ANALISA DAN STUDI KASUS MANAJEMEN HOTSPOT DENGAN APLIKASI CAPTIVE PORTAL PADA JARINGAN NIRKABEL UNTUK LAYANAN HOTSPOT UPT STMIK AMIKOM YOGYAKARTA M. Agung Nugroho1, Lilik Suheri2 1. STMIK AMIKOM Yogyakarta Jl. Ringroad Utara, Condong catur, Depok, Sleman, Yogyakarta Email :
[email protected] 2. STMIK AMIKOM Yogyakarta Jl. Ringroad Utara, Condong catur, Depok, Sleman, Yogyakarta Email :
[email protected]
ABSTRACT The problem for the wireless infrastructure, especially the open access to public hotspots is, connection and authentication system for users. Where authentication is required for wireless users so they can connect to wireless networks legally. Authentication is also needed so that users can take advantage of all the facilities provided by the wireless network provider. Problems that arise in dealing with wireless networks are weak authentifikasi systems on wireless networks that do not use encryption methods, the development of assault using a MAC address spoofing, MAC Address filtering limitations on the Access Point device, and data wireless network users are not centralized. To overcome this, the authors make arrangements for wireless networking facilities in order to form a secure wireless network using a RADIUS server for authorization authentication and access rights. And the application of captive portal applications on the wireless network to further increase the safety and convenience when users connect and authenticate to the use of wireless networks. Expected to be useful for controlling and control the use of wireless networks (such as campus and offices). Another benefit of this research can also be used as another alternative for wireless network planning further by enabling functions such as prepaid billing for wireless users to subscribe. Keywords: RADIUS authentication, Captive Portal, Wireless Security, freeRADIUS.
ABSTRAK Masalah terbesar bagi infrastruktur nirkabel terutama yang membuka akses untuk umum seperti hotspot adalah, sistem koneksi dan autentikasi bagi pengguna. Dimana autentikasi dibutuhkan bagi penggunaa nirkabel agar mereka dapat terhubung dengan jaringan nirkabel secara legal. autentikasi juga dibutuhkan agar pengguna dapat memanfaatkan semua fasilitas yang telah disediakan oleh penyedia jaringan nirkabel. Permasalahan yang biasa timbul dalam menangani jaringan nirkabel yaitu lemahnya sistem authentifikasi pada jaringan nirkabel yang tidak menggunakan metode enkripsi, berkembangnya penyerangan menggunakan MAC Address spoofing, keterbatasan MAC Address filtering pada perangkat Access Point, dan pendataan pengguna jaringan nirkabel yang tidak terpusat. Untuk mengatasinya, penulis melakukan pengaturan terhadap fasilitas jaringan nirkabel agar dapat terbentuk sebuah jaringan nirkabel yang aman dengan menggunakan server RADIUS untuk authentifikasi dan otorisasi hak akses. Serta penerapan aplikasi captive portal pada jaringan nirkabel untuk lebih meningkatkan keamanan dan kenyamanan saat pengguna melakukan koneksi dan autentikasi terhadap penggunaan jaringan nirkabel. Diharapkan bermanfaat untuk mengendalikan dan mengontrol penggunaan jaringan nirkabel (seperti di kampus dan perkantoran). Manfaat lain penelitian ini juga dapat dijadikan sebagai alternatif lain untuk perencanaan jaringan nirkabel lebih lanjut misalnya dengan mengaktifkan fungsi billing prabayar bagi pengguna nirkabel berlangganan. Kata kunci: authentifikasi RADIUS, Captive Portal, keamanan jaringan nirkabel, freeRADIUS
