Mengapa captive portal itu payah (suck), dan mengapa kita (sebaiknya) berpindah ke teknologi 802.1x?

Jumlah pengguna WiFi di UII saat masih menggunakan captive portal pada siang hari rerata maksimal hanya di angka 1300an.

Ketika UII beralih menggunakan teknologi 802.1x, rerata jumlah pengguna WiFi maksimal di UII mencapai angka 13.000, atau dengan kata lain, nyaris 1 dari 2 mahasiswa UII berada di kampus terkoneksi dengan WiFi kampus 

(Andri Setiawan, 2017)

Quote di atas saya tulis untuk menggambarkan, bagaimana transformasi pilihan teknologi di UII menjadikan kenaikan jumlah pengguna yang sangat signifikan. Pertanyaannya adalah, mengapa UII meninggalkan model autentikasi WiFi berbasis pada captive portal yang boleh dibilang sebagai de facto standar model autentikasi WiFi di Indonesia (setidaknya sampai dengan saat tulisan ini dibuat – akhir 2018)?

Secara teknologi, captive portal adalah proses autentikasi yang dilakukan (mayoritas) dalam jaringan WiFi terbuka (open). Proses autentikasi terjadi setelah user terhubung ke dalam jaringan. Secara teknis, user mendapatkan alamat IP (IP address) dari gateway (DHCP server), kemudian user akan diarahkan untuk membuka laman autentikasi dengan menggunakan web browser. Setelah autentikasi berhasil dilakukan, barulah kemudian pengguna dapat mengakses internet. Saya menyebut metode ini dengan suck, alias payah. Di masanya, mungkin metode ini memang metode terbaik, akan tetapi, dengan perkembangan teknologi, metode ini sudah selayaknya ditinggalkan. Mengapa demikian?

Pertama, dengan menggunakan metode captive portal, seluruh pengguna akan bergabung dalam satu pool alamat IP yang sama, alias berada dalam VLAN yang sama. Sehingga, jika kita ingin membedakan grup VLAN satu dengan yang lain, maka, kita harus mempersiapkan WiFi dengan jumlah SSID lebih dari satu.

Kedua, dengan menggunakan metode autentikasi captive portal, setiap pengguna akan terasosiasi dengan jaringan terlebih dahulu. Setiap pengguna akan mendapatkan alamat IP, dan tergabung dengan jaringan WiFi. Meskipun akses internet dibatasi, akan tetapi setidaknya setiap pengguna yang menggunakan captive portal, telah mendapatkan resources jaringan, dan segala hal bisa terjadi. Salah satu mekanisme yang cukup populer untuk mem-by pass metode autentikasi captive portal adalah dengan melakukan MAC Address spoofing. Mekanisme ini memungkinkan seseorang berpura-pura menjadi user lain yang telah terutentikasi sebelumnya di dalam jaringan. Perlu diketahui, untuk berkomunikasi dalam sebuah Local Area Network, setiap perangkat akan mempergunakan alamat fisik jaringan yang kita kenal dengan nama MAC Address.

Ketiga, meski sangat tergantung desainnya, tidak jarang portal autentikasi dalam captive portal tidak ramah terhadap mobile alias smartphone. Hal ini tidak jarang menyebabkan para pengguna mobile malas untuk terkoneksi ke dalam jaringan WiFi karena keribetan yang harus dialami para pengguna ini, misal, melakukan zoom-in halaman login. Akibatnya, cukup banyak pengguna smartphone yang lebih memilih menggunakan paket data masing-masing ketimbang terhubung dengan WiFi. WiFi hanya dipergunakan ketika menggunakan perangkat lain seperti laptop yang layarnya jauh lebih besar, dan mereka tidak ada opsi lain untuk terhubung ke internet kecuali dengan WiFi.

Keempat, saya pernah melakukan survey kecil-kecilan, “Apakah ada di antara anda, ketika terhubung dalam jaringan dengan captive portal, portal autentikasinya tidak muncul?” Dan tidak ada satupun yang tidak menjawab tidak, alias semua orang pernah merasakan, pada saat hendak melakukan autentikasi, halaman autentikasi tidak muncul. Sehingga mereka harus melakukan enable-disable perangkat WiFi (di laptop), atau mematikan menghidupkan WiFi di smartphone masing-masing. Hal ini tentu saja membuat jengkel calon pengguna yang akan terhubung ke dalam jaringan.

