CARA ACCESS POIN
MEMBROADCASS SSID
Jaringan wifi atau wireless atau
jaringan tanpa kabel semakin lama semakin digemari lebih AP.. Selain karena
instalasinya yang lebih mudah, praktis jaringan wireless ini semakain banyak
dipakai karena semakin banyaknya perangkat yang mendukung atau di lengkapi
dengan wifi. Seperti yang kita tahu semakin banyak peminat suatu
barang atau dalam kasus ini peminat wifi, tentunya semakin banyak juga
orang-orang yang ingin mensabotase, atau menylinap masuk tanpa ijin,
meretas(hack)
Access Point (AP) seumpama hub atau switch pada jaringan kabel LAN.
Fungsinya untuk menghubungkan banyak client dengan topologi
jaringan tipe star. Artinya kita membantuk jaringa komputer dari banyak
client yang menggunakan radio yang dihubungkan dengan satu atau lebih.
Pembicaraan kita kali ini dengan asumsi
kita akan membagi jaringan internet (misalnya dari Speedy) lewat jaringan
wireless hanya untuk client tertentu saja. Jadi kita harus mengusahakan agar
client yang tidak berhak tidak dapat mengakses jaringan wireless kita.
Ada dua pendekantan yang bisa digunakan, yakni:
1. Menggunakan sistem login ticket.
2. Melakukan blocking client wireless.
Pendekatan pertama sering digunakan di area hotpsot berbayar atau sistem tiket. Client yang ingin konek ke internet (misal membawa laptop yang ada wirelessnya) harus membeli semacam tiket yang berisi username dan password. Setelah itu baru bisa konek sesuai waktu yang disediakan. Cara ini mudah dan praktis kalau ingin membuat hotspot yang clientnya tidak tetap atau berubah-ubah sesuai kebutuhan. Kelemahannya sistem ini mudah dihacking dengan wardriving menggunakan berbagai macam tool untuk membuka jaringan wireless.
Pembahasan kita difokuskan pada pendekatan kedua, yakni blocking ditingkat client. Misalnya kita akan membuat ISP kecil-kecilan dengan berlangganan Speedy Unlimited terus disharing lewat jaringan wireless ke client-client yang telah terdaftar. Skema jaringan sebagai berikut
Ada dua pendekantan yang bisa digunakan, yakni:
1. Menggunakan sistem login ticket.
2. Melakukan blocking client wireless.
Pendekatan pertama sering digunakan di area hotpsot berbayar atau sistem tiket. Client yang ingin konek ke internet (misal membawa laptop yang ada wirelessnya) harus membeli semacam tiket yang berisi username dan password. Setelah itu baru bisa konek sesuai waktu yang disediakan. Cara ini mudah dan praktis kalau ingin membuat hotspot yang clientnya tidak tetap atau berubah-ubah sesuai kebutuhan. Kelemahannya sistem ini mudah dihacking dengan wardriving menggunakan berbagai macam tool untuk membuka jaringan wireless.
Pembahasan kita difokuskan pada pendekatan kedua, yakni blocking ditingkat client. Misalnya kita akan membuat ISP kecil-kecilan dengan berlangganan Speedy Unlimited terus disharing lewat jaringan wireless ke client-client yang telah terdaftar. Skema jaringan sebagai berikut
Teknik mengamankan AP agar dapat konek
hanya oleh client tertentu saja adalah:
1. Sembunyikan SSID
2. Gunakan nama SSID yang acak dan panjang
3. Gunakan Enkripsi
4. MAC Address Filter
1. Sembunyikan SSID
2. Gunakan nama SSID yang acak dan panjang
3. Gunakan Enkripsi
4. MAC Address Filter
5. ubah Mac
Default
6. Gunakan IP
Statik dan Range IP tertentu
7. Isolasikan
Client
8. Kunci
settingan radio client dengan password
Caranya:
1.
