BAB 4

Hasil dan Pembahasan

4.1 Analisis Studi Kasus

Perbandingan studi kasus diperlukan untuk mengetahui relevansi

permasalahan dan solusi dengan beberapa kasus yang sama, hingga diketahui

validitas penelitian yang dilakukan. Penulis mengumpulkan data studi kasus

melalui observasi dan wawancara terhadap pihak terkait pada perusahaan sejenis

yang memiliki kasus yang mirip, serta melakukan studi literature mengenai

tinjauan pustaka yang berhubungan dengan penelitian ini melalui jurnal, laporan

penelitian tercetak maupun elektronik.

Berikut adalah data perbandingan studi kasus yang berhasil penulis

kumpulkan. Data tersebut diperoleh dari hasil observasi dan wawancara dapat

dilihat pada tabel 4.1 berikut :

Tabel 4.1 Perbandingan Studi Kasus

Perbandingan Studi Kasus

Studi Kasus Permasalahan Solusi Teknik Keamanan
- PT Astel - Penerapan - Penerapan - Captive Portal Pfsense,
keamanan captive portal NPS Server, Active
WPA2-PSK Pfsense Directory, VLAN
rentan diserang dengan
menggunakan backend
tools seperti account
Aircrack-ng Active
- User External Directory

96

 97

mengakses - Pemisahan
Wireless LAN jalur Wireless
dari satu jalur LAN
Network menggunaka
n teknik
VLAN
Penerapan - Media - Port Based - Active Directory NPS
Enterprise WIFI transmisi Network Server, PEAP
Menggunakan meggunakan Access MSCHAP V2, Active
Port Based gelombang Controll Directory Certificate
Network Access radio (802.1x) Services, Digital
Control (Ameen, - Isu mengenai - PEAP Certificate
2012) Authentication MSCHAP V2
,
Authorization,
dan
Accounting
PT XYZ - WPA2 PSK - PEAP - Active Directory, NPS
mudah MSCHAP V2 Server, Digital
diserang - Pemisahan Certificate, Active
hanya dalam jalur Wireless Directory Certificate
hitungan LAN dengan Services, PEAP
menit. penambahan MSCHAP V2, dan
- User External Firewall pada Captive Portal Firewall
mengakses Captive
Wireless Portal
LAN dari
satu jalur
Network
 98

Dilihat dari tabel 4.1 di atas bahwa PT Astel memiliki permasalahan sejenis

dengan PT XYZ yaitu penerapan keamanan Wireless LAN existing masih

menggunakan teknik WPA2-PSK dan User External masih menggunakan jalur

yang sama. Oleh karena itu tim IT PT Astel mencoba mengembangkan system

keamanan Wireless LAN dengan memisahkan jalur Network antara User External

dan User Internal menggunakan VLAN yang memang sudah ada pada

infrastruktur network mereka, kemudian menerapkan system login menggunakan

username dan password yang sudah ada pada database Active Directory melalui

autentikasi server NPS sebagai RADIUS Server dan membuat sebuah halaman

login via Web Browser menggunakan Captive Portal Pfsense.

Sedangkan pada studi kasus mengenai Penerapan Enterprise WIFI

Menggunakan Port Based Network Access Control (Ameen, 2012), Permasalahan

yang ada adalah kekhawatiran akan media transmisi Wireless LAN yang bersifat

terbuka dan memungkinkan orang lain mengakses jaringan internal dengan mudah

jika tidak dilindung, terutama penerapan pada lingkup Enterprise yang mana

terdapat aset yang dianggap rahasia yang tidak boleh bocor keluar, kemudian

persoalan mengenai sarana untuk Authentication, Authorization, dan Accounting

pada penggunaan maupun manajemen network Enterprise.

Dari permasalahan tersebut Ameen (2012), merekomendasikan penerapan

Wireless LAN dengan Port based Network Access Control berdasarkan standard

802.1x. Lebih spesifik lagi adalah rekomendasi mekanisme keamanan PEAP

MSCHAP V2.
 99

Penulis mencoba menerapkan mekanisme keamanan Wireless LAN pada PT

XYZ dengan memisahkan menggunakan PEAP MSCHAP V2 dan Captive Portal

Firewall. PEAP MSCHAP V2 ini menggunakan Active Directory Certificate

Services untuk mengeluaran sertifikat digital yang diinstal pada NPS Server agar

Wireless Client dapat saling mengenali NPS Server.

