Arsitektur Jaringan
Pada bab ini akan membahas beberapa konsep kunci yang ditemukan pada 802.11 arsitektur jaringan. Kebanyakan topiknya didefinisikan secara langsung pada standar 802.11, dan diperlukan untuk implementasi dari 802.11-compliant hardware. Pada bab ini, kita akan memeriksa proses dimana klien tersambung ke sebuah access point, syarat-syarat untuk mengatur wireless Lan, dan bagaimana manajemen power disempurnakan dalam peralatan wireless LAN untuk klien. Tanpa suatu pemahaman yang jelas dari prinsip yang dibahas pada bab ini, akan menjadi sangat sulit sekali untuk mendesain,mengadminister,atau memperbaiki suatu wireless LAN. Bab ini membahas beberapa langkah-langkah dasar yang terpenting dari desain dan administrasi wireless LAN. Saat anda mengadministrasi wireless LAN, pemahaman dari konsep-konsep ini akan memenuhi anda untuk secara cerdik memanage kerja secara hari perhari.
1 Menempatkan Sebuah Wireless LAN
Saat anda meng-install,mengkonfigurasi, dan akhirnya memulai suatu peralatan wireless LAN klien sebagai suatu USB klien atau kartu PCMCIA, klien secara otomatis “mendengar” untuk melihat apakah ada suatu wireless LAN didalam range. Klien juga menemukan jika dapat berhubungan dengan wireless LAN tersebut. Proses “mendengar” disebut juga dengan scanning. Scanning terjadi sebelum proses lainnya, dikarenakan scanning adalah bagaimana klien menemukan network. Ada dua tipe scanning : pasif scanning dan aktif scanning. Di dalam menemukan sebuah access point, pemancar klien mengikuti sebuah jejak breadcumbs kiri oleh access point. Breadcrumbs ini disebut juga Service Set Identifiers (SSID) dan ramburambu. Tool ini melayani sebagai sebuah titik tengah untuk sebuah pemancar klien untuk mencari suatu dan semua access point.
1.1 Service Set Identifier
Service set identifier (SSID) adalah sebuah nilai unique, case sensitive, alphanumeric dari 2-31 panjang karakter yang digunakan oleh wireless LAN sebagai sebuah nama network. Penanganan nama ini digunakan untuk mensegmentasi jaringan, sebagai ukuran security yang bersifat sementara, dan di dalam proses penggabungan sebuah network. Administrator mengkonfigurasi SSID (kadang disebut dengan ESSID) di dalam setiap access point. Beberapa klien mempunyai kemampuan untuk menggunakan nilai SSID apapun bahkan hanya satu yang secara manual ditetapkan oleh administrator. Jika klien menjelajahi secara berlapis diantara suatu grup dari access point, maka kliennya dan seluruh access point harus dikonfigurasi dengan memasangkan SSIDnya. Hal yang terpenting dari sebuah SSID adalah SSID harus sesuai secara tepat antara
access point dan klien. Jangan membingungkan SSID (ESSID) dengan BSSID. Basic Service Set Idenfier (BSSID) adalah suatu 6-byte heksa desimal mengidentifikasi access point dimana susunan mula-mula atau telah di-relay, mengingat SSID dan ESSID adalah hal-hal yang dapat ditukarkan yang
menunjukkan nama jaringan atau identifier.
1.2 Beacons
Beacons (kependekan untuk beacon management frame) adalah frame pendek yang dikirim dari access point ke pemancar (Mode Infrastruktur) atau pemancar ke pemancar (Mode ad Hoc) yang digunakan mengorganisir dan mensinkronkan wireless pada LAN wireless itu. Beacon mempunyai beberapa
fungsi, mencakup berikut
1.2.1 Time Synchronization
Beacon mensinkronkan klien melalui suatu time-stamp di saat transmisi yang tepat. Ketika klien menerima beacon, merubah clock sendiri untuk merefleksikan clock dari access point. Sekali ketika perubahan ini terbentuk, dua clock disinkronkan. Sinkronisasi clock unit komunikasi akan memastikan bahwa semua fungsi time-sensitive, seperti hopping dalam sistem FHSS, dilakukan tanpa kesalahan. Beacon juga berisi interval beacon, yang menginformasikan stasiun bagaimana sering untuk harapkan beacon.
