WEP (Wired Equivalent Privacy)
WEP merupakan suatu algoritma enkripsi yang digunakan oleh shared key pada
proses autentikasi untuk memeriksa user dan untuk meng-enkripsi data yang
dilewatkan pada segment jaringan wireless pada LAN.
WEP digunakan pada
standar IEEE 802.11. WEP juga merupakan algoritma sederhana yang menggunakan
pseudo-random number generator (PRNG) dan RC4 stream cipher.
RC4 stream cipher
digunakan untuk decrypt dan encrypt.
Alasan
memilih WEP
WEP merupakan sistem
keamanan yang lemah. Namun WEP dipilih karena telah memenuhi standar dari 802.11 yakni
-
Exportable
-
Reasonably
strong
-
Self-Synchronizing
-
Computationally
Efficient
-
Optional
WEP
dimaksudkan untuk tujuan keamanan yakni kerahasiaan data, mengatur hak akses
dan integritas data. Selain WEP terdapat standar lain yakni standar 802.1x
yakni EAP atau VPN.
WEP Keys
WEP keys diimplementasikan pada client dan
infrastrukturnya digunakan pada Wireless LAN. WEP keys ini merupakan
alphanumeric character string yang memiliki dua fungsi pada Wireless LAN. Pertama,
WEP keys ini dapat digunakan untuk verifikasi identitas pada authenticating
station. Kedua, WEP keys dapat digunakan untuk data encryption.
WEP keys terdiri atas dua tipe, yakni tipe
64-bit dan tipe 128-bit. Untuk memasuki static WEP keys melalui client atau
infrastruktur seperti bridge atau access point adalah muda.
Berikut pada gambar 10.1 menunjukkan
konfigurasi program untuk memasuki WEP keys. Terkadang tampilan untuk memasuki
WEP keys berupa checkbox yang menyeleksi 40-bit atau 128-bit WEP. Terkadang
tampilannya bukan checkbox, oleh karena itu administrator harus mengetahui
berapa banyak karakter yang ditanyakan. Pada umumnya software client akan
mengijinkan untuk memasukkan WEP keys baik berupa format alphanumeric (ASCII)
ataupun hexadecimal (HEX)
Gambar
10.1 Memasuki WEP keys melalui client device
Static WEP Keys Untuk
mengimplementasikan static WEP keys ini kita harus mengatur secara manual WEP
key pada access point dan dihubungkan ke client. Pada gambar 10.2 ini untuk
memasuki WEP keys melalui infrastruktur.
Gambar
10.2 Memasuki WEP keys melalui infrastruktur
Centralized Encryption Key Servers
Centralized
encryption key servers ini digunakan atas dasar alasan-alasan berikut:
-
centralized
key generation
-
centralized
key distribution
-
ongoing
key rotation
-
reduced
key management overhead
Beberapa nomor dari
device yang berbeda dapat bertindak sebagai Centralized key server. Berikut ini
gambar Centralized Encryption Key Servers:
WEP Usage
Ketika WEP
diinisialisasi, paket data akan dikirimkan dengan menggunakan WEP untuk
meng-encrypt. Namun paket header data yang berisi MAC address tidak mengalami
proses encrypt. Semua layer 3 yang berisi source dan destination mengalami
encrypt.
Advanced Encryption Standard (AES)
AES merupakan pengganti algoritma RC4 yang
digunakan pada WEP. AES menggunakan algoritma Rijndale.
Filtering
Merupakan mekanisme keamanan dasar yang
digunakan untuk mendukunng WEP dan atau AES. Filtering memiliki arti menutup
semua hubungan yang tidak diijinkan dan membuka semua hubungan yang diijinkan.
Filtering terdiri dari tiga tipe dasar yang dapat diimplementasikan pada WLAN,
yakni:
-
SSID
Filtering
-
MAC
Address Filtering
-
Protocol
Filtering
SSID Filtering merupakan metode penyaringan/ filtering yang bersifat
elementer dan hanya digunakan untuk mengontrol hak akses. SSID merupakan nama
dari jaringan.
