ANALISIS DAN PERANCANGAN SISTEM KEAMANAN JARINGAN WIRELESS
BERBASIS REMOTE AUTHENTICATION DIAL IN USER SERVICE
(RADIUS)
SERVER
DI BADAN PENGKAJIAN DAN PENERAPAN TEKNOLOGI
Skri
psi
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer
Fakultas
Sains dan
Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
0leh :
WAHYU
IRZADI
103091029587
PROGRAM STUDI TEKNIK
INFORMATIKA FAKULTAS SAINS
DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH
JAKARTA
2009 M / 1430 H
BAB I
PENDAHULUAN
1.1. Latar Belakang
Jaringan nirkabel di Indonesia berkembang cukup pesat, terutama di kota-
kota besar seperti Jakarta, Surabaya, dan Bandung. Selain di gedung-gedung
perkantoran, pengaksesan jaringan nirkabel ini juga dilakukan dengan mengadakan
access point di hotel, mal, kafe atau tempat umum lain yang biasanya dikunjungi
kalangan kelas menengah ke atas. Mereka cukup membawa laptop atau PDA ke
kawasan tersebut untuk mendapatkan akses nirkabel.
Saat ini, jaringan komputer lokal/Local Area Network (LAN) yang ada di
Badan Pengkajian dan Penerapan teknologi (BPPT) tidak hanya berupa jaringan
yang menggunakan media kabel sebagai media komunikasi seperti jaringan
komputer pada awalnya. Jaringan komputer ini telah berkembang dengan
penambahan jaringan tanpa kabel/nirkabel (wireless), dimana akses komputer ke
jaringan tidak lagi dihubungkan dengan kabel, melainkan melalui media udara
dengan menggunakan access point.
1.2. Rumusan Masalah
Berdasarkan hal di atas didapat permasalahan sebagai berikut :
Teknologi keamanan wireless apa yang sesuai untuk di terapkan di BPPT ?
Bagaiman memaksimalkan RADIUS di BPPT dengan tetap memperhatikan
tingkat produktifitas ?
Bagaimana desain dan implementasi teknologi RADIUS yang tepat sesuai
kebutuhan di BPPT ?
1
1.3. Batasan Masalah
Untuk membatasi permasalahan yang cukup luas, penulis membrikan
batasan pada pembahasan :
• Keamanan wireless yang dibahas hanya untuk yang terkait dengan backbone
yang dikelola secara terpusat dari NOC.
• Sistem keamanan hanya meliputi keamanan logic terhadap akses jaringan
lokal dan Internet, tidak mencakup keamanan fisik/perangkat.
• Pembahasan tidak akan mencakup keamanan dari sebuah aplikasi.
1.4. Tujuan dan Manfaat
1.4.1. Tujuan
Penelitian ini bertujuan untuk mengidentifikasi kebutuhan sistem
wireless, threat keamanan wireless dan juga mengetahui jaringan wireless yang
tepat bagi BPPT.
1.4.2. Manfaat
Hasil penelitian ini diharapkan dapat memberikan informasi dan
gambaran yang bermanfaat tentang sistem kerja wireless LAN dan juga dari segi
keamanannya bagi penulis khususnya dan berbagai pihak pada umumnya.
1.5. Metodologi Penelitian
2
Metode yang digunakan dalam penelitian ini menggunakan The Security
Policy Development Life Cycle (SPDLC) (Goldman, James E and Rawles, Philip
T) yang memiliki enam tahapan, yaitu :
Identifikasi
EvaluasiGambar 1.1 The Security Policy DAenvaelloispisment Life Cycle
1. IdAenutdifiitkasi : Pokok permasPaelarhaanncanygang berhubungan dengan
keamanan.
Implementasi
2. Analisis : Resiko keamanan, ancaman, dan vulnerabilities.
3. Perancangan : Mengenai rancangan infrastruktur keamanan.
4. Implementasi : Penerapan teknologi keamanan.
5. Audit : Memeriksa penerapan teknologi keamanan.
6. Evaluasi : Mengevaluasi efektivitas dan kebijakan arsitektur.
Karena keterbatasan waktu dan wewenang yang ada, maka tahap Audit dan
Evalute tidak akan di bahas akan tetapi diterjemahkan sebagai proses pengujian dan
analisisnya.
1.6. Sistematika Penulisan
Untuk memberikan gambaran yang lebih jelas dan sistematis, skripsi ini
dibagi menjadi enam bab dan tiap bab memiliki beberapa sub bab dengan urutan
sebagai berikut:
3
BAB I : PENDAHULUAN
Bab ini menguraikan mengenai latar belakang, rumusan masalah, batasan
masalah, tujuan dan manfaat, metode penelitian dan sistematika penulisan.
BAB II : LANDASAN TEORI
Pada bab ini akan dijelaskan tentang landasan teori yang digunakan sebagai
dasar acuan dalam pembahasan penelitian ini.
BAB III : METODOLOGI PENELITIAN
Bab ini akan menjelaskan mengenai waktu dan tempat penelitian, alat dan
bahan yang diperlukan serta metode yang dilakukan.
BAB IV : ANALISIS DAN DESAIN
Pada bab ini akan dibahas hasil analisis dan hasil desain infrastruktur serta
penerapan sistem keamanan wireless LAN di BPPT.
BAB V : IMPLEMENTASI DAN PENGUJIAN
Pada bab ini akan membahas hasil implementasi dan pengujian infrasruktur
sistem keamanan wireless LAN di BPPT.
4
BAB VI : KESIMPULAN DAN SARAN
Bab ini berisi kesimpulan dari hasil yang didapat melalui analisis dan
implementasi, juga saran untuk pengembangan bagi peneliti lain terhadap
pengembangan sistem wireless LAN selanjutnya.
BAB II
LANDASAN TEORI
2.1 Wireless LAN
Wireless LAN yang dengan nama lain adalah jaringan nirkabel merupakan
sebuah LAN dimana transmisi data (pengiriman maupun penerimaan data) dilakukan
melalui teknologi frekuensi radio lewat udara, menyediakan sebagian besar keunggulan
dan keuntungan dari teknologi lama LAN namun tidak dibatasi media kabel atau kawat.
(Gunawan arief hamdani, Putra andi, 2004 : 5)
2.1.1 Keuntungan Wireless LAN
Muncul dan berkembangnya sistem jaringan nirkabel dipicu oleh
kebutuhan akan biaya pengeluaran yang lebih rendah menyangkut infrastruktur
jaringan dan untuk mendukung aplikasi jaringan bergerak dalam efisiensi proses,
akurasi dan biaya pengeluaran yang rendah dalam hitungan bisnis. Beberapa
diantaranya adalah:
a. Kemudahan Bergerak (Mobilitas)
Kemudahan bergerak memungkinkan pengguna untuk berpindah-pindah
secara fisik ketika menggunakan aplikasi seperti PDA/personal digital assistance
dan semacam-nya Ada begitu banyak pekerjaan yang membutuhkan pekerja
untuk bisa bergerak dengan bebas secara fisik, seperti petugas PAM, PLN, polisi,
UGD spe-sialis, dan lain-lain. Namun walaupun demikian, teknologi jaringan
kabel juga masih diperlukan untuk penambatan antara workstation tempat si
pekerja dengan server utama, untuk menjaga tempat mana saja yang dapat
6
diakses si pekerja ketika ia berpindah ke workstation lain.
b. Kesulitan dalam Penginstalasian Jaringan Kabel pada Area-area
Tertentu
Implementasi dari jaringan nirkabel memberikan banyak keuntungan yang
nyata dalam penghematan biaya, ketika menghadapi keadaan dimana instalasi
kabel sulit dilakukan. Bila Anda ingin menyambungkan 2 jaringan dalam
masing-masing gedung dimana gedung tersebut dipisahkan oleh jalan, sungai
atau rintangan lain dimana sulit dijangkau dengan sistem kabel, maka solusi yang
terbaik adalah jaringan nirkabel.
Solusi jaringan nirkabel dapat jauh lebih ekonomis daripada instalasi ka-
bel atau menyewa peralatan komunikasi yang berupa kabel seperti layanan
Informatika atau 56 Kbps lines. Beberapa perusahaan bahkan menghabiskan
ribuan bahkan jutaan dolar untuk pemasangan sambungan fisik antar dua fasilitas
atau gedung yang saling berdekatan.
c. Penghematan Biaya Jangka Panjang
Perkembangan organisasi menyebabkan perpindahan orang, lantai pada
kantor yang baru, pembagian kantor dan renovasi yang lain. Perubahan Ini
biasanya membutuhkan pengaturan sistem jaringan yang baru. Melibatkan baik
pekerja maupun biaya secara materi.
Dalam beberapa kasus, biaya pengaturan sistem kabel yang baru sangat
besar, khususnya pada perusahaan dimana jaringannya sangat besar. Maka dalam
keadaan ini, sekali lagi, keuntungan sistem nirkabel menjawab masa-lah biaya.
Sistem nirkabel bahkan tidak membutuhkan banyak instalasi kabel, Anda dapat
7
memindahkan sambungan jaringan dengan hanya semudah memindahkan PC
para pekerja. (Gunawan arief hamdani, Putra andi, 2004 : 5)
2.1.2 Standar wireless LAN
Pada dasarnya WLAN memiliki dua konfigurasi, pertama ad hoc yaitu
penggunaan WLAN pada suatu tempat bersifat sementara dan dibangun tanpa
infrastruktur, contohnya dikelas, ruang rapat, ruang seminar, dll. Kedua
konfigurasi infrastruktur yaitu penggunaan WLAN pada suatu tempat bersifat
permanen dan memiliki infrastruktur, contohnya di kantor, pabrik dll. Untuk
membangun WLAN diperlukan banyak elemen yang termasuk ke dalam
perangkat keras, perangkat lunak, standarisasi dan pengukuran dan analisis
kelayakan (misalnya untuk menentukan posisi antena base station/BS). Dengan
adanya berbagai merek perangkat keras dan lunak, maka diperlukan suatu
standar, di mana perangkat perangkat yang berbeda merek dapat difungsikan
pada perangkat merek lain. Standar-standar WLAN adalah IEEE 802.11,
WINForum dan High Performance Radio Local Area Network (HIPERLAN).
Wireless Information Network Forum (WINForum) dilahirkan oleh Apple
Computer dan bertujuan untuk mencapai pita Personal Communication Service
(PCS) yang tidak terlisensi untuk aplikasi data dan suara dan mengembangkan
spektrum yang menawarkan peraturan-peraturan yang sangat minim dan akses
yang adil. HIPERLAN dilahirkan oleh European Telekommunications Standards
Institute (ETSI) yang memfokuskan diri pada pita 5.12-5.30 GHz dan 17.1-17.3
GHz. IEEE 802.11 dilahirkan oleh Institute Electrical and Electronics Engineer
(IEEE) dan berfokus pada pita ISM dan memanfaatkan teknik spread spectrum
(SS) yaitu Direct Sequence (DS) dan Frequency Hopping (FH), standar ini adalah
8
yang paling banyak dipakai. (http://the-exploration.net/index.php/sejarah-
wireless-lan-wifi)
2.1.2.1 IEEE 802.11
Standar 802.11 adalah standar pertama yang menjelaskan
tentang peng operasian wireless LAN. Standar ini mengandung semua
teknologi tranmisi yang tersedia termasuk Direct Sequence Spread
Spectrum (DSSS), Frequency Hoping Spread Spectrum (FHSS), dan
infra merah.
Standar IEEE 802.11 mendeskripsikan system DSSS yang
beroperasi hanya pada 1 Mbps dan 2 Mbps. Jika suatu system DSSS
beroperasi pada rate data lain sebaik seperti pada 1 Mbps, 2 Mbps dan
11 Mbps maka itu masih termasuk standar 802.11. Tapi bilamana
suatu sistem bekerja pada suatu rate data di luar atau selain 1 atau 2
Mbps, dan walaupun sistemnya kompatibe untuk bekerja pada 1 & 2
Mbps, sistem ini tidak bekerja pada mode 802.11 dan tidak bisa
berkomunikasi dengan perangkat system 802.11 yang lain. (Gunawan
arief hamdani, Putra andi, 2004 : 125 )
2.1.2.2 IEEE 802.11a
Standar IEEE 802.1la adalah standar dimana wireless LAN bekerja
pada frekuensi 5 GHz UNII. Karena berada pada UNII bands, standar ini tidak
kompatibel dengan standar 802.11 yang lain. Alasannya adalah karena
9
sistem yang bekerja pada 5 GHz tidak akan dapat berkomunikasi
dengan sistem yang bekerja di frekuensi 2.4 GHz.
Dengan menggunakan UNII band, laju data bisa mencapai 6, 9, 12,
18, 24, 36, 48, dan 54 Mbps. Beberapa bisa mencapai 108 Mbps dengan
menggunakan teknologi proprietary, seperti penggandaan laju. Laju
tertinggi yang bisa dicapai dengan menerapkan teknologi terbaru tidak
dideskripsikan oleh standar ini. Standar 802.1 la menetapkan agar
wireless LAN dapat kompatibel dengan laju data 6,12, dan 24 Mbps.
Sedangkan maksimum laju data adalah 54 Mbps. ( Gunawan arief
hamdani, Putra andi, 2004 : 125 )
2.1.2.3 IEEE 802.11b
IEEE 802.lib, menetapkan DSSS yang bekerja pada frekuensi 1, 2,
5.5 dan 11 Mbps. 802.l i b samasekali tidak mendeskripsikan FHSS,
sedangkan pe-rangkatnya sama dengan 802.11. Sehingga akan kompatibel
dan dibutuhkan biaya yang rendah untuk meng-upgrade. Karena biaya yang
rendah, dan laju data yang tinggi, membuat 802.lib sangat populer.
Laju data yang tinggi dikarenakan penggunaan teknik
pengkodean yang berbeda. Walaupun masih merupakan direct sequence,
pengkodean chips (CCK dibanding Barker Code) dan teknik modulasi
yang digunakan (QPSK pada frekuensi 2, 5.5, & 11 Mbps dan BPSK pada
frekuensi 1 Mbps) meng-hasilkan jumlah data yang ditransfer lebih
banyak dalam satu time frame. 802.1 Ib hanya bekerja pada 2,4 GHz ISM
band, antara 2.4000 dan 2.4835 GHz. (Gunawan arief hamdani, Putra
andi, 2004 : 125)
10
2.1.2.4 IEEE 802.11g
Standar 802.llg menghasilkan kecepatan maksimum yang sama
dengan 802.1l a, dan kompatibel dengan 802.11 b. Kekompatibelan ini akan
membuat proses upgrading wireless LAN lebih mudah dan lebih murah.
IEEE 802.1 Ig bekerja pada frekuensi 2.4 GHz ISM. Untuk
mencapai laju data yang sama dengan pada standar 802.11 a, teknik
modulasi yang digunakan pada standar 802.llg adalah Orthogonal
Frequency Division Multiplexing (OFDM). Dan bisa secara otomatis di-
switch ke modulasi QPSK untuk berkomunikasi dengan standar 802.l i b
yang lebih lambat dan standar 802.11 yang kompatibel. ( Gunawan arief
hamdani, Putra andi, 2004 : 125 )
2.1.2.5 IEEE 802.11n
Secara spesifikasi, memang terlihat perbedaan yang cukup
mencolok untuk kinerjanya. Terutama untuk transfer rate yang
dimungkinkan oleh masing-masing standar tersebut. 802.11n juga
memasukan standardisasi 802.11e untuk QoS dan power saving, ini
memungkinkannya bekerja lebih baik. efisien dengan data rate yang
lebih baik. Dan memang salah satu fitur utama pengembangan
802.11n adalah high throughput (HT), dengan raw bit-rate
hingga maksimal 600 Mbps. Dibandingkan dengan 802.11g yang
hanya memiliki raw bit rate 54 Mbps. Subcarrier yang digunakan pada
802.11g hanya terdiri dari 48 OFD data subcarrier. Sedangkan,
802.11n menggunakan 52 subcarrier. Forward Error Correction (FEC)
11
yang digunakan pada 802.11g mencapai rasio 3:4. Pada 802.11n FEC
ini ditingkatkan dengan rasio 5:6. Guard interval pada transmisi
802.11g sama seperti 802.11a pada kisaran 800ns. Sedangkan, pada
802.11n dipersingkat menjadi 400ns. (http://www.pcmedia.co.id /
detail.asp?Id=1966&Cid=18&Eid=52)
2.1.3 Komponen Jaringan Wireless LAN
Untuk membangun jaringan wirelesss LAN diperlukan beberapa kompo-
nen yang sangat penting dan merupakan kebutuhan utama. Komponen jaringan
wireless LAN yang dimaksud antara lain adalah :
2.1.3.1 Access Point
Administrator Wireless LAN dapat mengkonfigurasi dan
mengelola device. Sesuai namanya, access point bertindak sebagai
penghubung agar client dapat bergabung ke dalam sebuah system
jaringan.
Access point dapat menghubungkan client-client wireless dengan
jaringan kabel dan access point lainnya. Dalam implementasinya, kita
dapat membentuk access point ke dalam 3 mode, yakni :
1. Mode root
Mode di gunakan ketika access point di hubungkan ke jaringan
kabel. Kebanyakan access point yang mendukung mode root
menjadikannya mode default. Selain dengan client wireless, access point
bermode root dapat pula berkomunikasi dengan access point bermode
12
root lainnya. Kemudian, access point dapat saling berkoordinasi dalam
melakukan fungsi roaming. Dengan demikian, wireless client masih dapat
berkomunikasi melalui cell berbeda.
Gambar 2.1 Mode Root (Arifin, Zainal, 2007 : 15 )
2. Mode Repeater
Di dalam mode repeater, access point mempunyai kemampuan
menyediakan sebuah jalur upstream wirelesske jaringan kabel seperti
gambar berikut. Penggunaan access point dengan mode repeater tidak
disarankan. Mode demikian hanya digunakan jika benar-benar di
perlukan karena antar-cell harus saling membnetuk irisan minimum 50%.
Akibatnya, komfigurasi demikian mengurangi jangkauan access point
terhadap client wireless.
13
Gambar 2.2 Mode Repeater ( Arifin, Zainal, 2007 : 15 )
3. Mode Bridge
Pada mode bridge, access point bertindak seperti bridge wireless.
Device bridge wireless berfungsi menghubungkan dua atau beberapa
jaringan kabel secara wireless. ( Arifin, Zainal, 2007 : 11 )
Gambar 2.3 Mode Bridge ( Arifin, Zainal, 2007 : 15 )
2.1.3.2 Wireless Network Interface Card adapter (WNIC)
14
Pada umumnya setiap stasiun wireless (laptop) keluaran terbaru
dilengkapi (built-in) dengan Wireless Network Interface Card adapter
(WNIC). Namun ada jenis WNIC lain yang dapat digunakan pada laptop
atau PC dalam bentuk eksternal yaitu PCMCIA, USB dan PCI wireless
adapter. Dalam sebuah WNIC tersebut terdapat radio dengan frekuensi
2,4 sampai 5GHz dan juga dilengkapi dengan antena untuk buatan vendor
tertentu.
Gambar 2.4 Wireless Network Interface Card adapter (WNIC)
2.1.3.3 Wireless Bridge
Sebuah wireless bridge menyediakan konektifitas antara dua
jaringan kabel dam digunakan dalam bentuk konfigurasi point to point
atau point to multipoint. Sebuah wireless bridge merupakan device half
duplex yang memiliki kemampuan konektifitas layer 2.
Dalam impelementasinya, sebuah bridge dapat membentuk mode
berikut :
1. Mode Root
Sebuah root bridge hanya dapat berkomunikasi dengan non-root
bridge dan device-device client lainnya serta tidak dapat berasosiasi
dengan root bridge lainnya.
15
2. Mode Non-Root
Pada wireless bridge dalam mode non-root, bridge terpasang
secara wireless ke wireless bridge yang menerapkan mode root.
3. Mode Access Point
Dengan menggunakan mode demikian, sebuah bridge bertindak
sebagai access point.
4. Mode Repeater
Di dalam konfigurasi repeater, sebuah bridge akan ditempatkan
diantara dua bridge lainnya dengan tujuan memperpanjang jangkauan
wireless bridge. (Arifin, Zainal, 2007 : 14)
2.1.3.4 Antena
Perangkat yang dibutuhkan oteh device wireless salah satunya
adalah Antena RF. Antena RF merupakan sebuah device yang digunakan
untuk mengkonversi sinyat frekuensi tinggi di jalur pengirim agar dapat
memancarkan gelombang ke udara.
Ada 3 kategori antena RF, di antaranya: a. Omnidirectional
b. Semidirectional
c. Highly directional
Masing-masing kategori memiliki beberapa jenis antena dengan
karakteristik yang berbeda-beda.
a. Antena Omnidirectional (dipole)
Omnidirectional memancarkan energinya ke semua arah.
16
Kebanyakan antenna yang digunakan wireless LAN menggunakan jenis
ini.
Gambar 2.5 Dipole Doughnut ( Gambar disadur dan "Certified Wireless Network Administrator
Study Guide" Administrator Study Guide )
Antena omnidirectional digunakan ketika jangkauan ke segala
juaisan di sekitar poros antena horizontal diperlukan. Antena
omnidirectional paling erektif jika cakupan area di sekitar titik pusat
diperlukan. Antena omnidirectional biasa digunakan pada -hubungan
point to multipoint dengan menggunakan topologi star.
b. Antena Semidirectional
Antena semidirectional memiliki beberapa bentuk yang berbeda.
Beberapa jenis antena semidirectional yang digunakan pada Wireless
LAN antara lain jenis antena Patch, Panel, dan Yagi. Semua jenis pada
umumnya flat dan dirancang untuk dipasangkan pada dinding. Masing-
masing memiliki karateristik tersendiri. Antena mengarahkan energi dari
pemancar secara lebih kuat ke a rah tertentu.
17
Gambar 2.6 Antena-antena semidiiectional
( Arifin zainal, 2007 : 79 )
Antena semi directional lebih cocok digunakan untuk jarak
pendek dan menengah. Oenis koneksi point to point biasa menggunakan
jenis antena demikian. Contohnya adalah antena yang digunakan untuk
menghubungkan jaringan dua gedung yang terpisah dengan jalan raya.
c. Antena Highly Directional
Antena highly directional terdiri atas beberapa bentuk, di
antaranya adalah:
Antena parabolic dish
Gambar 2.7 Antena parabolic dish ( Arifin zainal, 2007 : 80 )
Antena grid
Gambar 2.8 Antena dish ( Arifin zainal, 2007 : 80 )
18
Antena jenis demikian ideal untuk menghubungkan jenis koneksi
wireless secara point to point. Lebih lanjut, antena highly directional
dapat memancarkan sinyal hingga 42 km. ( Arifin zainal, 2007 : 71 )
2.1.4 Terminal Wireless LAN
Ada beberapa yang menjadi bagian dari sebuah terminal pada Wireless
LAN, diantaranya yaitu :
2.1.4.1 Tablet PC
Tablets PC merupakan peralatan wireless yang menyerupai
notebook dengan kelebihan yang hampir sama. Memiliki bentuk
compact dan dilengkapi dengan pena elektronik untuk keperluan
digital signature.
2.1.4.2 Smart Phones
Telepon mobile atau telepon selular adalah telepon yang
mempunyai kemampuan dalam transmisi panjang gelombang
analog atau digital yang memungkinkan pengguna untuk
mengadakan koneksi wireless ke transmitter terdekat. Luas
jangkauan transmitter disebut dengan cell. Pengguna telepon
selular bergerak dari satu cell ke cell lainnya, sehingga koneksi
telepon secara efektif dikirimkan dari satu transmitter cell ke
19
transmitter cell lainnya. Pada saat ini, telepon selular berintegrasi
dengan PDA, yang menyediakan peningkatan akses e-mail dan
internet wireless. Telepon mobile dengan kemampuan memproses
informasi dan jaringan data disebut dengan smart phone.
