TUGAS STUDI LITERATUR TOPIK DALAM PENGAMANAN JARINGAN

TUGAS STUDI LITERATUR TOPIK DALAM PENGAMANAN JARINGAN (Dr. Tohari Ahmad, S.Kom, MIT)

MUHAMMAD AMINUDDIN 5112 201 052

PROGRAM MAGISTER BIDANG KEAHLIAN TEKNIK INFORMATIKA JURUSAN TEKNIK INFORMATIKA FAKULTAS TEKNOLOGI INFORMASI INSTITUT TEKNOLOGI SEPULUH NOPEMBER SURABAYA 2013

Tugas TD. Pengamanan Jairngan – Studi Literatur

PENCEGAHAN SERANGAN BERBASIS KLIEN PADA WIRELESS LAN 802.11

I.

Pendahuluan Wireless LAN berbasis protokol 802.11 terlihat begitu luas penyebarannya dalam beberapa tahun terakhir. User dapat mengakses berbagai macam aplikasi data, video, dan audio dari lokasi yang berbeda, seperti : kantor, rumah, warnet, bandara dengan perangkat mobile yang beragam. Tentu semakin banyak orang menikmati mobilitas, kenyamanan dan produktifitas yang ditawarkan oleh wireless LAN [1,2]. Namun, tentunya karakteristik yang melekat seperti keterbukaan aksesibilitas, problem keamanan pada WLAN 802.11 muncul seiring dengan meningkatnya popularitas dari protokol tersebut [3,4,5]. Selain itu, mekanisme keamanan untuk WLAN begitu rentan protokolnya. Wifi Protected Acces versi 1 (WPA1) dan pengembangannya yaitu WPA2 merupakan standar keamanan terbaru WLAN 802.11 yang diusulkan oleh komite IEEE. 802.11i menentukan Cipher Block Chaining Message Autentication Code Protocol (CBC-CCMP) dengan standar AES untuk enkripsi. WPA1 dan WPA2 menggunakan server berbasis otentikasi dengan 802.1x [5]. Standar 802.11 mendefinisikan pengaturan yang berbeda pada prosedur pertukaran frame antara wireless klien dan access point. Salah satu yang penting

dari jenis serangan yang diluncurkan dengan

memanfaatkan sisi manajemen adalah Denial of Services (DoS). Standar keamanan WPA1 dan 2 ditujukan untuk melindungi sebagian besar dari sisi data, dan tidak melindungi jaringan dari sisi manajemen serangan [6,7]. Serangan Denial of Service pada wireless LAN 802.11 dapat disebabkan oleh pengelolaan pengiriman frame oleh jalur akses “nakal”. Serangan-serangan tersebut dapat berhasil, meskipun ketika jaringan nirkabel dilindungi protokol keamanan tingkat tinggi seperti pada versi WPA2.

5112201052 | Muhammad Aminuddin Magister Teknik Informatika ITS


Meskipun ada beberapa mekanisme yang telah diusulkan dalam literatur untuk melindungi WLAN dari serangan, namun masih terdapat kekurangan di dalamnya. Pertama, sebagian besar teknik yang diusulkan membuat penggunaan kriptografi secara ekstensif yang relatif lebih mahal pada mobile host, di mana kemampuan komputasional relatif dibatasi. Kedua, beberapa teknik ini membutuhkan perubahan substansial dalam standar untuk implementasi. Ketiga, skema ini hanya berguna untuk mencegah penyusup dari luar (external attacks) dan tidak berguna ketika sebuah node internal dikompromikan (internal attacks). IETF telah membentuk kelompok kerja baru bernama IEEE 802.11w (Protected Management Frames Security Enhancement Group) untuk meneliti proteksi manajemen frame [1,12]. Disini kami ingin mengusulkan sebuah solusi sederhana yang tidak memerlukan perubahan besar pada standar yang ada maupun penggunaan kriptografinya. Yaitu sebuah mekanisme software berbasis klien yang melindungi wireless klien dari serangan manajemen frame. Dengan menggunakan mekanisme layer filtering pada Medium Access Control (MAC), klien “cerdas” yang mampu membedakan antara frame yang sah dan frame yang palsu. Selain itu, skema yang diusulkan menggunakan sebuah strategi batas ambang adaptif untuk validasi gap kesenjangan urutan nomor pada frame. Selain urutan nomor, sebuah timestamp juga digunakan untuk meningkatkan ketepatan batas ambang dinamis. Mekanisme yang diusulkan memiliki overhead rendah dan dapat dideploy dalam WLAN IEEE 802.11 yang ada. Diharapkan skema ini meningkatkan perlindungan jaringan wireless klien dari serangan manajemen frame DoS pada lapisan MAC.