4.2 Analisis Kelemahan WPA2-PSK

Dari percobaan serangan yang sudah dilakukan pada BAB 3 dapat dilihat

bahwa WPA2-PSK sangat rentan terhadap serangan. Dari ke 7 tools (Airodump-

ng I, Airodump-ng II, Aireplay-ng, Aircrack, Cowpatty, Gerix, dan John The

Ripper) yang diujicobakan. Tools Aircrack-ng, Cowpatty, Gerix, dan John The

Ripper tidak bisa bekerja sendirian, namun bergantung kepada proses proses

tools lainnya, yaitu Airodump-ng dan Aireplay-ng. Dengan hanya menunggu

client melakukan proses autentikasi, maka proses WPA Handshake akan dengan

mudah ditangkap oleh Airodump-ng, yang selanjutnya dapat dilakukan proses

Dictionary Attack menggunakan Aircrack-ng dkk.

Jika tidak ingin menunggu proses autentikasi client, dapat digunakan

Aireplay-ng yang dapat memaksa client yang memang sudah bergabung dengan

Wireless LAN mengalami proses reauthentication.

Proses "tebak-tebakan" password ini bergantung terhadap kekuatan

password itu sendiri. Semakin complicated password, maka semakin kecil pula

kemungkinan Dictionary Attack berhasil melakukan pekerjaannya. Disamping itu

 100

semakin complicated password, maka semakin tinggi pula effort user untuk

mengingat dan menginput password tersebut.

Jika menggunakan teknik Dictionary Attack keberhasilannya tergantung

daftar kata, maka dengan menggunakan teknik Brute Force keberhasilannya dapat

dikatakan 100%. Hanya teknik ini memakan waktu lebih lama. Lamanya waktu

dapat dipercepat dengan berbagai cara, salah satunya adalah dengan

meningkatkan spesifikasi device penyerang atau menggunakan parallel

processing. Dengan sifat Aircrack-ng yang dapat meng-crack password tanpa

harus berada di tempat serangan, penggunaan PC dengan kemampuan sangat

tinggi dapat mempercepat proses cracking.

Pada WPA2 PSK tidak adanya proses mutual autentikasi. Sehingga laptop

atau device apapun dan siapapun yang memiliki kemampuan Wireless dapat

terkoneksi jika mengetahui password WPA2 PSK. Lain halnya dengan

menerapkan mutual autentikasi, hanya laptop/device dan user yang berhak saja

yang dapat terkoneksi ke Wireless LAN.

4.3 Analisis Best Practice

Perancangan Wireless LAN baru ini didasari pada 4 hal, yaitu

1. Cisco Best Practice Wireless LAN Design

Berdasarkan Best Practice Cisco Wireless LAN Design (2008), SSID

access point dapat dibedakan untuk 3 tujuan, yaitu voice data, internal

user, dan guest. Dalam hal ini tidak menggunakan komunikasi voice
 101

berbasis IP, maka voice data dapat diabaikan. Sehingga SSID yang dapat

digunakan ada 2, yaitu SSID untuk internal user, dan guest.

User yang terkoneksi ke dalam SSID internal dapat mengakses tidak hanya

internet, namun juga jaringan internal. Sedangkan user yang terkoneksi ke

dalam SSID guest tidak dapat mengakses ke dalam jaringan internal.

Desain pada penelitian ini adalah menggunakan 2 buah access point.

Sebetulnya satu access point dapat memiliki 2 buah SSID, namun

dikarenakan tidak ada kompatibilitas dengan server PfSense, maka dari itu

digunakan 2 buah access point untuk menghandle 2 buah SSID.

2. Microsoft Best Practice Wireless Security

Berdasarkan Best Practice Wireless Security yang dirilis oleh Microsoft

(2007), ada beberapa element dalam wireless network infrastuktur yang

dapat direkomendasikan , yaitu :

1. Internet Authentication Service (IAS) servers (NPS Server)

2. Active Directory

3. PKI

Dalam penelitian ini penulis mencoba menerapkan 3 element yang

direkomendasikan oleh Microsoft, yaitu NPS Server sebagai kembaran

dari Radius yang menjembatani antara access point ke server Active

Directory, dan Active Directory sebagai database autentikasi, serta

penerapan Ceritificate pada server dan client, sehingga hanya user user

yang terdaftar dalam Active Directory yang dapat mengakses SSID

internal.
 102

4.4 Analisis Kebutuhan Internal

Dalam perancangan keamanan Wireless LAN selain faktor kelemahan

sistem keamanan terdahulu, perlu juga diperhatikan kebutuhan yang ada

pada perusahaan.

