Mengapa captive portal itu payah (suck), dan mengapa kita (sebaiknya) berpindah ke teknologi 802.1x?

Jumlah pengguna WiFi di UII saat masih menggunakan captive portal pada siang hari rerata maksimal hanya di angka 1300an.

Ketika UII beralih menggunakan teknologi 802.1x, rerata jumlah pengguna WiFi maksimal di UII mencapai angka 13.000, atau dengan kata lain, nyaris 1 dari 2 mahasiswa UII berada di kampus terkoneksi dengan WiFi kampus 

(Andri Setiawan, 2017)

Quote di atas saya tulis untuk menggambarkan, bagaimana transformasi pilihan teknologi di UII menjadikan kenaikan jumlah pengguna yang sangat signifikan. Pertanyaannya adalah, mengapa UII meninggalkan model autentikasi WiFi berbasis pada captive portal yang boleh dibilang sebagai de facto standar model autentikasi WiFi di Indonesia (setidaknya sampai dengan saat tulisan ini dibuat – akhir 2018)?

Secara teknologi, captive portal adalah proses autentikasi yang dilakukan (mayoritas) dalam jaringan WiFi terbuka (open). Proses autentikasi terjadi setelah user terhubung ke dalam jaringan. Secara teknis, user mendapatkan alamat IP (IP address) dari gateway (DHCP server), kemudian user akan diarahkan untuk membuka laman autentikasi dengan menggunakan web browser. Setelah autentikasi berhasil dilakukan, barulah kemudian pengguna dapat mengakses internet. Saya menyebut metode ini dengan suck, alias payah. Di masanya, mungkin metode ini memang metode terbaik, akan tetapi, dengan perkembangan teknologi, metode ini sudah selayaknya ditinggalkan. Mengapa demikian?

Pertama, dengan menggunakan metode captive portal, seluruh pengguna akan bergabung dalam satu pool alamat IP yang sama, alias berada dalam VLAN yang sama. Sehingga, jika kita ingin membedakan grup VLAN satu dengan yang lain, maka, kita harus mempersiapkan WiFi dengan jumlah SSID lebih dari satu.

Kedua, dengan menggunakan metode autentikasi captive portal, setiap pengguna akan terasosiasi dengan jaringan terlebih dahulu. Setiap pengguna akan mendapatkan alamat IP, dan tergabung dengan jaringan WiFi. Meskipun akses internet dibatasi, akan tetapi setidaknya setiap pengguna yang menggunakan captive portal, telah mendapatkan resources jaringan, dan segala hal bisa terjadi. Salah satu mekanisme yang cukup populer untuk mem-by pass metode autentikasi captive portal adalah dengan melakukan MAC Address spoofing. Mekanisme ini memungkinkan seseorang berpura-pura menjadi user lain yang telah terutentikasi sebelumnya di dalam jaringan. Perlu diketahui, untuk berkomunikasi dalam sebuah Local Area Network, setiap perangkat akan mempergunakan alamat fisik jaringan yang kita kenal dengan nama MAC Address.

Ketiga, meski sangat tergantung desainnya, tidak jarang portal autentikasi dalam captive portal tidak ramah terhadap mobile alias smartphone. Hal ini tidak jarang menyebabkan para pengguna mobile malas untuk terkoneksi ke dalam jaringan WiFi karena keribetan yang harus dialami para pengguna ini, misal, melakukan zoom-in halaman login. Akibatnya, cukup banyak pengguna smartphone yang lebih memilih menggunakan paket data masing-masing ketimbang terhubung dengan WiFi. WiFi hanya dipergunakan ketika menggunakan perangkat lain seperti laptop yang layarnya jauh lebih besar, dan mereka tidak ada opsi lain untuk terhubung ke internet kecuali dengan WiFi.

Keempat, saya pernah melakukan survey kecil-kecilan, “Apakah ada di antara anda, ketika terhubung dalam jaringan dengan captive portal, portal autentikasinya tidak muncul?” Dan tidak ada satupun yang tidak menjawab tidak, alias semua orang pernah merasakan, pada saat hendak melakukan autentikasi, halaman autentikasi tidak muncul. Sehingga mereka harus melakukan enable-disable perangkat WiFi (di laptop), atau mematikan menghidupkan WiFi di smartphone masing-masing. Hal ini tentu saja membuat jengkel calon pengguna yang akan terhubung ke dalam jaringan.

