WLAN SECURITY

Satu masalah dengan jaringan nirkabel perusahaan pada umumnya, dan WLAN khususnya, melibatkan kebutuhan untuk keamanan. Banyak jalur akses awal tidak bisa melihat apakah pengguna tertentu memiliki otorisasi untuk mengakses jaringan. Meskipun masalah ini mencerminkan isu-isu yang telah lama bermasalah banyak jenis jaringan kabel (mungkin sudah di masa lalu bagi individu untuk steker komputer ke jack Ethernet acak tersedia dan mendapatkan akses ke jaringan lokal), ini biasanya tidak menimbulkan masalah yang signifikan, karena banyak organisasi memiliki keamanan fisik yang cukup baik. Namun, fakta bahwa sinyal radio berdarah di luar bangunan dan di baris properti membuat keamanan fisik sangat tidak relevan untuk Piggybackers. isu korporasi tersebut tercakup dalam keamanan nirkabel

Security options
Ada tiga cara pokok untuk mengamankan jaringan nirkabel:

• Untuk jaringan tertutup (seperti pengguna rumah dan organisasi) cara yang paling umum adalah untuk mengkonfigurasi pembatasan akses di jalur akses. Mereka pembatasan mungkin termasuk enkripsi dan cek pada alamat MAC. Pilihan lain adalah dengan menonaktifkan ESSID penyiaran, membuat jalur akses yang sulit bagi orang luar untuk dideteksi. Wireless Intrusion Prevention Sistem dapat digunakan untuk menyediakan pengamanan LAN nirkabel dalam model jaringan.

• Bagi penyedia komersial, hotspot, dan organisasi besar, solusi yang dipilih adalah sering memiliki jaringan nirkabel terbuka dan tidak terenkripsi, namun benar-benar terisolasi. Para pengguna akan pada awalnya tidak memiliki akses ke Internet atau ke sumber daya jaringan lokal. Komersial penyedia biasanya forward semua lalu lintas web ke captive portal yang menyediakan pembayaran dan / atau otorisasi. Solusi lain adalah untuk meminta pengguna untuk melakukan koneksi aman ke jaringan istimewa menggunakan VPN.

• Wireless jaringan yang kurang aman dari kabel yang, dalam banyak kantor penyusup dengan mudah dapat mengunjungi dan menghubungkan komputer mereka ke jaringan kabel tanpa masalah, mendapatkan akses ke jaringan, dan itu juga sering mungkin bagi penyusup remote untuk mendapatkan akses ke jaringan melalui backdoors. Salah satu solusi umum dapat end-to-end enkripsi, dengan otentikasi independen pada semua sumber daya yang tidak harus tersedia untuk umum.

Access Control at the Access Point level
Salah satu teknik yang paling sederhana adalah dengan hanya membolehkan akses dari dikenal, disetujui alamat MAC. Namun, pendekatan ini tidak memberikan keamanan terhadap mengendus, dan perangkat client dapat dengan mudah spoof alamat MAC, menyebabkan kebutuhan untuk keamanan yang lebih canggih.
Lain teknik yang sangat sederhana adalah memiliki ESSID rahasia (id / nama jaringan nirkabel), meskipun orang yang mempelajari metode yang akan mampu mengendus ESSID tersebut.
Hari ini semua (atau hampir semua) akses poin menggabungkan Wired Equivalent Privacy (WEP) enkripsi dan sebagian besar router nirkabel dijual dengan WEP diaktifkan. Namun, analis keamanan WEP mengkritik kekurangan, dan FBI AS telah menunjukkan kemampuan untuk memecahkan perlindungan WEP hanya dalam tiga menit menggunakan alat yang tersedia untuk masyarakat umum (lihat aircrack).
Wi-Fi Protected Access (WPA dan WPA2) protokol keamanan kemudian diciptakan untuk mengatasi masalah ini. Jika password yang lemah, seperti kata kamus atau string karakter pendek digunakan, WPA dan WPA2 dapat retak. Menggunakan password acak cukup lama (misalnya 14 huruf acak) atau passphrase (misalnya 5 kata-kata yang dipilih secara acak) membuat pra-berbagi kunci WPA hampir uncrackable. Generasi kedua protokol keamanan WPA (WPA2) adalah berdasarkan perubahan terakhir IEEE 802.11i untuk standar 802.11 dan memenuhi syarat untuk FIPS 140-2 kepatuhan. Dengan semua skema enkripsi, setiap klien dalam jaringan yang tahu tombol dapat membaca semua lalu lintas.

