Selasa, 08 Maret 2011

PENGAMANAN JARINGAN WIFI

1. Memakai enkripsi.

Data dikirimkan melalui gelombang radio. Jadi, tidak ada seorang pun yang bisa menjamin keamanan data. Bisa saja para penyusup menyadap semua data yang lewat, tentunya tanpa diketahui. Enkripsi adalah ukuran security yang pertama, tetapi banyak wireless access points (WAP) tidak menggunakan enkripsi sebagai defaultnya. WEP memang mempunyai beberapa lubang di keamanannya, tetapi itu masih tetap lebih baik daripada tidak ada enkripsi sama sekali. Pastikan untuk mengatur metode WEP authentication dengan “shared key” daripada “open system”. Untuk “open system”, AP tidak meng-encrypt data, tetapi hanya melakukan otentifikasi client. Ubah WEP key sesering mungkin, dan gunakan WEP dengan tingkat enkripsi yang lebih tinggi. Pada umumnya, device WLAN memiliki enkripsi WEP 40, 64, atau 128 bit. Perangkat yang lebih baru bahkan menyediakan tingkat enkripsi sampai 256 bit. Semakin tinggi tingkat enkripsi WEP yang Anda gunakan memang akan menjadikan jaringan semakin aman. Namun di sisi lain, tingkat enkripsi yang semakin tinggi juga akan memperlambat kinerja jaringan karena akan membebani AP/CPU dalam melakukan proses decrypt. Namun, apabila ada yang mencoba melakukan hacking, waktu yang dibutuhkan menjadi lebih lama. Pada umumnya, pilihan enkripsi WEP 128 bit (dipotong IV 24 bit menjadi 104 bit) merupakan kombinasi ideal untuk kecepatan dan keamanan.

2. Gunakan enkripsi yang kuat.

Karena kelemahan yang ada di WEP, maka dianjurkan untuk menggunakan Wi-Fi Protected Access (WPA). WPA menggunakan protokol Temporary Key Integrity Protocol (TKIP) yang relatif lebih aman karena sebelum proses transfer berlangsung, kedua belah pihak sudah menyepakati kunci khusus. Password yang digunakan hanya akan dikirimkan sekali. Dengan menggunakan kunci khusus yang telah disepakati, setiap paket data akan mendapatkan kunci yang berbeda untuk proses enkripsi. Dengan cara ini, para penyusup seharusnya tidak bisa mendapatkan kode asli. Kelemahan WPA sampai saat ini adalah proses kalkulasi enkripsi/dekripsi yang lebih lama dan data overhead yang lebih besar. Dengan kata lain, proses transmisi data akan menjadi lebih lambat dibandingkan bila Anda menggunakan protokol WEP.

3. Gunakan WPA-key yang sulit dilacak.

Susun WPA-key menggunakan angka yang unik dengan memadukan angka dan huruf. Gunakan software khusus untuk menggenerate key. Jadi, seorang hacker lebih sulit mendapatkan kata kamus yang digenerate dengan software tersebut. Jangan menggunakan kata kunci rahasia dengan nama seseorang, nama lingkungan, atau istilah-istilah dari perbintangan, pertanian, teknologi, dan sejenisnya. Seorang hacker akan sangat mudah memngusun kamus seperti itu.

4. Lakukan Pengujian Jaringan Wireless.

Lakukanlah pengujian terhadap sistem jaringan wireless secara periodik dari kerentanan terhadap berbagai jenis serangan untuk memastikan jaringan tersebut mampu dan efektif untuk meminimalisir serangan dan mengantisipasi adanya penyusup (illegal user) atau access point liar (rogue AP).

5. Ganti default password administrator.

Kebanyakan pabrik menggunakan password administrasi yang sama untuk semua WAP produk mereka. Default password tersebut umumnya sudah diketahui oleh para hacker, yang nantinya dapat menggunakannya untuk merubah setting di WAP. Hal pertama yang harus dilakukan dalam konfigurasi WAP adalah mengganti password default tersebut. Gunakan paling tidak 8 karakter, kombinasi antara huruf dan angka, dan tidak menggunakan kata kata yang ada dalam kamus.

6. Matikan SSID Broadcasting.

Access Point akan mengirimkan kode yang memberitahukan keberadaan dirinya. Kode yang biasanya dikenal sebagai Extended Service Set Identifier (ESSID atau SSID) ini biasanya digunakan untuk menamakan jaringan wireless. Fungsi dari ESSID ini adalah untuk memudahkan client untuk mengetahui keberadaan Access Point. Secara default, SSID dari WAP akan di broadcast. Hal ini akan memudahkan user untuk menemukan network tersebut, karena SSID akan muncul dalam daftar available networks yang ada pada wireless client. SSID ini juga menjadi titik lemah yang sering dimanfaatkan oleh para penyusup. Dengan dipancarkannya ESSID, maka para penyusup bisa mengetahui keberadaan Access Point untuk selanjutnya melakukan serangan. Jika SSID dimatikan, user harus mengetahui lebih dahulu SSID-nya agar dapat terkoneksi dengan network tersebut. Bila jaringan wireless bersifat Point-to-Point atau private, sebaiknya matikan SSID broadcasting. Akibatnya, setiap client harus dimasukkan SSID secara manual. Tanpa memasukkan ESSID yang tepat, maka client tidak akan bisa terkoneksi ke Access Point. Cara ini sendiri tidak 100% aman, karena ada tool canggih seperti NetStumbler (http://www.netstumbler.net) yang bisa menemukan Access Point tersembunyi.

