Jika WPA atau WPA2 tidak bisa digunakan, banyak organisasi memasang portal penahan untuk mengontrol akses jaringan. Portal penahan merupakan sistem sekuriti jaringan yang melarang akses sampai user memverifikasi izin melalui interface web.
Dibuatnya sistem seperti ini karena hampir semua perangkat Wi-Fi mempunyai web browser. Hotel, universitas, dan airport adalah beberapa tempat yang menggunakan portal pembatas. Lingkungan tersebut harus menangani beragam perangkat sehingga jika memilih salah satu model sekuriti umumnya dianggap restriktif karena beberapa user mungkin tidak bisa menggunakan akses Internet wireless.
Menggunakan portal penahan memungkinkan beragam perangkat untuk melakukan akses, tapi model sekuriti ini cukup rentan. Portal penahan tidak lebih dari filter alamat MAC dinamis sehingga tidak efektif dalam membatasi user asing dari jaringan Wi-Fi publik. Sejumlah tool sederhana dan free memungkinkan orang-orang untuk mengubah alamat MAC kartu jaringan mereka.
Jika penyusup mempunyai salah satu tool tersebut dan protocol analyzer 802.11, ia bisa dengan mudah mengetahui alamat MAC user yang sah dan menyamar sebagai user tersebut untuk mengakses jaringan. Alasan kedua mengapa portal penahan tidak lagi dianggap sebagai cara yang andal dalam membatasi user asing dari jaringan publik adalah utiliti Wi-Fi client telah banyak distandardisasi. User semua operating system sekarang mempunyai utiliti client yang mendukung WPA dan bahkan WPA2 pada sejumlah perangkat.
Dengan adanya protokol sekuriti yang lebih kuat ini hampir di semua perangkat, login dengan WPA/WPA2 semakin praktis dibanding melalui portal penahan. Bagi jaringan korporat pembagian kode WPA ke publik bisa mengurangi sekuriti, tapi bagi jaringan publik ini jauh lebih aman dibanding portal penahan.
Men-disable Broadcast SSID akan Menyembunyikan Jaringan Wireless dari Hacker.
Bayangkan bank sobat dan bayangkan juga ada perampok di sekitarnya. Bank sobat sudah pasti butuh sekuriti, tapi ia harus tetap buka untuk nasabahnya. Sekarang mari bayangkan daripada memasang lemari besi, gembok, dan tiang besi baja tebal antara teller dan nasabah, papan nama bank sobat diturunkan.
Bank sobat sekarang melakukan transaksi finansial yang ekivalen dengan men-disable broadcast SSID. Men-disable broadcast SSID telah banyak diserukan oleh sejumlah profesional sekuriti jaringan karena SSID akan tetap tersembunyi dari software client Wi-Fi. Pada waktu user ingin terhubung, mereka harus mengonfigurasi SSID secara manual.
Karena hacker tidak tahu SSID-nya, mereka tidak akan bisa terhubung, bukan? Tidak juga. Seperti analogi bank di atas, penyusup jaringan bisa melihat ada jaringan Wi-Fi di situ. Sama seperti perampok yang bisa mengetahui bank dengan melihat nasabah yang masuk, hacker bisa mengetahui SSID dengan menangkap frame (dengan menggunakan aplikasi seperti Wildpackets Omnipeek) ketika user terhubung.
Pada waktu stasiun terhubung ke jaringan, mereka secara konstan mencari AP dengan SSID yang sama. Mereka harus melakukan itu untuk meng-enable roaming. Ketika AP merespon ke stasiun yang bersangkutan, SSID dikirim dalam format teks, dengan atau tanpa enkripsi. Sekarang, perlu ditegaskan bahwa SSID akan tetap tersembunyi selama jaringan tidak digunakan. Supaya AP merespon SSID, stasiun harus mencari AP yang menggunakan SSID yang sama.