Lalu, solusinya seperti apa dong?

Network di UII mulai berpindah ke teknologi 802.1x sejak pertengahan tahun 2016. Teknologi ini memungkinkan konsep SET and FORGET, yang berarti pengguna hanya perlu memasukkan username dan password mereka, sekali, dan berlaku selamanya. Di kemudian hari, ketika mereka hendak terhubung ke dalam jaringan, mereka tidak perlu mengalami keribetan harus memasukkan username dan password. Terknoneksi WiFi dengan teknologi ini semudah pengguna terhubung ke dalam WiFi di rumah (yang biasanya menggunakan WPA2 sebagai pengamanannya). WiFi akan terhubung secara otomatis tanpa intervensi pengguna.

Apa yang membedakan teknologi 802.1x dengan WPA2 yang banyak dipergunakan di rumah-rumah? Secara prinsip mereka mirip, hanya saja dengan menggunakan WPA2, semua orang akan menggunakan password yang sama. Hal ini tentu sangat beresiko jika digunakan di kampus, apalagi seperti UII yang jumlah mahasiswa mencapai sekitar 25.000 orang. Teknologi 802.1x atau yang juga dikenal dengan nama WPA/Enterprise ini membutuhkan autentikasi personal sebelum perangkat terhubung dengan jaringan.

Teknologi 802.1x saat ini sudah embedded dalam setiap sistem operasi moderen. Berbeda dengan captive portal yang membutuhkan aplikasi browser terlebih dahulu untuk melakukan autentikasi. Kemudian, perbedaan yang paling signifikan dari perspektif keamanan adalah, dengan menggunakan captive portal, setiap pengguna akan terasosiasi ke dalam jaringan terlebih dahulu, baru kemudian mereka melakukan autentikasi. Sebaliknya, dengan menggunakan teknologi 802.1x, setiap pengguna harus terautentikasi terlebih dahulu, sebelum terasosiasi ke dalam jaringan. Implikasinya, sebelum pengguna terautentikasi, mereka tidak akan mendapatkan alamat IP, yang pada akhirnya akan berimbas kepada kondisi yang jauh lebih aman. Permasalahan seperti spoofing alamat MAC, seperti pada captive portal dapat dihindari. 

Bahkan, beberapa vendor WiFi yang kelasnya sudah enterprise (yang umumnya ada di kuadran kanan atas dari Magic Quadrant Gartner) seperti Cisco ataupun Aruba, memungkinkan dijalankannya konsep single SSID multiple VLAN. Dalam kasus UII, baik mahasiswa, dosen, maupun tenaga kependidikan/staf, semua akan terhubung ke dalam SSID tunggal yang bernama UIIConnect. Akan tetapi, meskipun mereka terhubung dalam SSID yang sama, akan tetapi, masing-masing orang akan mendapatkan hak akses (otorisasi) dan policy yang berbeda-beda, tergantung organisasi mereka. Dengan kata lain, walau semua orang terhubung dalam WiFi yang sama, VLAN mereka bisa berbeda-beda. Hal yang TIDAK MUNGKIN dilakukan dengan menggunakan captive portal

Umumnya, dalam konsep keamanan, kenyamanan selalu berbanding terbalik ketimbang keamanan. Akan tetapi, 802.1x merupakan sedikit pengecualian. Dengan adanya konsep SET and FORGET, serta keamanan yang jauh lebih baik sebagaimana yang dijelaskan di atas, para pengguna tidak pernah merasa ribet pada saat hendak terhubung, dan di saat yang sama, para pengelola jaringan pun tidak merasa khawatir, mengingat setiap pengguna dapat dipastikan melakukan proses autentikasi, dan yang lebih menarik, semua proses autentikasi dilakukan di belakang layar, tanpa interaksi sama sekali dengan pengguna, kecuali pada saat pertama kali mereka terhubung, atau saat mereka mengganti password. Wajar jika kemudian jumlah pengguna WiFi di UII meningkat pesat, lebih dari 10 kali lipat dibandingkan pada saat masih menggunakan teknologi captive portal. Bahkan UII mulai mendapatkan pengguna WiFi yang nyaris tidak pernah menggunakan WiFi sebelumnya, yakni para satpam. Mereka sebelumnya tidak pernah terhubung ke dalam jaringan karena pekerjaan mereka tidak memungkinkan untuk membuka perangkat seperti laptop.

