BAB II TINJAUAN PUSTAKA. 2.1 Pasca Sarjana Universitas Pembangunan Nasional (UPN) Veteran Jawa Timur

BAB II TINJAUAN PUSTAKA

2.1

Pasca Sarjana Universitas Pembangunan Nasional (UPN) “Veteran”

Jawa Timur Adapun keterangan untuk Pasca Sarjana Universitas Pembangunan Nasional “Veteran” Jatim sebagai berikut: 2.1.1

Profile Pasca Sarjana

Gambar 2.1.1 Pascasarjana UPN “Veteran” Jatim Program Pascasarjana UPN "Veteran" Jawa Timur didirikan berdasarkan Surat Keputusan Direktur Jenderal Pendidikan Tinggi, Departemen Pendidikan dan Kebudayaan Nomor: 390/Dikti/Kep/1999, Tanggal: 6 September 1999, tentang Pembukaan Program Magister Manajemen Agribisnis Pada Program Pascasarjana Di Lingkungan Universitas Pembangunan Nasional „Veteran" Jawa Timur Di Surabaya. Pelaksanaan program pascasarjana Jawa Timur angkatan I dilaksanakan pada Tahun Akademik 1999/2000. 6

Hak Cipta © milik UPN "Veteran" Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.

7 2.1.2

Visi dan misi

Visi:

Terwujudnya pascasarjana sebagai center of excellence di Jawa Timur

Misi

:

1.

Melaksanakan Tri Dharma Perguruan Tinggi untuk pengembangan keilmuan dan profesionalisme.

2.

Menjadikan Program Pascasarjana UPN "Veteran" Jawa Timur sebagai penghela menuju reseacrh university.

3.

Terwujudnya UPN "Veteran" Jawa Timur yang maju, modern dan mandiri.

4.

Menghasilkan dan mengembangkan lulusan yang memiliki nilainilai tanggung jawab, kebersamaan, kerjasama, keterbukaan, kreativitas, kejujuran dan kepedulian kepada lingkungan.

5.

Mengembangkan pola berpikir agar para lulusan dapat bertindak kritikal dalam menghadapi berbagai masalah baik politik, sosial maupun budaya pada berbagai keadaan lingkungan melalui identifikasi dan penelitian serta mengambil keputusan yang tepat.

(Sumber referensi: Anonim. Visi dan Misi, http://pasca.upnjatim.ac.id/?l=nemN3B9N3B9, 05 Juli 2010, 18.58 WIB) 2.2

Dasar Teori

Adapun beberapa isi dari dasar teori yang kami utarakan sebagai berikut: 2.2.1 Metode IDS (Intrusion Detection System) IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” atau “pengganggu atau penyusup” di jaringan. IDS sangat mirip seperti alarm, yaitu IDS akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS dapat


8 didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau host. IDS adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion. IDS (Intrusion Detection System) juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai intrusion oleh intruser. Cara kerja IDS dibagi menjadi dua (2),yaitu: 1. Knowledge Based (Misuse Detection) Knowledge Based pada IDS (Intrusion Detection System) adalah cara kerja IDS dengan mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule pada IDS tersebut. Database rule tersebut dapat berisi signature – signature paket serangan. Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS, maka paket data tersebut dianggap sebagai serangan dan demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada database rule pada IDS, maka paket data tersebut tidak akan dianggap serangan. 2. Behavior Based ( Anomaly Based ) Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan–kejanggalan pada sistem, atau adanya keanehan dan kejanggalan dari kondisi pada saat sistem normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS (Intrusion Detection System) Anomaly Based ini dianggap sebagai serangan. Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropite yang terjadi di jaringan atau di host tersebut. Intrusion ter-


9 sebut kemudian akan diubah menjadi “rules” ke dalam IDS (Intrusion Detection System). Sebagai contoh, intrusion atau gangguan seperti port scanning yang dilakukan oleh intruder. Oleh karena itu IDS ditujukan untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion.

Jenis – Jenis IDS (Intrusion Detection System): a. Network Instrusion Detection System (NIDS) Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS (Intrusion Detection System) tersebut. NIDS (Network Instrusion Detection System) pada umumnya bekerja dilayer 2 pada OSI layer, IDS menggunakan “raw traffic” dari proses sniffing kemudian mencocokannya dengan signature yang telah ada dalam policy. Jika terdapat kecocokan antara signature dengan raw traffinc hasil sniffing paket, IDS memberikan alert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem. NIDS yang cukup banyak dipakai adalah snort karena signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi. Contoh: melihat adanya network scanning

b. Host Instrusion Detection System (HIDS) Mamantau Anomali di Host dan hanya mampu mendeteksi pada host tempat implementasi IDS (Intrusion Detection System) tersebut. HIDS (Host Instrusion Detection System) biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file password dengan penambahan user ber UID 0, perubahan loadable kernel, perubahan ini script, dan gangguan bersifat anomali lainnya. contoh: memonitor logfile, process, file ownership, dan mode.


10

Gambar 2.2.1.1 Anomali deteksi Serangan Seperti dijelaskan, IDS (Intrusion Detection System) melakukan deteksi gangguan keamanan dengan melihat Anomali pada jaringan. Anomali dapat dijelaskan sebagai traffic atau aktifitas yang tidak sesuai dengan kebijakan yang dibuat (policy). Contoh Anomali yang dijelaskan sebagai Traffic/aktivitas yang tidak sesuai dengan policy: a. Akses dari atau menuji ke host yang terlarang b. Memiliki Content atau Patern terlarang (virus) c. Menjalakan program terlarang.


11 IDS (Intrution Detection System) tidak hanya bekerja secara sendiri, IDS bekerja mendeteksi gangguan bersama-sama dengan firewall. Mekanisme penggunaan IDS adalah IDS membantu firewall melakukan pengamanan dengan snort (opensource) ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan Packet Filtering Firewall. Paket Filtering Firewall dapat membatasi akses koneksi berdasarkan pattern atau pola-pola koneksi yang dilakukan, seperti protokol, IP source and IP destination, Port Source and Port Destination, Aliran data dan code bit sehingga saat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sistem. Paket Filtering Firewall bersifat statik sehingga fungsi untuk membatasi akses juga secara statik, sebagai contoh : akses terhadap port 80 (webserver) diberikan izin (allow) oleh policy, maka dari manapun dan apapun aktifitas terhadap port tersebut tetap di ijinkan meskipun aktifitas tersebut merupakan gannguan (intrusion) ataupun usaha penetrasi dari para intruder. Untuk itulah Paket Filtering Firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan penggunaannya dengan IDS untuk membantu sistem hardening atau pengamanan. IDS (Intrusion Detection System) dan Firewall menggunakan Engine Sistem Pencegahan Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas membaca alert dari IDS, alert tersebut dapat berupa jenis serangan dan IP address intruder, kemudian memerintahkan firewall untuk melakukan block ataupun drop akses intruder tersebut ke koneksi dalam sistem. Sistem pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika diletakkan pada router, sehingga daerah kerja sistem tersebut dapat mencakup semua host yang berada dalam satu jaringan dengan router sebagai tempat mengimplementasikan sistem pencegahan penyusupan tersebut. Bila konsentrator menggunakan switch, akan terdapat masalah yang timbul. Masalah tersebut adalah proses pendeteksian terhadap paket data yang datang menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah seperti ini, cara tersebut adalah dengan melakukan spoofing MAC address terhadap host– host yang akan diamati.


12 a) Paket Decoder: Paket yang disandikan. b) Preprocessor (Plug-ins): Modul plug-in uang berfungsi untuk mengolah paket sebelum dianalisa. c) Detection Engine: Rules from signature. d) Output Stage: Alert dan Log. Ada beberapa tipe penggunaan IDS (Intrusion Detection System) untuk menajemen keamanan informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS dan IDS dengan menggunakan Box. Untuk melakukan manajemen keamanan informasi pada sistem, haruslah terlebih dahulu diketahui karateristik yang di dapat dari penggunaan IDS (Intrusion Detection System) agar pengamanan tersebut dapat dilakukan secara maksimal. Karateristik atau sifat yang dimiliki Oleh IDS (Intrusion Detection System) pada umumnya: a. Suitability Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya. b. Flexibility Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut. c. Protection Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya. d. Interoperability Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya.


13 e. Comprehensiveness Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu email serta dapat memblokir address url secara spesifik. f. Event Management Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan. g. Active Response Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya. h. Support Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain. Kelebihan yang akan di dapatkan dengan menggunakan IDS (Intrusion Detection System) sebagai metode Keamanan: 1. Memiliki Akurasi keamanan yang baik IDS (Intrusion Detection System) haruslah memiliki akurasi atau ketelitian, jadi yang baik adalah IDS yang memiliki ketelitian yang baik untuk mengenal intrusion atau gangguan. Pada saat sekrarang ini IDS telah memiliki ketelitian tinggi, yaitu mampu secara realtime mendeteksi dan melakukan blocking terhadap tindakan yang mencurigakan.


14 Selain itu IDS juga harus mampu memeriksa dan menganalisa pattern objek secara menyeluruh seperti paket – paket data baik Header Paket maupun Payload yang dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas jaringan sehingga dapat mengenal benar karateristik trafic penyerang. Oleh karena itu untuk melakukan hal tersebut, IDS yang baik haruslah memiliki karateristik: - Memiliki kemampuan menganalisa protokol dari semua sumber lalu lintas (trafic). - Memiliki kemampuan menganalisa protokol secara stateful untuk Layer Network atau Layer ke tiga pada OSI Layer sampai dengan Layer Aplication atau Layer ke tujuh pada OSI Layer. - Memiliki kemampuan untuk melakukan perbandingan secara Context-Base,

Multiple-Tringger,

Multiple-Pattern

signature

dengan tujuan untuk dapat mengenal dan mengetahui jenis exploit yang dipergunakan. - Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data) pada IP Fragmen (Layer 3). - Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data) pada TCP Segment. - Memiliki kemampuan Forward dan Backward apabila terjadi kerancuan dan ketidakberesan didalam implementasi protokol (Layer 4). - Memiliki kemampuan kontrol pada tingkat aplikasi protokol seperti: HTTP, FTP, Telnet, RPC Fragmentasi, dan SNMP (Layer 6 dan Layer 7) 2. Mampu Mendeteksi dan Mencegah Serangan. IDS (Intrusion Detection System) haruslah dapat mendeteksi serangan dan juga mampu untuk melakukan pencegahan terhadap serangan tersebut, IDS yang baik dalam mengatasi serangan adalah IDS yang memiliki karateristik:


15 a. Dapat beroperasi secara in-line. b. Memiliki kehandalan dan ketersediaan. c. Deliver high performance. d. Kebijakan policy pada IDS (Intrusion Detection System) yang dapat diatur sesuai dengan yang dibutuhkan. 3. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking IDS (Intrusion Detection System) haruslah memiliki pengetahuan yang luas, dapat mengenal serangan apa yang belum dikenalnya, seperti contoh IDS harus mampu mendeteksi serangan DOS mempergunakan analisis signature dan mampu mendeteksi segala sesuatu yang mencurigakan. IDS yang baik dalam pengenalan attacking adalah IDS yang memiliki karateristik: - Memiliki AI (Artificial intelligence) sehingga IDS tersebut dapat mempelajari sendiri serangan-serangan yang datang. - Mampu melakukan proses deteksi trafic dan pembersihan terhadap host (Layer 3 – Layer7). - Mampu melakukan scanning TCP dan UDP. - Mampu memeriksa keberadaan backdoor.

4. Dapat memberikan Informasi tentang ancaman – ancaman yang terjadi. 5. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporting yang baik. 6. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan pencegahan. 2.2.1.1 Snort IDS (Intrusion Detection System) Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion Detection System) di industri. Snort merupakan salah satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala Ma-


16 cam intrusion atau serangan dari luar seperti Buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting. Secara default Snort memiliki 3 hal yang terpenting, yaitu: 1. Paket Sniffer Contoh: tcpdump, iptraf, dll. 2. Paket Logger Berguna dalam Paket Traffic. 3. NIDS (Network Intrusion Detection System) Deteksi Intrusion pada Network

Komponen – komponen Snort IDS (Intrusion Detection System) meliputi: a. Rule Snort Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis – jenis serangan. Rule snort IDS (Intrusion Detection System) harus selalu terupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org.

b. Snort Engine Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort.

c. Alert Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database. Hubungan ketiga komponen snort IDS (Intrusion Detection System) tersebut dapat digambarkan dalam gambar berikut.