Lalu, solusinya seperti apa dong?

Network di UII mulai berpindah ke teknologi 802.1x sejak pertengahan tahun 2016. Teknologi ini memungkinkan konsep SET and FORGET, yang berarti pengguna hanya perlu memasukkan username dan password mereka, sekali, dan berlaku selamanya. Di kemudian hari, ketika mereka hendak terhubung ke dalam jaringan, mereka tidak perlu mengalami keribetan harus memasukkan username dan password. Terknoneksi WiFi dengan teknologi ini semudah pengguna terhubung ke dalam WiFi di rumah (yang biasanya menggunakan WPA2 sebagai pengamanannya). WiFi akan terhubung secara otomatis tanpa intervensi pengguna.

Apa yang membedakan teknologi 802.1x dengan WPA2 yang banyak dipergunakan di rumah-rumah? Secara prinsip mereka mirip, hanya saja dengan menggunakan WPA2, semua orang akan menggunakan password yang sama. Hal ini tentu sangat beresiko jika digunakan di kampus, apalagi seperti UII yang jumlah mahasiswa mencapai sekitar 25.000 orang. Teknologi 802.1x atau yang juga dikenal dengan nama WPA/Enterprise ini membutuhkan autentikasi personal sebelum perangkat terhubung dengan jaringan.

Teknologi 802.1x saat ini sudah embedded dalam setiap sistem operasi moderen. Berbeda dengan captive portal yang membutuhkan aplikasi browser terlebih dahulu untuk melakukan autentikasi. Kemudian, perbedaan yang paling signifikan dari perspektif keamanan adalah, dengan menggunakan captive portal, setiap pengguna akan terasosiasi ke dalam jaringan terlebih dahulu, baru kemudian mereka melakukan autentikasi. Sebaliknya, dengan menggunakan teknologi 802.1x, setiap pengguna harus terautentikasi terlebih dahulu, sebelum terasosiasi ke dalam jaringan. Implikasinya, sebelum pengguna terautentikasi, mereka tidak akan mendapatkan alamat IP, yang pada akhirnya akan berimbas kepada kondisi yang jauh lebih aman. Permasalahan seperti spoofing alamat MAC, seperti pada captive portal dapat dihindari. 

Bahkan, beberapa vendor WiFi yang kelasnya sudah enterprise (yang umumnya ada di kuadran kanan atas dari Magic Quadrant Gartner) seperti Cisco ataupun Aruba, memungkinkan dijalankannya konsep single SSID multiple VLAN. Dalam kasus UII, baik mahasiswa, dosen, maupun tenaga kependidikan/staf, semua akan terhubung ke dalam SSID tunggal yang bernama UIIConnect. Akan tetapi, meskipun mereka terhubung dalam SSID yang sama, akan tetapi, masing-masing orang akan mendapatkan hak akses (otorisasi) dan policy yang berbeda-beda, tergantung organisasi mereka. Dengan kata lain, walau semua orang terhubung dalam WiFi yang sama, VLAN mereka bisa berbeda-beda. Hal yang TIDAK MUNGKIN dilakukan dengan menggunakan captive portal

Umumnya, dalam konsep keamanan, kenyamanan selalu berbanding terbalik ketimbang keamanan. Akan tetapi, 802.1x merupakan sedikit pengecualian. Dengan adanya konsep SET and FORGET, serta keamanan yang jauh lebih baik sebagaimana yang dijelaskan di atas, para pengguna tidak pernah merasa ribet pada saat hendak terhubung, dan di saat yang sama, para pengelola jaringan pun tidak merasa khawatir, mengingat setiap pengguna dapat dipastikan melakukan proses autentikasi, dan yang lebih menarik, semua proses autentikasi dilakukan di belakang layar, tanpa interaksi sama sekali dengan pengguna, kecuali pada saat pertama kali mereka terhubung, atau saat mereka mengganti password. Wajar jika kemudian jumlah pengguna WiFi di UII meningkat pesat, lebih dari 10 kali lipat dibandingkan pada saat masih menggunakan teknologi captive portal. Bahkan UII mulai mendapatkan pengguna WiFi yang nyaris tidak pernah menggunakan WiFi sebelumnya, yakni para satpam. Mereka sebelumnya tidak pernah terhubung ke dalam jaringan karena pekerjaan mereka tidak memungkinkan untuk membuka perangkat seperti laptop.

