LAN Security Concepts and Wlan Concepts

byMutiara - 0 تعليقات

 LAN Security Concepts 

Selamat datang di Konsep Keamanan LAN!

Jika jalur karier Anda di bidang TI, Anda tidak hanya akan membangun atau memelihara jaringan. Anda akan bertanggung jawab atas keamanan jaringan Anda. Ini adalah prioritas utama!  Bahkan, banyak orang di bidang TI sekarang bekerja secara eksklusif di bidang keamanan jaringan 

Network Attacks Today

  • Distributed Denial of Service (DDoS)  – Ini adalah serangan terkoordinasi dari banyak perangkat, yang disebut zombie, dengan tujuan menurunkan atau menghentikan akses publik ke situs web dan sumber daya organisasi

  •  Data Breach – Ini adalah serangan di mana server data atau host organisasi dikompromikan untuk mencuri informasi rahasia        
                  
  • Malware – Ini adalah serangan di mana host organisasi terinfeksi dengan perangkat lunak berbahaya yang menyebabkan berbagai masalah. Misalnya, ransomware seperti WannaCry, yang ditunjukkan pada gambar, mengenkripsi data pada host dan mengunci akses ke sana sampai uang tebusan dibayarkan                              

Network Security Devices

Berbagai perangkat keamanan jaringan diperlukan untuk melindungi perimeter jaringan dari akses luar. Perangkat ini dapat mencakup router berkemampuan jaringan pribadi virtual (VPN), firewall generasi berikutnya (NGFW), dan Network Access Control (NAC)
Router berkemampuan VPN menyediakan koneksi aman ke pengguna jarak jauh di seluruh jaringan publik dan ke jaringan perusahaan. Layanan VPN dapat diintegrasikan ke dalam firewall




NGFW menyediakan inspeksi paket stateful, visibilitas dan kontrol aplikasi, sistem pencegahan intrusi generasi berikutnya (NGIPS), perlindungan malware tingkat lanjut (AMP), dan pemfilteran URL

 


Perangkat NAC mencakup layanan otentikasi, otorisasi, dan akuntansi (AAA). Di perusahaan besar, layanan ini dapat dimasukkan ke dalam alat yang dapat mengelola kebijakan akses di berbagai pengguna dan jenis perangkat. Cisco Identity Services Engine (ISE) adalah contoh perangkat NAC


 

Endpoint Protection

Endpoint adalah host yang biasanya terdiri dari laptop, desktop, server, dan telepon IP, serta perangkat milik karyawan yang biasanya disebut sebagai bring your own devices (BYODs). Titik akhir sangat rentan terhadap serangan terkait malware yang berasal dari email atau penjelajahan web. Titik akhir ini biasanya menggunakan fitur keamanan berbasis host tradisional, seperti antivirus/antimalware, firewall berbasis host, dan sistem pencegahan intrusi berbasis host (HIPS). Namun, endpoint saat ini paling baik dilindungi oleh kombinasi NAC, software AMP berbasis host, appliance keamanan email (ESA), dan appliance keamanan web (WSA). Produk Advanced Malware Protection (AMP) mencakup solusi endpoint seperti Cisco AMP for Endpoints.

Cisco Email Security Appliance

Cisco ESA adalah perangkat yang dirancang untuk memantau Simple Mail Transfer Protocol (SMTP). Cisco ESA terus diperbarui oleh umpan real-time dari Cisco Talos, yang mendeteksi dan menghubungkan ancaman dan solusi dengan menggunakan sistem pemantauan basis data di seluruh dunia. Data intelijen ancaman ini ditarik oleh Cisco ESA setiap tiga hingga lima menit. Ini adalah beberapa fungsi dari Cisco ESA:

  • Blokir ancaman yang diketahui
  • Remediasi terhadap malware siluman yang menghindari deteksi awal
  • Buang email dengan tautan buruk (seperti yang ditunjukkan pada gambar)
  • Blokir akses ke situs yang baru terinfeksi
  • Enkripsi konten dalam email keluar untuk mencegah kehilangan data 

Cisco Web Security Appliance

Cisco Web Security Appliance (WSA) adalah teknologi mitigasi untuk ancaman berbasis web. Ini membantu organisasi mengatasi tantangan mengamankan dan mengendalikan lalu lintas web. Cisco WSA menggabungkan perlindungan malware tingkat lanjut, visibilitas dan kontrol aplikasi, kontrol kebijakan penggunaan yang dapat diterima, dan pelaporan.

Cisco WSA memberikan kontrol penuh atas bagaimana pengguna mengakses internet. Fitur dan aplikasi tertentu, seperti obrolan, pesan, video, dan audio, dapat diizinkan, dibatasi dengan batas waktu dan bandwidth, atau diblokir, sesuai dengan persyaratan organisasi. WSA dapat melakukan daftar hitam URL, penyaringan URL, pemindaian malware, kategorisasi URL, penyaringan aplikasi Web, dan enkripsi dan dekripsi lalu lintas web

Control Access

Banyak jenis otentikasi dapat dilakukan pada perangkat jaringan, dan setiap metode menawarkan berbagai tingkat keamanan. Metode paling sederhana otentikasi akses jarak jauh adalah mengkonfigurasi kombinasi login dan kata sandi pada konsol, baris vty, dan port aux, seperti yang ditunjukkan pada baris vty dalam contoh berikut. Metode ini adalah yang paling mudah diterapkan, tetapi juga yang paling lemah dan paling tidak aman. Metode ini tidak memberikan akuntabilitas dan kata sandi dikirim dalam teks biasa. Siapa pun yang memiliki kata sandi dapat mengakses perangkat

R1(config)# line vty 0 4 R1(config-line)# password ci5c0 R1(config-line)# login

SSH adalah bentuk akses jarak jauh yang lebih aman:

  • Ini membutuhkan nama pengguna dan kata sandi, yang keduanya dienkripsi selama transmisi.
  • Nama pengguna dan kata sandi dapat diautentikasi dengan metode database lokal.
  • Ini memberikan lebih banyak akuntabilitas karena nama pengguna dicatat ketika pengguna masuk.