1.2.2 FH atau Ds Parameter Sets
Beacon berisi informasi yang secara rinci menghubungkan teknologi spread spectrum sistem yang sedang digunakan. Sebagai contoh, di dalam sistem FHSS, hop dan dwell parameter waktu dan ihop squencetercakup di dalam. Di dalam sistem DSSS, beacon berisi informasi saluran
1.3 SSID Information
Stasiun singgah beacon untuk SSID dari jaringan gabungan. Ketika informasi ini ditemukan, stasiun meneliti alamat MAC di mana autentifikasi memulai dan mengirimkan beacon meminta menghubungkan access point. Jika suatu stasiun mulai menerima apapun SSID, kemudian setasiun akan mencoba untuk bergabung dengan jaringan melalui access point yang pertama yang mengirimkan beacon atau dengan kekuatan sinyal yang paling kuat jika ada berbagai multipel access point.
1.4 Traffic Indication Map(TIM)
TIM digunakan sebagai indikator yang mana stasiun yang tidak bekerja mempunyai paket yang dientrikan Access point. Informasi ini dilewati pada setiap beacon ke semua stasiun yang berhubungkan. Selagi tidak bekerja, Sinkronisasi stasiun menggerakkan receivernya, membaca untuk beacon, memeriksa TIM untuk melihat jika terdaftarkan, kemudian, jika tidak terdaftarkan, meghentikan penerimanya.
7.2 Supported Rates
Dengan jaringan wireless, ada banyak kecepatan didukung tergantung pada standard dari perangkat keras yang digunakan. Sebagai contoh, suatu 802.11b kecepatan 11, 5.5, 2,& 1 Mbps. kemampuan informasi ini dilewatkan beacon untuk menginformasikan stasiun kecepatan berapa yang didukung pada access point. Ada
informasi yang banyak yang dilewatkan dalam beacon, tetapi daftar meliputi segalanya ini bisa menjadi pertimbangan yang penting dari suatu pandangan poin adiministrasi.
7.3 Passive scanning
Passive scanning adalah proses melacak beacon pada masing-masing saluran untuk suatu periode waktu yang spesifik setelah stasiun diinisialisasi beacon ini dikirim oleh access point ( model infrastruktur) atau stasiun klien ( moded ad hoc), dan karakteristik katalok scanning station tentang stasiun atau access point berdasar pada beacon ini. Stasiun mencari suatu jaringan yang melacak beacon sampai dilacak oleh beacon yang terdaftarkan pada SSID dari jaringan untuk bergabung. Stasiun kemudian mencoba untuk bergabung dengan jaringan melalui access point yang mengirim beacon. Passive scanning digambarkan dalam gambar 7.1.
Gambar 7.1. Passive Scanning
Di dalam konfigurasinya di mana ada berbagai access point, SSID dari jaringan stasiun yang bergabung kemungkinan broadcast dengan lebih dari satu access point ini. Dalam situasi ini, stasiun akan mencoba untuk bergabung dengan jaringan melalui access point dengan kekuatan sinyal yang paling kuat dan rata-rata bit yang paling rendah. Stasiun melanjut passive scanning bahkan setelah menghubungkan access point. Passive scanning menyinpan waktu yang menghubungkan kembali ke jaringan jika klien diputus (disassociated) dari access point yang mana klien sekarang ini dihubungkan. Dengan pengonrolan daftar access point yang tersedia dan karakteristiknya( saluran, kekuatan sinyal, SSID, dll), stasiun dapat dengan cepat menempatkan access point yang terbaik yang koneksinya diputus untuk alasan tertentu. Stasiun akan menjelajahi dari satu access point ke yang lain setelah sinyal radio dari access point di mana stasiun dihubungkan sampai kepada suatu kekuatan sinyal tingkat rendah tertentu. Penjelajahan diterapkan sedemikian sehingga stasiun dapat
tinggal bertahan dihubungkan ke jaringan. Stasiun menggunakan informasi yang diperoleh lewat pasive scanning untuk menempatkan access point terbaik yang berikutnya ( atau jaringan ad hoc) untuk menggunakan konektifitas kembali ke jaringan itu. Karena alasan ini, tumpang-tindih antara sel access point pada umumnya ditetapkan kira-kira 20-30%. Tumpang-tindih ini membiarkan stasiun untuk secara tanpa lapisan menjelajahi antara access point selagi pemutusan dan penggubungan kembali tanpa pengetahuan pemakai. Sebab kepekaan threshold pada beberapa radio tidak bekerja dengan baik, kadangkadang administrator akan lihat suatu radio berkait dengan suatu access point sampai sinyal diputus dalam kaitan dengan kekuatan sinyal yang rendah sebagai ganti penjelajahan bagi access point yang mempunyai sinyal lebih baik. Situasi seperti ini adalah masalah yang dikenal dengan beberapa hardware dan harus dilaporkan ke pembuat jika anda mengalami masalah ini.