Jadi, mengapa masih harus mempertahankan teknologi yang sudah kuno seperti captive portal jika ada alternatif yang jauh lebih baik seperti teknologi 802.1x?

Membangun budaya, bukan sekedar membeli teknologi

Suatu ketika, saat salah satu fakultas di UII mendapatkan kunjungan dari asesor dari salah satu lembaga akreditas internasional dan saya bertugas mendampingi asesor tersebut ketika melakukan visitasi lapangan terkait teknologi informasi. Pada saat pendampingan, ada pertanyaan yang muncul dari asesor tersebut “What do you think about your IT infrastructures? Are you happy with it? How do you improve it?” dan beberapa pertanyaan lainnya.

Building Lego

Pertanyaan yang dia lontarkan adalah pertanyaan yang wajar yang datang dari seorang asesor yang berasal dari luar negeri. Karena seringkali memang pada kenyataannya, di Indonesia, tidak banyak kampus yang mampu memberikan delivery teknologi informasi yang sejajar dengan apa yang diberikan oleh kampus-kampus di luar negeri. Dahulu saya pun selalu memandang kampus di luar negeri dengan kepala mendongak. Seperti sebuah bintang nun jauh di sana, yang tidak mungkin bagi kami yang ada di Indonesia untuk mengejarnya. Seakan-akan, yang ada di Indonesia ini hanya bisa bermimpi sambil terbayang susahnya untuk mencapai level yang sama dengan yang ada di luar negeri tadi.

Saat itu kami sedang mengawali, sedang berada di tahun pertama proses transformasi teknologi informasi di kampus. Sebagaimana tulisan yang pernah saya share di laman ini, semua proses perubahan teknologi informasi selalu berawal dari sebuah nilai yang hendak disasar. Maka kemudian pertanyaan itu saya jawab seperti ini:

You know, as long as we have money, we can buy any kind of technology that we want. But, we are not just buying tech. We want to create a culture. We want to see my students learn anywhere they want. We want to make a culture shift. We want to see how information technology is being used to shape the way we work, the way we learn, and the way we play. 

Jadi, secara umum saya menjawab bahwa membeli teknologi ini sangat mudah, asal punya uang, saya bisa beli semua hal. Tapi membeli teknologi bisa menjadi hal yang kurang bermanfaat ketika pada akhirnya tidak ada nilai yang bisa tercapai.

Salah satu contoh yang terjadi di UII adalah pada saat kami memperkenalkan teknologi yang bernama UIIPrint. Layanan ini memungkinkan seluruh civitas akademika UII untuk melakukan layanan cetak, kopi, dan pindai (print, copy, and scanning) secara mandiri dan tersedia di banyak lokasi di seluruh fakultas di UII. Seorang dosen/mahasiswa bisa mencetak dari manapun di seluruh penjuru dunia, asal memiliki koneksi internet. Layanan ini juga kami siapkan untuk mereduksi jumlah printer di UII yang jumlahnya nauzubillah 😀 dan memberikan layanan terbaik, dengan kualitas cetak yang sangat baik, jauh dari existing printer yang ada di UII.

Tapi sebenarnya ada nilai lain yang lahir dari konsep UIIPrint ini, yakni agar dosen/staf dan mahasiswa UII mau jalan kaki. Tidak jarang dosen/staf duduk seharian di ruang mereka dan tidak pernah jalan kaki, alias mager, duduk di tempat. Pada saat mereka mencetak dokumen pun, cukup di meja saja. Lengkap sudah kemalasan mereka. Karena itulah, adanya UIIPrint paling tidak dapat memaksa mereka untuk berjalan kaki ke perangkat UIIPrint.