II.

Landasan Teori A. Arsitektur Wireless LAN IEEE 802.11 Extended Service Set (ESS) adalah jaringan yang terbentuk dari dua atau lebih BSS dengan AP. Dalam hal ini antar BSS terdistribusi melalui sistem jaringan, yang biasanya adalah jaringan LAN. Jaringan LAN ini disambungkan ke AP pada setiap BSS. IEEE 802.11 tidak membatasi jenis jaringan yang tersambung ke BSS melalui AP. Terlihat pada gambar di bawah adalah sebuah ESS, yang mana mobile station (laptop dsb) menjadi bagian di dalam BSS. Sedangkan AP tersambung dari sebuah jaringan komputer LAN. Access-Point satu sama lainnya dihubungkan dengan Distributed System (DS). Distributed System (DS) bisa berupa kabel ataupun wireless.

Gambar 2.1. Arsitektur WLAN 802.11

Satu station ke station lain di dalam satu BSS dapat berkomunikasi baik melalui AP ataupun tanpa AP. Sedangkan dua buah station yang berada di dua BSS yang berbeda akan berkomunikasi setelah melalui dua AP. Arsitektur ini mirip dengan sistem komunikasi seluler, yang mana masing-masing BSS berlaku seperti sel dan masing-masing AP berlaku seperti halnya station radio basis



B. Manajemen Frame pada 802.11 Sebelum wireless klien dapat bertukar data dengan sebuah access point, terlebih dahulu melewati prosedur handshaking menggunakan frame manajemen pada lapisan MAC. Tabel 2.1. menunjukkan daftar frame manajemen yang didefinisikan pada 802.11

Tabel 2.1. Frame Manajemen pada 802.11

Subtype Value mengidentifikasi fungsi spesifik dari frame. 1. Frame Authentication digunakan untuk mengotentikasi identitas dari sebuah stasiun komunikasi. 2. Frame Association Request/Response dan Frame Re-association Request/Response digunakan sebuah stasiun untuk membangun koneksi logikal dengan access point (AP). 3. Frame De-authentication digunakan untuk menghilangkan identitas yang diotentikasi sebelumnya. 4. Frame Disassociation digunakan untuk meruntuhkan koneksi yang ditetapkan sebelumnya oleh stasiun dan AP. 5. Frame

Beacon

dikirim

oleh

AP

untuk

memberitahukan

keberadaannya pada stasiun sekitarnya. 6. Frame Probe Request/Response digunakan sebuah stasiun untuk secara aktif memindai keberadaan dari AP di daerah sekitarnya.



7. Frame

Announcement

Traffic

Indication

Message

(ATIM)

digunakan untuk tipe yang lain dari BSS yang disebut mode Adhoc

C. Prosedur Exchange Handshaking antara klien wireless dengan access point meliputi dua tahapan, yaitu asosiasi dan otentikasi. Terdapat dua proses dalam tahapan asosiasi : 1. Klien mengirimkan sebuah permintaan gabung pada AP 2. AP membalas dengan respon gabung yang menunjukkan hasil dari permintaan gabung oleh klien Sedangkan untuk tahapan otentikasi terdapat tiga prosedur utama yang didefinisikan oleh standar 802.11, yaitu : 1. Otentikasi terbuka 2. Otentikasi shared-key 3. Otentikasi berbasis server 802.1x Otentikasi terbuka di antara klien dan AP memiliki dua proses simpel : 1. Klien mengirimkan sebuah frame otentikasi ke Ap yang menunjukkan bahwa klien menggunakan otentikasi terbuka 2. AP membalas frame otentikasi dengan menunjukkan hasil otentikasi yang diminta, yaitu : “sukses” atau “gagal” Pada dasarnya sebuah klien akan diotentikasi dengan AP otentikasi terbuka yang mana saja. Otentikasi shared-key menggunakan algoritma Wired Equivalent Privacy (WEP). Terdapat empat tahapan sebagai berikut : 1. Klien meminta ijin kepada AP untuk melakukan koneksi. 2. AP akan mengirim sebuah string yang dibuat secara acak dan mengirimkanya kepada klien. 3. Klien akan melakukan enkripsi antara string/ nilai yang diberikan oleh AP dengan password yang diketahuinya. Hasil enkripsi ini kemudian dikirimkan kembali ke AP.