Namun, coba kita pikirkan: seberapa sering jaringan sobat gunakan? Jika jaringan sobat seperti jaringan Wi-Fi korporat maka sudah tentu hampir sepanjang hari. Ini berarti hacker bisa dengan cepat mengetahui SSID sobat. Pada akhirnya, yang sobat punya adalah metode sekuriti yang tidak memberikan proteksi riil terhadap penyusup, tapi mempersulit user Wi-Fi untuk terhubung.
Anda Butuh Wireless ID untuk Mencegah Access Point Asing.
Seiring dengan berkembangnya sekuriti Wi-Fi dari WEP ke WPA dan WPA2, orang semakin nyaman membeli access point dan stasiun Wi-Fi. Jika jumlah access point asing semakin meningkat, maka intrusi sudah lama ada. Banyak perusahaan menggunakan sistem deteksi intrusi wireless (wireless ID) untuk menghadapinya.
Wireless ID bisa mengidentifikasi, mencari, dan bahkan berisi access point asing. Dalam beberapa tahun terakhir, banyak vendor wireless ID menyatakan produk mereka sebagai tool penting dalam menghadapi ancaman. Namun, ada satu pertanyaan yang perlu diajukan :
- Apakah wireless ID merupakan tool terbaik untuk mencegah access point asing? Jawabannya jelas, “Tidak”.
Seperti ada ungkapan, “Untuk mengalahkan musuh, kita harus lebih dulu mengenalnya”. Mengetahui access point asing berarti mengetahui ancaman apa yang mereka lakukan ke jaringan. Access point asing merupakan ancaman karena memungkinkan user asing untuk mengakses jaringan melalui koneksi wireless. Karena AP asing tidak dikelola oleh network administrator, otentikasi dan enkripsi yang digunakan pada AP asing tidak bisa dipastikan.
Tanpa adanya jaminan otentikasi dan enkripsi yang kuat, penyusup bisa menggunakan berbagai cara untuk mengakses jaringan dari luar. Dalam memahami acces point asing, ada dua prinsip penting : Mereka harus diidentifikasi secara terpisah dari AP yang sah pada area tersebut dan mereka harus diblokir dari jaringan.
Wireless ID sangat baik dalam mengidentifikasi AP 802.11a/b/g asing. Jika ada access control list di wireless ID, administrator jaringan akan menerima alarm jika ada perangkat asing. Sayangnya, wireless ID kurang begitu baik dalam mengidentifikasi AP asing non-802.11a/b/g. Jika seseorang menghubungkan AP 900MHz dan/atau teknologi FHSS, perangkat tersebut akan tetap tidak terdeteksi.
Ini juga berlaku untuk beberapa AP non-802.11a/b/g baru yang menggunakan Bluetooth dan MIMO. Beberapa vendor wireless IDs baru menawarkan produk yang bisa mengidentifikasi beberapa dari AP nonstandar tersebut, tapi identifikasi secara komprehensif tidak mungkin dilakukan. Wireless ID juga kurang begitu baik dalam memblokir AP asing dari jaringan.
Hampir semua vendor wireless ID menawarkan metode pengecekan AP asing. Beberapa vendor mengirim wireless DoS ke AP asing dan stasiun yang bersangkutan. Teknik ini lemah karena kartu Wi-Fi bisa mengabaikan frame yang digunakan untuk serangan DoS. Vendor lain mematikan port kabel tempat AP asing terhubung. Kelemahan dari teknik ini adalah AP asing mempunyai enkripsi dan otentikasi (bahkan dengan WEP) yang tidak akan memperbolehkan wireless ID untuk mengirim pesan ke sisi kabel untuk mengetahui port yang dimaksud.
Masalah dalam menggunakan wireless ID untuk mencegah AP asing dimulai dan berakhir dengan sifat sistem itu sendiri. Wireless ID didesain untuk “menutupi” jaringan. Cara terbaik untuk menghentikan AP asing adalah dengan sesuatu yang terintegrasi dengan jaringan. Harus berupa sesuatu yang memungkinkan administrasi jaringan untuk memblokir akses pada setiap port jaringan.