Tabel 4.2 Kebutuhan Internal Perusahaan

Kebutuhan Solusi
Pengguna membutuhkan SSID yang Standarisasi SSID di lingkungan
dapat dikenali dengan mudah perusahaan dengan membuat 2 buah
SSID, yaitu XYZ-Internal dan
XYZ-Visitor
Pengendalian dan Monitoring Pengelolaan Wireless LAN dengan
Akses pengendalian akses dimana hanya
pengguna yang berhak yang dapat
mengakses jaringan. Setiap pengguna
jaringan nirkabel akan dapat
termonitor pada saat terkoneksi ke
dalam Wireless LAN.
Tidak perlu menyediakan atau Menggunakan akun yang sudah ada
melayani pendaftaran akun bagi pada server Active Directory
pengguna dari unit kerja lain
Kebutuhan Infrastruktur Wireless Penerapan 2 SSID untuk Internal
LAN yang dapat memisahkan antara dan External dengan memanfaatkan
pengguna External dan Internal. Firewall pada Captive Portal
sehingga pengguna External tidak
dapat masuk ke dalam jaringan
Internal
Keamanan Enkripsi proses autentikasi.
Enkripsi proses komunikasi data.
Penerapan WPA2-Enterprise
berbasis PEAP-MSCHAP V2 dan
 103

Captive Portal Firewall

menggunakan PFSENSE

Dari ke-4 dasar di atas maka penulis merekomendasikan mekanisme

keamanan Wireless LAN menggunakan WPA2 Enterprise berbasis PEAP

MSCHAP V2 dan Firewall Captive Portal dengan SSID standard yaitu XYZ-

Internal untuk kebutuhan user internal dan XYZ-Visitor untuk kebutuhan user

external.

4.3 Evaluasi XYZ-Internal dengan WPA2 Enterprise PEAP

MSCHAP V2

4.3.1 Proses Kerja PEAP MSCHAP V2

Penerapan PEAP MSCHAP V2 ini berimbas kepada perubahan topology

Wireless LAN karena adanya penambahan Server NPS dan Active Directory

Certificate Services.

Gambar 4.1 Topology WPA2 Enterprise PEAP MSCHAP V2 XYZ

Internal
 104

Untuk memudahkan penggambaran proses kerja PEAP MSCHAP V2 ini,

penulis menggambarkan dalam diagram alur bagaimana User Internal melakukan

autentikasi ke dalam Wireless LAN XYZ Internal yang berbasis PEAP

MSCHAP V2. Berikut ini adalah diagram alur dari proses autentikasi PEAP

MSCHAP V2 :

Gambar 4.2 Flowchart proses autentikasi PEAP MSCHAP V2

Proses kerja PEAP MSCHAP V2 secara detail dapat dilihat menggunakan

software Wireshark. Wireshark akan meng-capture proses dari awal Wireless

Client melakukan autentikasi username dan password hingga NPS Server

mengirimkan pesan Access Accept, yang mana ditandai dengan berhasilnya

Wireless Client terkoneksi.

Proses autentikasi PEAP MSCHAP V2 terjadi dalam dua tahapan, yaitu :

 105

1. Fase pertama menggunakan protocol EAP untuk membuka channel TLS

2. Fase kedua menggunakan protocol EAP dengan mekanisme autentikasi

username dan password untuk terkoneksi ke dalam Wireless LAN XYZ

Internal menggunakan MSCHAP V2

Adapun langkah langkah autentikasi yang dilakukan antara Wireless

Client dan Wireless AP yang memanfaatkan NPS Server untuk melakukan proses

transaksi paket paket adalah sebagai berikut :

Pembuatan channel TLS :

1. Asosiasi dan Meminta Identitas

Langkah pertama adalah Wireless Client akan mencoba berasosiasi dengan

Wireless AP. Wireless Client akan mengirimkan paket EAP-start.

Kemudian Wireless AP akan mengirimkan balik ke Wireless sebuah

request identitas berupa pesan EAP-Response/Identity

2. EAP-Response/Identity

Autentikasi PEAP MSCHAP V2 menggunakan username dan password.

Pada tahap ini Wireless AP akan melewatkan pesan Response/Identity ke

NPS Server berupa RADIUS Access Request. Berikut hasil capture proses

EAP-Resonse/Identity :

Gambar 4.3 Capture EAP-Response/Identity

3. EAP-Request NPS Server (TLS Open)

 106

Pada tahap ini NPS Server akan mengirimkan sebuah pesan RADIUS

Access-Challenge yang berisi sebuah pesan EAP-Request dengan jenis

EAP yang digunakan pada proses TLS. Permintaan ini menunjukkan

bahwa proses autentikasi TLS dimulai.

Gambar 4.4 Capture EAP-Request NPS Server (TLS Open)

Pada gambar 4.4 Terlihat paket tersebut adalah paket request dari NPS

Server yang menandakan bahwa fase TLS dimulai. Tipe autentikasinya

adalah PEAP

4. EAP-Response Wireless Client (Client Hello)

Wireless Client akan mengirimkan sebuah EAP Response dengan jenis

EAP yang digunakan. Hal ini dikenal dengan nama pengiriman paket

hello. Kemudian Wireless AP akan mem-forward pesan EAP tersebut ke

NPS Server dalam bentuk pesan RADIUS access-request. Berikut hasil

capture paket hello dari client

 107

Gambar 4.5 Capture EAP-Response Wireless Client (Client Hello)

Telihat pada gambar 4.5 Adalah paket EAP dengan code Response dari

Wireless Client berisi client hello.

