permasalahan dan solusi dengan beberapa kasus yang sama, hingga diketahui
melalui observasi dan wawancara terhadap pihak terkait pada perusahaan sejenis
yang memiliki kasus yang mirip, serta melakukan studi literature mengenai
tinjauan pustaka yang berhubungan dengan penelitian ini melalui jurnal, laporan
kumpulkan. Data tersebut diperoleh dari hasil observasi dan wawancara dapat
96
97
mengakses - Pemisahan
Wireless LAN jalur Wireless
dari satu jalur LAN
Network menggunaka
n teknik
VLAN
Penerapan - Media - Port Based - Active Directory NPS
Enterprise WIFI transmisi Network Server, PEAP
Menggunakan meggunakan Access MSCHAP V2, Active
Port Based gelombang Controll Directory Certificate
Network Access radio (802.1x) Services, Digital
Control (Ameen, - Isu mengenai - PEAP Certificate
2012) Authentication MSCHAP V2
,
Authorization,
dan
Accounting
PT XYZ - WPA2 PSK - PEAP - Active Directory, NPS
mudah MSCHAP V2 Server, Digital
diserang - Pemisahan Certificate, Active
hanya dalam jalur Wireless Directory Certificate
hitungan LAN dengan Services, PEAP
menit. penambahan MSCHAP V2, dan
- User External Firewall pada Captive Portal Firewall
mengakses Captive
Wireless Portal
LAN dari
satu jalur
Network
98
Dilihat dari tabel 4.1 di atas bahwa PT Astel memiliki permasalahan sejenis
yang sama. Oleh karena itu tim IT PT Astel mencoba mengembangkan system
keamanan Wireless LAN dengan memisahkan jalur Network antara User External
dan User Internal menggunakan VLAN yang memang sudah ada pada
username dan password yang sudah ada pada database Active Directory melalui
autentikasi server NPS sebagai RADIUS Server dan membuat sebuah halaman
yang ada adalah kekhawatiran akan media transmisi Wireless LAN yang bersifat
terbuka dan memungkinkan orang lain mengakses jaringan internal dengan mudah
jika tidak dilindung, terutama penerapan pada lingkup Enterprise yang mana
terdapat aset yang dianggap rahasia yang tidak boleh bocor keluar, kemudian
Wireless LAN dengan Port based Network Access Control berdasarkan standard
MSCHAP V2.
99
Services untuk mengeluaran sertifikat digital yang diinstal pada NPS Server agar
Dari percobaan serangan yang sudah dilakukan pada BAB 3 dapat dilihat
Ripper) yang diujicobakan. Tools Aircrack-ng, Cowpatty, Gerix, dan John The
Ripper tidak bisa bekerja sendirian, namun bergantung kepada proses proses
client melakukan proses autentikasi, maka proses WPA Handshake akan dengan
Aireplay-ng yang dapat memaksa client yang memang sudah bergabung dengan
password itu sendiri. Semakin complicated password, maka semakin kecil pula
semakin complicated password, maka semakin tinggi pula effort user untuk
daftar kata, maka dengan menggunakan teknik Brute Force keberhasilannya dapat
dikatakan 100%. Hanya teknik ini memakan waktu lebih lama. Lamanya waktu
Pada WPA2 PSK tidak adanya proses mutual autentikasi. Sehingga laptop
atau device apapun dan siapapun yang memiliki kemampuan Wireless dapat
menerapkan mutual autentikasi, hanya laptop/device dan user yang berhak saja
access point dapat dibedakan untuk 3 tujuan, yaitu voice data, internal
user, dan guest. Dalam hal ini tidak menggunakan komunikasi voice
101
berbasis IP, maka voice data dapat diabaikan. Sehingga SSID yang dapat
User yang terkoneksi ke dalam SSID internal dapat mengakses tidak hanya
dikarenakan tidak ada kompatibilitas dengan server PfSense, maka dari itu
2. Active Directory
3. PKI
penerapan Ceritificate pada server dan client, sehingga hanya user user
internal.