Restricted access networks
Solusi termasuk sistem baru untuk otentikasi, IEEE 802.1x, yang menjanjikan untuk meningkatkan keamanan di kedua kabel dan jaringan nirkabel. jalur akses nirkabel yang menggabungkan teknologi seperti ini sering juga memiliki dibangun di router, sehingga menjadi gateway nirkabel.

End-to-End
Orang bisa menyatakan bahwa 2 lapisan dan lapisan kedua metode 3 enkripsi tidak cukup baik untuk melindungi data berharga seperti password dan email pribadi. Mereka menambahkan enkripsi teknologi hanya untuk bagian-bagian dari jalur komunikasi, masih memungkinkan orang untuk memata-matai lalu lintas jika mereka telah mendapatkan akses ke jaringan kabel entah bagaimana. Solusinya mungkin enkripsi dan otorisasi di layer aplikasi, dengan menggunakan teknologi seperti SSL, SSH, GnuPG, PGP dan yang sejenis.
Kerugian dengan akhir untuk mengakhiri metode, mungkin gagal untuk menutup semua lalu lintas. Dengan enkripsi pada level router atau VPN, sebuah saklar tunggal mengenkripsi semua lalu lintas, bahkan UDP dan lookup DNS. Dengan enkripsi end-to-end di sisi lain, setiap layanan harus diamankan harus memiliki enkripsi yang "dihidupkan," dan sering setiap koneksi juga harus "dihidupkan" secara terpisah. Untuk mengirimkan email, setiap penerima harus mendukung metode enkripsi, dan harus pertukaran kunci dengan benar. Untuk Web, tidak semua situs web menawarkan https, dan bahkan jika mereka lakukan, browser mengirim alamat IP dalam bentuk teks.
Sumber daya yang paling berharga sering akses ke Internet. Sebuah LAN kantor pemilik mencari untuk membatasi akses tersebut akan menghadapi tugas penegakan non sepele setiap pengguna memiliki otentikasi dirinya untuk router.

Open Acces Poin
Saat ini, ada hampir penuh jangkauan jaringan nirkabel di daerah perkotaan banyak - infrastruktur untuk jaringan komunitas nirkabel (yang beberapa anggap sebagai masa depan internet) sudah di tempat. Satu bisa berkeliaran di sekitar dan selalu terhubung ke Internet jika node terbuka untuk umum, namun karena masalah keamanan, node terenkripsi dan kebanyakan pengguna tidak tahu bagaimana cara menonaktifkan enkripsi. Banyak orang menganggap etiket yang tepat untuk meninggalkan jalur akses terbuka untuk umum, sehingga bebas akses ke Internet. Lain pikir enkripsi default menyediakan perlindungan yang substansial di ketidaknyamanan kecil, terhadap bahaya akses terbuka bahwa mereka mungkin takut substansial bahkan di rumah router DSL.
Kepadatan jalur akses bahkan bisa menjadi masalah - ada beberapa saluran yang tersedia terbatas, dan mereka sebagian tumpang tindih. Setiap saluran dapat menangani beberapa jaringan, tetapi tempat-tempat dengan banyak jaringan nirkabel pribadi (misalnya, kompleks apartemen), terbatasnya jumlah saluran radio Wi-Fi bisa menyebabkan kelambatan dan masalah lainnya.

Menurut para pendukung open access Poin, tidak harus melibatkan risiko yang signifikan untuk membuka jaringan nirkabel bagi masyarakat:

• Jaringan nirkabel adalah setelah semua terbatas pada wilayah geografis yang kecil. Sebuah komputer yang terhubung ke Internet dan konfigurasi yang tidak benar memiliki atau masalah keamanan lainnya dapat dimanfaatkan oleh siapa saja dari mana saja di dunia, sementara klien hanya dalam rentang geografis kecil dapat memanfaatkan jalur akses terbuka nirkabel. Jadi eksposur rendah dengan titik akses nirkabel terbuka, dan risiko dengan memiliki jaringan nirkabel terbuka kecil. Namun, salah satu harus menyadari bahwa router nirkabel terbuka akan memberi akses ke jaringan lokal, seringkali termasuk akses ke file dan printer saham.

