith per user yang aktif. Sebagai contoh, target bandwith adalah 100 Kbps per user aktif, di dalam daerah tersebut ter-koneksi 5 user yang aktif sehingga memerlukan minimal 500 Kbps atau lebih untuk melakukan koneksi Internet dengan baik.
c. Model penggunaan Faktor ketiga adalah tipe aplikasi apa yang diguna-kan oleh user yang
24
akan terkoneksi di hotspot tersebut. Model pada lingkungan kampus akan berlainan tipe aplikasinya dibanding dengan di hotel, atau di kafe-kafe yang menyediakan hotspot. Kebutuhan apa yang dapat digunakan sebagai standar minimal bandwith yang dibutuhkan untuk menyediakan ketersediaan resource bandwith, adalah faktor utama dalam menentukan kapasitas minimal bandwith Internet yang akan digunakan. Sebagai contoh, penggunaan minimal kawasan wireless tersebut adalah 250 Kbps, di mana kapasitas ini cukup memadai untuk melakukan koneksi hotspot dan menjaiankan aplikasi. Bandwith yang dibutuhkan untuk menghasilkan performa yang baik, saat 4 user melakukan koneksi secara simultan adalah 1 Mbps. Perhitungan sederhananya adalah: 250 Kbps x User Simultan = 1.000 Kbps atau 1.0 Mbps. (Mulyanta edi s, 2005 : 148)
2.1.7 ` Komponen dan Fungsi Hotspot Anda memerlukan beberapa komponen dasar untuk membangun sebuah hotspot, Berikut adalah daftar fitur penting dan fungsionalitas dari pembangunan hotspot yang diperlukan (Mulyanta edi s, 2005 : 150) : a. Melakukan akses ke wireless link • Menyediakan mobile station dengan informasi jaringan wireless • Membuat association dengan mobile station • Melakukan akses ke jaringan local • Menyediakan layanan transfer data paket • Melakukan disassociation dari mobile station b. Menetapkan sebuah hotspot • Melakukan page redirection
25
• Autentikasi mobile station • Autorisasi user c. Manajemen pada layer 3 (IP) • Menyediakan alamat IP pada peralatan mobile • Translasi dari aiamat privat menjadi publik jika dipertukan • Menyediakan Domain Name Services (DNS) • Menyediakan informasi gateway Berikut referensi arsitektur hotspot yang dikembangkan oleh Intel.
2.1.7.1 WISP (Wireless Internet Service Provider) Layanan ini merupakan bentuk komunikasi buat pengembangan dan ISP standar. Layanan tersebut antara lain: • Desain hotspot • Manajemen, yang meliputi pemonitoran, update hardware/ software, konfigurasi jaringan, serta pengaturan user account. • Pemonitoran dan pengaturan akses yang meliputi penetapanpenetapan, autentikasi, dan keamanan. • Accounting dan billing, digunakan untuk menentukan tipe pembayaran seperti prabayar, pascabayar, dan penetapan roaming. • Akses WAN. (Mulyanta edi s, 2005 : 152)
2.1.7.2 Internet Service Provider/ISP Menyediakan koneksi antara hotspot dengan Internet pada jaringan yang lebih besar atau WAN. ISP dapat pula menyediakan
26
layanan WISP, tetapi bersifat optional. (Mulyanta edi s, 2005 : 152)
2.1.7.3 WAN Access Gateway/Router Merupakan titik pintu keluar dari hotspot ke ISP. Komponen ini merupakan fungsi penyedia akses utama ke WAN. (Mulyanta edi s, 2005 : 152)
2.1.7.4 Access Point (AP) AP secara harafiah dapat diartikan sebagai proses komunikasi LAN hotspot dengan peralatan yang digunakan oleh user. (Mulyanta edi s, 2005 : 152)
2.1.7.5 Switch/Hub Tujuan utama adanya switch dan hub adalah menyediakan banyak port untuk melakukan koneksi AP dan komponen jaringan hotspot lain. Kapabilitas switch dan user dapat digunakan untuk mengatur routing paket dan untuk membawa properti paket sebagai dukungan terhadap fungsi switch, misalnya port, MAC address, dan IP address. (Mulyanta edi s, 2005 : 152)
2.1.7.6 Network Access Controller Fungsi utama NAS adalah untuk mengontrol akses ke jaringan. Fungsi NAS cenderung bersifat penjaga gawang jaringan dengan mengimplementasikan filter cerdas untuk melakukan seleksi sebelum ke
27
jaringan lain. (Mulyanta edi s, 2005 : 153)
2.1.7.7 IP Address Allocation Manager Dalam rangka menjaga komunikasi antar komponen dengan baik membutuhkan alamat IP yang unik di dalam kawasan hotspot. Metode yang sudah sangat umum digunakan adalah menggunakan server Dynamic Host Configuration Protocol (DHCP). DHCP merupakan protokol Internet yang melakukan otomatisasi konfigurasi komputer dengan menggunakan protokol TCP/IP. Hal yang sangat kritis adalah fungsionalitas hotspot dalam memilih IP address yang digunakan. IP terdiri dari dua macam bentuk alamat, yaitu alamat IP public (publik) dan IP private (privat). Perbedaan IP publik dan IP privat adalah :
IP Publik
IP Privat
IP publik dapat digunakan untuk IP address bersifat privat dalam melakukan koneksi jaringan Internet sebuah jaringan LAN, yang luas.
Internet Assigned Numbers Authority (IANA) telah menyediakan sekumpulan alamat IP yang digunakan untuk private network. Sebagai contoh adalah :
10.0.0.0 - 10.255.255.255
Blok 24 bit kelas tunggal
172.16.0.0 – 172.31.255.255
Blok 20 bit, jumlahnya 16 kelas B yang saling berdekatan
28
192.168.0.0 – 192.168.255.255
16 bit blok, 256 kelas C
Alamat IP privat hanya dapat digunakan pada setiap jaringan privat dan akan terlihat pada jaringan Internet. Oleh karena itu, jaringan ini tidak akan dapat berkomunikasi langsung di Internet. Untuk dapat berkomunikasi langsung di luar jangkauan cakupan area privat, peralatan tersebut menggunakan Network Address /port translator. (Mulyanta edi s, 2005 : 153)
2.1.7.8 Network Address/Port Translator Saat paket IP dikirimkan melalui Internet, paket tersebut akan menggunakan alamat IP publik. Bagaimana mungkin alamat privat dapat mengirimkan paket melalui jaringan umum di Internet? Jawabnya adalah dengan melakukan switch IP address. Setiap paket tersebut akan melintas dari jaringan privat, kemudian ke jaringan publik untuk mendapatkan akses ke jaringan Internet sehingga alamat IP sumber harus diubah ke alamat IP publik. Translasi dari alamat privat ke alamat publik ditangani oleh Network Address Translator (NAT). Variasi dari model translasi ini juga melakukan translasi port IP, peralatan ini disebut Network Address Port Translators (NAPT). Peralatan NAPT akan melakukan map atau pemetaan terhadap semua alamat IP privat ke dalam sebuah alamat IP public. (Mulyanta edi s, 2005 : 153)
29
Gambar 2.10 Network Address Translator (NAT) (http://en.kioskea.net/internet/nat.php3)
2.2
Arsitektur Jaringan Wireless LAN Ketika Anda menginstal mengkonfigurasi, dan mengaktif-kan perangkat Wireless
LAN di sisi dient seperti PCMCIA card, maka dient secara otomatis dalam posisi listen untuk mendengar sinyal yang dikirimkan dari perangkat wireless LAN lainnya. Proses listen di sini dikenal pula dengan istitah scanning. Scanning terjadi sebelum proses lainnya karena berfungsi mencari perangkat wireless lainnya. Ada 2 jenis scanning, yaitu: • Scanning secara pasif (passive scanning). • Scanning secara aktif (active scanning).
Dalam proses mencari keberadaan access point station atau client akan mengidentifikasi sebuah identifier yang dikenal dengan istilah SSID (Service Set Identifiers). SSID merupakan nama kelompok jaringan yang digunakan pada Wireless LAN. Sifatnya unik dan case sensitive. Kemudian, nilainya berupa karakter atfanumerik yang memiliki panjang 2 hingga 32 karakter. SSID digunakan untuk membagi jaringan
30
dan untuk proses bergabung ke dalam sebuah jaringan.