102
pada perusahaan.
Kebutuhan Solusi
Pengguna membutuhkan SSID yang Standarisasi SSID di lingkungan
dapat dikenali dengan mudah perusahaan dengan membuat 2 buah
SSID, yaitu XYZ-Internal dan
XYZ-Visitor
Pengendalian dan Monitoring Pengelolaan Wireless LAN dengan
Akses pengendalian akses dimana hanya
pengguna yang berhak yang dapat
mengakses jaringan. Setiap pengguna
jaringan nirkabel akan dapat
termonitor pada saat terkoneksi ke
dalam Wireless LAN.
Tidak perlu menyediakan atau Menggunakan akun yang sudah ada
melayani pendaftaran akun bagi pada server Active Directory
pengguna dari unit kerja lain
Kebutuhan Infrastruktur Wireless Penerapan 2 SSID untuk Internal
LAN yang dapat memisahkan antara dan External dengan memanfaatkan
pengguna External dan Internal. Firewall pada Captive Portal
sehingga pengguna External tidak
dapat masuk ke dalam jaringan
Internal
Keamanan Enkripsi proses autentikasi.
Enkripsi proses komunikasi data.
Penerapan WPA2-Enterprise
berbasis PEAP-MSCHAP V2 dan
103
MSCHAP V2 dan Firewall Captive Portal dengan SSID standard yaitu XYZ-
Internal untuk kebutuhan user internal dan XYZ-Visitor untuk kebutuhan user
external.
MSCHAP V2
Wireless LAN karena adanya penambahan Server NPS dan Active Directory
Certificate Services.
Internal
104
MSCHAP V2. Berikut ini adalah diagram alur dari proses autentikasi PEAP
MSCHAP V2 :
Client dan Wireless AP yang memanfaatkan NPS Server untuk melakukan proses
2. EAP-Response/Identity
NPS Server berupa RADIUS Access Request. Berikut hasil capture proses
EAP-Resonse/Identity :
Pada tahap ini NPS Server akan mengirimkan sebuah pesan RADIUS
Pada gambar 4.4 Terlihat paket tersebut adalah paket request dari NPS
adalah PEAP
EAP yang digunakan. Hal ini dikenal dengan nama pengiriman paket
Telihat pada gambar 4.5 Adalah paket EAP dengan code Response dari
berisi pesan EAP Request dengan jenis EAP yang digunakan pada PEAP
dan berisi rangkain server hello, sertifikat dari NPS Server, dan berisi
Pada gambar terlihat paket tersebut adalah paket request dari server,
tersebut ke NPS Server. Selanjutnya paket yang akan dikirim adalah client
key exchange dan change cipher spec. Berikut hasil capture paket tersebut
Pada gambar 4.7 Terlihat paket tersebut adalah paket EAP Response dari
Wireless Client yang berisi paket client key exchange dan paket change
cipher spec.
Paket EAP Request yang berisi sebuah pesan EAP Request yang berisi
cipher suite dan sebuah indikasi yang menyatakan pertukaran pesan pada
8. EAP-Success
NPS Server memperoleh unicast session key dari proses autentikasi TLS.
Pada tahap ini jalur TLS telah terbentuk dan siap digunakan untuk tahap
berikutnya.
Client. Kedua node telah saling menentukan kunci enkripsi untuk jalur TLS
menggunakan Public Key, dan bukan password. Semua rangkaian pesan EAP
Pada tahap kedua ini, hasil paket data yang di-capture tidak dapat dilihat
secara clear text, karena paket paket tersebut sudah berada pada jalur
terenkripsi.
111
Server
Wireless Client
V2 NPS Server
112
V2 Wireless Client
NPS Server
V2 Wireless Client
Akhir dari proses saling ini adalah Wireless Client dan NPS Server dapat
Laptop External adalah laptop yang tidak terdaftar dalam domain xyz.com.