• Satu-satunya cara untuk menjaga komunikasi benar-benar aman adalah dengan menggunakan enkripsi end-to-end. Misalnya, ketika mengakses sebuah bank internet, orang akan hampir selalu menggunakan enkripsi yang kuat dari browser web dan semua jalan ke bank - sehingga tidak beresiko untuk melakukan transaksi perbankan melalui jaringan nirkabel tidak terenkripsi. argumen adalah bahwa setiap orang dapat mengendus lalu lintas berlaku untuk jaringan kabel juga, dimana sistem administrator dan kerupuk mungkin memiliki akses ke link dan dapat membaca lalu lintas. Juga, siapa pun mengetahui kunci untuk jaringan nirkabel dienkripsi dapat memperoleh akses ke data yang ditransfer melalui jaringan.

• Jika layanan seperti saham file, akses ke printer, dll tersedia di jaringan lokal, disarankan untuk memiliki otentikasi (misalnya dengan password) untuk mengakses itu (satu tidak boleh berasumsi bahwa jaringan private tidak dapat diakses dari luar). Benar disetel, itu harus aman untuk mengizinkan akses ke jaringan lokal ke luar.

• Dengan algoritma enkripsi yang paling populer saat ini, sniffer biasanya akan dapat menghitung kunci jaringan dalam beberapa menit.

• Hal ini sangat umum untuk membayar biaya bulanan tetap untuk sambungan internet, dan bukan untuk lalu lintas - lalu lintas sehingga tambahan tidak akan merugikan.

• Di mana banyak koneksi Internet dan murah, freeloaders jarang akan menjadi gangguan yang menonjol.

Di sisi lain, di beberapa negara termasuk Jerman [1], orang-orang yang menyediakan jalur akses terbuka dapat dilakukan (sebagian) bertanggung jawab atas semua aktivitas ilegal yang dilakukan melalui jalur akses ini.

Filtering
Filtering memiliki arti menutup semua hubungan yang tidak diijinkan dan membuka semua hubungan yang diijinkan. Filtering terdiri dari tiga tipe dasar yang dapat diimplementasikan pada WLAN, yakni:
- SSID Filtering
- MAC Address Filtering
- Protocol Filtering
SSID Filtering merupakan metode penyaringan/ filtering yang bersifat elementer dan hanya digunakan untuk mengontrol hak akses. SSID merupakan nama dari jaringan.
MAC Address Filtering merupakan metoda filtering untuk membatasi hak akses dari MAC Address yang bersangkutan. Berikut ini adalah gambar yang menunjukkan illustrasi MAC filters:


MAC filters ini juga merupakan metode sistem keamanan yang baik dalam WLAN, karena peka terhadap jenis gangguan seperti:
- pencurian pc card dalam MAC filter dari suatu access point
- sniffing terhadap WLAN

Protocol Filtering merupakan metoda yang memungkinkan WLAN dapat menyaring paket-paket yang melalui jaringan dari layer 2 hingga layer 7. Berikut illustrasi dari protocol filtering:


Attack On Wireless LAN
Seorang hacker dapat melakukan beberapa tindakan yang tujuannya adalah untuk memperoleh hak akses secara paksa dari suatu WLAN. Beberapa metoda yang digunakan hackerantara lain:
- Passive attack (eavesdropping)
- Active attack
- Jamming attack
- Man in the middle attack

Passive attack
Eavesdroping merupakan penyerangan ke WLAN yang paling sederhana dan efektif. Metode ini tanpa meninggalkan jejak dari hacker itu sendiri. Berikut contoh illustrasi dari Passive attack:







Active attack
Merupakan metode hacking yang memungkinkan seseorang mendapat hak akses yang digunakan untuk tujuan merusak. Dengan metode ini memungkinkan hacker dapat mengacak-acak data pada jaringan. Berikut contoh illustrasi dari Active attack:




