WIRELESS OFFICE
Gambar 6. Topologi jaringan TEAM dan integrasi terhadap jaringan enterprise
Motorola TEAM VoWLAN Solution Mobilitas menjadi salah satu tuntutan dalam operasional bisnis saat ini, untuk dapat mobile maka dilengkapilah kita dengan perangkat-perangkat yang dapat menunjang mobilitas tersebut, seperti handy talkie, handset Voip untuk kebutuhan komunikasi suara, handheld terminal ataupun smartphone untuk menjalankan beberapa aplikasi mulai dari email hingga aplikasi operasional untuk mengakses data sehingga selalu up to date info terakhir di lapangan. Dapat dibayangkan berapa perangkat yang perlu kita bawa untuk menunjang mobilitas karena belum ter-integrasinya semua solusi mobilitas yang ada baik untuk komunikasi suara dan data, tentulah hal ini tidak efisien baik hal dalam biaya dan perangkat yang telah diinvestasikan. Menyadari akan hal tersebut, Motorola menghadirkan solusi TEAM VoWLAN (Total Enterprise Access and Mobility Voice over Wireless LAN) dengan memanfaatkan solusi teknologi dari investasi teknologi yang telah diterapkan sebelumnya pada organisasi bisnis pada umumnya saat ini seperti Radio Komunikasi Dua Arah, teknologi PABX/IPPBX dan jaringan WLAN sehingga solusi ini sangat fleksibel untuk diterapkan dengan memanfaatkan arsitektur infrastruktur yang telah ada, dan mengintegrasikannya sebagai sebuah platform umum dan tunggal tanpa perlu menghilangkan investasi perusahaan pada jaringan PBX dan jaringan WLAN untuk menciptakan untuk layanan suara dan layanan data yang berkualitas dan terpadu, seperti : 1. Fitur Telephony dengan tambahan berbagai fitur canggih seperti, Call Forwarding and Voicemail. 2. Fitur Push-To-Talk (PTT), seperti private dan group calls. 3. Fitur Data seperti e-mail, Personal Information Manager (PIM) dan Messaging. 4. Aplikasi yang fleksibel dengan platform Windows Mobile untuk akses ke database atupun dengan Webbased application.
12
WIRELESS OFFICE
Dengan solusi TEAM VoWLAN hanya perlu menambahkan dua perangkat kunci, yakni : 1. Perangkat Wireless Service Manager (WSM) yang menyediakan konektivitas untuk layanan telephony yang menghubungkan smartphone dengan PBX perusahaan, layanan Push-to-Talk dengan menghubungkan two-way radio (handy talkie) serta layanan text message melalui jaringan Wireless LAN. Arsitektur ini memungkinkan interoperabilitas dengan berbagai perangkat PBX yang umum dan memaksimalkan fitur-fitur yang ada. 2. Aplikasi Network Services Manager (NSM) menyediakan fungsi provisioning terhadap perangkat dan client.
Didalam NSM juga terdapat sistem manajemen, seperti : Fault, Configuration, Performance (dapat mengukur kinerja perangkat, data collection, dan fungsi analisis), Security (mengamankan akses ke jaringan berdasarkan user/role). Melengkapi solusi yang ada, Motorola juga menyediakan TEAM VoWLAN handset dengan platform Windows Mobile dengan fitur yang lengkap untuk voice over WLAN (WiFi) smartphone, tersedia dalam dua model profesional dan semi-rugged. Ketiga unsur ini menggabungkan keunggulan untuk memberikan layanan high performa, baik layanan suara dan layanan mobile data dengan berbasis standar keamanan yang kuat.
