Standar Keamanan Wireless LAN - Implementasi sistem wireless security dan manajemen bandwidth b

BAB I PENDAHULUAN

B. Standar Keamanan Wireless LAN

Merupakan teknik keamanan pada wireless dengan cara mengenkripsi data yang lewat media wireless. Berdasarkan pada standar IEEE 802.11 WEP menggunakan algoritma enkripsi RC4 dengan 40 bit key. Untuk otentikasinya dapat menggunakan metode open authentication dan shared key authentication.

Open authentication adalah metode otentikasi yang ditetapkan oleh IEEE 802.11 sebagai setting-an default pada wireless LAN. Dengan otentikasi ini, client bisa berasosiasi dengan access point hanya dengan memiliki SSID yang benar. Jika SSID antara client maupun access point sudah sesuai, maka client diperbolehkan untuk berasosiasi dengan jaringan wireless LAN.

Dalam Open Authentication, dapat digunakan enkripsi WEP untuk mengenkripsi data yang ditransmit antara client dengan access point. Enkripsi dilakukan hanya pada saat client sudah dapat berotentikasi dan berasosiasi dengan access point.

Bila WEP key digunakan, client dan access point harus mempunyai WEP keyyang sama. Jika client menggunakan WEP key yang berbeda dengan access point, maka data yang dikirim tidak dapat dibaca oleh client ataupun access point karena data dienkripsi dengan WEP key yang berbeda. Pada WEP dalam satu paket hanya segment data payload saja yang dienkripsi, sedangkan header paket tidak

dienkripsi. Jika client tidak mempergunakan WEP key sedangkan access point menggunakan WEP key, client tetap dapat melakukan asosiasi ke dalam access point. Karena header paket tidak dienkripsi, Client ini tetap memiliki hak akses ke dalam jaringan, tetapi tidak dapat membaca isi paket yang dikirim oleh access point karena paket tersebut telah dienkripsi. Sehingga jika ingin membaca isi paket yang dikirim maka harus mempunyai WEP key yang sama dengan access point untuk dapat mendekripsi paket tersebut.

Pada metode Shared Key, access point akan mengirim “challenge” text yang tidak dienkripsi kepada client sebagai proses otentikasi. Client yang menerima harus mengenkripsi “challenge” text tersebut lalu mengembalikannya ke access point. Access point akan membandingkan paket “challenge” text yang dienkripsi tersebut dengan yang dimilikinya sendiri. Jika sama maka client diperbolehkan berasosiasi ke dalam jaringan.

Shared Key ini kurang aman jika dibandingkan dengan Open Authentication karena sangat mungkin intruder untuk menangkap kedua paket tersebut (plain text dan chiper text) lalu memprediksi dan mendapatkan algoritma enkripsi serta kunci enkripsi yang dipakai. 2. WPA (Wi-Fi Protected Access)

Salah satu latar belakang munculnya WPA ini adalah adanya kekurangan dari WEP yaitu dipergunakannya kunci enkripsi yang statik. Sehingga kunci enkripsi ini harus dimasukkan manual pada

access point dan juga semua client. Hal ini tentu saja sangat membuang-buang waktu. Selain itu WEP masih dapat dengan mudah ditembus oleh intruder seperti : data di udara yang terenkripsi dapat diambil lalu didekripsi, merubah data yang ditransmit, dan juga dalam WEP otentikasi masih sangat mudah untuk ditembus.

WPA menggunakan skema enkripsi yang lebih baik, yaitu Temporal Key Integrity Protocol (TKIP). WPA juga mengharuskan client untuk melakukan otentikasi menggunakan metode 802.1X / EAP, jika otentikasi berhasil maka access point akan memberikan seperangkat kunci enkripsi yang telah di-generate oleh TKIP.

Dalam WPA juga dapat ditambah dengan fungsi IV Key Hashing dan MIC (Message Integrity Check). IV Key Hashing berguna untuk merubah alur perubahan kunci enkripsi dan MIC (Message Integrity Check) berguna untuk melindungi dan membuang paket-paket yang tidak dikenal sumbernya.

a. Metode enkripsi TKIP (Temporal Key Integrity Protocol) TKIP standarnya menggunakan key size 128 bit, tetapi ada beberapa access point yang mendukung fasilitas dengan key size 40 maupun 128 bit. TKIP ini secara dinamik akan meng-generate key yang berbeda-beda lalu didistribusikan ke client. TKIP menggunakan metodologi key hierarchy dan key management dalam meng-generate kunci enkripsi untuk mempersulit intruder dalam memprediksi kunci enkripsi.

Dalam hal ini, TKIP bekerja sama dengan 802.1X / EAP. Setelah authentication server menerima otentikasi dari client, authentication server ini lalu meng-generate sepasang kunci master (pair-wise key). TKIP lalu mendistribusikannya kepada client dan access point dan membuat key hierarchy dan management system menggunakan kunci master untuk secara dinamik meng-generate kunci enkripsi yang unik. Kunci enkripsi ini yang dipakai mengenkripsi setiap paket data yang ditransmit dalam jaringan wireless selama client session berlangsung. TKIP key hierarchy sanggup menghasilkan sekitar 500 milyar kombinasi kunci yang dapat dipakai untuk mengenkripsi paket data.

b. WPA dengan PSK (Pre Shared Key)

Dengan PSK, WPA tidak menggunakan TKIP sebagai peng-generate kunci enkripsi, melainkan telah ditentukan sebelumnya beberapa kunci statik yang akan digunakan secara acak oleh access point sebagai kunci enkripsi. Kunci statik ini harus didefinisi pada client juga dan harus sama dengan yang ada pada access point.

c. Metode Otentikasi dalam WPA

WPA menggunakan otentikasi 802.1X dengan salah satu dari tipe EAP yang ada sekarang ini. 802.1X adalah otentikasi

dengan metode port-based network access control untuk jaringan wired dan juga jaringan wireless.