7.4 Active Scanning
Gambar 7.2. Active Scanning
Active scanning melibatkan pengiriman dari suatu request pemeriksaan (probe) frame dari suatu pemancar wireless. Pemancar mengirim probe frame jika mereka secara aktif mencari suatu jaringan untuk digabungkan. Probe frame akan berisi baik SSID dari jaringan yang mereka ingin gabungkan atau suatu SSID broadcast. Jika suatu request probe di kirim dengan menspasifikasi suatu SSID, maka hanya access point yang melayani SSID tersebut akan merespon dengan suatu frame respon probe. Jika suatu frame request probe dikirim dengan suatu SSID broadcast, maka semua access point didalam jangkauan akan merespon dengan suatu frame respon probe, dimana dapat dilihat pada gambar 7.2 Hal yang pokok dari probing dalam penggunaan ini adalah untuk menempatkan access point melalui pemancar yang dapat menempel ke suatu jaringan. Sekali sebuah access point dengan access point yang benar dapat ditemukan, pemancar meng-inisiasi langkah autentifikasi dan hubungan dari penggabungan jaringan melalui access point tersebut. Informasinya dilewatkan dari access point ke pemancar dalam frame respon probe hamper sama dengan beacons tersebut. Frame respon probe berbeda dari beacons hanya dalam dimana mereka tidak time-stamped dan keduanya tidak meliputi sebuah Traffic Indication Map (TIM). Kekuatan sinyal dari frame respon probe dimana PC Card menerima bantuan kembali menentukan access point dengan dimana PC Card akan berusaha untuk berhubungan. Pemancar secara umum memilih access point dengan sinyal terkuat dan bit error rate (BER) yang terendah. BER adalah rasio dari paket-aket yang rusak ke paket yang bagus secara khusus ditetapkan oleh rasio Sinyal-ke-Noise dari sinyal. Jika puncak dari sebuah RF sinyal adalah di suatu tempat yang dekat dengan dasar noise, penerima akan membingungkan data sinyal dengan noise
7.5 Autentifikasi & Penggabungan
Proses dari menghubungkan ke wireless LAN terdiri dari dua dub proses yang terpisah. Sub-proses ini selalu terjadi dalam permintaan yang sama, dan disebut dengan autentifikasi dan penggabungan(assosiasi). Untuk contoh, jika kita berbicara tentang sebuah wireless PC card dihubungkan ke wireless LAN, kita umpamakan bahwa PC card telah di-autentifikasi oleh dan telah di-assosiasikan dengan access point tertentu. Ingatlah bahwa saat kita berbicara tentang assosiasi, kita berbicara tentang konektivitas Layer 2, dan autentifikasi menyinggung secara umum ke PC card radio, tidak kepada user. Pemahaman langkah yang terhubung dalam mendapatkan sebuah klien terhubung ke sebuah access point adalah penting untuk keamanan, troubleshooting, dan manajemen dari sebuah wireless LAN.