17

Gambar 2.2.1.2 System kerja Snort IDS

2.2.1.2 Instalasi dan Konfigurasi Snort IDS (Intrusion Detection System) Setelah kita mengeti dan memahami akan teori-teori, fungsi, dan kegunaan Snort IDS (Intrusion Detection System), kini saatnya kita mengerjakan Instalasi dan Konfigurasinya.

Kebutuhan yang harus di penuhi untuk sebelum menginstall snort: 1. Sistem Operasi (GNU/Linux Backtrack 4) 2. Libpcap, libpcap & libpcap-devel Instalasi bias langsung di Source milik anda dengan cara [root @alif ~] apt-get install libpcap libpcap-devel 3. PCRE, pcre & pcre-devel Untuk PCRE bias didownload di ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-8.12.tar.gz


18 Setelah selesai didownload maka dilanjutkan ke cara instalasinya [dee @alif ~]# tar zxvf pcre-8.12.tar.gz [dee @alif ~]# cd pcre-8.12 [dee @alif pcre-8.12]# ./configure [dee @alif pcre-8.12]# make [dee @alif pcre-8.12]# make install 4. WebServer Apache (Optional) Instalasi bias langsung di Source milik anda dengan cara [root @alif ~] apt-get install Apache2 5. MySQL Server, mysql-server & mysql-devel (Optional) Instalasi bias langsung di Source milik anda dengan cara [root @alif ~] apt-get install mysql-server mysql-client mysql-devel 6. PHP (Optional) Instalasi bias langsung di Source milik anda dengan cara [root @alif ~] apt-get install php5 paket-paket diatas harus sudah terinstall dengan baik itu menggunakan paket binary maupun source (tar.bz2). Yang sebelumnya dengan meng-update paket-paket yang terbaru, serta mematikan services/daemon yang tidak diperlukan. Instalasi Snort [dee @alif ~]$ tar xjvf snort-2.8.0.tar.gz [dee @alif ~]$ cd snort-2.8.0


19 [dee @alif snort-2.8.0]$ ./configure –prefix=/usr \ –sysconfdir=/etc/snort \ –mandir=/usr/share/man \ –with-libpcap \ –with-dynamicplugins [dee @alif snort-2.8.0]$ make [root @alif snort-2.8.0]# make install Setelah instalasi selesai, dengan keyakinan tidak adanya pesan kesalahan. Lanjutkan dengan membuat direktori untuk peletakkan berkas-berkas snort. [root @alif snort-2.8.0]# mkdir -p /etc/snort/rules; mkdir /var/log/snort [root @alif snort-2.8.0]# cp etc/* /etc/snort/ Download snort rules (sebaiknya yang terbaru). [dee @alif ~]$ tar xzvf snortrules-pr-2.4.tar.gz [root @alif ~]# cp rules/* /etc/snort/rules/ Setelah selesai instalasi diatas, kita akan memodifikasi berkas konfigurasi snort (/etc/snort/snort.conf) sesuai dengan peletakkan pada sistem. [root @alif ~]# nano /etc/snort/snort.conf Lakukan perubahan baris-baris berikut — snort.conf file configuration — var HOME_NET 192.168.1.0/24 - Isikan IP address LAN var EXTERNAL_NET $HOME_NET var RULE_PATH /etc/snort/rules – Isikan Letak Direktori Rules


20 dynamicpreprocessor directory /usr/lib/snort_dynamicpreprocessor/ dynamicengine /usr/lib/snort_dynamicengine/libsf_engine.so Setelah selesai, silahkan simpan berkas snort.conf Silahkan ambil snort-init untuk mengatur starting & ending service snort. [dee @alif ~]$ wget http://202.152.18.10/linux/snort-init.txt [root @alif ~]# cp snort-init.txt /etc/init.d/snort [root @alif ~]# chmod +x /etc/init.d/snort Agar setiap kali selesai booting komputer, service snort dapat dijalankan secara otomatis, hendaknya dilakukan perintah dibawah ini: [root @alif ~]# chkconfig –add snort Jalankan, snort [root @alif ~]# /etc/init.d/snort start Starting snort service: [ OK ] Dengan demikian, proses instalasi snort pada sistem sudah selesai.Untuk memonitoring berkas/LOG yang disimpan snort [root @alif ~]# tail -f /var/log/snort/alert [**] [1:1419:9] SNMP trap udp [**] [Classification: Attempted Information Leak] [Priority: 2] 10/26-16:43:48.741706 192.168.1.101:53809 -> 192.168.1.87:162 UDP TTL:255 TOS:0×0 ID:15979 IpLen:20 DgmLen:244 Len: 216


21 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][Xref => http://www.securityfocus.com/bid/4132][Xref => http://www.securityfocus.com/bid/4089][Xref => http://www.securityfocus.com/bid/4088] Untuk mengganti, listening interface dapat dilakukan pengeditan langsung pada berkas /etc/init.d/snort Asumsi interface eth0 merupakan ethernet yang digunakan sebagai fungsi yang menangani paket yang masuk dan keluar. Setelah snort berjalan dengan normal, dan bisa menampilkan pesan seperti diatas selanjutnya kita coba memasuki tahap pencegahan sistem. Salah satu aplikasi yang kita gunakan saat ini adalah blockit. Download blockit di http://www.sfr-fresh.com/unix/privat/blockit-1.4.3a.tar.gz . dan dibawah ini cara menginstallnya. Instalasi Blockit [dee @alif ~]# tar zxvf blockit-1.4.3a.tar.gz [dee @alif ~]# cd blockit-1.4.3a [dee @alif pcre-8.12]# sh install.sh Maka akan mucul pesan seperti berikut: Please Enter Install Directory [/usr/local/blockit]:/etc/blockit Do you want to configure MySQL support? [y/n]: n If using PF add a line saying ‘anchor blockit’ in your /etc/pf.conf! #


22 Setelah instalasi selesai maka dilanjutkan dengan mengedit blockit.conf di dalam conf folder (/etc/blockit/conf/blockit.conf) pada bagian dibawah ini: FirewallType = 0 AlertFile = /var/log/snort/alert Setelah meng-edit blockit.conf, copy seluruh konfigurasi yang ada di dalam forder conf dan pindahkan di folder /etc/blockit/ [dee @alif ~]# cp –Rf /etc/blockit/conf/* /etc/blockit/ Setlah itu copy juga blockit didalam bin (/etc/blockit/bin/) ke dalam folder init.d yang berada pada folder etc (/etc/init.d) [dee @alif ~]# cp /etc/blockit/bin/blockit /etc/init.d/ Setelah selesai konfigurasi, untuk menjalankannya [dee @alif ~]# /etc/init.d/blockit start Silahkan lakukan pengetesan, apakah sistem yang dibangun sudah berfungsi. Lakukan scanning, ke sistem yang diinstall, dan lihat hasilnya. (Sumber referensi: Saragi, Ronald, Siranda. Membangun-IPS http://mymine.wordpress.com/2007/11/30/membangun-intrussion-preventifsistem , 05 Maret 2011, 12.53 WIB)

2.2.2 Firewall Firewall atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Tembok-api umumnya juga


23 digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah lazim yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka perlindungan terhadap modal digital perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya, menjadi hakikat.

Gambar 2.2.2.1 Letak firewall untuk sebuah jaringan Firewall terbagi menjadi dua jenis, yakni sebagai berikut a. Personal Firewall Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, antispyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows –


24 Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall. b. Network Firewall Network Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket yang akan ditolak.

Gambar 2.2.2.2 Skema Urutan Fungsi Firewall


25 2.2.2.1 Fungsi Firewall Secara fundamental, firewall dapat melakukan hal-hal berikut: a) Mengatur dan Mengontrol Lalu lintas jaringan Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut.

b) Proses inspeksi Paket Inspeksi paket ('packet inspection) merupakan proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi: ·

Alamat IP dari komputer sumber

·

Port sumber pada komputer sumber

·

Alamat IP dari komputer tujuan

·

Port tujuan data pada komputer tujuan

·

Protokol IP

·

Informasi header-header yang disimpan dalam paket

c) Koneksi dan Keadaan Koneksi


26 Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan: 1. Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak. 2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless). Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi. Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang "ditunggu" oleh host yang dituju, dan jika ya, akan mengizinkannya. Jika data yang melewati firewall tidak cocok dengan kea-


27 daan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection. d) Stateful Packet Inspection Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi. Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini. e) Melakukan autentikasi terhadap aksesFungsi fundamental firewall yang kedua adalah firewall dapat melakukan au tentikasi terhadap akses.


28 Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi, sebagai berikut: ·

Firewall dapat meminta input dari pengguna mengenai nama pengguna (user name) serta kata kunci (password). Metode ini sering disebut sebagai extended authentication atau xauth. Menggunakan xauth pengguna yang mencoba untuk membuat sebuah koneksi akan diminta input mengenai nama dan kata kuncinya sebelum akhirnya diizinkan oleh firewall. Umumnya, setelah koneksi diizinkan oleh kebijakan keamanan dalam firewall, firewall pun tidak perlu lagi mengisikan input password dan namanya, kecuali jika koneksi terputus dan pengguna mencoba menghubungkan dirinya kembali.

·

Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik. Keunggulan metode ini dibandingkan dengan metode pertama adalah proses autentikasi dapat terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih cepat dalam rangka melakukan proses autentikasi. Meskipun demikian, metode ini lebih rumit implementasinya karena membutuhkan banyak komponen seperti halnya implementasi infrastruktur kunci publik.

·

Metode selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK) atau kunci yang telah diberitahu kepada pengguna. Jika dibandingkan dengan sertifikat digital, PSK lebih mudah diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan proses autentikasi terjadi tanpa intervensi pengguna. Dengan menggunakan PSK, setiap host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang kemudian


29 digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci PSK jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci yang sama untuk melakukan koneksi terhadap hosthost yang berada pada jarak jauh, sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai sebuah derajat keamanan yang tinggi, umumnya beberapa organisasi juga menggunakan gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat digital. Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan inspeksi paket (PI) atau berdasarkan keadaan koneksi (SPI), jika host tersebut tidak lolos proses autentikasi, paket tersebut akan dibuang.

f) Melindungi sumber daya dalam jaringan private Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan fatal. Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang be-


30 lum ditambal, maka seorang pengguna yang "iseng" dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.

2.2.2.2 Cara-Cara Kerja Firewall a) Packet-Filter Firewall Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router. Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak

meneruskan

paket

yang

masuk

tersebut

ke

tujuannya

atau

menghentikannya. Pada bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna. Cara kerja packet filter firewall:


31 Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol) umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan. b) Circuit Level Gateway Firewall jenis lainnya adalah Circuit-Level Gateway, yang umumnya berupa komponen dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi dalam model referensi tujuh lapis OSI (bekerja pada lapisan sesi/session layer) daripada Packet Filter Firewall.Modifikasi ini membuat firewall jenis ini berguna dalam rangka menyembunyikan informasi mengenai jaringan terproteksi, meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi. Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara langsung dengan firewall pada saat proses pembuatan koneksi dan firewall pun akan membentuk koneksi dengan sumber daya jaringan yang hendak diakses oleh pengguna setelah mengubah alamat IP dari paket yang ditransmisikan oleh -


32 dua belah pihak. Hal ini mengakibatkan terjadinya sebuah sirkuit virtual (virtual circuit) antara pengguna dan sumber daya jaringan yang ia akses. Firewall ini dianggap lebih aman dibandingkan dengan Packet-Filtering Firewall, karena pengguna eksternal tidak dapat melihat alamat IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari firewall. Protokol yang populer digunakan sebagai Circuit-Level Gateway adalah SOCKS v5. c) Application Level Firewall Application Level Firewall (disebut juga sebagai application proxy atau application level gateway) Firewall jenis lainnya adalah Application Level Gateway (atau Application-Level Firewall atau sering juga disebut sebagai Proxy Firewall), yang umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang tidak aman. Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang diterapkannya. Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak bebera-


33 pa perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy SMTP sehingga mereka dapat menerima surat elektronik dari luar (tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter firewall. d) NAT Firewall NAT

(Network

Address

Translation)

Firewall

secara

otomatis

menyediakan proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall. e) Stateful Firewall Cara kerja stateful firewall: Stateful Firewall merupakan sebuah firewall yang menggabungkan keunggulan yang ditawarkan oleh packet-filtering firewall, NAT Firewall, CircuitLevel Firewall dan Proxy Firewall dalam satu sistem. Stateful Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti


34 halnya packet-filtering firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut di izinkan. Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall umumnya didesain agar lebih transparan (seperti halnya packet-filtering firewall atau NAT firewall). Tetapi, stateful firewall juga mencakup beberapa aspek yang dimiliki oleh application level firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi (application layer) dengan menggunakan layanan tertentu. Firewall ini hanya tersedia pada beberapa firewall kelas atas, semacam Cisco PIX. Karena menggabungkan keunggulan jenis-jenis firewall lainnya, stateful firewall menjadi lebih kompleks. f) Virtual Firewall Virtual Firewall adalah sebutan untuk beberapa firewall logis yang berada dalam sebuah perangkat fisik (komputer atau perangkat firewall lainnya). Pengaturan ini mengizinkan beberapa jaringan agar dapat diproteksi oleh sebuah firewall yang unik yang menjalankan kebijakan keamanan yang juga unik, cukup dengan menggunakan satu buah perangkat. Dengan menggunakan firewall jenis ini, sebuah ISP (Internet Service Provider) dapat menyediakan layanan firewall kepada para pelanggannya, sehingga mengamankan lalu lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat. Hal ini jelas merupakan penghematan biaya yang signifikan, meski firewall jenis ini hanya tersedia pada firewall kelas atas, seperti Cisco PIX 535. g) Transparent Firewall Transparent Firewall (juga dikenal sebagai bridging firewall) bukanlah sebuah firewall yang murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada firewall-firewall lainnya yang beroperasi pada lapisan IP ke atas, transparent firewall bekerja pada lapisan Data-Link Layer, dan kemudian ia memantau lapisan-lapisan yang ada di atasnya.