Contoh berikut menggambarkan SSH dan metode database lokal akses jarak jauh

R1(config)# ip domain-name example.com R1(config)# crypto key generate rsa general-keys modulus 2048 R1(config)# username Admin secret Str0ng3rPa55w0rd R1(config)# ip ssh version 2 R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login local

Metode database lokal memiliki beberapa keterbatasan:

  • Akun pengguna harus dikonfigurasi secara lokal di setiap perangkat. Dalam lingkungan perusahaan besar dengan beberapa router dan switch untuk dikelola, diperlukan waktu untuk menerapkan dan mengubah database lokal di setiap perangkat.
  • Konfigurasi database lokal tidak menyediakan metode otentikasi fallback. Misalnya, bagaimana jika administrator lupa nama pengguna dan sandi untuk perangkat tersebut? Tanpa metode cadangan yang tersedia untuk otentikasi, pemulihan kata sandi menjadi satu-satunya pilihan.

Solusi yang lebih baik adalah meminta semua perangkat merujuk ke basis data nama pengguna dan kata sandi yang sama dari server pusat

Komponen AAA

AAA adalah singkatan Otentikasi, otorisasi, dan akuntansi. AAA menyediakan kerangka kerja utama untuk mengatur kontrol akses pada perangkat jaringan. AAA adalah cara untuk mengontrol siapa yang diizinkan untuk mengakses jaringan (mengautentikasi), apa yang dapat mereka lakukan saat berada di sana (mengotorisasi), dan untuk mengaudit tindakan apa yang mereka lakukan saat mengakses jaringan (akuntansi) 

Autentikasi AAA Lokal

AAA lokal menyimpan nama pengguna dan kata sandi secara lokal di perangkat jaringan seperti router Cisco. Pengguna mengotentikasi terhadap database lokal, seperti yang ditunjukkan pada gambar. AAA lokal sangat ideal untuk jaringan keci

1. Klien membuat koneksi dengan router.

2. Router AAA meminta pengguna untuk nama pengguna dan kata sandi

3. Router mengotentikasi nama pengguna dan kata sandi menggunakan database lokal dan pengguna diberikan akses ke jaringan berdasarkan informasi dalam database

Autentikasi AAA Berbasis Server

Dengan metode berbasis server, router mengakses server AAA pusat, seperti yang ditunjukkan pada gambar. Server AAA berisi nama pengguna dan kata sandi untuk semua pengguna. Router menggunakan protokol Remote Authentication Dial-In User Service (RADIUS) atau Terminal Access Controller Access Control System (TACACS+) untuk berkomunikasi dengan server AAA. Ketika ada beberapa router dan switch, AAA berbasis server lebih tepat

1. Klien membuat koneksi dengan router.

2. Router AAA meminta pengguna untuk nama pengguna dan kata sandi

3. Router mengotentikasi nama pengguna dan kata sandi menggunakan server AAA

4. Pengguna diberikan akses ke jaringan berdasarkan informasi di sever AAA jarak jauh

Otorisasi

Otorisasi AAA bersifat otomatis dan tidak mengharuskan pengguna melakukan langkah tambahan setelah autentikasi. Otorisasi mengatur apa yang dapat dan tidak dapat dilakukan pengguna di jaringan setelah mereka diautentikasi.

Otorisasi menggunakan serangkaian atribut yang menggambarkan akses pengguna ke jaringan

Akunting

Penggunaan utama akuntansi adalah menggabungkannya dengan otentikasi AAA. Server AAA menyimpan log terperinci tentang apa yang dilakukan pengguna yang diautentikasi pada perangkat, seperti yang ditunjukkan pada gambar. Ini termasuk semua perintah EXEC dan konfigurasi yang dikeluarkan oleh pengguna. Log berisi banyak bidang data, termasuk nama pengguna, tanggal dan waktu, dan perintah aktual yang dimasukkan oleh pengguna. Informasi ini berguna saat memecahkan masalah perangkat. Ini juga memberikan bukti ketika individu melakukan tindakan jahat

802.1x

Standar IEEE 802.1X adalah kontrol akses berbasis port dan protokol otentikasi. Protokol ini membatasi workstation yang tidak sah untuk terhubung ke LAN melalui port switch yang dapat diakses publik. Server otentikasi mengotentikasi setiap workstation yang terhubung ke port switch sebelum menyediakan layanan apa pun yang ditawarkan oleh switch atau LAN

Dengan otentikasi berbasis port 802.1X, perangkat dalam jaringan memiliki peran tertentu yaitu :

  • Client (Supplicant)  : Ini adalah perangkat yang menjalankan perangkat lunak klien yang sesuai dengan 802.1X, yang tersedia untuk perangkat kabel atau nirkabel.
  • Switch (Authenticator) : Switch bertindak sebagai perantara antara klien dan server otentikasi. Ini meminta mengidentifikasi informasi dari klien, memverifikasi informasi itu dengan server otentikasi, dan menyampaikan respons ke klien. Perangkat lain yang dapat bertindak sebagai authenticator adalah titik akses nirkabel.
  • Server otentikasi : Server memvalidasi identitas klien dan memberi tahu switch atau titik akses nirkabel bahwa klien berwenang atau tidak berwenang untuk mengakses LAN dan layanan switch