1. PENDAHULUAN Komunikasi nirkabel telah menjadi kebutuhan dasar atau gaya hidup baru masyarakat informasi. Jaringan nirkabel menjadi teknologi alternatif dan relatif lebih mudah untuk diimplementasikan di lingkungan kerja, seperti di perkantoran, laboratorium komputer, maupun ruang publik lainnya seperti mall, bandara, hotel atau kafe. Hal ini membuat semakin berkembangnya hotspot di kota-kota besar. Hotspot adalah suatu daerah atau wilayah yang dilayani oleh
sebuah access point jaringan nirkabel standar 802.11a/b/g. Pengguna dapat bergabung kepada access point secara bebas dan mobile dalam menggunakan perangkat sejenis notebook, PDA atau lainnya [1]. Salah satu masalah terbesar bagi infrastruktur nirkabel terutama yang membuka akses untuk umum seperti hotspot adalah, sistem koneksi dan autentikasi bagi pengguna. Dimana autentikasi dibutuhkan bagi penggunaa nirkabel agar mereka
dapat terhubung dengan jaringan nirkabel secara legal. Autentikasi juga dibutuhkan agar pengguna dapat memanfaatkan semua fasilitas yang telah disediakan oleh penyedia jaringan nirkabel. Permasalahan yang biasanya timbul dalam menangani jaringan nirkabel yaitu di dalam pengaturan, penggunaan dan pemanfaatan fasilitas nirkabel yang masih terdapat beberapa kelemahan. Kelemahan tersebut antara lain : 1. Sistem koneksi awal bagi pengguna untuk dapat masuk kedalam jaringan nirkabel tidak terenkripsi, sehingga dapat memungkinkan untuk diketahui oleh orang lain. 2. Autentikasi pengguna jaringan nirkabel hanya berdasarkan alamat dari perangkat nirkabel atau MAC Address, sedangkan saat ini telah banyak beredar tool-tool yang dapat mengganti alamat MAC Address dengan mudah. Sehingga banyak dari pengguna yang tidak sah dapat mengganti MAC Address perangkat nirkabel mereka dengan MAC Address yang sah, dan memungkinkan mereka dapat terhubung dengan jaringan nirkabel sebagai pengguna yang sah. 3. Terbatasnya kemampuan sebuah perangkat titik akses (Access Point) dalam hal autentikasi pengguna berdasarkan filter MAC Address. Biasanya perangkat titik akses membatasi jumlah MAC Address yang dapat difilter hanya sekitar 20 alamat MAC Address. 4. Sulitnya melakukan pendataan pengguna jaringan nirkabel disebabkan oleh data pengguna yang tidak terpusat. 5. Sulitnya menerapkan sebuah kebijakan, kepada pengguna nirkabel yang tidak terautentikasi secara benar. Berdasarkan permasalahan tersebut, penulis melakukan pengaturan terhadap fasilitas jaringan nirkabel agar dapat terbentuk sebuah jaringan nirkabel yang aman dengan menggunakan server RADIUS untuk authentifikasi dan otorisasi hak akses. RADIUS adalah sebuah protokol yang digunakan untuk berkomunikasi antara alat-alat akses remote dan sebuah server otentikasi. Kadangkadang sebuah sebuah server otentikasi yang menjalankan RADIUS disebut sebuah server RADIUS [2]. Penerapan aplikasi captive portal pada jaringan nirkabel untuk lebih meningkatkan keamanan dan kenyamanan saat pengguna melakukan koneksi dan autentikasi terhadap penggunaan jaringan nirkabel. RADIUS dapat menerapkan standar 802.1x IEEE adalah untuk menghasilkan kontrol akses,
autentikasi, dan manajemen kunci untuk jaringan nirkabel. Standar ini berdasarkan pada Internet Engineering Task Force (IETF) Extensible Authentication Protocol (EAP). 802.1x terdiri dari tiga bagian, yaitu klien nirkabel (suplicant), titik akses (autentikator), autentikasi server. Autentikasi server yang digunakan adalah Remote Authentication Dial-In Service (RADIUS) server dan digunakan untuk autentikasi pengguna yang akan mengakses jaringan lokal nirkabel. EAP adalah protokol layer 2 yang menggantikan Password Authentication Protocol (PAP) dan Challenge Handshake Authentication Protocol (CHAP).
