BAB 3 METODOLOGI 3.1 Metodologi Metodologi yang digunakan dalam penelitian ini adalah Security Policy Development Life Cycle (SPDLC). Berikut penjelasan tahap-tahap yang dilakukan dalam penelitian ini: Gambar 3.1 Security Policy Development Life Cycle (SPDLC) 1. Identifikasi Tahap awal ini dilakukan untuk menemukan berbagai macam masalah keamanan yang dihadapi oleh jaringan pada saat ini dan bagaimana sistem yang sedang berjalan di perusahaan. 2. Analisis Dari data yang didapatkan pada tahap identifikasi, dilakukan proses analisis kebutuhan user. 3. Desain Tahap desain ini akan membuat suatu gambar rancangan topologi sistem keamanan yang akan dibangun, alur sistem autentikasi serta menjelaskan kebutuhan sistem baik software maupun hardware. 4. Implementasi Pada tahap ini dilakukan penerapan dari hasil perancangan yang telah dilakukan pada tahap sebelumnya. Namun, karena keterbatasan izin dari 33
34 perusahaan dalam melakukan implementasi, hasil perancangan akan disimulasikan dalam jaringan yang lebih kecil. Dimulai dengan instalasi perangkat dan mengkonfigurasi software dan hardware yang diperlukan. 5. Audit Pada tahap ini sistem yang disimulasikan akan diuji secara sistematis untuk memastikan bahwa sistem keamanan yang diterapkan sudah sesuai dengan tujuan awal. Tahap ini dilakukan dengan 4 macam skenario testing. 6. Evaluasi Pada tahap ini dilakukan evaluasi hasil dari testing yang telah dilakukan, sejauh mana tingkat efektifitas dari teknologi keamanan yang dibangun, dan membandingkan dengan tujuan awal serta kondisi ideal yang diharapkan. Hasil dari analisa akan dijadikan sebagai masukan untuk perbaikan sistem juga sebagai saran untuk usaha perbaikan di masa yang akan datang. 3.2 Analisis Masalah Saat karyawan bekerja di area perusahaan, karyawan mengakses jaringan internal melalui SSID Corp-WiFi. Corp-WiFi merupakan SSID yang digunakan oleh karyawan untuk mendukung kegiatan pekerjaan. Corp-WiFi dapat terhubung ke jaringan internal perusahaan untuk saling bertukar data antar karyawan, atau antar divisi dan dapat digunakan oleh karyawan untuk akses internet. Perangkat yang dapat mengakses ke jaringan internal melalui Corp-WiFi hanyalah perangkat yang terdaftar sebagai aset kantor. Gambar 3.2 Topologi Jaringan PT Astra International
35 Corp-WiFi menggunakan keamanan jaringan WPA2-Enterprise dengan protokol autentikasi Extensible Authentication Protocol-Transport Layer Security (EAP-TLS). TLS menggunakan Public Key Infrastructure (PKI) untuk mengamankan komunikasi antara wireless client dan authentication server. Pada EAP-TLS, certificate digital yang dibutuhkan ada dua, satu pada sisi klien dan satu lagi pada sisi server. EAP-TLS hanya dapat digunakan pada PC atau notebook yang terinstal sertifikat digital yang diberikan oleh network administrator. Mekanisme EAP-TLS merupakan salah satu standar EAP yang paling aman karena autentikasi dua arah dan secara universal didukung oleh semua manufaktur dari wireless LAN hardware dan software termasuk Microsoft. Berikut penggunaan certificate digital pada PT Astra International: Gambar 3.3 Digital Certificate pada Sisi Client
36 Gambar 3.4 Digital Certificate pada Sisi Server 3.2.1 Identifikasi Masalah dan Analisis Kebutuhan User Teknologi meningkatkan efisiensi dan efektitas kerja. Meningkatnya mobilitas dan perkembangan teknologi mendorong hampir setiap orang membawa perangkat pribadinya ke kantor, bahkan digunakan untuk mengakses data atau masuk ke jaringan perusahaan. Sesuai dengan alasan mobilitas karyawan, perancangan jaringan BYOD mengacu pada jaringan wireless yang dapat terkoneksi ke jaringan perusahaan melalui layanan 3G ataupun BYOD-WiFi. Dengan diterapkannya tren BYOD, perusahaan membutuhkan rancangan keamanan jaringan untuk menjaga kerahasiaan data perusahaan dari ancaman dan serangan. Seperti yang diketahui sebelumnya, perusahaan telah menerapkan keamanan jaringan dengan protokol autentikasi EAP-TLS yang berbasis digital certificate. Namun untuk penerapan tren BYOD, protokol autentikasi ini dirasa kurang cocok. Digital certificate ditanamkan pada sisi server dan sisi client yang harus dilakukan secara manual satu per satu. Selain itu, jika digital certificate ditanamkan pada perangkat pribadi karyawan, perusahaan tidak dapat melakukan pengawasan secara penuh terhadap perangkat tersebut. 