Jumat, September 04, 2009

WPA/WPA2-Enterprise sulit ?? Tidak lagi :-)

Security pada jaringan nirkabel yang umum digunakan sekarang adalah WEP, WPA/WPA2-Personal dan WPA/WPA2-Enterprise. Mungkin banyak dari para pengguna jaringan nirkabel masih menggunakan WEP (Oh.. No..), atau sudah menggunakan WPA/WPA2-Personal dengan Pre-Shared Key (It's Better :-)).

Tapi hasil riset beberapa waktu lalu yang dilakukan oleh para periset dari Jepang, mereka bisa break WPA-Personal dalam waktu kurang dari 60 detik !! Namun jangan khawatir berlebihan, yang bisa di-break dalam waktu 60 detik adalah WPA-Personal yang menggunakan cipher type : TKIP. Sementara yang AES masih dalam kondisi aman saat ini. (Jadi para pengguna WPA-Personal segera ganti ke WPA2-Personal dan set cipher type ke AES only).

Bagaimana untuk kepentingan perusahaan? Apakah WPA2-Personal sudah dirasakan cukup? Jawabannya tergantung Pre-Shared Key yang digunakan, semakin panjang Pre-Shared Key dan semakin rumit kombinasi angka, huruf dan simbol-nya, maka semakin relatif sukar untuk di-break.

Apakah ada opsi yang lebih baik untuk keamanan jaringan nirkabel ini? Jawabannya yaitu menggunakan WPA/WPA2-Enterprise. Konsep WPA/WPA2-Enterprise hampir sama dengan 802.1x framework dimana ada 3 bagian yang terlibat yaitu :

1. Supplicant (yaitu client)
2. Authenticator (yaitu Access Point atau Switch)
3. Authentication Server (yaitu Radius Server)

Umumnya hanya perusahaan dengan user lebih dari 100 yang deploy framework ini karena deploy framework ini membutuhkan konfigurasi yang sedikit rumit (apalagi bila melibatkan Certification Server).

Cara kerjanya secara sederhana bisa digambarkan sbb :

Supplicant ----- Authenticator ----- Authentication Server

Supplicant akan mengirimkan paket EAP ke Authenticator lalu Authenticator akan menanyakan dan meneruskan ke Authentication Server, lalu Authentication Server akan challenge Supplicant menanyakan informasi yang diperlukan lalu Supplicant akan memberikan informasi, bila benar maka Authentication Server akan meminta Authenticator agar Supplicant diijinkan akses.

Nah yang membuat banyak IT perusahaan tidak menerapkan ini umumnya disebabkan rumit-nya membangun Authentication Server dan repotnya set client satu per satu (apalagi kalo menggunakan certificate-based).

D-Link memahami hal ini dengan men-design Access Point yang built-in RADIUS server, jadi kita tidak perlu setup server tersendiri. Jadi Authenticator dan Authentication Server berada dalam alat yang sama. Methodology yang kita gunakan untuk WPA/WPA2-Enterprise ini adalah EAP-PEAP yang berbasiskan username dan password shg lebih mudah setup-nya.

Adapun Access Point D-Link yang support ini adalah Business AP N Series :

- DAP-2590 (available now)
- DAP-2690 (Q4 2009/Q1 2010)
- DAP-3520 (Q4 2009)
- DAP-3690 (Q2 2010)

Berikut cara settingnya (contoh menggunakan DAP-2590) :

1. Masuk ke Basic Settings > Wireless. Tentukan SSID spt biasa, set Wireless Security ke WPA2-Enteprise, set cipher type ke AES lalu set Radius Server ke Internal, lalu Save (pada contoh ini saya menggunakan freq 2.4 GHz, note : DAP-2590 support 2.4 GHz atau 5 GHz (selectable)).


2. Masuk ke Advanced Settings > Internal Radius Server. Masukkan user name dan password yang diinginkan, pastikan Status Enable, lalu Save.


Maximum username yang kita bisa masukkan adalah 100 username. Namun perlu diingat concurrent session utk AP ini direkomendasikan tidak lebih dari 30 user.

4. Setelah itu Save n Activate.


5. Maka AP akan reboot, tunggu sampai selesai dan DAP-2590 sudah siap digunakan.



Selanjutnya setting di sisi client (Supplicant), disini saya akan memberikan contoh menggunakan Windows Wireless Utility dan Intel Wireless PROset Utility.

Windows Wireless Utility :

1. Pastikan SSID yang kita define terlihat di Windows Wireless Utility.


2. Klik "change advanced settings" maka akan muncul Wireless Network Connection Properties, pilih tab "Wireless Network", pastikan "Use Windows to configure my wireless network settings" sudah di-centang.


3. Klik Add, lalu masukkan SSID dari DAP-2590 yang sudah diset tadi. Pastikan "Connect even if this network is not broadcasting" sudah di-centang. Set Network Authentication ke WPA2 dan set Data Encryption ke AES.