5. EAP-Request NPS Server (Sertifikat NPS Server)

NPS Server mengirimkan sebuah pesan RADIUS Access Challenge yang

berisi pesan EAP Request dengan jenis EAP yang digunakan pada PEAP

dan berisi rangkain server hello, sertifikat dari NPS Server, dan berisi

pesan hello done. Wireless AP melewatkan pesan EAP ke client. Berikut

hasil capture paket sertifikat server.

 108

Gambar 4.6 EAP-Request NPS Server (Sertifikat NPS Server)

Pada gambar terlihat paket tersebut adalah paket request dari server,

berisi paket sertifikat server dan paket hello done.

6. EAP-Response Wireless Client

Wireless Client mengirimkan pesan EAP Response yang berisi rangkaian

sertifikat dari Wireless Client. Wireless AP melewatkan pesan EAP

 109

tersebut ke NPS Server. Selanjutnya paket yang akan dikirim adalah client

key exchange dan change cipher spec. Berikut hasil capture paket tersebut

Gambar 4.7 EAP-Response Wireless Client

Pada gambar 4.7 Terlihat paket tersebut adalah paket EAP Response dari

Wireless Client yang berisi paket client key exchange dan paket change

cipher spec.

7. EAP-Request NPS Server (TLS Complete)

NPS Server mengirimkan sebuah pesan RADIUS Access Challenge /

Paket EAP Request yang berisi sebuah pesan EAP Request yang berisi

cipher suite dan sebuah indikasi yang menyatakan pertukaran pesan pada

oautentikasi TLS telah selesai dilakukan. Kemudian Wireless AP

melewatkan pesan EAP tersebut ke Wireless Client.

 110

Gambar 4.8 Capture EAP-Request NPS Server (TLS Complete)

8. EAP-Success

NPS Server memperoleh unicast session key dari proses autentikasi TLS.

Pada tahap ini jalur TLS telah terbentuk dan siap digunakan untuk tahap

berikutnya.

Diakhir negosiasi PEAP, NPS Server mengautentikasi dirinya ke Wireless

Client. Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS

menggunakan Public Key, dan bukan password. Semua rangkaian pesan EAP

dikirim antara Wireless Client dan NPS Server secara terenkripsi.

Setelah jalur PEAP selesai dibuat, tahap berikutnya adalah autentikasi

Wireles Client menggunakan skema MSCHAP V2.

Autentikasi Wireless Client menggunakan MSCHAP V2 :

Pada tahap kedua ini, hasil paket data yang di-capture tidak dapat dilihat

secara clear text, karena paket paket tersebut sudah berada pada jalur

terenkripsi.
 111

1. NPS Server mengirimkan pesan EAP-Request / Identity

Gambar 4.9 Capture EAP Request / Identity EAP-MSCHAP V2 NPS

Server

2. Wireless Client merespn dengan pesan EAP-Response/Identiy yang berisi

identitas user berupa username dan password

Gambar 4.10 Capture EAP Response / Identity EAP-MSCHAP V2

Wireless Client

3. NPS Server mengirimkan EAP-Request / EAP-MSCHAP V2 Challenge

yang berisi serangkaian string challenge

Gambar 4.11 Capture EAP Request / Identity EAP-MSCHAP Challenge

V2 NPS Server
 112

4. Wireless Client merespon dengan pesan EAP-Response / EAP-MSCHAP

V2 Response yang berisi Response string challeng untuk NPS Server

Gambar 4.12 Capture EAP Response / Identity EAP-MSCHAP Challenge

V2 Wireless Client

5. NPS Server menerima pesan EAP Request / EAP-MSCHAP V2 success.

Yang mengindikasikan jawaban dari Wireless Client adalah benar dan

berisi response challenge string ke Wireless Client

Gambar 4.13 Capture EAP Request / Identity EAP-MSCHAP Success V2

NPS Server

6. Wireless Client merespon dengan pesan EAP Response / EAP MSCHAP

V2 ack, mengindikasikan bahwa response dari NPS Server adalah benar.

 113

Gambar 4.14 Capture EAP Response / Identity EAP-MSCHAP Success

V2 Wireless Client

7. NPS Server mengirimkan sebuah EAP success.

Gambar 4.15 Capture EAP Success NPS Server

Akhir dari proses saling ini adalah Wireless Client dan NPS Server dapat

membuktikan kebenaran password yang digunakan dan pertukaran terjadi di

dalam jalur yang terenkripsi oleh jalur TLS.

4.3.2. Uji Koneksi XYZ Internal

Dalam mengevaluasi penggunaan WPA2-Enterprise ada beberapa kondisi

yang diujicoba untuk mengetahui seberapa amannya penggunaan WPA2-

Enterprise. Kondisi tersebut antara lain adalah :

1. Test koneksi Laptop External

Laptop External adalah laptop yang tidak terdaftar dalam domain xyz.com.