3.2.2 Usulan Pemecahan Masalah Jaringan wireless BYOD membutuhkan sistem autentikasi terpusat, yaitu WPA2-Enterprise dengan teknologi RADIUS server. Sistem autentikasi terpusat berperan sebagai data atau daftar user dan administrator yang ada, yang diberikan ijin akses ke jaringan internal. Pada infrastruktur jaringan seperti ini model pengamanan yang tepat adalah model three-tier authentication model, yang terdiri dari tiga
37 komponen yaitu: supplicant (wireless client), authenticator (wireless access point), dan authentication server (RADIUS server). Pada penelitian ini, diajukan protokol autentikasi PEAP (Protected EAP) untuk diterapkan pada jaringan wireless BYOD. Dari sisi mekanisme autentikasi, PEAP memiliki banyak kesamaan desain dengan EAP-TLS. Keduanya menggunakan protokol TLS untuk mengamankan semua pertukaran pesan dan komunikasi EAP. PEAP dirancang untuk memberikan kemudahan autentikasi protokol EAP yang berbasis sertifikat digital. PEAP hanya memerlukan sertifikat digital pada sisi authentication server. PEAP menggantikan autentikasi pada sisi klien dengan menggunakan kombinasi username dan password. Dari sisi mobilitas, PEAP juga lebih baik dari EAP-TLS karena karyawan dapat mengakses menggunakan perangkat pribadinya untuk terkoneksi ke jaringan selama karyawan memiliki akun yang sah. Satu-satunya kelemahan yang diketahui terdapat pada WPA2 adalah ketika sebuah client melakukan koneksi ke access point dimana proses handshake terjadi. Dengan mendapatkan paket handshake, hacker bisa melakukan brute force yang akan mencoba satu persatu password yang ada dengan informasi yang didapatkan dari paket handshake. Oleh karena itu, pada jaringan wireless BYOD ini akan diberikan autentikasi tambahan yaitu dengan metode MAC address filtering. MAC address filtering merupakan pemfilteran standar 802.11 untuk mengamankan suatu jaringan wireless. MAC address dari kartu jaringan adalah bilangan hexadecimal 12-digit yang unik satu sama lain. Karena masing-masing kartu jaringan wireless memiliki MAC address-nya sendiri, access point dapat membatasi kapasitas pengguna hanya kepada MAC address yang sudah diotorisasikan. Autentikasi menggunakan protokol PEAP yang dibarengi dengan MAC address filtering diharapkan dapat menambah keamanan jaringan wireless BYOD dari orang-orang yang tidak mempunyai hak akses ke wireless BYOD.
38 3.3 Perancangan 3.3.1 Desain Topologi Keamanan Jaringan BYOD Gambar 3.5 Rancangan Topologi Keamanan Jaringan BYOD 3.3.2 Desain Sistem Autentikasi Keamanan Jaringan BYOD Gambar 3.6 Flowchart Sistem Autentikasi PEAP dan MAC address filtering
39 Diagram alur diatas dapat dijelaskan sebagai berikut : 1. Saat client ingin bergabung dan masuk kedalam jaringan, client diwajibkan untuk melakukan input kombinasi username dan password. 2. Data username dan password tersebut akan diterima oleh access point. Oleh access point data tersebut tidak diproses oleh AP melainkan diforward ke server autentikasi (RADIUS server). 3. Oleh server autentikasi, data username dan password tersebut dicocokkan dengan data username dan password yang tersimpan didalam active directory. 4. Jika ditemukan kecocokan data, maka server autentikasi akan mengirimkan paket RADIUS access granted. Paket ini selanjutnya dikirimkan ke access point 5. Namun jika tidak ditemukan kecocokan, maka server autentikasi mengirimkan paket RADIUS access reject. Paket ini selanjutnya juga akan dikirimkan ke access point. 6. Oleh access point paket yang diterima dari server autentikasi akan diproses untuk memutuskan apakah client dapat terkoneksi dan bergabung kedalam jaringan ataukah tidak. Jika paket yang diterima oleh access point adalah access granted. Maka AP akan memberikan hak akses kepada client untuk masuk kedalam jaringan. 7. Jika paket yang diterima oleh AP dari server otentikasi adalah paket RADIUS access reject. Maka AP akan memblok dan meminta input username dan password kembali kepada client.