2.1.4.3 Personal Digital Assistan ( PDA )
Personal Digital Assistant (PDA) merupakan data organizer
yang berukuran kecil. PDA ini menawarkan aplikasi seperti office
productivity, basis data, buku alamat, penjadwalan dan daftar
kegiatan. PDA juga memungkinkan pengguna untuk
mengsinkronisasikan data antar PDA atau antara PDA dengan PC.
Versi yang lebih baru memungkinkan pengguna mendownload e-
mail.
2.1.4.4 Wireless Fidellity ( Wi-Fi ) Phones
Wi-Fi phones menggunakan jaringan untuk melakukan
panggilan dan membutuhkan bandwidth yang cukup untuk dapat
beroperasi. Wi-Fi phones dapat digunakan untuk roaming melalui
jaringan VoIP ke jaringan selular.
2.1.5 Model Jaringan Wireless
Jaringan komputer menggunakan sistem wireless terbagi menjadi dua
macam, yaitu : Ad-hoc Mode dan Client/Server dan Access Point Mode. Pada
Ad-hoc Mode, setiap komputer yang akan terhubung ke jaringan wireless cukup
20
hanya menggunakan sebuah Wireless Network Adapther, tanpa menggunakan
suatu sentral komunikasi (Access Ponit) yang berfungsi sebagai pengatur lalu
lintas data. Sedangkan pada Client/Server dan Access Point Mode, disamping
menggunakan Wireless Adapther untuk dapat terkoneksi ke jaringan wireless
dibutuhkan juga suatu sentral komunikasi (Access Ponit) yang berfungsi sebagai
pengatur lalu lintas data pada sistem jaringan tersebut.
(http://www.wahyudi.or.id/artikel/MembangunHotspot.doc)
2.1.5.1 Ad-hoc
Standarisasi IEEE 802.11 mendefinisikan protokol dalam dua tipe
jaringan, yaitu jaringan Ad Hoc dan Client/Server. Jaringan Ad Hoc
merupakan jaringan sederhana di mana komunikasi terjadi di antara dua
perangkat atau lebih pada cakupan area tertentu tanpa harus memerlukan
sebuah access point atau server. Standarisasi ini semacam etiket pada setiap
perangkat jaringan dalam melakukan akses media wireless. Metode ini
meliputi penentuan pemberian permintaan koneksi pada sebuah media
untuk memastikan throughput yang dimaksimalkan untuk pengguna dalam
menerima layanan.
Komunikasi Ad Hoc menggunakan media gelombang radio satu
dengan yang lain, dan peralatan ini akan mengenal peralatan RF lain dalam
cakupan sinyal yang saling berdekatan, sehingga komunikasi dapat
dilakukan. Jaringan Ad Hoc dapat digunakan pada komputer-komputer
notebook, laptop, atau peralatan handheld lain yang membutuhkan transfer
date mobile lingkup kecil, dan tentunya yang memunyai peralatan RF yang
sama dan telah mendukung teknik Ad Hoc. (Mulyanta edi s, 2005 : 53)
21
Gambar 2.9 Jaringan Ad Hoc ( Mulyanta edisi, 2005 : 53 )
2.1.5.2 Access Point
Jaringan Client/Server menggunakan access point sebagai
pengatur alokasi waktu transmisi untuk semua perangkat jaringan dan
mengizinkan perangkat mobile melakukan proses roaming dari sel ke sel.
Access point digunakan untuk menangani lalu lintas dari radio mobile ke
perangkat yang menggunakan kabel maupun pada jaringan wireless.
Access Point, digunakan untuk melakukan pengaturan lalu lintas
jaringan dari mobile radio ke jaringan kabel atau dari backbone jaringan
wireless client/server. Pengaturan ini digunakan untuk melakukan
koordinasi dari semua node jaringan dalam mempergunakan layanan dasar
jaringan scrta memastikan penanganan lalu lintas data dapat ber-jalan
dengan sempuma. Access point akan merutekan aliran data antara pusat
jaringan dengan jaringan wireless yang lain. Dalam sebuah WLAN,
pengaturan jaringan akan dilakukan oleh access point pusat yang memunyai
performa troughput yang lebih baik.
Jaringan yang menggunakan access point sering disebut multipoint
22
RF network. Tipe jaringan wireless ini memunyai beberapa station dengan
RF transmitter dan receiver, di mana setiap station akan berkomunikasi ke
peralatan pusat access point ini atau sering disebut wireless bridge, Pada
sistem RF, wireless bridge disebut wireless access point (WAP). WAP
menyediakan koneksi secara transparan ke host LAN melalui koneksi
ethemet dan jaringan metode wireless. (Mulyanta edi s, 2005 : 54)
2.1.6 Hotspot
Secara fungsional, sebuah kawasan hotspot menyediakan ketersediaan
koneksi jaringan tanpa kabel di mana user menggunakan perlengkapan yang
kompatibel untuk dapat melakukan koneksi ke internet atau ke intranet, aktivitas
e-mail, dan aktivitas jaringan lain. Peralatan yang digunakan tidak terbatas hanya
Personal Computer atau laptop, akan tetapi peralatan mobile yang lain seperti
PDA, telepon selular, notebook, atau peralatan game online lainnya.
Beberapa komponen dalam hotspot adalah:
Station yang mobile
Access Point
Switch, Router, Network Access Controller
Web server atau server yang lain
Koneksi Internet kecepatan tinggi
Internet Service Provider
Wireless ISP
Hal yang periu dipahami dalam membangun sebuah kawasan wireless
23
area adalah konfigurasi serta persyaratan apa yang harus dipenuhi serta untuk
siapa wireless area ini diperuntukkan. Beberapa hal tersebut adalah ukuran lokasi
cakupan, jumlah perkiraan user yang simultan, dan tipe pengguna wireless
sasaran. Anda dapat mempelajari secara singkat pembangunan hotspot dengan
sederhana pada bagian akhir buku ini.
a. Ukuran lokasi cakupan
Ukuran ini menjadi pertimbangan awal yang sangat menentukan dalam
membangun area wireless hotspot Dengan menentukan lokasi cakupan, akan da-
pat dipilih peralatan access point (AP) mana yang dapat melayaninya, misalnya
dengan menentukan daya jangkau jarak tertentu. Beberapa AP diperlukan untuk
menyediakan area cakupan yang lebih luas.
b. Jumlah Pengguna
Dalam melakukan layout hotspot, jumlah user dapat digunakan untuk
menentukan serta memerkirakan kepadatan pengguna pada kawasan tersebut.
Kepadatan ini dapat diukur dari jumlah pengguna per kawasan. Di samping
jumlah pengguna, hal yang lebih penting adalah pola pengguna sasaran yang
dituju, sehingga akan dapat ditentukan pula target minimum bandwith per user
yang aktif. Sebagai contoh, target bandwith adalah 100 Kbps per user aktif, di
dalam daerah tersebut ter-koneksi 5 user yang aktif sehingga memerlukan
minimal 500 Kbps atau lebih untuk melakukan koneksi Internet dengan baik.
c. Model penggunaan
Faktor ketiga adalah tipe aplikasi apa yang diguna-kan oleh user yang
24
akan terkoneksi di hotspot tersebut. Model pada lingkungan kampus akan
berlainan tipe aplikasinya dibanding dengan di hotel, atau di kafe-kafe yang
menyediakan hotspot. Kebutuhan apa yang dapat digunakan sebagai standar
minimal bandwith yang dibutuhkan untuk menyediakan ketersediaan resource
bandwith, adalah faktor utama dalam menentukan kapasitas minimal bandwith
Internet yang akan digunakan. Sebagai contoh, penggunaan minimal kawasan
wireless tersebut adalah 250 Kbps, di mana kapasitas ini cukup memadai untuk
melakukan koneksi hotspot dan menjaiankan aplikasi. Bandwith yang dibutuhkan
untuk menghasilkan performa yang baik, saat 4 user melakukan koneksi secara
simultan adalah 1 Mbps. Perhitungan sederhananya adalah: 250 Kbps x User
Simultan = 1.000 Kbps atau 1.0 Mbps. (Mulyanta edi s, 2005 : 148)
2.1.7 ` Komponen dan Fungsi Hotspot
Anda memerlukan beberapa komponen dasar untuk membangun sebuah
hotspot, Berikut adalah daftar fitur penting dan fungsionalitas dari pembangunan
hotspot yang diperlukan (Mulyanta edi s, 2005 : 150) :
a. Melakukan akses ke wireless link
• Menyediakan mobile station dengan informasi jaringan wireless
• Membuat association dengan mobile station
• Melakukan akses ke jaringan local
• Menyediakan layanan transfer data paket
• Melakukan disassociation dari mobile station
b. Menetapkan sebuah hotspot
• Melakukan page redirection
25
• Autentikasi mobile station
• Autorisasi user
c. Manajemen pada layer 3 (IP)
• Menyediakan alamat IP pada peralatan mobile
• Translasi dari aiamat privat menjadi publik jika dipertukan
• Menyediakan Domain Name Services (DNS)
• Menyediakan informasi gateway Berikut referensi arsitektur hotspot
yang dikembangkan oleh Intel.
2.1.7.1 WISP (Wireless Internet Service Provider)
Layanan ini merupakan bentuk komunikasi buat pengembangan
dan ISP standar. Layanan tersebut antara lain:
• Desain hotspot
• Manajemen, yang meliputi pemonitoran, update hardware/ soft-
ware, konfigurasi jaringan, serta pengaturan user account.
• Pemonitoran dan pengaturan akses yang meliputi penetapan-
penetapan, autentikasi, dan keamanan.
• Accounting dan billing, digunakan untuk menentukan tipe pem-
bayaran seperti prabayar, pascabayar, dan penetapan roaming.
• Akses WAN. (Mulyanta edi s, 2005 : 152)
2.1.7.2 Internet Service Provider/ISP
Menyediakan koneksi antara hotspot dengan Internet pada
jaringan yang lebih besar atau WAN. ISP dapat pula menyediakan
26
layanan WISP, tetapi bersifat optional. (Mulyanta edi s, 2005 : 152)
2.1.7.3 WAN Access Gateway/Router
Merupakan titik pintu keluar dari hotspot ke ISP. Komponen ini
merupakan fungsi penyedia akses utama ke WAN. (Mulyanta edi s,
2005 : 152)
2.1.7.4 Access Point (AP)
AP secara harafiah dapat diartikan sebagai proses komunikasi
LAN hotspot dengan peralatan yang digunakan oleh user. (Mulyanta edi
s, 2005 : 152)
2.1.7.5 Switch/Hub
Tujuan utama adanya switch dan hub adalah menyediakan banyak
port untuk melakukan koneksi AP dan komponen jaringan hotspot lain.
Kapabilitas switch dan user dapat digunakan untuk mengatur routing
paket dan untuk membawa properti paket sebagai dukungan terhadap
fungsi switch, misalnya port, MAC address, dan IP address. (Mulyanta
edi s, 2005 : 152)
2.1.7.6 Network Access Controller
Fungsi utama NAS adalah untuk mengontrol akses ke jaringan.
Fungsi NAS cenderung bersifat penjaga gawang jaringan dengan
mengimplementasikan filter cerdas untuk melakukan seleksi sebelum ke
27
jaringan lain. (Mulyanta edi s, 2005 : 153)
2.1.7.7 IP Address Allocation Manager
Dalam rangka menjaga komunikasi antar komponen dengan baik
membutuhkan alamat IP yang unik di dalam kawasan hotspot. Metode
yang sudah sangat umum digunakan adalah menggunakan server
Dynamic Host Configuration Protocol (DHCP). DHCP merupakan
protokol Internet yang melakukan otomatisasi konfigurasi komputer
dengan menggunakan protokol TCP/IP. Hal yang sangat kritis adalah
fungsionalitas hotspot dalam memilih IP address yang digunakan. IP
terdiri dari dua macam bentuk alamat, yaitu alamat IP public (publik) dan
IP private (privat). Perbedaan IP publik dan IP privat adalah :
IP Publik IP Privat
IP publik dapat digunakan untuk melakukan koneksi jaringan Internet yang luas.
IP address bersifat privat dalam sebuah jaringan LAN,
Internet Assigned Numbers Authority (IANA) telah menyediakan
sekumpulan alamat IP yang digunakan untuk private network. Sebagai
contoh adalah :
10.0.0.0 - 10.255.255.255 Blok 24 bit kelas tunggal
172.16.0.0 – 172.31.255.255 Blok 20 bit, jumlahnya 16 kelas B yang saling berdekatan
28
192.168.0.0 – 192.168.255.255 16 bit blok, 256 kelas C
Alamat IP privat hanya dapat digunakan pada setiap jaringan privat dan
akan terlihat pada jaringan Internet. Oleh karena itu, jaringan ini tidak
akan dapat berkomunikasi langsung di Internet. Untuk dapat ber-
komunikasi langsung di luar jangkauan cakupan area privat, peralatan
tersebut menggunakan Network Address /port translator. (Mulyanta edi s,
2005 : 153)
2.1.7.8 Network Address/Port Translator
Saat paket IP dikirimkan melalui Internet, paket tersebut akan
menggunakan alamat IP publik. Bagaimana mungkin alamat privat dapat
mengirimkan paket melalui jaringan umum di Internet? Jawabnya adalah
dengan melakukan switch IP address. Setiap paket tersebut akan melintas
dari jaringan privat, kemudian ke jaringan publik untuk mendapatkan
akses ke jaringan Internet sehingga alamat IP sumber harus diubah ke
alamat IP publik. Translasi dari alamat privat ke alamat publik ditangani
oleh Network Address Translator (NAT). Variasi dari model translasi ini
juga melakukan translasi port IP, peralatan ini disebut Network Address
Port Translators (NAPT). Peralatan NAPT akan melakukan map atau
pemetaan terhadap semua alamat IP privat ke dalam sebuah alamat IP
public. (Mulyanta edi s, 2005 : 153)
29
Gambar 2.10 Network Address Translator (NAT)
(http://en.kioskea.net/internet/nat.php3)
2.2 Arsitektur Jaringan Wireless LAN
Ketika Anda menginstal mengkonfigurasi, dan mengaktif-kan perangkat Wireless
LAN di sisi dient seperti PCMCIA card, maka dient secara otomatis dalam posisi listen
untuk mendengar sinyal yang dikirimkan dari perangkat wireless LAN lainnya. Proses
listen di sini dikenal pula dengan istitah scanning. Scanning terjadi sebelum proses
lainnya karena berfungsi mencari perangkat wireless lainnya.
Ada 2 jenis scanning, yaitu:
• Scanning secara pasif (passive scanning).
• Scanning secara aktif (active scanning).
Dalam proses mencari keberadaan access point station atau client akan
mengidentifikasi sebuah identifier yang dikenal dengan istilah SSID (Service Set
Identifiers). SSID merupakan nama kelompok jaringan yang digunakan pada Wireless
LAN. Sifatnya unik dan case sensitive. Kemudian, nilainya berupa karakter atfanumerik
yang memiliki panjang 2 hingga 32 karakter. SSID digunakan untuk membagi jaringan
30
dan untuk proses bergabung ke dalam sebuah jaringan.
Gambar 2.11 Client mengidentifikasikan adanya SSID (http://www.wlanbook.com/wp-content/uploads/2007/06/ssid-advertising.gif)
Sebuah client hams memiliki SSID yang benar supaya dapat bergabung ke dalam
sebuah jaringan Wireless LAN. Administrator memasangkan SSID di setiap access point
Beberapa client memiliki kemampuan menggunakan nilai SSID secara manual
(dipasangkan oleh administrator), tetapi ada pula dient yang dapat menemukan sendiri SSID yang dipancar-kan oleh access point
Nilai SSID yang terpasang di client dan access point harus sama. SSID dari
access point dikirimkan da lam sebuah beacon, yakni sebuah frame pendek yang
dikirimkan dari access point ke station atau client (pada mode infrastruktur) atau antar-
client (pada mode adhoc). Beacon berfungsi mengelola dan mensinkronisasikan
komunikasi wireless pada Wireless LAN. (Arifin zaenal, 2007 : 33)
2.2.1 Passive Scanning
Scanning secara pasif ( Passive Scanning ) merupakan proses
mendengarkan beacon pada tiap-tiap channel dalam periode waktu tertentu
31
setelah client diinisialisasi. Access point mengirim beacon, sedangkan client
melakukan proses scanning karakteristik katalog tentang access point berbasis
beacon. Station (client) mendengarkan beacon hingga mendengar sebuah beacon
yang memperlihatkan SSID dari jaringan yang ingin dimasuki. Kemudian, station
(client) berusaha bergabung dengan jaringan melalui access point yang telah
mengirim beacon.
Jika di dalam sebuah area ada beberapa access point SSID jaringan di-
broadcast oleh beberapa access point Pada situasi ini, station akan berusaha
bergabung dengan jaringan melalui access point berdasarkan kekuatan sinyal.
Station melanjutkan scanning secara pasif setelah beraso-siasi dengan
access point. Scanning secara pasif menyimpan waktu reconnect ke jaringan jika
client memutuskan hubu-ngan dengan access point Dengan menyimpan daftar
access point yang tersedia beserta karakteristik-karakteristiknya, station (client)
dapat dengan cepat mencari access point terbaik yang seharusnya dihubungi oleh
client
Station (client) akan berpindah dari satu access point ke access point
tainnya setelah sinyal radio dari access point yang dihubungi dient melemah.
Agar station (client) dapat tetap terhubung dengan jaringan, kita dapat
menerapkan mekanisme roaming. Station (client) menggunakan infbrma-si yang
diperoteh melalui mekanisme scanning secara pasif untuk mencari access point
terbaik. Selanjutnya, access point digunakan untuk rnenghubungi kern ball
jaringan. Untuk alasan tersebut, kita perlu mendesain pemasangan beberapa
access point supaya saling melakukan overlap (membentuk irisan) kurang lebih
10-15%. Overlap meng-izinkan station-station untuk melakukan roaming an tar-
access point walaupun jaringan terputus dan terhubung kernbali tanpa
32
sepengetahuan user.(Arifin zaenal, 2007 : 36)
2.2.2 Active Scanning
Scanning secara aktif (Active Scanning) meliputi pengiriman sebuah
frame berisi probe pemtintaan dari client wireless. Station (client) mengirimkan
probe permintaan ketika secara aktif mencari sebuah ketompok jaringan wireless.
Probe permintaan berisi SSID suatu kelompok jaringan wireless.
Jika sebuah probe yang dikirim menetapkan sebuah SSID, lalu hanya
access point yang melayani SSID akan merespons dengan sebuah frame berisi
probe response. Jika sebuah frame probe request dikirim dengan sebuah
broadcast SSID, maka semua access point yang terjangkau akan merespons
dengan sebuah probe respons.
Cara menghubungi sebuah Wireless LAN terdiri atas dua subproses.
Subproses selalu terjadi da lam urutan yang sama dan disebut proses autentikasi
dan asosiasi. Sebagai contoh, ketika ktta berkomunikasi dari sebuah wireless PC
card ke sebuah Wireless LAN, artinya PC card telah diautentikasi dan telah
berasosiasi dengan sebuah access point Ketika berkomunikasi melalui asosiasi,
kita berbicara pada layer 2 dan autentikasi secara langsung dilakukan ke radio
bukan ke user. (Arifin zaenal, 2007 : 37)
2.2.3 Autentikasi dan Asosiasi
Langkah pertama untuk menghubungi sebuah device wireless (access
point) adalah autentikasi. Autentikasi adalah proses yang dilakukan jaringan
(biasanya oleh access point) untuk memeriksa identitas wireless node yang akan
bergabung ke jaringan. Client mulai melakukan proses autentikasi dengan
mengirimkan sebuah frame autentikasi request ke access point Access point akan
33
menerima atau menolak permintaan, lalu client akan mendapatkan sebuah frame
respons. Proses autentikasi dapat dilakukan pada access point atau access point
hanya akan melewatkan proses autentikasi ke sebuah server seperti RADIUS.
Radius akan melakukan autentikasi berdasarkan kriteria-kriteria yang muncul
Kemudian, hasilnya akan diberikan ke access point, yang akan memberi-tahukan
hasilnya ke client.
Setelah diautentikasi, dient akan melakukan proses asosiasi dengan
access point Associated adalah sebuah status yang menyatakan bahwa client
diizinkan untuk melewatkan data melalui sebuah access point Jika PC card
berasosiasi ke sebuah access point Anda terhubung ke access point dan jaringan.
Status antara proses auntentikasi dan asosiasi dapat terdiri atas beberapa
status :
UnAuthenticated dan UnAssociated
Wireless node terputus dari jaringan dan tidak dapat melewatkan
frame melalui access point.
Autenticated dan UnAssociated
Wireless client telah melakukan proses auntentikasi tetapi belum
melakukan proses asosiasi dengan access point. Maka, client belum
diiziinkan untuk mengirim atau menerima data melalui access point.
Authenticated dan Associated
Wireless node telah terhubung ke jaringan dan dapat melakukan
proses pengiriman dari penerimaan data melalui access point. (Arifin zaenal,
2007 : 38)
2.3 Topologi Jaringan WLAN
34
Ada tiga bentuk konfigurasi wireless LAN dan masing-masing bentuk tersebut
memiliki set peralatan yang berbeda-beda. Tiga bentuk konfigurasi tersebut adalah:
1. Independent Basic Service Set 2. Basic Service Set
3. Extended Service Set
2.3.1 Independent Basic Service Set ( IBSS ) Network
Sebuah independent basic service set disebut pula jaringan wireless yang
menggunakan metode adhoc. Sebuah IBSS tidak memertukan access point atau
device lain untuk mengakses ke sistem distribusi, tetapi hanya melingkupi satu
cell dan memiliki sebuah SSID. Client pada IBSS secara bergantian bertanggung
jawab mengirimkan beacon yang biasa dilakukan oleh access point.
Agar dapat mengirimkan data ke luar IBSS, sebuah client harus bertindak
sebagai gateway atau router dengan menggunakan software khusus untuk
mengimpiementasikan tuju-an. Pada IBSS, client membuat koneksi secara
langsung ke client lainnya, sehingga jaringan jenis demikian disebut jaringan
peer to peer. ( Arifin zaenal, 2007 : 50 )
Gambar 2.12 Topologi IBSS
(http://digilib.petra.ac.id/viewer.php)
2.3.2 Basic Service Set ( BSS) Network
35
Ketika sebuah access point dihubungkan ke jaringan kabel dan
serangkatan station wireless, konfigurasi jaringan dikatakan sebuah basic service
set. Basic Ssrvice set hanya terdiri atas satu access point dan satu atau beberapa
client wireless. Sebuah basic service set menggunakan mode infrastruktur, yaitu
sebuah mode yang membutuhkan sebuah access point dan semua trafik wireless
melewati access point Tidak ada transmisi langsung dient to client yang
diizinkan.
Gambar 2.13 Topolo-
gi BSS
(http://digilib.petra.ac.id/viewer.php)
Setiap client wireless harus menggunakan access point untuk
berkomunikasi dengan client wireless lainnya atau dengan host yang terdapat
pada jaringan kabel. Basic service set membentuk sebuah cell atau area frekuensi
radio, yang mengelilingi access point dengan beragam rate zone dan speed diukur
dengan Mbps. Jika basic service set menggunakan perangkat 802.11b, maka
lingkaran akan memiliki kecepatan 11, 5.5, 2, dan 1 Mbps. Rate data akan
semakin kecil jika semakin jauh dari access point Sebuah basic service set akan
memiliki 1 SSID. ( Arifin zaenal, 2007 : 50 )
2.3.3 Extended Service Set ( ESS ) Network
Sebuah extended service set didefinisikan sebagai dua atau beberapa
basic service set yang dihubungkan dengan sebuah sistem distribusi bersama.
