Mengamankan Wireless Access Point

Pengunaan jaringan wireless semakin menjamur. Di mana-mana dapat kita lihat bertebaran tower wireless access point. Tapi penggunaan jaringan wireless memberikan dampak negatif, yakni terbukanya jaringan untuk bisa diakses semua orang yang berada di area cakupan sinyal wireless kita. Bagaimanakah cara mengamankan access point agar bandwidth tidak bocor ketangan orang yang tidak berhak? 


Access Point (AP) seumpama hub atau switch pada jaringan kabel LAN. Fungsinya untuk menghubungkan banyak client dengan topologi jaringan tipe star. Artinya kita membantuk jaringa komputer dari banyak client yang menggunakan radio yang dihubungkan dengan satu atau lebih AP.

Pembicaraan kita kali ini dengan asumsi kita akan membagi jaringan internet (misalnya dari Speedy) lewat jaringan wireless hanya untuk client tertentu saja. Jadi kita harus mengusahakan agar client yang tidak berhak tidak dapat mengakses jaringan wireless kita.

Ada dua pendekantan yang bisa digunakan, yakni:
1. menggunakan sistem login ticket.
2. melakukan blocking client wireless.

Pendekatan pertama sering digunakan di area hotpsot berbayar atau sistem tiket. Client yang ingin konek ke internet (misal membawa laptop yang ada wirelessnya) harus membeli semacam tiket yang berisi username dan password. Setelah itu baru bisa konek sesuai waktu yang disediakan. Cara ini mudah dan praktis kalau ingin membuat hotspot yang clientnya tidak tetap atau berubah-ubah sesuai kebutuhan. Kelemahannya sistem ini mudah dihacking dengan wardriving menggunakan berbagai macam tool untuk membuka jaringan wireless.

Pembahasan kita difokuskan pada pendekatan kedua, yakni blocking ditingkat client. Misalnya kita akan membuat ISP kecil-kecilan dengan berlangganan Speedy Unlimited terus disharing lewat jaringan wireless ke client-client yang telah terdaftar. Skema jaringan sebagai berikut:


Teknik mengamankan AP agar dapat konek hanya oleh client tertentu saja adalah:
1. Sembunyikan SSID
2. Gunakan nama SSID yang acak dan panjang
3. Gunakan Enkripsi
4. MAC Address Filter
5. ubah Mac Default
6. Gunakan IP Statik dan Range IP  tertentu
7. Isolasikan Client
8. Kunci settingan radio client dengan password

Caranya:
1. Sembunyikan SSID (Hide SSID)
SSID adalah nama jaringa yang di broadcast oleh AP dan client agar dapat saling konek. Artinya hanya client yang mengatahui atau mempunyai SSID yang sama dengan AP saja yang dapat konek ke jaringan. Jadi, agar hanya client yang terdaftar saja bisa konek maka kita harus menghidden SSID dari AP.  Caranya dengan mengubah settingan di AP yang bisa diakses lewat web. Misal untuk AP Linksys WRT54GL yang udah diupgrade firmwarenya pakai DD-WRT maka setingan hide SSID bisa ditemukan di menu "Wireless" => "Basic Setting" trus disable "Wireless SSID Broadcast". Untuk AP merk lainnya lainnya maka cara mengubahnya intinya sama saja. Jika SSID kita hidden maka jaringan kita di tool wireless client tidak akan muncul atau terbaca. Memang ada sih tool untuk memecahkan SSID tapi tool ini jalan di Linux dan harus menggunakan chipset wireless tertentu yang built in di motherboard. Tapi langkah ini merupakan pertahanan pertama yang sangat efektif untuk mencegah kalangan pemula dan menengah agar tidak bisa seenaknya konek ke jaringan kita.



2. Gunakan nama SSID yang Acak dan Panjang
SSID atau Service set identifier merupakan nama pengenal network yang panjangnya maksimal 32 karakter yang dapat terdiri dari a-z, A-Z, 0-9, tanda baca dan laiin karakter. Agar sekuriti jaringan kita maksimal - setelah dihidden - selanjutnya buatlah nama SSID sepanjang 32 karakter acak. Untuk mendapatkan karakter acak bisa masuk ke http://www.random.org/strings. misal: SSID kita buat "speednet_8vb01F1UZDbtRglFcDCcvj" . Artinya jaringan ISP kita namakan Speednet (sekedar nama aja) trus kita tambah karakter acak sampai sejumlah 32 buah yang terdiri dari huruf dan angka. Hal ini untuk mencegah hacking jaringan menggunakan tool yang mencoba memecahkan kombinasi SSID kita. Bayangkan 62 pangkat 32 berarti ada 10 pangkat 57 kombinasi.

3. Gunakan Enkripsi
Setiap AP saat ini telah dilengkapi dengan teknik enkripsi (mengacak data) jaringan yang canggih. Mulia dari WEP yang sederhana sampai dengan WPA yang canggih. Untuk lebih aman gunakan WPA dengan key 64 karakter. Memang AP modern saat ini, selain WEP dan WPA masih ada menyediakan jenis enkripsi lain. Tapi harus diingat, tidak semua radio client dapat mendukung teknik enkripsi terbaru. Menurut pengalaman kami, WPA telah tersedia di radio client dari harga 400 ribuan sampai yang mahal-mahal. Kembali diingat, gunakan key yang maksimum (64 karakter) dan harus terdiri dari huruf dan angkan acak. misalnya:
 " Y0SgVsDNwrlDVV5G5JYcan2JaMnEabVKkyHHB6pEk4xCpTBIP3rfHNpHgvOiVaZx ". Tapi ingat kita harus mencatat SSID acak dan key acak ini karena tidak mungkin menghafalnya.