Semua laptop yang diberikan kepada karyawan PT XYZ harus melalui proses join
 114

domain xyz.com, sehingga terdaftar dalam Group Computer pada Active

Directory. Berikut ini hasil test koneksi Laptop External ke WPA2-Ent :

Gambar 4.16 Autentikasi Network XYZ-Internal

Gambar 4.16 menunjukkan window Windows Security yang meminta user

memasukkan user name dan password. Prosedur ini sama untuk penerapan pada

Laptop Internal.

Pada saat user memasukkan username dan password pada Laptop

External, maka akses masuknya akan ditolak, meskipun username dan password

yang dimasukkan terdaftar dalam database domain xyz.com. Hal ini dikarenakan

Laptop External tersebut tidak memiliki sertifikat digital yang dibutuhkan sebagai

syarat untuk terkoneksi ke dalam XYZ-Internal. Gambar 4.17 dan 4.18 adalah

informasi mengenai ditolaknya koneksi Laptop External ke dalam XYZ-Internal.

Gambar 4.17 Laptop External Tidak Dapat Terhubung ke XYZ-Internal

 115

Gambar 4.18 Server NPS Menolak Request dari Laptop External

2. Test koneksi Laptop Internal

Laptop Internal adalah laptop yang terdaftar pada Active Directory

perusahaan. Setiap user yang hendak terkoneksi ke XYZ-Internal, akan ditanya

terlebih dahulu username dan password, sama seperti pada Gambar 4.11. User

cukup memasukkan username dan password sesuai dengan username yang mereka

masukkan pada saat login Windows.

Setelah berhasil terkoneksi, user dapat menjelajah internet maupun meng-

copy file dari file server seperti pada Gambar 4.19

 116

Gambar 4.19 Koneksi Client ke Internet dan File Server

4.3.3. Monitoring Pengguna PEAP MSCHAP V2

Salah satu tujuan penerapan PEAP MSCHAP V2 adalah memanfaatkan

fungsi NPS Server yang memiliki fitur Monitoring. Untuk memanfaatkan fitur ini

cukup dengan membuka log file NPS Server. Namun tampilan log file NPS

Server terlihat sulit dibaca. Untuk itu perlu adanya software tambahan untuk

membaca file log NPS Server. Software yang penulis gunakan di sini adalah IAS

Viewer. Berikut hasil tampilan IAS Viewer :

Gambar 4.20 Tampilan IAS Log Viewer

 117

Pada Gambar 4.20 Terlihat beberapa username yang diwarnai merah. Ini

menandakan bahwa username tersebut tidak berhak masuk ke Wireless LAN XYZ

Internal. Alasannya antara lain username yang tidak terdaftar atau username

terdaftar namun menggunakan Wireless Client yang tidak tervalidasi sertifikat

digital, sehingga ditolak masuk ke Wireless LAN XYZ Internal.

Dengan penerapan PEAP MSCHAP V2 dapat dimonitoring siapa saja yang

mencoba masuk ke dalam Jaringan Internal PT XYZ.

4.3.4. Uji Serangan XYZ Internal

Penulis melakukan evaluasi terhadap penerapan WPA2 Enterprise PEAP

MSCHAP V2 salah satunya dengan cara menguji serangan menggunakan tools

yang sama dengan pengujian serangan WPA2 PSK. Tujuannya adalah untuk

mengetahui apakah dengan pengembangan ini dapat menanggulangi serangan

sebelumnya.

Dalam pengujian ini metode dan tools pengujiannya dibuat sama, yaitu

Airodump-ng, Aireplay-ng, Aircrack-ng, Cowpatty, Gerix, dan John The Ripper.

Hasilnya dapat dilihat pada penjelasan berikut :

1. Airodump-ng I

Di sini airodump-ng tetap mampu melakukan scanning terhadap

keberadaan Wireless AP yang sudah terkonfigurasi WPA2 Enterprise.

2. Aireplay-ng + Airodump-ng II

Aireplay-ng berhasil mengirimkan paket injeksi yang menyebabkan

client mengalami deauthentication pada Wireless AP WPA2

 118

Enterprise. Setelah client kembali melakukan koneksi, teknik

Airodump-ng II tetap dapat menangkap proses WPA Handshake

(Gambar 4.21) dan menuliskannya ke dalam file wpa2ent.cap ,

sehingga dapat diyakini bahwa file tersebut berisi data data mengenai

proses autentikasi. Padahal kenyataannya file tersebut tidak berisi data

data autentikasi WPA2 Enterprise. Airodump-ng hanya dapat men-

capture WPA Handshake untuk WPA/WPA2 PSK.