Sembunyikan SSID (Hide SSID)
SSID adalah nama jaringa yang di
broadcast oleh AP dan client agar dapat saling konek. Artinya hanya client yang
mengatahui atau mempunyai SSID yang sama dengan AP saja yang dapat konek ke
jaringan. Jadi, agar hanya client yang terdaftar saja bisa konek maka kita
harus menghidden SSID dari AP. Caranya dengan mengubah settingan di AP
yang bisa diakses lewat web. Misal untuk AP Linksys WRT54GL yang udah diupgrade
firmwarenya pakai DD-WRT maka setingan hide SSID bisa ditemukan di menu
"Wireless" => "Basic Setting" trus disable
"Wireless SSID Broadcast". Untuk AP merk lainnya lainnya maka cara
mengubahnya intinya sama saja. Jika SSID kita hidden maka jaringan kita di tool
wireless client tidak akan muncul atau terbaca. Memang ada sih tool untuk
memecahkan SSID tapi tool ini jalan di Linux dan harus menggunakan chipset
wireless tertentu yang built in di motherboard. Tapi langkah ini merupakan
pertahanan pertama yang sangat efektif untuk mencegah kalangan pemula dan
menengah agar tidak bisa seenaknya konek ke jaringan kita.
2. Gunakan
nama SSID yang Acak dan Panjang
SSID atau Service set identifier merupakan
nama pengenal network yang panjangnya maksimal 32 karakter yang dapat terdiri
dari a-z, A-Z, 0-9, tanda baca dan laiin karakter. Agar sekuriti jaringan kita
maksimal - setelah dihidden - selanjutnya buatlah nama SSID sepanjang 32
karakter acak. Untuk mendapatkan karakter acak bisa masuk ke
http://www.random.org/strings. misal: SSID kita buat "speednet_8vb01F1UZDbtRglFcDCcvj"
. Artinya jaringan ISP kita namakan Speednet (sekedar nama aja) trus kita
tambah karakter acak sampai sejumlah 32 buah yang terdiri dari huruf dan angka.
Hal ini untuk mencegah hacking jaringan menggunakan
tool yang mencoba memecahkan kombinasi SSID kita. Bayangkan 62 pangkat 32 berarti ada 10 pangkat 57 kombinasi.
3. Gunakan Enkripsi
3. Gunakan Enkripsi
Setiap AP saat ini telah dilengkapi
dengan teknik enkripsi (mengacak data) jaringan yang canggih. Mulia dari WEP
yang sederhana sampai dengan WPA yang canggih. Untuk lebih aman gunakan WPA
dengan key 64 karakter. Memang AP modern saat ini, selain WEP dan WPA masih ada
menyediakan jenis enkripsi lain. Tapi harus diingat, tidak semua radio client
dapat mendukung teknik enkripsi terbaru. Menurut pengalaman kami, WPA telah
tersedia di radio client dari harga 400 ribuan sampai yang mahal-mahal. Kembali
diingat, gunakan key yang maksimum (64 karakter) dan
harus terdiri dari huruf dan angkan acak. misalnya:
" Y0SgVsDNwrlDVV5G5JYcan2JaMnEabVKkyHHB6pEk4xCpTBIP3rfHNpHgvOiVaZx ". Tapi ingat kita harus mencatat SSID acak dan key acak ini karena tidak mungkin menghafalnya.
4. Filter Mac Address
" Y0SgVsDNwrlDVV5G5JYcan2JaMnEabVKkyHHB6pEk4xCpTBIP3rfHNpHgvOiVaZx ". Tapi ingat kita harus mencatat SSID acak dan key acak ini karena tidak mungkin menghafalnya.
4. Filter Mac Address
Setelah client memakai SSID dan Key
enkripsi yang sama dengan AP, maka teknik pertahanan kita selanjutnya
menggunakan filter mac address client. Bila fitur ini kita aktifkan di AP maka
hanya client yang terdaftar macnya saja yang bisa konek di AP kita. Untuk itu
cari AP yang menyediakan tabel filter yang jumlahnya sesuai kebutuhan kita.
Misalnya Linksys WRT54Gl dengan DD-WRT firmware, menyediakan tabel filter sejumlah
128 buah. Kalau Senao
AP biasanya sekitar 20 buah filter saja.