36
Sistem distribusi dapat berupa kabel, wireless, LAN, WAN, atau bentuk jaringan
lain. Sebuah extended service set harus memiliki paling sedikit 2 access point
yang bekerja dalam mode infrastruktur. Semua paket harus melewati salah satu
access point yang tersedia.
Karakteristik lain ESS (extended service set), penggunaan standard
802.11, ESS melingkupi beberapa cell mengizinkan kemampuan roaming dan
tidak membutuhkan SSID yang sama diantara kedua BSS (basic service set).
( Arifin zaenal, 2007 : 50 )
Gambar 2.14 Topologi ESS
(http://digilib.petra.ac.id/viewer.php)
2.4 Keamanan Jaringan Wireless
Anda mungkin ingin mengetahui mengapa seseorang menggunakan koneksi
wireless yang sebenarnya tidak aman. Memang tidak semua seperti itu, terima kasih
kepada Wired Equivalent Protocol, atau Wireless Encryption Protocol atau bahkan
Wired Equivalent Privacy. Tampaknya "para ahli industri" memperdebatkan
37
kepanjangan WEP. Terlepas dari bagaimana Anda mengucapkan atau menyatakannya,
WEP adalah sebuah algoritma enkripsi yang dapat diaktifkan untuk mengenkripsi
transmisi di antara pengguna wireless dan WAP-nya.
Pada awalnya, standar 802.lib tidak dimaksudkan untuk men-jabarkan
seperangkat alat keamanan tingkatan enterprise. Tetapi, standar tersebut memasukkan
beberapa ukuran keamanan dasar yang da-pat dikembangkan untuk membantu membuat
jaringan lebih aman. Dengan masing-masing fitur keamanan, hal yang terjadi pada
jaringan kemungkinan bisa lebih aman atau lebih terbuka untuk diserang.
Dengan konsep pertahanan layered, bagian berikut akan melihat pada bagaimana
peranti wireless mengoneksi ke sebuah access point dan bagaimana Anda dapat
mengaplikasikan keamanan sedapat mungkin pada acces point yang pertama. (Thomas
tom, 2005 : 345)
2.4.1 Service Set Identifier (SSID)
Secara default, access point mem-broadcast SSID setiap beberapa detik
dalam beacon frame. Meskipun ini memudahkan bagi authorized user untuk
mencari jaringan yang benar, tap! juga memudahkan bagi unauthorized user un-
tuk mendapatkan nama jaringan. Fitur ini memungkinkan sebagian perangkat lu-
nak deteksi jaringan wireless untuk mendapatkan jaringan tanpa memiliki SSID
upfront.
Setting SSID pada jaringan Anda harus ditetapkan sebagai ting-kat
keamanan yang pertama. Sesuai standarnya, SSID tidak dapat memberikan
semua proteksi terhadap siapa saja yang mengumpulkan akses pada jaringan
38
Anda, tetapi mengonfigurasi SSID Anda kepada sesuatu yang tidak bisa
diprediksi dapat mempersulit penyusup untuk mengetahui apa sebenarnya yang
mereka lihat.
Daftar SSID dari pemanufaktur dan perangkat jaringan lain yang dapat
membongkar password dapat ditemukan di http:// www.cirt.net/. Seperti yang
dapat Anda lihat, SSID telah tersedia di Internet. Jadi, mematikan SSID
broadcasting sebagai langkah awal Anda merupakan gagasan yang bagus.
(Thomas tom, 2005 : 345)
2.4.2 Menggabungkan Peranti dan Access Point
Sebelum semua komunikasi lain terjadi di antara wireless client dan wire-
less access point, pertama-tama keduanya hams memulai sebuah dialog. Proses
ini dikenal sebagai associating. Saat 802.lib didesain, IEEE menambahkan fitur
untuk memungkinkan jaringan wireless menjalankan otentikasi sesegera
mungkin sesudah peranti klien bergabung dengan access point, tetapi sebelum
transmisi access point muncul. Tujuan dari persyaratan ini adalah untuk me-
nambahkan layer keamanan lain. Otentikasi ini dapat diset menjadi shared key
authentication atau open key authentication. Anda harus menggunakan open key
authentication karena shared key lemah; meskipun kontra-intuitif, namun
rekomendasi ini didasarkan pada pemahaman bahwa enkripsi lain akan digu-
nakan. (Thomas tom, 2005 : 347)
2.4.3 Wired Equivalent Privacy (WEP)
39
Ada banyak salah pengertian mengenai WEP. Jadi, mari kita perjelas hal
ini. WEP bukanlah sebuah algoritma keamanan. WEP tidak pemah didesain
untuk melindungi data Anda dari script kiddies atau dari penyerang pintar yang
ingin menemukan rahasia Anda. WEP tidak didesain untuk menolak; ia hanya
memastikan bahwa Anda sedikit aman karena Anda tidak mengelola data Anda
dalam sebuah wire. Masalahnya akan muncul saat orang melihat kata "enkripsi"
dan membuat asumsi. WEP didesain untuk memperbaiki keridakamanan yang
melekat pada transmisi wireless, sama dengan transmisi wired. WEP membuat
data Anda sama amannya jika data tersebut ada pada jaringan wired Ethernet
yang tidak dienkripsi. Itulah tujuan desain WEP. Kini salah pengertian itu telah
terpecahkan dan Anda dapat memelajari.
WEP melindungi traffic wireless dengan mengombinasikan "secret" WEP
key dengan bilangan 24-bit (Initialization Vector atau IV), dihasil-kan secara
acak untuk menyediakan layanan enkripsi. 24-bit IV dikom-binasikan dengan 40-
bit atau 104-bit WEP pass phrase untuk memberi Anda kekuatan dan
perlindungan enkripsi 128-bit — benarkah demiki-an? Ada beberapa isu
mengenai kekurangan implementasi WEP:
Kelemahan pertama WEP adalah keterbatasan numerical 24-bit Initialization
Vector (IV), yang menghasilkan value 16777.216 (224). Ini mungkin tam-
paknya besar, tetapi Anda mengetahui dari diskusi pada Bab 4, "Protokol
Keamanan", bahwa bilangan mi hanyalah semu. Masalah pada bilangan kecil
ini adalah nilai-nilai dan key start mengulang dirinya sendiri, inilah
bagaimana penyerang dapat menyingkapkan WEP key.
40
Kelemahan kedua adalah value 16 juta, tidak semuanya bagus. Misalnya,
bilangan 1 tidak akan menjadi sangat bagus. Jika penyerang dapat
menggunakan alat untuk menemukan kelemahan pada nilai IV, WEP dapat
disingkapkan.
Kelemahan ketiga dari WEP adalah perbedaan di antara enkripsi 64-bit dan
128-bit. Hal ini akan mengindikasikan bahwa 128-bit harus menjadi dua kali
lebih aman, bukankah demikian? Salah. Semua tingkatan ini masih
menggunakan 24-bit IV yang sama, yang memiliki kelemahan bawaan.
Karenanya, jika Anda berpikir bahwa 128-bit lebih aman, dalam
kenyataannya Anda akan men-dapati bahwa keamanan jaringan Anda tidak
meningkat secara signitikan. (Thomas tom, 2005 : 347)
2.4.4 Pemfilteran MAC Address
Pemfilteran MAC address merupakan pemfilteran di atas standar 802,lib
untuk mengamankan jaringan. MAC address dari card jaringan adalah bilangan
hexadecimal 12-digit yang unik satu sama lain. Karena masing-masing card
wireless Ethernet memiliki MAC address-nya sendiri, maka jika Anda hendak
membatasi akses ke AP hanya pada MAC address dari peranti yang telah
diotorisasikan tersebut, Anda dapat dengan mudah mengeluarkan tiap orang yang
tidak berada pada jaringan Anda.
41
Gambar 2.15 Pemfilteran MAC address menggunakan RADIUS Server (http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf)
Akan tetapi, pemfilteran MAC address tidak seluruhnya aman dan jika
Anda semata-mata mengandalkan pemfilteran MAC address, Anda akan
mendapatkan kegagalan. Perhatikan hal berikut:
Seseorang akan melacak database MAC address dari setiap peranti wireless
dalam jaringan Anda. Tidak masalah jika hanya ada 10 sampai 20 peranti,
tetapi jika Anda harus melacak ratusan MAC address, maka ini akan segera
menjadi mimpi buruk.
MAC address dapat diubah sehingga penyerang dapat menggu-nakan
wireless sniffer untuk mengonfigurasi MAC address yang di-izinkan dan
mengeset PC-nya supaya dianggap valid. Ingat bahwa enkripsi menempati
Layer 2 sehingga MAC address akan terlihat pada packet sniffer. (Thomas
tom, 2005 : 350)
2.4.5 Extensible Authentication Protocol (EAP)
802.IX adalah standar yang terkait dengan port level security yang
diratifikasi IEEE. Ratifikasi ini pada awalnya dimaksudkan untuk
42
menstandarisasi keamanan pada wired network port, tetapi dia juga dapat
diaplikasikan pada jaringan wireless. Extensible Authentication Protocol (EAP)
adalah protokol keamanan (MAC address layer) Layer 2 yang berada di tahap
otentikasi pada proses keamanan, dan bersama-sama dengan ukuran keamanan
yang telah didiskusikan sejauh ini, menyediakan layer ketiga dan terakhir dari
keamanan untuk jaringan wireless Anda.
2.5 Remote Authentication Dial-In User Service (RADIUS) Server
Menjalankan sistem administrasi pengguna yang terpusat, sistem ini akan
mempermudah tugas administrator. Dapat kita bayangkan berapa banyak jumlah
pelanggan yang dimiliki oleh sebuah ISP, dan ditambah lagi dengan penambahan
pelanggan baru dan penghapusan pelanggan yang sudah tidak berlangganan lagi. Apabila
tidak ada suatu sistem administrasi yang terpusat, maka akan merepotkan administrator
dan tidak menutup kemungkinan ISP akan merugi atau pendapatannya berkurang.
Dengan sistem ini pengguna dapat menggunakan hotspot di tempat yang berbeda-beda
dengan melakukan autentikasi ke sebuah RADIUS server.
(http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
2.5.1 Prinsip Kerja RADIUS Server
RADIUS (Remote Authentication Dial-In User Service), adalah suatu
metode standar (protokol) yang mengatur komunikasi antara NAS dengan AAA
server. Dalam hal ini server AAA yang digunakan dapat juga disebut sebagai
server RADIUS, dan paket-paket data yang terlibat dalam komunikasi antara
43
keduanya disebut sebagai paket RADIUS.
Ketika NAS menerima permintaan koneksi dari user, NAS akan
mengirimkan informasi yang diperolehnya dari user ke server RADIUS.
Berdasarkan informasi tersebut, server RADIUS akan mencari dan mencocokkan
informasi mengenai user tersebut pada databasenya, baik internal, eksternal,
maupun server RADIUS lain. Jika terdapat informasi yang cocok, server
RADIUS akan mengizinkan user tersebut untuk menggunakan jaringan. Jika
tidak, maka user tersebut akan ditolak. Berdasarkan informasi ini, NAS
memutuskan apakah melanjutkan atau memutuskan koneksi dengan user.
Selanjutnya, NAS mengirimkan data ke server RADIUS untuk mencatat semua
kegiatan yang dilakukan user dalam jaringan.
Server RADIUS dan NAS berkomunikasi melalui paket-paket RADIUS.
Paket-paket RADIUS ini memiliki format sesuai dengan yang ditentukan oleh
IETF melalui dokumen RFC 2865 mengenai RADIUS, dan RFC 2866 mengenai
RADIUS accounting. Paket-paket RADIUS dikirimkan oleh NAS dan server
RADIUS berdasarkan pola request/response : NAS mengirimkan request dan
menerima response dari server RADIUS. Jika NAS tidak menerima response
dari server atas suatu request, NAS dapat mengirimkan kembali paket request
secara periodik sampai dicapai suatu masa timeout tertentu, dimana NAS tidak
lagi mengirimkan request kepada server, dan menyatakan bahwa server sedang
down/tidak aktif. Setiap paket memiliki fungsi tersendiri, apakah untuk
authentication atau untuk accounting. Setiap paket RADIUS dapat menyertakan
nilai-nilai tertentu yang disebut atribut (attributes). Atribut-atribut ini bergantung
pada jenis paket (authentication atau accounting), dan jenis NAS yang
44
digunakan. Informasi detail mengenai format paket dan nilai-nilai dari masing-
masing field dalam paket RADIUS dapat dilihat pada RFC 2865 dan RFC 2866.
Fungsi authentication dilakukan melalui field-field pada paket access-
request. Fungsi authorization dilakukan melalui atribut-atribut pada paket
access-accept. Fungsi accounting dilakukan melalui atribut-atribut pada paket-
paket accounting (paket start, stop, on, off, dll).
Keamanan pada komunikasi antara NAS dengan server RADIUS dijamin
dengan digunakannya konsep shared secret. Shared secret merupakan rangkaian
karakter alfanumerik unik yang hanya diketahui oleh server RADIUS dan NAS,
dan tidak pernah dikirimkan ke jaringan. Shared secret ini digunakan untuk
mengenkripsi informasi-informasi kritis seperti user password. Enkripsi
dilakukan dengan cara melewatkan shared secret yang diikuti dengan request
authenticator (field pada paket access request dari NAS yang menandakan
bahwa paket tersebut merupakan paket access request) pada algoritma MD5 satu
arah, untuk membuat rangkaian karakter sepanjang 16 oktet, yang kemudian di-
XOR-kan dengan password yang dimasukkan oleh user. Hasil dari operasi ini
ditempatkan pada atribut User-Password pada paket access request. Karena
shared secret ini hanya diketahui oleh NAS dan server RADIUS, dan tidak
pernah dikirimkan ke jaringan, maka akan sangat sulit untuk mengambil
informasi user-password dari paket access request tersebut.
NAS dan server RADIUS terhubung melalui jaringan TCP/IP. Protokol
yang digunakan adalah UDP (User Datagram Protocol), dan menggunakan port
1812 untuk authentication, dan port 1813 untuk accounting.
(http://www.telkomrdc-media.com/index.php)
45
Gambar 2.16 Struktur paket data RADIUS (http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
Struktur paket data RADIUS pada Gambar 2.20 terdiri dari lima bagian, yaitu:
1. Code
Code memiliki panjang adalah satu oktet, digunakan untuk membedakan tipe
pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal)
ialah:
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge
12 Status-Server
13 Status-Client
255 Reserved
2. Identifier
Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan.
3. Length
Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket.
46
4. Authenticator
Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS
server, selain itu digunakan juga untuk algoritma password.
5. Attributes
Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat mmembawa
satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password,
CHAP-password, alamat IP access point(AP), pesan balasan.
(http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
2.5.2 Authentication, Authorization, dan Accounting (AAA)
AAA adalah sebuah model akses jaringan yang memisahkan tiga macam
fungsi kontrol, yaitu Authentication, Authorization, dan Accounting, untuk
diproses secara independen. Model jaringan yang menggunakan konsep AAA
diilustrasikan pada gambar 2.19
Gambar 2.17 Model AAA
(http://www.telkomrdc-media.com/index.php)
47
Pada gambar 2.19 terlihat komponen-komponen yang terlibat dalam
model AAA. Pada dasarnya terdapat tiga komponen yang membentuk model ini
yaitu Remote User, Network Access Server (NAS), dan AAA server. Proses yang
terjadi dalam sistem ini ialah user meminta hak akses ke suatu jaringan (internet,
atau wireless LAN misalnya) kepada Network Access Server. Network Access
Server kemudian mengidentifikasi user tersebut melalui AAA server. Jika server
AAA mengenali user tersebut, maka server AAA akan memberikan informasi
kepada NAS bahwa user tersebut berhak menggunakan jaringan, dan layanan apa
saja yang dapat diakses olehnya. Selanjutnya, dilakukan pencatatan atas beberapa
informasi penting mengenai aktivitas user tersebut, seperti layanan apa saja yang
digunakan, berapa besar data (dalam ukuran bytes) yang diakses oleh user, berapa
lama user menggunakan jaringan, dan sebagainya. (http://www.telkomrdc-
media.com/index.php)
2.5.2.1 Authentication
Proses autentikasi diperlukan ketika Anda mempunyai kebutuhan
untuk membatasi siapa saja yang diperbolehkan masuk ke dalam jaringan
remote access milik Anda. Untuk memenuhi kebutuhan tersebut,
pengguna yang ingin mengakses sebuah jaringan secara remote harus
diidentifikasi terlebih dahulu. Pengguna yang ingin masuk ke dalam
jaringan pribadi tersebut perlu diketahui terlebih dahulu sebelum bebas
mengakses jaringan tersebut. Pengenalan ini bertujuan untuk mengetahui
apakah pengguna tersebut berhak atau tidak untuk mengakses jaringan.
Analoginya sederhananya adalah seperti rumah Anda. Apabila ada
orang yang ingin berkunjung ke rumah Anda, kali pertama yang akan
48
dilakukan oleh pemilik rumahnya adalah mengidentifikasi siapa yang
ingin datang dan masuk ke dalamnya. Jika Anda tidak mengenal orang
tersebut, bisa saja Anda tolak permintaannya untuk masuk ke rumah
Anda. Namun jika sudah dikenal, maka Anda mungkin akan langsung
mempersilakannya masuk. Demikian juga dengan apa yang dilakukan
oleh perangkat remote access terhadap pengguna yang ingin bergabung ke
dalam jaringan di belakangnya.
Pada umumnya, perangkat remote access telah dilengkapi dengan
sebuah list yang berisikan siapa-siapa saja yang berhak masuk ke jaringan
di belakangnya. Metode yang paling umum digunakan untuk mengenali
pengakses jaringan adalah dialog login dan password. Metode ini juga
didukung oleh banyak komponen lainnya, seperti metode challenge dan
response, messaging support, dan enkripsi, tergantung pada protokol
sekuriti apa yang Anda gunakan. (http://www.scriptintermedia.com /
view.php?id=105&jenis=ITKnowledg)
Gambar 2.18 Proses Autentikasi (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
49
2.5.2.2 Authorization
Proses authorization merupakan langkah selanjutnya setelah
proses autentikasi berhasil. Ketika pengguna yang ingin mengakses
jaringan Anda telah dikenali dan termasuk dalam daftar yang
diperbolehkan membuka akses, langkah berikutnya Anda harus
memberikan batasan hak-hak apa saja yang akan diterima oleh pengguna
tersebut.
Analogi dari proses ini dapat dimisalkan seperti peraturan-
peraturan yang tertempel di dinding-dinding rumah Anda. Isi dari
peraturan tersebut biasanya akan membatasi para pengunjung agar mereka
tidak dapat dengan bebas berkeliling rumah Anda. Tentu ada bagian yang
privasi di rumah Anda, bukan? Misalnya setiap pengunjung rumah Anda
tidak diperbolehkan masuk ke ruang kerja Anda. Atau setiap pengunjung
harus membuka alas kakinya ketika memasuki ruangan ibadah di rumah
Anda. Atau setiap pengunjung hanya diperbolehkan masuk sampai teras
rumah.
Semua itu merupakan peraturan yang dapat dengan bebas Anda
buat di rumah Anda. Begitu juga dengan apa yang terjadi pada proses
pengamanan jaringan remote access Anda. Perlu sekali adanya batasan
untuk para pengguna jaringan remote karena Anda tidak akan pernah tahu
siapa yang ingin masuk ke dalam jaringan Anda tersebut, meskipun telah
teridentifikasi dengan benar. Bisa saja orang lain yang tidak berhak
menggunakan username dan password yang bukan miliknya untuk
mendapatkan akses ke jaringan Anda.
50
Bagaimana untuk membatasi masing-masing pengguna tersebut?
Banyak sekali metode untuk melakukan pembatasan ini, namun yang
paling umum digunakan adalah dengan menggunakan seperangkat atribut
khusus yang dirangkai-rangkai untuk menghasilkan policy tentang hak-
hak apa saja yang dapat dilakukan si pengguna. Atribut-atribut ini
kemudian dibandingkan dengan apa yang dicatat di dalam database.
Setelah dibandingkan dengan informasi yang ada di database,
hasilnya akan dikembalikan lagi kepada fasilitas AAA yang berjalan pada
perangkat tersebut. Berdasarkan hasil ini perangkat remote access akan
memberikan apa yang menjadi hak dari si pengguna tersebut. Apa saja
yang bisa dilakukannya dan apa saja yang dilarang sudah berlaku dalam
tahap ini.
Database yang berfungsi untuk menampung semua informasi ini
dapat dibuat secara lokal di dalam perangkat remote access atau router
maupun dalam perangkat khusus yang biasanya disebut dengan istilah
server sekuriti. Di dalam server sekuriti ini biasanya tidak hanya
informasi profil penggunanya saja yang ditampung, protokol sekuriti juga
harus berjalan di sini untuk dapat melayani permintaan informasi profil
dari perangkat-perangkat yang berperan sebagai kliennya. Pada perangkat
inilah nantinya attribute-value (AV) dari pengguna yang ingin bergabung
diterima dan diproses untuk kemudian dikembalikan lagi menjadi sebuah
peraturan oleh fasilitas AAA tersebut.
Metode authorization biasanya dilakukan dalam banyak cara. Bisa
dilakukan dengan cara one-time authorization yang memberikan seluruh
51
hak dari si pengguna hanya dengan satu kali proses authorization. Atau
bisa juga dilakukan per service authorization yang membuat pengguna
harus diotorisasi berkali-kali ketika ingin menggunakan servis tertentu.
Authorization juga bisa dibuat per pengguna berdasarkan list yang ada di
server sekuriti atau kalau protokolnya mendukung otorisasi bisa
diberlakukan per group pengguna. Selain itu, jika server sekuritinya
memungkinkan, Anda dapat memberlakukan aturan-aturan otorisasi
berdasarkan sistem pengalamatan IP, IPX, dan banyak lagi yg lainnya.
(http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge
)
2.5.2.3 Accounting
Proses accounting dalam layanan koneksi remote access amat
sangat penting, apalagi jika Anda membuat jaringan ini untuk
kepentingan komersial. Dalam proses accounting ini, perangkat remote
access atau server sekuriti akan mengumpulkan informasi seputar berapa
lama si pengguna sudah terkoneksi, billing time (waktu start dan waktu
stop) yang telah dilaluinya selama pemakaian, sampai berapa besar data
yang sudah dilewatkan dalam transaksi komunikasi tersebut. Data dan
informasi ini akan berguna sekali untuk pengguna maupun
administratornya. Biasanya informasi ini akan digunakan dalam
melakukan proses auditing, membuat laporan pemakaian, penganalisisan
karakteristik jaringan, pembuatan billing tagihan, dan banyak lagi.
Analogi yang tepat untuk proses accounting ini adalah mesin
52
absensi yang ada di kantor-kantor. Dengan mesin absensi ini para
karyawan dapat dimonitor waktu kerjanya. Kapan mereka datang dan
kapan mereka pulang tentu merupakan informasi yang cukup berguna.
Baik hanya untuk keperluan analisis saja, maupun untuk menentukan
berapa upah yang akan dibayarkan kepada mereka.
Fasilitas accounting pada jaringan remote access umumnya juga
memungkinkan Anda untuk melakukan monitoring terhadap servis apa
saja yang digunakan oleh pengguna. Dengan demikian, fasilitas
accounting dapat mengetahui seberapa besar resource jaringan yang Anda
gunakan. Ketika fasilitas AAA diaktifkan pada sebuah perangkat jaringan
remote access, perangkat tersebut akan melaporkan setiap transaksi
tersebut ke server sekuriti. Tergantung pada protokol sekuriti apa yang
Anda gunakan, maka cara melaporkannya pun berbeda-beda.
Setiap record accounting akan mempengaruhi nilai-nilai atribut
dari proses AAA yang lain seperti authentication dan authorization.
Semua informasi yang saling terkait ini kemudian disimpan di dalam
database server sekuriti atau jika memang diperlukan, kumpulan
informasi ini dapat disimpan di server khusus tersendiri. Biasanya server
khusus billing diperlukan jika penggunanya sudah berjumlah sangat
banyak.