7. Matikan WAP saat tidak dipakai.

Jika kita mempunyai user yang hanya terkoneksi pada saat saat tertentu saja, tidak ada alasan untuk menjalankan wireless network setiap saat dan menyediakan kesempatan bagi intruder untuk melaksanakan niat jahatnya. Kita dapat mematikan access point pada saat tidak dipakai untuk mengamankan jaringan wireless.

8. Ubah default SSID.

Pabrik menyediakan default SSID. Kegunaan dari mematikan broadcast SSID adalah untuk mencegah orang lain tahu nama dari network kita, tetapi jika masih memakai default SSID, tidak akan sulit untuk menerka SSID dari network kita.

9. Memakai MAC filtering.

Kebanyakan WAP mempunyai kemampuan filter media access control (MAC). MAC atau Media Access Control adalah suatu kode unik yang dimiliki oleh setiap perangkat jaringan. Seharusnya, tidak ada dua perangkat yang memiliki MAC Address yang sama. Ini artinya kita dapat membuat “white list” dari computer yang boleh mengakses wireless network kita, berdasarkan MAC atau alamat fisik yang ada di network card pc. Koneksi dari MAC yang tidak ada dalam list akan ditolak. Metode ini tidak selamanya aman, karena masih mungkin bagi seorang hacker melakukan sniffing paket yang dikirim dan mendapatkan MAC address yang valid dari salah satu user dan kemudian menggunakannya untuk melakukan spoof. Berikut contoh halaman konfigurasi MAC filtering pada AP

10. Mengisolasi wireless network dari LAN.

Untuk memproteksi internal network kabel dari ancaman yang datang dari wireless network, perlu adanya wireless DMZ yang mengisolasi dari LAN. Artinya adalah memasang firewall antara wireless network dan LAN. Jika wireless client yang membutuhkan akses ke internal network, dia haruslah melakukan otentifikasi dahulu dengan RAS (Remote Access Service) server atau menggunakan VPN (Virtual Private Network).

11. Matikan DHCP Server.

Biasanya, sebuah Access Point memiliki DHCP Server. Dengan mengaktifkan DHCP Server, maka setiap client akan secara otomatis mendapatkan IP Address sesuai dengan yang telah ditentukan dalam menu konfigurasi. Disarankan untuk menonaktifkan DHCP Server jika memang tidak benar-benar dibutuhkan. Gunakan juga IP Address yang unik seperti 192.168.166.1. Jangan menggunakan IP Address yang umum digunakan, seperti 192.168.0.1. Walaupun ini tidak terlalu efektif untuk menahan penyusup, namun setidaknya bisa memperlambat langkah para penyusup untuk masuk ke jaringan wireless.

12. Mengontrol signal wireless.

Sebuah Access Point biasanya memiliki jangkauan tertentu. Pada beberapa model biasanya menggunakan konektor jenis BNC untuk antena. Access Point yang menggunakan konektor ini relatif lebih fleksibel karena Anda bisa mengganti antena sesuai kebutuhan. Antena yang baik bisa memberikan jangkauan yang lebih jauh dan lebih terarah. Beberapa jenis antena ada yang didesain khusus untuk meng-cover area tertentu. Aspek keamanan yang bisa dimanfaatkan adalah penggunaan antena untuk membatasi coverage dari jaringan wireless. Jadi hanya area dalam jangkauan tertentu yang akan mendapatkan sinyal jaringan wireless. Cara ini memang tidak mudah, karena Anda harus bereksperimen di banyak titik untuk memastikan sinyal wireless Anda tidak “bocor” keluar dari area yang diinginkan. Namun, sisi keamanan dari metode ini termasuk sangat efektif. Selama para penyusup tidak mendapatkan sinyal dari Access Point Anda, maka bisa dipastikan Anda akan aman dari gangguan. Directional antenna akan memancarkan sinyal ke arah tertentu, dan pancarannya tidak melingkar seperti yang terjadi di antenna omnidirectional yang biasanya terdapat pada paket WAP setandard. Sebagai tambahan, ada beberapa WAP yang bisa di setting kekuatan sinyal dan arahnya melalui configurasi WAP tersebut.

13. Memancarkan gelombang pada frequensi yang berbeda.

Salah satu cara untuk bersembunyi dari hacker yang biasanya memakai teknologi 802.11b/g yang lebih populer adalah dengan memakai 802.11a. Karena 802.11a bekerja pada frekuensi yang berbeda (yaitu di frekuensi 5 GHz), NIC yang di desain untuk bekerja pada teknologi yang populer tidak akan dapat menangkap sinyal tersebut. 

Tidak ada komentar:

Posting Komentar