MAC Address Filtering merupakan metoda filtering untuk membatasi hak akses
dari MAC Address yang bersangkutan. Berikut ini adalah gambar yang menunjukkan
illustrasi MAC filters:
MAC filters ini
juga merupakan metode sistem keamanan yang baik dalam WLAN, karena peka
terhadap jenis gangguan seperti:
-
pencurian
pc card dalam MAC filter dari suatu access point
-
sniffing
terhadap WLAN
Protocol Filtering merupakan metoda yang memungkinkan WLAN dapat menyaring
paket-paket yang melalui jaringan dari layer 2 hingga layer 7. Berikut
illustrasi dari protocol filtering:
Attack On Wireless LAN
Seorang
hacker dapat melakukan beberapa tindakan yang tujuannya adalah untuk memperoleh
hak akses secara paksa dari suatu WLAN. Beberapa metoda yang digunakan
hackerantara lain:
-
Passive
attack (eavesdropping)
-
Active
attack
-
Jamming
attack
-
Man
in the middle attack
Passive attack
Eavesdroping merupakan penyerangan ke WLAN
yang paling sederhana dan efektif. Metode ini tanpa meninggalkan jejak dari
hacker itu sendiri. Berikut contoh illustrasi dari Passive attack:
Active
attack
Merupakan metode hacking yang memungkinkan seseorang mendapat hak akses
yang digunakan untuk tujuan merusak. Dengan metode ini memungkinkan hacker
dapat mengacak-acak data pada jaringan. Berikut contoh illustrasi dari Active
attack:
Jamming attack
Merupakan metode yang dapat mematikan supply tegangan pada suatu jaringan.
Contohnya:
Man in the middle attack
Metode yang juga dikenal dengan istilah membajak. Berikut contoh
illustrasinya:
Emerging Security Solution
Karena WLAN tingkat keamanannya rendah, dan karena mekanisme keamanan WEP
pada end-to-end buruk. Maka digunakan standar IEEE 802.1x.
WEP Key Management
Dengan menggunakan WEP sebagai sistem keamanan maka akan dengan mudahnya
hacker menembus sistem keamanan tersebut.
Solusinya adalah
dengan memberi WEP key untuk setiap paketnya.
Wireless VPN
Merupakan salah satu teknologi
yang berguna dalam keamanan koneksi
pada Wireless LAN. Software yang
digunakan untuk membangun VPN antara lain PPTP dan IP Sec. Berikut illustrasi
VPN:
Key Hopping Technologies
Merupakan teknologi
yang memberikan solusi atas kelemahan WEP.
Temporal Key Integrity Protocol (TKIP)
Merupakan protokol yang membantu
meningkatkan kerja dari WEP. TKIP digunakan untuk inisialisasi vektor (IV) dan
menangani paket pasif yang mengalami proses snooping.
Solusi yang bedasarkan
AES
Solusi yang didasarkan AES mungkin akan
menggantikan WEP yang mengunakan RC4, tetapi sementara solusi seperti TKIP
sedang diterapkan. Walaupun sekarang ini dipasaran tidak ada produk yang
menggunakan AES, tetapi tetapi beberapa penjual telah memiliki produk ini hanya
tinggal menunggu keputusan release nya saja. AES memiliki tinjauan yang luas
sehungga sangat effisien bagi harware dan software. Kosep 802.11i adalah konsep
untuk penggunaan AES, dan merupakan sebuah pertimbangan bagi pemain industri
Wierless LAN. AES sepertinya merupakan sebuah penyeleseian standart.
Teknik perubahan enkripsi data
merupakan sebuah solusi yang penting, AES akan menbuat dampak penting pada
sistem keamanan WLAN, tetapi masih ada solusi yang msih bisa diimplementasikan
pada jaringan enterprise, contohnya memusatkan encryption key server untuk
mengotomatisasi handling out key. Jika radio cart pelanggan hilang, dengan AES
enkripsi didalamnya, hal ini tidak akan berpengaruh, karena pencurinnya tidak
bisa mengakses jaringan.