Semua laptop yang diberikan kepada karyawan PT XYZ harus melalui proses join
114
memasukkan user name dan password. Prosedur ini sama untuk penerapan pada
Laptop Internal.
External, maka akses masuknya akan ditolak, meskipun username dan password
yang dimasukkan terdaftar dalam database domain xyz.com. Hal ini dikarenakan
Laptop External tersebut tidak memiliki sertifikat digital yang dibutuhkan sebagai
syarat untuk terkoneksi ke dalam XYZ-Internal. Gambar 4.17 dan 4.18 adalah
terlebih dahulu username dan password, sama seperti pada Gambar 4.11. User
cukup memasukkan username dan password sesuai dengan username yang mereka
fungsi NPS Server yang memiliki fitur Monitoring. Untuk memanfaatkan fitur ini
cukup dengan membuka log file NPS Server. Namun tampilan log file NPS
Server terlihat sulit dibaca. Untuk itu perlu adanya software tambahan untuk
membaca file log NPS Server. Software yang penulis gunakan di sini adalah IAS
Pada Gambar 4.20 Terlihat beberapa username yang diwarnai merah. Ini
menandakan bahwa username tersebut tidak berhak masuk ke Wireless LAN XYZ
Internal. Alasannya antara lain username yang tidak terdaftar atau username
yang sama dengan pengujian serangan WPA2 PSK. Tujuannya adalah untuk
sebelumnya.
Dalam pengujian ini metode dan tools pengujiannya dibuat sama, yaitu
1. Airodump-ng I
2. Aireplay-ng + Airodump-ng II
sehingga dapat diyakini bahwa file tersebut berisi data data mengenai
password ataupun isi yang ada pada file WPA2Ent.cap (Gambar 4.22).
PEAP MSCHAP V2. Berikut ini adalah tampilan hasil crack ke-4 tools
Catatan untuk John The Ripper adalah tool ini akan terus menerus
ditentukan, dalam arti waktu yang dibutuhkan tidak tertabatas. Hal ini
120
Dari ketiga uji coba tersebut hasilnya adalah password tidak ditemukan.
Kendatipun passwordnya memang ada pada list tersebut, namun tetap saja tidak
dapat ditemukan. Hal ini disebabkan oleh karena Airodump-ng hanya dapat men-
capture proses handshake yang berisi proses autentikasi password antara client
dengan Wireless AP. Proses autentikasi berupa username dan password yang
tidak dapat memecahkan enkripsi PSK yang ada di dalam file hasil capture
Airodump-ng.
Selain tools dan metode di atas, juga dilakukan metode serangan lain yang
dapat digunakan untuk menguji keamanan PEAP MSCHAP V2. Metode yang
dasarnya adalah serangan yang menggunakan teori man in the middle attack, yaitu
autentikasi yang dilakukan oleh Wireless Client ke Authenticator. Pada saat User
Internal berasosiasi dengan Wireless AP yang palsu, secara tidak sadar dia akan
Wireless Client sudah dienkripsi, oleh karena itu teknik Honeypot ini juga
membutuhkan tools lain sebagai password cracker, tools yang dapat digunakan
adalah Asleap.
121
keamanan yang sama dengan target serangan, yaitu SSID XYZ Internal
terinstal FreeRadius-WPE
File client.conf berisi konfigurasi yang membatasi client mana saja yang
password
V2.
capturing.
Asleap tidak menampilkan hasil dalam bentuk waktu. Untuk itu perlu
digunakan alat bantu seperti stop watch untuk menghitung lama waktu
Firewall
Pada saat user mengakses XYZ Visitor akan muncul notifikasi untuk
username dan password dikenali oleh server, maka halaman website akan
otentikasi via Captive Portal. Dengan fitur ini dapat diketahui IP Address,
koneksi.