35 Selain itu, transparent firewall juga dapat melakukan apa yang dapat dilakukan oleh packet-filtering firewall, seperti halnya stateful firewall dan tidak terlihat oleh pengguna (karena itulah, ia disebut sebagai Transparent Firewall). Intinya, transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk menyaring lalu lintas jaringan antara dua segmen jaringan. Dengan menggunakan transparent firewall, keamanan sebuah segmen jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT Filter. Transparent Firewall menawarkan tiga buah keuntungan, yakni sebagai berikut: ·

Konfigurasi yang mudah (bahkan beberapa produk mengklaim sebagai "Zero Configuration"). Hal ini memang karena transparent firewall dihubungkan secara langsung dengan jaringan yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-link layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi atau dapat juga untuk melindungi sebuah host, jika memang diperlukan.

·

Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi.

·

Tidak terlihat oleh pengguna (stealth). Hal ini memang dikarenakan Transparent

Firewall

bekerja

pada

lapisan

data-link,

dan

tidak

membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall). Karena itulah, transparent firewall tidak dapat terlihat oleh para


36 penyerang. Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak dapat menyerangnya. ·

Tidak mempengaruhi kinerja dari router. Hal ini memang dikarenakan Transparent Firewall bekerja membutuhkan kapasitas process RAM yang kecil namun sangat pandai dalam menentukan rule-rule.

2.2.2.3 IPTables IPTables merupakan command untuk menentukan sebuah rule-rule firewall dalam tugasnya menjaga sebuah jaringan. IPTables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD.

Gambar 2.2.2.3 skema iptables Pada diagram tersebut, lingkaran menggambarkan ketiga rantai atau chain. Pada saat sebuah paket sampai pada sebuah lingkaran, maka disitulah terjadi proses penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila keputusannnya adalah DROP, maka paket tersebut akan di-drop. Tetapi jika rantai


37 memutuskan untuk ACCEPT, maka paket akan dilewatkan melalui diagram tersebut. Sebuah rantai adalah aturan-aturan yang telah ditentukan. Setiap aturan menyatakan “jika paket memiliki informasi awal (header) seperti ini, maka inilah yang harus dilakukan terhadap paket”. Jika aturan tersebut tidak sesuai dengan paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai aturan terakhir yang ada, paket tersebut belum memenuhi salah satu aturan, maka kernel akan melihat kebijakan bawaan (default) untuk memutuskan apa yang harus dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default DROP dan default ACCEPT. Jalannya sebuah paket melalui diagram tersebut bisa dicontohkan sebagai berikut: a. Perjalanan paket yang diforward ke host yang lain: 1. Paket berada pada jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan, contoh eth0. 3. Paket masuk ke chain PREROUTING pada table Mangle. Chain ini berfungsi

untuk me-mangle (menghaluskan) paket, seperti merubah

TOS, TTL dan lain-lain. 4. Paket masuk ke chain PREROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan DNAT (Destination Network Address Translation). 5. Paket mengalami keputusan routing, apakah akan diproses oleh host lokal atau diteruskan ke host lain. 6. Paket masuk ke chain FORWARD pada tabel filter. Disinlah proses pemfilteran yang utama terjadi.


38 7. Paket masuk ke chain POSTROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan SNAT (Source Network Address Translation). 8. Paket keluar menuju interface jaringan, contoh eth1. 9. Paket kembali berada pada jaringan fisik, contoh LAN. b. Perjalanan paket yang ditujukan bagi host local: 1. Paket berada dalam jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan, contoh eth0. 3. Paket masuk ke chain PREROUTING pada tabel mangle. 4. Paket masuk ke chain PREROUTING pada tabel nat. 5. Paket mengalami keputusan routing. 6. Paket masuk ke chain INPUT pada tabel filter untuk mengalami proses penyaringan. 7. Paket akan diterima oleh aplikasi lokal. c. Perjalanan paket yang berasal dari host local: 1. Aplikasi lokal menghasilkan paket data yang akan dikirimkan melalui jaringan. 2. Paket memasuki chain OUTPUT pada tabel mangle. 3. Paket memasuki chain OUTPUT pada tabel nat. 4. Paket memasuki chain OUTPUT pada tabel filter.


39 5. Paket mengalami keputusan routing, seperti ke mana paket harus pergi dan melalui interface mana. 6. Paket masuk ke chain POSTROUTING pada tabel NAT. 7. Paket masuk ke interface jaringan, contoh eth0. 8. Paket berada pada jaringan fisik, contoh internet. Sintaks IPTables iptables [-t table] command [match] [target/jump] (Sumber referensi: Anonim. Firewall http://id.wikipedia.org/wiki/Firewal, 05 Maret 2011, 16.26 WIB) 2.2.3 IRC (Internet Relay Chat) Internet Relay Chat (IRC) adalah suatu bentuk komunikasi di Internet yang diciptakan untuk komunikasi interpersonal terutama komunikasi kelompok di tempat diskusi yang dinamakan channel (saluran), tetapi juga bisa untuk komunikasi jalur pribadi. IRC muncul sebagai saluran komunikasi pintu belakang yang menarik yang meliput kejadian-kejadian penting. Pada saat alat-alat komunikasi tradisional tak dapat berfungsi dengan baik, IRC dapat menjadi alternatif yang dapat diandalkan. 2.2.3.1 Sejarah IRC IRC diciptakan oleh Jarkko Oikarinen (nickname "WiZ") pada akhir Agustus 1988 untuk menggantikan program di BBS yang disebut MUT (MultiUser Talk), di Finlandia di sebut OuluBOX. Oikarinen menemukan inspirasi Bitnet Relay Chat yang beroperasi di dalam Jaringan Bitnet. Dia membuat IRC client dan IRC server di Universitas Oulu, Finlandia (Pada saat dia


40 bekerja di Departemen Informasi Ilmu Pengetahuan). Sekarang IRC sudah digunakan di lebih dari 60 negara di seluruh dunia. Pada tahun 1992 Internet Relay Chat kemudian disempurnakan tepatnya pada saat perang gurun. Antara periode ini, informasi diterima dan disalurkan ke seluruh dunia sehingga karena dengan IRC manusia dapat berkomunikasi dengan jarak beribu-ribu mil. IRC adalah sebuah tempat pertemuan untuk siapa saja yang membutuhkan informasi langsung up to date dan dapat dipergunakan. 2.2.3.2 Bagian-bagian IRC Terdiri dari bermacam-macam "network" (jaringan atau "nets") IRC server, mesin-mesin untuk menghubungkan pemakai dengan IRC. Nets yang terbesar adalah EFnet (IRC net yang pertama, yang kadang-kadang memiliki lebih dari 32000 pengguna IRC dalam satu saat), Undernet, IRCnet, DALnet, NewNet. Server-server tersebut yang menghantarkan informasi-informasi ke dan dari satu server ke server yang lain di dalam net yang sama. Client-client yang direkomendasikan: 1. UNIX/Shell: ircII 2. Windows: mIRC or PIRCH 3. Macintosh: Ircle Channel-channel dalam IRC dikelola oleh "channel operator",atau "ops". Channel operator adalah orang-orang yang berkuasa di channel tersebut, dan keputusan-keputusan mereka tidak dapat diganggu gugat. Mereka dapat "memilih" siapa saja yang bisa join di channel tersebut, siapa yang berhak berbicara (dengan membuat channel tersebut "moderated") dan juga menolak (dengan mem-"ban" beberapa pemain) Jika ada di-"ban" dari suatu channel, bicaralah dengan channel operator, dan minta dengan baik agar dia mengijinkan Anda untuk bergabung dengan channel tersebut (dengan meng-"unban"). IRC server dikelola oleh IRC admin dan IRC operator (atau "IRCops"). IRCops tidak-


41 turut campur dalam urusan pribadi orang-orang, perang antar channel, memberi status op, dan lain-lain. Mereka bukanlah "IRC cops". 2.2.3.3 Menggunakan IRC Saat kita menggunakan Internet Relay Chat, kita akan disambut oleh Message of the Day (Pesan Hari Ini) atau MOTD yang berisi informasi tentang situs dan lalu lintas pada jaringan. Ketika menggunakan IRC, pengguna diminta untuk menyebutkan nama julukan atau samaran. Sang pengguna memiliki suatu program (yang disebut "client") untuk menghubungkan Anda dengan suatu server dari salah satu IRC nets tersebut di atas. Bila telah log in pada client IRC, pengguna dapat secara otomatis menggunakan saluran aktif yang bernama #chatzone. Semua saluran atau channel IRC diawali tanda (#) ada juga dengan tanda (&). Channel-channel tersebut adalah channel-channel lokal di satu server saja sehingga pengguna harus bergabung dengan server tersebut untuk dapat bergabung dengan channel. Semua perintah IRC dimulai dengan garis miring (/). Misalnya untuk mengetahui daftar saluran yang sedang digunakan pada saat yang bersangkutan dan jumlah orang yang bercakap-cakap, ketik perintah “/list”. Untuk turut serta dalam percakapan di Internet ini, tinggal beri perintah ”/join” diikuti tanda #(nama saluran). Jika pengguna telah memiliki program seperti mIRC untuk Windows, beberapa perintahnya dapat dipilih dari menu-nya. Semua perintah-perintah dasar IRC berlaku untuk semua client-client. 2.2.3.4 Analisis Aktifitas Hacking di IRC (Internet Relay Chat) Berdasarkan hasil analisa dari data-data yang telah dikumpulkan oleh penulis, terdapat fakta bahwa hacker yang memiliki atau bergabung dalam suatu kelompok hacker tertentu, ternyata menggunakan Internet Relay Chat (IRC) atau chatroom. Bukan tidak mungkin bahwa hacker yang tergabung dalam sebuah -


42 Chatroom dalam jangka waktu tertentu, secara berkala dan konsisten, bisa membentuk sebuah kelompok hacker tertentu. Nama kelompok hacker tersebut akan mengikuti nama chat roomnya, ataupun nama chatroom yang dipilih akan menyesuaikan dengan nama kelompok hacker tersebut. Nama dari sebuah chatroom akan mengidentifikasikan nama kelompok hacker tersebut, demikian pula sebaliknya, nama sebuah kelompok hacker akan mengidentifikasikan nama chatroom yang digunakan. Contohnya kelompok hacker AntiHackerlink, Jasakom dan K-Elektronik, masing-masing memiliki chatroom dengan nama #AntiHackerlink, #Jasakom dan #K-Elektronik. Ketiga chat room tersebut berada di sebuah server Internet global yang bernama DALnet. Berikut ini adalah data-data teknis ketiga chatroom tersebut: Info for #antihackerlink: Founder

: ([email protected])

Mode Lock : -m Last Topic : http://www.research.att.com/sw/tools/uwin/ (zer0_c00l) Description: ::..:: We Are Indonesia Hacker's Crew ::..:: Options

: SecuredOps, Verbose, "Sticky" Topics

Memo Level : AOP Registered : Sat 12/01/2001 09:53:08 GMT Last opping: Sun 12/23/2001 09:46:56 GMT End of Info

info for #jasakom: Founder


Mode Lock : -i Description: WWW.JASAKOM.COM Memo Level : AOP Registered : Tue 05/29/2001 02:30:10 GMT


43 Last opping: Sun 12/23/2001 09:42:37 GMT End of Info

Info for #k-elektronik: Founder


Mode Lock : +cnt-sipkR Last Topic : | Kecoak Crew | the great way to learn (wellex) Description: www.k-elektronik.org URL

: http://www.k-elektronik.org

Options

: SecuredOps, Ident, Topic Lock(S)

Memo Level : SOP Registered : Tue 12/04/2001 08:35:17 GMT Last opping: Sun 12/23/2001 11:50:29 GMT End of Info Tampak jelas dalam data-data di atas mengenai nickname pendiri (founder), waktu didirikan (registered), deskripsi (description) chatroom, dan sebagainya. Sebuah chatroom dapat menjadi suatu perwujudan dari keberadaan sebuah kelompok sosial atau komunitas hacker. Kemampuan dan fungsi chatroom memang memungkinkan hal tersebut. Pertama, chatroom mampu berfungsi sebagai sarana komunikasi sosial dan dapat pula menjadi manifestasi kelompok sosial itu sendiri. Kemampuan chatroom menjadi sebuah sarana komunikasi sosial karena secara teknis di dalam chatroom para chatters dapat melakukan komunikasi interpersonal (private chat) dan komunikasi kelompok (public chat). Baik private chat maupun public chat, antar pelakunya harus berada dalam satu tempat yang sama (bertemu dalam satu chatroom tertentu) dan dalam waktu yang sama pula (real time). Salah satu tahap terjadinya interaksi sosial adalah adanya kontak, yang bisa bersifat sekunder (menggunakan media tertentu, dalam hal ini melalui chatroom) dan langsung (tanpa perantara individu lain meskipun tidak face-to-face).