(http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledg)
53
Gambar 2.19 Proses di mulainya pencatatan
(http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
Gambar 2.20 Proses di akhirinya pencatatan
(http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
2.5.3 Captive Portal
Captive portal bekerja dengan cara mengalihkan semua permintaan akses
54
http dari klien menuju ke sebuah halaman khusus yang biasanya berupa halaman
autentikasi pengguna atau halaman kesepakatan antara pengguna dengan
penyedia jaringan wíreles yang berfungsi untuk melakukan autentikasi, sebelum
user atau clien mengakses sumberdaya jaringan atau jaringan internet. Pengalihan
permintaan http tersebut dilakukan dengan menginterupsi semua paket dengan
mengabaikan setiap alamat dan nomor port yang dituju. Pada halaman
autentikasi, user akan disuguhi variable-variabel yang harus di isi untuk
autnetikasi, biasanya berupa kode pengguna dan kata kunci. Karena halaman
autentikasi harus di suguhkan kepada user atau clien, maka halaman login harus
disimpan secara local di gateway, atau pada web server yang diijinkan untuk di
akses oleh pengguna tanpa harus melalui proses autentikasi terlebih dahulu.
Captive portal sendiri merupakan satu set perangkat lunak yang saling
bekerja sama untuk melakukan tugasnya, beberapa perangkat lunak tersebut
diantaranya adalah :
Remote Access Dial Up service (RADIUS) Server
Sesuai dengan namanya server ini berfungsi untuk menangani sambungan
dari jarak jauh. Dalam server ini juga diatur manajemen akses yang diberikan
kepada pengguna seperti misalnya perhitungan penggunaan baik berdasarkan
waktu ataupun data yang di download.
Dinamic Host Control Protocol (DHCP) Server
Berfungungsi untuk mengatur penggunaan Internet Protocol (IP) oleh
client. DHCP ini akan memberikan IP untuk klien yang mengakses jaringan
wireless.
55
Domain Name System (DNS)
Merupakan system yang menyimpan informasi mengenai nama domain
maupun nama host dalam bentuk basis data tersebar didalam jaringan komptuer.
DNS menyediakan alamat IP untuk setiap alamat host dan IP untuk setiap alamat
email.
DNS Redirector
Merupakan pengalih permintaan HTTP dari klien untuk di alihkan ke
halaman atau alamat tertentu, misalnya halaman login, halaman persetujuan atau
halaman peringatan.
Dipasaran banyak terdapat perangkat lunak yang tergolong pada captive
portal ini. diantaranya adalah :
1. Chillispot berbasis opensource
2. CoovaChilli berbasis opensource
3. FirstSpot,komersial dan beroperasi pada system operasi Windows
4. WiFiDog Captive Portal Suite
5. SweetSpot
6. AirMarshal
7. Mikrotik, Komersial berbasis Linux
Captive portal dapat di terapkan pada jenis topologi jaringan apapun,
namun perancangan topologi jaringan akan sangat membantu dalam pelaksanaan
operasional captive portal. Misalnya dalam sebuah jaringan computer terdapat
dua jenis jaringan; jaringan berbasis nirkabel atau wireless network dan jaringan
berbasis kabel atau wired network, jika ditentukan hanya user dari jaringan
wireless yang memanfaatkan captive portal maka jaringan kabel harus berada di
56
belakang trafik captive portal sedangkan jaringan wireless sebaliknya harus
berada di depan captive portal atau semua trafik harus melalui captive portal
gateway.
Setiap captive portal menyediakan user interface standar yang dapat
digunakan tanpa harus melakukan perubahan. Namun walau demikian
administrator dapat melakukan perubahan-perubahan seperlunya sesuai dengan
kondisi pengguna. Halaman login pengguna dapat di rubah sesuai dengan
kebutuhan atau dengan memperhatikan kenyamanan pengguna jaringan wireless.
Kendatipun halaman login standar sudah cukup user friendly namun belum tentu
sesuai dengan kondisi user di tempat implementasi. (http://118.98.212.211/
pustakamaya /files/disk1/32/ict-100-1001-- glendispm-1567-1-perancan-r.pdf)
57
5
BAB II
LANDASAN TEORI
2.1 Wireless LAN
Wireless LAN yang dengan nama lain adalah jaringan nirkabel merupakan
sebuah LAN dimana transmisi data (pengiriman maupun penerimaan data) dilakukan
melalui teknologi frekuensi radio lewat udara, menyediakan sebagian besar keunggulan
dan keuntungan dari teknologi lama LAN namun tidak dibatasi media kabel atau kawat.
(Gunawan arief hamdani, Putra andi, 2004 : 5)
2.1.1 Keuntungan Wireless LAN
Muncul dan berkembangnya sistem jaringan nirkabel dipicu oleh
kebutuhan akan biaya pengeluaran yang lebih rendah menyangkut infrastruktur
jaringan dan untuk mendukung aplikasi jaringan bergerak dalam efisiensi proses,
akurasi dan biaya pengeluaran yang rendah dalam hitungan bisnis. Beberapa
diantaranya adalah:
a. Kemudahan Bergerak (Mobilitas)
Kemudahan bergerak memungkinkan pengguna untuk berpindah-pindah
secara fisik ketika menggunakan aplikasi seperti PDA/personal digital assistance
dan semacam-nya Ada begitu banyak pekerjaan yang membutuhkan pekerja
untuk bisa bergerak dengan bebas secara fisik, seperti petugas PAM, PLN, polisi,
UGD spe-sialis, dan lain-lain. Namun walaupun demikian, teknologi jaringan
kabel juga masih diperlukan untuk penambatan antara workstation tempat si
pekerja dengan server utama, untuk menjaga tempat mana saja yang dapat
6
diakses si pekerja ketika ia berpindah ke workstation lain.
b. Kesulitan dalam Penginstalasian Jaringan Kabel pada Area-area
Tertentu
Implementasi dari jaringan nirkabel memberikan banyak keuntungan yang
nyata dalam penghematan biaya, ketika menghadapi keadaan dimana instalasi
kabel sulit dilakukan. Bila Anda ingin menyambungkan 2 jaringan dalam
masing-masing gedung dimana gedung tersebut dipisahkan oleh jalan, sungai
atau rintangan lain dimana sulit dijangkau dengan sistem kabel, maka solusi yang
terbaik adalah jaringan nirkabel.
Solusi jaringan nirkabel dapat jauh lebih ekonomis daripada instalasi ka-
bel atau menyewa peralatan komunikasi yang berupa kabel seperti layanan
Informatika atau 56 Kbps lines. Beberapa perusahaan bahkan menghabiskan
ribuan bahkan jutaan dolar untuk pemasangan sambungan fisik antar dua fasilitas
atau gedung yang saling berdekatan.
c. Penghematan Biaya Jangka Panjang
Perkembangan organisasi menyebabkan perpindahan orang, lantai pada
kantor yang baru, pembagian kantor dan renovasi yang lain. Perubahan Ini
biasanya membutuhkan pengaturan sistem jaringan yang baru. Melibatkan baik
pekerja maupun biaya secara materi.
Dalam beberapa kasus, biaya pengaturan sistem kabel yang baru sangat
besar, khususnya pada perusahaan dimana jaringannya sangat besar. Maka dalam
keadaan ini, sekali lagi, keuntungan sistem nirkabel menjawab masa-lah biaya.
Sistem nirkabel bahkan tidak membutuhkan banyak instalasi kabel, Anda dapat
7
memindahkan sambungan jaringan dengan hanya semudah memindahkan PC
para pekerja. (Gunawan arief hamdani, Putra andi, 2004 : 5)
2.1.2 Standar wireless LAN
Pada dasarnya WLAN memiliki dua konfigurasi, pertama ad hoc yaitu
penggunaan WLAN pada suatu tempat bersifat sementara dan dibangun tanpa
infrastruktur, contohnya dikelas, ruang rapat, ruang seminar, dll. Kedua
konfigurasi infrastruktur yaitu penggunaan WLAN pada suatu tempat bersifat
permanen dan memiliki infrastruktur, contohnya di kantor, pabrik dll. Untuk
membangun WLAN diperlukan banyak elemen yang termasuk ke dalam
perangkat keras, perangkat lunak, standarisasi dan pengukuran dan analisis
kelayakan (misalnya untuk menentukan posisi antena base station/BS). Dengan
adanya berbagai merek perangkat keras dan lunak, maka diperlukan suatu
standar, di mana perangkat perangkat yang berbeda merek dapat difungsikan
pada perangkat merek lain. Standar-standar WLAN adalah IEEE 802.11,
WINForum dan High Performance Radio Local Area Network (HIPERLAN).
Wireless Information Network Forum (WINForum) dilahirkan oleh Apple
Computer dan bertujuan untuk mencapai pita Personal Communication Service
(PCS) yang tidak terlisensi untuk aplikasi data dan suara dan mengembangkan
spektrum yang menawarkan peraturan-peraturan yang sangat minim dan akses
yang adil. HIPERLAN dilahirkan oleh European Telekommunications Standards
Institute (ETSI) yang memfokuskan diri pada pita 5.12-5.30 GHz dan 17.1-17.3
GHz. IEEE 802.11 dilahirkan oleh Institute Electrical and Electronics Engineer
(IEEE) dan berfokus pada pita ISM dan memanfaatkan teknik spread spectrum
(SS) yaitu Direct Sequence (DS) dan Frequency Hopping (FH), standar ini adalah
8
yang paling banyak dipakai. (http://the-exploration.net/index.php/sejarah-
wireless-lan-wifi)
2.1.2.1 IEEE 802.11
Standar 802.11 adalah standar pertama yang menjelaskan
tentang peng operasian wireless LAN. Standar ini mengandung semua
teknologi tranmisi yang tersedia termasuk Direct Sequence Spread
Spectrum (DSSS), Frequency Hoping Spread Spectrum (FHSS), dan
infra merah.
Standar IEEE 802.11 mendeskripsikan system DSSS yang
beroperasi hanya pada 1 Mbps dan 2 Mbps. Jika suatu system DSSS
beroperasi pada rate data lain sebaik seperti pada 1 Mbps, 2 Mbps dan
11 Mbps maka itu masih termasuk standar 802.11. Tapi bilamana
suatu sistem bekerja pada suatu rate data di luar atau selain 1 atau 2
Mbps, dan walaupun sistemnya kompatibe untuk bekerja pada 1 & 2
Mbps, sistem ini tidak bekerja pada mode 802.11 dan tidak bisa
berkomunikasi dengan perangkat system 802.11 yang lain. (Gunawan
arief hamdani, Putra andi, 2004 : 125 )
2.1.2.2 IEEE 802.11a
Standar IEEE 802.1la adalah standar dimana wireless LAN bekerja
pada frekuensi 5 GHz UNII. Karena berada pada UNII bands, standar ini tidak
kompatibel dengan standar 802.11 yang lain. Alasannya adalah karena
9
sistem yang bekerja pada 5 GHz tidak akan dapat berkomunikasi
dengan sistem yang bekerja di frekuensi 2.4 GHz.
Dengan menggunakan UNII band, laju data bisa mencapai 6, 9, 12,
18, 24, 36, 48, dan 54 Mbps. Beberapa bisa mencapai 108 Mbps dengan
menggunakan teknologi proprietary, seperti penggandaan laju. Laju
tertinggi yang bisa dicapai dengan menerapkan teknologi terbaru tidak
dideskripsikan oleh standar ini. Standar 802.1 la menetapkan agar
wireless LAN dapat kompatibel dengan laju data 6,12, dan 24 Mbps.
Sedangkan maksimum laju data adalah 54 Mbps. ( Gunawan arief
hamdani, Putra andi, 2004 : 125 )
2.1.2.3 IEEE 802.11b
IEEE 802.lib, menetapkan DSSS yang bekerja pada frekuensi 1, 2,
5.5 dan 11 Mbps. 802.l i b samasekali tidak mendeskripsikan FHSS,
sedangkan pe-rangkatnya sama dengan 802.11. Sehingga akan kompatibel
dan dibutuhkan biaya yang rendah untuk meng-upgrade. Karena biaya yang
rendah, dan laju data yang tinggi, membuat 802.lib sangat populer.
Laju data yang tinggi dikarenakan penggunaan teknik
pengkodean yang berbeda. Walaupun masih merupakan direct sequence,
pengkodean chips (CCK dibanding Barker Code) dan teknik modulasi
yang digunakan (QPSK pada frekuensi 2, 5.5, & 11 Mbps dan BPSK pada
frekuensi 1 Mbps) meng-hasilkan jumlah data yang ditransfer lebih
banyak dalam satu time frame. 802.1 Ib hanya bekerja pada 2,4 GHz ISM
band, antara 2.4000 dan 2.4835 GHz. (Gunawan arief hamdani, Putra
andi, 2004 : 125)
10
2.1.2.4 IEEE 802.11g
Standar 802.llg menghasilkan kecepatan maksimum yang sama
dengan 802.1l a, dan kompatibel dengan 802.11 b. Kekompatibelan ini akan
membuat proses upgrading wireless LAN lebih mudah dan lebih murah.
IEEE 802.1 Ig bekerja pada frekuensi 2.4 GHz ISM. Untuk
mencapai laju data yang sama dengan pada standar 802.11 a, teknik
modulasi yang digunakan pada standar 802.llg adalah Orthogonal
Frequency Division Multiplexing (OFDM). Dan bisa secara otomatis di-
switch ke modulasi QPSK untuk berkomunikasi dengan standar 802.l i b
yang lebih lambat dan standar 802.11 yang kompatibel. ( Gunawan arief
hamdani, Putra andi, 2004 : 125 )
2.1.2.5 IEEE 802.11n
Secara spesifikasi, memang terlihat perbedaan yang cukup
mencolok untuk kinerjanya. Terutama untuk transfer rate yang
dimungkinkan oleh masing-masing standar tersebut. 802.11n juga
memasukan standardisasi 802.11e untuk QoS dan power saving, ini
memungkinkannya bekerja lebih baik. efisien dengan data rate yang
lebih baik. Dan memang salah satu fitur utama pengembangan
802.11n adalah high throughput (HT), dengan raw bit-rate
hingga maksimal 600 Mbps. Dibandingkan dengan 802.11g yang
hanya memiliki raw bit rate 54 Mbps. Subcarrier yang digunakan pada
802.11g hanya terdiri dari 48 OFD data subcarrier. Sedangkan,
802.11n menggunakan 52 subcarrier. Forward Error Correction (FEC)
11
yang digunakan pada 802.11g mencapai rasio 3:4. Pada 802.11n FEC
ini ditingkatkan dengan rasio 5:6. Guard interval pada transmisi
802.11g sama seperti 802.11a pada kisaran 800ns. Sedangkan, pada
802.11n dipersingkat menjadi 400ns. (http://www.pcmedia.co.id /
detail.asp?Id=1966&Cid=18&Eid=52)
2.1.3 Komponen Jaringan Wireless LAN
Untuk membangun jaringan wirelesss LAN diperlukan beberapa kompo-
nen yang sangat penting dan merupakan kebutuhan utama. Komponen jaringan
wireless LAN yang dimaksud antara lain adalah :
2.1.3.1 Access Point
Administrator Wireless LAN dapat mengkonfigurasi dan
mengelola device. Sesuai namanya, access point bertindak sebagai
penghubung agar client dapat bergabung ke dalam sebuah system
jaringan.
Access point dapat menghubungkan client-client wireless dengan
jaringan kabel dan access point lainnya. Dalam implementasinya, kita
dapat membentuk access point ke dalam 3 mode, yakni :
1. Mode root
Mode di gunakan ketika access point di hubungkan ke jaringan
kabel. Kebanyakan access point yang mendukung mode root
menjadikannya mode default. Selain dengan client wireless, access point
bermode root dapat pula berkomunikasi dengan access point bermode
12
root lainnya. Kemudian, access point dapat saling berkoordinasi dalam
melakukan fungsi roaming. Dengan demikian, wireless client masih dapat
berkomunikasi melalui cell berbeda.
Gambar 2.1 Mode Root (Arifin, Zainal, 2007 : 15 )
2. Mode Repeater
Di dalam mode repeater, access point mempunyai kemampuan
menyediakan sebuah jalur upstream wirelesske jaringan kabel seperti
gambar berikut. Penggunaan access point dengan mode repeater tidak
disarankan. Mode demikian hanya digunakan jika benar-benar di
perlukan karena antar-cell harus saling membnetuk irisan minimum 50%.
Akibatnya, komfigurasi demikian mengurangi jangkauan access point
terhadap client wireless.
13
Gambar 2.2 Mode Repeater ( Arifin, Zainal, 2007 : 15 )
3. Mode Bridge
Pada mode bridge, access point bertindak seperti bridge wireless.
Device bridge wireless berfungsi menghubungkan dua atau beberapa
jaringan kabel secara wireless. ( Arifin, Zainal, 2007 : 11 )
Gambar 2.3 Mode Bridge ( Arifin, Zainal, 2007 : 15 )
2.1.3.2 Wireless Network Interface Card adapter (WNIC)
14
Pada umumnya setiap stasiun wireless (laptop) keluaran terbaru
dilengkapi (built-in) dengan Wireless Network Interface Card adapter
(WNIC). Namun ada jenis WNIC lain yang dapat digunakan pada laptop
atau PC dalam bentuk eksternal yaitu PCMCIA, USB dan PCI wireless
adapter. Dalam sebuah WNIC tersebut terdapat radio dengan frekuensi
2,4 sampai 5GHz dan juga dilengkapi dengan antena untuk buatan vendor
tertentu.
Gambar 2.4 Wireless Network Interface Card adapter (WNIC)
2.1.3.3 Wireless Bridge
Sebuah wireless bridge menyediakan konektifitas antara dua
jaringan kabel dam digunakan dalam bentuk konfigurasi point to point
atau point to multipoint. Sebuah wireless bridge merupakan device half
duplex yang memiliki kemampuan konektifitas layer 2.
Dalam impelementasinya, sebuah bridge dapat membentuk mode
berikut :
1. Mode Root
Sebuah root bridge hanya dapat berkomunikasi dengan non-root
bridge dan device-device client lainnya serta tidak dapat berasosiasi
dengan root bridge lainnya.
15
2. Mode Non-Root
Pada wireless bridge dalam mode non-root, bridge terpasang
secara wireless ke wireless bridge yang menerapkan mode root.
3. Mode Access Point
Dengan menggunakan mode demikian, sebuah bridge bertindak
sebagai access point.
4. Mode Repeater
Di dalam konfigurasi repeater, sebuah bridge akan ditempatkan
diantara dua bridge lainnya dengan tujuan memperpanjang jangkauan
wireless bridge. (Arifin, Zainal, 2007 : 14)
2.1.3.4 Antena
Perangkat yang dibutuhkan oteh device wireless salah satunya
adalah Antena RF. Antena RF merupakan sebuah device yang digunakan
untuk mengkonversi sinyat frekuensi tinggi di jalur pengirim agar dapat
memancarkan gelombang ke udara.
Ada 3 kategori antena RF, di antaranya: a. Omnidirectional
b. Semidirectional
c. Highly directional
Masing-masing kategori memiliki beberapa jenis antena dengan
karakteristik yang berbeda-beda.
a. Antena Omnidirectional (dipole)
Omnidirectional memancarkan energinya ke semua arah.
16
Kebanyakan antenna yang digunakan wireless LAN menggunakan jenis
ini.
Gambar 2.5 Dipole Doughnut ( Gambar disadur dan "Certified Wireless Network Administrator
Study Guide" Administrator Study Guide )
Antena omnidirectional digunakan ketika jangkauan ke segala
juaisan di sekitar poros antena horizontal diperlukan. Antena
omnidirectional paling erektif jika cakupan area di sekitar titik pusat
diperlukan. Antena omnidirectional biasa digunakan pada -hubungan
point to multipoint dengan menggunakan topologi star.
b. Antena Semidirectional
Antena semidirectional memiliki beberapa bentuk yang berbeda.
Beberapa jenis antena semidirectional yang digunakan pada Wireless
LAN antara lain jenis antena Patch, Panel, dan Yagi. Semua jenis pada
umumnya flat dan dirancang untuk dipasangkan pada dinding. Masing-
masing memiliki karateristik tersendiri. Antena mengarahkan energi dari
pemancar secara lebih kuat ke a rah tertentu.
17
Gambar 2.6 Antena-antena semidiiectional
( Arifin zainal, 2007 : 79 )
Antena semi directional lebih cocok digunakan untuk jarak
pendek dan menengah. Oenis koneksi point to point biasa menggunakan
jenis antena demikian. Contohnya adalah antena yang digunakan untuk
menghubungkan jaringan dua gedung yang terpisah dengan jalan raya.
c. Antena Highly Directional
Antena highly directional terdiri atas beberapa bentuk, di
antaranya adalah:
Antena parabolic dish
Gambar 2.7 Antena parabolic dish ( Arifin zainal, 2007 : 80 )
Antena grid
Gambar 2.8 Antena dish ( Arifin zainal, 2007 : 80 )
18
Antena jenis demikian ideal untuk menghubungkan jenis koneksi
wireless secara point to point. Lebih lanjut, antena highly directional
dapat memancarkan sinyal hingga 42 km. ( Arifin zainal, 2007 : 71 )
2.1.4 Terminal Wireless LAN
Ada beberapa yang menjadi bagian dari sebuah terminal pada Wireless
LAN, diantaranya yaitu :
2.1.4.1 Tablet PC
Tablets PC merupakan peralatan wireless yang menyerupai
notebook dengan kelebihan yang hampir sama. Memiliki bentuk
compact dan dilengkapi dengan pena elektronik untuk keperluan
digital signature.
2.1.4.2 Smart Phones
Telepon mobile atau telepon selular adalah telepon yang
mempunyai kemampuan dalam transmisi panjang gelombang
analog atau digital yang memungkinkan pengguna untuk
mengadakan koneksi wireless ke transmitter terdekat. Luas
jangkauan transmitter disebut dengan cell. Pengguna telepon
selular bergerak dari satu cell ke cell lainnya, sehingga koneksi
telepon secara efektif dikirimkan dari satu transmitter cell ke
19
transmitter cell lainnya. Pada saat ini, telepon selular berintegrasi
dengan PDA, yang menyediakan peningkatan akses e-mail dan
internet wireless. Telepon mobile dengan kemampuan memproses
informasi dan jaringan data disebut dengan smart phone.
2.1.4.3 Personal Digital Assistan ( PDA )
Personal Digital Assistant (PDA) merupakan data organizer
yang berukuran kecil. PDA ini menawarkan aplikasi seperti office
productivity, basis data, buku alamat, penjadwalan dan daftar
kegiatan. PDA juga memungkinkan pengguna untuk
mengsinkronisasikan data antar PDA atau antara PDA dengan PC.
Versi yang lebih baru memungkinkan pengguna mendownload e-
mail.
2.1.4.4 Wireless Fidellity ( Wi-Fi ) Phones
Wi-Fi phones menggunakan jaringan untuk melakukan
panggilan dan membutuhkan bandwidth yang cukup untuk dapat
beroperasi. Wi-Fi phones dapat digunakan untuk roaming melalui
jaringan VoIP ke jaringan selular.
2.1.5 Model Jaringan Wireless
Jaringan komputer menggunakan sistem wireless terbagi menjadi dua
macam, yaitu : Ad-hoc Mode dan Client/Server dan Access Point Mode. Pada
Ad-hoc Mode, setiap komputer yang akan terhubung ke jaringan wireless cukup
20
hanya menggunakan sebuah Wireless Network Adapther, tanpa menggunakan
suatu sentral komunikasi (Access Ponit) yang berfungsi sebagai pengatur lalu
lintas data. Sedangkan pada Client/Server dan Access Point Mode, disamping
menggunakan Wireless Adapther untuk dapat terkoneksi ke jaringan wireless
dibutuhkan juga suatu sentral komunikasi (Access Ponit) yang berfungsi sebagai
pengatur lalu lintas data pada sistem jaringan tersebut.