4. AP akan melakukan proses dekripsi dan membandingkan hasilnya. Bila hasil dekripsi dari klien menghasilkan string/nilai yang sama dengan string/nilai yang dikirimkan oleh server, berarti klien mengetahui password yang benar.

Gambar 2.2. Otentikasi shared-key

Otentikasi berbasis server 802.1x digunakan pada WLAN yang memanfaatkan WPA1 (Wifi Protected Access version 1) dan WPA2 (WPA version 2 standar 802.11i). sebuah server otentikasi dalam sistem distribusi yang mengatur proses otentikasi antara wireless klien dengan AP.

D. Manajemen Frame Vulnerability dan Serangan DoS Standar 802.11i merupakan standar keamanan terbaru untuk WLAN, menggunakan 802.1x sebagai mekanisme otentikasinya. Pada 802.1x, protokolnya menggunakan EAP (Extensible Authentication Protocol). Namun, sebagaimana yang ditentukan oleh standar, layanan otentikasi hanya dimaksudkan untuk memberikan sebuah inisialisasi otentikasi awal antara klien dengan AP. Sehingga, dalam semua kasus lain semua penerima frame manajemen selalu mempercayai identitas pengirimnya yang dideklarasikan pada header MAC dari frame. Tidak ada mekanisme bagi penerima untuk lebih dalam memverifikasi keabsahan identitas pengirim.



Deauthentication/ Dissassociation Serangan DoS DoS merupakan singkatan dari Denial-of Service Attacks, merupakan serangan terhadap sebuah server/website di suatu jaringan internet yang bekerja dengan cara menghabiskan sumber daya (resource) yang dimiliki oleh server tersebut, sehingga website tersebut tidak bisa menjalankan fungsingnya, karena tidak bisa diakses oleh user dikarenakan akses layanan ke website tersebut telah dihabiskan oleh pelaku serangan DoS. Secara tradisional, DoS dikaitkan dengan mengisi user-domain dan kernel-domain. Namun, dalam domain wireless, karena sifat bersama dari media wireless musuh diberdayakan untuk mencegah orang lain untuk berkomunikasi satu sama lain. Dalam prakteknya, serangan DoS pada lapisan MAC dapat diluncurkan menggunakan frame manajemen karena mereka tidak dilindungi.

Gambar 2.3. Skenario Deauthentication/ Dissassociation Serangan DoS



Gambar 2.3 menunjukkan sebuah test bed AP penjahat dan klien penjahat yang secara terus menerus mengirimkan frame Deauthentication/ Dissassociation pada korban untuk men-cut down komunikasinya antara korban dengan AP.

III.

Studi Literatur dan Usulan Penelitian Bellardo dan Savage [8], mengusulkan sebuah mekanisme frame antrian. Ide utamanya adalah menunda efek Deauthentication/ Dissassociation dengan pemberitahuan antrian selama 5-10 detik, sehingga sebuah AP dapat mengamati paket berikutnya dari klien kemudian membuat keputusan. Namun, pendekatan ini tidak akan bekerja jika AP “nakal” tidak mengirim frame data yang mengikuti frame Deauthentication/ Dissassociation. Xu et al [9], mengusulkan sebuah mekanisme chanel surfing berdasarkan pada frequency hopping. Ketika serangan DoS terdeteksi, perangkat wireless beralih ke frekuensi kanal yang berbeda sehingga mempersulit pemindaian oleh musuh. Saluran baru didapatkan dari pseudo-random dengan menggunakan sebuah kunci bersama. Namun, karena hanya beberapa frekuensi yang terliba, maka hal ini bukan manjadi skema yang kuat untuk mencegah serangan. Mekanisme dua protokol yang diusulkan Faria dan Cherito [10] terdiri dari protokol SIAP (Secure Internet Access Protocol) dan SLAP (Secure Link Access Protocol). Kedua protokol ini diimplementasikan pada klien dan AP. Proses dimulai dengan klien SIAP melakukan otentikasi handshake dengan server SIAP pada AP. Skema ini memiliki overhead komputasi kriptografi yang tinggi. Ge dan Sampali [11] menyajikan sebuah skema otentikasi per-frame untuk melindungi frame manajemen 802.11. Setiap frame yang diterima oleh klien wireless / access point akan pertama kali diotentikasi dan fungsi manajemen yang sesuai akan diambil. Skema tersebut kompatibel dengan standar 802.11 asli dan menggunakan sebagian besar sumber dayanya. Hal ini telah diusulkan terutama sebagai modifikasi standar yang ada.