44 Kedua, chatroom mampu menjadi sebuah kelompok sosial. Hal tersebut tak lepas pula dari karakteristik teknis chatroom itu sendiri. Pertama-tama, kita definisikan dahulu arti kata kelompok sosial. Menurut George Hillery dalam jurnal CyberSociology (http://www.cybersoc.com), ciri komunitas adalah adanya sekelompok orang yang saling melakukan interaksi sosial dan ada suatu persamaan yang mengikat mereka pada kelompok tersebut dan antar sesama anggota kelompok, serta mereka berbagi area tertentu dalam jangka waktu tertentu. Geoffrey

Liu

dalam

jurnal

Computer-Mediated

Communication

(http://www.ascusc.org/jcmc), menetapkan beberapa syarat terjadinya komunitas atau kelompok sosial maya, yaitu: (1). adanya ruang publik maya, (2). adanya aktifitas komunikasi dari para komunikator, (3). adanya anggota dengan jumlah besar sehingga memungkinkan terjadinya beberapa interaksi, (4). adanya kestabilan jumlah anggota dan konsistensi pemunculan anggota dan (5). adanya interaktifitas pesan verbal, pesan simulasi aksi dan konsistensi penggunaan nickname. Di dalam chatroom, khususnya server DALnet, ada jenjang struktural dan fungsional yang baku. Jenjang pertama dan tertinggi adalah founder, super operator (SOP) dan auto operator (AOP) dan temporary operator. Keempat jabatan tersebut selain struktural, juga fungsional. Mereka secara umum disebut Operator (OP) dan menggunakan tanda "@" di depan nickname mereka. Nickname mereka secara otomatis akan berada di urutan teratas dari listname pengunjung chatroom. Ketiganya merupakan penguasa sebuah chatroom yang dapat mengundang orang lain untuk datang, mengusir paksa orang dan mengawasi setiap percakapan publik yang terjadi di chatroom. Founder adalah pemegang akses tertinggi dalam sebuah chatroom dan hanya dipegang oleh satu orang saja. Seorang founder bisa mengangkat SOP dan AOP. SOP bisa mengangkat AOP. Pengangkatan para SOP dan AOP tersebut memerlukan pendekatan kepada atasaanya. Karena tidak jarang para chatters Ter-


45 pisah antar negara dan sama sekali tidak pernah bertemu satu dengan yang lainnya secara face-to-face. Pengangkatan jabatan tersebut harus berdasarkan kepercayaan dan tidak jarang dengan melakukan lobi-lobi. Kembali ke pendapat Hillery, syarat penting terjadinya sebuah komunitas maya adalah adanya suatu persamaan yang mengikat mereka pada kelompok tersebut dan antar sesama anggota kelompok, serta mereka berbagi area tertentu dalam jangka waktu tertentu. Para anggota kelompok hacker di chatroom memiliki persaman yang mengikat yaitu anggotanya sama-sama menyatakan dirinya sebagai hacker dan memiliki tujuan untuk melakukan hacking. Mereka juga berbagi area kekuasaan tertentu dalam jangka waktu tertentu. Area ter sebut ialah sebuah chatroom. Konsep area dalam chatroom ini tidak berbeda jauh dengan konsep area kekuasan dalam dunia nyata. Dalam chatroom pun ada istilah penguasa lahan (operator), perebutan lahan (channel takeover) dan intimidasi area (flooding). Ada kalanya para anggota sebuah chatroom melakukan "serangan" ke chatroom lain. Selain itu dikenal pula istilah "meminta jasa keamanan" kepada operator yang ahli, biasanya adalah operator di sebuah chatroom besar, yang dalam dunia nyata disebut sebagai God Father. Bagi chat room kecil atau yang baru memiliki anggota sedikit, tidak jarang diganggu oleh pihak yang iseng. Operator chatroom besar rata-rata memiliki pengalaman dan pengetahuan yang lebih baik dalam mengatur sebuah channel dan mengatasi permasalahan yang timbul. Operator tersebut kemudian diangkat sebagai SOP oleh founder chatroom kecil dan diajak untuk bergabung dalam channel kecil tersebut, walapun hanya sekedar meletakkan nickname saja. Dengan adanya God Father dari chatroom besar tersebut, maka tingkat gangguan terhadap chatroom kecil tersebut dapat dikurangi. Setidaknya membuat pihak yang ingin mengganggu tersebut harus berpikir dua kali, karena bisa saja dia yang terkena serangan balasan atau dicekal untuk masuk ke chatroom lain yang dipegang oleh God Father tersebut.


46 Salah satu ciri khas yang membedakan antara hacker yang tidak bergabung dengan suatu kelompok hacker tertentu dengan hacker yang memilih bergabung adalah dari kebiasaan meninggalkan "catatan" dalam tampilan sebuah situs yang telah dimodifikasi oleh hacker tersebut. Bagi hacker tanpa kelompok, dia hanya meninggalkan catatan atas nama nickname atau inisial hacker tersebut. Salah satu contohnya adalah ketika Fabian Clone pada hari Jumat tanggal 24 Mei 2000 menembus sistem sekuriti situs Indofood.co.id dan Rekayasa.co.id, dia hanya meninggalkan pesan-pesan yang diakhiri dengan inisial "F.C.". Sedangkan bagi hacker yang berkelompok, dia akan menuliskan nama kelompoknya. Salah satu contohnya adalah ketika hC- pada hari Kamis tanggal 16 Mei 2000 menembus sistem sekuriti situs PLN-Jawa-Bali.co.id, dia meninggalkan pesan-pesan tertentu sekaligus mengucapkan salam antara lain kepada rekannya dari kelompok hacker AntiHackerlink. Di dalam chatroom, kerap terdapat ajakan-ajakan eksplisit atau motivatormotivator untuk melakukan hacking. Salah satu contohnya adalah logs chatroom #AntiHackerlink di bawah ini: Start Logs Session Start: Wed Mar 21 12:38:10 2001 [12:38] Now talking in #antihackerlink [12:38]Topic is 'http://www.multysistem.it/, http://www.nicastroebarone.it/ ,http://www.salvatoremirmina.it/, http://www.pensionescala.it/sakitjiwa.txt, http://www.roseeroselline.it/ http://www.cavi-vivai.it/ New TargeT www.westernunion.com www.paypal.com > yg bisa di akui jadi hacker sejati < both of them' [12:38] Set by chikebum on Wed Mar 21 11:56:49 [12:38] #antihackerlink url is pimp.goes.to.hell.with.the.support.from antihackerlink.org -cuttedSession Time: Thu Mar 22 00:00:00 2001


47 -cutted[07:24] Wagimin changes topic to 'ANTIHACKERLINK IS BACK !!! | The Hot News seen www.westernunion.com http://www.detik.com/net/2001/03/21/2001321-114641.shtml ! || Last target www.paypal.com || [eF!] My Gift for #ANTIHACKERLINK :: http://hacked.cen tralbankasia.com/ [eF!]' -cutted[07:24] ANTIHACKERLINK IS BACK! [07:24] ANTIHACKERLINK IS BACK! End Logs Perbedaan jam antara informasi logs tersebut dengan WIB adalah +7. Dari logs tersebut bisa dijelaskan bahwa pada pukul 19.38 WIB, Chikebum memasang topic di #AntiHackerlink yang intinya berisi ajakan atau motivasi untuk melakukan hacking ke situs Western Union salah satunya. Pada pukul 06.19 WIB keesokan harinya, dotcom- mengirimkan e-mail ke penulis yang mengatakan bahwa dia dan eF73 berhasil masuk ke server WesternUnion.com. Siang harinya berita bobolnya server Western Union tersebut dimuat oleh situs www.detik.com. Kemudian pada pukul 14.24 WIB, Wagimin, alias eF73, memasang topic di #AntiHackerlink tentang keberhasilan eF73 dan dotcom- menembus server Western Union, sekaligus memasang alamat situs berita dari Detikcom yang memberitakan keberhasilan mereka. Sedangkan alamat situs http://hacked.centralbankasia.com merupakan salah satu tempat curahan data-data kartu kredit dari toko buku online Barners & Nobles yang sistemnya baru saja ditembus oleh AntiHackerlink. Kedua peristiwa tersebut membuat C1sc0- "bersorak" gembira. Hal tersebut merupakan contoh adanya kemungkinan melakukan tindakan persuasif atau memotivasi orang lain di dalam chatroom. Salah satu kebanggaan hacker yang membentuk kelompok maya


48 di chatroom adalah ketika hasil hackingnya dipasang sebagai topic channel, sehingga setiap pengunjung chatroom tersebut pasti membaca isi topik. Terlebih lagi apabila di dalam topik tersebut adalah alamat situs tempat berita keberhasilannya itu dimuat. Saling memotivasi dan saling memberikan salut merupakan hal yang lumrah dan kerap terjadi di chatroom hacker. Bukti lain bahwa chat room dapat menjadi sarana belajar belajar atau motivasi perilaku hacking adalah ketika hC-, seorang hacker Indonesia yang didenda Rp 150 juta oleh pengadilan Singapura pada tanggal 30 Agustus 2000 karena membobol jaringan komputer di Singapura, oleh Kepolisian Singapura dirinya dinyatakan menggunakan chatroom untuk mempelajari teknik penyusupan ke sebuah jaringan komputer. Kita kembali kepada konsep Liu tentang syarat eksistensi sebuah komunitas maya., khususnya dalam hal konsistensi pemunculan anggota dan adanya interaktifitas pesan simulasi aksi. Makna pemunculan anggota di sini adalah keberadaan individu dalam sebuah area tertentu secara konsisten. Keberadaan individu tersebut dimanifestasikan dengan keberadaan sebuah nickname yang digunakan secara tetap pada sebuah chatroom secara regular dalam jangka waktu tertentu. Sedangkan interaktifitas pesan simulasi aksi adalah keberadaan bahasa-bahasa verbal dalam bentuk teks atau tulisan yang memiliki makna atau dimaknai sebagai sebuah aksi yang benar-benar dilakukan. Jika kedua hal ini digabung, maka maknanya adalah pemunculan nickname secara konsisten dalam sebuah chatroom tertentu yang antara lain dapat melakukan simulasi aksi. Simulasi aksi baru memiliki makna apabila dilakukan secara real-time kepada lawan bicara. Ungkapan "saya mencium kamu" misalnya, akan memiliki makna yang berbeda ketika disampaikan melalui chatroom dan ketika melalui e-mail. Dalam e-mail, rasa dan makna kehadiran "pada saat itu" menjadi tidak penting. Kejadian bisa terjadi kapanpun (tidak real-time) dan dimanapun (tanpa ha