Gambar 1. Mekanisme Autentikasi menggunakan RADIUS server [3] Gambar 1 menerangkan bahwa : 1. WirelessNode (WN) / Suplicant meminta akses ke jaringan lokal nirkabel, Titik akses (AP) akan menanyakan identitas Suplicant. Tidak ada trafik data selain EAP yang diperbolehkan sebelum Supplicant terautentikasi. Titik akses bukanlah sebuah autentikator, tetapi titik akses berisi autentikator 2. Setelah nama pengguna dan password dikirim, maka proses autentikasi dimulai. Protokol yang digunakan antara Suplicant dan Autentikator adalah EAP, atau EAP Protocol Over LAN (EAPoL). Autentikator mengenkapsulasi kembali pesan EAP ke dalam format RADIUS, dan mengirimnya ke RADIUS Server. Selama proses autentikasi, autentikator hanya menyampaikan paket antara Suplicant dan RADIUS server. Setelah proses autentikasi selesai, RADIUS server mengirimkan pesan sukses apabila autentikasinya sukses atau gagal apabila autentikasinya gagal. 3. Apabila proses autentikasi sukses, Suplicant diperbolehkan untuk mengakses jaringan lokal nirkabel atau internet Dari penelitian ini, Diharapkan bermanfaat untuk mengendalikan dan mengontrol penggunaan jaringan nirkabel (seperti di kampus dan perkantoran). Manfaat lain penelitian ini juga dapat dijadikan sebagai alternatif lain untuk perencanaan jaringan nirkabel lebih lanjut misalnya dengan
mengaktifkan fungsi billing prabayar bagi pengguna nirkabel berlangganan.
2. MODEL, ANALISA, DESAIN, DAN IMPLEMENTASI 2.1 Analisa Topologi Jaringan
mengetahui identitas dari pengguna nirkabel yang tersambung, maka gateway nirkabel akan dapat menentukan untuk membuka atau menutup aturan firewall-nya bagi pengguna tertentu [4].
Topologi jaringan komputer merupakan hal yang sangat penting dalam perancangan jaringan hotspot. Topologi jaringan dapat mempengaruhi performa jaringan dan jika dirancang dengan benar maka topologi jaringan akan dapat meningkatkan keamanan dari jaringan komputer itu sendiri.
2.1.1. Topologi Jaringan Hotspot Sebelum Penerapan Captive Portal Topologi awal jaringan hotspot di UPT STMIK AMIKOM Yogyakarta, merupakan topologi yang kurang baik sebab topologi jaringan yang digunakan tidak terencana dengan baik. Pada topologi awal tersebut sebuah titik akses langsung dihubungkan ke sebuah switch, dan switch tersebut berhubungan secara langsung dengan jaringan lokal UPT. Rancangan topologi yang demikian sangat mudah untuk ditembus oleh para hacker
Gambar 3. Topologi Jaringan Setelah Penerapan Captive Portal Rancangan awal sistem hotspot yaitu, alokasi bandwith untuk jaringan hotspot 128 kbps, dan jumlah klien sesuai dengan pengguna yang sudah terdaftar, namun bagi pengguna yang tidak terdaftar jumlahnya tidak dibatasi. Tetapi bagi pengguna yang tidak terdaftar hanya dapat mengakses situs yang sudah ditentukan saja.
2.2. Sistem Koneksi dan Autentikasi
Gambar 2. Topologi jaringan awal
2.1.2. Topologi Jaringan Hotspot Setelah Penerapan Captive Portal Topologi jaringan yang akan digunakan adalah topologi dengan konsep portal. Konsep dari topologi portal ini adalah sebuah jaringan nirkabel yang dihubungkan dengan jaringan jenis lainnya dengan melewati sebuah firewall yang berfungsi sebagai server Captive Portal. Captive Portal adalah suatu teknik di mana pengguna akses hotspot dalam jaringan nirkabel diharuskan untuk melakukan autentikasi terlebih dahulu. Pada saat seorang pengguna berusaha untuk melakukan browsing ke internet, captive portal akan memaksa pengguna yang belum terautentikasi untuk menuju ke halaman web authentication dan akan diberi prompt login, termasuk informasi tentang hotspot yang sedang digunakan. Gateway nirkabel kemudian akan menghubungi authentication server untuk
Sistem koneksi hotspot di UPT STMIK AMIKOM Yogyakarta, pada awalnya hanya mempergunakan sistem koneksi standar bawaan dari perangkat access point. Biasanya sistem koneksi standar tersebut menggunakan sistem protokol keamanan WEP (Wired Equivalent Privacy) atau dengan menerapkan pembatasan akses melalui penyaringan MAC Address. Namun dengan sistem koneksi hotspot setelah penerapan aplikasi Captive Portal, memberikan tingkat keamanan yang lebih baik. Sebab untuk dapat mengakses resource jaringan, pengguna diwajibkan untuk memasukan akun dan password dengan benar dengan sistem koneksi mempergunakan protokol SSL (Secure Socket Layer), dan sistem autentikasi dengan protokol RADIUS.