Wireless Gateway
Residential wireless gateway
sekarang tersedia dengan teknologi VPN, seperti NAT, DHCP, PPPoE, WEP, MAC
Filter dan bahkan sebuah built in firewall. Device ini cocok untuk kantor kecil
atau lingkungan rumah dengan beberapa komputer dan jaringan ke internet. Biaya
dari unit ini sangat tergantung pada servis yang ditawarkan. Beberapa dari unit
hi-n bahkan mempunya static routing dan RIP v2.
Enterprise Wireless gateway
adalah sebuah adaptasi spesial dari VPN dan server authehtikasi untuk jaringan
wireless. Sebuah enterprise gateway
berada dalam segmen jaringan kabel antara
akses point dan jaringan wired akstrim. Sesuai namanya, sebuah gateway
mengontrol akses dari wireless Lan ke jaringan wired, sehingga ketika seorang
hacker mendapatkan akses ke segmen wireless, gateway akan melindungi sistem
distribusi jaringan wired dari serangan.
Sebuah contoh dari waktu yang tepat
untuk membangun sebuah enterprise wireless line gateway mungkin dapat dilihat
pada situasi berikut. Anggaplah sebuah rumah sakit mempunyai 40 akses point
dalam gedungnya. Investasi mereka pada akses point cukup penting, sehingga jika
akses point tidak mendukung ukuran keamanan, rumah sakit bisa dalam keadaan
yang sulit/bahaya dan harus mengganti semua akses point mereka. Malahan, rumah
sakit dapat membangun sebuah wireless line gateway.
Gateway ini dapat terhubung antara
core switch dan distribution switch (yang terhubung pada akses point) dan dapat
berfungsi sebagai sebuah authentikasi dan VPN server pada jaringan yang
terhubung dengan semua wireless LAN client. Malahan daripada membangun seluruh
akses point baru satu (atau lebih tergantung dari kebutuhan jaringan) gateway
device dapat di install dibelakang semua akses point sebagai sebuah group.
Kegunaan dari tipe gateway ini adalah untuk menyediakan keamanan untuk
kepentingan sebuah akses point yang tidak aman. Sebagian besar
entreprise wireless gateway mendukung sebuah array dari protokol VPN seperti
PPTP, IP Sec, L2TP, Sertificate, dan bahkan QoS berdasarkan profile.
802.1x and Extensible Authentication Protocol
standart 802.1x menyediakan spesifikasi
untuk akses control jaringan port-based. Akses kontrol port-based sebenarnya –
dan masih – digunakan dengan eterneth switch. Ketika sebuah user mencoba untuk
terhubung ke port ethernet, port kemudian menempatkan koneksi user pada bloked
mode untuk menunggu verifikasi dari identitas user dengan sebuah sistem
authentikasi back end.
Protokol 802.1x telah dipergunakan
pada banyak sistem wireless LAN dan hampir menjadi sebuah latihan standart pada
banyak vendor. Ketika dikombinasikan dengan Extensible Authentication Protocol (IEP), 802.1x dapat menyediakan sebuah
lingkungan yang fleksibel dan sangat aman berdasarkan berbagai macam skema
authentikasi yang digunakan sekarang.
IEP, yang dulunya
didefinisikan untuk point to point protokol (ppp), adalah sebuah protocol untuk
bernegosiasi dengan metode authentikasi. IEP diterangkan pada RFC 2284 dan
mendefinisikan karakteristik dari metode authentikasi termasuk informasi user
yang dibutuhkan (pasword, sertifikat, dll), protokol yang digunakan (MD5, TLS,
GSM, OTP, dll), dukungan dari igeneration, dan dukungan dari mutu authentikasi.
Mungkin terdapat beberapa tipe EAP yang berada dipasar sejak IEEE dan pelaku
industri membuat persetujuan pada setiap single type,atau beberapa tipe lain
untuk menciptakan sebuah standart.