Kami bahkan membikin joke, “Katanya mau jihad, masak jalan 10 meter saja tidak mau! ” 😀 UIIPrint lahir bukan hanya untuk mereduksi jumlah printer, tapi juga mengubah kultur agar berhemat kertas, kalaupun mencetak, tentu sesuai kebutuhan, karena harus jalan terlebih dahulu sebelum mengambil cetakan, dan lain sebagainya. Jadi di sini, teknologi UIIPrint diadakan untuk membangun budaya, bukan penggunaan teknologi belaka nir makna. Begitu pula dengan beragam teknologi lain yang kami introduksi, semua bermuara untuk melakukan perubahan budaya.

IT as an enabler, teknologi informasi sebagai pemungkin nilai

Emphasizing that access to information on the Internet facilitates vast opportunities for affordable and inclusive education globally, thereby being an important tool to facilitate the promotion of the right to education, while underlining the need to address digital literacy and the digital divide, as it affects the enjoyment of the right to education (UN Resolution, Human Right Council, 2016)

Proses perubahan IT di UII diawali dari sebuah kesadaran, dan introspeksi bahwa ada yang salah dengan IT. Sebenarnya tidak butuh kejelian mata dalam memandang, cukup dengan perasaan saja kami di UII menyadari, there is something wrong with us. Hanya saja, kami memang pada akhirnya mengundang auditor eksternal untuk meng-assess kami. Sebelum dilakukan proses audit, saat berdiskusi dengan auditor eksternal, mereka cukup terkaget juga, karena baru kali ini mereka mendapatkan client audit dari institusi pendidikan. Selama ini mereka melakukan audit ke perbankan (dalam rangka memenuhi tuntutan aturan OJK biasanya), kemudian ke pertambangan (semacam Pertamina), dan berbagai industri lainnya, dan bahkan mereka jarang mendapatkan client dari luar Jakarta . Jadi membangun kesadaran bahwa ada yang salah dengan kita menjadi kata kunci pertama terjadinya perubahan IT. Audit yang dilakukan di UII didasarkan pada framework COBIT 4.

Selepas dilakukannya audit, maka kemudian kami selaku tim manajemen IT yang baru di UII merancang program yang kami sebut quick win initiatives. Saat itu departemen IT, yang kalau di UII dinamakan Badan Sistem Informasi, adalah badan yang memiliki tingkat kepercayaan publik termasuk paling rendah sendiri. Sehingga dibutuhkan strategi khusus untuk meningkatkan kembali kepercayaan pengguna. Salah satu program yang kami usulkan saat itu adalah UIIConnect. Saat itu sebenarnya saya terinspirasi oleh infrastruktur wireless pada waktu saya sekolah S3 dulu di Australia, di The University of Queensland, yang dinamakan UQconnect.

Saat itu saya sangat merasa terbantu sekali dengan keberadaan wifi yang bersifat ubiquitous, akses yang tersedia di mana-mana dengan kualitas yang sama, dimana bahkan saya sendiri seringkali bekerja/belajar di tepian danau di dalam kampus yang bernama UQ Lake. Tak jarang pula saya melihat kumpulan mahasiswa berdiskusi dan belajar, tidak hanya di ruang kelas saja, tapi juga di tengah taman, lapangan, di kantin, dan beragam tempat lainnya. Suasana dan atmosfer kampus begitu hidup.

Atmosfer belajar di UQ

Dari sinilah titik kesadaran tersebut dibangun, kami ingin menciptakan atmosfer serupa. Inisiatif IT yang hendak kami bangun mestilah memiliki tujuan besar, bukan sekedar menghabiskan anggaran, tapi kami ingin membangun atmosfer. Atmosfer yang saat kami sekolah dahulu di luar negeri kami terima begitu saja, taken for granted. Cita-cita kami sangat sederhana, kami ingin mahasiswa UII mendapatkan dan membangun atmosfer yang sama seperti dahulu kami merasakan ketika kuliah di luar negeri. Atmosfer itu tentu tidak mungkin terbangun kalau infrastruktur pendukungnya acak-acakan. Melalui studi intensif yang serius di tim manajemen, kemudian saya juga melibatkan mahasiswa saya sendiri untuk mendiskusikan infrastruktur apa yang tepat untuk UII, maka lahirlah konsep UIIConnect yang menjadi backbone infrastruktur UII.