2.3. Perancangan Nirkabel
Layanan
Koneksi
Perancangan layanan koneksi nirkabel terdiri dari beberapa bagian yaitu :
2.3.1 Komputer Server Tabel 1. Spesifikasi Komputer Server Spesifikasi CPU Motherboard
Komputer Server Intel Pentium IV 2.40GHz Intel D865PERL
Memori VGA Harddisk LAN Card Keyboard Monitor
512 MB NVidia GeForce4 MX 440 Quantum Fireball 8 GB Realtek RTL 8139 1 buah 1 buah
Pada Server Captive Portal terdapat 2 ethernet card. Card pertama terhubung ke switch, card yang kedua ke titik akses. Alokasi IP Address pada server yaitu, Eth0 terhubung ke switch, IP address 172.16.12.1/24, Gateway 172.16.12.254, DNS 202.91.8.2 dan Eth1 terhubung ke perangkat access point, IP address diberikan secara DHCP. Adapun yang menyediakan layanan DHCP adalah program chillispot yang terinstall di server Captive Portal dengan pengaturan pada server yaitu, IP address pool 192.168.182.0/24, Gateway 192.168.182.1, DNS : 202.91.8.2.
pengaturannya berbasis text. Untuk memberi kemudahan dalam pengaturan pengguna RADIUS, maka dibuatlah sebuah antarmuka bagi pengaturan server RADIUS. Perangkat lunak yang biasa digunakan ialah EzRadius. Dalam penelitian ini akan dibuat dua buah grup/kelompok pengguna yaitu kelompok “Dosen” dan kelompok “mahasiswa”. Kelompok dosen anggotanya adalah dosen–dosen yang mengajar di laboratorium, sedangkan kelompok mahasiswa terdiri atas satu pengguna yang dapat digunakan secara bersamaan oleh beberapa mahasiswa sekaligus sehingga pengguna ini bersifat umum. Pengguna umum tersebut kita beri nama “amikom”, dan terdapat batasan–batasan tertentu dalam penggunaannya. Kelompok dosen memiliki aturan yang membebaskan pengguna dalam hal akses internet, sehingga hasil dari pembuatannya adalah sebagai berikut
2.3.2. Klien Nirkabel Tabel 2. Spesifikasi Komputer Klien Spesifikasi CPU Motherboard Memori VGA Harddisk Wireless Card
Komputer Klien AMD Turion 64 X2 1,6 Ghz MSI 865 PE 2 GB ATI Radeon Xpress 1270 Toshiba 120 GB PCI-Express Mini Card
2.3.3. Access Point Access Point yang digunakan pada penelitian ini adalah produk dari Senao. Access Point ini nantinya akan dipasang pada server yang dihubungkan dengan sebuah kabel jaringan dengan sistem pemasangan kabel bertipe sejajar (Straight). Untuk keperluan Hotspot titik akses di-setting yaitu, IP address diatur secara dinamik karena titik akses akan mendapat IP address secara otomatis melalui server, Security disable/Open, SSID LaboratoriumUnit2-AMIKOM, dan menggunakan Channel 11.