Layer 2 Vulnerabilities 

Administrator jaringan secara rutin menerapkan solusi keamanan untuk melindungi elemen di Layer 3 hingga Layer 7. Mereka menggunakan VPN, firewall, dan perangkat IPS untuk melindungi elemen-elemen ini. Namun, jika Layer 2 terganggu, maka semua layer di atasnya juga terpengaruh. Misalnya, jika aktor ancaman dengan akses ke jaringan internal menangkap frame Layer 2, maka semua keamanan yang diterapkan pada layer di atas tidak akan berguna. Aktor ancaman dapat menyebabkan banyak kerusakan pada infrastruktur jaringan LAN Layer 2

Model referensi OSI dibagi menjadi tujuh lapisan yang bekerja secara independen satu sama lain. fungsi-fungsi setiap lapisan dan elemen inti yang dapat dieksploitasi yaitu : 


Switch Attack Categories 

Langkah pertama dalam mengurangi serangan terhadap infrastruktur Layer 2 adalah memahami operasi yang mendasari Layer 2 dan ancaman yang ditimbulkan oleh infrastruktur Layer 2.

Serangan terhadap infrastruktur LAN Layer 2 dijelaskan dalam tabel dan dibahas secara lebih rinci nanti dalam modul ini

Layer 2 Attacks

Table caption
CategoryExamples
MAC Table AttacksIncludes MAC address flooding attacks.
VLAN AttacksIncludes VLAN hopping and VLAN double-tagging attacks. It also includes attacks between devices on a common VLAN.
DHCP AttacksIncludes DHCP starvation and DHCP spoofing attacks.
ARP AttacksIncludes ARP spoofing and ARP poisoning attacks.
Address Spoofing AttacksIncludes MAC address and IP address spoofing attacks.
STP AttacksIncludes Spanning Tree Protocol manipulation attacks.

Switch Attack Mitigation Techniques 

Layer 2 Attack Mitigation
Table caption
SolutionDescription
Port SecurityPrevents many types of attacks including MAC address flooding attacks and DHCP starvation attacks.
DHCP SnoopingPrevents DHCP starvation and DHCP spoofing attacks.
Dynamic ARP Inspection (DAI)Prevents ARP spoofing and ARP poisoning attacks.
IP Source Guard (IPSG)Prevents MAC and IP address spoofing attacks.

 Solusi Layer 2 ini tidak akan efektif jika protokol manajemen tidak diamankan. Misalnya, protokol manajemen Syslog, Simple Network Management Protocol (SNMP), Trivial File Transfer Protocol (TFTP), telnet, File Transfer Protocol (FTP) dan sebagian besar protokol umum lainnya tidak aman; Oleh karena itu, strategi berikut direkomendasikan:
  • Selalu gunakan varian aman dari protokol ini seperti SSH, Secure Copy Protocol (SCP), Secure FTP (SFTP), dan Secure Socket Layer/Transport Layer Security (SSL/TLS).
  • Pertimbangkan untuk menggunakan jaringan manajemen out-of-band untuk mengelola perangkat.
  • Gunakan VLAN manajemen khusus di mana tidak ada apa pun selain lalu lintas manajemen berada.
  • Gunakan ACL untuk memfilter akses yang tidak diinginkan

Tinjauan Operas Switch 

untuk membuat keputusan penerusan, switch LAN Layer 2 membangun tabel berdasarkan alamat MAC sumber dalam frame yang diterima. Ditunjukkan pada gambar, ini disebut tabel alamat MAC. Tabel alamat MAC disimpan dalam memori dan digunakan untuk meneruskan frame secara lebih efisien. 

S1# show mac address-table dynamic Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0001.9717.22e0 DYNAMIC Fa0/4 1 000a.f38e.74b3 DYNAMIC Fa0/1 1 0090.0c23.ceca DYNAMIC Fa0/3 1 00d0.ba07.8499 DYNAMIC Fa0/2 S1#

VLAN Hopping Attacks

Serangan VLAN hopping memungkinkan lalu lintas dari satu VLAN dilihat oleh VLAN lain tanpa bantuan router. Dalam serangan VLAN hopping dasar, aktor ancaman mengonfigurasi host untuk bertindak seperti switch untuk memanfaatkan fitur port trunking otomatis yang diaktifkan secara default pada sebagian besar port switch

VLAN Double - Tagging Attacks 

contoh double tagging attacks : 

 Langkah 1 : Aktor ancaman mengirimkan bingkai 802.1Q yang diberi tag ganda ke sakelar. Header luar memiliki tag VLAN dari aktor ancaman, yang sama dengan VLAN asli dari port trunk. Untuk keperluan contoh ini, asumsikan bahwa ini adalah VLAN 10. Tag dalam adalah VLAN korban, dalam contoh ini, VLAN 20 

   


Langkah 2 : Bingkai tiba pada sakelar pertama, yang melihat tag 802.1Q 4-byte pertama. Switch melihat bahwa frame ditakdirkan untuk VLAN 10, yang merupakan VLAN asli. Switch meneruskan paket keluar semua port VLAN 10 setelah menghapus tag VLAN 10. Bingkai tidak ditandai ulang karena merupakan bagian dari VLAN asli. Pada titik ini, tag VLAN 20 masih utuh dan belum diperiksa oleh switch pertama
 

Langkah 3 : Frame tiba di saklar kedua yang tidak memiliki pengetahuan bahwa itu seharusnya untuk VLAN 10. Lalu lintas VLAN asli tidak ditandai oleh sakelar pengiriman seperti yang ditentukan dalam spesifikasi 802.1Q. Switch kedua hanya melihat tag 802.1Q bagian dalam yang dimasukkan aktor ancaman dan melihat bahwa frame tersebut ditujukan untuk VLAN 20, VLAN target. Switch kedua mengirimkan frame ke target atau membanjirinya, tergantung pada apakah ada entri tabel alamat MAC yang ada untuk target.




