Mengapa captive portal itu payah (suck), dan mengapa kita (sebaiknya) berpindah ke teknologi 802.1x?

Jumlah pengguna WiFi di UII saat masih menggunakan captive portal pada siang hari rerata maksimal hanya di angka 1300an.

Ketika UII beralih menggunakan teknologi 802.1x, rerata jumlah pengguna WiFi maksimal di UII mencapai angka 13.000, atau dengan kata lain, nyaris 1 dari 2 mahasiswa UII berada di kampus terkoneksi dengan WiFi kampus 

(Andri Setiawan, 2017)

Quote di atas saya tulis untuk menggambarkan, bagaimana transformasi pilihan teknologi di UII menjadikan kenaikan jumlah pengguna yang sangat signifikan. Pertanyaannya adalah, mengapa UII meninggalkan model autentikasi WiFi berbasis pada captive portal yang boleh dibilang sebagai de facto standar model autentikasi WiFi di Indonesia (setidaknya sampai dengan saat tulisan ini dibuat – akhir 2018)?

Secara teknologi, captive portal adalah proses autentikasi yang dilakukan (mayoritas) dalam jaringan WiFi terbuka (open). Proses autentikasi terjadi setelah user terhubung ke dalam jaringan. Secara teknis, user mendapatkan alamat IP (IP address) dari gateway (DHCP server), kemudian user akan diarahkan untuk membuka laman autentikasi dengan menggunakan web browser. Setelah autentikasi berhasil dilakukan, barulah kemudian pengguna dapat mengakses internet. Saya menyebut metode ini dengan suck, alias payah. Di masanya, mungkin metode ini memang metode terbaik, akan tetapi, dengan perkembangan teknologi, metode ini sudah selayaknya ditinggalkan. Mengapa demikian?

Pertama, dengan menggunakan metode captive portal, seluruh pengguna akan bergabung dalam satu pool alamat IP yang sama, alias berada dalam VLAN yang sama. Sehingga, jika kita ingin membedakan grup VLAN satu dengan yang lain, maka, kita harus mempersiapkan WiFi dengan jumlah SSID lebih dari satu.

Kedua, dengan menggunakan metode autentikasi captive portal, setiap pengguna akan terasosiasi dengan jaringan terlebih dahulu. Setiap pengguna akan mendapatkan alamat IP, dan tergabung dengan jaringan WiFi. Meskipun akses internet dibatasi, akan tetapi setidaknya setiap pengguna yang menggunakan captive portal, telah mendapatkan resources jaringan, dan segala hal bisa terjadi. Salah satu mekanisme yang cukup populer untuk mem-by pass metode autentikasi captive portal adalah dengan melakukan MAC Address spoofing. Mekanisme ini memungkinkan seseorang berpura-pura menjadi user lain yang telah terutentikasi sebelumnya di dalam jaringan. Perlu diketahui, untuk berkomunikasi dalam sebuah Local Area Network, setiap perangkat akan mempergunakan alamat fisik jaringan yang kita kenal dengan nama MAC Address.

Ketiga, meski sangat tergantung desainnya, tidak jarang portal autentikasi dalam captive portal tidak ramah terhadap mobile alias smartphone. Hal ini tidak jarang menyebabkan para pengguna mobile malas untuk terkoneksi ke dalam jaringan WiFi karena keribetan yang harus dialami para pengguna ini, misal, melakukan zoom-in halaman login. Akibatnya, cukup banyak pengguna smartphone yang lebih memilih menggunakan paket data masing-masing ketimbang terhubung dengan WiFi. WiFi hanya dipergunakan ketika menggunakan perangkat lain seperti laptop yang layarnya jauh lebih besar, dan mereka tidak ada opsi lain untuk terhubung ke internet kecuali dengan WiFi.

Keempat, saya pernah melakukan survey kecil-kecilan, “Apakah ada di antara anda, ketika terhubung dalam jaringan dengan captive portal, portal autentikasinya tidak muncul?” Dan tidak ada satupun yang tidak menjawab tidak, alias semua orang pernah merasakan, pada saat hendak melakukan autentikasi, halaman autentikasi tidak muncul. Sehingga mereka harus melakukan enable-disable perangkat WiFi (di laptop), atau mematikan menghidupkan WiFi di smartphone masing-masing. Hal ini tentu saja membuat jengkel calon pengguna yang akan terhubung ke dalam jaringan.

Lalu, solusinya seperti apa dong?