Wireless Gateway

Residential wireless gateway sekarang tersedia dengan teknologi VPN, seperti NAT, DHCP, PPPoE, WEP, MAC Filter dan bahkan sebuah built in firewall. Device ini cocok untuk kantor kecil atau lingkungan rumah dengan beberapa komputer dan jaringan ke internet. Biaya dari unit ini sangat tergantung pada servis yang ditawarkan. Beberapa dari unit hi-n bahkan mempunya static routing dan RIP v2.
Enterprise Wireless gateway adalah sebuah adaptasi spesial dari VPN dan server authehtikasi untuk jaringan wireless. Sebuah enterprise gateway berada dalam segmen jaringan kabel antara akses point dan jaringan wired akstrim. Sesuai namanya, sebuah gateway mengontrol akses dari wireless Lan ke jaringan wired, sehingga ketika seorang hacker mendapatkan akses ke segmen wireless, gateway akan melindungi sistem distribusi jaringan wired dari serangan.
Sebuah contoh dari waktu yang tepat untuk membangun sebuah enterprise wireless line gateway mungkin dapat dilihat pada situasi berikut. Anggaplah sebuah rumah sakit mempunyai 40 akses point dalam gedungnya. Investasi mereka pada akses point cukup penting, sehingga jika akses point tidak mendukung ukuran keamanan, rumah sakit bisa dalam keadaan yang sulit/bahaya dan harus mengganti semua akses point mereka. Malahan, rumah sakit dapat membangun sebuah wireless line gateway.
Gateway ini dapat terhubung antara core switch dan distribution switch (yang terhubung pada akses point) dan dapat berfungsi sebagai sebuah authentikasi dan VPN server pada jaringan yang terhubung dengan semua wireless LAN client. Malahan daripada membangun seluruh akses point baru satu (atau lebih tergantung dari kebutuhan jaringan) gateway device dapat di install dibelakang semua akses point sebagai sebuah group. Kegunaan dari tipe gateway ini adalah untuk menyediakan keamanan untuk kepentingan sebuah akses point yang tidak aman. Sebagian besar entreprise wireless gateway mendukung sebuah array dari protokol VPN seperti PPTP, IP Sec, L2TP, Sertificate, dan bahkan QoS berdasarkan profile.

802.1x and Extensible Authentication Protocol
standart 802.1x menyediakan spesifikasi untuk akses control jaringan port-based. Akses kontrol port-based sebenarnya – dan masih – digunakan dengan eterneth switch. Ketika sebuah user mencoba untuk terhubung ke port ethernet, port kemudian menempatkan koneksi user pada bloked mode untuk menunggu verifikasi dari identitas user dengan sebuah sistem authentikasi back end.
Protokol 802.1x telah dipergunakan pada banyak sistem wireless LAN dan hampir menjadi sebuah latihan standart pada banyak vendor. Ketika dikombinasikan dengan Extensible Authentication Protocol (IEP), 802.1x dapat menyediakan sebuah lingkungan yang fleksibel dan sangat aman berdasarkan berbagai macam skema authentikasi yang digunakan sekarang.
IEP, yang dulunya didefinisikan untuk point to point protokol (ppp), adalah sebuah protocol untuk bernegosiasi dengan metode authentikasi. IEP diterangkan pada RFC 2284 dan mendefinisikan karakteristik dari metode authentikasi termasuk informasi user yang dibutuhkan (pasword, sertifikat, dll), protokol yang digunakan (MD5, TLS, GSM, OTP, dll), dukungan dari igeneration, dan dukungan dari mutu authentikasi. Mungkin terdapat beberapa tipe EAP yang berada dipasar sejak IEEE dan pelaku industri membuat persetujuan pada setiap single type,atau beberapa tipe lain untuk menciptakan sebuah standart.

Corporate Security Police
Sebuah perusahaan seharusnya memiliki sebuah hubungan dengan security police yang menunjukan resiko yang unik yang ditunjukkan WLAN terhadap suatu jaringan. Contoh, dari sebuah ukuran sel yang tidak tepat yang memperkenankan hacker untuk mengambil keuntungan akses jaringan pada area parkir adalah contoh yang sangat bagus dari sebuah item yang seharusnya termasuk dalam beberapa hubungan security police. Hal lain yang perlu diperhatikan dalam security police adalah pasword yang baik, WEP yang bagus keamanan secara fisik penggunaan solusi keamanan yan bagus dan keteraturan perlengkapan hardware pada wireless LAN. Semua itu jauh dari sempurna mengingat solusi keamanan yang akan mengalami perubahan diantara organisasi-organisasi. Luasnya pembahasan security policy pada wireless LAN akan bergantung pada perlengkapan securitas dari organisasi seperti halnya luas dari daerah wireless LAN pada suatu jaringan.