Corporate
Security Police
Sebuah perusahaan seharusnya
memiliki sebuah hubungan dengan security police yang menunjukan resiko yang
unik yang ditunjukkan WLAN terhadap suatu jaringan. Contoh, dari sebuah ukuran
sel yang tidak tepat yang memperkenankan hacker untuk mengambil keuntungan
akses jaringan pada area parkir adalah contoh yang sangat bagus dari sebuah
item yang seharusnya termasuk dalam beberapa hubungan security police. Hal lain
yang perlu diperhatikan dalam security police adalah pasword yang baik, WEP
yang bagus keamanan secara fisik penggunaan solusi keamanan yan bagus dan
keteraturan perlengkapan hardware pada wireless LAN. Semua itu jauh dari
sempurna mengingat solusi keamanan yang akan mengalami perubahan diantara
organisasi-organisasi. Luasnya pembahasan security policy pada wireless LAN
akan bergantung pada perlengkapan securitas dari organisasi seperti halnya luas
dari daerah wireless LAN pada suatu jaringan.
Keep Sensitive Informatio Private
Beberapa hal yang seharusnya
diketahui hanya oleh administrator jaringan pada level yang tepat adalah :
1.
username
dan password dari access point dan bridge
2.
SNMP
strings
3.
WEP
keys
4.
dafta
MAC address
Point penting untuk
menjaga informasi ini hanya ditangan orang yang terpercaya. Kemampuan
individual seperti administrator jaringan sangat penting karena seorang hacker
akan sangat mudah mengunakan bagian informasi tersebut untuk mengambil
keuntungan pada akses jaringan.
Physical Security
Walaupun saat physical security
menggunakan jaringan wired tradisional sangat penting tapi akan lebih penting
lagi perusahaan yang menggunakan teknologi wireless LAN. Untuk alasan yang
telah dibahas diawal seseorang yang memiliki sebuah wireless PC card (dan
mungkin sebuah antena) tidak dapat berada dalam gedung yang sama, seperti
halnya suatu jaringan mengambil keuntungan akses pada jaringan yang lain.
Bahkan software pendeteksi gangguanpun tak sepenuhnya cukup untuk mencegah
hacker wireless LAN untuk melakukan pencurian informasi sensitif/penting.
Serangan pasif tidak meninggalkan jejak, karena tidak adanya koneksi yang
dibuat. Sekarang semua itu merupakan kebutuhab pasaran yang dapat menunjukkan
network card dengan mode yang menjanjikan, mengakses data tanpa membuat
koneksi.
Inventaris Peralatan
Wireless LAN dan Security Audits
Sebagai
bagian dari physical security policy, semua peralatan Wireless LAN seharusnya
secara teratur dicatat disahkan dan mencegah penggunaan peralatan WLAN yang
tidak sah untuk mengakses organization’s network. Jika jaringan terlalu besar dan berisi sejulah
peralatan Wireless yang penting, maka inventori peralatan secara berkala sangat
tidak praktis. Jika masalahnya seperti ini, penyeleseian kemanan Wireless LAN
sangat penting untuk diimplementasikan, yang tidak berdasar pada hardware
tetapi berdasar pada username dan password atau beberapa tipe yang bukan
hardware-based peneleseian keamanan.
Menngunakan penyeleseian keamanan tingkat lanjut
Organisasi yang menerapkan WLAN
seharusnya mengambil keuntungan dari mekanisme keamanan yang lebih maju yang
sudah tersedia dipasaran saat ini. Ini juga diperlukan suatu kebijakan keamanan
yang mengimplementasikan tentang segala sesuatu yang mengedepankan mekanisme
keamanan secara menyeluruh. Karena ini merupakan teknologi baru, hak milik, dan
sering juga digunakan dalam kombinasi dengan protokol keamanan yang lain,
mereka harus mendokumentasikannya, sehingga jika terjadi suatu pelanggaran
keamanan, network administrator dapat menentukan dimana dan bagaiman
pelanggaran itu terjadi.