Wireless LAN user internal dengan user external, berikut hasil ping dari
Gambar 4.33 Ping dari User External Menuju Jaringan Internal dan
Internet
127
Pada saat user external ingin masuk ke dalam jaringan Internal, akses
pengecekan melalui Ping sudah berhasil di-block. Begitu juga ketika ingin
Gambar 4.34 Percobaan akses dari user External menuju File / Folder
Jaringan Internal
Uji serangan pada Wireless LAN XYZ Visitor sama seperti uji
tambahan keamanan seperti WPA2 PSK, tentu akan lebih aman, namun
tidak username dan password yang diinputkan oleh user external ke dalam
Captive Portal.
LAN XYZ Visitor, dia harus mengetahui username dan password Captive
Portal.
128
Pada sub bab ini akan dirangkumkan mengenai hasil evaluasi penerapan
pada uji serangan WPA2-PSK, WPA2 Enterprise, dan Captive Portal pfSense.
Tabel 4.3 Perbandingan WPA2 PSK, PEAP MSCHAP V2, dan Captive
Portal Firewall
PerbandinganKeberhasilanTools
Captive
PEAP Portal
ToolsSerangan WPA2PSK MSCHAPV2 Firewall
AirodumpngI Ya Ya Ya
AirodumpngII Ya ~ ~
Aireplayng Ya Ya Ya
Aircrackng Ya ~ ~
CoWPAtty Ya ~ ~
Gerix Ya ~ ~
JohnTheRipper Ya ~ ~
Asleap* ~ Ya ~
Pada tabel di atas terlihat bahwa 7 tools uji serangan yang dicoba untuk
WPA2 PSK dapat berjalan dengan baik, kecuali Asleap yang memang
dikhususkan untuk serangan PEAP MSCHAP V2. Jika tools Airodump-ng II tidak
berhasil, maka proses cracking akan terhenti dan tidak berhasil. Terbukti pada
handshaking, sehingga gagal pula Aircrack-ng, Cowpatty, Gerix, dan John The
Ripper melakukan tugasnya. Begitu juga dengan Captive Portal Firewall yang
Directory dan sertifikat digital. Sedangkan pada Captive Portal Firewall memang
129
otentikasi pada Wireless AP sengaja dibuka, karena sudah ada fasilitas username /
password pada halaman login Portal. Hanya tools Asleap yang dapat melakukan
serangan pada PEAP MSCHAP V2, karena tools ini memang dikhususkan untuk
Dari tabel 4.3 dapat disimpulkan bahwa metode serangan Standard WPA2-
PSK dengan 5 tools, Airodump-ng II, Aircrack-ng, Gerix, Cowpatty, dan John
The Ripper tidak dapat digunakan untuk melakukan serangan terhadap PEAP
MSCHAP V2 dan Captive Portal. Oleh karena itu diperlukan sebuah metode
Penelitian ini didasari dari kebutuhan kebutuhan yang ada salah satunya
berdasarkan hasil yang dicapai pada penelitian ini, ada sedikit rekomendasi
perubahan pada policy PT XYZ mengacu pada policy yang sudah ada yang
dicantumkan pada BAB 3. Perubahan pada policy dibawah ini ditandai dengan
Policy Keamanan Wireless LAN pada PT. XYZ adalah sebagai berikut :
1. Jaringan yang akan dipakai oleh user internal terpisah dengan jaringan
yang akan disediakan bagi tamu / user external. Standard SSID jaringan
internal adalah XYZ Internal dan standard SSID jaringan external adalah
2. SSID XYZ Visitor untuk tamu / user external akan diproteksi dengan
Captive Portal dengan meminta tamu / user external mengisi kolom Login
3. Login Name dan password yang akan digunakan oleh user internal untuk
4. Selain Login Name dan Password yang digunakan oleh user internal
untuk akses internet adalah setiap device client harus diinstal sertifikat
MIS.
5. Login Name dan password yang akan digunakan oleh tamu / user external
akan ditentukan oleh MIS, yang mana akan selalu direset kembali di hari
dicatat (logging) secara otomatis oleh MIS, dan direkap oleh MIS,
akan diupdate oleh MIS secara rutin setiap sebulan sekali atau tiap kali ada
apapun.