VoWLAN Solution - Key Features Telephony Make and receive phone calls Call Forwarding Call Waiting / Multiple call appearances Call Hold / Resume Call Transfer (blind and attended) Caller ID (number, name, blocking) Abbreviated dialing Three way calling / Meet-me conference Voice Mail Indicator E911 Over dial Ad hoc conferencing (Avaya only initally Email / PIM (Personal Information Management) Email, calender, contacts, tasks access via Good Mobile Messaging or Microsoft Active Sync Text Messanging
Push to Talk (PTT) / Dispatch Private call - one to one call within enterprise users Group call - group communication within a talkgroup Multiple Talksgroups - supports 255 groups Call Alert - ability to leave an alert for user to respond quickly with a Private call Quick call set up - Call set up time between button push and talk permit tone typically less than 1s System and Spectral efficiency - solution does not require a dedicated connection for each dispatch call Multi-Vendor Interoperability WLAN IP-PBX TDM-PBX
Application Flexibility - Windows Mobile 6 Database / line of business applications Text Messaging
Gambar 7. TEAM VoWLAN handset
Wireless Intrusion Prevention Systems Jaringan wireless telah mengubah cara bagaimana suatu organisasi bekerja dan menawarkan berbagai kemungkinan yang baru, tetapi pada saat yang bersamaan, jaringan wireless menimbulkan ancaman keamanan jaringan yang baru. Sebagai contoh, seorang hacker membutuhkan akses fisik ke jaringan kabel untuk melancarkan serangan, namun dalam sebuah jaringan wireless, setiap orang yang berada dalam jangkauan dimungkinkan untuk memonitor secara pasif lalu lintas transmisi data atau bahkan memulai serangan pada jaringan wireless tersebut. Dalam mengantisipasi ancaman keamanan dalam jaringan wireless, salah satu pencegahannya dapat menggunakan Wireless Intrusion Prevention Systems (WIPS). Tulisan ini akan berfokus pada ancaman keamanan dalam jaringan WLAN dan pencegahannya melalui wireless intrusion prevention systems.
13
WIRELESS OFFICE
Wireless Local Area Network, atau WLAN, didefinisikan sebagai 802.11 standar protocol oleh IEEE. Sebuah WLAN 802.11 terdiri dari stations (laptop, PDA, mobile phone dan lain-lain) dan access point (atau AP), yang secara logically menghubungkan station dengan distribution system (DS), biasanya infrastruktur kabel dari organisasi tersebut. WLAN dapat berjalan dalam modus ad-hoc, tanpa menggunakan AP, dan melibatkan komunikasi langsung antar station. Sedangkan dalam modus infrastructure, dalam hal ini station terhubung ke Distribution System melalui access point. Identifikasi antara station dan AP dibuat dengan menggunakan 48bit alamat MAC address. Standar keamanan pertama yang diperkenalkan untuk jaringan WLAN, disebut Wired Equivalent Privacy, atau WEP, terkenal untuk keamanannya yang cacat. Diperkenalkan pada tahun 1999 sebagai bagian dari protocol 802.11b, tujuannya mengamankan komunikasi wireless dengan menggunakan protocol enkripsi simetris RC4. Namun dalam waktu yang singkat, kelemahan WEP ditemukan dan alat-alat untuk hacking WEP tersedia secara bebas di internet (seperti AirSnort dan WEPCrack). Sebagai contoh, AirSnort mengumpulkan paket-paket transmisi data dalam kisaran 5 sampai 10 juta paket dalam waktu tertentu untuk menentukan enkripsi key dalam waktu kurang dari sedetik. Untuk mengatasi masalah dengan WEP, protocol yang lebih baru (seperti Wi-Fi Protected Access/WPA) telah diperkenalkan, yang menawarkan perlindungan yang lebih baik, tapi masih menderita dengan masalah keamanan yang berbeda.
a. Internal rouge AP dapat diilustrasikan sebagai AP yang terhubung ke jaringan kabel oleh pengguna yang tidak sah (karyawan), di luar apa yang sudah ditetapkan oleh staff IT (jumlah AP). Rouge AP ini dapat bertindak sebagai gateway untuk seorang hacker mendapatkan akses ke jaringan tanpa harus secara fisik berada dalam perimeter satu organisasi. Karena itu deteksi dan pencegahan rouge AP harus dipertimbangkan sebagai aspek yang kritis. Hal ini dapat dilihat bahwa ancaman ini dapat mempengaruhi juga organisasi yang tidak m e n g g u n a ka n j a r i n ga n W L A N d a l a m infrastruktur mereka. b. Eksternal rouge AP tidak terhubung ke jaringan kabel intranet organisasi, tapi menyamarkan sebagai access point yang sah dari jaringan. Sebagai contoh, hacker dapat mengatur SSID rouge AP dengan SSID yang sama seperti AP yang sah, dan kemudian secara signifikan meningkatkan sinyal dari rouge AP tersebut. Tujuannya adalah untuk mengelabui WLAN client agar terhubung ke rouge AP tersebut melainkan bukan terhubung ke AP yang sah, karena client biasanya akan mencoba terhubung ke AP dengan sinyal paling kuat yang tersedia dan menyebabkan client terhubung ke rouge AP, sehingga memungkinkan untuk memulai serangan lain (mendapatkan user credential melalui halaman web palsu dan lainlain). ? MAC address spoofing
Penerapan WLAN dalam suatu organisasi menimbulkan ancaman spesifik yang baru bagi mereka, dan seperti yang akan kita lihat dalam tulisan ini, beberapa isu-isu ini dapat diatasi dengan menggunakan wireless intrusion prevention system. Beberapa celah ancaman keamanan dalam jaringan wireless adalah sebagai berikut :
Sebuah AP dapat dikonfigurasi sehingga membuat daftar client yang sah berdasarkan MAC address. Seorang hacker dapat mencari celah dari daftar MAC address itu sehingga hacker tersebut melakukan spoofing terhadap salah satu MAC address yang sah (authorized). Sebuah MAC address dibuat unik satu sama lain, tapi biasanya nilai ini dapat diatur untuk menggunakan suatu nilai tertentu dengan perangkat lunak yang tepat.