4. Filter Mac Address
Setelah client memakai SSID dan Key enkripsi yang sama dengan AP, maka teknik pertahanan kita selanjutnya menggunakan filter mac address client. Bila fitur ini kita aktifkan di AP maka hanya client yang terdaftar macnya saja yang bisa konek di AP kita. Untuk itu cari AP yang menyediakan tabel filter yang jumlahnya sesuai kebutuhan kita. Misalnya Linksys WRT54Gl dengan DD-WRT firmware, menyediakan tabel filter sejumlah 128 buah. Kalau Senao AP biasanya sekitar 20 buah filter saja.


5. Ubah MAC Address Default
Biasanya Mac Address default bawaan pabrik bisa diubah. MAC memiliki macam-macam awalan tergantung pabrikan yang memproduksi. Misal radio merk Senao menggunakan awalan MAC yakni 00:02:6F:xx:xx:xx dan sebagainya. Karena kunci agar kita membedakan client cuma IP dan MAC maka kita harus mengubah MAC default client dengan mac lain yang jarang digunakan. Misalnya kita ubah menjadi 00:40:01:xx:xx:xx yang berasal dari tipe pabrik Zyxsel yang jarang dipakai di Indonesia. Guna lainnya untuk keseragaman, misal kita site survey ternyata ada mac yang selain kelompok tadi berarti jelas dia radio yang tidak terdaftar mencoba masuk.

6. Gunakan IP Statik dan Range IP  tertentu
Setelah radio client di set SSID dan Key Enkripsi yang sama dengan AP, syarat lain bisa konek adalah menggunakan IP yang valid dan tidak konflik dengan IP yang ada. Memang ada cara praktis dan simpel, yakni menggunakan DHCP Server agar setiap client otomatis mendapatkan IP yang tersedia. Tapi cara ini bermasalah jika masing-masing client mendapatkan jatah kecepatan / bandwith yang berbeda-beda. Kunci pembeda bandwith manager hanya berdasarkan MAC atau IP, jadi sebaiknya gunakan IP statik dengan cara nonaktifkan DHCP server. Selanjutnya gunakan range IP untuk client yang beda dari biasanya. Range IP yang umum (entah kenapa selalu dipakai di buku panduan wireless) adalah 192.168.x.x. Coba kita gunakan range IP 10.20.30.x dengan x sebanyak jumlah client. misal untuk client 32 orang kita gunakan 1 range IP dari 10.20.30.101 - 10.20.30.132. Hindari range dari 10.20.30.1 - 10.20.30.32 karena terlalu umum dan mudah ditebak. atau gunakan ip yang acak jangan dalam range tertentu. Terserah kreasi anda. Tapi ingat, IP yang kita gunakan harus bersifat private artinya hanya berlaku di dalam network kita saja dan harus di "nat" di dalam router.

7. Isolasi Client
Kekacauan jaringan selain dari luar bisa juga disebabkan dari client kita sendiri. Misalnya kita telah membagi bandwidth yang berbeda untuk macam-macam client sesuai IP address mereka. Akibatnya client mencoba mengubah IP mereka sendiri untuk mendapatkan bandwidht yang lebih besar. Bisa dengan coba-coba atau mereka menggunakan tool IP Scanning yang canggih. Tanda terjadinya kekacauan ini adalah timbulnya "IP Address Conflict". Untuk mencegahnya kita harus mengisolasi client, artinya sesama client tidak bisa saling scan IP. Bagi yang menggunakan AP merk Linksys WRT54Gl dengan DD-WRT maka bisa diaktifkan "AP Isolation" di menu: "Wireless" => "Advanced Settings". Untuk AP merk lain coba cari sendiri, kalau belum ada coba upgrade firmware AP tsb. Kalau masih belum ada ya terpaksa mencari AP merk lain yang menyediakan fasilitas ini.

8. Kunci Settingan Radio Client dengan Password
Kami pernah mengalami kebobolan jaringan wireless yang disebabkan adanya kerjasama pembobol dengan orang dalam (client). Modus nya, pembobol mendapatkan SSID dan key serta mac dan IP yang valid dari client. Hal ini terjadi karena settingan radio client tidak dikunci sehingga bisa dlilihat. Untuk mencegahnya maka ubah password radio client dari default ke passwrod yang hanya diketahui oleh teknisi.

TIPS:
1. Jangan lupa membuat catatan yang lengkap tentang data-data radio client. Misalnya nama client, merk radio, password setingan, MAC address, IP Address dan lainnya. Kalau dokumentasi kita jelek, maka akan terjadi masalah, misal lupa password masuk untuk menyeting radio client, kan bisa berabe dan harus di hard reset alias naik ke tiang radio.
2. Sering-sering site survey radio client
3. Sering-sering site survey AP di sekeliling kita.
4. Untuk aman dan mudahnya, masukan file settingan SSID, Key, MAC, IP kedalam file CD Room. Jangan flashdisk karena jika kita colokan di komp client ada kemungkinan terkena virus. Dan tentu saja CD room ini harus kita amankan dan rahasiakan. Karena jika bocor, maka butuh waktu berminggu-minggu untuk mengubah setingan dari AP hingga keliling mengubah setingan radio client (terkadang harus naik tower client karena radionya ngadat menolak di reset). he.he.he....

Itu saja saran dari saya semoga bermanfaat...kalau ada kritik dan saran atau tambahan bisa langsung dikommen aja. Semoga Tetap Aman AP-nya.