Gambar 2.11 Client mengidentifikasikan adanya SSID (http://www.wlanbook.com/wp-content/uploads/2007/06/ssid-advertising.gif)
Sebuah client hams memiliki SSID yang benar supaya dapat bergabung ke dalam sebuah jaringan Wireless LAN. Administrator memasangkan SSID di setiap access point Beberapa client memiliki kemampuan menggunakan nilai SSID secara manual (dipasangkan oleh administrator), tetapi ada pula dient yang dapat menemukan sendiri SSID yang dipancar-kan oleh access point Nilai SSID yang terpasang di client dan access point harus sama. SSID dari access point dikirimkan da lam sebuah beacon, yakni sebuah frame pendek yang dikirimkan dari access point ke station atau client (pada mode infrastruktur) atau antarclient (pada mode adhoc). Beacon berfungsi mengelola dan mensinkronisasikan komunikasi wireless pada Wireless LAN. (Arifin zaenal, 2007 : 33)
2.2.1 Passive Scanning Scanning
secara
pasif ( Passive Scanning ) merupakan
proses
mendengarkan beacon pada tiap-tiap channel dalam periode waktu tertentu
31
setelah client diinisialisasi. Access point mengirim beacon, sedangkan client melakukan proses scanning karakteristik katalog tentang access point berbasis beacon. Station (client) mendengarkan beacon hingga mendengar sebuah beacon yang memperlihatkan SSID dari jaringan yang ingin dimasuki. Kemudian, station (client) berusaha bergabung dengan jaringan melalui access point yang telah mengirim beacon. Jika di dalam sebuah area ada beberapa access point SSID jaringan dibroadcast oleh beberapa access point Pada situasi ini, station akan berusaha bergabung dengan jaringan melalui access point berdasarkan kekuatan sinyal. Station melanjutkan scanning secara pasif setelah beraso-siasi dengan access point. Scanning secara pasif menyimpan waktu reconnect ke jaringan jika client memutuskan hubu-ngan dengan access point Dengan menyimpan daftar access point yang tersedia beserta karakteristik-karakteristiknya, station (client) dapat dengan cepat mencari access point terbaik yang seharusnya dihubungi oleh client Station (client) akan berpindah dari satu access point ke access point tainnya setelah sinyal radio dari access point yang dihubungi dient melemah. Agar station (client) dapat tetap terhubung dengan jaringan, kita dapat menerapkan mekanisme roaming. Station (client) menggunakan infbrma-si yang diperoteh melalui mekanisme scanning secara pasif untuk mencari access point terbaik. Selanjutnya, access point digunakan untuk rnenghubungi kern ball jaringan. Untuk alasan tersebut, kita perlu mendesain pemasangan beberapa access point supaya saling melakukan overlap (membentuk irisan) kurang lebih 10-15%. Overlap meng-izinkan station-station untuk melakukan roaming an taraccess point walaupun jaringan terputus dan terhubung kernbali tanpa
32
sepengetahuan user.(Arifin zaenal, 2007 : 36) 2.2.2 Active Scanning Scanning secara aktif (Active Scanning) meliputi pengiriman sebuah frame berisi probe pemtintaan dari client wireless. Station (client) mengirimkan probe permintaan ketika secara aktif mencari sebuah ketompok jaringan wireless. Probe permintaan berisi SSID suatu kelompok jaringan wireless. Jika sebuah probe yang dikirim menetapkan sebuah SSID, lalu hanya access point yang melayani SSID akan merespons dengan sebuah frame berisi probe response. Jika sebuah frame probe request dikirim dengan sebuah broadcast SSID, maka semua access point yang terjangkau akan merespons dengan sebuah probe respons. Cara menghubungi sebuah Wireless LAN terdiri atas dua subproses. Subproses selalu terjadi da lam urutan yang sama dan disebut proses autentikasi dan asosiasi. Sebagai contoh, ketika ktta berkomunikasi dari sebuah wireless PC card ke sebuah Wireless LAN, artinya PC card telah diautentikasi dan telah berasosiasi dengan sebuah access point Ketika berkomunikasi melalui asosiasi, kita berbicara pada layer 2 dan autentikasi secara langsung dilakukan ke radio bukan ke user. (Arifin zaenal, 2007 : 37)
2.2.3 Autentikasi dan Asosiasi Langkah pertama untuk menghubungi sebuah device wireless (access point) adalah autentikasi. Autentikasi adalah proses yang dilakukan jaringan (biasanya oleh access point) untuk memeriksa identitas wireless node yang akan bergabung ke jaringan. Client mulai melakukan proses autentikasi dengan mengirimkan sebuah frame autentikasi request ke access point Access point akan
33
menerima atau menolak permintaan, lalu client akan mendapatkan sebuah frame respons. Proses autentikasi dapat dilakukan pada access point atau access point hanya akan melewatkan proses autentikasi ke sebuah server seperti RADIUS. Radius akan melakukan autentikasi berdasarkan kriteria-kriteria yang muncul Kemudian, hasilnya akan diberikan ke access point, yang akan memberi-tahukan hasilnya ke client. Setelah diautentikasi, dient akan melakukan proses asosiasi dengan access point Associated adalah sebuah status yang menyatakan bahwa client diizinkan untuk melewatkan data melalui sebuah access point Jika PC card berasosiasi ke sebuah access point Anda terhubung ke access point dan jaringan. Status antara proses auntentikasi dan asosiasi dapat terdiri atas beberapa status : UnAuthenticated dan UnAssociated Wireless node terputus dari jaringan dan tidak dapat melewatkan frame melalui access point. Autenticated dan UnAssociated Wireless client telah melakukan proses auntentikasi tetapi belum melakukan proses asosiasi dengan access point. Maka, client belum diiziinkan untuk mengirim atau menerima data melalui access point. Authenticated dan Associated Wireless node telah terhubung ke jaringan dan dapat melakukan proses pengiriman dari penerimaan data melalui access point. (Arifin zaenal, 2007 : 38)
2.3 Topologi Jaringan WLAN
34
Ada tiga bentuk konfigurasi wireless LAN dan masing-masing bentuk tersebut memiliki set peralatan yang berbeda-beda. Tiga bentuk konfigurasi tersebut adalah: 1. Independent Basic Service Set 2. Basic Service Set 3. Extended Service Set
2.3.1 Independent Basic Service Set ( IBSS ) Network Sebuah independent basic service set disebut pula jaringan wireless yang menggunakan metode adhoc. Sebuah IBSS tidak memertukan access point atau device lain untuk mengakses ke sistem distribusi, tetapi hanya melingkupi satu cell dan memiliki sebuah SSID. Client pada IBSS secara bergantian bertanggung jawab mengirimkan beacon yang biasa dilakukan oleh access point. Agar dapat mengirimkan data ke luar IBSS, sebuah client harus bertindak sebagai gateway atau router dengan menggunakan software khusus untuk mengimpiementasikan tuju-an. Pada IBSS, client membuat koneksi secara langsung ke client lainnya, sehingga jaringan jenis demikian disebut jaringan peer to peer. ( Arifin zaenal, 2007 : 50 )
Gambar 2.12 Topologi IBSS (http://digilib.petra.ac.id/viewer.php) 2.3.2 Basic Service Set ( BSS) Network
35
Ketika sebuah access point dihubungkan ke jaringan kabel dan serangkatan station wireless, konfigurasi jaringan dikatakan sebuah basic service set. Basic Ssrvice set hanya terdiri atas satu access point dan satu atau beberapa client wireless. Sebuah basic service set menggunakan mode infrastruktur, yaitu sebuah mode yang membutuhkan sebuah access point dan semua trafik wireless melewati access point Tidak ada transmisi langsung dient to client yang diizinkan.
Gambar 2.13 Topologi BSS (http://digilib.petra.ac.id/viewer.php)
Setiap client
wireless harus menggunakan access
point untuk
berkomunikasi dengan client wireless lainnya atau dengan host yang terdapat pada jaringan kabel. Basic service set membentuk sebuah cell atau area frekuensi radio, yang mengelilingi access point dengan beragam rate zone dan speed diukur dengan Mbps. Jika basic service set menggunakan perangkat 802.11b, maka lingkaran akan memiliki kecepatan 11, 5.5, 2, dan 1 Mbps. Rate data akan semakin kecil jika semakin jauh dari access point Sebuah basic service set akan memiliki 1 SSID. ( Arifin zaenal, 2007 : 50 ) 2.3.3 Extended Service Set ( ESS ) Network Sebuah extended service set didefinisikan sebagai dua atau beberapa basic service set yang dihubungkan dengan sebuah sistem distribusi bersama.
36
Sistem distribusi dapat berupa kabel, wireless, LAN, WAN, atau bentuk jaringan lain. Sebuah extended service set harus memiliki paling sedikit 2 access point yang bekerja dalam mode infrastruktur. Semua paket harus melewati salah satu access point yang tersedia. Karakteristik lain ESS (extended service set), penggunaan standard 802.11, ESS melingkupi beberapa cell mengizinkan kemampuan roaming dan tidak membutuhkan SSID yang sama diantara kedua BSS (basic service set). ( Arifin zaenal, 2007 : 50 )
Gambar 2.14 Topologi ESS (http://digilib.petra.ac.id/viewer.php)
2.4 Keamanan Jaringan Wireless Anda mungkin ingin mengetahui mengapa seseorang menggunakan koneksi wireless yang sebenarnya tidak aman. Memang tidak semua seperti itu, terima kasih kepada Wired Equivalent Protocol, atau Wireless Encryption Protocol atau bahkan Wired Equivalent
Privacy. Tampaknya "para ahli
37
industri" memperdebatkan
kepanjangan WEP. Terlepas dari bagaimana Anda mengucapkan atau menyatakannya, WEP adalah sebuah algoritma enkripsi yang dapat diaktifkan untuk mengenkripsi transmisi di antara pengguna wireless dan WAP-nya. Pada awalnya, standar 802.lib tidak dimaksudkan untuk men-jabarkan seperangkat alat keamanan tingkatan enterprise. Tetapi, standar tersebut memasukkan beberapa ukuran keamanan dasar yang da-pat dikembangkan untuk membantu membuat jaringan lebih aman. Dengan masing-masing fitur keamanan, hal yang terjadi pada jaringan kemungkinan bisa lebih aman atau lebih terbuka untuk diserang. Dengan konsep pertahanan layered, bagian berikut akan melihat pada bagaimana peranti wireless mengoneksi ke sebuah access point dan bagaimana Anda dapat mengaplikasikan keamanan sedapat mungkin pada acces point yang pertama. (Thomas tom, 2005 : 345)
2.4.1 Service Set Identifier (SSID) Secara default, access point mem-broadcast SSID setiap beberapa detik dalam beacon frame. Meskipun ini memudahkan bagi authorized user untuk mencari jaringan yang benar, tap! juga memudahkan bagi unauthorized user untuk mendapatkan nama jaringan. Fitur ini memungkinkan sebagian perangkat lunak deteksi jaringan wireless untuk mendapatkan jaringan tanpa memiliki SSID upfront.
Setting SSID pada jaringan Anda harus ditetapkan sebagai ting-kat keamanan yang pertama. Sesuai standarnya, SSID tidak dapat memberikan semua proteksi terhadap siapa saja yang mengumpulkan akses pada jaringan
38
Anda, tetapi mengonfigurasi SSID Anda kepada sesuatu yang tidak bisa diprediksi dapat mempersulit penyusup untuk mengetahui apa sebenarnya yang mereka lihat.
Daftar SSID dari pemanufaktur dan perangkat jaringan lain yang dapat membongkar password dapat ditemukan di http:// www.cirt.net/. Seperti yang dapat Anda lihat, SSID telah tersedia di Internet. Jadi, mematikan SSID broadcasting sebagai langkah awal Anda merupakan gagasan yang bagus. (Thomas tom, 2005 : 345)
2.4.2
Menggabungkan Peranti dan Access Point Sebelum semua komunikasi lain terjadi di antara wireless client dan wire-
less access point, pertama-tama keduanya hams memulai sebuah dialog. Proses ini dikenal sebagai associating. Saat 802.lib didesain, IEEE menambahkan fitur untuk
memungkinkan jaringan wireless menjalankan otentikasi sesegera
mungkin sesudah peranti klien bergabung dengan access point, tetapi sebelum transmisi access point muncul. Tujuan dari persyaratan ini adalah untuk menambahkan layer keamanan lain. Otentikasi ini dapat diset menjadi shared key authentication atau open key authentication. Anda harus menggunakan open key authentication karena shared key lemah; meskipun kontra-intuitif, namun rekomendasi ini didasarkan pada pemahaman bahwa enkripsi lain akan digunakan. (Thomas tom, 2005 : 347)
2.4.3
Wired Equivalent Privacy (WEP)
39
Ada banyak salah pengertian mengenai WEP. Jadi, mari kita perjelas hal ini. WEP bukanlah sebuah algoritma keamanan. WEP tidak pemah didesain untuk melindungi data Anda dari script kiddies atau dari penyerang pintar yang ingin menemukan rahasia Anda. WEP tidak didesain untuk menolak; ia hanya memastikan bahwa Anda sedikit aman karena Anda tidak mengelola data Anda dalam sebuah wire. Masalahnya akan muncul saat orang melihat kata "enkripsi" dan membuat asumsi. WEP didesain untuk memperbaiki keridakamanan yang melekat pada transmisi wireless, sama dengan transmisi wired. WEP membuat data Anda sama amannya jika data tersebut ada pada jaringan wired Ethernet yang tidak dienkripsi. Itulah tujuan desain WEP. Kini salah pengertian itu telah terpecahkan dan Anda dapat memelajari.