Gambar 4.21 Airodump-ng II pada XYZ Internal

3. Aircrack-ng, CoWPAtty, Gerix, John The Ripper

Aircrack-ng, CoWPAtty, Gerix, John The Ripper tidak dapat menebak

password ataupun isi yang ada pada file WPA2Ent.cap (Gambar 4.22).

Hal ini disebabkan karena Airodump-ng tidak dapat menangkap

keseluruhan proses authentikasi pada PEAP MSCHAP V2. Sehingga

tools serangan tersebut tidak dapat memecahkan kunci keamanan pada

PEAP MSCHAP V2. Berikut ini adalah tampilan hasil crack ke-4 tools

serangan terhadap PEAP MSCHAP V2

 119

Gambar 4.22 Aircrack-ng pada XYZ Internal

Gambar 4.23 Cowpatty pada XYZ Internal

Gambar 4.24 Gerix pada XYZ Internal

Catatan untuk John The Ripper adalah tool ini akan terus menerus

melakukan percobaan password hingga waktu yang tidak bisa

ditentukan, dalam arti waktu yang dibutuhkan tidak tertabatas. Hal ini
 120

dikarenakan John The Ripper menggunakan teknik Brute Force yang

tidak bergantung kepada list password seperti pada Dictionary Attack

Dari ketiga uji coba tersebut hasilnya adalah password tidak ditemukan.

Kendatipun passwordnya memang ada pada list tersebut, namun tetap saja tidak

dapat ditemukan. Hal ini disebabkan oleh karena Airodump-ng hanya dapat men-

capture proses handshake yang berisi proses autentikasi password antara client

dengan Wireless AP. Proses autentikasi berupa username dan password yang

terjadi antara client Wireless AP RADIUS Active Directory tidak dapat

tertangkap oleh Airodump-ng. Otomatis Aircrack-ng sebagai password cracker

tidak dapat memecahkan enkripsi PSK yang ada di dalam file hasil capture

Airodump-ng.

Selain tools dan metode di atas, juga dilakukan metode serangan lain yang

dapat digunakan untuk menguji keamanan PEAP MSCHAP V2. Metode yang

digunakan adalah menerapkan serangan menggunakan Honeypot. Tools untuk

Honeypot ini adalah FreeRadius-WPE. Serangan menggunakan Honeypot ini pada

dasarnya adalah serangan yang menggunakan teori man in the middle attack, yaitu

menyiapkan sebuah Wireless AP palsu yang digunakan untuk menyadap proses

autentikasi yang dilakukan oleh Wireless Client ke Authenticator. Pada saat User

Internal berasosiasi dengan Wireless AP yang palsu, secara tidak sadar dia akan

menganggap bahwa Wireless AP yang hendak diasosiasikan adalah benar,

sehingga user akan memasukkan username dan password. Proses autentikasi

Wireless Client sudah dienkripsi, oleh karena itu teknik Honeypot ini juga

membutuhkan tools lain sebagai password cracker, tools yang dapat digunakan

adalah Asleap.
 121

Berikut ini adalah langkah langkah metode Honeypot :

1. Konfigurasi Wireless AP yang disetting dengan SSID dan mekanisme

keamanan yang sama dengan target serangan, yaitu SSID XYZ Internal

dan mekanisme keamanan WPA2 Enterprise. Kemudian Wireless AP

tersebut disambungkan ke Laptop penyerang yang di dalamnya sudah

terinstal FreeRadius-WPE

Gambar 4.25 FreeRadius-WPE

2. Konfigurasi FreeRadius-WPE pada file eap.conf dan client.conf

File eap.conf berisi konfigurasi mengenai setting EAP pada FreeRadius-

WPE. Pastikan default_eap_type = peap.

 122

Gambar 4.26 Konfigurasi file eap.conf

File client.conf berisi konfigurasi yang membatasi client mana saja yang

boleh terkoneksi ke FreeRadius-WPE

Gambar 4.27 Konfigurasi file client.conf

 123

3. Test koneksi Wireless Client ke Wireless AP palsu

Serangan menggunakan honeypot ini bersifat pasif, yang artinya si

penyerang harus menunggu target serangan terkoneksi ke Wireless AP

palsu. Pada saat Wireless client mencoba untuk koneksi ke Wireless AP

palsu, kolom username dan password akan muncul seperti biasa.

Gambar 4.28 Kolom username dan password pada Wireless AP palsu

4. Crack password menggunakan tool Asleap

Pada saat Wireless Client sudah memasukkan username dan password ke

Wireless AP palsu, username dan password akan tertangkap oleh

FreeRadius-WPE. Namun hanya password yang tetap terenkripsi. Berikut

tampilan file log FreeRadius-WPE

Gambar 4.29 File Log FreeRadius-WPE

Pada Gambar 4.29 Terlihat username yang berhasil tercapture dan

password yang terenkripsi pada bagian response.