(http://www.wahyudi.or.id/artikel/MembangunHotspot.doc)
2.1.5.1 Ad-hoc
Standarisasi IEEE 802.11 mendefinisikan protokol dalam dua tipe
jaringan, yaitu jaringan Ad Hoc dan Client/Server. Jaringan Ad Hoc
merupakan jaringan sederhana di mana komunikasi terjadi di antara dua
perangkat atau lebih pada cakupan area tertentu tanpa harus memerlukan
sebuah access point atau server. Standarisasi ini semacam etiket pada setiap
perangkat jaringan dalam melakukan akses media wireless. Metode ini
meliputi penentuan pemberian permintaan koneksi pada sebuah media
untuk memastikan throughput yang dimaksimalkan untuk pengguna dalam
menerima layanan.
Komunikasi Ad Hoc menggunakan media gelombang radio satu
dengan yang lain, dan peralatan ini akan mengenal peralatan RF lain dalam
cakupan sinyal yang saling berdekatan, sehingga komunikasi dapat
dilakukan. Jaringan Ad Hoc dapat digunakan pada komputer-komputer
notebook, laptop, atau peralatan handheld lain yang membutuhkan transfer
date mobile lingkup kecil, dan tentunya yang memunyai peralatan RF yang
sama dan telah mendukung teknik Ad Hoc. (Mulyanta edi s, 2005 : 53)
21
Gambar 2.9 Jaringan Ad Hoc ( Mulyanta edisi, 2005 : 53 )
2.1.5.2 Access Point
Jaringan Client/Server menggunakan access point sebagai
pengatur alokasi waktu transmisi untuk semua perangkat jaringan dan
mengizinkan perangkat mobile melakukan proses roaming dari sel ke sel.
Access point digunakan untuk menangani lalu lintas dari radio mobile ke
perangkat yang menggunakan kabel maupun pada jaringan wireless.
Access Point, digunakan untuk melakukan pengaturan lalu lintas
jaringan dari mobile radio ke jaringan kabel atau dari backbone jaringan
wireless client/server. Pengaturan ini digunakan untuk melakukan
koordinasi dari semua node jaringan dalam mempergunakan layanan dasar
jaringan scrta memastikan penanganan lalu lintas data dapat ber-jalan
dengan sempuma. Access point akan merutekan aliran data antara pusat
jaringan dengan jaringan wireless yang lain. Dalam sebuah WLAN,
pengaturan jaringan akan dilakukan oleh access point pusat yang memunyai
performa troughput yang lebih baik.
Jaringan yang menggunakan access point sering disebut multipoint
22
RF network. Tipe jaringan wireless ini memunyai beberapa station dengan
RF transmitter dan receiver, di mana setiap station akan berkomunikasi ke
peralatan pusat access point ini atau sering disebut wireless bridge, Pada
sistem RF, wireless bridge disebut wireless access point (WAP). WAP
menyediakan koneksi secara transparan ke host LAN melalui koneksi
ethemet dan jaringan metode wireless. (Mulyanta edi s, 2005 : 54)
2.1.6 Hotspot
Secara fungsional, sebuah kawasan hotspot menyediakan ketersediaan
koneksi jaringan tanpa kabel di mana user menggunakan perlengkapan yang
kompatibel untuk dapat melakukan koneksi ke internet atau ke intranet, aktivitas
e-mail, dan aktivitas jaringan lain. Peralatan yang digunakan tidak terbatas hanya
Personal Computer atau laptop, akan tetapi peralatan mobile yang lain seperti
PDA, telepon selular, notebook, atau peralatan game online lainnya.
Beberapa komponen dalam hotspot adalah:
Station yang mobile
Access Point
Switch, Router, Network Access Controller
Web server atau server yang lain
Koneksi Internet kecepatan tinggi
Internet Service Provider
Wireless ISP
Hal yang periu dipahami dalam membangun sebuah kawasan wireless
23
area adalah konfigurasi serta persyaratan apa yang harus dipenuhi serta untuk
siapa wireless area ini diperuntukkan. Beberapa hal tersebut adalah ukuran lokasi
cakupan, jumlah perkiraan user yang simultan, dan tipe pengguna wireless
sasaran. Anda dapat mempelajari secara singkat pembangunan hotspot dengan
sederhana pada bagian akhir buku ini.
a. Ukuran lokasi cakupan
Ukuran ini menjadi pertimbangan awal yang sangat menentukan dalam
membangun area wireless hotspot Dengan menentukan lokasi cakupan, akan da-
pat dipilih peralatan access point (AP) mana yang dapat melayaninya, misalnya
dengan menentukan daya jangkau jarak tertentu. Beberapa AP diperlukan untuk
menyediakan area cakupan yang lebih luas.
b. Jumlah Pengguna
Dalam melakukan layout hotspot, jumlah user dapat digunakan untuk
menentukan serta memerkirakan kepadatan pengguna pada kawasan tersebut.
Kepadatan ini dapat diukur dari jumlah pengguna per kawasan. Di samping
jumlah pengguna, hal yang lebih penting adalah pola pengguna sasaran yang
dituju, sehingga akan dapat ditentukan pula target minimum bandwith per user
yang aktif. Sebagai contoh, target bandwith adalah 100 Kbps per user aktif, di
dalam daerah tersebut ter-koneksi 5 user yang aktif sehingga memerlukan
minimal 500 Kbps atau lebih untuk melakukan koneksi Internet dengan baik.
c. Model penggunaan
Faktor ketiga adalah tipe aplikasi apa yang diguna-kan oleh user yang
24
akan terkoneksi di hotspot tersebut. Model pada lingkungan kampus akan
berlainan tipe aplikasinya dibanding dengan di hotel, atau di kafe-kafe yang
menyediakan hotspot. Kebutuhan apa yang dapat digunakan sebagai standar
minimal bandwith yang dibutuhkan untuk menyediakan ketersediaan resource
bandwith, adalah faktor utama dalam menentukan kapasitas minimal bandwith
Internet yang akan digunakan. Sebagai contoh, penggunaan minimal kawasan
wireless tersebut adalah 250 Kbps, di mana kapasitas ini cukup memadai untuk
melakukan koneksi hotspot dan menjaiankan aplikasi. Bandwith yang dibutuhkan
untuk menghasilkan performa yang baik, saat 4 user melakukan koneksi secara
simultan adalah 1 Mbps. Perhitungan sederhananya adalah: 250 Kbps x User
Simultan = 1.000 Kbps atau 1.0 Mbps. (Mulyanta edi s, 2005 : 148)
2.1.7 ` Komponen dan Fungsi Hotspot
Anda memerlukan beberapa komponen dasar untuk membangun sebuah
hotspot, Berikut adalah daftar fitur penting dan fungsionalitas dari pembangunan
hotspot yang diperlukan (Mulyanta edi s, 2005 : 150) :
a. Melakukan akses ke wireless link
• Menyediakan mobile station dengan informasi jaringan wireless
• Membuat association dengan mobile station
• Melakukan akses ke jaringan local
• Menyediakan layanan transfer data paket
• Melakukan disassociation dari mobile station
b. Menetapkan sebuah hotspot
• Melakukan page redirection
25
• Autentikasi mobile station
• Autorisasi user
c. Manajemen pada layer 3 (IP)
• Menyediakan alamat IP pada peralatan mobile
• Translasi dari aiamat privat menjadi publik jika dipertukan
• Menyediakan Domain Name Services (DNS)
• Menyediakan informasi gateway Berikut referensi arsitektur hotspot
yang dikembangkan oleh Intel.
2.1.7.1 WISP (Wireless Internet Service Provider)
Layanan ini merupakan bentuk komunikasi buat pengembangan
dan ISP standar. Layanan tersebut antara lain:
• Desain hotspot
• Manajemen, yang meliputi pemonitoran, update hardware/ soft-
ware, konfigurasi jaringan, serta pengaturan user account.
• Pemonitoran dan pengaturan akses yang meliputi penetapan-
penetapan, autentikasi, dan keamanan.
• Accounting dan billing, digunakan untuk menentukan tipe pem-
bayaran seperti prabayar, pascabayar, dan penetapan roaming.
• Akses WAN. (Mulyanta edi s, 2005 : 152)
2.1.7.2 Internet Service Provider/ISP
Menyediakan koneksi antara hotspot dengan Internet pada
jaringan yang lebih besar atau WAN. ISP dapat pula menyediakan
26
layanan WISP, tetapi bersifat optional. (Mulyanta edi s, 2005 : 152)
2.1.7.3 WAN Access Gateway/Router
Merupakan titik pintu keluar dari hotspot ke ISP. Komponen ini
merupakan fungsi penyedia akses utama ke WAN. (Mulyanta edi s,
2005 : 152)
2.1.7.4 Access Point (AP)
AP secara harafiah dapat diartikan sebagai proses komunikasi
LAN hotspot dengan peralatan yang digunakan oleh user. (Mulyanta edi
s, 2005 : 152)
2.1.7.5 Switch/Hub
Tujuan utama adanya switch dan hub adalah menyediakan banyak
port untuk melakukan koneksi AP dan komponen jaringan hotspot lain.
Kapabilitas switch dan user dapat digunakan untuk mengatur routing
paket dan untuk membawa properti paket sebagai dukungan terhadap
fungsi switch, misalnya port, MAC address, dan IP address. (Mulyanta
edi s, 2005 : 152)
2.1.7.6 Network Access Controller
Fungsi utama NAS adalah untuk mengontrol akses ke jaringan.
Fungsi NAS cenderung bersifat penjaga gawang jaringan dengan
mengimplementasikan filter cerdas untuk melakukan seleksi sebelum ke
27
jaringan lain. (Mulyanta edi s, 2005 : 153)
2.1.7.7 IP Address Allocation Manager
Dalam rangka menjaga komunikasi antar komponen dengan baik
membutuhkan alamat IP yang unik di dalam kawasan hotspot. Metode
yang sudah sangat umum digunakan adalah menggunakan server
Dynamic Host Configuration Protocol (DHCP). DHCP merupakan
protokol Internet yang melakukan otomatisasi konfigurasi komputer
dengan menggunakan protokol TCP/IP. Hal yang sangat kritis adalah
fungsionalitas hotspot dalam memilih IP address yang digunakan. IP
terdiri dari dua macam bentuk alamat, yaitu alamat IP public (publik) dan
IP private (privat). Perbedaan IP publik dan IP privat adalah :
IP Publik IP Privat
IP publik dapat digunakan untuk melakukan koneksi jaringan Internet yang luas.
IP address bersifat privat dalam sebuah jaringan LAN,
Internet Assigned Numbers Authority (IANA) telah menyediakan
sekumpulan alamat IP yang digunakan untuk private network. Sebagai
contoh adalah :
10.0.0.0 - 10.255.255.255 Blok 24 bit kelas tunggal
172.16.0.0 – 172.31.255.255 Blok 20 bit, jumlahnya 16 kelas B yang saling berdekatan
28
192.168.0.0 – 192.168.255.255 16 bit blok, 256 kelas C
Alamat IP privat hanya dapat digunakan pada setiap jaringan privat dan
akan terlihat pada jaringan Internet. Oleh karena itu, jaringan ini tidak
akan dapat berkomunikasi langsung di Internet. Untuk dapat ber-
komunikasi langsung di luar jangkauan cakupan area privat, peralatan
tersebut menggunakan Network Address /port translator. (Mulyanta edi s,
2005 : 153)
2.1.7.8 Network Address/Port Translator
Saat paket IP dikirimkan melalui Internet, paket tersebut akan
menggunakan alamat IP publik. Bagaimana mungkin alamat privat dapat
mengirimkan paket melalui jaringan umum di Internet? Jawabnya adalah
dengan melakukan switch IP address. Setiap paket tersebut akan melintas
dari jaringan privat, kemudian ke jaringan publik untuk mendapatkan
akses ke jaringan Internet sehingga alamat IP sumber harus diubah ke
alamat IP publik. Translasi dari alamat privat ke alamat publik ditangani
oleh Network Address Translator (NAT). Variasi dari model translasi ini
juga melakukan translasi port IP, peralatan ini disebut Network Address
Port Translators (NAPT). Peralatan NAPT akan melakukan map atau
pemetaan terhadap semua alamat IP privat ke dalam sebuah alamat IP
public. (Mulyanta edi s, 2005 : 153)
29
Gambar 2.10 Network Address Translator (NAT)
(http://en.kioskea.net/internet/nat.php3)
2.2 Arsitektur Jaringan Wireless LAN
Ketika Anda menginstal mengkonfigurasi, dan mengaktif-kan perangkat Wireless
LAN di sisi dient seperti PCMCIA card, maka dient secara otomatis dalam posisi listen
untuk mendengar sinyal yang dikirimkan dari perangkat wireless LAN lainnya. Proses
listen di sini dikenal pula dengan istitah scanning. Scanning terjadi sebelum proses
lainnya karena berfungsi mencari perangkat wireless lainnya.
Ada 2 jenis scanning, yaitu:
• Scanning secara pasif (passive scanning).
• Scanning secara aktif (active scanning).
Dalam proses mencari keberadaan access point station atau client akan
mengidentifikasi sebuah identifier yang dikenal dengan istilah SSID (Service Set
Identifiers). SSID merupakan nama kelompok jaringan yang digunakan pada Wireless
LAN. Sifatnya unik dan case sensitive. Kemudian, nilainya berupa karakter atfanumerik
yang memiliki panjang 2 hingga 32 karakter. SSID digunakan untuk membagi jaringan
30
dan untuk proses bergabung ke dalam sebuah jaringan.
Gambar 2.11 Client mengidentifikasikan adanya SSID (http://www.wlanbook.com/wp-content/uploads/2007/06/ssid-advertising.gif)
Sebuah client hams memiliki SSID yang benar supaya dapat bergabung ke dalam
sebuah jaringan Wireless LAN. Administrator memasangkan SSID di setiap access point
Beberapa client memiliki kemampuan menggunakan nilai SSID secara manual
(dipasangkan oleh administrator), tetapi ada pula dient yang dapat menemukan sendiri SSID yang dipancar-kan oleh access point
Nilai SSID yang terpasang di client dan access point harus sama. SSID dari
access point dikirimkan da lam sebuah beacon, yakni sebuah frame pendek yang
dikirimkan dari access point ke station atau client (pada mode infrastruktur) atau antar-
client (pada mode adhoc). Beacon berfungsi mengelola dan mensinkronisasikan
komunikasi wireless pada Wireless LAN. (Arifin zaenal, 2007 : 33)
2.2.1 Passive Scanning
Scanning secara pasif ( Passive Scanning ) merupakan proses
mendengarkan beacon pada tiap-tiap channel dalam periode waktu tertentu
31
setelah client diinisialisasi. Access point mengirim beacon, sedangkan client
melakukan proses scanning karakteristik katalog tentang access point berbasis
beacon. Station (client) mendengarkan beacon hingga mendengar sebuah beacon
yang memperlihatkan SSID dari jaringan yang ingin dimasuki. Kemudian, station
(client) berusaha bergabung dengan jaringan melalui access point yang telah
mengirim beacon.
Jika di dalam sebuah area ada beberapa access point SSID jaringan di-
broadcast oleh beberapa access point Pada situasi ini, station akan berusaha
bergabung dengan jaringan melalui access point berdasarkan kekuatan sinyal.
Station melanjutkan scanning secara pasif setelah beraso-siasi dengan
access point. Scanning secara pasif menyimpan waktu reconnect ke jaringan jika
client memutuskan hubu-ngan dengan access point Dengan menyimpan daftar
access point yang tersedia beserta karakteristik-karakteristiknya, station (client)
dapat dengan cepat mencari access point terbaik yang seharusnya dihubungi oleh
client
Station (client) akan berpindah dari satu access point ke access point
tainnya setelah sinyal radio dari access point yang dihubungi dient melemah.
Agar station (client) dapat tetap terhubung dengan jaringan, kita dapat
menerapkan mekanisme roaming. Station (client) menggunakan infbrma-si yang
diperoteh melalui mekanisme scanning secara pasif untuk mencari access point
terbaik. Selanjutnya, access point digunakan untuk rnenghubungi kern ball
jaringan. Untuk alasan tersebut, kita perlu mendesain pemasangan beberapa
access point supaya saling melakukan overlap (membentuk irisan) kurang lebih
10-15%. Overlap meng-izinkan station-station untuk melakukan roaming an tar-
access point walaupun jaringan terputus dan terhubung kernbali tanpa
32
sepengetahuan user.(Arifin zaenal, 2007 : 36)
2.2.2 Active Scanning
Scanning secara aktif (Active Scanning) meliputi pengiriman sebuah
frame berisi probe pemtintaan dari client wireless. Station (client) mengirimkan
probe permintaan ketika secara aktif mencari sebuah ketompok jaringan wireless.
Probe permintaan berisi SSID suatu kelompok jaringan wireless.
Jika sebuah probe yang dikirim menetapkan sebuah SSID, lalu hanya
access point yang melayani SSID akan merespons dengan sebuah frame berisi
probe response. Jika sebuah frame probe request dikirim dengan sebuah
broadcast SSID, maka semua access point yang terjangkau akan merespons
dengan sebuah probe respons.
Cara menghubungi sebuah Wireless LAN terdiri atas dua subproses.
Subproses selalu terjadi da lam urutan yang sama dan disebut proses autentikasi
dan asosiasi. Sebagai contoh, ketika ktta berkomunikasi dari sebuah wireless PC
card ke sebuah Wireless LAN, artinya PC card telah diautentikasi dan telah
berasosiasi dengan sebuah access point Ketika berkomunikasi melalui asosiasi,
kita berbicara pada layer 2 dan autentikasi secara langsung dilakukan ke radio
bukan ke user. (Arifin zaenal, 2007 : 37)
2.2.3 Autentikasi dan Asosiasi
Langkah pertama untuk menghubungi sebuah device wireless (access
point) adalah autentikasi. Autentikasi adalah proses yang dilakukan jaringan
(biasanya oleh access point) untuk memeriksa identitas wireless node yang akan
bergabung ke jaringan. Client mulai melakukan proses autentikasi dengan
mengirimkan sebuah frame autentikasi request ke access point Access point akan
33
menerima atau menolak permintaan, lalu client akan mendapatkan sebuah frame
respons. Proses autentikasi dapat dilakukan pada access point atau access point
hanya akan melewatkan proses autentikasi ke sebuah server seperti RADIUS.
Radius akan melakukan autentikasi berdasarkan kriteria-kriteria yang muncul
Kemudian, hasilnya akan diberikan ke access point, yang akan memberi-tahukan
hasilnya ke client.
Setelah diautentikasi, dient akan melakukan proses asosiasi dengan
access point Associated adalah sebuah status yang menyatakan bahwa client
diizinkan untuk melewatkan data melalui sebuah access point Jika PC card
berasosiasi ke sebuah access point Anda terhubung ke access point dan jaringan.
Status antara proses auntentikasi dan asosiasi dapat terdiri atas beberapa
status :
UnAuthenticated dan UnAssociated
Wireless node terputus dari jaringan dan tidak dapat melewatkan
frame melalui access point.
Autenticated dan UnAssociated
Wireless client telah melakukan proses auntentikasi tetapi belum
melakukan proses asosiasi dengan access point. Maka, client belum
diiziinkan untuk mengirim atau menerima data melalui access point.
Authenticated dan Associated
Wireless node telah terhubung ke jaringan dan dapat melakukan
proses pengiriman dari penerimaan data melalui access point. (Arifin zaenal,
2007 : 38)
2.3 Topologi Jaringan WLAN
34
Ada tiga bentuk konfigurasi wireless LAN dan masing-masing bentuk tersebut
memiliki set peralatan yang berbeda-beda. Tiga bentuk konfigurasi tersebut adalah:
1. Independent Basic Service Set 2. Basic Service Set
3. Extended Service Set
2.3.1 Independent Basic Service Set ( IBSS ) Network
Sebuah independent basic service set disebut pula jaringan wireless yang
menggunakan metode adhoc. Sebuah IBSS tidak memertukan access point atau
device lain untuk mengakses ke sistem distribusi, tetapi hanya melingkupi satu
cell dan memiliki sebuah SSID. Client pada IBSS secara bergantian bertanggung
jawab mengirimkan beacon yang biasa dilakukan oleh access point.
Agar dapat mengirimkan data ke luar IBSS, sebuah client harus bertindak
sebagai gateway atau router dengan menggunakan software khusus untuk
mengimpiementasikan tuju-an. Pada IBSS, client membuat koneksi secara
langsung ke client lainnya, sehingga jaringan jenis demikian disebut jaringan
peer to peer. ( Arifin zaenal, 2007 : 50 )
Gambar 2.12 Topologi IBSS
(http://digilib.petra.ac.id/viewer.php)
2.3.2 Basic Service Set ( BSS) Network
35
Ketika sebuah access point dihubungkan ke jaringan kabel dan
serangkatan station wireless, konfigurasi jaringan dikatakan sebuah basic service
set. Basic Ssrvice set hanya terdiri atas satu access point dan satu atau beberapa
client wireless. Sebuah basic service set menggunakan mode infrastruktur, yaitu
sebuah mode yang membutuhkan sebuah access point dan semua trafik wireless
melewati access point Tidak ada transmisi langsung dient to client yang
diizinkan.
Gambar 2.13 Topolo-
gi BSS
(http://digilib.petra.ac.id/viewer.php)
Setiap client wireless harus menggunakan access point untuk
berkomunikasi dengan client wireless lainnya atau dengan host yang terdapat
pada jaringan kabel. Basic service set membentuk sebuah cell atau area frekuensi
radio, yang mengelilingi access point dengan beragam rate zone dan speed diukur
dengan Mbps. Jika basic service set menggunakan perangkat 802.11b, maka
lingkaran akan memiliki kecepatan 11, 5.5, 2, dan 1 Mbps. Rate data akan
semakin kecil jika semakin jauh dari access point Sebuah basic service set akan
memiliki 1 SSID. ( Arifin zaenal, 2007 : 50 )
2.3.3 Extended Service Set ( ESS ) Network
Sebuah extended service set didefinisikan sebagai dua atau beberapa
basic service set yang dihubungkan dengan sebuah sistem distribusi bersama.
36
Sistem distribusi dapat berupa kabel, wireless, LAN, WAN, atau bentuk jaringan
lain. Sebuah extended service set harus memiliki paling sedikit 2 access point
yang bekerja dalam mode infrastruktur. Semua paket harus melewati salah satu
access point yang tersedia.
Karakteristik lain ESS (extended service set), penggunaan standard
802.11, ESS melingkupi beberapa cell mengizinkan kemampuan roaming dan
tidak membutuhkan SSID yang sama diantara kedua BSS (basic service set).
( Arifin zaenal, 2007 : 50 )
Gambar 2.14 Topologi ESS
(http://digilib.petra.ac.id/viewer.php)
2.4 Keamanan Jaringan Wireless
Anda mungkin ingin mengetahui mengapa seseorang menggunakan koneksi
wireless yang sebenarnya tidak aman. Memang tidak semua seperti itu, terima kasih
kepada Wired Equivalent Protocol, atau Wireless Encryption Protocol atau bahkan
Wired Equivalent Privacy. Tampaknya "para ahli industri" memperdebatkan
37
kepanjangan WEP. Terlepas dari bagaimana Anda mengucapkan atau menyatakannya,
WEP adalah sebuah algoritma enkripsi yang dapat diaktifkan untuk mengenkripsi
transmisi di antara pengguna wireless dan WAP-nya.
Pada awalnya, standar 802.lib tidak dimaksudkan untuk men-jabarkan
seperangkat alat keamanan tingkatan enterprise. Tetapi, standar tersebut memasukkan
beberapa ukuran keamanan dasar yang da-pat dikembangkan untuk membantu membuat
jaringan lebih aman. Dengan masing-masing fitur keamanan, hal yang terjadi pada
jaringan kemungkinan bisa lebih aman atau lebih terbuka untuk diserang.