WEP melindungi traffic wireless dengan mengombinasikan "secret" WEP key dengan bilangan 24-bit (Initialization Vector atau IV), dihasil-kan secara acak untuk menyediakan layanan enkripsi. 24-bit IV dikom-binasikan dengan 40bit atau 104-bit WEP pass phrase untuk memberi Anda kekuatan dan perlindungan enkripsi 128-bit — benarkah demiki-an? Ada beberapa isu mengenai kekurangan implementasi WEP:
Kelemahan pertama WEP adalah keterbatasan numerical 24-bit Initialization Vector (IV), yang menghasilkan value 16777.216 (224). Ini mungkin tampaknya besar, tetapi Anda mengetahui dari diskusi pada Bab 4, "Protokol Keamanan", bahwa bilangan mi hanyalah semu. Masalah pada bilangan kecil ini adalah nilai-nilai dan key start mengulang dirinya sendiri, inilah bagaimana penyerang dapat menyingkapkan WEP key.
40
Kelemahan kedua adalah value 16 juta, tidak semuanya bagus. Misalnya, bilangan 1 tidak akan menjadi sangat bagus. Jika penyerang dapat menggunakan alat untuk menemukan kelemahan pada nilai IV, WEP dapat disingkapkan. Kelemahan ketiga dari WEP adalah perbedaan di antara enkripsi 64-bit dan 128-bit. Hal ini akan mengindikasikan bahwa 128-bit harus menjadi dua kali lebih aman, bukankah demikian? Salah. Semua tingkatan ini masih menggunakan 24-bit IV yang sama, yang memiliki kelemahan bawaan. Karenanya, jika Anda berpikir bahwa
128-bit lebih
aman, dalam
kenyataannya Anda akan men-dapati bahwa keamanan jaringan Anda tidak meningkat secara signitikan. (Thomas tom, 2005 : 347)
2.4.4 Pemfilteran MAC Address Pemfilteran MAC address merupakan pemfilteran di atas standar 802,lib untuk mengamankan jaringan. MAC address dari card jaringan adalah bilangan hexadecimal 12-digit yang unik satu sama lain. Karena masing-masing card wireless Ethernet memiliki MAC address-nya sendiri, maka jika Anda hendak membatasi akses ke AP hanya pada MAC address dari peranti yang telah diotorisasikan tersebut, Anda dapat dengan mudah mengeluarkan tiap orang yang tidak berada pada jaringan Anda.
41
Gambar 2.15 Pemfilteran MAC address menggunakan RADIUS Server (http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf)
Akan tetapi, pemfilteran MAC address tidak seluruhnya aman dan jika Anda semata-mata mengandalkan pemfilteran MAC address, Anda akan mendapatkan kegagalan. Perhatikan hal berikut: Seseorang akan melacak database MAC address dari setiap peranti wireless dalam jaringan Anda. Tidak masalah jika hanya ada 10 sampai 20 peranti, tetapi jika Anda harus melacak ratusan MAC address, maka ini akan segera menjadi mimpi buruk. MAC address dapat diubah sehingga penyerang dapat menggu-nakan wireless sniffer untuk mengonfigurasi MAC address yang di-izinkan dan mengeset PC-nya supaya dianggap valid. Ingat bahwa enkripsi menempati Layer 2 sehingga MAC address akan terlihat pada packet sniffer. (Thomas tom, 2005 : 350)
2.4.5 Extensible Authentication Protocol (EAP) 802.IX adalah standar yang terkait dengan port level security yang diratifikasi
IEEE.
Ratifikasi
ini
42
pada
awalnya
dimaksudkan
untuk
menstandarisasi keamanan pada wired network port, tetapi dia juga dapat diaplikasikan pada jaringan wireless. Extensible Authentication Protocol (EAP) adalah protokol keamanan (MAC address layer) Layer 2 yang berada di tahap otentikasi pada proses keamanan, dan bersama-sama dengan ukuran keamanan yang telah didiskusikan sejauh ini, menyediakan layer ketiga dan terakhir dari keamanan untuk jaringan wireless Anda.
2.5
Remote Authentication Dial-In User Service (RADIUS) Server
Menjalankan sistem administrasi pengguna yang terpusat, sistem ini akan mempermudah tugas administrator. Dapat kita bayangkan berapa banyak jumlah pelanggan yang dimiliki oleh sebuah ISP, dan ditambah lagi dengan penambahan pelanggan baru dan penghapusan pelanggan yang sudah tidak berlangganan lagi. Apabila tidak ada suatu sistem administrasi yang terpusat, maka akan merepotkan administrator dan tidak menutup kemungkinan ISP akan merugi atau pendapatannya berkurang. Dengan sistem ini pengguna dapat menggunakan hotspot di tempat yang berbeda-beda dengan
melakukan
autentikasi
ke
sebuah
RADIUS
server.
(http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
2.5.1 Prinsip Kerja RADIUS Server RADIUS (Remote Authentication Dial-In User Service), adalah suatu metode standar (protokol) yang mengatur komunikasi antara NAS dengan AAA server. Dalam hal ini server AAA yang digunakan dapat juga disebut sebagai server RADIUS, dan paket-paket data yang terlibat dalam komunikasi antara
43
keduanya disebut sebagai paket RADIUS. Ketika NAS menerima permintaan koneksi dari user, NAS akan mengirimkan informasi yang diperolehnya dari user ke server RADIUS. Berdasarkan informasi tersebut, server RADIUS akan mencari dan mencocokkan informasi mengenai user tersebut pada databasenya, baik internal, eksternal, maupun server RADIUS lain. Jika terdapat informasi yang cocok, server RADIUS akan mengizinkan user tersebut untuk menggunakan jaringan. Jika tidak, maka user tersebut akan ditolak. Berdasarkan informasi ini, NAS memutuskan apakah melanjutkan atau memutuskan koneksi dengan user. Selanjutnya, NAS mengirimkan data ke server RADIUS untuk mencatat semua kegiatan yang dilakukan user dalam jaringan. Server RADIUS dan NAS berkomunikasi melalui paket-paket RADIUS. Paket-paket RADIUS ini memiliki format sesuai dengan yang ditentukan oleh IETF melalui dokumen RFC 2865 mengenai RADIUS, dan RFC 2866 mengenai RADIUS accounting. Paket-paket RADIUS dikirimkan oleh NAS dan server RADIUS berdasarkan pola request/response : NAS mengirimkan request dan menerima response dari server RADIUS. Jika NAS tidak menerima response dari server atas suatu request, NAS dapat mengirimkan kembali paket request secara periodik sampai dicapai suatu masa timeout tertentu, dimana NAS tidak lagi mengirimkan request kepada server, dan menyatakan bahwa server sedang down/tidak aktif. Setiap paket memiliki fungsi tersendiri, apakah untuk authentication atau untuk accounting. Setiap paket RADIUS dapat menyertakan nilai-nilai tertentu yang disebut atribut (attributes). Atribut-atribut ini bergantung pada jenis paket (authentication atau accounting), dan jenis NAS yang
44
digunakan. Informasi detail mengenai format paket dan nilai-nilai dari masingmasing field dalam paket RADIUS dapat dilihat pada RFC 2865 dan RFC 2866. Fungsi authentication dilakukan melalui field-field pada paket accessrequest. Fungsi authorization dilakukan melalui atribut-atribut pada paket access-accept. Fungsi accounting dilakukan melalui atribut-atribut pada paketpaket accounting (paket start, stop, on, off, dll). Keamanan pada komunikasi antara NAS dengan server RADIUS dijamin dengan digunakannya konsep shared secret. Shared secret merupakan rangkaian karakter alfanumerik unik yang hanya diketahui oleh server RADIUS dan NAS, dan tidak pernah dikirimkan ke jaringan. Shared secret ini digunakan untuk mengenkripsi informasi-informasi kritis seperti user password. Enkripsi dilakukan dengan cara melewatkan shared secret yang diikuti dengan request authenticator (field pada paket access request dari NAS yang menandakan bahwa paket tersebut merupakan paket access request) pada algoritma MD5 satu arah, untuk membuat rangkaian karakter sepanjang 16 oktet, yang kemudian diXOR-kan dengan password yang dimasukkan oleh user. Hasil dari operasi ini ditempatkan pada atribut User-Password pada paket access request. Karena shared secret ini hanya diketahui oleh NAS dan server RADIUS, dan tidak pernah dikirimkan ke jaringan, maka akan sangat sulit untuk mengambil informasi user-password dari paket access request tersebut. NAS dan server RADIUS terhubung melalui jaringan TCP/IP. Protokol yang digunakan adalah UDP (User Datagram Protocol), dan menggunakan port 1812
untuk
authentication,
dan
port
(http://www.telkomrdc-media.com/index.php)
45
1813
untuk
accounting.
Gambar 2.16 Struktur paket data RADIUS (http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
Struktur paket data RADIUS pada Gambar 2.20 terdiri dari lima bagian, yaitu: 1. Code Code memiliki panjang adalah satu oktet, digunakan untuk membedakan tipe pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal) ialah: 1
Access-Request
2
Access-Accept
3
Access-Reject
4
Accounting-Request
5
Accounting-Response
11
Access-Challenge
12
Status-Server
13
Status-Client
255
Reserved
2. Identifier Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan. 3. Length Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket.
46
4. Authenticator Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS server, selain itu digunakan juga untuk algoritma password. 5. Attributes Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat mmembawa satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password, CHAP-password,
alamat
IP
access
point(AP),
pesan
balasan.