Setelah berhasil mengcapture username dalam bentuk plaint text dan

password dalam bentuk terenkripsi, penulis menggunakan tools Asleap

 124

untuk melakukan cracking pada password tersebut. Berikut hasil cracking

password

Gambar 4.30 Proses kerja Asleap

Dengan menggunakan tools Asleap dapat terdekripsi password yang

digunakan untuk melakukan koneksi dengan mekanisme PEAP MSCHAP

V2.

Proses cracking Asleap menggunakan metode Dictionary Attack sama

seperti yang digunakan oleh Aircrack-ng. Pada bagian NT Hash sederet

angkat tersebut berubah ubah selama proses dekripsi password. Dengan

demikian keberhasilan ditentukan oleh ada atau tidaknya password dalam

list password. Namun perbedaan yang paling mendasar adalah, Aircrack-

ng tidak membutuhkan tools lain dalam melakukan capturing handshake

(autentikasi), cukup dengan 1 buah laptop sudah dapat melakukan

capturing.

Lain halnya dengan Asleap. Asleap membutuhkan 1 buah Wireless AP

untuk melakukan proses capturing, tujuannya dalah untuk menjebak target

terkoneksi ke Server yang salah.

 125

Asleap tidak menampilkan hasil dalam bentuk waktu. Untuk itu perlu

digunakan alat bantu seperti stop watch untuk menghitung lama waktu

proses cracking secara manual.

4.6 Evaluasi Perancangan XYZ Visitor dengan Captive Portal

Firewall

Pada tahap ini akan dievaluasi penerapan XYZ Visitor. Evaluasi

diperlukan untuk mengetahui apakah tujuan tujuan penerapan XYZ Visitor

sudah tercapai. Berikut ini adalah kriteria evaluasi :

1. Koneksi Internet Laptop External

Pada saat user mengakses XYZ Visitor akan muncul notifikasi untuk

menambahkan username dan password untuk autentikasi. Atau pada saat

memanggil sebuah alamat website pada browser, tampilan website akan

di-redirect ke halaman login Captive Portal seperti gambar berikut ini :

Gambar 4.31 Tampilan Login Portal pfSense

 126

User cukup memasukkan username dan password untuk dapat mengakses

jaringan Internet. Username yang disiapkan adalah guest. Setelah

username dan password dikenali oleh server, maka halaman website akan

kembali di-redirect ke halaman yang akan dituju sebelumnya.

2. Monitoring User External

pfSense memiliki fitur untuk memonitoring status user yang melakukan

otentikasi via Captive Portal. Dengan fitur ini dapat diketahui IP Address,

Username, MAC Address, waktu mulai koneksi, dan waktu berhenti

koneksi.

Gambar 4.32 Monitoring Status Captive Portal

3. Blok Akses Laptop External menuju Jaringan Internal

Sesuai tujuan penelitian ini, bahwa perlu dilakukannya pemisahan koneksi

Wireless LAN user internal dengan user external, berikut hasil ping dari

user external ke jaringan internal :

Gambar 4.33 Ping dari User External Menuju Jaringan Internal dan

Internet
 127

Pada saat user external ingin masuk ke dalam jaringan Internal, akses

pengecekan melalui Ping sudah berhasil di-block. Begitu juga ketika ingin

masuk ke dalam sebuah server / PC melalui mekanisme file / folder

sharing tidak bisa dilakukan. Hasilnya seperti gambar berikut :

Gambar 4.34 Percobaan akses dari user External menuju File / Folder

Jaringan Internal

4. Uji Serangan menggunakan serangan Wireless LAN WPA2 PSK

Uji serangan pada Wireless LAN XYZ Visitor sama seperti uji

serangan pada WPA2 PSK, menggunakan tool Airodump-ng, Aireplay-ng,

dan Aircrack-ng. Hasilnya adalah Airodump-ng tidak berhasil menangkap

proses Handshake. Hal ini dikarenakan memang secara security di

Wireless AP tidak diberikan mekanisme keamanan apa apa, hanya

dibiarkan terbuka (open authentication). Sehingga demikian, airodump-ng

tidak menangkap proses Handshaking apa pun. Jika pun diberikan

tambahan keamanan seperti WPA2 PSK, tentu akan lebih aman, namun

tetap saja Aircrack-ng hanya dapat menemukan password WPA2 PSK,

tidak username dan password yang diinputkan oleh user external ke dalam

Captive Portal.

Ketika ada seseorang yang tidak berhak masuk ke dalam Wireless

LAN XYZ Visitor, dia harus mengetahui username dan password Captive

Portal.
 128

4.7. Tabel Perbandingan WPA2 PSK, WPA2 Enterprise, dan

Captive Portal Firewall

Pada sub bab ini akan dirangkumkan mengenai hasil evaluasi penerapan

pada uji serangan WPA2-PSK, WPA2 Enterprise, dan Captive Portal pfSense.