Sistem Pencegahan Serangan Berbasis Klien Desain yang diusulkan akan melindungi klien wireless terhadap serangan frame manajemen yang diluncurkan oleh AP “nakal”. Jika klien mampu membedakan antara sebuah frame manajemen “nakal” dengan sebuah frame manajemen “sah”, maka serangan frame manajemen dapat dicegah. Seorang klien wireless harus menolak frame yang dikirim oleh AP “nakal” dengan

frame

Authentication

Response,

Association

Response,

Deauthentication Notification, Disassociation Notification, Beacon dan Probe Response. Ide utama dalam usulan ini adalah untuk melacak sequence number (SNs) dalam frame manajemen untuk membedakan frame berbahaya dari sebuah frame yang “sah”. Dengan membandingkan urutan nomor frame yang diterima dengan yang sebelumnya. Seorang klien dapat mengetahui apakah frame ini adalah dari AP yang sah atau yang “nakal”. Jika berasal dari frame AP yang “nakal”, maka klien hanya membuang frame tersebut. Usulan ini disebut MAC filtering.

Gambar 3.1. Arsitektur Usulan Sistem Sebagaimana yang ditunjukkan oleh gambar 3.1, sebuah arsitektur usulan sistem (MAC Layer Filtering) berada di antara Network Layer dan Physical Layer yang terdiri dari komponen-komponen sebagai berikut : Sequence

Number

Analysis,

Timestamp

Analysis,

Fingerprinting Analysis, dan Monitoring&Analysis.


MAC

layer


Gambar 3.2. Format Frame Manajemen 802.11 Gambar 3.2 menunjukkan struktur umum dari format frame manajemen 802.11 -

Sequence Number Analysis Mekanisme ini menggunakan dynamic sequence number gap dengan persamaan :

Dimana nilai ambang adalah :

Gambar 3.3. Sequence Number Analysis

-

Timestamp Analysis Memanfaatkan timestamp field dalam IEEE 802.11 frame beacon dan probeyang dihasilkan oleh AP



-

MAC layer Fingerprinting Analysis Sub sistem ini digunakan untuk memeriksa kehandalan frame beacon yang diperlukan untuk algoritma ambang adaptif. Dibandingkan dengan parameter yang dihasilkan oleh sebuah AP dengan mencapture dan menganalisa frame menggunakan wireshark.

-

Monitoring&Analysis Sub sistem ini mengirimkan sebuah peringatan ketika serangan diluncurkan. Informasi yang dikirim termasuk jenis serangan yang diluncurkan, ketika serangan sudah terpasang dan alamat sumber dari penyerang. Sub proses ini juga dapat dihubungkan dengan IDS.

IV.

Hasil dan Kesimpulan Sistem

ini

diimplementasikan

pada

Fedora

2.6.9

dengan

memanfaatkan chipset Atmel PCMCIA. Untuk beberapa mekanisme, dibutuhkan kemampuan untuk mengendalikan frame manajemen seperti beacon dan probe. Kemampuan ini didukung oleh kartu wireless yang banyak. Skema ini juga dapat diterapkan dalam firmware dari hardware MAC yang ada jika disediakan oleh vendor. -

Spesifikasi Hardware : Network Interface Cards (NICs), dan The 3Com Office Connect Wireless LAN card (3CRSHPWI96-with the XJack antenna)

-

Spesifikasi Software : Linux Operating System, Atmel PCMCIA driver, dan C compiler and gdb debugger

-

Demo test bed : topologi demo test bed ditunjukkan pada gambar 4.1. Klien B yang dihubungkan dengan AP wise n, diset sebagai korban. Sedangkan klien A yang diinstal dengan sistem pencegahan berbasis klien digabungkan juga dengan AP wise n sebagai pembandingnya.



Gambar 4.1. Demo Test Bed

Hasil paket statistik di-capture menggunakan aplikasi Gnome Meeting pada klien A dan B yang ditunjukkan oleh gambar 4.2.