49 -rus bertemu di satu tempat tertentu). Kejadian apapun yang di dalam milis, termasuk simulasi aksi tersebut, tidak akan memiliki makna seperti dalam chatroom. Dalam chatroom, rasa dan makna kehadiran menjadi sangat penting. Karena tanpa hadir dalam satu saat yang sama dan tempat maya yang sama, komunikasi dan interaksi tidak akan terjadi. Hal tersebut menjelaskan mengapa simulasi aksi tersebut dapat sedemikian bermakna di chatroom. Kejadian maupun simulasi aksi tersebut benar-benar "dilakukan" dan "terjadi" pada saat itu. Makna "saya mencium kamu" di dalam milis bisa jadi bermakna seperti sekedar rayuan, sekedar angan, obsesi maupun bayangan. Tetapi jika di chatroom "saya mencium kamu" bisa bermakna "saya saat ini sedang mencium kamu" dan benar-benar tengah terjadi (secara virtual atau setidaknya dalam benak pelaku). Untuk itulah maka konsep-konsep tentang cybersex lebih mengacu kepada chat, ketimbang e-mail. Komunikasi interpersonal akan terasa lebih personal, intensif dan menyentuh bila terjadi secara realtime. Berdasarkan beberapa hal tersebut di atas, ikatan emosi antar anggota sebuah chatroom jauh lebih kuat ketimbang antar anggota sebuah mailing-list. Hal ini menjelaskan mengapa walaupun para hacker banyak berlangganan mailing-list security, eksistensi mereka tetap dimanifestasikan dalam chatroom. Sekedar contoh, yang kerap disebut sebagai anggota hacker Jasakom bukanlah mereka yang tergabung dalam mailing-list Jasakom, tetapi lebih kepada mereka yang secara konsisten muncul di chatroom #Jasakom. Jadi menuruti analisa ini, IRC merupakan awal perkembangan hacker di Indonesia. (Sumber referensi: Donny. http://opensource.telkomspeedy.com/wiki/index.php/Sejarah_Internet_Indonesia: Memahami_Karakeristik_Komunitas_Hacker , 05 Maret 2011, 17.13 WIB)


50 2.2.3

Jenis-Jenis Serangan Dari IRC (Internet Relay Chat)

a. Serangan DoS Serangan DoS (bahasa Inggris: denial-of-service attacks') adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut. Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut: ·

Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.

·

Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.

·

Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server. Bentuk serangan Denial of Service awal adalah serangan SYN Flooding

Attack, yang pertama kali muncul pada tahun 1996 dan mengeksploitasi terhadap kelemahan yang terdapat di dalam protokol Transmission Control Protocol (TCP). Serangan-serangan lainnya akhirnya dikembangkan untuk mengeksploitasi


51 kelemahan yang terdapat di dalam sistem operasi, layanan jaringan atau aplikasi untuk menjadikan sistem, layanan jaringan, atau aplikasi tersebut tidak dapat melayani pengguna, atau bahkan mengalami crash. Beberapa tool yang digunakan untuk melakukan serangan DoS pun banyak dikembangkan setelah itu (bahkan beberapa tool dapat diperoleh secara bebas), termasuk di antaranya Bonk, LAND, Smurf, Snork, WinNuke, dan Teardrop. Meskipun demikian, serangan terhadap TCP merupakan serangan DoS yang sering dilakukan. Hal ini disebabkan karena jenis serangan lainnya (seperti halnya memenuhi ruangan hard disk dalam sistem, mengunci salah seorang akun pengguna yang valid, atau memodifikasi tabel routing dalam sebuah router) membutuhkan penetrasi jaringan terlebih dahulu, yang kemungkinan penetrasinya kecil, apalagi jika sistem jaringan tersebut telah diperkuat. b. Penolakan Layanan secara Terdistribusi (DDos) Penolakan Layanan secara Terdistribusi (bahasa Inggris: Distributed Denial of Service (DDos)) adalah salah satu jenis serangan Denial of Service yang menggunakan banyak host penyerang (baik itu menggunakan komputer yang didedikasikan untuk melakukan penyerangan atau komputer yang "dipaksa" menjadi zombie) untuk menyerang satu buah host target dalam sebuah jaringan. Serangan Denial of Service klasik bersifat "satu lawan satu", sehingga dibutuhkan sebuah host yang kuat (baik itu dari kekuatan pemrosesan atau sistem operasinya) demi membanjiri lalu lintas host target sehingga mencegah klien yang valid untuk mengakses layanan jaringan pada server yang dijadikan target serangan. Serangan DDoS ini menggunakan teknik yang lebih canggih dibandingkan dengan serangan Denial of Service yang klasik, yakni dengan meningkatkan serangan beberapa kali dengan menggunakan beberapa buah komputer sekaligus, sehingga dapat mengakibatkan server atau keseluruhan segmen jaringan dapat menjadi "tidak berguna sama sekali" bagi klien.


52 Serangan DDoS pertama kali muncul pada tahun 1999, tiga tahun setelah serangan Denial of Service yang klasik muncul, dengan menggunakan serangan SYN Flooding, yang mengakibatkan beberapa server web di Internet mengalami "downtime". Pada awal Februari 2000, sebuah serangan yang besar dilakukan sehingga beberapa situs web terkenal seperti Amazon, CNN, eBay, dan Yahoo! mengalami "downtime" selama beberapa jam. Serangan yang lebih baru lagi pernah dilancarkan pada bulan Oktober 2002 ketika 9 dari 13 root DNS Server diserang dengan menggunakan DDoS yang sangat besar yang disebut dengan "Ping Flood". Pada puncak serangan, beberapa server-server tersebut pada tiap detiknya mendapatkan lebih dari 150000 request paket Internet Control Message Protocol (ICMP). Untungnya, karena serangan hanya dilakukan selama setengah jam saja, lalu lintas Internet pun tidak terlalu terpengaruh dengan serangan tersebut (setidaknya tidak semuanya mengalami kerusakan).

Tidak seperti akibatnya yang menjadi suatu kerumitan yang sangat tinggi (bagi para administrator jaringan dan server yang melakukan perbaikan server akibat dari serangan), teori dan praktek untuk melakukan serangan DDoS justru sederhana, yakni sebagai berikut: 1. Menjalankan tool (biasanya berupa program (perangkat lunak) kecil) yang secara otomatis akan memindai jaringan untuk menemukan host-host yang rentan (vulnerable) yang terkoneksi ke Internet. Setelah host yang rentan ditemukan, tool tersebut dapat menginstalasikan salah satu jenis dari Trojan Horse yang disebut sebagai DDoS Trojan, yang akan mengakibatkan host tersebut menjadi zombie yang dapat dikontrol secara jarak jauh (bahasa Inggris: remote) oleh sebuah komputer master yang digunakan oleh si penyerang asli untuk melancarkan serangan. Beberapa tool (software} yang digunakan untuk melakukan serangan serperti ini adalah TFN, TFN2K, Trinoo, dan Stacheldraht, yang dapat diunduh (bahasa Inggris: download) secara bebas di Internet.


53 2. Ketika si penyerang merasa telah mendapatkan jumlah host yang cukup (sebagai zombie) untuk melakukan penyerangan, penyerang akan menggunakan komputer master untuk memberikan sinyal penyerangan terhadap jaringan target atau host target. Serangan ini umumnya dilakukan dengan menggunakan beberapa bentuk SYN Flood atau skema serangan DoS yang sederhana, tapi karena dilakukan oleh banyak host zombie, maka jumlah lalu lintas jaringan yang diciptakan oleh mereka adalah sangat besar, sehingga "memakan habis" semua sumber daya Transmission Control Protocol yang terdapat di dalam komputer atau jaringan target dan dapat mengakibatkan host atau jaringan tersebut mengalami "downtime". Hampir semua platform komputer dapat dibajak sebagai sebuah zombie untuk melakukan serangan seperti ini. Sistem-sistem populer, semacam Solaris, Linux, Microsoft Windows dan beberapa varian UNIX dapat menjadi zombie, jika memang sistem tersebut atau aplikasi yang berjalan di atasnya memiliki kelemahan yang dieksploitasi oleh penyerang. c. SYN flooding attack SYN flooding attack adalah istilah teknologi informasi dalam bahasa Inggris yang mengacu kepada salah satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN. Paket-paket SYN adalah salah satu jenis paket dalam protokol Transmission Control Protocol yang dapat digunakan untuk membuat koneksi antara dua host dan dikirimkan oleh host yang hendak membuat koneksi, sebagai langkah pertama pembuatan koneksi dalam proses "TCP Three-way Handshake". Dalam sebuah serangan SYN Flooding, si penyerang akan mengirimkan paketpaket SYN ke dalam port-port yang sedang berada dalam keadaan "Listening" yang berada dalam host target. Normalnya, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukkan sistem aktual, tetapi paket-paket SYN dalam serangan ini didesain sedemikian rupa, sehingga paket-paket tersebut me-


54 miliki alamat sumber yang tidak menunjukkan sistem aktual. Ketika target menerima paket SYN yang telah dimodifikasi tersebut, target akan merespons dengan sebuah paket SYN/ACK yang ditujukan kepada alamat yang tercantum di dalam SYN Packet yang ia terima (yang berarti sistem tersebut tidak ada secara aktual), dan kemudian akan menunggu paket Acknowledgment (ACK) sebagai balasan untuk melengkapi proses pembuatan koneksi. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan oleh penyerang tidaklah valid, paket ACK tidak akan pernah datang ke target, dan port yang menjadi target serangan akan menunggu hingga waktu pembuatan koneksi "kadaluwarsa" atau timed-out. Jika sebuah port yang listening tersebut menerima banyak paket-paket SYN, maka port tersebut akan meresponsnya dengan paket SYN/ACK sesuai dengan jumlah paket SYN yang ia dapat menampungnya di dalam buffer yang dialokasikan oleh sistem operasi. Jumlah percobaan pembuatan koneksi TCP yang dapat ditampung oleh sebuah host di dalam buffer memang berbeda-beda antara satu platform dengan platform lainnya, tapi jumlahnya tidak lebih dari beberapa ratus buah koneksi saja. Dengan mengirimkan banyak paket SYN ke sebuah port yang berada dalam keadaan listening yang berada dalam host target, buffer koneksi yang dialokasikan oleh sistem penerima dapat mengalami "kepenuhan" dan target pun menjadi tidak dapat merespons koneksi yang datang hingga paket SYN yang sebelumnya mengalami "timed-out" atau buffer memiliki ruang tampung yang lebih banyak. Beberapa sistem operasi bahkan dapat mengalami hang ketika buffer koneksi terlalu penuh dan harus di-restart. Baik pe-restart-an ulang sistem operasi atau buffer yang dipenuhi dengan paket SYN yang tidak jelas datangnya dari mana tersebut mengakibatkan pengguna yang valid dalam sebuah jaringan menjadi tidak dapat mengakses layanan-layanan dalam jaringan. Sistem server di mana pengguna hendak mengakses pun menolak request akses dari pengguna. Ada beberapa cara yang dapat dilakukan untuk mencegah dan mengurangi efek dari SYN Flooding, yakni sebagai berikut:


55 ·

Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlah percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan ukuran paket SYN yang ia kirimkan untuk memenuhi buffer tersebut.

·

Mengurangi nilai waktu kapan sebuah percobaan pembuatan koneksi TCP menjadi "timed-out". Hal ini juga menjadi solusi sementara, apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat.

·

Mengimplementasikan penapisan paket yang masuk ke dalam router, sehingga memblokir semua serangan yang menggunakan alamat palsu. Hal ini

juga

menjadi

solusi

sementara,

karena

tidak

semua

ISP

mengimplementasikan fitur seperti ini. Memantau firewall dan mengonfigurasikannya untuk memblokir serangan SYN flood ketika hal tersebut terjadi. Pendekatan ini merupakan pendekatan yang sering dilakukan oleh banyak organisasi, apalagi jika ditambah dengan Intrusion Prevention System (IPS), meski hal ini membutuhkan kejelian dari seorang administrator jaringan untuk memantau catatan (log) dari IPS dan firewall yang ia atur. Bahkan, dengan kedua perangkat tersebut, klien-klien yang valid dapat ditolaknya karena konfigurasi yang tidak benar. Anonim. Jenis-jenis serangan hacker http://id.wikipedia.org/wiki/Seranganhackerl, 05 Maret 2011, 16.26 WIB)


BAB III METODE TUGAS AKHIR

3.1 Rancangan Jaringan Komputer Pascasarjana Adapun rancangan jaringan komputer Pascasarjana yang akan diuraikan dalam gambar dibawah ini:

Gambar 3.1.1 Rancangan Jaringan Komputer Pascasarjana Rancangan jaringan diatas merupakan rancangan LAN untuk Pascasarjana. Letak Snort IDS berada pada Router. Begitu juga firewall , blockit dan proxy. Alasan meletekkan snort, firewall, dan blockit dalam router dikarenakan router adalah pintu masuk dan keluar antara jaringan WAN (internet) dan jaringan LAN. 56


57 3.2 Rancangan Metode IDS dengan Snort Dari dasar teori IDS yang diambil dari bab II, bahwa snort merupakan sebuah software sarana untuk metode IDS (Intrution Detection System). Dan dibawah ini menggambarkan cara kerja metode IDS dengan snort.