? Rogue access point
Mewakili access point tidak sah (unauthorized) dan dapat mencakup internal atau eksternal dari jaringan kita.
16
? Denial-of-Service (DoS)
Sebuah serangan DoS terjadi ketika sistem sudah tidak dapat memberikan layanan kepada client karena sumber daya yang secara terus menerus diakses oleh client yang tidak bertanggung jawab.
WIRELESS OFFICE
H a l i n i d a p at d i l a ku ka n o l e h j a m m i n g (menghasilkan sinyal acak pada frekuensi yang ditentukan), flooding associations (tabel association yang dimiliki oleh AP mempunyai nilai maksimum, dan pada saat flooding, AP tidak dapat lagi menerima asosiasi lebih lanjut terhadap permintaan client), forged disassociation (hacker mengirimkan disassociation frames palsu dengan sumber MAC address dari AP - dalam hal ini client masih ter-authentikasi namun harus mengirim permintaan Reassociation ke AP, untuk mencegah reassociation, hacker dapat melanjutkan untuk mengirim disassociation frame untuk spesifik periode waktu tertentu), forged deauthentication (serangan mirip dengan forged disassociation, tetapi yang menggunakan deauthentication frames). Monitoring lalu lintas ruang udara dan men-decrypt enkripsi pada WLAN Tersedia aplikasi open-source, seperti AirSnort (untuk WEP), yang dapat digunakan oleh siapa saja untuk mencegat lalu lintas data pada jaringan wireless dan dengan cukup data paket yang ter-capture, enkripsi key dapat di-decrypt.
Intrusion prevention adalah proses melakukan intrusion detection dan mencoba untuk menghentikan kemungkinan insiden yang terdeteksi. Intrusion prevention adalah proses melakukan intrusion detection dan mencoba untuk menghentikan kemungkinan insiden yang terdeteksi. Intrusion detection dan prevention systems (IDPS) difokuskan pada mengidentifikasi kemungkinan insiden, membuat catatan (logging) informasi insiden, berusaha menghentikan insiden, dan melaporkannya untuk security administrator. Ada beberapa jenis intrusion detection / prevention systems : network-based, wireless, Network Behaviour Analysis, dan Host-based. Sebuah wireless intrusion prevention system terdiri dari : ? Wireless sensors - digunakan untuk memantau
dan menganalisis activity; ? Management server - menerima informasi dari
sensor dan melakukan analisa; ? Database server - digunakan untuk menyimpan
Mengingat ancaman yang disebutkan di atas, menjadi jelas bahwa untuk setiap organisasi yang menggunakan WLAN, monitoring ruang udara harus menjadi ukuran penting dalam memastikan sebuah keamanan jaringan yang tepat. Selanjutnya, mengingat potensi ancaman terbesar berasal dari jaringan internal dengan unauthorized access point-nya, maka sangat disarankan agar setiap organisasi memonitor lalu lintas ruang udara tersebut. Wireless Intrusion Prevention Systems (WIPS) Sebagai permulaan, definisi untuk intrusion detection dan intrusion prevention yang diberikan oleh NIST [National Institute of Standards and Technology] : "Intrusion detection adalah proses monitoring atas peristiwa yang terjadi dalam sistem komputer atau jaringan dan menganalisisnya terhadap tanda-tanda insiden yang mungkin akan terjadi, seperti pelanggaran atau ancaman pelanggaran terhadap kebijakan keamanan sistem komputer, kebijakan terhadap standar prosedur, atau standar praktek keamanan.