(http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
2.5.2 Authentication, Authorization, dan Accounting (AAA) AAA adalah sebuah model akses jaringan yang memisahkan tiga macam fungsi kontrol, yaitu Authentication, Authorization, dan Accounting, untuk diproses secara independen. Model jaringan yang menggunakan konsep AAA diilustrasikan pada gambar 2.19
Gambar 2.17 Model AAA (http://www.telkomrdc-media.com/index.php)
47
Pada gambar 2.19
terlihat komponen-komponen yang terlibat dalam
model AAA. Pada dasarnya terdapat tiga komponen yang membentuk model ini yaitu Remote User, Network Access Server (NAS), dan AAA server. Proses yang terjadi dalam sistem ini ialah user meminta hak akses ke suatu jaringan (internet, atau wireless LAN misalnya) kepada Network Access Server. Network Access Server kemudian mengidentifikasi user tersebut melalui AAA server. Jika server AAA mengenali user tersebut, maka server AAA akan memberikan informasi kepada NAS bahwa user tersebut berhak menggunakan jaringan, dan layanan apa saja yang dapat diakses olehnya. Selanjutnya, dilakukan pencatatan atas beberapa informasi penting mengenai aktivitas user tersebut, seperti layanan apa saja yang digunakan, berapa besar data (dalam ukuran bytes) yang diakses oleh user, berapa lama user menggunakan jaringan, dan sebagainya. (http://www.telkomrdcmedia.com/index.php)
2.5.2.1 Authentication Proses autentikasi diperlukan ketika Anda mempunyai kebutuhan untuk membatasi siapa saja yang diperbolehkan masuk ke dalam jaringan remote access milik Anda. Untuk memenuhi kebutuhan tersebut, pengguna yang ingin mengakses sebuah jaringan secara remote harus diidentifikasi terlebih dahulu. Pengguna yang ingin masuk ke dalam jaringan pribadi tersebut perlu diketahui terlebih dahulu sebelum bebas mengakses jaringan tersebut. Pengenalan ini bertujuan untuk mengetahui apakah pengguna tersebut berhak atau tidak untuk mengakses jaringan. Analoginya sederhananya adalah seperti rumah Anda. Apabila ada orang yang ingin berkunjung ke rumah Anda, kali pertama yang akan
48
dilakukan oleh pemilik rumahnya adalah mengidentifikasi siapa yang ingin datang dan masuk ke dalamnya. Jika Anda tidak mengenal orang tersebut, bisa saja Anda tolak permintaannya untuk masuk ke rumah Anda. Namun jika sudah dikenal, maka Anda mungkin akan langsung mempersilakannya masuk. Demikian juga dengan apa yang dilakukan oleh perangkat remote access terhadap pengguna yang ingin bergabung ke dalam jaringan di belakangnya. Pada umumnya, perangkat remote access telah dilengkapi dengan sebuah list yang berisikan siapa-siapa saja yang berhak masuk ke jaringan di belakangnya. Metode yang paling umum digunakan untuk mengenali pengakses jaringan adalah dialog login dan password. Metode ini juga didukung oleh banyak komponen lainnya, seperti metode challenge dan response, messaging support, dan enkripsi, tergantung pada protokol sekuriti apa yang Anda gunakan. (http://www.scriptintermedia.com / view.php?id=105&jenis=ITKnowledg)
Gambar 2.18 Proses Autentikasi (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
49
2.5.2.2 Authorization Proses authorization merupakan langkah selanjutnya setelah proses autentikasi berhasil. Ketika pengguna yang ingin mengakses jaringan Anda telah dikenali dan termasuk dalam daftar yang diperbolehkan membuka akses,
langkah berikutnya
Anda
harus
memberikan batasan hak-hak apa saja yang akan diterima oleh pengguna tersebut. Analogi dari proses ini dapat dimisalkan seperti peraturanperaturan yang tertempel di dinding-dinding rumah Anda. Isi dari peraturan tersebut biasanya akan membatasi para pengunjung agar mereka tidak dapat dengan bebas berkeliling rumah Anda. Tentu ada bagian yang privasi di rumah Anda, bukan? Misalnya setiap pengunjung rumah Anda tidak diperbolehkan masuk ke ruang kerja Anda. Atau setiap pengunjung harus membuka alas kakinya ketika memasuki ruangan ibadah di rumah Anda. Atau setiap pengunjung hanya diperbolehkan masuk sampai teras rumah. Semua itu merupakan peraturan yang dapat dengan bebas Anda buat di rumah Anda. Begitu juga dengan apa yang terjadi pada proses pengamanan jaringan remote access Anda. Perlu sekali adanya batasan untuk para pengguna jaringan remote karena Anda tidak akan pernah tahu siapa yang ingin masuk ke dalam jaringan Anda tersebut, meskipun telah teridentifikasi dengan benar. Bisa saja orang lain yang tidak berhak menggunakan username dan password yang bukan miliknya untuk mendapatkan akses ke jaringan Anda.
50
Bagaimana untuk membatasi masing-masing pengguna tersebut? Banyak sekali metode untuk melakukan pembatasan ini, namun yang paling umum digunakan adalah dengan menggunakan seperangkat atribut khusus yang dirangkai-rangkai untuk menghasilkan policy tentang hakhak apa saja yang dapat dilakukan si pengguna. Atribut-atribut ini kemudian dibandingkan dengan apa yang dicatat di dalam database. Setelah dibandingkan dengan informasi yang ada di database, hasilnya akan dikembalikan lagi kepada fasilitas AAA yang berjalan pada perangkat tersebut. Berdasarkan hasil ini perangkat remote access akan memberikan apa yang menjadi hak dari si pengguna tersebut. Apa saja yang bisa dilakukannya dan apa saja yang dilarang sudah berlaku dalam tahap ini. Database yang berfungsi untuk menampung semua informasi ini dapat dibuat secara lokal di dalam perangkat remote access atau router maupun dalam perangkat khusus yang biasanya disebut dengan istilah server sekuriti. Di dalam server sekuriti ini biasanya tidak hanya informasi profil penggunanya saja yang ditampung, protokol sekuriti juga harus berjalan di sini untuk dapat melayani permintaan informasi profil dari perangkat-perangkat yang berperan sebagai kliennya. Pada perangkat inilah nantinya attribute-value (AV) dari pengguna yang ingin bergabung diterima dan diproses untuk kemudian dikembalikan lagi menjadi sebuah peraturan oleh fasilitas AAA tersebut. Metode authorization biasanya dilakukan dalam banyak cara. Bisa dilakukan dengan cara one-time authorization yang memberikan seluruh
51
hak dari si pengguna hanya dengan satu kali proses authorization. Atau bisa juga dilakukan per service authorization yang membuat pengguna harus diotorisasi berkali-kali ketika ingin menggunakan servis tertentu. Authorization juga bisa dibuat per pengguna berdasarkan list yang ada di server sekuriti atau kalau protokolnya mendukung otorisasi bisa diberlakukan per group pengguna. Selain itu, jika server sekuritinya memungkinkan, Anda dapat memberlakukan aturan-aturan otorisasi berdasarkan sistem pengalamatan IP, IPX, dan banyak lagi yg lainnya. (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge )
2.5.2.3 Accounting Proses accounting dalam layanan koneksi remote access amat sangat penting, apalagi jika Anda membuat jaringan ini untuk kepentingan komersial. Dalam proses accounting ini, perangkat remote access atau server sekuriti akan mengumpulkan informasi seputar berapa lama si pengguna sudah terkoneksi, billing time (waktu start dan waktu stop) yang telah dilaluinya selama pemakaian, sampai berapa besar data yang sudah dilewatkan dalam transaksi komunikasi tersebut. Data dan informasi
ini
akan
berguna
sekali
untuk
pengguna
administratornya. Biasanya informasi ini akan digunakan
maupun dalam
melakukan proses auditing, membuat laporan pemakaian, penganalisisan karakteristik jaringan, pembuatan billing tagihan, dan banyak lagi. Analogi yang tepat untuk proses accounting ini adalah mesin
52
absensi yang ada di kantor-kantor. Dengan mesin absensi ini para karyawan dapat dimonitor waktu kerjanya. Kapan mereka datang dan kapan mereka pulang tentu merupakan informasi yang cukup berguna. Baik hanya untuk keperluan analisis saja, maupun untuk menentukan berapa upah yang akan dibayarkan kepada mereka. Fasilitas accounting pada jaringan remote access umumnya juga memungkinkan Anda untuk melakukan monitoring terhadap servis apa saja yang digunakan oleh pengguna. Dengan demikian, fasilitas accounting dapat mengetahui seberapa besar resource jaringan yang Anda gunakan. Ketika fasilitas AAA diaktifkan pada sebuah perangkat jaringan remote access, perangkat tersebut akan melaporkan setiap transaksi tersebut ke server sekuriti. Tergantung pada protokol sekuriti apa yang Anda gunakan, maka cara melaporkannya pun berbeda-beda. Setiap record accounting akan mempengaruhi nilai-nilai atribut dari proses AAA yang lain seperti authentication dan authorization. Semua informasi yang saling terkait ini kemudian disimpan di dalam database server sekuriti atau jika memang diperlukan, kumpulan informasi ini dapat disimpan di server khusus tersendiri. Biasanya server khusus billing diperlukan jika penggunanya sudah berjumlah sangat banyak. (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledg)
53
Gambar 2.19 Proses di mulainya pencatatan (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
Gambar 2.20 Proses di akhirinya pencatatan (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
2.5.3 Captive Portal Captive portal bekerja dengan cara mengalihkan semua permintaan akses
54
http dari klien menuju ke sebuah halaman khusus yang biasanya berupa halaman autentikasi pengguna atau halaman kesepakatan antara pengguna dengan penyedia jaringan wíreles yang berfungsi untuk melakukan autentikasi, sebelum user atau clien mengakses sumberdaya jaringan atau jaringan internet. Pengalihan permintaan http tersebut dilakukan dengan menginterupsi semua paket dengan mengabaikan setiap alamat dan nomor port yang dituju. Pada halaman autentikasi, user akan disuguhi variable-variabel yang harus di isi untuk autnetikasi, biasanya berupa kode pengguna dan kata kunci. Karena halaman autentikasi harus di suguhkan kepada user atau clien, maka halaman login harus disimpan secara local di gateway, atau pada web server yang diijinkan untuk di akses oleh pengguna tanpa harus melalui proses autentikasi terlebih dahulu. Captive portal sendiri merupakan satu set perangkat lunak yang saling bekerja sama untuk melakukan tugasnya, beberapa perangkat lunak tersebut diantaranya adalah :
Remote Access Dial Up service (RADIUS) Server Sesuai dengan namanya server ini berfungsi untuk menangani sambungan dari jarak jauh. Dalam server ini juga diatur manajemen akses yang diberikan kepada pengguna seperti misalnya perhitungan penggunaan baik berdasarkan waktu ataupun data yang di download.
Dinamic Host Control Protocol (DHCP) Server Berfungungsi untuk mengatur penggunaan Internet Protocol (IP) oleh client. DHCP ini akan memberikan IP untuk klien yang mengakses jaringan wireless.
55
Domain Name System (DNS) Merupakan system yang menyimpan informasi mengenai nama domain maupun nama host dalam bentuk basis data tersebar didalam jaringan komptuer. DNS menyediakan alamat IP untuk setiap alamat host dan IP untuk setiap alamat email.
DNS Redirector Merupakan pengalih permintaan HTTP dari klien untuk di alihkan ke halaman atau alamat tertentu, misalnya halaman login, halaman persetujuan atau halaman peringatan. Dipasaran banyak terdapat perangkat lunak yang tergolong pada captive portal ini. diantaranya adalah : 1. Chillispot berbasis opensource 2. CoovaChilli berbasis opensource 3. FirstSpot,komersial dan beroperasi pada system operasi Windows 4. WiFiDog Captive Portal Suite 5. SweetSpot 6. AirMarshal 7. Mikrotik, Komersial berbasis Linux
Captive portal dapat di terapkan pada jenis topologi jaringan apapun, namun perancangan topologi jaringan akan sangat membantu dalam pelaksanaan operasional captive portal. Misalnya dalam sebuah jaringan computer terdapat dua jenis jaringan; jaringan berbasis nirkabel atau wireless network dan jaringan berbasis kabel atau wired network, jika ditentukan hanya user dari jaringan wireless yang memanfaatkan captive portal maka jaringan kabel harus berada di
56
belakang trafik captive portal sedangkan jaringan wireless sebaliknya harus berada di depan captive portal atau semua trafik harus melalui captive portal gateway. Setiap captive portal menyediakan user interface standar yang dapat digunakan tanpa harus melakukan perubahan. Namun walau demikian administrator dapat melakukan perubahan-perubahan seperlunya sesuai dengan kondisi pengguna. Halaman login pengguna dapat di rubah sesuai dengan kebutuhan atau dengan memperhatikan kenyamanan pengguna jaringan wireless. Kendatipun halaman login standar sudah cukup user friendly namun belum tentu sesuai dengan kondisi user di tempat implementasi. (http://118.98.212.211/ pustakamaya /files/disk1/32/ict-100-1001-- glendispm-1567-1-perancan-r.pdf)
57
BAB III METODOLOGI PENELITIAN
3.1.
