Pengamanan Wireless Access Point


 Daerah diantara Access point dengan pengguna merupakan daerah dengan kemungkinan gangguan keamanan paling tinggi dari jaringan nirkabel. Daerah ini merupakan daerah bebas, dimana komunikasi data dilakukan melalui frekuensi radio sehingga berbagai gangguan keamanan dapat terjadi di sini. Secara umum gangguan keamanan yang ada di daerah antara Access point dengan pengguna adalah: otentikasi dan eavesdroping (penyadapan). Access point harus bisa menentukan apakah seorang pengguna yang berusaha membangun koneksi ke jaringan tersebut memiliki hak akses atau tidak dan juga berusaha agar komunikasi dengan pengguna dilakukan secara aman. Selama ini ada beberapa teknik yang digunakan untuk mendukung keamanan Access point, antar lain: Service Set ID (SSID), Wired Equivalent privacy (WEP), MAC addresss, dan Extensible Authentication Protocol (EAP). Pada umumnya teknik-teknik tersebut tidak berdiri sendiri, melainkan dikombinasikan dengan teknik-teknik lainnya.
Untuk pengamanan jaringan, faktor yang sangat penting adalah pemilihan Access point yang baik. AP merupakan hal pertama yang perlu kita perhatikan dalam mengkonfigurasi keamanan jaringan wireless.
Hal pertama yang perlu kita pertimbangkan adalah kelancaran dan kekuatan sinyal serta penempatan access point. Untuk kelancaran sinyal, hal yang perlu diperhatikan adalah objek logam, rentang jarak, konstruksi gedung, jendela kaca dan material lain yang mempengaruhi kekuatan sinyal.
Komponen kedua adalah access point itu sendiri; lebih baik menamakan access point dengan tepat sehingga bisa ditelusuri dengan mudah jika terjadi troubleshooting. Access point harus dipasang di lokasi yang potensial untuk layanan yaitu tempat yang biasanya mudah dijangkau oleh user. Jika access point diletakkan di luar, maka peralatan tersebut harus diletakkan di tempat yang aman, dengan resiko kerusakan yang kecil.
Pada gambar 3 di bawah ini memperlihatkan output tools Kismet, yang menangkap keragaman jaringan. Attacker (penyerang) membuat sebuah access point yang memiliki nama (SSID dan MAC addresss) yang sama dengan yang ada di jaringan wireless yang sebenarnya. Access point yang palsu bisa saja memiliki sinyal yang lebih kuat yang mungkin jika si penyerang lebih dekat dengan target. Biasanya pemancar akan secara otomatis memilih access point, yang sinyalnya lebih kuat, sehingga target menjadi bingung dan memilih access point yang salah. Access point palsu tersebut dikenal dengan istilah rogue access point yang biasanya dimiliki oleh orang /organisasi yang tidak berhak menggunakan jaringan wireless. Access point tidak bisa mencegah adanya rogue access point.