5. Ubah MAC Address Default
5. Ubah MAC Address Default
Biasanya Mac Address default bawaan
pabrik bisa diubah. MAC memiliki macam-macam awalan tergantung pabrikan yang
memproduksi. Misal radio merk Senao menggunakan awalan MAC yakni
00:02:6F:xx:xx:xx dan sebagainya. Karena kunci agar
kita membedakan client Cuma IP dan MAC maka kita harus mengubah
MAC default client dengan mac lain
yang jarang digunakan. Misalnya kita ubah menjadi 00:40:01:xx:xx:xx
yang berasal dari tipe pabrik Zyxsel yang jarang dipakai di
Indonesia. Guna lainnya untuk keseragaman, misal kita site
survey ternyata ada mac
yang selain kelompok tadi berarti jelas dia radio yang tidak terdaftar mencoba masuk.
6. Gunakan IP Statik dan Range IP tertentu
6. Gunakan IP Statik dan Range IP tertentu
Setelah radio client di set SSID dan Key
Enkripsi yang sama dengan AP, syarat lain bisa konek adalah menggunakan IP yang
valid dan tidak konflik dengan IP yang ada. Memang ada cara praktis dan simpel,
yakni menggunakan DHCP Server agar setiap client otomatis mendapatkan IP yang
tersedia. Tapi cara ini bermasalah jika masing-masing client mendapatkan jatah
kecepatan / bandwith yang berbeda-beda. Kunci pembeda bandwith manager hanya
berdasarkan MAC atau IP, jadi sebaiknya gunakan IP statik dengan cara
nonaktifkan DHCP server. Selanjutnya gunakan range IP untuk client yang beda
dari biasanya. Range IP yang umum (entah kenapa selalu dipakai di buku panduan
wireless) adalah 192.168.x.x. Coba kita gunakan range IP 10.20.30.x dengan x
sebanyak jumlah client. misal untuk client 32 orang kita gunakan 1 range IP
dari 10.20.30.101 - 10.20.30.132. Hindari range dari 10.20.30.1 - 10.20.30.32
karena terlalu umum dan mudah ditebak. atau gunakan ip yang acak jangan dalam
range tertentu. Terserah kreasi anda. Tapi ingat, IP yang kita gunakan harus
bersifat private artinya hanya berlaku di dalam network kita saja dan harus di
"nat" di dalam router.
7. Isolasi Client
7. Isolasi Client
Kekacauan jaringan selain dari luar bisa
juga disebabkan dari client kita sendiri. Misalnya kita telah membagi bandwidth
yang berbeda untuk macam-macam client sesuai IP address mereka. Akibatnya
client mencoba mengubah IP mereka sendiri untuk mendapatkan bandwidht
yang lebih besar. Bisa dengan coba-coba atau
mereka menggunakan tool IP Scanning yang canggih. Tanda terjadinya
kekacauan ini adalah timbulnya "IP Address Conflict". Untuk
mencegahnya kita harus mengisolasi client, artinya sesama client tidak bisa
saling scan IP. Bagi yang menggunakan AP merk Linksys WRT54Gl dengan DD-WRT
maka bisa diaktifkan "AP Isolation" di menu: "Wireless"
=> "Advanced Settings". Untuk AP merk lain coba cari sendiri,
kalau belum ada coba upgrade firmware AP tsb. Kalau masih belum ada ya terpaksa
mencari AP merk lain yang menyediakan fasilitas ini.
8. Kunci Settingan Radio Client dengan Password
8. Kunci Settingan Radio Client dengan Password
Kami pernah mengalami kebobolan jaringan
wireless yang disebabkan adanya kerjasama pembobol dengan orang dalam (client).
Modus nya, pembobol mendapatkan SSID dan key serta mac dan IP yang valid dari
client. Hal ini terjadi karena settingan radio client tidak dikunci sehingga
bisa dlilihat. Untuk mencegahnya maka ubah password radio client dari default
ke passwrod yang hanya diketahui oleh teknisi.
Tidak ada komentar:
Posting Komentar