Jumat, September 04, 2009

WPA/WPA2-Enterprise sulit ?? Tidak lagi :-)

Security pada jaringan nirkabel yang umum digunakan sekarang adalah WEP, WPA/WPA2-Personal dan WPA/WPA2-Enterprise. Mungkin banyak dari para pengguna jaringan nirkabel masih menggunakan WEP (Oh.. No..), atau sudah menggunakan WPA/WPA2-Personal dengan Pre-Shared Key (It's Better :-)).

Tapi hasil riset beberapa waktu lalu yang dilakukan oleh para periset dari Jepang, mereka bisa break WPA-Personal dalam waktu kurang dari 60 detik !! Namun jangan khawatir berlebihan, yang bisa di-break dalam waktu 60 detik adalah WPA-Personal yang menggunakan cipher type : TKIP. Sementara yang AES masih dalam kondisi aman saat ini. (Jadi para pengguna WPA-Personal segera ganti ke WPA2-Personal dan set cipher type ke AES only).

Bagaimana untuk kepentingan perusahaan? Apakah WPA2-Personal sudah dirasakan cukup? Jawabannya tergantung Pre-Shared Key yang digunakan, semakin panjang Pre-Shared Key dan semakin rumit kombinasi angka, huruf dan simbol-nya, maka semakin relatif sukar untuk di-break.

Apakah ada opsi yang lebih baik untuk keamanan jaringan nirkabel ini? Jawabannya yaitu menggunakan WPA/WPA2-Enterprise. Konsep WPA/WPA2-Enterprise hampir sama dengan 802.1x framework dimana ada 3 bagian yang terlibat yaitu :

1. Supplicant (yaitu client)
2. Authenticator (yaitu Access Point atau Switch)
3. Authentication Server (yaitu Radius Server)

Umumnya hanya perusahaan dengan user lebih dari 100 yang deploy framework ini karena deploy framework ini membutuhkan konfigurasi yang sedikit rumit (apalagi bila melibatkan Certification Server).

Cara kerjanya secara sederhana bisa digambarkan sbb :

Supplicant ----- Authenticator ----- Authentication Server

Supplicant akan mengirimkan paket EAP ke Authenticator lalu Authenticator akan menanyakan dan meneruskan ke Authentication Server, lalu Authentication Server akan challenge Supplicant menanyakan informasi yang diperlukan lalu Supplicant akan memberikan informasi, bila benar maka Authentication Server akan meminta Authenticator agar Supplicant diijinkan akses.

Nah yang membuat banyak IT perusahaan tidak menerapkan ini umumnya disebabkan rumit-nya membangun Authentication Server dan repotnya set client satu per satu (apalagi kalo menggunakan certificate-based).

D-Link memahami hal ini dengan men-design Access Point yang built-in RADIUS server, jadi kita tidak perlu setup server tersendiri. Jadi Authenticator dan Authentication Server berada dalam alat yang sama. Methodology yang kita gunakan untuk WPA/WPA2-Enterprise ini adalah EAP-PEAP yang berbasiskan username dan password shg lebih mudah setup-nya.

Adapun Access Point D-Link yang support ini adalah Business AP N Series :

- DAP-2590 (available now)
- DAP-2690 (Q4 2009/Q1 2010)
- DAP-3520 (Q4 2009)
- DAP-3690 (Q2 2010)

Berikut cara settingnya (contoh menggunakan DAP-2590) :

1. Masuk ke Basic Settings > Wireless. Tentukan SSID spt biasa, set Wireless Security ke WPA2-Enteprise, set cipher type ke AES lalu set Radius Server ke Internal, lalu Save (pada contoh ini saya menggunakan freq 2.4 GHz, note : DAP-2590 support 2.4 GHz atau 5 GHz (selectable)).


2. Masuk ke Advanced Settings > Internal Radius Server. Masukkan user name dan password yang diinginkan, pastikan Status Enable, lalu Save.


Maximum username yang kita bisa masukkan adalah 100 username. Namun perlu diingat concurrent session utk AP ini direkomendasikan tidak lebih dari 30 user.

4. Setelah itu Save n Activate.


5. Maka AP akan reboot, tunggu sampai selesai dan DAP-2590 sudah siap digunakan.



Selanjutnya setting di sisi client (Supplicant), disini saya akan memberikan contoh menggunakan Windows Wireless Utility dan Intel Wireless PROset Utility.

Windows Wireless Utility :

1. Pastikan SSID yang kita define terlihat di Windows Wireless Utility.


2. Klik "change advanced settings" maka akan muncul Wireless Network Connection Properties, pilih tab "Wireless Network", pastikan "Use Windows to configure my wireless network settings" sudah di-centang.


3. Klik Add, lalu masukkan SSID dari DAP-2590 yang sudah diset tadi. Pastikan "Connect even if this network is not broadcasting" sudah di-centang. Set Network Authentication ke WPA2 dan set Data Encryption ke AES.


4. Pilih tab "Authentication", Set EAP Type ke PEAP, biarkan yg lain default.


5. Klik Properties, uncheck "Validate server certificate", pastikan Authentication Method-nya ke MSCHAPv2, pastikan "Enable Fast Reconnect" di-centang.


6. Klik Configure, disini anda punya 2 pilihan, bila username/password yang anda define di RADIUS server sama persis dengan username/password login Windows anda maka biarkan di-centang, bila berbeda maka uncheck opsi ini. Dalam contoh ini, username/password Windows dan RADIUS server berbeda, jadi di-uncheck.


7. Setelah itu klik Ok semua, sampai semua windows menutup, kemudian Supplicant mulai melakukan proses connection ke AP dan akan ada warning seperti ini di systray icon WLAN pada laptop.


8. Klik warning tersebut, lalu akan muncul windows baru untuk memasukkan username dan password. Masukkan username dan password yang sudah didefine di Internal Radius DAP-2590 tadi, biarkan domain dalam keadaan kosong. Lalu klik OK.


9. Setelah itu maka Supplicant akan terkoneksi ke AP.


Note : Pada koneksi selanjutnya, anda tidak akan ditanya username n password seperti pada langkah 8 karena sudah tersimpan dalam profile. Bila anda remove profile tsb dan anda add dari awal maka akan ditanya username n password lagi.

Intel Wireless PROset Utility :

1. Pilih SSID yang kita set di DAP-2590 tadi.



2. Klik Connect, kemudian anda bisa mengubah nama profile-nya atau biarkan saja default. Klik Next.



3. Intel PROset akan coba mengidentifikasi security type, set User Credential ke "use the following", lalu masukkan username n password, biarkan domain dalam kondisi kosong. Masukkan username sebagai roaming identity. Lalu klik Next.



4. Uncheck "Validate Server Certificate", lalu klik Next



5. Setelah itu klik OK, dan supplicant mulai melakukan proses koneksi ke AP.



6. Setelah itu maka Supplicant akan terkoneksi ke AP.



Dengan adanya Internal RADIUS Server maka WPA/WPA2-Enterprise menjadi sangat mudah untuk di-implementasikan oleh siapa saja. Informasi reseller/distributor bisa klik disini.