4. Pilih tab "Authentication", Set EAP Type ke PEAP, biarkan yg lain default.


5. Klik Properties, uncheck "Validate server certificate", pastikan Authentication Method-nya ke MSCHAPv2, pastikan "Enable Fast Reconnect" di-centang.


6. Klik Configure, disini anda punya 2 pilihan, bila username/password yang anda define di RADIUS server sama persis dengan username/password login Windows anda maka biarkan di-centang, bila berbeda maka uncheck opsi ini. Dalam contoh ini, username/password Windows dan RADIUS server berbeda, jadi di-uncheck.


7. Setelah itu klik Ok semua, sampai semua windows menutup, kemudian Supplicant mulai melakukan proses connection ke AP dan akan ada warning seperti ini di systray icon WLAN pada laptop.


8. Klik warning tersebut, lalu akan muncul windows baru untuk memasukkan username dan password. Masukkan username dan password yang sudah didefine di Internal Radius DAP-2590 tadi, biarkan domain dalam keadaan kosong. Lalu klik OK.


9. Setelah itu maka Supplicant akan terkoneksi ke AP.


Note : Pada koneksi selanjutnya, anda tidak akan ditanya username n password seperti pada langkah 8 karena sudah tersimpan dalam profile. Bila anda remove profile tsb dan anda add dari awal maka akan ditanya username n password lagi.

Intel Wireless PROset Utility :

1. Pilih SSID yang kita set di DAP-2590 tadi.



2. Klik Connect, kemudian anda bisa mengubah nama profile-nya atau biarkan saja default. Klik Next.



3. Intel PROset akan coba mengidentifikasi security type, set User Credential ke "use the following", lalu masukkan username n password, biarkan domain dalam kondisi kosong. Masukkan username sebagai roaming identity. Lalu klik Next.



4. Uncheck "Validate Server Certificate", lalu klik Next



5. Setelah itu klik OK, dan supplicant mulai melakukan proses koneksi ke AP.



6. Setelah itu maka Supplicant akan terkoneksi ke AP.



Dengan adanya Internal RADIUS Server maka WPA/WPA2-Enterprise menjadi sangat mudah untuk di-implementasikan oleh siapa saja. Informasi reseller/distributor bisa klik disini.

8 komentar:

AGUNGPRIE mengatakan...

Ribet tapi menarik jg... Saya msh awam soal IT & D-Link, tapi beberapa waktu yg lalu saya dipaksa 'boss' utk memasang WIFI di kantor saya. Gubrakkk!!! Terpaksa, saya lakukan (krn gak ada lagi tmn2 yg pernah megang komputer). Dibantu tmn2 dari Speedy, maka terciptalah 'hotspot' kecil2an. Modem bawaan dari Speedy (TP-Link TD 8xxx), tapi utk Access Point saya percayakan D-Link DAP_1150. Tp sampe sekarang, AP blm sempurna, ada beberapa konsumen yg tdk bisa mengakses via laptop atau HP, karena saya belum ngerti setting yg ideal utk standar hotspot kecil2an (indoor, range 20m2). Bisa bantu saya yg 'gaptek' ini??? Thanks utk masukannya. GBU!

D-Link Indonesia mengatakan...

To : AGUNGPRIE

Terima kasih atas pertanyaan anda.

Dikarenakan anda menanyakan hal teknis yg tidak berhubungan dgn thread, saya pindahkan pertanyaan anda ke http://blog.dlink.co.id/2008/09/introduction.html

Tolong selanjutnya bila anda ada pertanyaan, posting di thread yang sesuai. Bila tidak ada yang sesuai maka silahkan posting disini : http://blog.dlink.co.id/2008/09/introduction.html

Ari mengatakan...

Dear TIM DLINK,
Menarik sekali produk AP DLINK DAP-2590, sudah support implementasi dinamic VLAN. namun performa signaling atau cover areanya terbilang kecil. bagaimana cara mengoptimalkan(3antena) DAP-2590 supaya menghasilkan cover area yang lebih maksimal. perlu tambahan antena omni/patch? jika ya produk dlink apa yg cocok digunakan untuk kasus sprt ini.
warm regards, terima kasih

D-Link Indonesia mengatakan...

To : Ari

Terima kasih atas pertanyaan anda.

"Menarik sekali produk AP DLINK DAP-2590, sudah support implementasi dinamic VLAN."

---> Yang sudah support Dynamic VLAN dan Microsoft NAP bukan hanya DAP-2590 namun model berikut juga sudah support kedua fitur tsb :

DWL-3200AP
DWL-8200AP
DWL-3260AP
DWL-2700AP
DWL-7700AP
DAP-3220
DAP-2553
DAP-2690
DAP-3520

"namun performa signaling atau cover areanya terbilang kecil. bagaimana cara mengoptimalkan(3antena) DAP-2590 supaya menghasilkan cover area yang lebih maksimal. perlu tambahan antena omni/patch? jika ya produk dlink apa yg cocok digunakan untuk kasus sprt ini."