informasi activity yang dihasilkan oleh sensor dan management server; ? Console - merupakan antarmuka (interface) bagi user dan administrator. Dalam wireless intrusion prevention system, sebuah sensor biasa tidak dapat memonitor semua lalu lintas pada sebuah frekuensi (yang terdiri lebih dari beberapa channel) secara simultan dan dapat memantau hanya satu channel dalam satu waktu; untuk memonitor beberapa channel, digunakan teknik yang disebut pemindaian (scanning) channel, yang berarti memantau setiap channel beberapa kali per detik. Untuk mengurangi atau menghindari limitasi hal ini, ada sensor khusus yang menggunakan beberapa modul radio yang dapat memantau beberapa channel pada saat yang bersamaan. Intrusion prevention systems dapat mendeteksi insiden menggunakan tiga metodologi utama : signaturebased, anomaly-based dan stateful protocol analysis.
17
WIRELESS OFFICE
Kebanyakan sistem menggunakan beberapa metodologi deteksi, baik secara terpisah atau terpadu agar deteksi menjadi lebih akurat. Deteksi berbasis signature bekerja dengan membandingkan signature terhadap peristiwa yang diamati dalam rangka untuk mengidentifikasi kemungkinan insiden; metode ini sangat efektif dalam mendeteksi ancaman yang sudah dikenal tetapi tidak memberikan hasil yang baik dalam mendeteksi ancaman yang belum pernah dikenali sebelumnya. Deteksi berbasis anomaly bekerja dengan pembuatan 'Pola aktivitas normal' dan mengamati peristiwaperistiwa yang telah terjadi, dibandingkan terhadap pola ini. Proses dari intrusion detection/prevention system memiliki tahap pembelajaran awal, dimana sistem belajar perilaku/activity normal dan mencatatnya berdasarkan profil, yang digunakan sebagai dasar untuk perbandingan. Profil yang bersifat statis ditentukan pada fase pembelajaran awal dan tidak akan berubah, sedangkan profil dinamis terus-menerus disesuaikan berdasar pada peristiwa-peristiwa yang terjadi dan telah diamati.
Kemampuan pencegahan aktivitas di atas dapat dilakukan secara wireless (seperti mengakhiri hubungan komunikasi antara rouge atau misconfigured station dan AP dengan mengirim pesan deassociation ke endpoint) dan pencegahan di sisi wired (seperti memblokir port switch dimana station atau AP tertentu tersambung). Fitur lain yang terdapat di sebagian besar wireless intrusion prevention systems adalah pelacakan lokasi terhadap ancaman/penyimpangan aktivitas di atas, dengan menggunakan triangulasi (estimasi perkiraan jarak dari beberapa sensor oleh kekuatan dari sinyal ancaman/penyimpangan yang diterima oleh masingmasing sensor dan perhitungan lokasi fisik berdasarkan informasi ini). Mengingat pentingnya keamanan pada jaringan wireless, banyak perusahaan telah mengembangkan wireless intrusion detection/prevention system. Dari banyaknya wireless intrusion prevention systems (WIPS) yang ada sekarang ini, ada beberapa kriteria yang harus dipenuhi tentang sebuah sistem WIPS yang handal. ? Haruslah yang menggunakan deteksi berdasarkan
Stateful protocol analysis adalah proses membandingkan profil yang telah dibuat sebelumnya terhadap aktivitas kegiatan yang telah diamati untuk mengidentifikasi penyimpangan yang terjadi.
context-aware, hubungan dan engine deteksi multidimensi, yang nantinya akan mempunyai tingkat pendeteksian palsu/salah yang sangat rendah.
Beberapa jenis aktivitas yang dapat terdeteksi oleh wireless intrusion prevention systems adalah :
Sistem itu harus dapat mendeteksi ad-hoc station, rouge AP, serta open ataupun misconfigured AP, serangan menyamar (seperti MAC spoofing), serangan man-in-the-middle, dan denial-of-service (DoS).