Tabel 4.3 Perbandingan WPA2 PSK, PEAP MSCHAP V2, dan Captive

Portal Firewall

PerbandinganKeberhasilanTools
Captive
PEAP Portal
ToolsSerangan WPA2PSK MSCHAPV2 Firewall
AirodumpngI Ya Ya Ya
AirodumpngII Ya ~ ~
Aireplayng Ya Ya Ya
Aircrackng Ya ~ ~
CoWPAtty Ya ~ ~
Gerix Ya ~ ~
JohnTheRipper Ya ~ ~
Asleap* ~ Ya ~

Pada tabel di atas terlihat bahwa 7 tools uji serangan yang dicoba untuk

WPA2 PSK dapat berjalan dengan baik, kecuali Asleap yang memang

dikhususkan untuk serangan PEAP MSCHAP V2. Jika tools Airodump-ng II tidak

berhasil, maka proses cracking akan terhenti dan tidak berhasil. Terbukti pada

PEAP MSCHAP V2 Airodump II tidak berhasil menangkap proses 4-way-

handshaking, sehingga gagal pula Aircrack-ng, Cowpatty, Gerix, dan John The

Ripper melakukan tugasnya. Begitu juga dengan Captive Portal Firewall yang

mengalami hasil yang sama. Perbedaannya adalah pada PEAP MSCHAP V2

proses 4-way-handshaking tidak tertangkap username / password backend Active

Directory dan sertifikat digital. Sedangkan pada Captive Portal Firewall memang
 129

otentikasi pada Wireless AP sengaja dibuka, karena sudah ada fasilitas username /

password pada halaman login Portal. Hanya tools Asleap yang dapat melakukan

serangan pada PEAP MSCHAP V2, karena tools ini memang dikhususkan untuk

serangan pada protocol PEAP MSCHAP V2.

Dari tabel 4.3 dapat disimpulkan bahwa metode serangan Standard WPA2-

PSK dengan 5 tools, Airodump-ng II, Aircrack-ng, Gerix, Cowpatty, dan John

The Ripper tidak dapat digunakan untuk melakukan serangan terhadap PEAP

MSCHAP V2 dan Captive Portal. Oleh karena itu diperlukan sebuah metode

serangan tersendiri bagi PEAP MSCHAP V2 dan Captive Portal.

4.8. Perubahan Policy PT XYZ

Penelitian ini didasari dari kebutuhan kebutuhan yang ada salah satunya

adalah policy keamanan jaringan Wifi pada PT XYZ, namun demikian

berdasarkan hasil yang dicapai pada penelitian ini, ada sedikit rekomendasi

perubahan pada policy PT XYZ mengacu pada policy yang sudah ada yang

dicantumkan pada BAB 3. Perubahan pada policy dibawah ini ditandai dengan

kalimat yang dibuat italic.

Policy Keamanan Wireless LAN pada PT. XYZ adalah sebagai berikut :

1. Jaringan yang akan dipakai oleh user internal terpisah dengan jaringan

yang akan disediakan bagi tamu / user external. Standard SSID jaringan

internal adalah XYZ Internal dan standard SSID jaringan external adalah

XYZ Visitor. Pihak MIS tidak bertanggung jawab terhadap konsekuensi

yang terjadi di luar dari penggunaan 2 SSID tersebut.

 130

2. SSID XYZ Visitor untuk tamu / user external akan diproteksi dengan

Captive Portal dengan meminta tamu / user external mengisi kolom Login

Name dan password untuk akses internet.

3. Login Name dan password yang akan digunakan oleh user internal untuk

akses internet adalah username dan password domain (username dan

password login komputer). User internal tidak diperkenankan untuk

memberitahukan username dan password domain kepada tamu / user

external / internal lain dengan alasan apapun.

4. Selain Login Name dan Password yang digunakan oleh user internal

untuk akses internet adalah setiap device client harus diinstal sertifikat

digital dan dikonfigurasi WPA2 Enterprise pada Wireless Network oleh

MIS.

5. Login Name dan password yang akan digunakan oleh tamu / user external

akan ditentukan oleh MIS, yang mana akan selalu direset kembali di hari

kerja berikutnya (H+1) setelah Login Name dan password tersebut

digunakan oleh tamu / user external.

6. Seluruh aktifitas user yang terkoneksi menggunakan jaringan WiFi akan

dicatat (logging) secara otomatis oleh MIS, dan direkap oleh MIS,

khususnya untuk pemakaian oleh tamu / user external.

7. MIS akan melakukan filtering terhadap akses ke website yang

mengandung pornografi, social networks, dan Trojan Horse. Filtering ini

akan diupdate oleh MIS secara rutin setiap sebulan sekali atau tiap kali ada

perkembangan atau informasi baru.

 131

8. User tidak diperkenankan untuk melakukan konfigurasi atau usaha

pembobolan, pencurian data (sniffing) akses WiFi untuk keperluan

apapun.