7.5.1 Autentifikasi
Langkah pertama dalam hubungan ke wireless LAN adalah autentifikasi. Autentifikasi adlah proses melalui dimana sebuah wireless node (PC Card, USB Client, dsb) mempunyai identitas tersendiri yang diperiksa oleh jaringan (biasanya access point) ke node yang berusaha untuk terhubung. Pemeriksaan ini terjadi saat access point yang ke klien terhubung memeriksa apakah klien tersebut memang klien yang disebut. Untuk menempatkan di tempat yang lain, access point merespon ke sebuah klien merequest untuk terhubung dengan memeriksa identitas klien sebelum ada hubungan yang terjadi. Kadang-kadang proses autentifikasi adalah null, yang berarti bahwa meskipun keduanya klien dan access pointharus memproses melalui proses ini agar dapat berasosiasi, disana tidak ada identitas khusus untuk berasosiasi. Ini adalah kasus saat access point baru dan PC Card dipasang di dalam konfigurasi default. Kita akan mendiskusikan dua tipe
autentifikasi proses pada setelah bab ini. Klien memulai proses autentifikasi dengan mengirim sebuah frame request autentifikasi ke access point (dalam Mode Infrastruktur). Access point akan melakukan keduanya baik menerima atau menolak request ini, sesudah itu memberitahukan pemancar dari keputusan ini dengan frame respon autentifikasi. Proses autentifikasi dapat diselesaikan pada access point, atau access point mungkin terlewati sepanjang responsibilitas ini ke sebuah hulu server autentifikasi seperti RADIUS. RADIUS server akan melakukan autentifikasi berdasarkan sebuah daftar dari criteria, dan kemudian mengembalikan hasilnya ke access point jadi access point tersebut dapat mengembalikan hasilnya ke pemancar klien.
7.5.2 Penggabungan (Assosiasi)
Sekali sebuah klien wireless telah terautentifikasi, klien tersebut kemudian berasosiasi dengan access point. Terasosiasi adalah sebuah kondisi pada saat sebuah klien diijinkan untuk melewatkan data melalui sebuah access point. Jika PC Card anda terasosiasi ke sebuah access point, anda berarti terhubung ke access point, dan juga jaringan. Proses untuk menjadi terasosiasi adalah sebagai berikut. Saat suatu klien ingin terhubung, klien mengirimkan sebuah request autentifikasi ke access point dan menerima kembali sebuah authentification response. Setelah autentifikasi telah selesai, pemancar mengirim sebuah association request frame ke access point yang menjawab ke klien dfengan sebuah association response frame baik membolehkan atau tidak mengijinkan berasosiasi.
7.6 Status Pengesahan& Asosiasi
Proses asosiasi dan pengesahan yang lengkap mempunyai tiga status beda:
1. Unauthenticated and unassociated
2. Authenticated and unassociated
3. Authenticated and associated
7.6.1 Unauthenticated and Unassociated
Di dalam awal menyatakan,wireless node dengan komplet diputus dari jaringan dan tidak mampu untuk lewat frame melalui access point. Access point menyimpan tabel status koneksi klien dikenal sebagai tabel asosiasi. Adalah penting untuk mencatat vendor yang berbeda mengacu pada status yang unauthenticated dan unassociated dalam access pointnya tabel asosiasi dengan cara yang berbeda. Tabe ini akan secara khas menunjukkan "unauthenticated" untuk klien manapun yang belum menyelesaikan proses pengesahan atau telah
mencoba pengesahan dan gagal.
7.6.2 Authenticated and Unassociated
Di dalam status detik ini, klien wireless telah lewat proses pengesahan, tetapi waktu itu belum dihubungkan dengan access point. Klien waktu itu belum diijinkan untuk mengirimkan atau menerima data melalui access point. Tabel asosiasi access point akan secara khas menunjukkan "authenticated." Sebab klien lewat langkah pengesahan dan dengan seketika berproses ke dalam langkah asosiasi dengan cepat ( seperseribu detik), jarang ditemui "authenticated" melangkah pada access point. Adalah jauh lebih mungkin akan ditemui "unauthenticated" atau "associated"- yang mana dibawa sampai akhir langkah.