Jadi, mengapa masih harus mempertahankan teknologi yang sudah kuno seperti captive portal jika ada alternatif yang jauh lebih baik seperti teknologi 802.1x?

Mengapa berbagi?

Seri kedua dari Practice what you preach – Preach what you practice

Namanya juga dosen, saya memang hobinya ngecap hehe. Tradisi dosen ini yang pada akhirnya saya bawa ke dalam Badan Sistem Informasi (BSI) UII. Semua staf di BSI UII akan mendapat kesempatan untuk berbagi di sesi Tech Talk yang sudah kita patenkan untuk diselenggarakan secara rutin setiap hari Kamis pagi, kecuali ada acara penting dan mendesak di lingkungan UII. Jadi bagi staf BSI, mengisi acara di depan umum bukan lagi masalah IF tapi sudah merupakan masalah WHEN. Tinggal tunggu giliran saja untuk kemudian maju di depan forum. Bahkan saya sangat mengapresiasi jika ada staf di BSI UII bisa mengisi di tempat lain, dalam beragam forum (terutama terkait teknologi informasi).

speaker

Berbagi bagi kami di BSI adalah salah satu bukti bahwa kami telah memahami konsep dengan baik. Kita boleh saja mengatakan bahwa kita telah menjadi expert dalam sebuah bidang. Tapi ketika kita tidak mampu mendeliver pengetahuan tersebut ke ranah publik, berarti pemahaman kita sebenarnya belum terlalu komprehensif. Setidaknya demikianlah nilai yang diyakini oleh kami. 

Nah, pertanyaan yang kemudian sangat mendasar adalah mengapa kita berbagi? Di seri tulisan sebelumnya, landasan mendasar dari berbagi adalah obsesi ketuhanan, obsesi menjadi generasi rabbani. Nilai ini yang mendasari dari sisi spiritual. Tapi kemudian, dari aspek sosiologis, apa hal-hal yang sebenarnya diinginkan dari berbagi ini?

Kembali lagi ketika saya masih studi S3 di Australia. Adalah betul bahwa setiap kampus yang ada di Australia saat saya ada di sana, mereka saling bersaing satu dengan yang lain. Akan tetapi ada satu hal yang kemudian saya cermati, bahwa dalam posisi mereka bersaing satu dengan yang lain, mereka tetap berkolaborasi satu dengan yang lain. Masing-masing kampus sudah sangat terbiasa berbagi, terbiasa berdiskusi, terbiasa untuk saling berkunjung satu dengan yang lain.

Apa imbas yang kemudian kami rasakan? Semua kampus kemudian berkembang bersama. Dari perspektif saya yang saat itu menjadi mahasiswa, pada saat saya berkunjung ke kampus lain di Australia, tidak ada suasana yang berbeda antara satu dengan yang lain. Artinya ketika saya harus melakukan joint research, akses yang saya dapatkan seamless, perasaan saya ketika berkunjung ke kampus lain pun equal, meski di lapangan kampus tersebut peringkatnya dengan kampus saya selisih ratusan (dalam versi The Higher Education Supplement – THES). Jadi tidak ada cerita, kampus satu dengan kampus yang lain terlihat jomplang.

Saya sangat terkesan dengan bagaimana Research Education Network (REN) di Australia, AARNET bermula dari beberapa universitas di Australia bekerja sama untuk membentuk National Network. Mereka saling berbagi pengetahuan satu dan yang lain, hingga akhirnya memiliki jaringan yang sangat luar biasa maju.