Otentikasi kabel 802.1X merupakan solusi sempurna untuk memblokir akses pada setiap port jaringan. Ketika 802.1X di-enable, akses jaringan ditolak sampai perangkat dikenali sebagai client 802.1X. Ini lebih efektif dibanding menggunakan otentikasi alamat MAC. Pertama, jka menggunakan 802.1X sobat bisa menggunakan infrastruktur yang sama yang sudah eksis. Kedua, otentikasi 802.1X umumnya mencakup enkripsi.
Ketika enkripsi digunakan, pemalsuan alamat MAC tidak mungkin dilakukan karena penyusup tidak akan mempunyai key enkripsi yang benar. Mitos bahwa wireless ID merupakan cara terbaik untuk mencegah access point asing telah menguntungkan vendor wireless ID untuk waktu yang cukup lama.
Tidak Perlu Wireless ID Jika Ada Pencegah AP Asing.
Lain Jika mengekpos mitos sebelumnya bisa memukul vendor wireless ID, ada lagi mitos Wi-Fi yang membuat efek kebalikan. Banyak profesional jaringan menganggap bahwa wireless ID tidak perlu jika ada pencegah AP asing lain terpasang.
Mudah dimengerti mengapa rata-rata administrator jaringan ragu-ragu. Perangkat ini sangat mahal dan tidak semua orang di luar sana tahu apa yang sebenarnya dilakukan wireless ID. Bahkan orang yang membeli wireless ID pun hanya melakukannya karena mereka perlu mencegah access point asing.
Kenyataannya adalah ada area lain dari troubleshooting dan optimasi Wi-Fi yang membuat wireless ID perlu sebagai tambahan pada jaringan. Beberapa wireless ID sekarang menawarkan pelacakan lokasi, penangkapan paket, dan analisis tingkat interferensi RF. Jika dipikirkan, fitur wireless ID ini bisa mempermudah pekerjaan orang jaringan. Daripada mengirim teknisi ke setiap lokasi masalah, wireless ID memungkinkan sobat untuk melakukan troubleshooting wireless dari lokasi yang tersentral.
Satu hal lagi yang perlu dipikirkan adalah banyak user Wi-Fi yang masih baru terhadap teknologinya. User baru sering kali tidak mau melaporkan masalah atau menelepon tim support. Mitos tentang penggunaan wireless ID ini lebih berhubungan dengan performa jaringan daripada sekuriti jaringan.
Menggunakan Kecepatan Data Rendah Merupakan Cara yang Baik Supaya Setiap Stasiun Mendapatkan Bandwidth yang Sama.
Dengan semakin luasnya Wi-Fi, semakin banyak lokasi mulai menawarkan akses Wi-Fi berbayar sebagai salah satu layanan Internet. Setiap kali layanan ditawarkan, provider umumnya harus menjamin bahwa user mendapatkan sesuai yang mereka bayar.
Dalam dunia jaringan, mendapatkan sesuai yang dibayar biasanya berarti bandwidth. Dan dalam dunia Wi-Fi, bandwidth tersebut dibagi. Access point Wi-Fi mungkin disebut mempunyai kecepatan data 54 Mbps, tapi kecepatan itu dipotong dan dibagi ke semua stasiun. Ini berarti jika ada dua user atau 20,54 Mbps yang sama akan dibagi ke antara mereka.
Jaringan Wi-Fi lebih kompleks karena kecepatan data bisa berubah. Stasiun yang dekat dengan AP bisa mendapatkan kecepatan data 54 Mbps, sementara stasiun yang lebih jauh bisa turun sampai 1 Mbps. Bagi perancang jaringan, kebutuhan untuk menyediakan layanan yang sama bagi semua user berarti mereka harus mengatasi situasi yang kompleks tersebut.