DHCP Messages

Server DHCP secara dinamis menyediakan informasi konfigurasi IP termasuk alamat IP, subnet mask, gateway default, server DNS, dan lainnya kepada klien

DHCP Attacks

Dua jenis serangan DHCP adalah DHCP starvation dan DHCP spoofing. Kedua serangan dikurangi dengan menerapkan pengintaian DHCP

DHCP Starvation Attack
Server DHCP secara dinamis menyediakan informasi konfigurasi IP termasuk alamat IP, subnet mask, gateway default, server DNS, dan lainnya kepada klien, Secara khusus, ini membuat pesan penemuan DHCP dengan alamat MAC palsu.

DHCP Spoofing Attack
terjadi ketika server DHCP nakal terhubung ke jaringan dan memberikan parameter konfigurasi IP palsu untuk klien yang sah

  • Wrong default gateway - The rogue server provides  gateway yang tidak valid atau alamat IP host-nya untuk membuat serangan man-in-the-middle. Ini mungkin sama sekali tidak terdeteksi karena penyusup mencegat aliran data melalui jaringan  
  • Wrong DNS server - The rogue server provides alamat server DNS yang salah yang mengarahkan pengguna ke situs web jahat
  • Wrong IP address - The rogue server provides  alamat IP yang tidak valid yang secara efektif menciptakan serangan DoS pada klien DHCP

ARP Attacks 

Ada banyak alat yang tersedia di internet untuk membuat serangan ARP man-in-the-middle termasuk dsniff, Cain & Abel, ettercap, Yersinia, dan lainnya. IPv6 menggunakan ICMPv6 Neighbor Discovery Protocol untuk resolusi alamat Layer 2. IPv6 mencakup strategi untuk mengurangi spoofing Iklan Tetangga, mirip dengan cara IPv6 mencegah Balasan ARP palsu

Address Spoofing Attack 

Spoofing alamat IP adalah ketika aktor ancaman membajak alamat IP yang valid dari perangkat lain di subnet, atau menggunakan alamat IP acak, Serangan spoofing alamat MAC terjadi ketika aktor ancaman mengubah alamat MAC host mereka agar cocok dengan alamat MAC lain yang diketahui dari host target. Host penyerang kemudian mengirimkan frame ke seluruh jaringan dengan alamat MAC yang baru dikonfigurasi. Ketika sakelar menerima bingkai, ia memeriksa alamat MAC sumber. Switch menimpa entri tabel MAC saat ini dan menetapkan alamat MAC ke port baru, seperti yang ditunjukkan pada gambar. Kemudian secara tidak sengaja meneruskan frame yang ditujukan untuk host target ke host yang menyerang

STP Attack 

Penyerang jaringan dapat memanipulasi Spanning Tree Protocol (STP) untuk melakukan serangan dengan spoofing root bridge dan mengubah topologi jaringan. Penyerang dapat membuat host mereka muncul sebagai jembatan root; Dan oleh karena itu, tangkap semua lalu lintas untuk domain yang langsung diaktifkan. 
Untuk melakukan serangan manipulasi STP, host penyerang menyiarkan unit data protokol jembatan STP (BPDU) yang berisi perubahan konfigurasi dan topologi yang akan memaksa perhitungan ulang spanning-tree, seperti yang ditunjukkan pada gambar. BPDU yang dikirim oleh tuan rumah penyerang mengumumkan prioritas jembatan yang lebih rendah dalam upaya untuk dipilih sebagai jembatan akar

CDP Reconnaissance 

Cisco Discovery Protocol (CDP) adalah protokol penemuan tautan Layer 2 yang dipatenkan. Ini diaktifkan di semua perangkat Cisco secara default. CDP dapat secara otomatis menemukan perangkat lain yang mendukung CDP dan membantu mengonfigurasi koneksinya secara otomatis. Administrator jaringan juga menggunakan CDP untuk membantu mengkonfigurasi dan memecahkan masalah perangkat jaringan 


Wlan Concepts 

Manfaat Wireless 

Wireless LAN (WLAN) adalah jenis jaringan nirkabel yang umum digunakan di rumah, kantor, dan lingkungan kampus. Jaringan harus mendukung orang-orang yang sedang bepergian. Orang terhubung menggunakan komputer, laptop, tablet, dan ponsel pintar. Ada banyak infrastruktur jaringan yang berbeda yang menyediakan akses jaringan, seperti LAN kabel, jaringan penyedia layanan, dan jaringan telepon seluler. Tapi itu adalah WLAN yang memungkinkan mobilitas dalam lingkungan rumah dan bisnis. 

Dalam bisnis dengan infrastruktur nirkabel di tempat, dapat ada penghematan biaya setiap kali perubahan peralatan, atau ketika merelokasi karyawan di dalam gedung, mengatur ulang peralatan atau laboratorium, atau pindah ke lokasi sementara atau lokasi proyek. Infrastruktur nirkabel dapat beradaptasi dengan kebutuhan dan teknologi yang berubah dengan cepat
 