Gambar 4.2. Jendela Perbandingan Gnome Meeting

-

Gambar 4.3 dan 4.4 menggambarkan keluaran dari monitoring sub proses pada klien “cerdas” ketika serangan DoS diluncurkan.



Telah disajikan sebuah usulan sistem untuk pencegahan serangan DoS frame manajemen pada WLAN 802.11. Mekanisme MAC filtering, klien “cerdas” mampu membedakan antara frame yang “sah” dengan frame yang “palsu”. Skema ini menggunakan strategi batas ambang adaptif untuk men-validasi gap kesenjangan urutan nomor dalam frame. Mekanisme yang diusulkan memiliki overhead rendah dan dapat digunakan pada



WLAN IEEE 802.11 yang ada. Berdasarkan pembangunan dan pengujian dari skema prototipe ini, maka dapat diketahui bahwa mekanisme usulan ini dapat melindungi klien wireless dari serangan frame manajemen yang diluncurkan pada MAC layer. Beberapa kelebihan dari usulan ini adalah : 1. Feasibility, Pertama, Tidak ada perubahan protokol IEEE 802.11 yang diperlukan untuk penerapan sistem pencegahan berbasis klien. Seorang klien dapat mengotentikasi AP tanpa perlu menambahkan informasi ke protokol. Kedua, Sistem dapat diatur dan dioperasikan tanpa gangguan apapun untuk infrastruktur yang ada. Ketiga, overhead untuk penyebaran sistem ini rendah. 2. Complexity Hasil mekanisme non-criptographic berada pada waktu yang rendah dan kompleksitas ruang yang mengurangi overhead WLAN secara dramatis. Selain itu, protokol keamanan yang ada dapat digunakan secara terpisah. 3. Scalability Sistem ini menggunakan sebuah mekanisme distribusi untuk mengurangi beban AP sejak sistem pencegahan diinstal pada setiap klien wireless



REFERENCE [I] IEEE 802.l1TM Wireless Local Area Networks, The Working Group for WLAN Standards, www.ieee802.org/l 1/ [2] R. Jordan and C.T. Abdallah, "Wireless communications and networking: an overview", IEEE Antennas and Propagation magazine, Vol. 44, No. I, Feb. 2002, pp. 185-193. [3] H. Yang, F. Ricciato, S. Lu and L. Zhang, "Securing a wireless world", Proceedings of the IEEE, February 2006, Vo1.94, Issue 2, pp. 442-454. [4] Y. Xiao, C. Bandela, Y. Pan, "Vulnerabilties and security enhancements for the IEEE 802.11 WLANs", Proceedings of the IEEE Global Telecommunications Conference (GLOBECOM) 2005, pp. 1655-1659. [5] 1. Edney and W. A. Arbaugh, Real 802.11 Security: Wi-Fi Protected Access and 802. 1 ii, Addison Wesley Professional, 2003. [6] B. Adoba, IEEE 802.IX Pre-authentication, http://www.drizzle.comlabobalIEEE/II-02-389arO-I-802.IX-PreAuthentication. ppt [7] B. Aslam, M.H.Islam and S.A.Khan, 802.11 disassociation DoS attack and its solutions: a survey", Proceedings of the IEEE International Conference on Mobile Compo and Wireless Comm. (MCWC) 2006, pp. 221-226. [8] 1. Bellardo and S. Savage, "802.11 Denial-of-Service Attacks: Real Vulnerabilities and Practical Solutions", In Proceedings of the USENIX Security Symposium (USENIX), 2003, pp. 15-27. [9] W. Xu, T. Wood, W. Trappe, and Y. Zhang, "Channel Surfing and Spatial Retreats: Defenses against Wireless Denial of Service", Proceedings of the 2004 ACM workshop on Wireless security, ,pp. 80-89 , 2004. [10] D. Faria and D. Cherito, "DoS and Authentication in Wireless Public Access Networks", Proceedings of the International Coriference on Mobile Computing and Networking, pp. 47-56, 2002. [II] W. Ge, J. Li and S. Sampalli, " Prevention of management frame attacks on 802.11 WLANs", International Journal of Wireless and Mobile Communications (IJWMC), Vol. 3, No. 3, 2009, pp. 133-144. [12] IEEE ratifies 802.11w to enhance signaling security mechanisms, September 2009, http://www.net-security .orglsecworld.php?id=8168 [13] http://www.wireshark.com


TUGAS STUDI LITERATUR TOPIK DALAM PENGAMANAN JARINGAN

Recommend Documents