Dengan konsep pertahanan layered, bagian berikut akan melihat pada bagaimana
peranti wireless mengoneksi ke sebuah access point dan bagaimana Anda dapat
mengaplikasikan keamanan sedapat mungkin pada acces point yang pertama. (Thomas
tom, 2005 : 345)
2.4.1 Service Set Identifier (SSID)
Secara default, access point mem-broadcast SSID setiap beberapa detik
dalam beacon frame. Meskipun ini memudahkan bagi authorized user untuk
mencari jaringan yang benar, tap! juga memudahkan bagi unauthorized user un-
tuk mendapatkan nama jaringan. Fitur ini memungkinkan sebagian perangkat lu-
nak deteksi jaringan wireless untuk mendapatkan jaringan tanpa memiliki SSID
upfront.
Setting SSID pada jaringan Anda harus ditetapkan sebagai ting-kat
keamanan yang pertama. Sesuai standarnya, SSID tidak dapat memberikan
semua proteksi terhadap siapa saja yang mengumpulkan akses pada jaringan
38
Anda, tetapi mengonfigurasi SSID Anda kepada sesuatu yang tidak bisa
diprediksi dapat mempersulit penyusup untuk mengetahui apa sebenarnya yang
mereka lihat.
Daftar SSID dari pemanufaktur dan perangkat jaringan lain yang dapat
membongkar password dapat ditemukan di http:// www.cirt.net/. Seperti yang
dapat Anda lihat, SSID telah tersedia di Internet. Jadi, mematikan SSID
broadcasting sebagai langkah awal Anda merupakan gagasan yang bagus.
(Thomas tom, 2005 : 345)
2.4.2 Menggabungkan Peranti dan Access Point
Sebelum semua komunikasi lain terjadi di antara wireless client dan wire-
less access point, pertama-tama keduanya hams memulai sebuah dialog. Proses
ini dikenal sebagai associating. Saat 802.lib didesain, IEEE menambahkan fitur
untuk memungkinkan jaringan wireless menjalankan otentikasi sesegera
mungkin sesudah peranti klien bergabung dengan access point, tetapi sebelum
transmisi access point muncul. Tujuan dari persyaratan ini adalah untuk me-
nambahkan layer keamanan lain. Otentikasi ini dapat diset menjadi shared key
authentication atau open key authentication. Anda harus menggunakan open key
authentication karena shared key lemah; meskipun kontra-intuitif, namun
rekomendasi ini didasarkan pada pemahaman bahwa enkripsi lain akan digu-
nakan. (Thomas tom, 2005 : 347)
2.4.3 Wired Equivalent Privacy (WEP)
39
Ada banyak salah pengertian mengenai WEP. Jadi, mari kita perjelas hal
ini. WEP bukanlah sebuah algoritma keamanan. WEP tidak pemah didesain
untuk melindungi data Anda dari script kiddies atau dari penyerang pintar yang
ingin menemukan rahasia Anda. WEP tidak didesain untuk menolak; ia hanya
memastikan bahwa Anda sedikit aman karena Anda tidak mengelola data Anda
dalam sebuah wire. Masalahnya akan muncul saat orang melihat kata "enkripsi"
dan membuat asumsi. WEP didesain untuk memperbaiki keridakamanan yang
melekat pada transmisi wireless, sama dengan transmisi wired. WEP membuat
data Anda sama amannya jika data tersebut ada pada jaringan wired Ethernet
yang tidak dienkripsi. Itulah tujuan desain WEP. Kini salah pengertian itu telah
terpecahkan dan Anda dapat memelajari.
WEP melindungi traffic wireless dengan mengombinasikan "secret" WEP
key dengan bilangan 24-bit (Initialization Vector atau IV), dihasil-kan secara
acak untuk menyediakan layanan enkripsi. 24-bit IV dikom-binasikan dengan 40-
bit atau 104-bit WEP pass phrase untuk memberi Anda kekuatan dan
perlindungan enkripsi 128-bit — benarkah demiki-an? Ada beberapa isu
mengenai kekurangan implementasi WEP:
Kelemahan pertama WEP adalah keterbatasan numerical 24-bit Initialization
Vector (IV), yang menghasilkan value 16777.216 (224). Ini mungkin tam-
paknya besar, tetapi Anda mengetahui dari diskusi pada Bab 4, "Protokol
Keamanan", bahwa bilangan mi hanyalah semu. Masalah pada bilangan kecil
ini adalah nilai-nilai dan key start mengulang dirinya sendiri, inilah
bagaimana penyerang dapat menyingkapkan WEP key.
40
Kelemahan kedua adalah value 16 juta, tidak semuanya bagus. Misalnya,
bilangan 1 tidak akan menjadi sangat bagus. Jika penyerang dapat
menggunakan alat untuk menemukan kelemahan pada nilai IV, WEP dapat
disingkapkan.
Kelemahan ketiga dari WEP adalah perbedaan di antara enkripsi 64-bit dan
128-bit. Hal ini akan mengindikasikan bahwa 128-bit harus menjadi dua kali
lebih aman, bukankah demikian? Salah. Semua tingkatan ini masih
menggunakan 24-bit IV yang sama, yang memiliki kelemahan bawaan.
Karenanya, jika Anda berpikir bahwa 128-bit lebih aman, dalam
kenyataannya Anda akan men-dapati bahwa keamanan jaringan Anda tidak
meningkat secara signitikan. (Thomas tom, 2005 : 347)
2.4.4 Pemfilteran MAC Address
Pemfilteran MAC address merupakan pemfilteran di atas standar 802,lib
untuk mengamankan jaringan. MAC address dari card jaringan adalah bilangan
hexadecimal 12-digit yang unik satu sama lain. Karena masing-masing card
wireless Ethernet memiliki MAC address-nya sendiri, maka jika Anda hendak
membatasi akses ke AP hanya pada MAC address dari peranti yang telah
diotorisasikan tersebut, Anda dapat dengan mudah mengeluarkan tiap orang yang
tidak berada pada jaringan Anda.
41
Gambar 2.15 Pemfilteran MAC address menggunakan RADIUS Server (http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf)
Akan tetapi, pemfilteran MAC address tidak seluruhnya aman dan jika
Anda semata-mata mengandalkan pemfilteran MAC address, Anda akan
mendapatkan kegagalan. Perhatikan hal berikut:
Seseorang akan melacak database MAC address dari setiap peranti wireless
dalam jaringan Anda. Tidak masalah jika hanya ada 10 sampai 20 peranti,
tetapi jika Anda harus melacak ratusan MAC address, maka ini akan segera
menjadi mimpi buruk.
MAC address dapat diubah sehingga penyerang dapat menggu-nakan
wireless sniffer untuk mengonfigurasi MAC address yang di-izinkan dan
mengeset PC-nya supaya dianggap valid. Ingat bahwa enkripsi menempati
Layer 2 sehingga MAC address akan terlihat pada packet sniffer. (Thomas
tom, 2005 : 350)
2.4.5 Extensible Authentication Protocol (EAP)
802.IX adalah standar yang terkait dengan port level security yang
diratifikasi IEEE. Ratifikasi ini pada awalnya dimaksudkan untuk
42
menstandarisasi keamanan pada wired network port, tetapi dia juga dapat
diaplikasikan pada jaringan wireless. Extensible Authentication Protocol (EAP)
adalah protokol keamanan (MAC address layer) Layer 2 yang berada di tahap
otentikasi pada proses keamanan, dan bersama-sama dengan ukuran keamanan
yang telah didiskusikan sejauh ini, menyediakan layer ketiga dan terakhir dari
keamanan untuk jaringan wireless Anda.
2.5 Remote Authentication Dial-In User Service (RADIUS) Server
Menjalankan sistem administrasi pengguna yang terpusat, sistem ini akan
mempermudah tugas administrator. Dapat kita bayangkan berapa banyak jumlah
pelanggan yang dimiliki oleh sebuah ISP, dan ditambah lagi dengan penambahan
pelanggan baru dan penghapusan pelanggan yang sudah tidak berlangganan lagi. Apabila
tidak ada suatu sistem administrasi yang terpusat, maka akan merepotkan administrator
dan tidak menutup kemungkinan ISP akan merugi atau pendapatannya berkurang.
Dengan sistem ini pengguna dapat menggunakan hotspot di tempat yang berbeda-beda
dengan melakukan autentikasi ke sebuah RADIUS server.
(http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
2.5.1 Prinsip Kerja RADIUS Server
RADIUS (Remote Authentication Dial-In User Service), adalah suatu
metode standar (protokol) yang mengatur komunikasi antara NAS dengan AAA
server. Dalam hal ini server AAA yang digunakan dapat juga disebut sebagai
server RADIUS, dan paket-paket data yang terlibat dalam komunikasi antara
43
keduanya disebut sebagai paket RADIUS.
Ketika NAS menerima permintaan koneksi dari user, NAS akan
mengirimkan informasi yang diperolehnya dari user ke server RADIUS.
Berdasarkan informasi tersebut, server RADIUS akan mencari dan mencocokkan
informasi mengenai user tersebut pada databasenya, baik internal, eksternal,
maupun server RADIUS lain. Jika terdapat informasi yang cocok, server
RADIUS akan mengizinkan user tersebut untuk menggunakan jaringan. Jika
tidak, maka user tersebut akan ditolak. Berdasarkan informasi ini, NAS
memutuskan apakah melanjutkan atau memutuskan koneksi dengan user.
Selanjutnya, NAS mengirimkan data ke server RADIUS untuk mencatat semua
kegiatan yang dilakukan user dalam jaringan.
Server RADIUS dan NAS berkomunikasi melalui paket-paket RADIUS.
Paket-paket RADIUS ini memiliki format sesuai dengan yang ditentukan oleh
IETF melalui dokumen RFC 2865 mengenai RADIUS, dan RFC 2866 mengenai
RADIUS accounting. Paket-paket RADIUS dikirimkan oleh NAS dan server
RADIUS berdasarkan pola request/response : NAS mengirimkan request dan
menerima response dari server RADIUS. Jika NAS tidak menerima response
dari server atas suatu request, NAS dapat mengirimkan kembali paket request
secara periodik sampai dicapai suatu masa timeout tertentu, dimana NAS tidak
lagi mengirimkan request kepada server, dan menyatakan bahwa server sedang
down/tidak aktif. Setiap paket memiliki fungsi tersendiri, apakah untuk
authentication atau untuk accounting. Setiap paket RADIUS dapat menyertakan
nilai-nilai tertentu yang disebut atribut (attributes). Atribut-atribut ini bergantung
pada jenis paket (authentication atau accounting), dan jenis NAS yang
44
digunakan. Informasi detail mengenai format paket dan nilai-nilai dari masing-
masing field dalam paket RADIUS dapat dilihat pada RFC 2865 dan RFC 2866.
Fungsi authentication dilakukan melalui field-field pada paket access-
request. Fungsi authorization dilakukan melalui atribut-atribut pada paket
access-accept. Fungsi accounting dilakukan melalui atribut-atribut pada paket-
paket accounting (paket start, stop, on, off, dll).
Keamanan pada komunikasi antara NAS dengan server RADIUS dijamin
dengan digunakannya konsep shared secret. Shared secret merupakan rangkaian
karakter alfanumerik unik yang hanya diketahui oleh server RADIUS dan NAS,
dan tidak pernah dikirimkan ke jaringan. Shared secret ini digunakan untuk
mengenkripsi informasi-informasi kritis seperti user password. Enkripsi
dilakukan dengan cara melewatkan shared secret yang diikuti dengan request
authenticator (field pada paket access request dari NAS yang menandakan
bahwa paket tersebut merupakan paket access request) pada algoritma MD5 satu
arah, untuk membuat rangkaian karakter sepanjang 16 oktet, yang kemudian di-
XOR-kan dengan password yang dimasukkan oleh user. Hasil dari operasi ini
ditempatkan pada atribut User-Password pada paket access request. Karena
shared secret ini hanya diketahui oleh NAS dan server RADIUS, dan tidak
pernah dikirimkan ke jaringan, maka akan sangat sulit untuk mengambil
informasi user-password dari paket access request tersebut.
NAS dan server RADIUS terhubung melalui jaringan TCP/IP. Protokol
yang digunakan adalah UDP (User Datagram Protocol), dan menggunakan port
1812 untuk authentication, dan port 1813 untuk accounting.
(http://www.telkomrdc-media.com/index.php)
45
Gambar 2.16 Struktur paket data RADIUS (http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
Struktur paket data RADIUS pada Gambar 2.20 terdiri dari lima bagian, yaitu:
1. Code
Code memiliki panjang adalah satu oktet, digunakan untuk membedakan tipe
pesan RADIUS yang dikirimkan pada paket. Kode-kode tersebut (dalam desimal)
ialah:
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge
12 Status-Server
13 Status-Client
255 Reserved
2. Identifier
Memiliki panjang satu oktet, bertujuan untuk mencocokkan permintaan.
3. Length
Memiliki panjang dua oktet, memberikan informasi mengenai panjang paket.
46
4. Authenticator
Memiliki panjang 16 oktet, digunakan untuk membuktikan balasan dari RADIUS
server, selain itu digunakan juga untuk algoritma password.
5. Attributes
Berisikan informasi yang dibawa pesan RADIUS, setiap pesan dapat mmembawa
satu atau lebih atribut. Contoh atribut RADIUS: nama pengguna, password,
CHAP-password, alamat IP access point(AP), pesan balasan.
(http://budi.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf )
2.5.2 Authentication, Authorization, dan Accounting (AAA)
AAA adalah sebuah model akses jaringan yang memisahkan tiga macam
fungsi kontrol, yaitu Authentication, Authorization, dan Accounting, untuk
diproses secara independen. Model jaringan yang menggunakan konsep AAA
diilustrasikan pada gambar 2.19
Gambar 2.17 Model AAA
(http://www.telkomrdc-media.com/index.php)
47
Pada gambar 2.19 terlihat komponen-komponen yang terlibat dalam
model AAA. Pada dasarnya terdapat tiga komponen yang membentuk model ini
yaitu Remote User, Network Access Server (NAS), dan AAA server. Proses yang
terjadi dalam sistem ini ialah user meminta hak akses ke suatu jaringan (internet,
atau wireless LAN misalnya) kepada Network Access Server. Network Access
Server kemudian mengidentifikasi user tersebut melalui AAA server. Jika server
AAA mengenali user tersebut, maka server AAA akan memberikan informasi
kepada NAS bahwa user tersebut berhak menggunakan jaringan, dan layanan apa
saja yang dapat diakses olehnya. Selanjutnya, dilakukan pencatatan atas beberapa
informasi penting mengenai aktivitas user tersebut, seperti layanan apa saja yang
digunakan, berapa besar data (dalam ukuran bytes) yang diakses oleh user, berapa
lama user menggunakan jaringan, dan sebagainya. (http://www.telkomrdc-
media.com/index.php)
2.5.2.1 Authentication
Proses autentikasi diperlukan ketika Anda mempunyai kebutuhan
untuk membatasi siapa saja yang diperbolehkan masuk ke dalam jaringan
remote access milik Anda. Untuk memenuhi kebutuhan tersebut,
pengguna yang ingin mengakses sebuah jaringan secara remote harus
diidentifikasi terlebih dahulu. Pengguna yang ingin masuk ke dalam
jaringan pribadi tersebut perlu diketahui terlebih dahulu sebelum bebas
mengakses jaringan tersebut. Pengenalan ini bertujuan untuk mengetahui
apakah pengguna tersebut berhak atau tidak untuk mengakses jaringan.
Analoginya sederhananya adalah seperti rumah Anda. Apabila ada
orang yang ingin berkunjung ke rumah Anda, kali pertama yang akan
48
dilakukan oleh pemilik rumahnya adalah mengidentifikasi siapa yang
ingin datang dan masuk ke dalamnya. Jika Anda tidak mengenal orang
tersebut, bisa saja Anda tolak permintaannya untuk masuk ke rumah
Anda. Namun jika sudah dikenal, maka Anda mungkin akan langsung
mempersilakannya masuk. Demikian juga dengan apa yang dilakukan
oleh perangkat remote access terhadap pengguna yang ingin bergabung ke
dalam jaringan di belakangnya.
Pada umumnya, perangkat remote access telah dilengkapi dengan
sebuah list yang berisikan siapa-siapa saja yang berhak masuk ke jaringan
di belakangnya. Metode yang paling umum digunakan untuk mengenali
pengakses jaringan adalah dialog login dan password. Metode ini juga
didukung oleh banyak komponen lainnya, seperti metode challenge dan
response, messaging support, dan enkripsi, tergantung pada protokol
sekuriti apa yang Anda gunakan. (http://www.scriptintermedia.com /
view.php?id=105&jenis=ITKnowledg)
Gambar 2.18 Proses Autentikasi (http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
49
2.5.2.2 Authorization
Proses authorization merupakan langkah selanjutnya setelah
proses autentikasi berhasil. Ketika pengguna yang ingin mengakses
jaringan Anda telah dikenali dan termasuk dalam daftar yang
diperbolehkan membuka akses, langkah berikutnya Anda harus
memberikan batasan hak-hak apa saja yang akan diterima oleh pengguna
tersebut.
Analogi dari proses ini dapat dimisalkan seperti peraturan-
peraturan yang tertempel di dinding-dinding rumah Anda. Isi dari
peraturan tersebut biasanya akan membatasi para pengunjung agar mereka
tidak dapat dengan bebas berkeliling rumah Anda. Tentu ada bagian yang
privasi di rumah Anda, bukan? Misalnya setiap pengunjung rumah Anda
tidak diperbolehkan masuk ke ruang kerja Anda. Atau setiap pengunjung
harus membuka alas kakinya ketika memasuki ruangan ibadah di rumah
Anda. Atau setiap pengunjung hanya diperbolehkan masuk sampai teras
rumah.
Semua itu merupakan peraturan yang dapat dengan bebas Anda
buat di rumah Anda. Begitu juga dengan apa yang terjadi pada proses
pengamanan jaringan remote access Anda. Perlu sekali adanya batasan
untuk para pengguna jaringan remote karena Anda tidak akan pernah tahu
siapa yang ingin masuk ke dalam jaringan Anda tersebut, meskipun telah
teridentifikasi dengan benar. Bisa saja orang lain yang tidak berhak
menggunakan username dan password yang bukan miliknya untuk
mendapatkan akses ke jaringan Anda.
50
Bagaimana untuk membatasi masing-masing pengguna tersebut?
Banyak sekali metode untuk melakukan pembatasan ini, namun yang
paling umum digunakan adalah dengan menggunakan seperangkat atribut
khusus yang dirangkai-rangkai untuk menghasilkan policy tentang hak-
hak apa saja yang dapat dilakukan si pengguna. Atribut-atribut ini
kemudian dibandingkan dengan apa yang dicatat di dalam database.
Setelah dibandingkan dengan informasi yang ada di database,
hasilnya akan dikembalikan lagi kepada fasilitas AAA yang berjalan pada
perangkat tersebut. Berdasarkan hasil ini perangkat remote access akan
memberikan apa yang menjadi hak dari si pengguna tersebut. Apa saja
yang bisa dilakukannya dan apa saja yang dilarang sudah berlaku dalam
tahap ini.
Database yang berfungsi untuk menampung semua informasi ini
dapat dibuat secara lokal di dalam perangkat remote access atau router
maupun dalam perangkat khusus yang biasanya disebut dengan istilah
server sekuriti. Di dalam server sekuriti ini biasanya tidak hanya
informasi profil penggunanya saja yang ditampung, protokol sekuriti juga
harus berjalan di sini untuk dapat melayani permintaan informasi profil
dari perangkat-perangkat yang berperan sebagai kliennya. Pada perangkat
inilah nantinya attribute-value (AV) dari pengguna yang ingin bergabung
diterima dan diproses untuk kemudian dikembalikan lagi menjadi sebuah
peraturan oleh fasilitas AAA tersebut.
Metode authorization biasanya dilakukan dalam banyak cara. Bisa
dilakukan dengan cara one-time authorization yang memberikan seluruh
51
hak dari si pengguna hanya dengan satu kali proses authorization. Atau
bisa juga dilakukan per service authorization yang membuat pengguna
harus diotorisasi berkali-kali ketika ingin menggunakan servis tertentu.
Authorization juga bisa dibuat per pengguna berdasarkan list yang ada di
server sekuriti atau kalau protokolnya mendukung otorisasi bisa
diberlakukan per group pengguna. Selain itu, jika server sekuritinya
memungkinkan, Anda dapat memberlakukan aturan-aturan otorisasi
berdasarkan sistem pengalamatan IP, IPX, dan banyak lagi yg lainnya.
(http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge
)
2.5.2.3 Accounting
Proses accounting dalam layanan koneksi remote access amat
sangat penting, apalagi jika Anda membuat jaringan ini untuk
kepentingan komersial. Dalam proses accounting ini, perangkat remote
access atau server sekuriti akan mengumpulkan informasi seputar berapa
lama si pengguna sudah terkoneksi, billing time (waktu start dan waktu
stop) yang telah dilaluinya selama pemakaian, sampai berapa besar data
yang sudah dilewatkan dalam transaksi komunikasi tersebut. Data dan
informasi ini akan berguna sekali untuk pengguna maupun
administratornya. Biasanya informasi ini akan digunakan dalam
melakukan proses auditing, membuat laporan pemakaian, penganalisisan
karakteristik jaringan, pembuatan billing tagihan, dan banyak lagi.
Analogi yang tepat untuk proses accounting ini adalah mesin
52
absensi yang ada di kantor-kantor. Dengan mesin absensi ini para
karyawan dapat dimonitor waktu kerjanya. Kapan mereka datang dan
kapan mereka pulang tentu merupakan informasi yang cukup berguna.
Baik hanya untuk keperluan analisis saja, maupun untuk menentukan
berapa upah yang akan dibayarkan kepada mereka.
Fasilitas accounting pada jaringan remote access umumnya juga
memungkinkan Anda untuk melakukan monitoring terhadap servis apa
saja yang digunakan oleh pengguna. Dengan demikian, fasilitas
accounting dapat mengetahui seberapa besar resource jaringan yang Anda
gunakan. Ketika fasilitas AAA diaktifkan pada sebuah perangkat jaringan
remote access, perangkat tersebut akan melaporkan setiap transaksi
tersebut ke server sekuriti. Tergantung pada protokol sekuriti apa yang
Anda gunakan, maka cara melaporkannya pun berbeda-beda.
Setiap record accounting akan mempengaruhi nilai-nilai atribut
dari proses AAA yang lain seperti authentication dan authorization.
Semua informasi yang saling terkait ini kemudian disimpan di dalam
database server sekuriti atau jika memang diperlukan, kumpulan
informasi ini dapat disimpan di server khusus tersendiri. Biasanya server
khusus billing diperlukan jika penggunanya sudah berjumlah sangat
banyak.
(http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledg)
53
Gambar 2.19 Proses di mulainya pencatatan
(http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
Gambar 2.20 Proses di akhirinya pencatatan
(http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge)
2.5.3 Captive Portal
Captive portal bekerja dengan cara mengalihkan semua permintaan akses
54
http dari klien menuju ke sebuah halaman khusus yang biasanya berupa halaman
autentikasi pengguna atau halaman kesepakatan antara pengguna dengan
penyedia jaringan wíreles yang berfungsi untuk melakukan autentikasi, sebelum
user atau clien mengakses sumberdaya jaringan atau jaringan internet. Pengalihan
permintaan http tersebut dilakukan dengan menginterupsi semua paket dengan
mengabaikan setiap alamat dan nomor port yang dituju. Pada halaman
autentikasi, user akan disuguhi variable-variabel yang harus di isi untuk
autnetikasi, biasanya berupa kode pengguna dan kata kunci. Karena halaman
autentikasi harus di suguhkan kepada user atau clien, maka halaman login harus
disimpan secara local di gateway, atau pada web server yang diijinkan untuk di
akses oleh pengguna tanpa harus melalui proses autentikasi terlebih dahulu.