Biasanya, ini berarti menggunakan kecepatan data rendah bagi semua user. Ini merupakan hal logis yang perlu dilakukan. Jika tamu di salah satu kamar hotel berada sangat jauh dari AP sehingga ia hanya mendapatkan kecepatan data 9 Mbps, berarti semua user yang terhubung ke AP tersebut harus mendapatkan 9 Mbps, kan? Salah. Sangat salah. Menggunakan kecepatan data rendah sebagai metode alokasi bandwidth merupakan salah satu kesalahan fatal.
Kecepatan data tidak berhubungan dengan akses yang didapat stasiun. Stasiun secepat 54 Mbps dan selambat 1 Mbps semua mempunyai prioritas yang sama ketika data siap dikirim. Jika stasiun A 9 Mbps dan stasiun B 54 Mbps keduanya mengirim data secara kontinyu, mereka akan mendapatkan kesempatan (acak) yang sama untuk mengirim setiap frame.
Jika stasiun B dikurangi menjadi 9 Mbps, ia tetap akan mendapatkan kesempatan yang sama dengan sebelumnya, tapi sekarang setiap frame 6 kali lebih lama (54:9=6). Pada dasarnya, yang sobat lakukan pada waktu menggunakan kecepatan data rendah adalah memperlambat keseluruhan jaringan.
Sobat tidak mengalokasi bandwidth. Stasiun yang jauh yang mendapatkan kecepatan rendah tersebut akan berkurang throughput-nya karena akan semakin kecil bandwidth yang akan dibagi ke semua stasiun yang bersangkutan. Tentu saja, ada cara untuk mengalokasi bandwidth. Menurunkan kecepatan data hanya akan mengurangi kualitas layanan.
Jika Channel 1, 6, dan 11 Sudah Digunakan Maka yang Terbaik Adalah Memilih Channel Lain di Antaranya.
Jaringan 802.11b/g mempunyai kekurangan serius yang dapat menghambat performanya. Saran yang menganjurkan supaya jaringan Wi-Fi 802.11b/g hanya dikonfigurasi ke channel 1, 6, dan 11 sering kali tidak didengar.
Akar masalahnya adalah teknologi penyebaran spektrum yang digunakan oleh jaringan Wi-Fi. Penyebaran spektrum menggunakan beberapa frekuensi untuk mengirim dan menerima data. Satu frekuensi radio mungkin sudah menyediakan bandwidth yang cukup untuk mengirim suara musik, tapi teknologi data seperti 802.11b/g membutuhkan bandwidth lebih besar.
Adanya bandwidth ekstra dalam penyebaran spektrum bisa meningkatkan throughput. Ini berarti kita bisa mendengarkan dua musik pada saat yang bersamaan dari Internet. Secara kuantitatif, penyebaran spektrum Wi-Fi menyebabkan masalah karena transmisi penyebaran spektrum bisa mencapai lebar 22 MHz, sedangkan alokasi channel hanya selebar 5 MHz. Hasilnya adalah channel 1 overlapping dengan channel 2, 3, 4, dan 5.
Jika sobat punya perangkat 802.11b/g pada channel 1, perangkat 802.11b/g lain pada channel 2 sampai 5 akan menyebabkan interferensi dengan channel 1, dan sebaliknya. Begitu kita memilih channel 6, semuanya baik kembali. Jaringan Wi-Fi pada channel 1 biasanya tidak akan menyebabkan interferensi dengan AP pada channel 6, meskipun jangkauan area nya overlapping. Ini juga berlaku untuk channel 11.
Sekarang kita punya tiga channel yang bisa digunakan pada 802.11b/ g, yaitu 1, 6, dan 11. Ini bukanlah mitos. Tapi, bagaimana jika 3 access point yang ada tidak bisa menangani semua user sobat? Jika sobat harus menginstalasi 4 access point yang saling berdekatan, maka mitos pemilihan channel ini bisa mengacaukan jaringan.