Waktu dan Tempat Penelitian Penelitian ini dilakukan dari bulan Maret sampai Mei 2009 yang bertempat di
Badan Pengkajian Penerapan dan Teknologi (BPPT).
3.2.
Objek Penelitian Objek penelitian ini adalah merancang dan mengimplementasi teknologi
keamanan Wireless LAN yang sesuai dengan kondisi jaringan komputer di BPPT. Pengembangan Wireless LAN untuk menjawab kebutuhan user dalam melakukan akses berbagai macam resource komputer dari lokasi lain secara remote dengan aman dan nyaman.
3.3.
Metode Penelitian Untuk mendapatkan bahan-bahan sebagai dasar penelitian, perancangan dan
implementasi, dilakukan riset terlebih dahulu, yaitu :
1. Riset Kepustakaan Metode ini menggunakan data-data dari berbagai buku, jurnal penelitian, majalah, dan sumber bacaaan elektronis yang berada di internet yang berkaitan dengan
masalah
keamanan
jaringan
Wireless
serta
masalah
untuk
mengimplementasikan Wireless LAN ke dalam jaringan, baik itu untuk mengkonfigurasi server maupun konfigurasi client. 2. Observasi
58
Metode ini adalah dengan pengamatan dan observasi secara langsung ke dalam sistem jaringan yang ada di BPPT.
3. Interview Metode ini adalah dengan pengumpulan data dengan melakukan wawancara langsung terhadap sumber (keyperson) yang terkait baik langsung maupun tidak langsung dengan system keamanan jaringan di BPPT. Keyperson yang di maksud adalah Executive dalam hal ini Kepala Bidang Sistem dan Jaringan : Bapak Chairul Anwar, Kepala Sub. Bidang Jaringan : Bapak Taslim R, Administrator jaringan : Bapak Ardhiyan, Bapak Taufik dan Ibu Denna Arfiani, Teknikal Support : Bapak Agung Setiadi dan user dalam hal ini pegawai BPPT.
Metode penelitian yang digunakan dalam penelitian ini mencakup empat dari enam tahapan dan ditambah satu tahapan hasil terjemahan tahap Audit dan Evaluasi, yaitu : tahap pengujian dan analisis hasil. Dibawah ini merupakan uraian lima tahapan metode yang penulis gunakan, yaitu : 3.3.1. Tahap Identifikasi Pada tahap ini penulis membahas apa aja yang menjadi aset-aset informasi yang di miliki BPPT yang perlu bahkan harus diamankan.
3.3.2 Tahap Analisis 1. Keadaan sistem saat ini
59
Pada tahap ini penlis melakukan pengamatan secara langsung ke tempat objek penelitian untuk mengetahui teknologi keamanan jaringan wirelsess yang digunakan saat ini, selain juga memperolehnya dari dokumentasi yang ada, di jaringan komputer BPPT yang mencakup infrastruktur keamanan jaringan Wireless, skema keamanan jaringan Wireless, dan kebijakan keamanan. 2. Masalah yang dihadapi Pada tahap ini dijelaskan masalah yang dihadapi tentang teknologi keamanan jaringan Wireless yang berada di BPPT. Ini dilakukan dengan melakukan penelusuran pustaka melalui buku-buku mengenai keamanan jaringan wireless dan wawancara dengan pengelola jaringan maupun praktisi yang pernah menggunakan jaringan wireless ini. 3. Penangan Masalah Pada tahap ini menjelas bagaimana cara menangani masalahmasalah yang di hadapi yaitu dengan mengidentifikasi semua aset, ancaman-ancaman, vulnerabilities dan menetapkan resiko-resiko dan juga langkah-langkah untuk melidungi sistem jaringan.
3.3.3 Tahap Perancangan 1. Pembuatan skema jaringan Tahap ini adalah pembuatan skema teknologi keamanan jaringan Wireless LAN yang akan digunakan di jaringan komputer BPPT. Dimana penerapan ke dalam jaringan komputer ini akan melihat sumber daya yang ada di BPPT. 2. Pembangunan sistem jaringan
60
Setelah dilakukan perancangan sistem dan diketahui komponen-komponen pendukung yang diperlukan untuk membangun infrastruktur keamanan Wireless LAN di BPPT, maka tahap selanjutnya adalah pembangunan sistem. 3. Kebutuhan sistem Tahap ini akan menjelaskan tentang kebutuhan sistem baik hardware maupun software yang dipakai oleh server maupun client.
3.3.4 Tahap Implementasi 1. Kebutuhan Teknologi Keamanan Pada tahap ini akan dipilih kebutuhan teknologi keamanan yang diperlukan berdasarkan dengan desain logis. 2. Penerapan Teknologi Keamanan Pada tahap ini akan diimplementasikan semua teknologi keamanan yang di perlukaan oleh user atau pengguna. 3. Pelatihan Teknologi Keamanan Tahap ini untuk menyosialisasikan penggunaan Wireless LAN dan sistem keamanan jaringan yang baru kepada pengelola jaringan maupun kepada pengguna jaringan agar dapat memahami penggunaan di dalam jaringan komputer, serta bisa mengatasi kalau ada masalah baru yang muncul.
3.3.5 Pengujian dan Analisis Hasil Untuk memastikan bahwa semua proses dan teknologi yang telah diterapkan adalah sesuai dengan kebutuhan sistem yang telah ditetapkan sebelumnya, maka perlu dilakukan pengujian. Yang disertai dengan kuisioner
61
dan wawancara singkat dengan pengguna dan manajemen. Hasil-hasil dari pengujian kemudian akan dilakukan analisis untuk mengukur tingkat efektifitas dari proses dan arsitektur yang diterapkan dan membandingkannya dengan kondisi ideal yang diharapkan. Hasil-hasil analisis akan dijadikan sebagai masukan untuk perbaikan sistem juga sebagai saran untuk usaha perbaikan dimasa yang akan datang.
3.4.
Alat Penelitian Sebagai sarana peneltian, diperlukan adanya alat penelitian. Alat yang digunakan
dalam penelitian ini dibagi menjadi dua bagian, yaitu perangkat keras (hardware) dan perangkat lunak (software). Perangkat keras yang digunakan adalah komputer dan perangkat jaringan untuk membuat suatu jaringan dapat terkoneksi. Sedangkan untuk perangkat lunak adalah kebutuhan sebuah sistem operasi yang mendukung jaringan, software-software pendukung aplikasi jaringan. Untuk dapat membuat sebuah sistem yang benar-benar dapat berfungsi secara baik dan menyeluruh diperlukan adanya Hardware dan Software sebagai berikut : 1. Hardware Diharapkan hardware yang digunakan dalam penelitan ini meliputi komputer server, komputer client dan perangkat jaringan lainnya sebagaimana berikut ini: a. Komputer server untuk Radius Server. b. Komputer client. c. Wired LAN, merupakan jaringan kabel yang sudah ada. d. Access Point.
62
2. Software Untuk sofwarenya diharapkan menggunakan : 1. Software untuk server, Sistem operasi Ubuntu 8.04 LTS dengan software : •
Apache2
•
Freeradius
•
Coova chilli 1.0.12-1_i386
•
Mysql
•
Software
yang
mendukung teknologi keamanan
jaringan
Wireless, seperti : Wireshark, Nettools, Network Stembler, Etherchange 2. Software untuk client, Sistem operasi Windows Vista dan Windows Xp Profesional Service Pack 2
3.5
Profil BPPT Badan Pengkajian dan Penerapan Teknologi (BPPT) adalah lembaga pemerintah
non-departemen yang berada dibawah koordinasi Kementerian Negara Riset dan Teknologi yang mempunyai tugas melaksanakan tugas pemerintahan di bidang pengkajian dan penerapan teknologi. Proses pembentukan BPPT bermula dari gagasan Mantan Presiden Soeharto kepada Prof Dr. Ing. B.J. Habibie pada tanggal 28-Januari-1974. Dengan surat keputusan no. 76/M/1974 tanggal 5-Januari-1974, Prof Dr. Ing. B.J. Habibie diangkat sebagai penasehat pemerintah dibidang advance teknologi dan teknologi penerbangan yang bertanggung jawab langsung pada presiden dengan
63
membentuk Divisi Teknologi dan Teknologi Penerbangan (ATTP) Pertamina. Melalui
surat
keputusan
Dewan
Komisaris
Pemerintah
Pertamina
No.04/Kpts/DR/DU/1975 tanggal 1 April 1976, ATTP diubah menjadi Divisi Advance Teknologi Pertamina. Kemudian diubah menjadi Badan Pengkajian dan Penerapan Teknologi melalui Keputusan Presiden Republik Indonesia No.25 tanggal 21 Agustus 1978. Diperbaharui dengan Surat Keputusan Presiden No.47 tahun 1991.
3.6
Visi dan Misi
Visi Mewujudkan teknologi sebagai pilar utama pembangunan untuk meningkatkan daya saing industri dalam rangka peningkatan kesejahteraan masyarakat.
Misi • Meningkatkan daya saing industri. •
Mewujudkan BPPT sebagai agen pembangunan masyarakat dalam bidang teknologi.
•
Menyusun kebijakan pengkajian dan penerapan teknologi.
•
Mengembangkan BPPT sebagai pusat unggulan teknologi dan SDM yang handal (technology center of excellence).
3.7 Tupoksi dan Kewenangan
64
Tugas Pokok Melaksanakan tugas pemerintahan di bidang pengkajian dan penerapan teknologi sesuai dengan ketentuan peraturan perundang-undangan yang berlaku.
Fungsi •
Pengkajian & penyusunan kebijakan nasional di bidang pengkajian dan penerapan teknologi
•
Koordinasi kegiatan fungsional dalam pelaksanaan tugas BPPT.
•
Pemantauan, pembinaan dan pelayanan terhadap kegiatan instansi pemerintah dan swasta dibidang pengkajian dan penerapan teknologi dalam rangka inovasi, difusi, dan pengembangan kapasitas, serta membina alih teknologi.
•
Penyelenggaraan pembinaan & pelayanan administrasi umum di bidang perencanaan umum, ketatausahaan, organisasi & tatalaksana, kepegawaian, keuangan, kearsipan, persandian, perlengkapan & rumah tangga.
Wewenang • Penyusunan rencana nasional secara makro di bidangnya. •
Perumusan kebijakan di bidangnya untuk mendukung pembangunan secara makro.
•
Penetapan sistem informasi di bidangnya.