7.6.3 Authenticated and Associated
Di dalam status akhir ini, wireless node dengan komplet dihubungkan ke jaringan dan mampu mengirimkan dan menerima data melalui access point yang mana nodet dihubungkan. Gambar 7.3 menggambarkan suatu klien yang terhubung dengan suatu access point. Kita mungkin akan meihat "associated" di dalam tabel asosiasi access point yang menandakan bahwa klien ini secara penuh dihubungkan dan diberi hak untuk lewat lalu lintas melalui access point. Sepertinya anda dapat menyimpulkan dari uraian dari tiap tiga status ini, mengedepan ukuran keamanan jaringan wireless akan diterapkan di titik di mana klien sedang mencoba untuk membuktikan keaslian.
7.7 Authentication Methods
Gambar 7.3 Association
Standard IEEE 802.1 1 menetapkan dua metoda pengesahan: Open System authentication dan Share Key authentication. Yang lebih sederhana dan juga semakin menjamin kedua metode adalah Open System authentication. Untuk suatu klien untuk menjadi authenticated, klien harus melewati rangkaian dengan access point. Rangkaian ini bervariasi tergantung pada proses pengesahan yang digunakan. Di bawah ini, kita akan mendiskusikan masing-masing proses pengesahan yang ditetapkan oleh standar 802.1 1, bagaimana bekerja, dan mengapa digunakan.
7.7.1 Open System Authentication
Open system authentication adalah suatu metoda pengesahan null dan ditetapkan oleh IEEE 802.1 1 seperti default yang ditentukan di dalam peralatan LAN Wireless. Penggunaan metoda pengesahan ini, suatu stasiun dapat berhubungan dengan access point manapun yang menggunakan Open system authentication berdasarkan hanya pada SSID. SSID harus sesuai pada kedua klien dan access point sebelum suatu klien diijinkan untuk melengkapi proses pengesahan. Penggunaan SSID yang berkenaan dengan keamanan akan dibahas di Bab 10 ( Keamanan). Proses Open Sysytem authentication digunakan secara efektif dalam keduanya menjamin/mengamankan dan lingkungan yang tidak
menjamin.
7.7.2 Open System Authentication Process
Proses Open System Authentication terjadi sebagai berikut:
• Wireless klien membuat suatu permintaan untuk berhubungan kepada access point
• Access point membuktikan keaslian klien dan mengirimkan suatu hal
tanggapan positif klien menjadi terhubung .Langkah-Langkah ini dapat dilihat di Gambar 7.4.
Gambar 7.4 Sistem Autentikasi Open
Autentifikasi Open System adalah suatu proses yang sangat sederhana. Sebagai wireless LAN administrator, anda mempunyai pilihan untuk menggunakan WEP (wired equivalent privacy) enkripsi dengan autentifikasi Open System. Jika WEP digunakan dengan proses autentifikasi Open System, maka masih tidak ada verifikasi dari kunci WEP dalam setiap sisi dari koneksi selama autentifikasi. Lebih baik, WEP key digunakan hanya untuk pen-enkripsian data sekali saat klien terautentifikasi dan terasosiasi. Autentifikasi Open System digunakan dalam beberapa skenario, tetapi ada dua alasan utama untuk menggunakannya. Pertama, Autentifikasi Open System dipertimbangkan lebih amanam dari dua metode autentifikasi yang tersedia untuk alasan sebagai berikut. Dua, Autentifikasi Open System mudah untuk dikonfigurasi karena tidak membutuhkan konfigurasi sama sekali. Semua 802.11-compliant wireless LAN hardware dikonfigurasi untuk menggunakan autentifikasi Open System secara default, membuatnya mudah untuk memulai membangun dan menghubungkan jaringan wireless LAN anda dengan benar.