Gambar 4. Pembuatan Kelompok Dosen dan Aturannya Kelompok mahasiswa memiliki aturan tidak membebaskan mahasiswa dalam penggunaan internet, dimana penggunaan internet akan dibatasi hanya dalam waktu 5 menit. Namun demikian pengguna dalam kelompok mahasiswa dapat kembali melakukan login ulang ke dalam sistem nirkabel.
2.3.4. Aplikasi pendukung Untuk mendukung penelitian ini, penulis menggunakan beberapa aplikasi open source seperti sistem operasi Ubuntu 8.10, Chillispot Captive Portal, freeRADIUS server, EzRADIUS, Webalizer, Sqstat, Apache web server, dan IP tables.
2.3.5. Manajemen Pengguna RADIUS Berbasis Web Pengaturan pengguna pada server RADIUS biasanya dilakukan secara manual. Data-data pengguna dimasukkan secara langsung ke dalam database dan
Gambar 5. Pembuatan Kelompok Mahasiswa dan Aturannya
3. HASIL DAN DISKUSI
3.1. Analisa Sistem Koneksi Sistem koneksi adalah hubungan yang dibangun oleh klien nirkabel terhadap titik akses agar dapat terkoneksi dengan internet. Beberapa sistem yang telah di ujicoba adalah : a) Sistem Koneksi Tanpa Captive Portal Sistem koneksi ini adalah sistem standar yang biasanya dapat diterapkan secara langsung sesuai dengan titik akses yang dipergunakan. Sistem ini biasanya mempergunakan “WEP key” sebagai pengaman dari jaringan nirkabel. b) Sistem Koneksi Dengan Captive Portal Sistem koneksi ini adalah sistem koneksi yang mengharuskan setiap pengguna untuk melalui sebuah server / firewall terlebih dahulu agar dapat terkoneksi dengan jaringan internet. Sistem ini mengharuskan kepada klien untuk mempergunakan protokol SSL (Secure Socket Layer) serta mencocokan sertifikat dari server untuk di pasang pada web browser.
Gambar 6. Permintaan Pemasangan Sertifikat SSL
3.2. Analisa Sistem Autentikasi Analisa sistem autentikasi RADIUS dapat mempergunakan aplikasi bawaan dari FreeRADIUS, yaitu aplikasi radtest pada sisi klien. Aplikasi radtest dapat dijalankan dengan format perintah sebagai berikut : # radtest nama-pengguna password radius-server:port-radius nas-portnumber uamsecret Aplikasi pemantau yang digunakan di server adalah dengan mempergunakan tools FreeRADIUS itu sendiri yang ditambahkan pilihan mode debug. Penggunaan nya adalah sebagai berikut : # freeradius –X .......... Module: Instantiated radutmp (radutmp) Listening on authentication *:1812 Listening on accounting *:1813
Pengujian ini akan dilakukan dengan asumsi yaitu, Nama-pengguna : lilik, Password : amikom, Radiusserver : localhost, Port-radius : 1812, Nas-portnumber : 2, Uamsecret : rahasia Pengujian dengan autentikasi yang sukses Disisi klien akan terlihat sebagai berikut. $ radtest lilik amikom localhost:1812 2 rahasia Sending Access-Request of id 213 to 127.0.0.1 port 1812 User-Name = "lilik" User-Password = "amikom" NAS-IP-Address = 255.255.255.255 NAS-Port = 2 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=213, length=26 Acct-Interim-Interval = 60 Pada sisi server akan terlihat sebagai berikut : Ready to process requests. rad_recv: Access-Request packet from host 127.0.0.1:56844, id=213, length=57 User-Name = "lilik" User-Password = "amikom" NAS-IP-Address = 255.255.255.255 NAS-Port = 2 Processing the authorize section of radiusd.conf .......... rad_check_password: Found AuthType 0 auth: type Local auth: user supplied User-Password matches local User-Password Sending Access-Accept of id 213 to 127.0.0.1 port 56844 Acct-Interim-Interval := 60 Finished request 0 Going to the next request
3.3. Monitoring Koneksi Nirkabel Monitoring terhadap aktifitas koneksi dalam jaringan nirkabel diperlukan untuk mengetahui seberapa banyak lalu-lintas koneksi yang telah terjadi dalam jaringan nirkabel. Monitoring dilakukan dalam dua macam tipe monitoring, yaitu monitoring secara grafik (jumlah koneksi yang terjadi dalam jaringan nirkabel) dan monitoring secara langsung (life) yang digunakan untuk mengetahui jumlah aktifitas dalam jaringan nirkabel yang sedang aktif saat itu.