Karena itulah, sudah sekitar satu tahun terakhir, kami banyak berdiskusi, berbagai dengan beragam pihak, baik lokal di Yogyakarta (Universitas dan non-Universitas), nasional, maupun internasional, untuk membangun kerja sama dan menjadi ajang kami berbagi. Yang menarik, pada saat kami berbagi, sebenarnya saat itu kami sedang belajar dari tempat yang lain.  Walaupun nampaknya kami berbagi, berbagi tentang transformasi IT di BSI UII, tapi sebenarnya kami lah yang belajar dari beragam institusi lain. Kami belajar dari masalah-masalah mereka, untuk kemudian kami melakukan kegiatan prevention untuk mencegah hal tersebut terjadi di kami.

Jadi pada prinsipnya, kegiatan berbagi sama sekali tidak mengurangi apa yang kami miliki, justru kebalikannya, semakin lama, basis pengetahuan kami semakin bertambah. Apalagi dalam ranah teknologi informasi, yang tidak jarang update terjadi dalam waktu yang sangat pendek, atau dengan kata lain, siklus hidup yang sangat pendek. 

Membangun budaya, bukan sekedar membeli teknologi

Suatu ketika, saat salah satu fakultas di UII mendapatkan kunjungan dari asesor dari salah satu lembaga akreditas internasional dan saya bertugas mendampingi asesor tersebut ketika melakukan visitasi lapangan terkait teknologi informasi. Pada saat pendampingan, ada pertanyaan yang muncul dari asesor tersebut “What do you think about your IT infrastructures? Are you happy with it? How do you improve it?” dan beberapa pertanyaan lainnya.

Building Lego

Pertanyaan yang dia lontarkan adalah pertanyaan yang wajar yang datang dari seorang asesor yang berasal dari luar negeri. Karena seringkali memang pada kenyataannya, di Indonesia, tidak banyak kampus yang mampu memberikan delivery teknologi informasi yang sejajar dengan apa yang diberikan oleh kampus-kampus di luar negeri. Dahulu saya pun selalu memandang kampus di luar negeri dengan kepala mendongak. Seperti sebuah bintang nun jauh di sana, yang tidak mungkin bagi kami yang ada di Indonesia untuk mengejarnya. Seakan-akan, yang ada di Indonesia ini hanya bisa bermimpi sambil terbayang susahnya untuk mencapai level yang sama dengan yang ada di luar negeri tadi.

Saat itu kami sedang mengawali, sedang berada di tahun pertama proses transformasi teknologi informasi di kampus. Sebagaimana tulisan yang pernah saya share di laman ini, semua proses perubahan teknologi informasi selalu berawal dari sebuah nilai yang hendak disasar. Maka kemudian pertanyaan itu saya jawab seperti ini:

You know, as long as we have money, we can buy any kind of technology that we want. But, we are not just buying tech. We want to create a culture. We want to see my students learn anywhere they want. We want to make a culture shift. We want to see how information technology is being used to shape the way we work, the way we learn, and the way we play. 

Jadi, secara umum saya menjawab bahwa membeli teknologi ini sangat mudah, asal punya uang, saya bisa beli semua hal. Tapi membeli teknologi bisa menjadi hal yang kurang bermanfaat ketika pada akhirnya tidak ada nilai yang bisa tercapai.

Salah satu contoh yang terjadi di UII adalah pada saat kami memperkenalkan teknologi yang bernama UIIPrint. Layanan ini memungkinkan seluruh civitas akademika UII untuk melakukan layanan cetak, kopi, dan pindai (print, copy, and scanning) secara mandiri dan tersedia di banyak lokasi di seluruh fakultas di UII. Seorang dosen/mahasiswa bisa mencetak dari manapun di seluruh penjuru dunia, asal memiliki koneksi internet. Layanan ini juga kami siapkan untuk mereduksi jumlah printer di UII yang jumlahnya nauzubillah 😀 dan memberikan layanan terbaik, dengan kualitas cetak yang sangat baik, jauh dari existing printer yang ada di UII.