? WLAN yang tidak sah (unauthorized) dan perangkat
WLAN (rouge AP, unauthorized stations, unauthorized WLAN); ? Konfigurasi keamanan yang buruk dari perangkat WLAN (misconfigurations, penggunaan protokol WLAN yang lemah dan implementasi yang salah); ? Pola activity yang tidak biasa (dideteksi menggunakan anomaly-based); ? Penggunaan tool scanning terhadap jaringan wireless; ? Serangan Denial of Service (DoS) (flooding, jamming); ? Peniruan (impersonation) dan serangan man-inthe-middle.
18
? Harus dapat dikonfigurasi untuk memainkan peran
aktif dan merespon secara otomatis terhadap ancaman- ancaman pada jaringan wireless dengan menghentikan perangkat tersebut sebelum menyebabkan kerusakan pada jaringan. Untuk ancaman rouge internal AP, sistem tersebut juga harus dapat mengidentifikasi port switch dimana rouge AP terhubung dan mematikannya, sehingga mencegah perangkat yang tidak seharusnya mengakses jaringan.
WIRELESS OFFICE
? Harus dapat membantu sistem administrator
dalam memecahkan masalah kinerja pada jaringan wireless, memiliki kemampuan pelacakan lokasi dan dapat menghasilkan standar atau custom report.
Kesimpulan Seperti yang kita lihat dan bahas sebelumnya, WLAN tidak hanya membawa kelebihannya saja, tetapi juga beberapa ancaman keamanan tertentu. Untuk organisasi yang menggunakan WLAN, maka jelas bahwa mereka membutuhkan perlindungan terhadap ancaman keamanan pada jaringan wireless.
Keterbatasan Meskipun Wireless IPS dapat melakukan banyak hal, tetap memiliki keterbatasan. Sebagai contoh, tidak dapat mendeteksi pasif sniffer dimana hacker biasanya pertama kali mengumpulkan lalu lintas data sebelum meluncurkan serangan. Periode pasif sniffer ini cukup berbahaya, tetapi tidak ada yang dapat dilakukan dalam periode ini. Penanggulangannya hanya dengan menggunakan perlindungan yang tepat melalui enkripsi. Masalah lain yang juga penting mengacu pada penyebaran sensor. Sebagai lawan dari wired IDS / IPS sistem, dimana lokasi sensor mengikuti struktur logical dari jaringan, sensor wireless harus ditempatkan berdasarkan lokasi fisik.
Namun perangkat wireless intrusion detection yang bekerja secara real-time untuk mendeteksi /mencegah rouge AP adalah suatu keharusan di hampir semua organisasi. Ada banyak produk WIPS sistem yang tersedia, dengan harga yang berbeda, dan bahkan open source. Pengembangan wireless standards maupun protokol ke a m a n a n y a n g b a r u d i h a r a p k a n m a m p u meningkatkan keamanan pada jaringan WLAN, tapi kami memperkirakan wireless intrusion prevention systems akan terus memainkan peran kunci dalam menjamin keamanan jaringan wireless suatu organisasi.
Selain itu, problem yang umum pada IDS / IPS sistem, seperti isu pendeteksian palsu.
ARUBA VIRTUAL BRANCH NETWORKING Saat ini akses ke pusat data bisnis enterprise sangat dibutuhkan oleh banyak pihak seperti dari kantor cabang, para pekerja yang bekerja yang bekerja di luar kantor dan sering berpindah-pindah karena mobilitasnya, partner bisnis seperti supplier ataupun contractor. Solusi remote jaringan secara tradisional, dirancang untuk mengatasi kebutuhan ini. Sistem ini mengandalkan jaringan yang dikenal dengan nama Virtual Private Network (VPN) clients, dimana sistem utama akan direplikasi terhadap routing, switching, firewall, dan layanan lainnya pada setiap lokasi client. Solusi VPN Client hanya berupa sebuah alat yang membutuhkan revisi kontrol dan pengelolaan kompatibilitas driver, dan system ini belum tentu tersedia untuk semua platform. Sebagai tambahan, pengalaman penerapan remote ini sangat berbeda bagi para pengguna atau client VPN dari pengalaman para pengguna yang berada dalam lokasi jaringan yang sama, tentunya para pengguna VPN memerlukan pelatihan dan melakukan konfigurasi yang mungkin tidak mudah bagi para pengguna awam dan seringkali menimbulkan pekerjaan tambahan pula bagi para Help Desk IT dalam membantu para pengguna VPN ini saat melakukan panggilan keluhan dalam mengatasi hal koneksi VPN.
19