3.3.1. Monitoring Koneksi Secara Grafik Monitoring secara grafik dilakukan dengan menggunakan perangkat lunak webalizer yang telah
dikonfigurasi untuk keperluan monitoring jaringan.
Gambar 7. Tampilan Statistik Pengguna Wi-Fi untuk Bulan Juli 2009 Dengan menggunakan webalizer, akan ditampilkan berbagai keterangan seperti: a) Jumlah koneksi yang terjadi secara priodik, baik harian ataupun secara bulanan b) Jumlah situs yang terbanyak di akses oleh pengguna nirkabel c) Jumlah penggunaan kapasitas terbesar yang telah digunakan oleh pengguna nirkabel. 3.3.2. Monitoring Koneksi Secara Langsung (Life) Monitoring secara langsung (life) dilakukan untuk melihat aktifitas di jaringan nirkabel, monitoring dilakukan dengan menggunakan software sqstat.Kegiatan ini dilakukan untuk mengawasi pengguna nirkabel agar dapat terpantau dengan baik.
terhadap sistem koneksi dan autentikasi yang dilakukan terhadap jaringan nirkabel di UPT STMIK AMIKOM Yogyakarta, maka dapat diambil kesimpulan sebagai berikut: 1. Dengan penerapan sistem autentikasi menggunakan RADIUS bagi pengguna jaringan nirkabel, maka hanya pengguna yang berhak saja yang diperbolehkan untuk mengakses jaringan nirkabel. 2. Penerapan aplikasi captive portal membuat pengguna yang dapat terkoneksi pada jaringan nirkabel menjadi lebih banyak, dikarenakan tidak adanya pembatasan mac address pada perangkat titik akses. 3. Sistem koneksi antara klien dan server RADIUS melalui login berbasis web menggunakan media https, menjadikan komunikasi yang terjadi lebih aman karena informasi yang terkirim telah di enkripsi 4. Dari sisi administrator, sistem autentikasi berbasis RADIUS dapat lebih mempermudah dalam hal pemeliharaan dan monitoring. Karena seluruh aktifitas pengguna dapat dilihat dan dimonitoring dengan mudah. Sebagai bahan pertimbangan demi meningkatkan mutu dan pelayanan kepada pengguna nirkabel UPT STMIK AMIKOM Yogyakarta, penulis memberikan saran sebagai berikut : 1. Menambahkan fitur keamanan pada server autentikasi, agar hanya paket data yang dipercaya saja yang dapat melewati aplikasi Captive Portal. 2. Menambahkan fitur integrasi database mahasiswa, sehingga nantinya semua mahasiswa STMIK AMIKOM dapat mempergunakan fasilitas nirkabel UPT AMIKOM, sesuai dengan pengguna dan password yang terdapat pada database pusat STMIK AMIKOM Yogyakarta. 3. Mengubah tampilan halaman web login menjadi lebih informatif dan lebih baik lagi.
5. DAFTAR PUSTAKA [1].
Gambar 8. Hasil monitoring secara langsung (life)
4. KESIMPULAN Setelah melaksanakan penelitian dan pengujian
Setiawan, Deris. Wireless Fundamental, Instalation And Implementation [2]. Lammle, Todd. Cisco Certified Network Associate Study guide, 2004 [3]. Agung W. Setiawan. Remote Authentication Dial In User Service (RADIUS) untuk Autentikasi pengguna Wireless LAN, 2005 [4]. Sinambela, S, Joshua. Workshop Wireless Security dan Membangun Hotspot Berbasis Radius Server, Yogyakarta, 2008