65 •
Kewenangan lain yang melekat dan telah dilaksanakan sesuai dengan
ketentuan peraturan perundang-undangan yang berlaku, yaitu : a. Perumusan & pelaksanaan kebijakan tertentu di bidang pengkajian & penerapan teknologi. b. Pemberian rekomendasi penerapan teknologi & melaksanakan audit teknologi.
3.8 Struktur Organisasi
Gambar 2.1 Struktur Organisasi BPPT
66
BAB IV ANALISIS DAN DESAIN
4.1 Aset-aset informasi yang dimiliki BPPT yang harus diamankan Untuk dapat mendesain suatu sistem yang tepat, maka terlebih dahulu harus dilakukan inventarisasi terhadap aset-aset yang perlu diamankan. Salah satu aset tersebut adalah bandwidth. Pemakaian bandwidth secara ilegal akan sangat merugikan karena akan mengurangi kinerja pegawai. Aset lain adalah virtual aset yang merupakan hasilhasil riset dan karya-karya ilmiah yang dimiliki oleh BPPT menjadi hal penting yang harus diamankan. Data–data kepegawaian, data-data keuangan dan informasi-informasi pribadi dan organisasi merupakan aset-aset informasi yang juga harus dilindungi, dan BPPT juga memiliki kebijakan-kebijakan manajemen yang harus dipatuhi.
4.2 Arsitektur Jaringan BPPT Saat Ini. Jaringan BPPT memiliki 3 jenis switch yang terdiri dari core switch, distribution switch, dan access list. Server yang terdapat di Network Operating Control (NOC) BPPT terdiri dari satu router, dua IPS, satu Firewall, satu Mikrotik, tiga Proxy, satu DNS, dua Mail Server, dua Monitoring, dan dua Accelerator Server. NOC membagi dua Core switch, masing-masing satu core switch untuk gedung 1 yang berada di lantai 11 dan satu core switch di gedung 2 yang berada untuk lantai 4, core switch pada gedung 1 membagi empat distribution switch, yang masing-masing berada pada lantai 4, 8, 10, dan 18, sedangkan core switch pada gedung 2 membagi lima distribution switch, yang masing-masing berada pada lantai 4, 10, 14, 18, dan 21.
67
Gambar. 4.1 Arsitektur Jaringan BPPT. Pada distribution switch gedung 1 maupun gedung 2, masing-masing distribution switch membagi beberapa access list, dari access list baru di hubungkan ke masingmasing komputer yang berada di BPPT.
Gambar. 4.2 Arsitektur Jaringan Wireless BPPT.
68
Media transmisi yang digunakan untuk menghubungkan NOC ke Core switch, antar core switch dan juga yang menghubungkan core switch ke distribution switch
menggunakan fiber optic, sedangkan dari distribution switch ke access switch menggunakan kabel UTP. Pada jaringan ini juga terdapat 28 Access Point yang dihubungkan langsung ke distribution switch. Namun sampai sekarang Access Point nya masih belum dihidupkan.
4.3 Kebijakan Keamanan Kebijakan Keamanan yang diterapkan di BPPT antara lain adalah NOC sudah terpasang firewall untuk melindungi serangan dari luar, Pembatasan port akses di firewall, Antivirus dan antispam sudah terpasang untuk mail server, Server-server terinstall OS open source dengan pembatasan port akses, Koneksi browsing berada di bawah proxy, Akses remote server dan switch serta mainswitch dilakukan oleh administrator jaringan, Penambahan koneksi PC harus didaftarkan oleh administrator jaringan dengan mendaftarkan MAC Address, Segmentasi IP Address user dengan menggunakan Vlan-vlan, dan pembagain IP mengunakan statik.
1.4 Masalah Yang Dihadapi Kantor pusat BPPT yang berlokasi di Jalan M.H. Thamrin No. 8 memiliki dua bangunan gedung yaitu Gedung 1 dan Gedung 2. Jaringan di BPPT hanya terdiri dari satu jaringan lokal yang digunakan di dalam Gedung 1 dan Gedung 2. Untuk saat ini jaringan di BPPT hanya menggunakan media wired. Sedangkan untuk interkoneksi dengan media Wireless, masing-masing departemen memasang sendiri Access Point nya, bahkan ada yang memasang ISP sendiri diluar ISP yang digunakan oleh Jaringan BPPT.
69
Ini tentunya sangat menyulitkan pengelola jaringan dalam memonitor lalu lintas jaringan. Oleh karena itu, pengelola jaringan dalam hal ini PDIS berencana memasang Access Point untuk setiap lantai di Gedung 1 dan Gedung 2. Tetapi dalam implementasi jaringan baru ini akan muncul masalah lain yaitu mengenai segi keamanan. Oleh karena itu perlu ada analisis yang cermat untuk meminimalisasi permasalahan tersebut. Untuk mengetahui vulnerability yang ada di jaringan BPPT, dilakukan scanning menggunakan Wireshark. Di bawah ini adalah hasil percobaan penyusupan yang telah dilakukan kepada salah satu Access Point yang di miliki BPPT.
Gambar. 4.3 Scaning IP menggunakan Wireshark Dari gambar di atas kita bisa melihat ada beberapa IP Address yang aktif berada dalam jaringan BPPT, yang memiliki segmen IP Address 10.1.xx.xx.
70
Gambar. 4.4 MAC Address Dari gambar 4.5 di atas dapat dilihat MAC Address dari salah satu IP Address yang aktif
Gambar 4.5 Merubah MAC Adrress Untuk dapat masuk ke dalam jaringan penulis mencoba merubah MAC Address yang dimiliki penulis dengan MAC Address yang telah di ketahui mengunakan Etharchange.
71
Gambar 4.6 Berhasil merubah MAC Address Pada gambar di atas terlihat bahwa penulis berhasil merubah MAC Address dan menggunakan IP Address yang dimiliki oleh MAC Address tersebut
Gambar 4.7 Berhasil masuk jaringan BPPT Penulis berhasil menyusup menggunakan IP Address dan MAC Address, dari hasil scaning yang penulis lakukan. Sehingga penulis dapat dengan bebas menggunakan
72
fasilitas yang ada di BPPT seperti Brousing internet, file sharing, dan lain sebagainya hal ini sangat memungkinkan karena dianggap sebagai salah satu user yang terdaftar dalam jaringan BPPT.
4.5 Penanganan Masalah Dengan ditemukannya masalah di atas maka diperlukan dokumentasi yang ada dan mencari pemecahannya. Dan juga diperlukan konsep sistem aplikasi keamanan yang baru yang akan dibangun untuk menyelesaikan permasalahan yang terjadi dalam sistem yang berjalan sekarang. Maka penulis menawarkan sebuah sistem keamanan mengunakan mekanisme autentikasi, autorisasi, dan accounting yang kita sebut sebagai RADIUS Server. RADIUS (Remote Authentication Dial-In User Service) merupakan metode yang dianggap mudah diimplementasikan, sederhana dan efisien. RADIUS adalah sebuah network protokol keamanan komputer yang digunakan untuk membuat manajemen akses secara terkontrol pada sebuah jaringan yang besar, yang mana protokol bertugas membawa paket data, terdapat encapsulation di dalam paket data tersebut. RADIUS melakukan autentikasi, otorisasi, dan pendaftaran akun (accounting) pengguna secara terpusat untuk mengakses jaringan. Jadi, pengguna wireless merupakan pengguna yang sah atau legal. Metode ini akan memudahkan tugas dari administrator. Dengan sistem ini pengguna dapat menggunakan hotspot ditempat yang berbeda-beda dengan melakukan authentikasi ke mesin server.
4.6 Pembuatan Skema Jaringan
73
Dibawah ini adalah skema jaringan dari sistem yang akan dibangun : 4.6.1 Desain Pertama Skema jaringan yang dibuat penulis tampak pada Gambar 4.9, yang mana server RADIUS di letakan di antara firewall dan IPS. Setelah melakukan analisis dan diskusi dengan pihak managemen jaringan maka diambil sebuah keputusan bahwa desain ini tidak dapat diterapkan dalam jaringan BPPT karena beberapa hal yaitu, cangkupan keamanan yang dilakukan RADIUS tidak hanya akan mengamankan jaringan wireless saja namun juga jaringan wired ini tentu saja sangat menggangu kinerja pegawai BPPT, spesifikasi hardware juga harus relatif tinggi ini dikarenakan RADIUS akan menangani semua lalu lintas jaringan BPPT ini tentu saja memerlukan biaya yang tidak sedikit.
Gambar. 4.8 Skema Pertama Jaringan RADIUS eSrver
4.6.2 Desain Kedua Untuk desain kedua penulis mencoba menawarkan penempatan RADIUS Server di tiap-tiap distribution switch yang berjumalah 4 buah distribution switch di Gedung I dan 5 buah distribution switch di Gedung II sehingga kita memerlukan 9 server untuk RADIUS Server yang akan menangani semua Access Point yang berada di Gedung I dan Gedung II BPPT. Setelah melakukan analisis dan diskusi
74
dengan pihak managemen jaringan BPPT di dapat kan hasil bahwa pihak managemen jaringan BPPT tidak dapat memenuhi permintaan 9 buah server karena keterbatasan biaya, tingginya tingkat kesulitan memelihara dan memantau keberadaan server karena letaknya yang berjauhan dan yang menjadi perhatian pihak managemen jaringan BPPT adalah sulitnya menangani permintaan user baru di tiap masing-masing RADIUS Server.
Gambar 4.9 Skema Kedua Jaringan RADIUS Server
4.6.3 Desain Ketiga Melihat permasalahan pada desain kedua, penulis coba menawarkan desain ketiga yaitu meletakan RADIUS Server di lantai 4 Gedung I dan lantai 4 Gedung II yang memiliki cangkupan yang sifatnya umum atau terbuka seperti Perpustakaan, lobi, Auditorium dan ruang pertemuan. Setelah melakukan analisis
75
dan diskusi dengan pihak managemen jaringan BPPT maka di ambil keputusan bahwa desain ketiga yang paling tepat diterapkan di BPPT karena memang daerah-daerah terbuka sangat bebas dimasuki oleh siapa saja baik yang memiliki kepentingan maupun yang tidak memiliki kepentingan di BPPT. Sehingga perlu dibuat kan sebuah teknologi keamanan untuk melindungi aset-aset informasi yang di miliki oleh BPPT.
Gambar.4.10 Skema ketiga Jaringan RADIUS Server
4.7 Kebutuhan Sistem Penulis mengkategorikan kebutuhan sistem dalam tugas akhir ini menjadi dua bagian, yaitu hardware dan software. Untuk komponen hardware karena kita menggunakan sistem komputer linux maka kita cukup membutuhkan hardware minimal.
76
Sedangkan untuk software, pada server penulis menggunakan instalasi baru pada komputer yang akan dijadikan server sedang untuk komputer client penulis menggunakan sistem operasi lama, yaitu Microsoft Windows XP Professional Edition SP2 dan Microsoft WindowsVista.