Tapi sebenarnya ada nilai lain yang lahir dari konsep UIIPrint ini, yakni agar dosen/staf dan mahasiswa UII mau jalan kaki. Tidak jarang dosen/staf duduk seharian di ruang mereka dan tidak pernah jalan kaki, alias mager, duduk di tempat. Pada saat mereka mencetak dokumen pun, cukup di meja saja. Lengkap sudah kemalasan mereka. Karena itulah, adanya UIIPrint paling tidak dapat memaksa mereka untuk berjalan kaki ke perangkat UIIPrint.

Kami bahkan membikin joke, “Katanya mau jihad, masak jalan 10 meter saja tidak mau! ” 😀 UIIPrint lahir bukan hanya untuk mereduksi jumlah printer, tapi juga mengubah kultur agar berhemat kertas, kalaupun mencetak, tentu sesuai kebutuhan, karena harus jalan terlebih dahulu sebelum mengambil cetakan, dan lain sebagainya. Jadi di sini, teknologi UIIPrint diadakan untuk membangun budaya, bukan penggunaan teknologi belaka nir makna. Begitu pula dengan beragam teknologi lain yang kami introduksi, semua bermuara untuk melakukan perubahan budaya.

IT as an enabler, teknologi informasi sebagai pemungkin nilai

Emphasizing that access to information on the Internet facilitates vast opportunities for affordable and inclusive education globally, thereby being an important tool to facilitate the promotion of the right to education, while underlining the need to address digital literacy and the digital divide, as it affects the enjoyment of the right to education (UN Resolution, Human Right Council, 2016)

Proses perubahan IT di UII diawali dari sebuah kesadaran, dan introspeksi bahwa ada yang salah dengan IT. Sebenarnya tidak butuh kejelian mata dalam memandang, cukup dengan perasaan saja kami di UII menyadari, there is something wrong with us. Hanya saja, kami memang pada akhirnya mengundang auditor eksternal untuk meng-assess kami. Sebelum dilakukan proses audit, saat berdiskusi dengan auditor eksternal, mereka cukup terkaget juga, karena baru kali ini mereka mendapatkan client audit dari institusi pendidikan. Selama ini mereka melakukan audit ke perbankan (dalam rangka memenuhi tuntutan aturan OJK biasanya), kemudian ke pertambangan (semacam Pertamina), dan berbagai industri lainnya, dan bahkan mereka jarang mendapatkan client dari luar Jakarta . Jadi membangun kesadaran bahwa ada yang salah dengan kita menjadi kata kunci pertama terjadinya perubahan IT. Audit yang dilakukan di UII didasarkan pada framework COBIT 4.

Selepas dilakukannya audit, maka kemudian kami selaku tim manajemen IT yang baru di UII merancang program yang kami sebut quick win initiatives. Saat itu departemen IT, yang kalau di UII dinamakan Badan Sistem Informasi, adalah badan yang memiliki tingkat kepercayaan publik termasuk paling rendah sendiri. Sehingga dibutuhkan strategi khusus untuk meningkatkan kembali kepercayaan pengguna. Salah satu program yang kami usulkan saat itu adalah UIIConnect. Saat itu sebenarnya saya terinspirasi oleh infrastruktur wireless pada waktu saya sekolah S3 dulu di Australia, di The University of Queensland, yang dinamakan UQconnect.

Saat itu saya sangat merasa terbantu sekali dengan keberadaan wifi yang bersifat ubiquitous, akses yang tersedia di mana-mana dengan kualitas yang sama, dimana bahkan saya sendiri seringkali bekerja/belajar di tepian danau di dalam kampus yang bernama UQ Lake. Tak jarang pula saya melihat kumpulan mahasiswa berdiskusi dan belajar, tidak hanya di ruang kelas saja, tapi juga di tengah taman, lapangan, di kantin, dan beragam tempat lainnya. Suasana dan atmosfer kampus begitu hidup.