7.7.3 Shared Key Authentication
Pengesahan shared key adalah suatu metoda authentification yang memerlukan penggunaan WEP. WEP encryption menggunakan kunci yang dimasukkan ( pada umumnya oleh administrator) ke dalam kedua-duanya klien dan access point. Kunci ini harus [tanding/ temu] timbal balik untuk WEP untuk bekerja dengan baik. Kunci Yang bersama Pengesahan menggunakan WEP menyetem di (dalam) dua pertunjukan, ketika kita akan menguraikan di sini.
7.7.4 Shared Key Authentication Process
Proses pengesahan yang menggunakan Shared Key authentication terjadi sebagai berikut:
1. Suatu klien meminta asosiasi kepada suatu access point- langkah ini menjadi sama halnya itu sistem terbuka Pengesahan.
2. Akses Titik mengeluarkan suatu tantangan kepada klien- tantangan ini secara acak dihasilkan text datar, yang mana adalah dikirim dari access point klien bebas dari bahaya/kecurigaan
3. Klien bereaksi terhadap tantangan- klien menjawab dengan mengenkripsi tantangan teks menggunakan WEP klien menyetem dan mengirimkannya kembali ke access point
4. Access point bereaksi terhadap tanggapan klien- Access point de-enkripsi tanggapan yang di-enkripsi klien untuk memverifikasi yang tantangan teks adalah penggunaan di-enkripsi adalah mempertemukan suatu kunci WEP menyetel.
Melalui proses ini , access point menentukan ya atau tidaknya klien mempunyai WEP kunci yang benar. Jika WEP kunci klien benar, access point akan menjawab secara positif dan membuktikan keaslian klien itu. Jika WEP kunci klien tidak benar, access point akan menjawab secara negatif, dan tidak
membuktikan keaslian klien, meninggalkan klien yang tidak dibuktikan keasliannya dan tidak dihubungkan.
Gambar 7.5 Proses Shared Key
Itu akan nampak bahwa Proses Shared Key authentication jadi lebih menjamin dibandingkan dengan Open System Authentication, tetapi seperti anda akan segera lihat, ini bukan. Melainkan, Bagi Shared Key authentication membuka pintu untuk calon hackers. Adalah penting untuk memahami kedua kemungkinan bahwa WEP digunakan. WEP key dapat digunakan sepanjang Proses Shared Key authentication untuk memverifikasi suatu identitas klien, tetapi dapat juga digunakan untuk enkripsi dari data payload mengirimkan dengan klien melalui access point. WEP penggunaan jenis ini adalah dibahas lebih lanjut di dalam Bab
10 ( Keamanan).
7.7.5 Authentication Security
Shared Key authentication tidaklah dipertimbangkan menjamin sebab access point memancarkan tantangan teks bebas dari bahaya/kecurigaan dan menerima teks tantangan yang sama yang encrypted dengan WEP kunci. Skenario ini mengijinkan suatu hacker menggunakan suatu sniffer untuk lihat kedua-duanya plaintext menghadapi tantangan dan tantangan yang dienkripsi.Setelah keduaduanya nilai-nilai ini, suatu hacker bisa menggunakan suatu program cracking sederhana untuk memperoleh WEP kunci. Sekali ketika WEP kunci diperoleh, hacker bisa men-dekripsi lalu lintas yang terenkripsi. Adalah untuk alasan ini bahwa Open System Authentication dipertimbangkan lebih menjamin dibanding Shared Key authentication. Adalah penting bagi administrator wireless jaringan untuk memahami bahwa bukan Open System maupun Share Key authentication tipe keamanan, dan untuk alasan ini suatu solusi keamanan LAN wireless solusi, di atas dan di luar standard 802.11 yang ditetapkan, adalah perlu dan penting.
7.7.6 Shared Secrets & Certificates
Shared Secrets adalah teks atau angka-angka yang biasanya dikenal sebagai kunci WEP. Sertifikat adalah metoda identifikasi pemakai yang lain menggunakan dengan wireless. Sama halnya dengan kunci WEP, sertifikat ( yang mana dokumen telah disahkan) ditempatkan pada mesin klien sebelum waktu yang ditetapkan. Penempatan ini juga dikerjakan ketika berbagai keinginan pemakai untuk membuktikan keaslian ke jaringan wireless, mekanisme pengesahan telah pada tempatnya pada stasiun klien. Kedua metoda ini sudah menurut sejarah diterapkan di dalam suatu pertunjukan manual, tetapi ada aplikasi yang tersedia hari ini itu mengijinkan otomasi dari proses ini.