Network di UII mulai berpindah ke teknologi 802.1x sejak pertengahan tahun 2016. Teknologi ini memungkinkan konsep SET and FORGET, yang berarti pengguna hanya perlu memasukkan username dan password mereka, sekali, dan berlaku selamanya. Di kemudian hari, ketika mereka hendak terhubung ke dalam jaringan, mereka tidak perlu mengalami keribetan harus memasukkan username dan password. Terknoneksi WiFi dengan teknologi ini semudah pengguna terhubung ke dalam WiFi di rumah (yang biasanya menggunakan WPA2 sebagai pengamanannya). WiFi akan terhubung secara otomatis tanpa intervensi pengguna.

Apa yang membedakan teknologi 802.1x dengan WPA2 yang banyak dipergunakan di rumah-rumah? Secara prinsip mereka mirip, hanya saja dengan menggunakan WPA2, semua orang akan menggunakan password yang sama. Hal ini tentu sangat beresiko jika digunakan di kampus, apalagi seperti UII yang jumlah mahasiswa mencapai sekitar 25.000 orang. Teknologi 802.1x atau yang juga dikenal dengan nama WPA/Enterprise ini membutuhkan autentikasi personal sebelum perangkat terhubung dengan jaringan.

Teknologi 802.1x saat ini sudah embedded dalam setiap sistem operasi moderen. Berbeda dengan captive portal yang membutuhkan aplikasi browser terlebih dahulu untuk melakukan autentikasi. Kemudian, perbedaan yang paling signifikan dari perspektif keamanan adalah, dengan menggunakan captive portal, setiap pengguna akan terasosiasi ke dalam jaringan terlebih dahulu, baru kemudian mereka melakukan autentikasi. Sebaliknya, dengan menggunakan teknologi 802.1x, setiap pengguna harus terautentikasi terlebih dahulu, sebelum terasosiasi ke dalam jaringan. Implikasinya, sebelum pengguna terautentikasi, mereka tidak akan mendapatkan alamat IP, yang pada akhirnya akan berimbas kepada kondisi yang jauh lebih aman. Permasalahan seperti spoofing alamat MAC, seperti pada captive portal dapat dihindari. 

Bahkan, beberapa vendor WiFi yang kelasnya sudah enterprise (yang umumnya ada di kuadran kanan atas dari Magic Quadrant Gartner) seperti Cisco ataupun Aruba, memungkinkan dijalankannya konsep single SSID multiple VLAN. Dalam kasus UII, baik mahasiswa, dosen, maupun tenaga kependidikan/staf, semua akan terhubung ke dalam SSID tunggal yang bernama UIIConnect. Akan tetapi, meskipun mereka terhubung dalam SSID yang sama, akan tetapi, masing-masing orang akan mendapatkan hak akses (otorisasi) dan policy yang berbeda-beda, tergantung organisasi mereka. Dengan kata lain, walau semua orang terhubung dalam WiFi yang sama, VLAN mereka bisa berbeda-beda. Hal yang TIDAK MUNGKIN dilakukan dengan menggunakan captive portal

Umumnya, dalam konsep keamanan, kenyamanan selalu berbanding terbalik ketimbang keamanan. Akan tetapi, 802.1x merupakan sedikit pengecualian. Dengan adanya konsep SET and FORGET, serta keamanan yang jauh lebih baik sebagaimana yang dijelaskan di atas, para pengguna tidak pernah merasa ribet pada saat hendak terhubung, dan di saat yang sama, para pengelola jaringan pun tidak merasa khawatir, mengingat setiap pengguna dapat dipastikan melakukan proses autentikasi, dan yang lebih menarik, semua proses autentikasi dilakukan di belakang layar, tanpa interaksi sama sekali dengan pengguna, kecuali pada saat pertama kali mereka terhubung, atau saat mereka mengganti password. Wajar jika kemudian jumlah pengguna WiFi di UII meningkat pesat, lebih dari 10 kali lipat dibandingkan pada saat masih menggunakan teknologi captive portal. Bahkan UII mulai mendapatkan pengguna WiFi yang nyaris tidak pernah menggunakan WiFi sebelumnya, yakni para satpam. Mereka sebelumnya tidak pernah terhubung ke dalam jaringan karena pekerjaan mereka tidak memungkinkan untuk membuka perangkat seperti laptop.

Jadi, mengapa masih harus mempertahankan teknologi yang sudah kuno seperti captive portal jika ada alternatif yang jauh lebih baik seperti teknologi 802.1x?

Leave a Reply

Your email address will not be published. Required fields are marked *