Jika pernah menggunakan atau mendengar radio CB, sobat pasti pernah mendengar dua percakapan yang bersamaan pada channel yang sama. Bagaimana ini bisa terjadi? Pembicaraan dilakukan secara bergilir dan ini bekerja dengan baik. Jaringan Wi-Fi melakukan hal yang sama. Jika ketiga channel sudah digunakan dan sobat masih butuh AP lagi, dua AP akan berbagi channel yang sama.
Perangkat Wi-Fi didesain supaya bergiliran pada waktu menggunakan channel yang ramai. Berbagi channel antara dua AP atau lebih akan menyebabkan jaringan sedikit kurang optimal karena bandwidth pada channel tersebut jadi terbagi. Namun, mari kita lihat mengapa berbagi channel merupakan pilihan yang lebih baik.
Pada waktu dua jaringan menggunakan area yang sama pada channel yang terpisah kurang dari lima, maka sharing tidak bisa dilakukan. Pada waktu perangkat pada satu channel mengirim data, perangkat pada channel yang overlapping tidak bisa memahami frame Wi-Fi yang dikirim. Jika perangkat tidak melihat transmisi Wi-Fi, mereka akan mengirim datanya sendiri. Kedua jaringan akan terus mengirim data satu di atas yang lain, dengan tingkat loss yang tinggi karena collision dan korupsi data.
Jika Stasiun 802.11b Terhubung ke Jaringan 802.11g, Kecepatan Jaringan Menurun Menjadi 802.11b.
Kecepatan AP dan stasiun 802.11g tidak menurun ke kecepatan 802.11b pada waktu ada stasiun 802.11b yang terhubung ke jaringan. Namun, pada tingkat tertentu jaringan memang lebih lambat. Pada waktu stasiun 802.11b terhubung ke AP 802.11g, stasiun 802.11b mulai menimbulkan masalah karena ia tidak mengerti frame yang dikirim pada kecepatan 802.11g.
Seperti yang telah disebutkan sebelumnya, jika ada stasiun yang tidak mengerti frame yang dikirim dari stasiun lain, maka terjadilah collision dan korupsi data. Untuk mengatasi masalah ini, perangkat 802.11g melakukan mekanisme proteksi pada waktu ada perangkat 802.11b. Pada waktu mekanisme proteksi dijalankan, perangkat 802.11g akan mengirim satu frame yang memberitahukan semua stasiun (802.11b dan 802.11g) supaya diam ketika perangkat 802.11g mengirim data yang sebenarnya.
Dari sini sobat bisa saja menangkap bahwa intinya jaringan 802.11g menjadi lebih lambat mendekati kecepatan 802.11b pada waktu stasiun 802.11b terhubung. Namun, itu salah. Jaringan 802.11g mempunyai througput total data maksimum 6 Mbps pada channel bebas hambatan. Pada waktu proteksi pada jaringan 802.11g digunakan, kecepatannya biasanya hanya berkurang 25% sampai 40% dari throughput maksimum.
Ini artinya jaringan campuran 802.11b/g hanya menurun dari sekitar 22 Mbps menjadi 13 Mbps sampai 16 Mbps. Intinya di sini adalah meskipun dengan jaringan campuran AP 802.11g, sobat masih bisa mendapatkan performa maksimum dua kali lipat dari jaringan 802.11b murni. Dari usaha kita dalam menghilangkan mitos tentang pembatasan kecepatan data, pemilihan channel dan penggabungan b/g, mudah-mudahan sobat bisa mendapatkan beberapa ide untuk meningkatkan performa jaringan.
Sayangnya, peningkatan tersebut hanya terbatas pada jangkauan RF yang merupakan layer Physical (layer 1) jaringan. Dari dua mitos terakhir, sobat bisa menghindari kesalahan dalam menggunakan antena untuk memperluas jangkauan RF jaringan wireless sobat.
Jika Butuh Jangkauan Wi-Fi yang Lebih Luas, Ganti Antena pada Access Point dengan Gain yang Lebih Tinggi.