---> Semua product wireless yang masuk ke Indonesia mengikuti aturan ETSI shg EIRP-nya tidak lebih dari 20 dBm. Untuk antenna bawaannya adalah dual-band antenna dengan gain sebesar :
- 2.4 GHz : 4 dBi
- 5 GHz : 6 dBi

Dengan konfigurasi yang umum digunakan 2.4GHz, 802.11n, channel width auto (20/40 MHz), chamber room (no interference) , single AP bisa cover sekitar 30-70 meteran didalam ruangan dgn client 802.11n juga (tergantung konstruksi ruangan).

Jadi bila dirasa konfigurasi standar coverage-nya kurang maksimal, anda bisa cek hal2 berikut :

1. Bila di ruangan anda ada multiple AP maka pastikan sebisa mungkin mengecilkan interference, misalnya 802.11n tp gunakan 20 MHz saja utk 2.4 GHz shg dr AP lain tidak saling meng-interference.

2. Bila anda menggunakan 2.4 GHz maka pastikan channel yg digunakan hanya channel 1,6 dan 11 utk semua AP anda dan pastikan AP yang berdekatan tidak menggunakan channel yg sama.

3. Bila anda menggunakan 802.11n channel width auto (20/40MHz) maka otomatis hanya ada 1 AP yang boleh ada diruangan tsb dan bila ada AP yang sinyalnya "luber" sampai ke ruangan dimana DAP-2590 berada maka dipastikan akan interference dan tidak bisa dihindari dgn cara apapun krn otomatis channel width 40 MHz sudah "makan" 2 channel sekaligus.

4. Bila memang memungkinkan deploy 802.11n dalam 5GHz yang channel-nya relatif banyak dibanding 2.4GHz.

5. Bila anda ingin ganti antenna dengan yang lebih besar gain-nya bisa saja, jika anda hanya ingin gunakan freq 2.4GHz maka anda bisa ganti ke antenna 2.4GHz saja dgn catatan bila anda switch ke freq 5GHz maka antenna tsb tidak bisa digunakan lagi. Adapun antenna 2.4GHz bisa gunakan ANT24-0700C (7 dBi) atau ANT24-0800 (8 dBi), dikarenakan DAP-2590 adalah 802.11n AP maka anda harus ganti ketiganya.

Anda bisa juga ganti ketiganya dgn dual band antenna misalnya ANT70-0800 atau ANT70-0801.

Anda bisa melihat katalog antenna kami di ftp://public.dlink.co.id/Antenna/Manual-QIG/ANT24&70_A3_QIG_3.00(ww)(press).pdf

Mudah2an membantu

Architecture UPI mengatakan...

maaf newbie mo numpang tanya.
setelah saya baca2 seklias dari posting2 yang ada, saya sebenarnya aga malu menanyakan hal ini (tapi yah ibarat kata "malu bertanya sesat di jalan) heheh...
saya punya Belkin Wireless G router (F5D7231-4) yang terhubung dengan modem Tp Link dengan ISP speedy. saya ingin menambahkan repetear (penguat sinyal) pada lantai-2 di rumah. dan tertarik dengan AP Dlink DAP-1150, tapi apakah wireless belkin dapat terkoneksi dengan AP Dlink? sementara saya baca pada buku manual belkin " bridging with access point of other manufactures is not supports at this time" saya khawatir setelah saya membeli AP Dlink maka Ap Dlink tidak bisa connect dengan wireless router belkin.
mohon bantuannya

D-Link Indonesia mengatakan...

To : Architecture UPI

Terima kasih atas pertanyaan anda.

"tertarik dengan AP Dlink DAP-1150,"

---> Terima kasih atas ketertarikan anda thd produk kami, namun dapat kami infokan bahwa DAP-1150 sudah EOL. Penggantinya adalah DAP-1360.

"tapi apakah wireless belkin dapat terkoneksi dengan AP Dlink? sementara saya baca pada buku manual belkin " bridging with access point of other manufactures is not supports at this time" saya khawatir setelah saya membeli AP Dlink maka Ap Dlink tidak bisa connect dengan wireless router belkin."

---> Fitur Repeater tidak diatur dalam standar IEEE 802.11, jadi kamipun tidak bisa garansi 100 persent dapat bekerja karena kami tidak tahu technique proprietary apa yang digunakan oleh wireless router anda.

Mudah2an membantu

Paul mengatakan...

Pak, saya sudah punya beberapa D-Link DAP-1360, semua dicolok ke jaringan LAN, sekarang kalau mau memberikan fasilitas internet untuk tamu, tapi tidak boleh masuk jaringan LAN bagaimana caranya,
terima kasih sebelumnya...

Indra W mengatakan...

Terima kasih, ini yang saya cari. Saya juga baru utak-atik ini jaringan. Jaringan di kampus sih, info sangat bermanfaat buat saya