Jaringan Lokal Nirkabel (Wireless LANs) sangat kritis dalam cara perusahaan bekerja dan digunakan untuk mentransaksikan data sensitif (misalnya, titik penjualan). Sistem Pencegahan Intrusi Nirkabel (Wireless Intrusion Prevention System/WIPS), seperti Cisco Meraki Air Marshal, memberikan perusahaan kemampuan untuk memastikan bahwa mereka terlindungi dari ancaman terhadap WLAN ini. Posting blog ini menunjukkan bagaimana Air Marshal melindungi terhadap salah satu ancaman tersebut, yaitu titik akses nakal (rogue access point). Apa itu Rogue Access Point ? Rogue Access Point adalah yang terhubung ke infrastruktur jaringan fisik perusahaan tetapi tidak berada di bawah kontrol administrative perusahaan tersebut. Hal ini bisa jadi seorang karyawan atau mahasiswa secara tidak sengaja membawa masuk router Wifi dari rumah dan menghubungkannya ke infrastruktur perusahaan untuk memberikan akses jaringan nirkabel. Tindakan ini memperkenalkan berbagai vector ancaman kepada perusahaan, seperti : Standard nirkabel yang tidak aman : rogue access point mungkin hanya mendukung standar enkripsi yang sudah usang dan tidak aman, seperti WEP. Atau bahkan yang lebih buruk lagi, dikonfigurasi dengan sengaja dengan otentikasi terbuka. Penempelan yang tidak sesuai : pengguna juga bisa secara fisik memasang AP ke port jaringan di area yang aman dalam jaringan, atau di area tanpa firewall yang tepa tantara AP dan informasi sensitive. Penempatan Tidak Sesuai : Access Point bisa ditempatkan dekat dengan batas bangunan, yang berarti seseorang bisa mendengarkan jaringan perusahaan. Ini tidaklah daftar lengkap dari ancaman yang diperkenalkan oleh tindakan yang mungkin terlihat tidak berbahaya ini. Jadi, sangat jelas bahwa Rogue Access Point adalah sesuatu yang perlu kita lindungi dari jaringan WLAN dan jaringan krisis bisnis. Apa yang membuat Rogue Access Point Rogue ? Cisco Meraki mendefinisikan access point rogue ini sebagai AP yang “terlihat” di Lan dan menyiarkan SSID yang terlihat oleh AP yang membentuk infrastruktur nirkabel perusahaan. Untuk mengidentifikasi AP rogue, semua access point rogue yang tersedia saat ini menggunakan radio khusus mereka untuk terus-menerus memantau RF. Namun, Ap lama tanpa radio khusus juga dapat di konfigurasi untuk menggunakan radio akses pada waktu tertentu untuk memindai AP rogue, seperti yang di tunjukan dibawah ini : Air Marshal mendengarkan bingkai beacon 802.11 yang dikirim oleh AP yang “terlihat” oleh AP perusahaan, kemudian semua BSSID (alamat MAC iklan SSID) yang dilihat oleh titik akses dikategorikan sebagai “SSID Rogue” atau “SSID Lainnya”. Untuk mengklasifikasikan SSID sebagai rogue, kita juga perlu melihat alamat MAC dari bingkai di sisi kabel dari AP perusahaan. Ini dilakukan dengan mendengarkan bingkai siaran yang sudah diterima oleh titik akses. Jika MAC kabel dan MAC BSSID siaran cocok pada byte ke-3 dan ke-4 dari alamat MAC (biasanya alamat MAC kabel dan nirkabel berurutan), dan sisanya dari byte berbeda 5 bit atau kurang, maka AP diklasifikasikan sebagai nakal. Perbandingan ini dicapai dengan menerapkan XOR pada alamat MAC dalam bentuk biner, seperti yang ditunjukkan di bawah ini pada titik akses nakal: Bagaimana Air Marshal Melindungi Rogue Access Untuk melindungi infrastruktur perusahaan dari Access point Rogue, Air Marshal menggunakan teknik yang disebut “containment” atau pembatasan. Ketika sebuah AP Meraki sedang melakukan pembatasan terhadap SSID Rogue, digunakan tiga jenis frame sebagai berikut: Frame deauthorization 802.11 broadcast – AP Meraki memalsukan alamat MAC/BSSID dari SSID nakal dan mengirimkan frame deauthorization 802.11 ke alamat MAC siaran (FF:FF:FF:FF:FF). Ini pada dasarnya membuat AP Meraki menyamar sebagai AP Rogue dan memberitahukan kepada semua klien yang terhubung ke titik nakal dan berada dalam jangkauan AP Meraki untuk memutus koneksi dari BSSID tersebut. Frame deauthorization 802.11 terarah – AP Meraki lagi-lagi memalsukan MAC dari BSSID SSID Rogue dan mengirimkan frame deauthorization 802.11 ke alamat MAC dari klien yang terhubung dengan BSSID tersebut. Ini juga pada dasarnya membuat AP Meraki menyamar sebagai titik akses Rouge dan secara khusus memberi tahu klien yang terhubung dengan titik rogue untuk memutus koneksi dari SSID tersebut. Diasumsikan bahwa karena AP Meraki dapat “melihat” bingkai asosiasi dan otorisasi dari hubungan SSID client rogue, maka klien juga akan menerima frame deauthorization ini dari AP Meraki. Frame deauthorization dan disassociation terarah timbal balik – AP Meraki memalsukan alamat MAC dari semua klien yang terhubung ke SSID nakal dan mengirimkan frame deauthorization untuk masing-masing dari mereka ke BSSID dari titik akses nakal. Akhirnya, AP Meraki menyamar sebagai setiap klien yang terhubung ke AP nakal dan mengirimkan frame deauthorization dan disassociation ke BSSID dari SSID rogue tersebut. Hal ini memastikan bahwa klien 802.11 modern dengan kemampuan hemat baterai juga terputus dari SSID rogue, karena mereka mungkin telah mengabaikan pesan deauthorization “dari” SSID rogue jika mereka “tidur”, untuk menghemat daya baterai. Cari tau dan konsultasikan dengan kami, hubungi meraki@ilogoindonesia.id