Dengan US$100 atau kurang sobat bisa memperluas jangkauan dengan memasang antena. Perangkat semacam ini selalu dijual dengan alasan gain, tapi mereka hampir tidak pernah mengatakan fakta dasar penting mengenai antena : Semakin tinggi gain antena ke satu arah, maka jangkauan ke arah lain akan semakin berkurang.
Pada antena omni-directional misalnya, gain yang tinggi akan memberi jangkauan horisontal yang luas, tapi jangkauan vertikal semakin berkurang. Ini cocok jika sobat ingin menjangkau satu lantai, tapi tidak jika sobat ingin menjangkau beberapa lantai.
Untuk mengetahui antena yang cocok untuk sobat, cek gain dan juga lebar pancaran sinyal. Lebar pancaran sinyal merupakan konfigurasi jangkauan antena, yang diukur dalam derajat. Semua antena mempunyai lebar pancaran sinyal horizontal dan lebar pancaran sinyal vertikal.
Sebagai contoh, lebar pancaran sinyal horisontal antena omni-directional selalu 360° karena semua arah horizontal terjangkau. Antena dengan lebar pancaran sinyal vertikal lebih besar akan mengirim sinyal lebih tinggi dibanding antena dengan lebar pancaran sinyal vertikal lebih kecil.
Kesalahan pemilihan antena sering kali terjadi pada jaringan Wi-Fi indoor. Menggunakan antena dengan gain lebih tinggi memang bisa mengurangi jumlah access point atau menjangkau arah yang diinginkan, tapi banyak perancang jaringan yang langsung begitu saja memilih antena gain tinggi yang tersedia. Jika sobat melakukan itu, maka bisa saja jangkauan area terlalu sempit sehingga tidak dapat menyediakan akses bagi semua user.
Sobat Bisa Mengarahkan Dua Antena ke Arah yang Berbeda untuk Mendapatkan Jangkauan Area yang Lebih Luas dengan Satu Access Point.
Ketika perancang jaringan mulai melirik ke antena gain tinggi, tujuannya selalu melakukan lebih dengan resource lebih sedikit. Meskipun sobat harus berhati-hati supaya tidak memilih sembarang antena, pada akhirnya sobat akan menghemat banyak uang dengan memilih antena yang tepat, sehingga lebih sedikit AP yang diinstalasi.
Karena kebanyakan access point mempunyai dua konektor antena, beberapa orang mendapatkan ide gila supaya bisa menghemat uang lebih banyak lagi. Jika antena yang dipilih bekerja dengan baik, mengapa tidak memperluas jangkauan AP dengan menggunakan dua antena dan mengarahkan mereka ke arah yang berbeda? Semakin banyak uang anggaran TI yang tersisa berarti semakin banyak yang bisa dibagikan (untuk bersenang-senang bersama).
Namun, tunggu dulu. Ada alasan mengapa kebanyakan access point mempunyai dua antena. Itu bukan supaya satu AP bisa menjangkau dua area terpisah. Dua antena tersebut adalah untuk pembedaan.
Sinyal Wi-Fi cenderung sering memantul karena mereka dikirim pada frekuensi yang relatif tinggi. Ketika terjadi pemantulan sinyal, maka akan banyak sinyal yang menuju ke access point. Masalahnya adalah mereka tidak semua sampai ke access point pada saat yang sama.
Ketika ada dua sinyal sampai pada saat yang hampir bersamaan (disebut multipath), itu bisa diatasi dengan menggunakan dua antena pada access point untuk pembedaan. Dengan demikian, AP bisa mengambil sinyal bahkan sinyal yang dipantul dan menggunakan mereka semua sebagai satu sinyal gabungan.
Sekarang mari bayangkan apa yang terjadi jika kita menggunakan dua antena untuk menjangkau dua area yang berbeda. Access point bisa mendengar sinyal dari stasiun yang berbeda pada setiap antena. Karena access point memproses antena secara bersamaan, ia akan sangat bingung. Masalah mulai dari kekuatan sinyal yang berfluktuasi di client sampai paket drop.
Referensi : PC MEDIA