Jenis Jaringan Nirkabel 
  • Wireless Personal-Area Networks (WPAN) - Menggunakan pemancar berdaya rendah untuk jaringan jarak pendek, biasanya 20 hingga 30 kaki (6 hingga 9 meter). Perangkat berbasis Bluetooth dan ZigBee biasanya digunakan di WPAN. WPAN didasarkan pada standar 802.15 dan frekuensi radio 2.4-GHz. 
  • Wireless LAN (WLAN) - Menggunakan pemancar untuk mencakup jaringan berukuran sedang, biasanya hingga 300 kaki. WLAN cocok untuk digunakan di rumah, kantor, dan bahkan lingkungan kampus. WLAN didasarkan pada standar 802.11 dan frekuensi radio 2,4 GHz atau 5 GHz.
  • Wireless MANs (WMAN) - Menggunakan pemancar untuk menyediakan layanan nirkabel di wilayah geografis yang lebih luas. WMAN cocok untuk menyediakan akses nirkabel ke kota metropolitan atau distrik tertentu. WMAN menggunakan frekuensi berlisensi tertentu.
  • Wireless Wide-Area Networks (WWANs) - Menggunakan pemancar untuk menyediakan jangkauan di wilayah geografis yang luas. WWAN cocok untuk komunikasi nasional dan global. WWAN juga menggunakan frekuensi berlisensi tertentu. 
Teknologi Nirkabel 

Bluetooth - Standar IEEE 802.15 WPAN yang menggunakan proses pemasangan perangkat untuk berkomunikasi jarak hingga 300 kaki (100m). Ini dapat ditemukan di perangkat rumah pintar, koneksi audio, mobil, dan perangkat lain yang memerlukan koneksi jarak pendek. Ada dua jenis radio Bluetooth:

  • Bluetooth Low Energy (MENJADI) - Ini mendukung beberapa teknologi jaringan termasuk topologi mesh ke perangkat jaringan skala besar.
  • Bluetooth Basic Rate/Enhanced Rate (BR/EDR) - Ini mendukung topologi point to point dan dioptimalkan untuk streaming audio
WiMAX (Worldwide Interoperability for Microwave Access) - WiMAX adalah alternatif untuk koneksi internet kabel broadband, bersaing dengan DSL dan kabel. Namun, ini biasanya digunakan di area yang belum terhubung ke DSL atau penyedia kabel. Ini adalah standar IEEE 802.16 WWAN yang menyediakan akses broadband nirkabel berkecepatan tinggi hingga 30 mil (50 km). WiMAX beroperasi dengan cara yang mirip dengan Wi-Fi, tetapi pada kecepatan yang lebih tinggi, jarak yang lebih jauh, dan untuk sejumlah besar pengguna. Ini menggunakan jaringan menara WiMAX yang mirip dengan menara ponsel. Pemancar WiMAX dan pemancar seluler dapat berbagi ruang di menara yang sama, seperti yang ditunjukkan pada gambar 

Broadband Seluler - Seluler 4G / 5G adalah jaringan seluler nirkabel yang terutama digunakan oleh telepon seluler tetapi dapat digunakan di mobil, tablet, dan laptop. Jaringan seluler adalah jaringan multi-akses yang membawa komunikasi data dan suara. Situs sel dibuat oleh menara seluler yang mentransmisikan sinyal di area tertentu. Situs sel interkoneksi membentuk jaringan seluler. Dua jenis jaringan seluler tersebut adalah Global System for Mobile (GSM) dan Code Division Multiple Access (CDMA). GSM diakui secara internasional, sedangkan CDMA terutama digunakan di AS.Jaringan seluler Generasi ke-4 (4G) adalah jaringan seluler saat ini. 4G memberikan kecepatan yang 10 kali lipat dari jaringan 3G sebelumnya. 5G baru memegang janji untuk memberikan kecepatan 100 kali lebih cepat daripada 4G dan menghubungkan lebih banyak perangkat ke jaringan daripada sebelumnya 

Broadband Satelit - Menyediakan akses jaringan ke situs terpencil melalui penggunaan parabola directional yang selaras dengan satelit orbit Bumi geostasioner tertentu. Biasanya lebih mahal dan membutuhkan garis pandang yang jelas. Biasanya, ini digunakan oleh pemilik rumah pedesaan dan bisnis di mana kabel dan DSL tidak tersedia. 

Standar 802.11

Standar WLAN IEEEFrekuensi RadioDeskripsi802.112,4 GHz

  • kecepatan hingga 2 Mbps

802.11a5 GHz

  • kecepatan hingga 54 Mbps
  • Area cakupan kecil
  • kurang efektif dalam menembus struktur bangunan
  • Tidak dapat dioperasikan dengan 802.11b dan 802.11g

802.11b2,4 GHz

  • kecepatan hingga 11 Mbps
  • Rentang Lebih Panjang dari 802.11a
  • lebih mampu menembus struktur bangunan

802.11gr2,4 GHz

  • kecepatan hingga 54 Mbps
  • Kompatibel dengan 802.11b dengan kapasitas bandwidth yang dikurangi

802.11n2,4 GHz 5 GHz

  • kecepatan data berkisar dari 150 Mbps hingga 600 Mbps dengan jangkauan jarak hingga 70 m (230 kaki)
  • AP dan klien nirkabel memerlukan beberapa antena menggunakan teknologi MIMO
  • Kompatibel dengan perangkat 802.11a/b/g dengan kecepatan data terbatas

802.11ac5 GHz

  • menyediakan kecepatan data mulai dari 450 Mbps hingga 1,3 Gbps (1300 Mbps) menggunakan teknologi MIMO
  • Hingga delapan antena dapat didukung
  • Kompatibel dengan perangkat 802.11a/n dengan kecepatan data terbatas

802,11 sumbu2,4 GHz 5 GHz

  • Standar terbaru dirilis pada 2019
  • juga dikenal sebagai Wi-Fi 6 atau High-Efficiency Wireless (HEW)
  • Memberikan peningkatan efisiensi daya, kecepatan data yang lebih tinggi, peningkatan kapasitas, dan menangani banyak perangkat yang terhubung
  • saat ini beroperasi menggunakan 2,4 GHz dan 5 GHz tetapi akan menggunakan 1 GHz dan 7 GHz ketika frekuensi tersebut tersedia
  • Cari di internet untuk Wi-Fi Generasi 6 untuk informasi lebih lanjut

Komponen WLAN   

NIC Nirkabel

Penyebaran nirkabel memerlukan minimal dua perangkat yang memiliki pemancar radio dan penerima radio yang disetel ke frekuensi radio yang sama:

  • Perangkat akhir dengan NIC nirkabel
  • Perangkat jaringan, seperti router nirkabel atau AP nirkabel

Untuk berkomunikasi secara nirkabel, laptop, tablet, ponsel pintar, dan bahkan mobil terbaru termasuk NIC nirkabel terintegrasi yang menggabungkan pemancar / penerima radio. Namun, jika perangkat tidak memiliki NIC nirkabel terintegrasi, maka adaptor nirkabel USB dapat digunakan, seperti yang ditunjukkan pada gambar.