3. WPA2

Seperti yang dapat disimpulkan ketika dilihat dari namanya, WPA2 adalah versi kedua dan terbaru dari WPA. Enkripsi TKIP, otentikasi 802.1X/EAP dan PSK yang merupakan fitur dalam WPA dimasukkan juga kedalam WPA2. Yang membedakan antara keduanya adalah metode enkripsinya. Dimana WPA menggunakan RC4, sedangkan WPA2 menggunakan Advanced Encryption Standard (AES). Metode enkripsi AES ini diyakini lebih kuat dan aman dibanding dengan RC4. Metode AES ini dapat mempergunakan key sizes 128, 192 ataupun 256 bits.

4. EAP (Extensible Aunthentication Protocol)

Adalah suatu protokol untuk jaringan wireless dimana merupakan perluasan dari metode otentikasi Point-To-Point Protocol (PPP), protokol sering digunakan ketika menghubungkan komputer ke Internet. EAP dapat mendukung berbagai mekanisme otentikasi, seperti certificates, token card token cards, smart card, one-time passwords, dan public key encryption autentication.

5. PAP

PAP (Password Authentication Protocol) adalah bentuk otentikasi paling dasar, di mana username dan password yang ditransmisikan melalui jaringan dan dibandingkan dengan tabel pasangan username

dan password. Biasanya password yang disimpan dalam tabel terenkripsi. Otentikasi dasar yang digunakan dalam protokol HTTP adalah PAP. Kelemahan pokok PAP adalah bahwa username dan passworddikirim tanpa dienkripsi lebih dahulu.

Agoritma yang digunakan untuk menyembunyikan informasi username dan password terdiri dari banyak proses. Pertama, RADIUS klien akan mendeteksi nilai identifier dan shared secret, lalu mengirimnya untuk diproses dengan MD5 hashing. Informasi password pengguna akan diteruskan pada proses XOR dan hasil dari kedua proses ini akan dimasukkan pada attribut username dan password. Kemudian server RADIUS yang menerima paket tersebut akan melakukan prosedur sebelumnya tetapi dengan urutan terbalik, sehingga server RADIUS dapat menentukan otorisasi bagi pengguna. Mekanisme penyembunyian password ini digunakan untuk mencegah pengguna mengetahui penyebab kegagalan proses otentikasi apakah disebabkan kesalahan pada password atau shared secret.

6. CHAP

Challenge Handshake Authentication Protocol (CHAP) merupakan salah satu protokol point to point yang menyediakan layanan otentikasi dengan menggunakan suatu identifier yang berubah-ubah dan suatu variabel challenge. CHAP digunakan secara periodik untuk memverifikasi pengguna atau host network menggunakan suatu metode yang dinamakan 3-way handshake. Proses

ini dilakukan selama inisialisasi link establishment. Dan sewaktu-waktu bisa saja diulang setelah hubungan telah terbentuk.

1. Challenge : authenticator membuat sebuah frame yang dinamakan challengedan dikirimkan initiator. Frameini berisi textsederhana yang disebut challenge text.

2. Response : initiator menggunakan password untuk melakukan proses encrypt pada challenge text. Kemudian challenge text yang sudah ter-encryptdikirimkan kepada authenticator. 3. Success or Failure : authenticator melakukan sesi

pencocokkan pesan yang di encrypttersebut dengan challenge text miliknya yang di encrypt dengan password yang sama. Jika hasil encrypt initiator sama dengan hasil encrypt authenticator, maka authenticator menyatakan proses otentikasi sukses. Sebaliknya jika tidak ditemukan kecocokan, maka proses otentikasi failure.

Algoritma CHAP mensyaratkan bahwa panjang nilai secret minimal harus delapan oktet (64-bit). Dan juga nilai secret tersebut diusahakan tidak terlalu pendek serta susah untuk ditebak (tidak bersifat umum, contoh : root, 123456, dan lain-lain). Nilai secret tersebut disarankan minimal sepanjang nilai hash-nya (hal ini tergantung dari algoritma hash yang dipilih) atau dengan kata lain panjangnya tidak kurang dari nilai hash-nya. Hal ini dimaksudkan agar cukup tahan terhadap exhaustive search attack. Masing-masing

nilai challenge harus unique (tidak sama satu sama lain), karena perulangan dari nilai challenge tersebut dalam hal ini untuk nilai secret yang sama, akan memberikan peluang bagi attacker untuk melakukan replay attack.

Oleh karena itu diharapkan bahwa untuk nilai secret yang sama yang digunakan untuk melakukan otentikasi dengan server-server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifat unpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan-serangan aktif dengan jangkauan yang luas.

Dalam dokumen Implementasi sistem wireless security dan manajemen bandwidth berbasis radius (remote authentication dial in user service) server dengan mukrotik (studi kasus: Lembaga Ketahanan Nasional (Lemhannas) Republik Indonesia) (Halaman 73-80)