Kembali ke infrastruktur, kami menyadari bahwa UII adalah kelas berat, dia lebih enterprise dari banyak enterprise yang ada di Indonesia. Kami menyadari, tidak mungkin kelas enterprise hanya berbicara seperti kelas warnet. User kami mencapai hampir 30,000 orang (dosen, staf, mahasiswa, dan tamu). Maka ketika merancang WiFi pun juga tidak main-main. Saat itu kami menggunakan pihak ketiga untuk melakukan survey lapangan, di beberapa kampus kami (yang tidak terpusat di satu tempat saja). Kami gunakan software seperti Ekahau untuk merancang, dan menentukan, posisi di mana saja Access Point (AP) harus dipasang. Untuk mendukung backbone, bahkan kami harus roll-out Fiber Optic baru sepanjang 6.6km dengan sekian puluh cores untuk mendukung konsumsi data di masa mendatang. Kami ganti pula core switch kami dengan Cisco 3850 yang didukung dengan puluhan ports yang sudah siap pada kapasitas 10Gbps bahkan disiapkan untuk sanggup mencapai 40Gbps.

Lalu di mana kami harus memasang AP? Pada prinsipnya, perubahan yang dilakukan harus dirasakan oleh semua pihak. Tidak ada lagi fakultas kaya, fakultas miskin, semua akses harus sama, tidak ada diskriminasi. Tidak ada cerita bahwa untuk mendapat akses internet cepat harus berada di tempat ini, di titik ini, dan di jam tertentu. Dan target pertama kami adalah mahasiswa harus happy. Mereka lah salah satu yang mendukung jalan hidup UII. Kalau dipilih dosen, ketika mereka mendapat akses cepat, belum tentu mahasiswa dapat akses yang cepat. Tapi kalau sebaliknya, mahasiswa mendapat akses cepat, tentu dosen pun akan dapat akses yang cepat.

Kemudian sebagai upaya membangun atmosfer, kami letakkan pula AP di tempat yang bahkan oleh beberapa pihak dipandang aneh, yakni di Masjid. Kami adalah kampus Islam, tentu kami menginginkan mahasiswa kami dekat dengan masjid. Pada awalnya ya tentu saja ada sedikit protes, kok internet dipasang di masjid? Nanti ibadah menjadi tidak khusyu’. Kami berargumen, bahwa justru dengan adanya internet, paling tidak ketika mahasiswa ada di masjid, mereka lebih dekat dengan sholat, dengan kajian (walau pada akhirnya hadir tidak untuk berniat mengikuti kajian), dan setidaknya tidak akan mengakses yang aneh-aneh ketika di sana  Dan Alhamdulillah, saat ini mahasiswa tidak hanya hadir di masjid saat waktu sholat saja. Suasana yang mendukung e.g. karpet empuk, AC, bisa belajar sambil tiduran, dan akses internet yang super cepat, menjadikan mahasiswa betah berada di sana.

Nilai seperti itulah yang menjadi spirit kami, bahwa seharusnya teknologi informasi bisa menjadi enabler, yang memungkinkan value yang diinginkan oleh universitas terjadi. Kami menginginkan IT bukan hanya menjadi alat dan perangkat, tapi dia menjadi salah satu akselerator perubahan, pembangun atmosfer akademik yang lebih baik. Dan hingga hari ini, kami masih terus berusaha melakukan perubahan, membawa value yang lebih baik lagi bagi kampus kami, dan bagi Indonesia secara umum melalui IT.

eduroam UII, eduroam Indonesia

eduroam

Suatu hari saya dan istri bersama dengan kawan baik sewaktu masih studi S3 di The Univesity of Queensland, Imam Santoso, berkesempatan untuk jalan-jalan ke The University of Auckland, New Zealand. Sebenarnya kami sama sekali tidak merencanakan untuk pergi ke sana, karena tujuan awal kami ke New Zealand adalah untuk berlibur di South Island dari New Zealand yang memang terkenal ciamik alam pemandangannya. Akan tetapi pada hari keberangkatan kami, terjadi badai salju di Christchurch yang memaksa kami harus mengalihkan pesawat pindah ke Auckland. Di sana, kami berjumpa kawan lama pada saat saya sekolah master di NTU Singapura,  yang saat itu sedang menetap di Auckland. Oleh kawan saya, kami diajak untuk jalan-jalan, salah satunya adalah ke The University of Auckland, New Zealand.