Catatan: Banyak perangkat nirkabel yang Anda kenal tidak memiliki antena yang terlihat. Mereka tertanam di dalam smartphone, laptop, dan router rumah nirkabel

Router Rumah Nirkabel 

Router nirkabel berfungsi sebagai:

  • Titik akses - Ini menyediakan akses nirkabel 802.11a/b/g/n/ac.
  • Switch - Ini menyediakan empat port, full-duplex, 10/100/1000 Ethernet switch untuk interkoneksi perangkat kabel.
  • Router - Ini menyediakan gateway default untuk menghubungkan ke infrastruktur jaringan lain, seperti internet
Selain itu, pengguna rumahan yang ingin memperluas layanan jaringan mereka dapat menerapkan extender jangkauan Wi-Fi. Perangkat dapat terhubung secara nirkabel ke extender, yang meningkatkan komunikasinya untuk diulang ke router nirkabel. 

Jalur Akses Nirkabel

Sementara range extender mudah diatur dan dikonfigurasi, solusi terbaik adalah menginstal titik akses nirkabel lain untuk menyediakan akses nirkabel khusus ke perangkat pengguna. Klien nirkabel menggunakan NIC nirkabel mereka untuk menemukan AP terdekat yang mengiklankan SSID mereka. Klien kemudian mencoba mengaitkan dan mengautentikasi dengan AP. Setelah diautentikasi, pengguna nirkabel memiliki akses ke sumber daya jaringan


Kategori AP

AP Otonom

Ini adalah perangkat mandiri yang dikonfigurasi menggunakan antarmuka baris perintah atau GUI, seperti yang ditunjukkan pada gambar. AP otonom berguna dalam situasi di mana hanya beberapa AP yang diperlukan dalam organisasi. Router rumah adalah contoh AP otonom karena seluruh konfigurasi AP berada pada perangkat. Jika permintaan nirkabel meningkat, lebih banyak AP akan diperlukan. Setiap AP akan beroperasi secara independen dari AP lain dan setiap AP akan memerlukan konfigurasi dan manajemen manual. Ini akan menjadi luar biasa jika banyak AP dibutuhkan 

AP berbasis pengontrol

Perangkat ini tidak memerlukan konfigurasi awal dan sering disebut AP ringan (LAP). LAP menggunakan Lightweight Access Point Protocol (LWAPP) untuk berkomunikasi dengan WLAN controller (WLC), seperti yang ditunjukkan pada gambar berikutnya. AP berbasis pengontrol berguna dalam situasi di mana banyak AP diperlukan dalam jaringan. Karena semakin banyak AP yang ditambahkan, setiap AP secara otomatis dikonfigurasi dan dikelola oleh WLC.
Perhatikan pada gambar bahwa WLC memiliki empat port yang terhubung ke infrastruktur switching. Keempat port ini dikonfigurasi sebagai grup agregasi tautan (LAG) untuk menggabungkannya. Sama seperti bagaimana EtherChannel beroperasi, LAG menyediakan redundansi dan load-balancing. Semua port pada switch yang terhubung ke WLC harus trunking dan dikonfigurasi dengan EtherChannel aktif. Namun, LAG tidak beroperasi persis seperti EtherChannel. WLC tidak mendukung Port Aggregation Protocol (PaGP) atau Link Aggregation Control Protocol (LACP). 

Antena Nirkabel

  • Antena omnidirectional seperti yang ditunjukkan pada gambar memberikan cakupan 360 derajat dan ideal di rumah, area kantor terbuka, ruang konferensi, dan area luar
  • Antena directional memfokuskan sinyal radio ke arah tertentu. Ini meningkatkan sinyal ke dan dari AP ke arah antena menunjuk Ini memberikan kekuatan sinyal yang lebih kuat dalam satu arah dan mengurangi kekuatan sinyal di semua arah lainnya. Contoh antena Wi-Fi directional termasuk Yagi dan antena parabola
  • Multiple Input Multiple Output (MIMO) menggunakan beberapa antena untuk meningkatkan bandwidth yang tersedia untuk jaringan nirkabel IEEE 802.11n/ac/ax. Hingga delapan antena pemancar dan penerima dapat digunakan untuk meningkatkan throughput.