Publik Wireless Network
Ini sangat mutlak bahwa mereka
(corporate users) dengan informasi yang sensitif pada komputer mereka akankah
terhubung dengan publik wireless LAN. Ini seharusnya menjadi masalah bagi
kebijakan peusahaan bahwa semua pengguna wireless berjalan di keduanya, yaitu
sofware firewall pribadi dan antiviral sofware pada labtop mereka. Kebayakan
publik wireles network hanya memiliki sedikit atau bahkan tanpa pengamanan pada
saat membuat hubungan/konektifitas sederhana bagi pengguna dan mengurangi
jumlah pendukung teknis diperlukan.
Limited dan Tracked Access
Kebanyakan perusahaan LAN memiliki
beberapa metode dalam membatasi tracking akses pengguna pada LAN. Secara
khusus, sistem pendukung servis authentikasi, Authorisasi, dan Laporan
dipekerjakan. Tindakan pengamanan yang sama ini seharusnya didokumentasikan dan
diterapkan sebagai bagian dari keamanan Wierless LAN. AAA servis akan
menizinkan perusahaan untuk menempatkan penggunaan yag tepat ke kelas user
tertentu. Pengunjung (misalnya) hanya boleh mengakses internet, sedangkan
karyawan diperbolehkan mengakses data-data departemen dan juga mengakses
intenet.
Rekomendasi keamanan
Sebagai ringkasan pada bab ini , di bawah adalah beberaparekomendasi
untuk pengamanan wireless LAN.
WEP
Jangan semata-mata hanya percaya
pada WEP, tidak perduli sebaaik-baiknya kamu mengimplementasikan sebuah solusi
keamaan wireless LAN end to end. Suatu peralatan wireless LAN dilindungi hanya
dengan WEP hal itu bukan suatu jaminan. Ketika menggunakan WEP, jangan
menggunakan WEP keys yang dihubungkan ke SSID atau ke organisasi. Membuat WEP
keys sangat sulit untuk di ingat di dibawa keluar. Pada banyak kasus, WEP key
dapat dengan mudah ditebak hanya dengan melihat SSID atau nama dari organisasi.
Cell Cizing
Dalam rangka mengurangi kesempatan eavesdropping, administrator harus yakin
bahwa cell size dari aksess point adalah tepat. Mayoritas hackers mencari
penempatan di mana sangat kecil energi dan waktu harus dihabiskan untuk
memperoleh akses ke dalam jaringan tersebut. Karena alasan ini, adalah penting
untuk tidak mempunyai access point yang memancarkan sinyal yang kuat yang
meluas keluar daearh organisasi/perusahan kecuali jika perlu. Beberapa
enterprise-level access point mengizinkan menkonfigurasi power output, yang
mana secara efektif mengendalikan ukuran dari RF cell disekitar access point.
Jika pembajak berada diarea perusahaan tidak dapat mendeteksi jaringanmu,
kemudian jaringanmu tidak akan terbajak.
User Authentication
Sejak user authentication adalah
sebuah wireless LAN paling lemah, dan standart 802.11 tidak menetapkan metode
apapun dari user authentikasi, ini sangat penting bahwa administrator secepat
mengimplementasikan user-based authentikasi pada saat instalasi infrastruktur
wireless LAN. User authentiksi harus berdasar pada rencana device-independent
seperti, username dan password, biometric, smart card, sistem token-based, atau
beberapa tipe yang lain dari alat keamanan yang mengidentifikasi user, bukan
pada hardware. Solusi yang kamu terapkan seharusnya didukung authentikasi
bi-direcsional antara server authentikasi dan wireless client.