Captive portal sendiri merupakan satu set perangkat lunak yang saling
bekerja sama untuk melakukan tugasnya, beberapa perangkat lunak tersebut
diantaranya adalah :
Remote Access Dial Up service (RADIUS) Server
Sesuai dengan namanya server ini berfungsi untuk menangani sambungan
dari jarak jauh. Dalam server ini juga diatur manajemen akses yang diberikan
kepada pengguna seperti misalnya perhitungan penggunaan baik berdasarkan
waktu ataupun data yang di download.
Dinamic Host Control Protocol (DHCP) Server
Berfungungsi untuk mengatur penggunaan Internet Protocol (IP) oleh
client. DHCP ini akan memberikan IP untuk klien yang mengakses jaringan
wireless.
55
Domain Name System (DNS)
Merupakan system yang menyimpan informasi mengenai nama domain
maupun nama host dalam bentuk basis data tersebar didalam jaringan komptuer.
DNS menyediakan alamat IP untuk setiap alamat host dan IP untuk setiap alamat
email.
DNS Redirector
Merupakan pengalih permintaan HTTP dari klien untuk di alihkan ke
halaman atau alamat tertentu, misalnya halaman login, halaman persetujuan atau
halaman peringatan.
Dipasaran banyak terdapat perangkat lunak yang tergolong pada captive
portal ini. diantaranya adalah :
1. Chillispot berbasis opensource
2. CoovaChilli berbasis opensource
3. FirstSpot,komersial dan beroperasi pada system operasi Windows
4. WiFiDog Captive Portal Suite
5. SweetSpot
6. AirMarshal
7. Mikrotik, Komersial berbasis Linux
Captive portal dapat di terapkan pada jenis topologi jaringan apapun,
namun perancangan topologi jaringan akan sangat membantu dalam pelaksanaan
operasional captive portal. Misalnya dalam sebuah jaringan computer terdapat
dua jenis jaringan; jaringan berbasis nirkabel atau wireless network dan jaringan
berbasis kabel atau wired network, jika ditentukan hanya user dari jaringan
wireless yang memanfaatkan captive portal maka jaringan kabel harus berada di
56
belakang trafik captive portal sedangkan jaringan wireless sebaliknya harus
berada di depan captive portal atau semua trafik harus melalui captive portal
gateway.
Setiap captive portal menyediakan user interface standar yang dapat
digunakan tanpa harus melakukan perubahan. Namun walau demikian
administrator dapat melakukan perubahan-perubahan seperlunya sesuai dengan
kondisi pengguna. Halaman login pengguna dapat di rubah sesuai dengan
kebutuhan atau dengan memperhatikan kenyamanan pengguna jaringan wireless.
Kendatipun halaman login standar sudah cukup user friendly namun belum tentu
sesuai dengan kondisi user di tempat implementasi. (http://118.98.212.211/
pustakamaya /files/disk1/32/ict-100-1001-- glendispm-1567-1-perancan-r.pdf)
57
BAB III
METODOLOGI PENELITIAN
3.1. Waktu dan Tempat Penelitian
Penelitian ini dilakukan dari bulan Maret sampai Mei 2009 yang bertempat di Badan Pengkajian Penerapan dan Teknologi (BPPT).
3.2. Objek Penelitian
Objek penelitian ini adalah merancang dan mengimplementasi teknologi
keamanan Wireless LAN yang sesuai dengan kondisi jaringan komputer di BPPT.
Pengembangan Wireless LAN untuk menjawab kebutuhan user dalam melakukan
akses berbagai macam resource komputer dari lokasi lain secara remote dengan aman
dan nyaman.
3.3. Metode Penelitian
Untuk mendapatkan bahan-bahan sebagai dasar penelitian, perancangan dan
implementasi, dilakukan riset terlebih dahulu, yaitu :
1. Riset Kepustakaan
Metode ini menggunakan data-data dari berbagai buku, jurnal penelitian,
majalah, dan sumber bacaaan elektronis yang berada di internet yang berkaitan
dengan masalah keamanan jaringan Wireless serta masalah untuk
mengimplementasikan Wireless LAN ke dalam jaringan, baik itu untuk
mengkonfigurasi server maupun konfigurasi client.
2. Observasi
58
Metode ini adalah dengan pengamatan dan observasi secara langsung ke dalam
sistem jaringan yang ada di BPPT.
3. Interview
Metode ini adalah dengan pengumpulan data dengan melakukan wawancara
langsung terhadap sumber (keyperson) yang terkait baik langsung maupun tidak
langsung dengan system keamanan jaringan di BPPT. Keyperson yang di maksud
adalah Executive dalam hal ini Kepala Bidang Sistem dan Jaringan : Bapak
Chairul Anwar, Kepala Sub. Bidang Jaringan : Bapak Taslim R, Administrator
jaringan : Bapak Ardhiyan, Bapak Taufik dan Ibu Denna Arfiani, Teknikal
Support : Bapak Agung Setiadi dan user dalam hal ini pegawai BPPT.
Metode penelitian yang digunakan dalam penelitian ini mencakup empat dari
enam tahapan dan ditambah satu tahapan hasil terjemahan tahap Audit dan Evaluasi,
yaitu : tahap pengujian dan analisis hasil.
Dibawah ini merupakan uraian lima tahapan metode yang penulis gunakan,
yaitu :
3.3.1. Tahap Identifikasi
Pada tahap ini penulis membahas apa aja yang menjadi aset-aset informasi
yang di miliki BPPT yang perlu bahkan harus diamankan.
3.3.2 Tahap Analisis
1. Keadaan sistem saat ini
59
Pada tahap ini penlis melakukan pengamatan secara langsung ke tempat
objek penelitian untuk mengetahui teknologi keamanan jaringan wirelsess
yang digunakan saat ini, selain juga memperolehnya dari dokumentasi
yang ada, di jaringan komputer BPPT yang mencakup infrastruktur
keamanan jaringan Wireless, skema keamanan jaringan Wireless, dan
kebijakan keamanan.
2. Masalah yang dihadapi
Pada tahap ini dijelaskan masalah yang dihadapi tentang teknologi
keamanan jaringan Wireless yang berada di BPPT. Ini dilakukan dengan
melakukan penelusuran pustaka melalui buku-buku mengenai keamanan
jaringan wireless dan wawancara dengan pengelola jaringan maupun
praktisi yang pernah menggunakan jaringan wireless ini.
3. Penangan Masalah
Pada tahap ini menjelas bagaimana cara menangani masalah-
masalah yang di hadapi yaitu dengan mengidentifikasi semua aset,
ancaman-ancaman, vulnerabilities dan menetapkan resiko-resiko dan juga
langkah-langkah untuk melidungi sistem jaringan.
3.3.3 Tahap Perancangan
1. Pembuatan skema jaringan
Tahap ini adalah pembuatan skema teknologi keamanan jaringan Wireless
LAN yang akan digunakan di jaringan komputer BPPT. Dimana penerapan
ke dalam jaringan komputer ini akan melihat sumber daya yang ada di
BPPT.
2. Pembangunan sistem jaringan
60
Setelah dilakukan perancangan sistem dan diketahui komponen-komponen
pendukung yang diperlukan untuk membangun infrastruktur keamanan
Wireless LAN di BPPT, maka tahap selanjutnya adalah pembangunan
sistem.
3. Kebutuhan sistem
Tahap ini akan menjelaskan tentang kebutuhan sistem baik hardware
maupun software yang dipakai oleh server maupun client.
3.3.4 Tahap Implementasi
1. Kebutuhan Teknologi Keamanan
Pada tahap ini akan dipilih kebutuhan teknologi keamanan yang diperlukan
berdasarkan dengan desain logis.
2. Penerapan Teknologi Keamanan
Pada tahap ini akan diimplementasikan semua teknologi keamanan yang di
perlukaan oleh user atau pengguna.
3. Pelatihan Teknologi Keamanan
Tahap ini untuk menyosialisasikan penggunaan Wireless LAN dan sistem
keamanan jaringan yang baru kepada pengelola jaringan maupun kepada
pengguna jaringan agar dapat memahami penggunaan di dalam jaringan
komputer, serta bisa mengatasi kalau ada masalah baru yang muncul.
3.3.5 Pengujian dan Analisis Hasil
Untuk memastikan bahwa semua proses dan teknologi yang telah
diterapkan adalah sesuai dengan kebutuhan sistem yang telah ditetapkan
sebelumnya, maka perlu dilakukan pengujian. Yang disertai dengan kuisioner
61
dan wawancara singkat dengan pengguna dan manajemen.
Hasil-hasil dari pengujian kemudian akan dilakukan analisis untuk
mengukur tingkat efektifitas dari proses dan arsitektur yang diterapkan dan
membandingkannya dengan kondisi ideal yang diharapkan. Hasil-hasil
analisis akan dijadikan sebagai masukan untuk perbaikan sistem juga sebagai
saran untuk usaha perbaikan dimasa yang akan datang.
3.4. Alat Penelitian
Sebagai sarana peneltian, diperlukan adanya alat penelitian. Alat yang digunakan
dalam penelitian ini dibagi menjadi dua bagian, yaitu perangkat keras (hardware) dan
perangkat lunak (software). Perangkat keras yang digunakan adalah komputer dan
perangkat jaringan untuk membuat suatu jaringan dapat terkoneksi. Sedangkan untuk
perangkat lunak adalah kebutuhan sebuah sistem operasi yang mendukung jaringan,
software-software pendukung aplikasi jaringan.
Untuk dapat membuat sebuah sistem yang benar-benar dapat berfungsi secara
baik dan menyeluruh diperlukan adanya Hardware dan Software sebagai berikut :
1. Hardware
Diharapkan hardware yang digunakan dalam penelitan ini meliputi
komputer server, komputer client dan perangkat jaringan lainnya sebagaimana
berikut ini:
a. Komputer server untuk Radius Server.
b. Komputer client.
c. Wired LAN, merupakan jaringan kabel yang sudah ada.
d. Access Point.
62
• Mysql
•
Software
yang
Wireless,
seperti
2. Software
Untuk sofwarenya diharapkan menggunakan :
1. Software untuk server, Sistem operasi Ubuntu 8.04 LTS dengan software
:
• Apache2
• Freeradius
• Coova chilli 1.0.12-1_i386
mendukung teknologi keamanan jaringan
: Wireshark, Nettools, Network Stembler,
Etherchange
2. Software untuk client, Sistem operasi Windows Vista dan Windows Xp
Profesional Service Pack 2
3.5 Profil BPPT
Badan Pengkajian dan Penerapan Teknologi (BPPT) adalah lembaga pemerintah
non-departemen yang berada dibawah koordinasi Kementerian Negara Riset dan
Teknologi yang mempunyai tugas melaksanakan tugas pemerintahan di bidang
pengkajian dan penerapan teknologi.
Proses pembentukan BPPT bermula dari gagasan Mantan Presiden Soeharto
kepada Prof Dr. Ing. B.J. Habibie pada tanggal 28-Januari-1974.
Dengan surat keputusan no. 76/M/1974 tanggal 5-Januari-1974, Prof Dr. Ing. B.J.
Habibie diangkat sebagai penasehat pemerintah dibidang advance teknologi dan
teknologi penerbangan yang bertanggung jawab langsung pada presiden dengan
63
membentuk Divisi Teknologi dan Teknologi Penerbangan (ATTP) Pertamina.
Melalui surat keputusan Dewan Komisaris Pemerintah Pertamina
No.04/Kpts/DR/DU/1975 tanggal 1 April 1976, ATTP diubah menjadi Divisi Advance
Teknologi Pertamina. Kemudian diubah menjadi Badan Pengkajian dan Penerapan
Teknologi melalui Keputusan Presiden Republik Indonesia No.25 tanggal 21 Agustus
1978. Diperbaharui dengan Surat Keputusan Presiden No.47 tahun 1991.
3.6 Visi dan Misi
Visi
Mewujudkan teknologi sebagai pilar utama pembangunan untuk
meningkatkan daya saing industri dalam rangka peningkatan kesejahteraan
masyarakat.
Misi • Meningkatkan daya saing industri.
• Mewujudkan BPPT sebagai agen pembangunan masyarakat dalam bidang
teknologi.
• Menyusun kebijakan pengkajian dan penerapan teknologi.
• Mengembangkan BPPT sebagai pusat unggulan teknologi dan SDM yang
handal (technology center of excellence).
3.7 Tupoksi dan Kewenangan
64
Tugas Pokok
Melaksanakan tugas pemerintahan di bidang pengkajian dan penerapan
teknologi sesuai dengan ketentuan peraturan perundang-undangan yang
berlaku.
Fungsi
• Pengkajian & penyusunan kebijakan nasional di bidang pengkajian dan
penerapan teknologi
• Koordinasi kegiatan fungsional dalam pelaksanaan tugas BPPT.
• Pemantauan, pembinaan dan pelayanan terhadap kegiatan instansi pemerintah
dan swasta dibidang pengkajian dan penerapan teknologi dalam rangka
inovasi, difusi, dan pengembangan kapasitas, serta membina alih teknologi.
• Penyelenggaraan pembinaan & pelayanan administrasi umum di bidang
perencanaan umum, ketatausahaan, organisasi & tatalaksana, kepegawaian,
keuangan, kearsipan, persandian, perlengkapan & rumah tangga.
Wewenang
• Penyusunan rencana nasional secara makro di bidangnya.
• Perumusan kebijakan di bidangnya untuk mendukung pembangunan secara
makro.
• Penetapan sistem informasi di bidangnya.
65
• Kewenangan lain yang melekat dan telah dilaksanakan sesuai dengan
ketentuan peraturan perundang-undangan yang berlaku, yaitu :
a. Perumusan & pelaksanaan kebijakan tertentu di bidang pengkajian &
penerapan teknologi.
b. Pemberian rekomendasi penerapan teknologi & melaksanakan audit
teknologi.
3.8 Struktur Organisasi
Gambar 2.1 Struktur Organisasi BPPT
66
BAB IV
ANALISIS DAN DESAIN
4.1 Aset-aset informasi yang dimiliki BPPT yang harus diamankan
Untuk dapat mendesain suatu sistem yang tepat, maka terlebih dahulu harus
dilakukan inventarisasi terhadap aset-aset yang perlu diamankan. Salah satu aset tersebut
adalah bandwidth. Pemakaian bandwidth secara ilegal akan sangat merugikan karena
akan mengurangi kinerja pegawai. Aset lain adalah virtual aset yang merupakan hasil-
hasil riset dan karya-karya ilmiah yang dimiliki oleh BPPT menjadi hal penting yang
harus diamankan. Data–data kepegawaian, data-data keuangan dan informasi-informasi
pribadi dan organisasi merupakan aset-aset informasi yang juga harus dilindungi, dan
BPPT juga memiliki kebijakan-kebijakan manajemen yang harus dipatuhi.
4.2 Arsitektur Jaringan BPPT Saat Ini.
Jaringan BPPT memiliki 3 jenis switch yang terdiri dari core switch, distribution
switch, dan access list. Server yang terdapat di Network Operating Control (NOC) BPPT
terdiri dari satu router, dua IPS, satu Firewall, satu Mikrotik, tiga Proxy, satu DNS, dua
Mail Server, dua Monitoring, dan dua Accelerator Server. NOC membagi dua Core
switch, masing-masing satu core switch untuk gedung 1 yang berada di lantai 11 dan
satu core switch di gedung 2 yang berada untuk lantai 4, core switch pada gedung 1
membagi empat distribution switch, yang masing-masing berada pada lantai 4, 8, 10, dan
18, sedangkan core switch pada gedung 2 membagi lima distribution switch, yang
masing-masing berada pada lantai 4, 10, 14, 18, dan 21.
67
Gambar. 4.1 Arsitektur Jaringan BPPT.
Pada distribution switch gedung 1 maupun gedung 2, masing-masing distribution
switch membagi beberapa access list, dari access list baru di hubungkan ke masing-
masing komputer yang berada di BPPT.
Gambar. 4.2 Arsitektur Jaringan Wireless BPPT.
68
menggunakan fiber optic,
menggunakan
kabel
UTP.
Media transmisi yang digunakan untuk menghubungkan NOC ke Core switch,
antar core switch dan juga yang menghubungkan core switch ke distribution switch
sedangkan dari distribution switch ke access switch
Pada jaringan ini juga terdapat 28 Access Point yang
dihubungkan langsung ke distribution switch. Namun sampai sekarang Access Point nya
masih belum dihidupkan.
4.3 Kebijakan Keamanan
Kebijakan Keamanan yang diterapkan di BPPT antara lain adalah NOC sudah
terpasang firewall untuk melindungi serangan dari luar, Pembatasan port akses di
firewall, Antivirus dan antispam sudah terpasang untuk mail server, Server-server
terinstall OS open source dengan pembatasan port akses, Koneksi browsing berada di
bawah proxy, Akses remote server dan switch serta mainswitch dilakukan oleh
administrator jaringan, Penambahan koneksi PC harus didaftarkan oleh administrator
jaringan dengan mendaftarkan MAC Address, Segmentasi IP Address user dengan
menggunakan Vlan-vlan, dan pembagain IP mengunakan statik.
1.4 Masalah Yang Dihadapi
Kantor pusat BPPT yang berlokasi di Jalan M.H. Thamrin No. 8 memiliki dua
bangunan gedung yaitu Gedung 1 dan Gedung 2. Jaringan di BPPT hanya terdiri dari
satu jaringan lokal yang digunakan di dalam Gedung 1 dan Gedung 2. Untuk saat ini
jaringan di BPPT hanya menggunakan media wired. Sedangkan untuk interkoneksi
dengan media Wireless, masing-masing departemen memasang sendiri Access Point nya,
bahkan ada yang memasang ISP sendiri diluar ISP yang digunakan oleh Jaringan BPPT.
69
Ini tentunya sangat menyulitkan pengelola jaringan dalam memonitor lalu lintas
jaringan.
Oleh karena itu, pengelola jaringan dalam hal ini PDIS berencana memasang Access
Point untuk setiap lantai di Gedung 1 dan Gedung 2. Tetapi dalam implementasi
jaringan baru ini akan muncul masalah lain yaitu mengenai segi keamanan. Oleh karena
itu perlu ada analisis yang cermat untuk meminimalisasi permasalahan tersebut.
Untuk mengetahui vulnerability yang ada di jaringan BPPT, dilakukan scanning
menggunakan Wireshark. Di bawah ini adalah hasil percobaan penyusupan yang telah
dilakukan kepada salah satu Access Point yang di miliki BPPT.
Gambar. 4.3 Scaning IP menggunakan Wireshark Dari gambar di atas kita bisa melihat ada beberapa IP Address yang aktif berada dalam
jaringan BPPT, yang memiliki segmen IP Address 10.1.xx.xx.
70
Gambar. 4.4 MAC Address
Dari gambar 4.5 di atas dapat dilihat MAC Address dari salah satu IP Address yang aktif
Gambar 4.5 Merubah MAC Adrress Untuk dapat masuk ke dalam jaringan penulis mencoba merubah MAC Address yang
dimiliki penulis dengan MAC Address yang telah di ketahui mengunakan Etharchange.
71
Gambar 4.6 Berhasil merubah MAC Address
Pada gambar di atas terlihat bahwa penulis berhasil merubah MAC Address dan
menggunakan IP Address yang dimiliki oleh MAC Address tersebut
Gambar 4.7 Berhasil masuk jaringan BPPT Penulis berhasil menyusup menggunakan IP Address dan MAC Address, dari hasil
scaning yang penulis lakukan. Sehingga penulis dapat dengan bebas menggunakan
72
fasilitas yang ada di BPPT seperti Brousing internet, file sharing, dan lain sebagainya hal ini sangat memungkinkan karena dianggap sebagai salah satu user yang terdaftar dalam
jaringan BPPT.
4.5 Penanganan Masalah
Dengan ditemukannya masalah di atas maka diperlukan dokumentasi yang ada
dan mencari pemecahannya. Dan juga diperlukan konsep sistem aplikasi keamanan yang
baru yang akan dibangun untuk menyelesaikan permasalahan yang terjadi dalam sistem
yang berjalan sekarang. Maka penulis menawarkan sebuah sistem keamanan
mengunakan mekanisme autentikasi, autorisasi, dan accounting yang kita sebut sebagai
RADIUS Server.
RADIUS (Remote Authentication Dial-In User Service) merupakan metode yang
dianggap mudah diimplementasikan, sederhana dan efisien. RADIUS adalah sebuah
network protokol keamanan komputer yang digunakan untuk membuat manajemen akses
secara terkontrol pada sebuah jaringan yang besar, yang mana protokol bertugas
membawa paket data, terdapat encapsulation di dalam paket data tersebut. RADIUS
melakukan autentikasi, otorisasi, dan pendaftaran akun (accounting) pengguna secara
terpusat untuk mengakses jaringan. Jadi, pengguna wireless merupakan pengguna yang
sah atau legal. Metode ini akan memudahkan tugas dari administrator. Dengan sistem ini
pengguna dapat menggunakan hotspot ditempat yang berbeda-beda dengan melakukan
authentikasi ke mesin server.
4.6 Pembuatan Skema Jaringan
73
ertama Jari eSrver
Dibawah ini adalah skema jaringan dari sistem yang akan dibangun : 4.6.1 Desain Pertama
Skema jaringan yang dibuat penulis tampak pada Gambar 4.9, yang mana server
RADIUS di letakan di antara firewall dan IPS. Setelah melakukan analisis dan
diskusi dengan pihak managemen jaringan maka diambil sebuah keputusan
bahwa desain ini tidak dapat diterapkan dalam jaringan BPPT karena beberapa
hal yaitu, cangkupan keamanan yang dilakukan RADIUS tidak hanya akan
mengamankan jaringan wireless saja namun juga jaringan wired ini tentu saja
sangat menggangu kinerja pegawai BPPT, spesifikasi hardware juga harus relatif
tinggi ini dikarenakan RADIUS akan menangani semua lalu lintas jaringan BPPT
ini tentu saja memerlukan biaya yang tidak sedikit.
Gambar. 4.8 Skema P ngan RADIUS
4.6.2 Desain Kedua
Untuk desain kedua penulis mencoba menawarkan penempatan RADIUS Server
di tiap-tiap distribution switch yang berjumalah 4 buah distribution switch di
Gedung I dan 5 buah distribution switch di Gedung II sehingga kita memerlukan
9 server untuk RADIUS Server yang akan menangani semua Access Point yang
berada di Gedung I dan Gedung II BPPT. Setelah melakukan analisis dan diskusi
74
dengan pihak managemen jaringan BPPT di dapat kan hasil bahwa pihak
managemen jaringan BPPT tidak dapat memenuhi permintaan 9 buah server
karena keterbatasan biaya, tingginya tingkat kesulitan memelihara dan memantau
keberadaan server karena letaknya yang berjauhan dan yang menjadi perhatian
pihak managemen jaringan BPPT adalah sulitnya menangani permintaan user
baru di tiap masing-masing RADIUS Server.
Gambar 4.9 Skema Kedua Jaringan RADIUS Server
4.6.3 Desain Ketiga
Melihat permasalahan pada desain kedua, penulis coba menawarkan desain
ketiga yaitu meletakan RADIUS Server di lantai 4 Gedung I dan lantai 4 Gedung
II yang memiliki cangkupan yang sifatnya umum atau terbuka seperti
Perpustakaan, lobi, Auditorium dan ruang pertemuan. Setelah melakukan analisis
75
dan diskusi dengan pihak managemen jaringan BPPT maka di ambil keputusan
bahwa desain ketiga yang paling tepat diterapkan di BPPT karena memang
daerah-daerah terbuka sangat bebas dimasuki oleh siapa saja baik yang memiliki
kepentingan maupun yang tidak memiliki kepentingan di BPPT. Sehingga perlu
dibuat kan sebuah teknologi keamanan untuk melindungi aset-aset informasi
yang di miliki oleh BPPT.