Operasi WLAN

Mode Topologi Nirkabel 802.11


  • Mode ad hoc - Ini adalah ketika dua perangkat terhubung secara nirkabel dengan cara peer-to-peer (P2P) tanpa menggunakan AP atau router nirkabel. Contohnya termasuk klien nirkabel yang terhubung langsung satu sama lain menggunakan Bluetooth atau Wi-Fi Direct. Standar IEEE 802.11 mengacu pada jaringan ad hoc sebagai set layanan dasar independen (IBSS)
  • Mode infrastruktur - Ini adalah ketika klien nirkabel interkoneksi melalui router nirkabel atau AP, seperti di WLAN. AP terhubung ke infrastruktur jaringan menggunakan sistem distribusi kabel, seperti Ethernet.
  • Tethering - Variasi topologi ad hoc adalah ketika ponsel pintar atau tablet dengan akses data seluler diaktifkan untuk membuat hotspot pribadi. Fitur ini kadang-kadang disebut sebagai tethering. Hotspot biasanya merupakan solusi cepat sementara yang memungkinkan ponsel pintar menyediakan layanan nirkabel router Wi-Fi. Perangkat lain dapat mengaitkan dan mengotentikasi dengan ponsel pintar untuk menggunakan koneksi internet

Set Layanan Dasar

BSS terdiri dari satu AP yang menghubungkan semua klien nirkabel terkait. Dua BSS ditunjukkan pada gambar. Lingkaran menggambarkan area cakupan BSS, yang disebut Area Layanan Dasar (BSA). Jika klien nirkabel keluar dari BSA-nya, ia tidak dapat lagi berkomunikasi langsung dengan klien nirkabel lain di dalam BSA.

Alamat MAC Layer 2 AP digunakan untuk mengidentifikasi setiap BSS secara unik, yang disebut Basic Service Set Identifier (BSSID). Oleh karena itu, BSSID adalah nama resmi BSS dan selalu dikaitkan dengan hanya satu AP. 

Set Layanan yang Diperpanjang

Ketika satu BSS menyediakan cakupan yang tidak mencukupi, dua atau lebih BSS dapat digabungkan melalui sistem distribusi umum (DS) ke dalam ESS. ESS adalah penyatuan dua atau lebih BSS yang saling berhubungan oleh DS kabel. Setiap ESS diidentifikasi oleh SSID dan setiap BSS diidentifikasi oleh BSSID-nya

CSMA/CA 

WLAN adalah half-duplex, konfigurasi media bersama. Half-duplex berarti bahwa hanya satu klien yang dapat mengirim atau menerima pada saat tertentu. Media bersama berarti bahwa klien nirkabel semua dapat mengirim dan menerima pada saluran radio yang sama. Ini menciptakan masalah karena klien nirkabel tidak dapat mendengar saat mengirim, yang membuatnya tidak mungkin untuk mendeteksi tabrakan.

Untuk mengatasi masalah ini, WLAN menggunakan carrier sense multiple access with collision avoidance (CSMA / CA) sebagai metode untuk menentukan bagaimana dan kapan mengirim data pada jaringan. Klien nirkabel melakukan hal berikut:

  1. Mendengarkan saluran untuk melihat apakah itu menganggur, yang berarti bahwa tidak ada lalu lintas lain saat ini di saluran. Saluran ini juga disebut operator.
  2. Mengirim pesan permintaan untuk mengirim (RTS) ke AP untuk meminta akses khusus ke jaringan.
  3. Menerima pesan clear to send (CTS) dari AP yang memberikan akses untuk mengirim.
  4. Jika klien nirkabel tidak menerima pesan CTS, menunggu jumlah acak waktu sebelum memulai ulang proses.
  5. Setelah menerima CTS, ia mentransmisikan data.
  6. Semua transmisi diakui. Jika klien nirkabel tidak menerima pengakuan, itu mengasumsikan tabrakan terjadi dan restart proses

Mode Temukan Pasif dan Aktif 

  • Dalam mode pasif, AP secara terbuka mengiklankan layanannya dengan mengirimkan bingkai suar siaran secara berkala yang berisi SSID, standar yang didukung, dan pengaturan keamanan. Tujuan utama suar adalah untuk memungkinkan klien nirkabel mempelajari jaringan dan AP mana yang tersedia di area tertentu. Hal ini memungkinkan klien nirkabel untuk memilih jaringan dan AP yang akan digunakan
  • Dalam mode aktif, klien nirkabel harus mengetahui nama SSID. Klien nirkabel memulai proses dengan menyiarkan bingkai permintaan probe pada beberapa saluran. Permintaan pemeriksaan mencakup nama SSID dan standar yang didukung. AP yang dikonfigurasi dengan SSID akan mengirimkan respons probe yang menyertakan SSID, standar yang didukung, dan pengaturan keamanan. Mode aktif mungkin diperlukan jika AP atau router nirkabel dikonfigurasi untuk tidak menyiarkan bingkai suar
Operasi CAPWAP 

CAPWAP adalah protokol standar IEEE yang memungkinkan WLC untuk mengelola beberapa AP dan WLAN. CAPWAP juga bertanggung jawab atas enkapsulasi dan penerusan lalu lintas klien WLAN antara AP dan WLC.

CAPWAP didasarkan pada LWAPP tetapi menambahkan keamanan tambahan dengan Datagram Transport Layer Security (DTLS). CAPWAP membangun terowongan pada port User Datagram Protocol (UDP). CAPWAP dapat beroperasi melalui IPv4 atau IPv6, seperti yang ditunjukkan pada gambar, tetapi menggunakan IPv4 secara default

IPv4 dan IPv6 keduanya menggunakan port UDP 5246 dan 5247. Port 5246 adalah untuk pesan kontrol CAPWAP yang digunakan oleh WLC untuk mengelola AP. Port 5247 digunakan oleh CAPWAP untuk merangkum paket data yang bepergian ke dan dari klien nirkabel. Namun, terowongan CAPWAP menggunakan protokol IP yang berbeda di header paket. IPv4 menggunakan protokol IP 17 dan IPv6 menggunakan protokol IP 136

Managemen Saluran

Saturasi Saluran Frekuensi 

Perangkat LAN nirkabel memiliki pemancar dan penerima yang disetel ke frekuensi gelombang radio tertentu untuk berkomunikasi. Praktik umum adalah frekuensi dialokasikan sebagai rentang. Rentang tersebut kemudian dibagi menjadi rentang yang lebih kecil yang disebut saluran.