Keep Sensitive Informatio Private
Beberapa hal yang seharusnya diketahui hanya oleh administrator jaringan pada level yang tepat adalah :
1. username dan password dari access point dan bridge
2. SNMP strings
3. WEP keys
4. dafta MAC address
Point penting untuk menjaga informasi ini hanya ditangan orang yang terpercaya. Kemampuan individual seperti administrator jaringan sangat penting karena seorang hacker akan sangat mudah mengunakan bagian informasi tersebut untuk mengambil keuntungan pada akses jaringan.

Physical Security
Walaupun saat physical security menggunakan jaringan wired tradisional sangat penting tapi akan lebih penting lagi perusahaan yang menggunakan teknologi wireless LAN. Untuk alasan yang telah dibahas diawal seseorang yang memiliki sebuah wireless PC card (dan mungkin sebuah antena) tidak dapat berada dalam gedung yang sama, seperti halnya suatu jaringan mengambil keuntungan akses pada jaringan yang lain. Bahkan software pendeteksi gangguanpun tak sepenuhnya cukup untuk mencegah hacker wireless LAN untuk melakukan pencurian informasi sensitif/penting. Serangan pasif tidak meninggalkan jejak, karena tidak adanya koneksi yang dibuat. Sekarang semua itu merupakan kebutuhab pasaran yang dapat menunjukkan network card dengan mode yang menjanjikan, mengakses data tanpa membuat koneksi.

Inventaris Peralatan Wireless LAN dan Security Audits
Sebagai bagian dari physical security policy, semua peralatan Wireless LAN seharusnya secara teratur dicatat disahkan dan mencegah penggunaan peralatan WLAN yang tidak sah untuk mengakses organization’s network. Jika jaringan terlalu besar dan berisi sejulah peralatan Wireless yang penting, maka inventori peralatan secara berkala sangat tidak praktis. Jika masalahnya seperti ini, penyeleseian kemanan Wireless LAN sangat penting untuk diimplementasikan, yang tidak berdasar pada hardware tetapi berdasar pada username dan password atau beberapa tipe yang bukan hardware-based peneleseian keamanan.

Rekomendasi keamanan
Sebagai ringkasan pada "WLAN SECURITY"diatas adalah beberapar ekomendasi untuk pengamanan wireless LAN:

* WEP

Jangan semata-mata hanya percaya pada WEP, tidak perduli sebaaik-baiknya kamu mengimplementasikan sebuah solusi keamaan wireless LAN end to end. Suatu peralatan wireless LAN dilindungi hanya dengan WEP hal itu bukan suatu jaminan. Ketika menggunakan WEP, jangan menggunakan WEP keys yang dihubungkan ke SSID atau ke organisasi. Membuat WEP keys sangat sulit untuk di ingat di dibawa keluar. Pada banyak kasus, WEP key dapat dengan mudah ditebak hanya dengan melihat SSID atau nama dari organisasi.

* User Authentication

Sejak user authentication adalah sebuah wireless LAN paling lemah, dan standart 802.11 tidak menetapkan metode apapun dari user authentikasi, ini sangat penting bahwa administrator secepat mengimplementasikan user-based authentikasi pada saat instalasi infrastruktur wireless LAN. User authentiksi harus berdasar pada rencana device-independent seperti, username dan password, biometric, smart card, sistem token-based, atau beberapa tipe yang lain dari alat keamanan yang mengidentifikasi user, bukan pada hardware. Solusi yang kamu terapkan seharusnya didukung authentikasi bi-direcsional antara server authentikasi dan wireless client.

* Security Need

Memilihlah suatu solusi keamanan yang sesuai dengan anggaran dan kebutuhan organisasimu, keduanya untuk hari ni dan seterusnya. Wireless LAN memperoleh popularitas yang sangat cepat karena kemudahannya dalam pengimplementasian. Ini berarti bahwa wireless LAN yang dimulai dari sebuah access point dan 5 buah client dapat tumbuh dengan cepat menjadi 15 acces point dan 300 client. Mekanisme keamanan yang sama bekerja dengan baik untuk satu accses point tidak akan bisa diterima, atau dijamin untuk 300 user. Sebuah organisasi bisa membuang uang untuk solusi keamanan yang akan tumbuh dan berkembang dengan cepat seperti perkembangan wireless LAN.