METODE AUTENTIKASI SERVER HOTSPOT MIKROTIK

Sudah banyak tutorial bertebaran di internet cara setup hotspot pada mikrotik, sehingga kali ini kita tidak akan membahas itu, kali ini kita akan membahas sesuatu yang lebih mendalam, yaitu bagaimana cara mikrotik memberikan atau menolak akses suatu perangkat ke dalam jaringan. Apabila teman – teman memiliki pertanyaan bagaimana cara membuat login trial untuk hotspot di cafe saya dan dilimit hanya 15 menit saja? Atau bagaimana supaya user hotspot di kost tidak perlu berulang kali memasukkan username & password tiap kali akan menggunakan hotspot? Mana metode autentikasi hotspot mikrotik yang paling aman sehingga sulit dijebol? Atau pertanyaan sejenis, insya allah setelah membaca artikel ini bisa menemukan jawabannya.

Mikrotik yang digunakan adalah RB951Ui-2HnD versi OS 6.39.2. mikrotik router OS v.6.39.2 mendukung 7 metode autentikasi, namun artikel ini akan membahas 5 diantaranya (HTTP CHAP,HTTP PAP,MAC Coockie,Cookie, Trial) dan 2 sisanya semoga bisa dibahas pada artikel lainnya.

Metode autentikasi hotspot mikrotik bisa diakses dengan melalui menu IP -> Hotspot -> Server Profile -> Pilih Profile yang akan diset -> Login. Hotspot sudah diset dengan login username admin, password admin123.

1.       HTTP PAP (Password Authentication Protocol)

HTTP PAP adalah metode autentikasi yang paling sederhana, dimana mikrotik akan menampilkan login page, kemudian user akan mengirimkan informasi username & password dalam bentuk plain text (tidak terenkripsi) sehingga rawan untuk disadap. User harus selalu mengisi kolom username & password di login page sebelum menggunakan hotspot. Untuk menampilkan metode autentikasi yang sedang digunakan dapat diakses di menu IP -> Hotspot -> Active -> klik kanan di aera kosong -> Show Columns -> centang Login by.

Metode autentikasi sebelumnya sudah diset HTTP PAP, kemudian dicoba login dengan username admin, password admin123 dan telihat di menu active login by menggunakan HTTP PAP.

Dengan menggunakan wireshark akan terlihat username & password dikirim dalam bentuk teks asli sehingga mudah untuk disadap.

2.       HTTP CHAP (Challenge Authentication Handshake Protocol)

HTTP CHAP merupakan metode standard yang digunakan mikrotik untuk mengautentikasi hotspot. HTTP CHAP menggunakan algoritma MD5 sehingga password yang dikirim sudah terenkripsi. Pada sisi user, algoritma MD5 diimplementasikan dalam applet JavaScript, sehingga jika browser tidak mendukung JavaScript (seperti, misalnya, Internet Explorer 2.0), user tidak akan bisa diautentikasi. Metode autentikasi sebelumnya sudah diset HTTP CHAP, kemudian dicoba login dengan username admin, password admin123 dan telihat di menu active login by menggunakan HTTP CHAP.

Dengan menggunakan wireshark akan terlihat password dikirim sudah terenkripsi sehingga sulit untuk disadap. Sama halnya dengan HTTP PAP, user harus selalu memasukkan username & password setiap kali akan menggunakan hotspot.

3.       Cookie / HTTP Cookie

Setiap kali setelah user berhasil login, akan ada cookie yang disimpan di browser dan di mikrotik. Lain waktu user akan login hotspot lagi, browser akan mengirimkan informasi cookie dan dibandingkan dengan data cookie di mikrotik, jika cocok user bisa menggunakan hotspot, jika tidak user akan diminta memasukkan lagi username & password, setelah berhasil data cookie lama akan dihapus dan diganti data cookie baru.

Cookie hanya bisa digunakan saat diset bersamaan dengan HTTP PAP, HTTP CHAP atau HTTPS, tanpa HTTP PAP, HTTP CHAP atau HTTPS data cookie tidak akan bisa dibuat. Usia cookie juga bisa diset dengan nilai default 3 hari.

Saat pertama kali login, user akan diautentikasi menggunakan metode PAP/CHAP/HTTPS dan mikrotik akan menyimpan data cookie. Data cookie bisa diakses di menu IP -> Hotspot -> Cookies.

 

Lain waktu user akan menggunakan hotspot kembali, user hanya perlu mengakses IP atau domain hotspot mikrotik atau mengakses suatu website, browser akan mengirimkan informasi cookie sehingga user tidak perlu mengisi username & password di login page lagi. Usia cookie akan direset setiap kali user diautentikasi menggunakan cookie.

4.       MAC Cookie

MAC Cookie akan mencoba untuk mengautentikasi user segera setelah mereka muncul di daftar hosts (yaitu, segera setelah mereka telah mengirim paket apapun ke mikrotik hotspot server), MAC Cookie menggunakan MAC Address client sebagai username. Sama halnya dengan HTTP Cookie, MAC Cookie harus diset bersamaan dengan HTTP PAP/HTTP CHAP/HTTPS.

Saat pertama kali login, user akan diautentikasi menggunakan metode PAP/CHAP/HTTPS dan mikrotik akan menyimpan data cookie. Data cookie bisa diakses di menu IP -> Hotspot -> Cookies.

Setelah user terputus koneksi dari jaringan hotspot (tanpa logout) maka informasinya akan hilang dari hosts list, namun informasi cookie akan tetap disimpan dalam waktu tertentu (default 3 hari)

Kemudian saat user terhubung kembali dengan jaringan hotspot, maka sesaat selanjutnya akan muncul informasinya di hosts list dan langsung terautentikasi.

5.       Trial

User tidak perlu memasukkan username dan password untuk bisa menggunakan hotspot dalam waktu tertentu dan hanya mengklik link yang tersedia.

Ada beberapa parameter yang perlu diset, yaitu :

• ü  Trial Uptime Limit, durasi waktu yang diberika untuk menggunakan hotspot
• ü  Trial Uptime Reset, yaitu lama waktu yang diperlukan sehingga suatu perangkat bisa menggunakan layanan trial lagi. Misal suatu perangkat login menggunakan Trial dan sudah habis Trial Uptime Limitnya dan Trial Uptime Reset diset 1d (1 hari), maka perangkat tersebut baru bisa menggunakan layanan Trial lagi setelah 24 jam (1 hari).
• ü  Trial User Profile, yaitu profile yang akan digunakan user Trial.

Setelah user mengklik link untuk Trial, makan akan langsung bisa menggunakan hotspot. Jika diperhatikan, format user trial adalah T-Mac address device, dan jika diperhatikan menggunakan wireshark maka informasi user trial dikirim tanpa enkripsi. Namun dikarenakan fitur trial biasanya memang diperuntukkan untuk free access, maka bisa dimaklumi.