7.8 Emerging Wireless Security Solutions
Ada banyak protokol dan solusi keamanan pengesahan baru pada pasaran hari ini, mencakup VPN dan 802.Ix yang menggunakan Extensible Authentication Protocol (EAP). Banyak dari solusi keamanan ini melibatkan pengesahan melalui server pengesahan ke hulu dari accesssa point selagi memelihara klien yang menunggu sepanjang tahap pengesahan. Windows XP mempunyai pendukungan asli untuk 802.11, 802.Ix, dan EAP. Manufaktur Cisco dan LAN wireless juga mendukung standard ini. Karena alasan ini,untuk melihat bahwa 802.Ix dan solusi pengesahan EAP adalah suatu solusi umum dalam keamanan pasar LAN wireless.
7.8.1 802.1x and EAP 802.Ix (kontrol akses jaringan port-based) standard secara relatif baru, dan alat yang mendukungnya mempunyai kemampuan untuk mengijinkan sekedar koneksi ke dalam jaringan pada layer 2 hanya jika pengesahan pemakai sukses. Protokol ini bekerja baik untuk access point yang membutuhkan kemampuan untuk memelihara para pemakai yang memutuskan jaringan jika mereka tidak mendukung pada jaringan. EAP adalah, suatu protokol layer 2 yang menggantikan PAP atau CHAP dibawah PPP yang bekerja area jaringan lokal. EAP mengijinkan plug-ins manapun akhir dari suatu link dengan banyak metoda pengesahan dapat digunakan. Di masa lalu, PAP dan CHAP telah digunakan untuk pengesahan pemakaian, dan keduanya menggunakan password. Kebutuhan akan suatu yang lebih kuat. Alternatif yang lebih fleksibel harus jelas dengan jaringan wireless karena implementasi yang lebih bervariasi penuh dengan wireless dibanding dengan jaringan kawat. Secara khas, pengesahan pemakaian terpenuhi menggunakan Remote Authentication Dial-In user Service (RADIUS) server dan beberapa bentuk database pemakai ( Native RADIUS. NDS, Direktori Aktif, LDAP, dll.). Proses dalam autentifikasi menggunakan EAP ditunjukkan di dalam Gambar 7.6. Standar 802.11i yang baru meliputi mendukun untuk 802.Ix, EAP, AAA, pengesahan timbal balik, dan key generation, tidak satupun tercakup pada yang asli standard 802.11. " AAA" adalah singkatan dari authentication( mengidentifikasi siapa kita), authorization( menghubungkan dengan mengijinkan kita untuk melaksanakan tugas tertentu pada jaringan), dan accounting ( menunjukkan apa yang telah dilakukan dan mana yang dipunya pada jaringan). Di dalam model standard 802. Ix, autentifikasi jaringan terdiri dari tiga potongan: pemohon, authenticator, dan server autentifikasi.
Gambar 7.6 802.1x and EAP
Sebab keamanan LAN wireless penting dan tipe autentifikasi EAP menyediakan rata-rata pengamanan koneksi LAN wirelesst-vendor dengan cepat mengembangkan dan menambahkan tipe autentifikasi EAP kepada access point LAN wireless. Mengetahui jenis EAP yang sedang digunakan adalah penting di dalam pemahaman karakteristik dari metoda autentifikasi seperti kata sandi, key generation, mutusl authentication, dan protokol. Sebagian dari tipe autentifikasi EAP meliputi:
7.8.1.1 EAP-MD-5 Challenge.
Yang apaling jenis autentifikasi EAPl, ini sangat utama menyalin perlindungan password CHAP pada suatu LAN wireless. EAP-MD5 menghadirkan semacam tingkat dasar EAP mendukung antar 802.Ix.