Security Need
Memilihlah suatu solusi keamanan
yang sesuai dengan anggaran dan kebutuhan organisasimu, keduanya untuk hari ni
dan seterusnya. Wireless LAN memperoleh popularitas yang sangat cepat karena
kemudahannya dalam pengimplementasian. Ini berarti bahwa wireless LAN yang
dimulai dari sebuah access point dan 5 buah client dapat tumbuh dengan cepat
menjadi 15 acces point dan 300 client. Mekanisme keamanan yang sama bekerja
dengan baik untuk satu accses point tidak akan bisa diterima, atau dijamin
untuk 300 user. Sebuah organisasi bisa membuang uang untuk solusi keamanan yang
akan tumbuh dan berkembang dengan cepat seperti perkembangan wireless LAN. Pada
banyak kasus, organisasi sudah memiliki keamanan ditempatnya seperti sistem
deteksi gangguan, firewall, dan RADIUS server. Ketika memutuskan pada sebuah
solusi wireless LAN, maka peralatan yang ada menjadi pengaruh yang sangat
penting dalam penurunan biaya.
Use additional security tool
Mengambil keuntungan dari teknologi
yang ada tersedia, seperti VPNs, firewalls, intrusion detection systems (IDS),
standart dan protokol seperti 802.1x dan EAP, dan client authentication dengan
RADIUS dapat membantu membuat solusi wireless diatas dan melebihi standart
802.11 yang dibutuhkan. Biaya dan waktu untuk mengimplementasikan solusi ini
sangat dianjurkan dari SOHO solution dan solusi perusahaan besar.
Monitoring for Rogue Harware
Untuk mengetahui penjahat accsess
point, access point regular sesi penemuan seharusnya dijadwal tetapi tidak
diumumkan. Dengan aktif menemukan dan memindahkan penjahat access point akan
seperti menjauhkan hacker dan mengizinkan administrator untuk merawat control
jaringan dan keamanan. Pemeriksaan keamanan secara regular harus dilakukan
untuk menempatkan configurasi access point yan salah, dapat menjadi resiko
keamanan. Tugas ini bisa dilakukan selagi mengawasi jaringan dari kejahatan
penjahat access point adalah bagian dari suatu keamanan reguler yang rutin.
Kini, konfigurasiharus dibandingkan denga konfigurasi yang lama dalam rangka
untuk melihat jika hacker telah meng konfigurasi ulang access point. Penguncian
access harus diterapkan dan dimonitor bertujuan untuk menemukan semua access
yang tidak beraturan pada segmen wireless. Type pengawasan ini bahkan dapat
membantu menemukan hilangnya atau tercurinya peralatan wireless client.
Switches, not hub
Petunjuk sederhana yang lain untuk mengikuti selalu menghubungkan accsess
point ke switch malahan ke hub. Hub adalah peralatan broadcast, jadi setiap
paket yang diterima oleh hub akan dikirimkan ke semua port hub yang lain. Jika
access point terhubung dengan hub, kemudian setiap paket dikirim melalui segmen
wired akan di broadcast menyeberangi segmen wireless. Kemampuan ini memberi
informasi tambahan kepada hacker seperti pasword dan ip address.
Wireless DMZ
Ide yang lain untuk menerapkan
keamanan untuk segmen wireless LANadalah menciptakam WDMZ. Membuat WDMZ ini
menggunakan firewall atau router biayanya dapat bergantung pada level
implementasi. WDMZS biasanya diterapkan di medium dan large-scale LAN
deployments. Karena pada dasarnya access point adalah alat yang tidak aman dan
tidak dipercaya, mereka harus terpisah dari segmen jaringan lain oleh perlatan
firewall. Dapat digambarkan pada gambar 10.13 dibawah ini.
Firmware & Software Updates
Updetelah firmware dan driver
pada access point dan wireless card anda. Merupakan keputusan yang tepat untuk
menggunakan firmware dan driver terbaru pada access point dan wireless card anda.
Perusahaan-perusahaan sangat biasa mengalami kesulitan untuk mengetahui isu,
security hole dan mengaktifkan fitur baru dengan melkukan update tersebut
Tidak ada komentar:
Posting Komentar