Gambar 3.2.1 Rancangan Metode IDS dengan Snort IDS Keterangan: 1. Ketika hacker menyerang Router dengan serangan scanning IP dan Port, Synflood, dan DDos Attack. Maka secara automatis, snort menjalankan Engine untuk mendeteksi serangan tersebut. 2. Snort akan mengambil Rule-Rule yang dimilikinya untuk menyeleksi serangan tersebut. 3. Setelah System Snort IDS menentukan serangan apa itu maka snort akan membuat sebuah alert peringatan.


58 3.3 Rancangan Alur pendeteksian dan pemblokiran serangan. Dari dasar teori yang diambil dari bab II, dan jenis-jenis serangannya, maka saya akan membuat sebuah use case diagram, dan Aktifiti diagram alur dari pendeteksian dan pemblokiran serangan. 3.3.1 Use Case Diagram pendeteksian dan pemblokiran serangan Use case dibawah ini merupakan sebuah alur dari pendeteksian dan pemblokiran serangan yang berisi beberapa actor dan activity masing-masing.

Gambar 3.3.1 Use Case Diagram Pendeteksian Serangan


59 Keterangan: 1. Hacker melakukan serangan pada router. Serangan tersebut berupa serangan scanning IP dan port, SynFlood, DDos Attack. 2. Router memiliki generalisasi 3 yaitu Snort sebagai pendeteksi serangan, Blockit sebagai pembuat Firewall blocking dan Firewall sebagai pemblokir serangan. 3. Sedangkan Admin hanya membaca alert dari snort dan alert indtruder dari blockit. Diagram Use case diatas akan lebih diperdetail dengan activity diagram. 3.3.1.1 Aktifitas diagram Snort untuk mendeteksi serangan Dibawah ini merupakan sebuah alur aktifitas generalisasi Router yaitu snort

Gambar 3.3.1.1 Aktifitas Diagram Snort untuk mendeteksi serangan


60 Keterangan: 1. Ketika serangan itu sedang berlangsung, maka tugas dari snort IDS adalah mendeteksi serangan tersebut. Ketika serangan terdeteksi, Snort akan melanjutkan membaca Rule-Rule serangan. Lalu snort akan membuat sebuah Alert tentang serangan apa yang menyerang Router kita. 2. Tugas dari Admin hanya membaca Alert dari snort tersebut. 3.3.1.2 Aktifitas Diagram blockit untuk membuat Firewall Block Dibawah ini merupakan sebuah alur aktifitas generalisasi Router yaitu Blockit.

Gambar 3.3.1.2 Aktifitas diagram blockit untuk membuat firewall block 1. Setelah snort IDS mendeteksi serangan tersebut dan membuat sebuah Alert tentang serangan apa yang menyerang Router kita, maka blockit bertugas membaca alert snort dan membuat alert intruder untuk admin. Lalu blockit akan automatic membuat sebuah firewall block untuk firewall. 2. Tugas dari Admin hanya membaca Alert intruder dari blockit tersebut.


61 3.3.1.3 Aktifitas Diagram firewall untuk memblokir serangan Setelah 2 generalisasi dari router (snort dan blockit), dibawah ini merupakan generalisasi dari sebuah router terakhir yang bertugas memblokir serangan yaitu Firewall. Dibawah ini Activity pemblokiran tersebut.

Gambar 3.3.1.3 Aktifitas Diagram firewall untuk memblokir serangan Keterangan: 1. Setelah tugas Blockit membuat Firewall Block, maka tugas dari firewall adalah membaca intruksi firewall block tersebut untuk memblokir serangan dari para hacker. Selesaialah alur pendeteksian dan pemblokiran serangan hacker tersebut.

3.3.2 Aktifitas Diagram pendeteksian dan pemblokiran Serangan DDos Dibawah ini merupakan gambar alur pendeteksian dan pemblokiran dari serangan DDos.


62

Gambar 3.3.2.1 Aktifitas diagram Pendeteksian dan Pemblokiran Ddos Attack Keterangan: 1. Hacker melakukan serangan DDos attack ke Router. 2. Router akan menjalankan systemnya yaitu snort untuk mendeteksi serangan tersebut. Snort membaca rule-rule yang dimilikinya untuk mendeteksi serangan DDos tersebut. Lalu snort akan membuat alert/peringatan untuk sebagai sarana blockit menentukan dan membuat firewall block. Alert tersebut diperuntukkan admin.


63 3. Setelah snort mengeluarkan alert maka secara automatis blockit akan mengikuti alert dari snort dan membuat alert intruder/pengganggu untuk admin dan firewall block. Firewall block tersebut sebagai media instruksi untuk firewall dalam memblokir serangan. 4. Firewall membaca instruksi firewall block dari blockit dan memblokir serangan DDos Attack. 3.3.3 Aktifitas Diagram pendeteksian dan pemblokiran Serangan SynFlood Dibawah ini merupakan gambar alur pendeteksian dan pemblokiran dari serangan SynFlood

Gambar 3.3.3.1 Aktifitas diagram Pendeteksian dan Pemblokiran SynFlood Keterangan: 1. Hacker melakukan serangan SynFlood attack ke Router.


64 2. Router akan menjalankan systemnya yaitu snort untuk mendeteksi serangan tersebut. Snort membaca rule-rule yang dimilikinya untuk mendeteksi serangan DDos tersebut. Lalu snort akan membuat alert/peringatan untuk sebagai sarana blockit menentukan dan membuat firewall block. Alert tersebut diperuntukkan admin. 3. Setelah snort mengeluarkan alert maka secara automatis blockit akan mengikuti alert dari snort dan membuat alert intruder/pengganggu untuk admin dan firewall block. Firewall block tersebut sebagai media instruksi untuk firewall dalam memblokir serangan. 4. Firewall membaca instruksi firewall block dari blockit dan memblokir serangan SynFlood Attack. 3.3.4 Aktifitas Diagram pendeteksian dan pemblokiran Scanning IP & Port Dibawah ini merupakan gambar alur pendeteksian dan pemblokiran dari serangan scanning IP dan Port.

Gambar 3.3.4.1 Aktifitas diagram Pendeteksian dan Pemblokiran Scanning


65 Keterangan: 1. Hacker melakukan serangan scanning IP dan Port ke Router. 2. Router akan menjalankan systemnya yaitu snort untuk mendeteksi serangan tersebut. Snort membaca rule-rule yang dimilikinya untuk mendeteksi serangan DDos tersebut. Lalu snort akan membuat alert/peringatan untuk sebagai sarana blockit menentukan dan membuat firewall block. Alert tersebut diperuntukkan admin. 3. Setelah snort mengeluarkan alert maka secara automatis blockit akan mengikuti alert dari snort dan membuat alert intruder/pengganggu untuk admin dan firewall block. Firewall block tersebut sebagai media instruksi untuk firewall dalam memblokir serangan. 4. Firewall membaca instruksi firewall block dari blockit dan memblokir serangan Scanning IP dan Port.

3.4 Rancangan Firewall dengan IPtables Setelah mengerti dasar teori tentang firewall dan IPtables yang dijelaskan dalam bab II, maka dalam bab 3 ini saya akan membuat sebuah Rancangan iptables untuk melimit sebuah serangan seperti Ddos Attack dan synflood. Dalam iptables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD. Namun dalam mendeteksi sebuah serangan, maka yang dipakai untuk melimit sebuah serangan adalah chain INPUT. Chain INPUT merupakan pertaruran masuknya sebuah data dalam Router, INPUT chain di ACCEPT maka seluruh komponen networking dari layer 3 – 4 bisa masuk dalam Router kita. Begitu juga sebaliknya, jika chain INPUT di DROP/DENY maka seluruh komponen networking dalam layer 3 dan 4 tidak akan masuk.


66 Berikut ini Rancangan sebuah chain INPUT yang masuk untuk melimit serangan DDos dan Synflood.

Gambar 3.4.1 Skema Limitasi serangan dengan chain INPUT Keterangan: Ketika serangan paket data (DDos dan Synflood) menyerang router kita maka Firewall dalam Chain INPUT akan melimit sebuah serangan paket data tersebut. Setelah limitasi dilakukan maka akan masuk pada session log. Log sebuah firewall biasanya dibaca di /var/log/daemon.log. ketika seluruh proses tersebut sudah dijalankan maka output paket data yang keluar adalah paket data limitan yang dilakukan firewall.


BAB IV IMPLEMENTASI SISTEM

4.1 Konfigurasi Snort IDS (Intrusion detection system) Setelah mempelajari metode IDS dan program-program yang menjalankan IDS, kini tinggallah kita mengenal konfigurasi dari snort IDS. Snort IDS merupakan sebuah program engine/mesin pendeteksi sebuah serangan yang dapat menerapkan metode IDS. Untuk instalasi snort, sudah dijabarkan dalam dasar teori di bab II, disini saya akan langsung memperlihatkan sebuah konfigurasi dari snort IDS. Dibawah ini adalah konfigurasi dari snort IDS dengan file yang bernama snort.conf. -

Step-step menyusun snort.conf.

1) Pendeklarasian jaringan Komputer. 2) Konfigurasi load kumpulan dynamic processor untuk snort 3) Konfigurasi pendeteksi / preprocessor 4) Konfigurasi output untuk alert 5) Konfigurasi rule-rule tambahan untuk pendeteksian jika ada. 6) Konfigurasi Rule-rule yang dipakai Dan dibawah ini penjabarannya:

1. Konfigurasi deklarasi variable jaringan kita yang akan dideteksi oleh snort. #konfigurasi jaringan LAN var HOME_NET [10.124.1.0/24] var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var TELNET_SERVERS $HOME_NET var SNMP_SERVERS $HOME_NET 67


68 #Konfigurasi jaringan LUAR kita var EXTERNAL_NET any

# Konfigurasi untuk multiple port web server portvar HTTP_PORTS [80,8080]

# Port untuk yang diinginkan untuk pendeteksian SHELLCODE. portvar SHELLCODE_PORTS !80

# Port untuk pendeteksian serangan pada oracle dihidupkan portvar ORACLE_PORTS 1521

#Alamat server untuk fasilitas program chat var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.1 88.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.18 8.179.0/24,205.188.248.0/24]

#Path konfigurasi rule-rule yang dipakai snort var RULE_PATH /etc/snort/rules

2. Konfigurasi mengeluarkan kumpulan dynamic processor untuk snort

#dynamic preprocessor directory dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ # dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libdynamicexample.so # dynamicengine file dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so # dynamicdetection file /usr/local/lib/snort_dynamicrule/libdynamicexamplerule.so


69 3. Konfigurasi pendeteksi / preprocessor

#konfigurasi frag3 untuk mesin pendeteksi preprocessor frag3_global: max_frags 65536 preprocessor frag3_engine: policy first detect_anomalies

#konfigurasi untuk mesin pendeteksi serangan preprocessor stream5_global: max_tcp 8192, track_tcp yes, \ track_udp yes preprocessor stream5_tcp: policy first, use_static_footprint_sizes preprocessor stream5_udp: ignore_any_rules

#konfigurasi untuk statistic performance HTTP/Web Server preprocessor http_inspect: global \ iis_unicode_map unicode.map 1252 preprocessor http_inspect_server: server default \ profile all ports { 80 8080 8180 } oversize_dir_length 500

#konfigurasi RPC preprocessor rpc_decode: 111 32771

#konfigurasi pendeteksi Back Orifice/lubang bugs preprocessor bo

#konfigurasi statistic performance untuk FTP preprocessor ftp_telnet: global \ encrypted_traffic yes \ inspection_type stateful preprocessor ftp_telnet_protocol: telnet \ normalize \ ayt_attack_thresh 200


70 preprocessor ftp_telnet_protocol: ftp server default \ def_max_param_len 100 \ alt_max_param_len 200 { CWD } \ cmd_validity MODE < char ASBCZ > \ cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \ chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \ telnet_cmds yes \ data_chan preprocessor ftp_telnet_protocol: ftp client default \ max_resp_len 256 \ bounce yes \ telnet_cmds yes