Memperkuat Pengamanan WLAN
Hal-hal yang perlu diperhatikan dalam memperkuat pengamanan WLAN khususnya Access point :
  • Sebaiknya tidak menggunakan WEP untuk enkripsi.
    WEP kurang aman, karena WEP tidak didesain untuk memberikan solusi pengamanan legkap untuk jaringan wireless. Jangan menggunakan WEP sebagai solusi keamanan. Gunakan WEP dikombinasikan dengan standar eknripsi lain untuk jaringan insecure lain seperti virtual private networks. Gunakan pengamanan level aplikasi seperti PGP untuk data penting.
  • Memisahkan Jaringan Wireless dengan LAN
    WLAN menghadirkan tantangan keamanan yang berbeda dengan jaringan kabel LAN. WLANs biasanya kurang aman. Jangan biarkan adanya trafik diantara WLAN dan LAN di lingkungan yang dipercaya. Tempatkan firewall internal antara LAN dan WLAN, dan pastikan adanya autentikasi sebelum adanya trafik antara keduanya.
  • Jangan menggunakan nama yang deskriptif untuk SSID atau Access point
    SSID and dan nama AP yang digunakan tidak dienkripsi pada paket data header 802.11x. Meskipun WEP dibuat enable, scanner WLAN dengan mudah menampilkan nama tersebut. Memberikan nama yang deskriptif seperti nama perusahaan, membuat pekerjaan seorang hacker menjadi lebih mudah untuk mengidentifikasi sumber sinyal.
  • Daftarkan MAC addresss yang bisa menggunakan AP
    Banyak pabrik pembut AP yang memberikan kemampuan untuk mengidentifikasi MAC addresss dari kartu jaringan yang boleh menggunakan AP. Daftar MAC addresss yang berhak harus terus dijaga, tapi upaya pemeliharaan tersebut memberikan peningkatan keamanan. Ketika seorang hacker bisa mengidentifikasi AP dan secara pasif melakukan traffic sniff, maka dia tidak akan bisa terkoneksi ke host di jaringan tanpa mencuri MAC addresss yang sah.
  • Rubah Kunci Enkripsi secara Periodik
    Merubah kunci enkripsi secara periodik tidak akan mencegah bahaya kunci WEP karena seorang penyerang bisa mengcrack kunci hanya dalam hitungan jam. Tetapi, perubahan kunci enkripsi akan membuat ancaman terhadap jaringan tidak akan bertahan selamanya. Seorang hacker selalu bisa mengcrack kunci enkripsi untuk kedua kalinya, tapi dengan merubah kunci akan menghambat sang hacker. Sayangnya, perubahan kunci akan memakan waktu baik bagi bagi AP dan setiap NIC wireless yang menggunkan AP harus dirubah secara manual. Implementasi dari rekomendasi ini tergantung pada nilai keamanan dan waktu layanan. Untungnya, beberapa vendor telah memperkenalkan solusi manajemen kunci otomatis dan 802.11i Task Group terus bekerja untuk membuat satndar.
  • Disable Beacon Packet
    Beberapa AP menyediakan pilihan yang mencegah AP untuk mengumumkan keberadaanya melalui beacon packet secara periodik. AP tersebut mengharuskan wireless network cards untuk menggunakan SSID yang sama sebelum mereka merespon traffic. Bentuk ini mencegah hacker bisa melihat AP menggunakan WLAN scanning tools.
  • Tempatkan AP di tengah
    Ketika merencanakan pemasangan AP di kantor, pertimbangkan range broadcast-nya. Pastikan sinyal cukup kuat untuk menjangkau semua tempat penting dalam gedung, tapi tidak membroadcast traffic ke tempat parkir atau ke kantor tetangga.
  • Rubah Password / IP addresss standar
    Kebanyakan AP dibuat dengan fasilitas web server yang memungkinkan fasilitas console sebagai administrator. Tetapi sayangnya, hal ini juga memungkinkan seorang attacker dengan media wireless ataupun melalui kabel jaringan untuk mengakses console administrator AP dengan membuka web browser dan menuju ke alamat IP yang mengacu pada AP. Rubah alamat IP dan authentication credentials untuk AP. Alamat IP standar and authentication credentials sangatlah mudah didapat dengan mendownload dokumentasi pendukung dari web site vendor. WLAN scanning tool seperti NetStumbler, mengidentifikasi vendor hardware dengan membandingkan MAC addresss yang di-broadcast dengan daftar di IEEE. Jika seorang attacker bisa mengakses console admnistrator AP dan password standarnya tidak dirubah, maka si attcker bisa mendisablekan semua seting keamanan atau bisa mengakibatkan denial of service dengan merubah setingan misalnya channel atau SSID. Hal ini mencegah client menggunakan access point.
  • Hindari kelemahan kunci WEP
    Vendor mulai menyediakan produk upgrade untuk produk 802.11b yang menggunakan IV yang juga disebut interesting packets (aka weak keys) yang ditujukan untuk tools seperti AirSnort. Hal ini akan efektif jika semua produk wireless di jaringan di upgrade sebagai stasiun transmisi yang selalu menentukan IV yang digunakan.
  • Jangan menggunakan DHCP pada WLAN
    Untuk mengakses host yang menjadi target, seorang hacker membutuhkan IP addresss yang valid serta subnet mask pada WLAN. Meskipun untuk mengindentifikasi IP addresss yang valid di suatu jaringan tidak terlalu susah, tapi dengan begitu kita tidak terlalu memudahkan hacker. Tanpa DHCP, mengindentifikasi alamat IP membutuhkan sniffing traffic yang secara pasif memeriksa dan menangkap paket. Seorang hacker juga menggunakan metoda brute force, sebagai batasan range dari nomor private addresss. Singkatnya, seorang hacker bisa mengindentifikasi alamat yang valid dan subnet mask meskipun DHCP ada ataupun tidak, tapi alamat IP statis merupakan salah satu penangkal yang mungkin mengakibatkan seorang hacker berpindah untuk mencari jaringan yang lebih kurang aman.
  • Identifikasi Rogue Access point
    P
    ada perusahaan besar, end users bisa lebih mengkuatirkan dengan menyebarkan hardware atau software mereka. Hanya seorang karyawan perusahaan yang menginstal modem untuk memungkinkan remote access dari rumah, karyawan tersebut juga mungkin menambahkan jaringan wireless untuk surfing web. Harga yang murah untuk alat-alat yang dibutuhkan dan kemudahan instalasi menjadi masalah besar bagi administrator jaringan.

Previous
Next Post »