7.8.1.2 EAP-CISCO Wireless.
Disebut LEAP ( Lightweight Extensible Authentication Protokol), Jenis autentifikasi EAP ini digunakan terutama semata dalam Cisco LAN wireless access point. LEAP menyediakan keamanan, enkripsi transmisi data menggunakan dinamis WEP keys yang dihasilkan, dan mendukung mutual authentication.
7.8.1.3 EAP-TLS (Transport Layer Security).
EAP-TLS menyediakan certificate-based,mutual autentifikasi klien dan jaringan. EAP-TLS bersandar pada sertifikat client-side dan server-side untuk melaksanakan autentifikasi, penggunaan yang dinamis menghasilkan pemakai dan WEP keys session-based membagikan untuk mengamankan jaringan. Windows XP meliputi suatu klien EAP-TLS, dan EAP-TLS juga mendukung Windows 2000.
7.8.1.4 EAP-TTLS.
Funk Software dan Certicom sudah bersama-sama mengembangkan EAP-TTLS (Tunneled Transport Layer Security). EAP-TTLS adalah suatu perluasan EAP-TLS, yang menyediakan certificate-based, mutual autentifikasi jaringan dan klien. Tidak sama dengan EAP-TLS, bagaimanapun, EAP-TTLS memerlukan hanya sertifikat server-side, menghapuskan kebutuhan untuk mengatur sertifikat untuk masing-masing klien LAN wireless. Sebagai tambahan, EAP-TTLS mendukung password protokol, maka kita dapat menyebarkannya melawan sistem autentifikasimu (seperti Aktive Directory atau NDS). EAP-TTLS dengan aman menerobos klien autentifikasi di dalam arsip TLS, memastikan bahwa sisa pemakai tanpa nama ke eavesdroppers pada the wireless link. Pemakai dihasilkan secara dinamis dan WEP kunci session-based dibagi-bagikan untuk menjamin koneksi. EAP-SRP (Secure Remote Password), SRP adalah suatu autentikasiberbasis password dan protokol key-exchange. Ini memecahkan permasalahan dalam klien yang membuktikan keaslian ke server dengan aman dalam keadaan dimana pemakai dari perangkat lunak klien harus menghafal suatu rahasia kecil ( seperti suatu kata sandi) dan tidak membawa informasi rahasia lain. Server membawa suatu pemeriksa untuk masing-masing pemakai, yang mana mengijinkan server untuk membuktikan keaslian klien. Bagaimanapun, jika pemeriksa disepakati, penyerang tidak akan diijinkan untuk menyamar klien. Sebagai tambahan, SRP menukar suatu rahasia yang kuat sebagai byproduct dari autentikasi yang sukses, yang mana memungkinkan kedua pihak untuk komunikasi dengan aman. EAP-SIM ( GSM). EAP-SIM adalah suatu mekanisme untuk mobile IP jaringan mengakses pendaftaran dan autentikasi pembangkitan key menggunakan GSM Subscriber Identity Module(SIM). Dasar pemikiran untuk . yang menggunakan GSM SIM dengan mobile IP akan pengungkitan GSM otorisasi infrastruktur yang ada dengan user yang ada mendasarkan dan SIM kartu saluran distribusi yang ada. Dengan penggunaan SIM kunci pertukaran, tidak ada asosiasi keamanan yang lain yang dikonfigurasi terlebih dahulu di samping SIM kartu diperlukan pada mobile node. Gagasannya bukanlah untuk menggunakan teknologi GSM radio akses, tetapi untuk menggunakan GSM SIM otorisasi dengan mobile IP pada layer manapun, sebagai contoh pada akses jaringan wireless LAN. Ada kemungkinan bahwa daftar autentikasi jenis EAP akan tumbuh ketika semakin banyak penjual masuk wireless LAN keamanan pasar, dan sampai pasar memilih suatu standard. Jenis EAP pengesahan yang berbeda tidaklah tercakup pada ujian CWNA, tetapi pemahaman apa EAP adalah dan bagaimana digunakan di dalam umum adalah suatu unsur kunci di (dalam) menjadi efektif sebagai wireless network administrator