#Konfigurasi statistic performance SMTP preprocessor smtp: \ ports { 25 587 691 } \ inspection_type stateful \ normalize cmds \ normalize_cmds { EXPN VRFY RCPT } \ alt_max_command_line_len 260 { MAIL } \ alt_max_command_line_len 300 { RCPT } \ alt_max_command_line_len 500 { HELP HELO ETRN } \ alt_max_command_line_len 255 { EXPN VRFY }

#Konfigurasi Pendeteksi scanner port preprocessor sfportscan: proto { all } \ scan_type { all } \ memcap { 10000000 } \ sense_level { high } \ detect_ack_scans


71 #Konfigurasi Arp Spoof dari snort preprocessor arpspoof

#Konfigurasi Statistic performance SSH preprocessor ssh: server_ports { 22 } \ max_client_bytes 19600 \ max_encrypted_packets 20

#Konfigurasi Statistic performance Samba dan DCE/RPC preprocessor dcerpc: \ autodetect \ max_frag_size 3000 \ memcap 100000

# Konfigurasi Statistic performance untuk DNS preprocessor dns: \ ports { 53 } \ enable_rdata_overflow

4. Konfigurasi output untuk alert

#Konfigurasi output alert yang masuk dalam database mysql output database: log, mysql, user=snort password=snort dbname=snort host=localhost

# Konfigurasi memasukkan klasifikasi, prioritas, dan Referensi snort include /etc/snort/classification.config include /etc/snort/reference.config

5. Konfigurasi Rule-rule yang dipakai snort include /etc/snort/rules/local.rules


72 include /etc/snort/rules/bad-traffic.rules include /etc/snort/rules/exploit.rules include /etc/snort/rules/scan.rules include /etc/snort/rules/finger.rules include /etc/snort/rules/ftp.rules include /etc/snort/rules/telnet.rules include /etc/snort/rules/rpc.rules include /etc/snort/rules/rservices.rules include /etc/snort/rules/dos.rules include /etc/snort/rules/ddos.rules include /etc/snort/rules/dns.rules include /etc/snort/rules/tftp.rules include /etc/snort/rules/web-cgi.rules include /etc/snort/rules/web-coldfusion.rules include /etc/snort/rules/web-iis.rules include /etc/snort/rules/web-frontpage.rules include /etc/snort/rules/web-misc.rules include /etc/snort/rules/web-client.rules include /etc/snort/rules/web-php.rules include /etc/snort/rules/sql.rules include /etc/snort/rules/x11.rules include /etc/snort/rules/icmp.rules include /etc/snort/rules/netbios.rules include /etc/snort/rules/misc.rules include /etc/snort/rules/attack-responses.rules include /etc/snort/rules/oracle.rules include /etc/snort/rules/mysql.rules include /etc/snort/rules/snmp.rules include /etc/snort/rules/smtp.rules include /etc/snort/rules/imap.rules include /etc/snort/rules/pop2.rules


73 include /etc/snort/rules/pop3.rules include /etc/snort/rules/nntp.rules include /etc/snort/rules/other-ids.rules include /etc/snort/rules/web-attacks.rules include /etc/snort/rules/backdoor.rules include /etc/snort/rules/shellcode.rules include /etc/snort/rules/policy.rules include /etc/snort/rules/porn.rules include /etc/snort/rules/info.rules include /etc/snort/rules/icmp-info.rules include /etc/snort/rules/virus.rules include /etc/snort/rules/chat.rules include /etc/snort/rules/multimedia.rules include /etc/snort/rules/p2p.rules include /etc/snort/rules/spyware-put.rules include /etc/snort/rules/specific-threats.rules include /etc/snort/rules/experimental.rules

4.2 Konfigurasi Blockit Blockit merupkan software pembantu pemblokiran sebuah serangan yang mengambil pemblokiran dari alert snort. Blockit berjalan sendiri untuk memblokir serangan. Setelah penginstalan blockit dilakukan maka berikut ini konfigurasi dari blockit.conf yang berada dalam folder etc/blockit.

#Konfigurasi interface yang akan dideteksi Interface = all

#Konfigurasi Host IP dan Gateway automatis terdeteksi HostIpAddr = autodetect GatewayAddress = autodetect


74 #Konfigurasi tipe firewall yang dipakai # 0 = IPTABLES --- DEFAULT # 1 = IPCHAINS # 2 = IPFWADM # 3 = CHECKPOINT # 4 = IPFW # 5 = IPFILTER # 6 = PF FirewallType = 0

#Konfigurasi Chain input untuk IPtables blockit UseChain = BLOCKIT

#Path IPtables FirewallPath = /sbin/iptables

#Firewall temporary target FirewallTemporaryTarget = CUST_LOG

#Konfigurasi Firewall target (Default/Blank (kosong) = Deny / Drop) FirewallPermanentTarget =

#Konfigurasi pendeteksi alert snort AlertFile = /var/log/snort/alert

#konfigurasi Letak Syslog SyslogFile = /var/log/syslog

#Sys Ignore Filter SyslogIgnoreFilter=\s(SPT.[0-9]+\sDPT.(135|137|138|139|445))\s


75 #konfigurasi letak dari SIGid SigIDFile = /etc/blockit/blockit.sigid

#Konfigurasi Ignore untuk host IP yang tidak boleh di block IgnoreFile = /etc/blockit/blockit.ignore

#Log data untuk Blockit LogFile = /var/log/blockit/intruders

#Konfigurasi host yang dideteksi blockit ExtraHostsFile = /etc/blockit/blockit.hosts

#konfigurasi auto start up untuk intruder blockit UseIntruders = 1 Keterangan: 1 adalah nilai yang di nilai yes.

#Konfigurasi Path untuk intruders blockit berupa iptables yang akan di load ketika blockit berjalan IntruderFile = /etc/blockit/blockit.intruders

#Konfigurasi Rule tambahan blockit # - Ignore Established Connections # 0 = Disregard established connections <-- DEFAULT # 1 = Add destination IPs to temporary ignore-list(convenient) # 2 = Add both destination and source IPs to temporary ignore-list (risky) #

2 is a potential security hole since anybody can establish a

#

connection to services like ssh and become ignored.

IgnoreEstablishedConnections = 0

#konfigurasi penggunaan rule blockit untuk filter IP Address # 0 = No filtering, block all <-- DEFAULT


76 # 1 = Only known IP destinations from ExtraHostsFile FilterTargets = 0

#konfigurasi pemakaian waktu untuk mendeteksi serangan dalam kurung waktu per-menit AccumulativeTiming = 1

#konfigurasi waktu minimum firewall sebelum melakukan kick pada sebuah serangan untuk ukuran waktu per-menit MinFirewallTime = 1/2

#konfigurasi waktu maximal firewall sebelum melakukan ban/blok ip address pada sebuah serangan untuk ukuran waktu per-menit MaxFirewallTime = 1

# konfigurasi waktu untuk pemblokiran ketika alert snort diberlakukan # - Default Amount of Time to Hold Rule For # -1 = Forever # Number = Amount of Time in Minutes DTime = 20

# konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi port scan # - Amount of Time to hold a Rule For a Detected Portscan # -1 = Forever # Number = Amount of Time in Minutes PTime = 14400

# konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi serangan yang tinggi / yang terberat. # - Amount of Time to hold a Rule For a High PriorityAttack


77 # -1 = Forever # Number = Amount of Time in Minutes HTime = -1

# konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi serangan yang medium/diantara terbesar dan terkecil /pertengahan. # - Amount of Time to hold a Rule For a Medium PriorityAttack # -1 = Forever # Number = Amount of Time in Minutes MTime = -1

# konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi #serangan yang terkecil # - Amount of Time to hold a Rule For a Low Priority Attack # -1 = Forever # Number = Amount of Time in Minutes LTime = 1440

#konfigurasi untuk log database. #setting 1 jika ingin memasukkan log intruder dalam database. MySQL = 0 #nama database Database = blockit #user database Username = blockit #password database Password = bl0ck1t

Dalam blockit juga disediakan sebuah konfigurasi untuk logging yang dikirim ke email. Konfigurasi ini merupakan fitur tambahan yang disediakan blockit. Namun dalam konfigurasi yang saya gunakan tidak memakai email logging.


78 #konfigurasi email logging #set 0 jika tidak ingin menggunakan email log, set 1 untuk menggunakan #email log email = 0

#Konfigurasi path sendmail MailProgram = /usr/sbin/sendmail

#Email penerima ToEmail = [email protected]

#email Pengirim FromEmail = [email protected]

#path program yang dibutuhkan IfConfigPath = /sbin/ifconfig RoutePath = /sbin/route GrepPath = /bin/grep AwkPath = /usr/bin/awk IpConntrackPath = /proc/net/ip_conntrack

4.3 Konfigurasi Firewall Setelah dasar teori Firewall telah diutarakan dalam bab II dan rancangan firewall bila terjadi sebuah serangan di bab III maka didalam bab VI ini saya akan membuat sebuah konfigurasi firewall untuk melimit sebuah serangan jika blockit tidak dapat memblokir serangan. Konfigurasi Firewall yang diutarakan berada dalam file Rc.local yang berada dalam folder etc. Fungsi firewall ini hanya untuk melimit sebuah serangan dikarenakan blockit yang akan memblokir serangan-serangan tersebut. Dibawah ini isi dari firewall yang berada dalam file rc.local


79 #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing.

#iptables untuk mengeluarkan komponen IPTABLES modprobe ip_queue iptables -F iptables -F -t nat iptables -F -t mangle iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT

#iptables untuk Routing dan Redirect Proxy Server iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --todestination 192.168.1.1:8080 iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT -to-ports 8080

# perlindungan synflood iptables -N syn-flood


80 iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j DROP

# New tcp connectons are SYN packets iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -i eth0 -f -j LOG --log-prefix "IPTABLES FRAGMENT:" iptables -A INPUT -i eth0 -f -j DROP

# rancangan firewall untuk UDP flood iptables -N udp-flood iptables -A INPUT -p udp -j udp-flood iptables -A udp-flood -m limit --limit 1/s --limit-burst 4 -m comment --comment "limit UDP rate" -j RETURN iptables -A udp-flood -m limit --limit 1/h --limit-burst 1 -j LOG --log-prefix "Firewall>>probable udp flood" iptables -A udp-flood -m recent --name blacklist_240 --set -m comment -comment "Blacklist Source IP" -j DROP

4.4 Implementasi Pendeteksian dan Pemblokiran serangan dari IRC-Server Setelah setting konfigurasi dari snort IDS (Intrusion Detection System) dan blockit serta firewall, maka kita siap untuk ujicoba pendeteksian dan pemblokiran dari serangan IRC (Internet Relay Chat). Penjelasan tentang kegiatan hacking didalam IRC yang dijelaskan di bab II. Sudah cukup jelas, bahwa IRC merupakan sarana bagi para hacker UnderGround untuk melakukan serangan-serangan pada targernya. Untuk serangan yang ditujukan untuk IP Public jaringan pascasarjana akan dibantu oleh para Underground hacking yang berada pada server irc.byroe.net. Serangan tersebut dilakukan oleh hacker yang memiliki nick “Kangkung” (pemilik dari server byroe) dan saya sendiri dengan nick dhani_xx. Hacker ini akan mencoba sebuah serangan yang sudah saya rancang, yaitu Scanning IP dan port, SynFlood, dan DDOs attack.


81 Para hacker ini sudah merancang sebuah script untuk melakukan scanning, DDos dan synflood. Namun disini saya tidak akan menjelaskan script tersebut karena tidak termasuk dalam batasan masalah yang saya usung. Script ini akan saya cantumkan dalam lampiran. Dan untuk penjelasan yang lebih detail tentang rancangan serangan scanning ip dan port, DDos, dan Synflood yang disertai gambar akan dijelaskan dalam subbab dari bab IV dibawah ini.

4.4.1

Pendeteksian dan Pemblokiran Serangan Scanning IP dan Port

Setelah snort dirancang untuh mendeteksi sebuah serangan, Blockit dipakai sebuah sarana membentuk Firewall, dan Firewall membaca Intruksi dari blockit, maka saat ini server pascasarjana sudah siap di uji coba dengan serangan-serangan yang sudah dirancang. Berikut ini uji coba serangan, pendeteksian serangan dan pemblokiran serangan: 1. Ketika Script yang dijelaskan dalam bab IV sudah di load dari web-server zombie yang dimiliki hacker IRC maka bot tersebut otomatis masuk dan mengenali server yang ditempatinya didalam IRC server. Nama nick yang dirancang dalam bot ini adalah Skripsi. Berikut ini contoh gambar bot yang sudah diload oleh para hacker didalam IRC server dan sudah digunakan untuk menyerang server Pascasarjana dengan jenis serangan scanning IP dan port.