Gambar.4.10 Skema ketiga Jaringan RADIUS Server
4.7 Kebutuhan Sistem
Penulis mengkategorikan kebutuhan sistem dalam tugas akhir ini menjadi dua
bagian, yaitu hardware dan software. Untuk komponen hardware karena kita
menggunakan sistem komputer linux maka kita cukup membutuhkan hardware minimal.
76
Sedangkan untuk software, pada server penulis menggunakan instalasi baru pada
komputer yang akan dijadikan server sedang untuk komputer client penulis
menggunakan sistem operasi lama, yaitu Microsoft Windows XP Professional Edition
SP2 dan Microsoft WindowsVista.
Kategori dan penjabaran sistem yang digunakan :
1. Hardware
Dalam kategori pengunaan komponen perangkat keras ini penulis membagi lagi
menjadi tiga sub kategori perangkat keras untuk server, perangkat keras untuk client,
dan perangkat keras pendukung jaringan, yang antara lain sebagai berikut
a. Hardware Server
Spesifikasinya adalah sebagai berikut:
Prosessor Intel P4 3.20 GHZ, memory 1 GB, Harddisk 80 GB, CD-R, 2 kartu
jaringan dan Monitor CRT 15 Inchi.
b. Hardware Client
Spesifikasinya adalah sebagai berikut:
Notebook Toshiba Tecra S1 Prosessor Intel P4 1600 MHZ, memory 512 MB,
harddisk 30 GB, 1 kartu jaringan wireless.
c. Hardware Jaringan
Komponen jaringan ini adalah hardware yang menghubungkan computer
satu dengan yang lainnya menjadi sebuah jaringan yang dapat saling
berkomunikasi. Perangkat keras ini terdiri dari : Kabel UTP, Access Point
untuk menghubungkan jaringan melalui media wireless.
2. Software
77
Dalam ketegori penggunaan perangkat lunak ini penulis membagi menjadi dua
bagian yang akan digunakan oleh server dan yang akan digunakan oleh client, yang
antara lain sebagai berikut:
a. Software Server
Perangkat lunak yang akan digunakan adalah sebagai berikut:
Sistem Operasi Ubuntu 8.04 TLS, Freeradius 1.1.7-1build4, Freeradius mysql
1.1.7-1build4, Apache2 2.2.8-1ubuntu0.5, php5 5.2.4-2ubuntu5.5, php5-
mysql 5.2.4-2ubuntu5.5, Coova chilli 1.0.12-1_i386, Phpmyprepaid 0.4,
Mysql-server 5.0.51a-3ubuntu5.4, Mysql-client 5.0.51a-3ubuntu5.4 , SSL-
Cert 1.0.14-0ubuntu2.1, SNMP 5.4.1~dfsg-4ubuntu4.2
b. Software Client
Untuk perangkat lunak dari sisi client penulis menggunakan Sistem Operasi
Windows Vista, Windows XP dan Mozilla Firefox
BAB V
Implementasi dan Pengujian Sistem
Setelah dilakukan perancangan sistem dan diketahui komponen-komponen
pendukung yang diperlukan untuk membangun infrastruktur keamanan jaringan wireless
di BPPT, maka tahap berikutnya adalah melakukan implementasi dan pengujian sistem.
angkah-langkah yang dilakukan dalam pembangunan infrastruktur mencakup instalasi dan
setting konfigurasi yang akan dilakukan sebagai berikut:
♦ Membangun RADIUS Server.
♦ Membangun Certification Authority server.
♦ Melakukan konfigurasi dan instalasi.
♦ Melakukan konfigurasi dan setting pada Acces Point.
♦ Setting laptop user/client agar bisa masuk ke jaringan wireless
5.1 Membangun RADIUS Server
Menggunakan dua LAN card yang masing-masing memiliki IP 10.1.xx.xx untuk eth0 dan 10.3.xx.xx untuk eth1 sebagai alamat IP server. Melakukan
konfigurasi terhadapa komputer server yang akan melakukan permintaan dari client,
yaitu berupa instalasi dan konfigurasi komputer yang akan difungsikan sebagai server.
5.1.1 Instalasi Sistem Operasi di Server
Untuk proses instalasi yang paling penting dilakukan adalah menentukan
cara membagi ( partisi ) hardisk, bisa dengan cara Guided - resize the
partition and use the freed space, Guided - use entire disk atau Manual.
Dan kemudian yang tidak kalah penting adalah seting jaringan secara
manual karena konsep jaringan BPPT pembagian IP nya secara static,
penulis memasukan IP nya sebagai berikut : IP 10.1.xx.xx dan memiliki
Gateway 10.1.xx.xx. Kemudian yang terakhir dilakukan adalah mengupdate
dan mengupgrade dengan perintah apt-get update dan apt-get upgrade.
79
Setelah melakukan Instalasi dan Upgrade, buat file options di direktori /
etc/network/options, dengan menulisakan perintah ip_forward = yes
5.1.2 Instalasi Freeradius
RADIUS Server yang dipakai disini adalah aplikasi freeradius, untuk proses
instalasinya sebagai berikut :
# apt-get install freeradius freeradius-mysql
Setelah melakukan instalasi langkah selanjutnya adalah melakukan
konfigurasi file sql.conf yang berada di direktori /etc/freeradius/
sql { driver = "rlm_sql_mysql" # Connect info server = "localhost" login = "phpmyprepaid" password = "admin123" # Database table configuration
radius_db = "phpmyprepaid"
Kemudian menkonfigurasi file client.conf untuk membuat password pada
freeradius
80
Langkah selanjutnya mengkonfigurasi file radiusd.conf yang berada pada
direktori /etc/freeradius
81
authorize {
preprocess
# attr_filter set chap mschap
# digest suffix
# ntdomain eap
# files sql
}
# Authentication. authenticate {
Auth-Type PAP { pap
} Auth-Type CHAP {
chap } Auth-Type MS-CHAP {
mschap }
# digest # pam
unix
# Auth-Type LDAP { # ldap # }
eap } # Accounting. Log the accounting data.
accounting {
detail
# daily # unix
radutmp sql
# sql_log # pgsql-voip } session {
radutmp
82
Langkah terakhir adalah menjalankan service freeradius, yakni dengan
menjalankan perintah berikut
# /etc/init.d/freeradius start
5.1.3 Instalasi Apache Server
Server web yang dipakai adalah Apache yang dapat dijalankan di berbagai
sistem operasi yang berguna untuk melayani dan memfungsikan situs web.
Tahap pertama adalah instalasi paket software.
#apt-get install apache2 php5 php5-mysql
Setelah melakukan proses instalasi Apache server, kita perlu
mengkonfigurasi Apache server yang terletak di direktori /
etc/apache2/apache2.conf
83
# Include module configuration: Include /etc/apache2/mods-enabled/*.load Include /etc/apache2/mods-enabled/*.conf Include /etc/apache2/httpd.conf
# Include ports listing Include /etc/apache2/ports.conf
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"% {User-Agent}i\"" combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i -> %U" referer LogFormat "%{User-agent}i" agent
ServerTokens Full ServerSignature On
# Include generic snippets of statements Include /etc/apache2/conf.d/
# Include the virtual host configurations: Include /etc/apache2/sites-enabled/
ServerName 10.3.11.1
Langkah terakhir, kita harus menghidupkan service Apache agar berjalan di
komputer server.
/etc/init.d/apache2 start
5.1.4 Instalasi Coova Chilli
Pada saat seorang pengguna berusaha untuk melakukan browsing ke
Internet, captive portal akan memaksa pengguna yang belum terauthentikasi
untuk menuju ke Authentication web (Freeradius), maka diperlukan sebuah
84
sistem captive portal yang dalam hal ini penulis menggunakan Coova
Chilli sebagai sistem captive portal nya. Langkah proses instalasi sebagai
berikut :
Download software Coova chilli terlebih dahulu
# wget http://ap.coova.org/chilli/coova-chilli_1.0.12-1_i386.deb
Setelah itu melakukan proses installasi dengan cara di bawah ini
# dpkg -i coova-chilli_1.0.12-1_i386.deb
Setelah berhasil melakukan instalasi tahap selanjutnya adalah melakukan
proses konfigurasi yang terletak di direktori /etc/chilli/config
85
# Local Network Configurations
HS_WANIF=eth0 HS_LANIF=eth1 HS_NETWORK=10.3.11.0 HS_NETMASK=255.255.255.0 HS_UAMLISTEN=10.3.11.1 HS_UAMPORT=3990 HS_DNS1=10.1.82.200 HS_DNS2=202.46.240.99
# HotSpot settings for simple Captive Portal
HS_NASID=hotspot HS_UAMSECRET=admin123 HS_RADIUS=127.0.0.1 HS_RADIUS2=127.0.0.1 HS_RADSECRET=admin123 HS_UAMALLOW=10.3.11.0/24,10.1.82.1
HS_UAMSERVER=10.3.11.1 # Use HS_UAMFORMAT to define the actual captive portal url.
HS_UAMFORMAT=https://\$HS_UAMSERVER/cgi-bin/hotspotlogin.cgi
# Same principal goes for HS_UAMHOMEPAGE.
HS_UAMHOMEPAGE=http://\$HS_UAMLISTEN :\$HS_UAMPORT/www/coova.html
HS_UAMSERVICE=https://10.3.11.1/cgi-bin/hotspotlogin.cgi
# Standard configurations
HS_MODE=hotspot HS_TYPE=chillispot
# Post-Auth proxy settings HS_POSTAUTH_PROXY=proxy-ceo.bppt.go.id HS_POSTAUTH_PROXYPORT=3128
HS_WWWDIR=/etc/chilli/www HS_WWWBIN=/etc/chilli/wwwsh
# Some configurations used in certain user interfaces HS_PROVIDER=Coova HS_PROVIDER_LINK=http://www.coova.org/
# WISPr RADIUS Attribute support
86
Langkah terakhir yang dilakukan adalah meng enable Coova Chilli setelah
server melakukan restart
START_CHILLI=1 CONFFILE= “/etc/chilli.conf”
dan selanjutnya adalah menjalankan service Coova Chilli, yakni dengan
menjalankan perintah berikut
# /etc/init.d/chilli start
5.1.5 Instalasi Phpmyprepaid
Phpmyprepaid yang dipakai adalah phpmyprepaid 0.4 yang kita gunakan
sebagai aplikasi manajemen user yang berbasis web based. Tahap pertama
adalah mendownload paket software dan meletakannya di direktori /
var/www
# cd /var/www
# wget http: //downloads.sourceforge.net /phpmyprepaid/
phpmyprepaid04b3.tgz? modtime=11 87550638 &big_mirror = 0
Sebelum melakukan instalasi terlebih dahulu file tersebut di ekstark dengan
perintah
# tar –zxvf phpmyprepaid04b3.tgz
Kemudian lakukan proses install sebagai berikut
Buka mozilla firefox dan arahkan addressnya ke :
87
http://10.1.82.242/phpmyprepaid/www/install/setup.php
Setelah berhasil menginstall tahap selanjutnya adalah menghapus folder
installasi
#rm –rf /var/www/phpmyprepaid/www/install
Kemudian yang terakhir dilakukan merubah hak akses folder www menjadi
755.
#chmod 755 /var/www/phpmyprepaid/www
5.1.6 Membuat Virtual Host
Virtual Host merupakan cara untuk mengatur banyak website atau
URL di dalam satu mesin atau satu IP. Misalkan kita mempunyai banyak
domain tapi hanya mempunyai 1 IP public atau 1 server. Cara untuk
mengatasi masalah itu adalah dengan cara membuat virtual host yang ada di
settingan apachenya.
Langkah pertama ialah membuat file direktori dengan nama hostpot di
direktori /etc/apache2/sites-available/hotspot, Setelah itu melakukan
konfigurasi untuk membuat Virtual Host SSL
88
NameVirtualHost 10.3.11.1:443 <VirtualHost 10.3.11.1:443>
ServerAdmin webmaster@localhost
DocumentRoot "/var/www/" ServerName "10.3.11.1"
<Directory />
Options FollowSymLinks AllowOverride None
</Directory> <Directory "/var/www/">
Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all
</Directory>
ScriptAlias /cgi-bin/ /var/www/hotspot/cgi-bin/ <Directory "/var/www/hotspot/cgi-bin/">
AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all
</Directory>
ErrorLog /var/log/apache2/error.log
LogLevel warn CustomLog /var/log/apache2/access.log combined ServerSignature On
Alias /dialupadmin/ "/usr/share/freeradius-dialupadmin/htdocs/" <Directory "/usr/share/freeradius-dialupadmin/htdocs/">
Options Indexes MultiViews FollowSymLinks AllowOverride None Order allow,deny allow from all
</Directory>
SSLEngine On SSLCertificateFile /etc/apache2/ssl/apache.pem
</VirtualHost>
89
Setelah melakukan konfigurasi, tahap berikutnya adalah meng-enable
Virtual Host dengan cara mengetikan perintah ini
a2ensite hotspot
Langkah terakhir mereload apache, dengan perintah ini
/etc/init.d/apache2 reload
5.1.7 Membuat Tampilan Muka Client
Agar komputer client dapat masuk kedalam sistem yang telah kita
buat, maka di perlukan sebuah tampilan dimana nanti akan diminta
memasukan user name dan password. Yang pertama kita lakukan adalah
memindahkan file hotspotlogin.cgi dari direktori /usr/share/doc/coova-
chilli ke direktori /var/www/hotspot/cgi-bin.
Langkah pertama adalah membuat direktori baru, yang berada di bawah
direktori hotspot
# mkdir /var/www/hotspot/cgi-bin
Selanjutnya memindahkan file hotspotlogin.cgi.gz ke direktori yang baru
kita buat, yaitu ke direktori /var/www/hotspot/cgi-bin
# zcat /usr/share/doc/coova-chilli/hotspotlogin.cgi.gz | sudo tee /
var/www/hotspot/cgi-bin/hotspotlogin.cgi
90
Kemudian diatur hak (privilege) akses terhadap direktori tersebut.
# chmod a+x /var/www/hotspot/cgi-bin/hotspotlogin.cgi
Tahap selanjutnya adalah melakukan proses konfigurasi yang terletak di
direktori /var/www/hotspot/cgi-bin/hotspotlogin.cgi
$uamsecret = "admin123";
$userpassword=1;
$loginpath = "/cgi-bin/hotspotlogin.cgi"; $debug = 1;
5.1.8 Manajemen User
Pada tahap ini kita akan membuat Username dan Password yang
akan dipakai untuk dapat masuk ke dalam sistem jaringan yang kita buat.
Ada beberapa pilihan yang dapat kita pilih dalam membuat user account.
5.2 Membangun Certification Authority Server
Pada tahap ini kita akan membuat sertifikat digital yang akan dibuat oleh server
Radius, yang nantinya digunakan oleh client. Tahap pertama yang dilakukan adalah
melakukan proses instalasi sebagai berikut
# apt-get install ssl-cert
Selanjutnya kita buat folder baru di direktori /etc/apache2/
# mkdir /etc/apache2/ssl
91
Setelah folder berhasil kita buat, kemudian kita jalankan perinta berikut
make-ssl-cert/usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem
Hasil dari perintah diatas adalah file apache.pem yang berada di direktori /
etc/apache2/ssl/. File ini merupakan file sertifikat local kita yang nanti akan digunakan
untuk mendatangani sertifikat yang akan diterbitkan.
Tahap terakhir yang dilakukan adalah mengaktifkan sertifikat dengan cara
sebagai berikut
#a2enmod ssl
#/etc/init.d/apache2 force-reload
5.3 Konfigurasi dan Setting pada Acces Point.
Access Point yang kita gunakan adalah Linksys WAP4400N, konfigurasi yang
kita gunakan adalah default dari AP hanya ada beberapa konfigurasi penyesuaian dari
jaringan yang kita buat, untuk sistem keamanannya penulis tidak menggunakan model
keamanan yang ada pada AP. Untuk konfigurasi pada Access Point ini dilakukan secara
default dan fasilitas keamanan pada Access Point di atur disable atau tidak digunakan
karena Keamanan wireless akan dilakukan oleh RADIUS Server.
5.4.1 Setting Laptop User/Client Untuk Masuk ke Jaringan Wireless
92
Setelah kita melakukan instalasi dan konfigurasi terhadap komputer server,
selanjutnya kita akan mengkonfigurasi komputer client. Yang perlu dilakukan dalam
komputer client ini adalah konfigurasi IP dan instalasi sertifikat digital server.
Gambar 5.1 TCP/IP
Untuk IP dan DNS pada komputer client kita menggunakan teknologi DHCP,
sehingga kita tidak perlu melakukan setingan secara manual, untuk memasukan IP dan
DNS, yang akan di broadcast dari komputer server. Sedangkan untuk instalasi sertifikat
digital, kita cukup browsing menggunakan browser yang ada pada komputer client, dan
akan di direct ke komputer server.
5.5 Pelatihan Teknologi Keamanan
Pelatihan diberikan kepada pengelola jaringan dan orang-orang yang
berhubungan dengan jaringan tersebut seperti clien /user.
5.6 Pengujian dan Analisis Hasil
93
Hasil dari pengujian dan analisis hasil yang dilakukan pada sistem RADIUS yang
telah diterapkan dengan rincian sebagai berikut :
Client di minta menginstall sertifikat digital
Gambar. 5.2 Sertifikat Digital
Alamat sertifikat digital terletak di https://10.3.11.1/cgi-bin/hotspotlogin.cgi
94
Gambar 5.4 Alamat Sertifikat Digital
Client telah terinstall sertifikat dari server
Gambar 5.5 Sertifikat Terinstall
95
Client yang telah memiliki account pada jaringan dan memiliki sertifikat untuk login
dapat terkoneksi ke jaringan.
Gambar 5.6 Login Coova Chilli
Client yang sudah berhasil login dapat melakukan aktivitas seperti browsing PC, file
sharing dan lain-lain.
Gambar 5.7 Berhasil Login
96
Client yang tidak memiliki sertifikat login tidak dapat melakukan koneksi ke
jaringan meskipun telah menggunakan segmen IP yang sama.
Gambar 5.8 Logout Coova Chilli
97
BAB VI
KESIMPULAN DAN SARAN
6.1 Kesimpulan
Penggunaan Radius Server dapat mengurangi vulnerability yang ada di jaringan
BPPT, terutama akibat masquerading
Beberapa disain memungkinkan diterapkan pada jaringan BPPT untuk sistem
keamanan menggunakan Radius
Disain ke-tiga yang kita pilih lebih cocok diterapkan di BPPT karena kebutuhan
sistem keamanan saat ini hanya mencakup daerah-daerah terbuka seperti
Perpustakaan, Ruang Loby, Ruang Pertemuan dan Ruangan lainya yang bersifat
umum, serta faktor biaya juga menjadi acuan pemilihan desain ketiga
6.2 Saran
Sistem keamanan menggunakan RADIUS server untuk semua Access Point (AP)
yang berada dilingkungan BPPT.
Mengoptimalkan fasilitas peralatan jaringan yang sudah ada pada BPPT salah
satunya adalah access point 4400WAP terutama pada manajemen keamanannya
98
DAFTAR PUSTAKA
Goldman, James E, Philip T. Rawles. 2006. Applied data communications. USA : John
Wiley & Sons, Inc. Geier, Jim. 2005. Wireless Network First-Step. Diterjemahkan oleh : Tim Penerjemah
ANDI. Ed.I. Yogyakarta. ANDI
Thomas, Tom. 2004. Network Security First-Step. Diterjemahkan oleh : Tim Penerjemah ANDI. Ed.I. Yogyakarta. ANDI
Gunawan, arief hamdani, Andi Putra. 2004. Komunikasi Data IEEE 802.11. Jakarta : DINASTINDO.
http://the-exploration.net/index.php/sejarah-wireless-lan-wifi. pkl. 20.05 WIB.
Mulyanta, Edi S. 2005. Pengenalan Protokol Wireless Komputer. Ed.I. Yogyakarta : ANDI.
Cole, Dr. Eric, Dr. Ronald Krutz, dan James W. Conley. 2005. Network Security Bible. Indianapolis : Wiley Publishing.
http://www.pcmedia.co.id/detail.asp?Id=1966&Cid=18&Eid=52. pkl. 21.36 WIB.
Wahyudi, H. Mochamad, S.Kom, MM, CCNA, CEH, CHFI. Membangun Hotspot yang Aman untuk Keperluan Small Office Home Office (SOHO). http://www.wahyudi.or.id/artikel/MembangunHotspot.doc. pkl. 12.30 WIB.
Jean-François PILLOU. 2008. NAT- Network Address Translation, Port Forwarding and Port Trigg
http://en.kioskea.net/contents/internet/nat.php3. pkl. 14.20 WIB.
http://www.telkomrdc-media.com/index.php. pkl. 20.19 WIB.
Universitas Kristen Patra. 2004. Teori Penunjang Jaringan Komputer http://digilib.petra.ac.id/viewer.php?jiunkpe-ns-s1-2004-23400016-4771- gedung_i-chapter2.pdf. Pkl. 12.00 WIB.
xv
http://118.98.212.211/ pustakamaya /files/disk1/32/ict-100-1001-- glendispm-1567-1-
perancan-r.pdf. pkl. 12.10 WIB. Craiger, J. Phlipih. 23 Juni 2002. 802.11, 802.1x, and Wireless Security.
http://www.issac.cs.berkeley.edu. pkl. 12.45.26 WIB.
Interlink Networks. 2003. Configuring PEAP and TTLS in the Interlink Networks RAD- Series and Secure.XS RADIUS Servers Version 7.0 and higher. www.interlinknetworks.com . 20 Maret 2006. pkl 09.15.07 WIB
http://www.scriptintermedia.com/view.php?id=105&jenis=ITKnowledge.pkl 21.00 WIB
W Setiawan, Agung. 2005. Remote Authentication Dial In User Service (RADIUS) untuk Autentikasi Pengguna Wireless LAN. http://br.paume.itb.ac.id/courses/ec5010/2005/agungws-report.pdf.
George C. Ou. “Enterprise Level Wireless LAN Security. 2002 http://www.lanarchitect.net/. pkl. 18.40 WIB.
Lampiran 1 Langkah Konfigurasi Access Point WPA4400N
Konfigurasi pada tampak gambar di atas untuk mengisikan IP berapa yang
digunakn dari segmen IP yang digunakan.
Pemberian nama SSID untuk Access Point yang digunakan dan juga penggunaan
channel pada Access Point.
Pemberian IP, Gateway dan Primary DNS berhasil
xvi
Lampiran 3 Instalasi Phpmyprepaid Buka mozilla firefox dan arahkan addressnya ke :
http://10.1.82.242/phpmyprepaid/www/install/setup.php
Tampilan awal ketika melakukan instalasi phpmyprepaid
Ketika melakukan instalasi phpmyprepaid akan diminta untuk melakukan konfigurasi,
yang mana konfigurasi ini berfungsi untuk menghubungkan Freeradius dan Mysql
yang kita gunakan.
Konfigurasi database untuk menghubungkan Mysql dengan memasukan password
Mysql yang kita gunakan, dan juga untuk membuat nama database. Nama database
ini harus sama dengan nama yang dibuat oleh Mysql
Komponen untuk membuat Username dan Password untuk melakukan login ke
phpmyprepaid.
Menggambarkan tempat penginstalan phpmyprepaid, yang mana berada di BPPT,
yang terletak di Jalan Thamrin, di Kota Jakarta.
Proses instalasi phpmyprepaid telah selesai
Lampiran 2 Langkah Membuat User Name dan Password
Kita akan memilih Timed Accounts, dengan durasi waktu 10 jam
Username “gbkbw” Password “ols” dengan durasi 10 Jam