Jaringan
hotspot wi-fi yang menggunakan media udara menyebabkan banyak kelemahan di
jaringan wireless hotspot jika dibandingkan penggunaan jaringan kabel contohnya
keamanan data yang dilewatkan diudara maupun masalah interferensi. Masalah
keamanan data ini timbul karena media udara adalah media publik dimana siapapun
orang bisa masuk ke dalamnya secara bebas.
Karena
jaringan wireless merupakan jaringan yang memiliki topologi terbuka,
maka
harus lebih diperhatikan masalah keamanannya. Secara minimal, sekuritas dalam
WLAN
menggunakan sistem SSID (Service Set Identifier), sedangkan untuk lebih aman,
digunakan metode enkripsi agar lalu lintas data tidak dapat dibaca oleh pihak
luar. Jenis authentikasi ada bermacam-macam, yaitu Open System, Shared Key,
WPA-PKS,
WPA2 –
PSK, dan 802.1X / EAP.
Keamanan
pada jaringan wireless hotspot ini dimulai dengan standar yang dikeluarkan ieee
yaitu standar 802.11 lalu semakin diperbaiki kelemahan nya dengan mengeluarkan
standar – standar berikutnya.
Standar
– standar tersebut memilki metode - metode authentikasi yang berbeda, seiring
dengan berkembangnya teknologi wireless.
Standar
802.11
1. Open System Authentication
Pada
open system authentication ini, bisa dikatakan tidak ada ”authentication” yang
terjadi karena client bisa langsung terkoneksi dengan AP (Access point).
Setelah
client melalui proses open system authentication dan Association, client
sudah diperbolehkan mengirim data melalui AP namun data yang dikirim tidak akan
dilanjutkan oleh AP kedalam jaringannya.
Bila
keamanan WEP diaktifkan, maka data-data yang dikirim oleh Client
haruslah dienkripsi dengan WEP Key. Bila ternyata setting WEP Key di client
berbeda dengan setting WEP Key di AP (Access Point) maka AP
tidak akan menggenal data yang dikirim oleh client yang
mengakibatkan data tersebut akan di buang (hilang).
Jadi
walaupun client diijinkan untuk mengirim data, namun data tersebut tetap tidak
akan bisa melalui jaringan AP bila WEP Key antara Client dan AP ternyata tidak
sama.
2. Shared Key Authentication (WEP)
Lain
halnya open system authentication, Shared Key Authentication mengharuskan
client untuk mengetahui lebih dahulu kode rahasia (passphare key) sebelum
mengijinkan terkoneksi dengan AP. Jadi apabila client tidak mengetahui ”Key”
tersebut maka client tidak akan bisa terkoneksi dengan Access Point.
Pada
Shared Key Authentication, digunakan juga metode keamanan WEP. Pada proses
Authenticationnya, Shared Key akan ”meminjamkan” WEP Key yang digunakan oleh
level keamanan WEP, client juga harus mengaktifkan WEP untuk menggunakan Shared
Key Authentication.
WEP
menggunakan algoritma enkripsi RC4 yang juga digunakan oleh protokol https.
Algoritma ini terkenal sederhana dan mudah diimplementasikan karena tidak
membutuhkan perhitungan yang berat sehingga tidak membutuhkan hardware yang
terlalu canggih.
Pengecekan
WEP Key pada proses shared key authentication dilakukan dengan metode Challenge
and response sehingga tidak ada proses transfer password WEP Key.
Metode
yang dinamakan Challenge anda Response ini menggantikan pengiriman password
dengan pertanyaan yang harus dijawab berdasarkan password yang diketahui.
Prosesnya
sebagai berikut:
Client
meminta ijin kepada server untuk melakukan koneksi.
Server
akan mengirim sebuah string yang dibuat secara acak dan mengirimkanya kepada
client.
Client
akan melakukan enkripsi antara string/ nilai yang diberikan oleh server dengan
password yang diketahuinya. Hasil enkripsi ini kemudian dikirimkan kembali ke
server.
Server
akan melakukan proses dekripsi dan membandingkan hasilnya. Bila hasil dekripsi
dari client menghasilkan string/nilai yang sama dengan string/nilai yang
dikirimkan oleh server, berarti client mengetahui password yang benar.
Berdasarkan cara kerja
dari Shared Key Authentication, level keamanan ini terlihat
lebih baik baik dan jauh lebih aman daripada level keamanan yang di tawarkan
oleh Open System Authentication.
Tetapi permasalahan utama
yang terjadi adalah Shared Key Authentication meminjam WEP Key
yang merupakan “rahasia” yang harus dijaga.
Metode Challenge and
Response mengirim sebuah string acak kepada computer client yang dengan mudah
bisa di lihat oleh hacker, demikian juga hasil enkripsi yang dikirimkan kembali
dari client ke AP.
Akibatnya adalah Plaintext
dan enkripsi (ciphertext) sudah diketahui oleh hacker. walaupun bukan WEP Key
yang didapatkan namun hasil yang di dapat ini merupakan sebuah contah dari
hasil enkripsi dari sebuah string. Dengan mengumpulkan banyak contoh semacam
ini, maka dengan mudah WEP Key bisa didapatkan. Ini lah cara bagaimana hacker
bisa mengcrack WEP Key. Metode Shared Key Authentication akhirnya
bukan mengamankan wireless namun menjadi pintu masuk bagi hacker untuk
mengetahui WEP Key yang digunakan.