Gambar 4.4.1.1 Serangan Scanning IP dan port


82 2. Setelah serangan scanning IP dan Port tersebut dilancarkan oleh hacker yang berada dalam IRC server maka Snort IDS yang akan mendeteksi serangan tersebut dan mengeluarkan Alert untuk yang berada didalam folder /var/log/snort. Alert tersebut merupakan tanda pendeteksi sebuah serangan yang akan di baca oleh blockit. Berikut ini gambar yang alert yang terjadi ketika serangan scanning IP dan Port terjadi dan terdeteksi oleh snort IDS:

Gambar 4.4.1.2 Alert Snort IDS (Intrusion Detection System) scanning IP dan Port 3. Setelah Snort IDS membaca serangan scanning dan mengeluarkan Alert maka sudah jadi tugas blockit membaca alert tersebut dan meneruskannya dengan membuat intruders untuk diteruskan dan dibaca firewall untuk memblockir serangan. Dan dibawah ini gambar alert intruder yang dibuat blockit untuk membuat intruksi kepada firewall dalam pemblokiran serangan scanning ip dan port.

Gambar 4.4.1.3 Alert Intruders blockit scanning ip dan port


83 4. Ketika intruksi alert intruders yang dibuat blockit dibuat maka alert tersebut secara otomatis akan dibaca firewall dan berikut ini gambar firewall memblokir ip yang digunakan hacker untuk menyerang server pascasarjana dengan jenis serangan scanning ip dan port (-A BLOCKIT –s 67.23.128.8 –j DROP) :

Gambar 4.4.1.4 Pemblokiran IP yang dilakukan Firewall

5. Contoh gambar ping dari backdoors ke alamat ip public pascasarjana yang tidak berhasil ketika ip penyerang (hacker) telah diblokir.

Gambar 4.4.1.5 Ping dari Backdoors hacker IRC ke alamat ip pascasarjana yang tidak berhasil


84 4.4.2

Pendeteksian dan Pemblokiran Serangan SynFlood

Sudah dijelaskan bagaimana kronolgi tentang serangan synflood di bab II, namun di IRC ini serangan synflood diartikan sebagai serangan tcp flooder dengan packet dan size yang cukup besar kepada target dengan port tertentu. Maka dari itu serangan tersebut disebut synflood. Setelah snort dirancang untuh mendeteksi sebuah serangan, Blockit dipakai sebuah sarana membentuk Firewall, dan Firewall membaca Intruksi dari blockit, maka saat ini server pascasarjana sudah siap di uji coba dengan serangan-serangan yang sudah dirancang. Berikut ini uji coba serangan, pendeteksian serangan dan pemblokiran serangan synflood: 1. Ketika Script yang dijelaskan dalam bab IV sudah di load dari web-server zombie yang dimiliki hacker IRC maka bot tersebut otomatis masuk dan mengenali server yang ditempatinya didalam IRC server. Nama nick yang dirancang dalam bot ini adalah Skripsi. Berikut ini contoh gambar bot yang sudah diload oleh para hacker didalam IRC server dan sudah siap digunakan untuk menyerang server Pascasarjana dengan jenis serangan SynFlood.

Gambar 4.4.2.1 Serangan Syn-flood


85 2. Setelah serangan SynFlood tersebut dilancarkan oleh hacker yang berada dalam IRC server maka Snort IDS yang akan mendeteksi serangan tersebut dan mengeluarkan Alert untuk yang berada didalam folder /var/log/snort. Alert tersebut merupakan tanda pendeteksi sebuah serangan yang akan di baca oleh blockit. Berikut ini gambar yang alert yang terjadi ketika serangan SynFlood terjadi dan terdeteksi oleh snort IDS:

Gambar 4.4.2.2 Alert Snort IDS (Intrusion Detection System) serangan Syn flood

3. Setelah Snort IDS membaca SynFlood dan mengeluarkan Alert maka sudah jadi tugas blockit membaca alert tersebut dan meneruskannya dengan membuat intruders untuk diteruskan dan dibaca firewall untuk memblockir serangan. Dan dibawah ini gambar alert intruder yang dibuat blockit untuk membuat intruksi kepada firewall dalam pemblokiran serangan SynFlood (-A BLOCKIT –s 67.23.128.8 –j DROP).

Gambar 4.4.2.3 Alert Intruders blockit serangan Synflood


86 4. Ketika intruksi alert intruders yang dibuat blockit dibuat maka alert tersebut secara otomatis akan dibaca firewall dan berikut ini gambar firewall memblokir ip yang digunakan hacker untuk menyerang server pascasarjana dengan jenis serangan SynFlood.

Gambar 4.4.2.4 Pemblokiran IP yang dilakukan Firewall

5. Contoh gambar ping ke alamat ip public pascasarjana yang tidak berhasil ketika ip penyerang (hacker) telah diblokir.

Gambar 4.4.2.5 Ping dari Backdoors hacker IRC ke alamat ip pascasarjana yang tidak berhasil


87 4.4.3

Pendeteksian dan Pemblokiran Serangan DDos Attack

Sudah dijelaskan bagaimana kronolgi tentang serangan DDos Attack di bab II, namun di IRC ini serangan DDos Attack diartikan sebagai serangan udp flood dengan packet dan size yang cukup besar kepada target dan menyerang seluruh port yang ada. Pendapat sebagian hacker IRC bahwa serangan DDos/UDPflood tidak dapat diblok dan dibendung oleh sebuah server. Dan yang bias memblokir serangan tersebut adalah sebuah hardware yang dirancang khusus. Oleh karena itu saya ingin mecoba mematahkan pendapat tersebut dengan rancangan snort IDS. Setelah snort dirancang untuh mendeteksi sebuah serangan, Blockit dipakai sebuah sarana membentuk Firewall, dan Firewall membaca Intruksi dari blockit, maka saat ini server pascasarjana sudah siap di uji coba dengan serangan-serangan yang sudah dirancang. Berikut ini uji coba serangan, pendeteksian dan pemblokiran serangan DDos Attack: 1. Ketika Script yang dijelaskan dalam bab IV sudah di load dari web-server zombie yang dimiliki hacker IRC maka bot tersebut otomatis masuk dan mengenali server yang ditempatinya didalam IRC server. Nama nick yang dirancang dalam bot ini adalah Skripsi. Berikut ini contoh gambar bot yang sudah diload oleh para hacker didalam IRC server dan sudah digunakan untuk menyerang server Pascasarjana dengan jenis serangan DDos Attack:

Gambar 4.4.3.1 Serangan DDos attack/UDPflood


88 2. Setelah serangan DDos Attack tersebut dilancarkan oleh hacker yang berada dalam IRC server maka Snort IDS yang akan mendeteksi serangan tersebut dan mengeluarkan Alert untuk yang berada didalam folder /var/log/snort. Alert tersebut merupakan tanda pendeteksi sebuah serangan yang akan di baca oleh blockit. Berikut ini gambar yang alert yang terjadi ketika serangan DDos Attack terjadi dan terdeteksi oleh snort IDS:

Gambar 4.4.3.2 Alert Snort IDS (Intrusion Detection System) serangan DDos Attack 3. Setelah Snort IDS mendeteksi serangan DDos Attack dan mengeluarkan Alert maka sudah jadi tugas blockit membaca alert tersebut dan meneruskannya dengan membuat intruders untuk diteruskan dan dibaca firewall untuk memblockir serangan. Dan dibawah ini gambar alert intruder yang dibuat blockit untuk membuat intruksi kepada firewall dalam pemblokiran serangan DDos Attack:

Gambar 4.4.3.3 Alert Intruders blockit serangan DDos Attack


89 4. Ketika intruksi alert intruders yang blockit dibuat maka alert tersebut secara otomatis akan dibaca firewall dan berikut ini gambar firewall memblokir ip yang digunakan hacker untuk

menyerang server

pascasarjana dengan jenis serangan DDos Attack (-A BLOCKIT –s 202.72.129.99/32 –j DROP):

Gambar 4.4.3.4 Pemblokiran IP yang dilakukan Firewall 5. Contoh gambar ketika bot yang diload dengan nama [A]skripsi52356 timeout ketika serangan tersebut di blok oleh server pascasarjana.

Gambar 4.4.3.5 Bot yang di block oleh firewall pascasarjana mengalami timeout


BAB V KESIMPULAN DAN SARAN

5.1 Kesimpulan Setelah mengerti dan memahami serta mengimplementasikan metode IDS. Maka dapat ditarik kesimpulan dari bahasan Tugas Akhir diatas yaitu: 1. Metode IDS (Intrution Detection System) dapat diterapkan jika sebuah snort memiliki rule-rule yang handal. 2. Snort dapat berkolaborasi dengan blockit, dan firewall untuk mengamankan jaringan kita. 3. IRC bukan saja sarana untuk berkomunikasi saja, tetapi sebagai sarana para hacker untuk menyerang targetnya. 4. Serangan synflood dan ddos attack dapat dideteksi jika kita membuat rule sendiri. Namun serangan DDos Attack/ UDP-flood tidak dapat diblokir. Dan harus hardware yang memblokirnya. 5. Metode IDS dapat diterapkan kedalam program Open Source, seperti snort karena snort memiliki beberapa kelebihan dibandingkan dengan program lainnya. Kelebihan snort adalah Free, Rule-rule yang disiapkan dapat diganti-ganti dan terlebih lagi snort mampu memilki pendeteksian yang cukup handal dan sensitif.

90


91 5.2 Saran Dari seluruh metode dan program yang dijelaskan dalam tugas akhir, maka dapat ditarik beberapa saran yaitu: 1. Adanya pengembangan snort menjadi sebuah IPS (Intrution Prevention System). Snort dengan metode IPS ini memiliki beberapa kelebihan dibandingkan snort yang memakai metode IDS. Snort dengan metode IPS ini yang langsung dapat berhubungan dengan Firewall untuk melakukan sebuah pemblokiran-pemblokiran serangan. 2. Diperlukan lebih bagi semua untuk memahami sebuah serangan-serangan yang terjadi dalam dunia internet, karena internet merupakan jaringan komputer yang cukup besar dan didalamnya pun terdapat jenis-jenis serangan yang lain. 3. Diperlukan sebuah pengembangan snort untuk mendeteksi sebuah serangan terutama untuk mendeteksi sebuah serangan-serangan dalam sebuah web server. Sehingga server-server yang dimiliki aman dari serangan Backdoor (jalan belakang) para hacker. 4. Diperlukan adanya pengembangan tentang pemblokiran serangan yang menyerang UDP, agar serangan tersebut tidak mengganggu dan merugikan pengguna jaringan yang lain.


DAFTAR PUSTAKA

Anonim. Firewall http://id.wikipedia.org/wiki/Firewal, 05 Maret 2011, 16.26 WIB) Anonim. Jenis-jenis serangan hacker http://id.wikipedia.org/wiki/Seranganhackerl, 06 Maret 2011, 16.29 WIB) Anonim. Visi dan Misi, http://pasca.upnjatim.ac.id/?l=nemN3B9N3B9, 05 Juli 2010, 18.58 WIB B.U.Dony, Karateistik hacker di Indonesia http://opensource.telkomspeedy.com/wiki/index.php/Sejarah_Internet_Indonesia: Memahami_Karakeristik_Komunitas_Hacker, 07 Maret 2011, 15.36 WIB Haniri, Anis. Integrasi Jaringan Unix-Windows, PT Elex Media Komputindo, Jakarta, 2002. Hidayat, Jhoni. Brenton, Chris. Hunt, Cameron. Network Security, PT Elex Media Komputindo, Jakarta, 2005. Rafiudin, Rahmat. Menguasai Security Unix, PT Elex Media Komputindo, Jakarta, 2002. Rafiudin, Rahmat. Mengganyang Hacker Dengan Snort, C.V ANDI OFFSET, Yogyakarta, 2010 Setiawan, Deris. Sistem Keamanan Komputer, PT Elex Media Komputindo, Jakarta, 2005.

x


BAB II TINJAUAN PUSTAKA. 2.1 Pasca Sarjana Universitas Pembangunan Nasional (UPN) Veteran Jawa Timur

Recommend Documents