Jika permintaan untuk saluran tertentu terlalu tinggi, saluran itu kemungkinan akan menjadi terlalu jenuh. Saturasi media nirkabel menurunkan kualitas komunikasi. Selama bertahun-tahun, sejumlah teknik telah diciptakan untuk meningkatkan komunikasi nirkabel dan mengurangi kejenuhan. Teknik-teknik ini mengurangi saturasi saluran dengan menggunakan saluran dengan cara yang lebih efisien

Pemilihan Saluran 

Praktik terbaik untuk WLAN yang membutuhkan beberapa AP adalah menggunakan saluran yang tidak tumpang tindih. Misalnya, standar 802.11b / g / n beroperasi dalam spektrum 2,4 GHz hingga 2,5 GHz. Pita 2,4 GHz dibagi menjadi beberapa saluran. Setiap saluran diberikan bandwidth 22 MHz dan dipisahkan dari saluran berikutnya sebesar 5 MHz. Standar 802.11b mengidentifikasi 11 saluran untuk Amerika Utara, seperti yang ditunjukkan pada gambar (13 di Eropa dan 14 di Jepang).

Catatan: Telusuri saluran 2,4 GHz di internet untuk mempelajari variasi untuk berbagai negara di internet 

Ancaman WLAN 

WLAN terbuka untuk siapa saja dalam jangkauan AP dan kredensial yang sesuai untuk mengaitkannya. Dengan NIC nirkabel dan pengetahuan tentang teknik cracking, penyerang mungkin tidak harus secara fisik memasuki tempat kerja untuk mendapatkan akses ke WLAN.

Serangan dapat dihasilkan oleh orang luar, karyawan yang tidak puas, dan bahkan secara tidak sengaja oleh karyawan. Jaringan nirkabel secara khusus rentan terhadap beberapa ancaman, termasuk:

  • Intersepsi data - Data nirkabel harus dienkripsi untuk mencegahnya dibaca oleh penyadap.
  • Penyusup nirkabel - Pengguna yang tidak sah yang mencoba mengakses sumber daya jaringan dapat dicegah melalui teknik otentikasi yang efektif.
  • Serangan Denial of Service (DoS) - Akses ke layanan WLAN dapat dikompromikan baik secara tidak sengaja atau jahat. Berbagai solusi ada tergantung pada sumber serangan DoS.
  • AP Nakal - AP tidak sah yang dipasang oleh pengguna yang bermaksud baik atau untuk tujuan jahat dapat dideteksi menggunakan perangkat lunak manajemen. 

Serangan DoS nirkabel dapat disebabkan oleh:

  • Perangkat yang tidak dikonfigurasi dengan benar - Kesalahan konfigurasi dapat menonaktifkan WLAN. Misalnya, administrator dapat secara tidak sengaja mengubah konfigurasi dan menonaktifkan jaringan, atau penyusup dengan hak administrator dapat dengan sengaja menonaktifkan WLAN.
  • Pengguna jahat dengan sengaja mengganggu komunikasi nirkabel - Tujuan mereka adalah untuk menonaktifkan jaringan nirkabel sepenuhnya atau ke titik di mana tidak ada perangkat yang sah dapat mengakses media.
  • Gangguan yang tidak disengaja - WLAN rentan terhadap gangguan dari perangkat nirkabel lainnya termasuk oven microwave, telepon nirkabel, monitor bayi, dan banyak lagi, seperti yang ditunjukkan pada gambar. Pita 2,4 GHz lebih rentan terhadap gangguan daripada pita 5 GHz.

WLAN Aman 

Dua jenis otentikasi diperkenalkan dengan standar 802.11 asli:

  • Otentikasi sistem terbuka - Setiap klien nirkabel harus dengan mudah dapat terhubung dan hanya boleh digunakan dalam situasi di mana keamanan tidak menjadi perhatian, seperti yang menyediakan akses internet gratis seperti kafe, hotel, dan di daerah terpencil. Klien nirkabel bertanggung jawab untuk menyediakan keamanan seperti menggunakan jaringan pribadi virtual (VPN) untuk terhubung dengan aman. VPN menyediakan layanan autentikasi dan enkripsi. VPN berada di luar cakupan topik ini.
  • Otentikasi kunci bersama - Menyediakan mekanisme, seperti WEP, WPA, WPA2, dan WPA3 untuk mengotentikasi dan mengenkripsi data antara klien nirkabel dan AP. Namun, kata sandi harus dibagikan sebelumnya di antara kedua belah pihak untuk terhubung

Enkripsi digunakan untuk melindungi data. Jika penyusup telah menangkap data terenkripsi, mereka tidak akan dapat menguraikannya dalam jumlah waktu yang wajar.

Standar WPA dan WPA2 menggunakan protokol enkripsi berikut:

  • Temporal Key Integrity Protocol (TKIP) - TKIP adalah metode enkripsi yang digunakan oleh WPA. Ini memberikan dukungan untuk peralatan WLAN warisan dengan mengatasi kekurangan asli yang terkait dengan metode enkripsi WEP 802.11. Itu menggunakan WEP, tetapi mengenkripsi muatan Layer 2 menggunakan TKIP, dan melakukan Pemeriksaan Integritas Pesan (MIC) dalam paket terenkripsi untuk memastikan pesan belum diubah.
  • Advanced Encryption Standard (AES) - AES adalah metode enkripsi yang digunakan oleh WPA2. Ini adalah metode yang disukai karena ini adalah metode enkripsi yang jauh lebih kuat. Ini menggunakan Mode Counter Cipher dengan Block Chaining Message Authentication Code Protocol (CCMP) yang memungkinkan host tujuan mengenali apakah bit terenkripsi dan tidak terenkripsi telah diubah

Mutiara

Post a Comment

إرسال تعليق