Atmosfer belajar di UQ

Dari sinilah titik kesadaran tersebut dibangun, kami ingin menciptakan atmosfer serupa. Inisiatif IT yang hendak kami bangun mestilah memiliki tujuan besar, bukan sekedar menghabiskan anggaran, tapi kami ingin membangun atmosfer. Atmosfer yang saat kami sekolah dahulu di luar negeri kami terima begitu saja, taken for granted. Cita-cita kami sangat sederhana, kami ingin mahasiswa UII mendapatkan dan membangun atmosfer yang sama seperti dahulu kami merasakan ketika kuliah di luar negeri. Atmosfer itu tentu tidak mungkin terbangun kalau infrastruktur pendukungnya acak-acakan. Melalui studi intensif yang serius di tim manajemen, kemudian saya juga melibatkan mahasiswa saya sendiri untuk mendiskusikan infrastruktur apa yang tepat untuk UII, maka lahirlah konsep UIIConnect yang menjadi backbone infrastruktur UII.

Kembali ke infrastruktur, kami menyadari bahwa UII adalah kelas berat, dia lebih enterprise dari banyak enterprise yang ada di Indonesia. Kami menyadari, tidak mungkin kelas enterprise hanya berbicara seperti kelas warnet. User kami mencapai hampir 30,000 orang (dosen, staf, mahasiswa, dan tamu). Maka ketika merancang WiFi pun juga tidak main-main. Saat itu kami menggunakan pihak ketiga untuk melakukan survey lapangan, di beberapa kampus kami (yang tidak terpusat di satu tempat saja). Kami gunakan software seperti Ekahau untuk merancang, dan menentukan, posisi di mana saja Access Point (AP) harus dipasang. Untuk mendukung backbone, bahkan kami harus roll-out Fiber Optic baru sepanjang 6.6km dengan sekian puluh cores untuk mendukung konsumsi data di masa mendatang. Kami ganti pula core switch kami dengan Cisco 3850 yang didukung dengan puluhan ports yang sudah siap pada kapasitas 10Gbps bahkan disiapkan untuk sanggup mencapai 40Gbps.

Lalu di mana kami harus memasang AP? Pada prinsipnya, perubahan yang dilakukan harus dirasakan oleh semua pihak. Tidak ada lagi fakultas kaya, fakultas miskin, semua akses harus sama, tidak ada diskriminasi. Tidak ada cerita bahwa untuk mendapat akses internet cepat harus berada di tempat ini, di titik ini, dan di jam tertentu. Dan target pertama kami adalah mahasiswa harus happy. Mereka lah salah satu yang mendukung jalan hidup UII. Kalau dipilih dosen, ketika mereka mendapat akses cepat, belum tentu mahasiswa dapat akses yang cepat. Tapi kalau sebaliknya, mahasiswa mendapat akses cepat, tentu dosen pun akan dapat akses yang cepat.

Kemudian sebagai upaya membangun atmosfer, kami letakkan pula AP di tempat yang bahkan oleh beberapa pihak dipandang aneh, yakni di Masjid. Kami adalah kampus Islam, tentu kami menginginkan mahasiswa kami dekat dengan masjid. Pada awalnya ya tentu saja ada sedikit protes, kok internet dipasang di masjid? Nanti ibadah menjadi tidak khusyu’. Kami berargumen, bahwa justru dengan adanya internet, paling tidak ketika mahasiswa ada di masjid, mereka lebih dekat dengan sholat, dengan kajian (walau pada akhirnya hadir tidak untuk berniat mengikuti kajian), dan setidaknya tidak akan mengakses yang aneh-aneh ketika di sana  Dan Alhamdulillah, saat ini mahasiswa tidak hanya hadir di masjid saat waktu sholat saja. Suasana yang mendukung e.g. karpet empuk, AC, bisa belajar sambil tiduran, dan akses internet yang super cepat, menjadikan mahasiswa betah berada di sana.

Nilai seperti itulah yang menjadi spirit kami, bahwa seharusnya teknologi informasi bisa menjadi enabler, yang memungkinkan value yang diinginkan oleh universitas terjadi. Kami menginginkan IT bukan hanya menjadi alat dan perangkat, tapi dia menjadi salah satu akselerator perubahan, pembangun atmosfer akademik yang lebih baik. Dan hingga hari ini, kami masih terus berusaha melakukan perubahan, membawa value yang lebih baik lagi bagi kampus kami, dan bagi Indonesia secara umum melalui IT.