Oleh karena itu, pakar
keamanan menyarankan lebih baik untuk menggunakan Open System Authentication
yang disertai dengan Enkripsi agar hacker tidak mendapatkan contoh plaintext
beserta ciphertext.
Kesimpulannya Level
keamanan Open System Authentication lebih baik daripada Shared Key
Authentication bila di implentasikan dengan benar.
3. WPA
Pre-Shared Key (WPA Personal)
WPA-PSK (Wi-Fi Protected Access – Pre Shared Key) adalah
pengamanan jaringan nirkabel dengan menggunakan metoda WPA-PSK jika tidak ada
authentikasi server yang digunakan. Dengan demikian access point dapat
dijalankan dengan mode WPA tanpa menggunakan bantuan komputer lain sebagai
server. Cara mengkonfigurasikannya juga cukup sederhana. Perlu diketahui bahwa tidak
semua access point akan mempunyai fasilitas yang sama dan tidak semua access
point menggunakan cara yang sama dalam mendapatkan Shared-Key yang akan
dibagikan ke client.
Pada access point Dlink DWL-2000AP, pemberian Shared-Key dilakukan secara manual tanpa mengetahui algoritma apa yang digunakan. Keadaan ini berbanding terbalik dengan akses point Linksys WRT54G, dimana administrator dapat memilih dari dua algoritma WPA yang disediakan, yang terdiri dari algoritma TKIP atau algoritma AES.
Setelah Shared-Key didapat, maka client yang akan bergabung dengan access point cukup memasukkan angka/kode yang diijinkan dan dikenal oleh access point. Prinsip kerja yang digunakan WPA-PSK sangat mirip dengan pengamanan jaringan nirkabel dengan menggunakan metoda Shared-Key.
Pada access point Dlink DWL-2000AP, pemberian Shared-Key dilakukan secara manual tanpa mengetahui algoritma apa yang digunakan. Keadaan ini berbanding terbalik dengan akses point Linksys WRT54G, dimana administrator dapat memilih dari dua algoritma WPA yang disediakan, yang terdiri dari algoritma TKIP atau algoritma AES.
Setelah Shared-Key didapat, maka client yang akan bergabung dengan access point cukup memasukkan angka/kode yang diijinkan dan dikenal oleh access point. Prinsip kerja yang digunakan WPA-PSK sangat mirip dengan pengamanan jaringan nirkabel dengan menggunakan metoda Shared-Key.
4. WPA2
Pre-Shared Key (WPA2 Personal)
Group 802.11i akhirnya
menyelesaikan metode keamanan yang awalnya ditugaskan dari IEEE. Level keamanan
ini kemudian dinamakan sebagai WPA2.
WPA2
merupakan Level keamanan yang paling tinggi. Enkripsi utama yang digunakan pada
WPA2 ini yaitu enkripsi AES. AES mempunyai kerumitan yang lebih
tinggi daripada RC4 pada WEP sehingga para vendor tidak sekedar upgrade
firmware seperti dari WEP ke WPA. Untuk menggunakan WPA2 diperlukan
hardware baru yang mampu bekerja dengan lebih cepat dan mendukung perhitungan
yang dilakukan oleh WPA2.
Sehingga
tidak semua adapter mendukung level keamanan WPA2 ini.
5. WPA Enterprise / RADIUS ( 802.1X / EAP )
Metode
keamanan dan algoritma enkripsi pada WPA Radius ini sama saja dengan
WPA Pre-Shared Key, tetapi authentikasi yang digunakan berbeda.
Pada
WPA Enterprise ini menggunakan authentikasi 802.1X atau EAP (Extensible
Authentication Protocol ). EAP merupakan protokol layer
2 yang menggantikan PAP dan CHAP.
Spesifikasi
yang dibuat oleh IEEE 802.1X untuk keamanan terpusat pada jaringan hotspot
Wi-fi. Tujuan standar 8021x
IEEE adalah untuk menghasilkan kontrol
akses, autentikasi, dan manajemen kunci
untuk wireless LANs.
Spesifikasi
ini secara umum sebenarnya ditunjukan untuk jaringan kabel yang menentukan
bahwa setiap kabel yang dihubungkan ke dalam switch harus melalui proses
auntetikasi terlebih dahulu dan tidak boleh langsung memperbolehkan terhubung
kedalam jaringan.
Pada
spesifikasi keamanan 802.1X, ketika login ke jaringan wireless maka Server yang
akan meminta user name dan password dimana ”Network Key” yang digunakan oleh
client dan AP akan diberikan secara otomatis sehingga Key tersebut tidak perlu
dimasukkan lagi secara manual.
Setting
security WPA enterprise/corporate ini membutuhkan sebuah server khusus yang
berfungsi sebagai pusat auntentikasi seperti Server RADIUS (Remote
Authentication Dial-In Service) . Dengan adanya Radius server ini,
auntentikasi akan dilakukan per-client sehingga tidak perlu lagi memasukkan
passphrase atau network key key yang sama untuk setiap client. “Network
key” di sini diperoleh dan diproses oleh server Radius tersebut.
Fungsi Radius server adalah
menyimpan user name dan password secara
terpusat yang akan melakukan autentikasi client yang hendak login kedalam
jaringan.
Sehingga
pada proses authentikasi client menggunakan username dan password.
Jadi
sebelum terhubung ke wireless LAN atau internet, pengguna
harus melakukan autentikasi telebih dahulu ke server tersebut.