Kategori dan penjabaran sistem yang digunakan : 1. Hardware Dalam kategori pengunaan komponen perangkat keras ini penulis membagi lagi menjadi tiga sub kategori perangkat keras untuk server, perangkat keras untuk client, dan perangkat keras pendukung jaringan, yang antara lain sebagai berikut a. Hardware Server Spesifikasinya adalah sebagai berikut: Prosessor Intel P4 3.20 GHZ, memory 1 GB, Harddisk 80 GB, CD-R, 2 kartu jaringan dan Monitor CRT 15 Inchi. b. Hardware Client Spesifikasinya adalah sebagai berikut: Notebook Toshiba Tecra S1 Prosessor Intel P4 1600 MHZ, memory 512 MB, harddisk 30 GB, 1 kartu jaringan wireless.
c. Hardware Jaringan Komponen jaringan ini adalah hardware yang menghubungkan computer satu dengan yang lainnya menjadi sebuah jaringan yang dapat saling berkomunikasi. Perangkat keras ini terdiri dari : Kabel UTP, Access Point untuk menghubungkan jaringan melalui media wireless. 2. Software
77
Dalam ketegori penggunaan perangkat lunak ini penulis membagi menjadi dua bagian yang akan digunakan oleh server dan yang akan digunakan oleh client, yang antara lain sebagai berikut: a. Software Server Perangkat lunak yang akan digunakan adalah sebagai berikut: Sistem Operasi Ubuntu 8.04 TLS, Freeradius 1.1.7-1build4, Freeradius mysql 1.1.7-1build4, Apache2 2.2.8-1ubuntu0.5, php5 5.2.4-2ubuntu5.5, php5mysql 5.2.4-2ubuntu5.5, Coova chilli 1.0.12-1_i386, Phpmyprepaid 0.4, Mysql-server 5.0.51a-3ubuntu5.4, Mysql-client 5.0.51a-3ubuntu5.4 , SSLCert 1.0.14-0ubuntu2.1, SNMP 5.4.1~dfsg-4ubuntu4.2 b. Software Client Untuk perangkat lunak dari sisi client penulis menggunakan Sistem Operasi Windows Vista, Windows XP dan Mozilla Firefox
BAB V Implementasi dan Pengujian Sistem
Setelah dilakukan perancangan sistem dan diketahui komponen-komponen pendukung yang diperlukan untuk membangun infrastruktur keamanan jaringan wireless di BPPT, maka tahap berikutnya adalah melakukan implementasi dan pengujian sistem.
angkah-langkah yang dilakukan dalam pembangunan infrastruktur mencakup instalasi dan setting konfigurasi yang akan dilakukan sebagai berikut: ♦ Membangun RADIUS Server. ♦ Membangun Certification Authority server. ♦ Melakukan konfigurasi dan instalasi. ♦ Melakukan konfigurasi dan setting pada Acces Point. ♦ Setting laptop user/client agar bisa masuk ke jaringan wireless
5.1 Membangun RADIUS Server Menggunakan dua LAN card yang masing-masing memiliki IP 10.1.xx.xx untuk eth0 dan 10.3.xx.xx untuk eth1 sebagai alamat IP server. Melakukan konfigurasi terhadapa komputer server yang akan melakukan permintaan dari client, yaitu berupa instalasi dan konfigurasi komputer yang akan difungsikan sebagai server.
5.1.1 Instalasi Sistem Operasi di Server Untuk proses instalasi yang paling penting dilakukan adalah menentukan cara membagi ( partisi ) hardisk, bisa dengan cara Guided - resize the partition and use the freed space, Guided - use entire disk atau Manual. Dan kemudian yang tidak kalah penting adalah seting jaringan secara manual karena konsep jaringan BPPT pembagian IP nya secara static,
penulis memasukan IP nya sebagai berikut : IP 10.1.xx.xx dan memiliki Gateway 10.1.xx.xx. Kemudian yang terakhir dilakukan adalah mengupdate
dan mengupgrade dengan perintah apt-get update dan apt-get upgrade.
79
Setelah melakukan Instalasi dan Upgrade, buat file options di direktori / etc/network/options, dengan menulisakan perintah ip_forward = yes
5.1.2 Instalasi Freeradius RADIUS Server yang dipakai disini adalah aplikasi freeradius, untuk proses instalasinya sebagai berikut : # apt-get install freeradius freeradius-mysql
Setelah melakukan instalasi langkah selanjutnya adalah melakukan konfigurasi file sql.conf yang berada di direktori /etc/freeradius/ sql { driver = "rlm_sql_mysql" # Connect info server = "localhost" login = "phpmyprepaid" password = "admin123" # Database table configuration radius_db = "phpmyprepaid"
Kemudian menkonfigurasi file client.conf untuk membuat password pada freeradius
80
Langkah selanjutnya mengkonfigurasi file radiusd.conf yang berada pada direktori /etc/freeradius
81
authorize { preprocess #
# # #
attr_filter set chap mschap digest suffix ntdomain eap files sql
} # Authentication. authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } # digest # pam unix # # #
Auth-Type LDAP { ldap } eap
} # Accounting. Log the accounting data. accounting { # #
detail daily unix radutmp sql sql_log pgsql-voip
# # } session { radutmp
82
Langkah terakhir adalah menjalankan service freeradius, yakni dengan menjalankan perintah berikut # /etc/init.d/freeradius start
5.1.3 Instalasi Apache Server Server web yang dipakai adalah Apache yang dapat dijalankan di berbagai sistem operasi yang berguna untuk melayani dan memfungsikan situs web. Tahap pertama adalah instalasi paket software. #apt-get install apache2 php5 php5-mysql
Setelah
melakukan
mengkonfigurasi
proses
Apache
instalasi server
etc/apache2/apache2.conf
83
Apache
yang
server,
terletak
di
kita
perlu
direktori
/
# Include module configuration: Include /etc/apache2/mods-enabled/*.load Include /etc/apache2/mods-enabled/*.conf Include /etc/apache2/httpd.conf # Include ports listing Include /etc/apache2/ports.conf LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"% {User-Agent}i\"" combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i -> %U" referer LogFormat "%{User-agent}i" agent ServerTokens Full ServerSignature On # Include generic snippets of statements Include /etc/apache2/conf.d/ # Include the virtual host configurations: Include /etc/apache2/sites-enabled/ ServerName 10.3.11.1
Langkah terakhir, kita harus menghidupkan service Apache agar berjalan di komputer server. /etc/init.d/apache2 start
5.1.4 Instalasi Coova Chilli Pada saat seorang pengguna berusaha untuk melakukan browsing ke Internet, captive portal akan memaksa pengguna yang belum terauthentikasi untuk menuju ke Authentication web (Freeradius), maka diperlukan sebuah
84
sistem captive portal yang dalam hal ini penulis menggunakan Coova Chilli sebagai sistem captive portal nya. Langkah proses instalasi sebagai berikut : Download software Coova chilli terlebih dahulu # wget http://ap.coova.org/chilli/coova-chilli_1.0.12-1_i386.deb
Setelah itu melakukan proses installasi dengan cara di bawah ini # dpkg -i coova-chilli_1.0.12-1_i386.deb
Setelah berhasil melakukan instalasi tahap selanjutnya adalah melakukan proses konfigurasi yang terletak di direktori /etc/chilli/config
85
# Local Network Configurations HS_WANIF=eth0 HS_LANIF=eth1 HS_NETWORK=10.3.11.0 HS_NETMASK=255.255.255.0 HS_UAMLISTEN=10.3.11.1 HS_UAMPORT=3990 HS_DNS1=10.1.82.200 HS_DNS2=202.46.240.99 # HotSpot settings for simple Captive Portal HS_NASID=hotspot HS_UAMSECRET=admin123 HS_RADIUS=127.0.0.1 HS_RADIUS2=127.0.0.1 HS_RADSECRET=admin123 HS_UAMALLOW=10.3.11.0/24,10.1.82.1 HS_UAMSERVER=10.3.11.1 # Use HS_UAMFORMAT to define the actual captive portal url. HS_UAMFORMAT=https://\$HS_UAMSERVER/cgi-bin/hotspotlogin.cgi # Same principal goes for HS_UAMHOMEPAGE. HS_UAMHOMEPAGE=http://\$HS_UAMLISTEN :\$HS_UAMPORT/www/coova.html HS_UAMSERVICE=https://10.3.11.1/cgi-bin/hotspotlogin.cgi # Standard configurations HS_MODE=hotspot HS_TYPE=chillispot # Post-Auth proxy settings HS_POSTAUTH_PROXY=proxy-ceo.bppt.go.id HS_POSTAUTH_PROXYPORT=3128 HS_WWWDIR=/etc/chilli/www HS_WWWBIN=/etc/chilli/wwwsh # Some configurations used in certain user interfaces HS_PROVIDER=Coova HS_PROVIDER_LINK=http://www.coova.org/ # WISPr RADIUS Attribute support 86
Langkah terakhir yang dilakukan adalah meng enable Coova Chilli setelah server melakukan restart START_CHILLI=1 CONFFILE= “/etc/chilli.conf”
dan selanjutnya adalah menjalankan service Coova Chilli, yakni dengan menjalankan perintah berikut # /etc/init.d/chilli start
5.1.5 Instalasi Phpmyprepaid Phpmyprepaid yang dipakai adalah phpmyprepaid 0.4 yang kita gunakan sebagai aplikasi manajemen user yang berbasis web based. Tahap pertama adalah mendownload paket software dan meletakannya di direktori / var/www # cd /var/www #
wget
http:
//downloads.sourceforge.net
/phpmyprepaid/
phpmyprepaid04b3.tgz? modtime=11 87550638 &big_mirror = 0
Sebelum melakukan instalasi terlebih dahulu file tersebut di ekstark dengan perintah # tar –zxvf phpmyprepaid04b3.tgz
Kemudian lakukan proses install sebagai berikut Buka mozilla firefox dan arahkan addressnya ke :
87
http://10.1.82.242/phpmyprepaid/www/install/setup.php
Setelah berhasil menginstall tahap selanjutnya adalah menghapus folder installasi #rm –rf /var/www/phpmyprepaid/www/install
Kemudian yang terakhir dilakukan merubah hak akses folder www menjadi 755. #chmod 755 /var/www/phpmyprepaid/www
5.1.6 Membuat Virtual Host Virtual Host merupakan cara untuk mengatur banyak website atau URL di dalam satu mesin atau satu IP. Misalkan kita mempunyai banyak domain tapi hanya mempunyai 1 IP public atau 1 server. Cara untuk mengatasi masalah itu adalah dengan cara membuat virtual host yang ada di settingan apachenya. Langkah pertama ialah membuat file direktori dengan nama hostpot di direktori /etc/apache2/sites-available/hotspot, Setelah itu melakukan konfigurasi untuk membuat Virtual Host SSL
88
NameVirtualHost 10.3.11.1:443
ServerAdmin webmaster@localhost DocumentRoot "/var/www/" ServerName "10.3.11.1" Options FollowSymLinks AllowOverride None Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all ScriptAlias /cgi-bin/ /var/www/hotspot/cgi-bin/ AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all ErrorLog /var/log/apache2/error.log LogLevel warn CustomLog /var/log/apache2/access.log combined ServerSignature On Alias /dialupadmin/ "/usr/share/freeradius-dialupadmin/htdocs/" Options Indexes MultiViews FollowSymLinks AllowOverride None Order allow,deny allow from all SSLEngine On SSLCertificateFile /etc/apache2/ssl/apache.pem
89
Setelah melakukan konfigurasi, tahap berikutnya adalah meng-enable Virtual Host dengan cara mengetikan perintah ini a2ensite hotspot
Langkah terakhir mereload apache, dengan perintah ini /etc/init.d/apache2 reload
5.1.7
Membuat Tampilan Muka Client Agar komputer client dapat masuk kedalam sistem yang telah kita buat, maka di perlukan sebuah tampilan dimana nanti akan diminta memasukan user name dan password. Yang pertama kita lakukan adalah memindahkan file hotspotlogin.cgi dari direktori /usr/share/doc/coovachilli ke direktori /var/www/hotspot/cgi-bin. Langkah pertama adalah membuat direktori baru, yang berada di bawah direktori hotspot # mkdir /var/www/hotspot/cgi-bin
Selanjutnya memindahkan file hotspotlogin.cgi.gz ke direktori yang baru kita buat, yaitu ke direktori /var/www/hotspot/cgi-bin # zcat /usr/share/doc/coova-chilli/hotspotlogin.cgi.gz | sudo tee / var/www/hotspot/cgi-bin/hotspotlogin.cgi
90
Kemudian diatur hak (privilege) akses terhadap direktori tersebut. # chmod a+x /var/www/hotspot/cgi-bin/hotspotlogin.cgi
Tahap selanjutnya adalah melakukan proses konfigurasi yang terletak di direktori /var/www/hotspot/cgi-bin/hotspotlogin.cgi $uamsecret = "admin123"; $userpassword=1; $loginpath = "/cgi-bin/hotspotlogin.cgi"; $debug = 1;
5.1.8
Manajemen User Pada tahap ini kita akan membuat Username dan Password yang akan dipakai untuk dapat masuk ke dalam sistem jaringan yang kita buat. Ada beberapa pilihan yang dapat kita pilih dalam membuat user account.