Saat kami sedang berada di sana, tiba-tiba smartphone kami mendapatkan notifikasi dari beberapa aplikasi, padahal saat itu belum beli SIM Card lokal. Ternyata smartphone kami semua langsung terhubung ke dalam jaringan eduroam yang tersedia di The University of Auckland. “Wow! Demikian seru kami” Jejaring eduroam ternyata sampai juga di New Zealand. Saat itu, kami yang bersekolah di Australia, banyak yang memanfaatkan jejaring WiFi eduroam yang tersedia di hampir seluruh kampus di Australia. Sehingga kemanapun kami pergi di Australia, kami akan langsung mendapatkan koneksi WiFi tanpa harus bertanya kesana kemari hanya untuk mendapatkan akses WiFi. Kami tidak perlu menghubungi IT Support kampus yang kami tuju, karena otomatis WiFi di laptop atau smartphone kami dapat langsung terhubung secara seamless.

Apa sih eduroam itu?

Dari website eduroam.org, didefinisikan sebagai berikut:

“eduroam (education roaming) is the secure, world-wide roaming access service developed for the international research and education community.

Having started in Europe, eduroam has gained momentum throughout the research and education community and is now available in 72 territories.”

Saat ini, eduroam telah tersedia di 89 negara, di lebih dari 12,000 institusi pendidikan dan riset. Manfaat yang sangat terasa dengan keberadaan eduroam adalah, sering kali kami berkolaborasi dengan kolega dari universitas yang berbeda, kami saling berkunjung dari universitas satu ke universitas lain, baik sekedar main saja, ataupun melakukan riset bersama, dan kami tidak pernah direpotkan dengan kendala WiFi untuk membantu pekerjaan kami.

Pulang sekolah S3 dari Australia, sepertinya bagi saya, hanya bermimpi saja untuk bisa mendapatkan konektivitas WiFi dengan model eduroam tadi. Hingga bulan Maret tahun 2016, Rektor UII saat itu, Bp. Harsoyo meminta saya dan beberapa rekan untuk membantu menangani transformasi layanan teknologi informasi di UII. Sebuah kesempatan besar pikir saya. Sejak saat itu, salah satu yang ada dalam pikiran saya adalah bagaimana wifi di UII bisa sekelas kampus-kampus besar di dunia, dan bagaimana caranya UII bisa terhubung dengan eduroam.

Saat ini, setiap tahunnya, ada ribuan baik dosen maupun mahasiswa UII yang melakukan travelling ke berbagai kampus di berbagai belahan dunia. Begitu juga UII seringkali mendapatkan tamu, baik exchange student, visiting professor dari berbagai kampus dunia. Dari sini, kebutuhan UII untuk terhubung dalam jejaring eduroam, orang Inggris bilang, inevitable.

Alhamdulillah, mulai bulan Maret 2017, UII sudah terhubung ke dalam jejaring eduroam. Pada saat UII terhubung dengan eduroam, baru ada satu kampus yang sudah memiliki koneksi eduroam, yakni ITB. Kini UII dan ITB, keduanya berperan sebagai National Roaming Operator eduroam, yakni yang memiliki tanggung jawab untuk menghubungkan lembaga pendidikan tinggi dan riset di Indonesia untuk terhubung ke eduroam internasional.

Bagaimana cara terhubung dengan eduroam?

Sederhana saja, asal kita sudah pernah terhubung dengan SSID WiFi eduroam sebelumnya di kampus/institusi tempat kita berasal, ke manapun kita pergi, perangkat kita akan mencari sendiri sinyal eduroam, dan kita akan otomatis terhubung di dalamnya. Intinya eduroam akan sangat memanjakan user 🙂 And we are so happy and proud about it 🙂

 

Bacaan lanjut:

Website eduroam Indonesia: https://eduroamid.info
Website eduroam internasional: https://eduroam.org