5.2
Membangun Certification Authority Server Pada tahap ini kita akan membuat sertifikat digital yang akan dibuat oleh server
Radius, yang nantinya digunakan oleh client. Tahap pertama yang dilakukan adalah melakukan proses instalasi sebagai berikut # apt-get install ssl-cert
Selanjutnya kita buat folder baru di direktori /etc/apache2/ # mkdir /etc/apache2/ssl
91
Setelah folder berhasil kita buat, kemudian kita jalankan perinta berikut make-ssl-cert/usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem
Hasil dari perintah diatas adalah file apache.pem yang berada di direktori / etc/apache2/ssl/. File ini merupakan file sertifikat local kita yang nanti akan digunakan untuk mendatangani sertifikat yang akan diterbitkan. Tahap terakhir yang dilakukan adalah mengaktifkan sertifikat dengan cara sebagai berikut
#a2enmod ssl
#/etc/init.d/apache2 force-reload
5.3
Konfigurasi dan Setting pada Acces Point. Access Point yang kita gunakan adalah Linksys WAP4400N, konfigurasi yang
kita gunakan adalah default dari AP hanya ada beberapa konfigurasi penyesuaian dari jaringan yang kita buat, untuk sistem keamanannya penulis tidak menggunakan model keamanan yang ada pada AP. Untuk konfigurasi pada Access Point ini dilakukan secara default dan fasilitas keamanan pada Access Point di atur disable atau tidak digunakan karena Keamanan wireless akan dilakukan oleh RADIUS Server.
5.4.1 Setting Laptop User/Client Untuk Masuk ke Jaringan Wireless
92
Setelah kita melakukan instalasi dan konfigurasi terhadap komputer server, selanjutnya kita akan mengkonfigurasi komputer client. Yang perlu dilakukan dalam komputer client ini adalah konfigurasi IP dan instalasi sertifikat digital server.
Gambar 5.1 TCP/IP Untuk IP dan DNS pada komputer client kita menggunakan teknologi DHCP, sehingga kita tidak perlu melakukan setingan secara manual, untuk memasukan IP dan DNS, yang akan di broadcast dari komputer server. Sedangkan untuk instalasi sertifikat digital, kita cukup browsing menggunakan browser yang ada pada komputer client, dan akan di direct ke komputer server.
5.5
Pelatihan Teknologi Keamanan Pelatihan diberikan kepada pengelola
jaringan dan orang-orang yang
berhubungan dengan jaringan tersebut seperti clien /user.
5.6
Pengujian dan Analisis Hasil
93
Hasil dari pengujian dan analisis hasil yang dilakukan pada sistem RADIUS yang telah diterapkan dengan rincian sebagai berikut :
Client di minta menginstall sertifikat digital
Gambar. 5.2 Sertifikat Digital Alamat sertifikat digital terletak di https://10.3.11.1/cgi-bin/hotspotlogin.cgi
94
Gambar 5.4 Alamat Sertifikat Digital Client telah terinstall sertifikat dari server
Gambar 5.5 Sertifikat Terinstall
95
Client yang telah memiliki account pada jaringan dan memiliki sertifikat untuk login dapat terkoneksi ke jaringan.
Gambar 5.6 Login Coova Chilli Client yang sudah berhasil login dapat melakukan aktivitas seperti browsing PC, file sharing dan lain-lain.
Gambar 5.7 Berhasil Login
96
Client yang tidak memiliki sertifikat login tidak dapat jaringan meskipun telah menggunakan segmen IP yang sama.
Gambar 5.8 Logout Coova Chilli
melakukan koneksi ke
97 BAB VI KESIMPULAN DAN SARAN 6.1
Kesimpulan Penggunaan Radius Server dapat mengurangi vulnerability yang ada di jaringan BPPT, terutama akibat masquerading Beberapa disain memungkinkan diterapkan pada jaringan BPPT untuk sistem keamanan menggunakan Radius Disain ke-tiga yang kita pilih lebih cocok diterapkan di BPPT karena kebutuhan sistem keamanan saat ini hanya mencakup daerah-daerah terbuka seperti Perpustakaan, Ruang Loby, Ruang Pertemuan dan Ruangan lainya yang bersifat umum, serta faktor biaya juga menjadi acuan pemilihan desain ketiga
6.2
Saran
Sistem keamanan menggunakan RADIUS server untuk semua Access Point (AP) yang berada dilingkungan BPPT. Mengoptimalkan fasilitas peralatan jaringan yang sudah ada pada BPPT salah satunya adalah access point 4400WAP terutama pada manajemen keamanannya
98 DAFTAR PUSTAKA Goldman, James E, Philip T. Rawles. 2006. Applied data communications. USA : John Wiley & Sons, Inc. Geier, Jim. 2005. Wireless Network First-Step. Diterjemahkan oleh : Tim Penerjemah ANDI. Ed.I. Yogyakarta. ANDI Thomas, Tom. 2004. Network Security First-Step. Diterjemahkan oleh : Tim Penerjemah ANDI. Ed.I. Yogyakarta. ANDI
Gunawan, arief hamdani, Andi Putra. 2004. Komunikasi Data IEEE 802.11. Jakarta : DINASTINDO. http://the-exploration.net/index.php/sejarah-wireless-lan-wifi. pkl. 20.05 WIB.
Mulyanta, Edi S. 2005. Pengenalan Protokol Wireless Komputer. Ed.I. Yogyakarta : ANDI. Cole, Dr. Eric, Dr. Ronald Krutz, dan James W. Conley. 2005. Network Security Bible. Indianapolis : Wiley Publishing. http://www.pcmedia.co.id/detail.asp?Id=1966&Cid=18&Eid=52. pkl. 21.36 WIB. Wahyudi, H. Mochamad, S.Kom, MM, CCNA, CEH, CHFI. Membangun Hotspot yang Aman untuk Keperluan Small Office Home Office (SOHO). http://www.wahyudi.or.id/artikel/MembangunHotspot.doc. pkl. 12.30 WIB. Jean-François PILLOU. 2008. NAT- Network Address Translation, Port Forwarding and Port Trigg http://en.kioskea.net/contents/internet/nat.php3. pkl. 14.20 WIB. http://www.telkomrdc-media.com/index.php. pkl. 20.19 WIB. Universitas Kristen Patra. 2004. Teori Penunjang Jaringan Komputer http://digilib.petra.ac.id/viewer.php?jiunkpe-ns-s1-2004-23400016-4771gedung_i-chapter2.pdf. Pkl. 12.00 WIB.
xv http://118.98.212.211/ pustakamaya /files/disk1/32/ict-100-1001-- glendispm-1567-1perancan-r.pdf. pkl. 12.10 WIB. Craiger, J. Phlipih. 23 Juni 2002. 802.11, 802.1x, and Wireless Security. http://www.issac.cs.berkeley.edu. pkl. 12.45.26 WIB.
Interlink Networks. 2003. Configuring PEAP and TTLS in the Interlink Networks RADSeries and Secure.XS RADIUS Servers Version 7.0 and higher. www.interlinknetworks.com . 20 Maret 2006. pkl 09.15.07 WIB http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge.pkl 21.00 WIB W Setiawan, Agung. 2005. Remote Authentication Dial In User Service (RADIUS) untuk Autentikasi Pengguna Wireless LAN. http://br.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf. George
C. Ou. “Enterprise Level Wireless http://www.lanarchitect.net/. pkl. 18.40 WIB.
LAN
Security.
2002
Lampiran 1 Langkah Konfigurasi Access Point WPA4400N
Konfigurasi pada tampak gambar di atas untuk mengisikan IP berapa yang digunakn dari segmen IP yang digunakan.
Pemberian nama SSID untuk Access Point yang digunakan dan juga penggunaan channel pada Access Point.
Pemberian IP, Gateway dan Primary DNS berhasil
xvi Lampiran 3 Instalasi Phpmyprepaid Buka mozilla firefox dan arahkan addressnya ke : http://10.1.82.242/phpmyprepaid/www/install/setup.php
Tampilan awal ketika melakukan instalasi phpmyprepaid
Ketika melakukan instalasi phpmyprepaid akan diminta untuk melakukan konfigurasi, yang mana konfigurasi ini berfungsi untuk menghubungkan Freeradius dan Mysql yang kita gunakan.
Konfigurasi database untuk menghubungkan Mysql dengan memasukan password Mysql yang kita gunakan, dan juga untuk membuat nama database. Nama database ini harus sama dengan nama yang dibuat oleh Mysql
Komponen untuk membuat Username dan Password untuk melakukan login ke phpmyprepaid.
Menggambarkan tempat penginstalan phpmyprepaid, yang mana berada di BPPT, yang terletak di Jalan Thamrin, di Kota Jakarta.
Proses instalasi phpmyprepaid telah selesai
Lampiran 2 Langkah Membuat User Name dan Password
Kita akan memilih Timed Accounts, dengan durasi waktu 10 jam
Username “gbkbw” Password “ols” dengan durasi 10 Jam