CHAPTER 10 Network Security
NETWORK SECURITY • Keamanan atau security adalah mekanisme dan teknik untuk melindungi sesuatu yang dapat berupa data atau informasi di dalam sistem. Pada dasarnya secutity adalah sistem yang digunakan untuk melindungi sistem dalam suatu jaringan keamanan agar tetap terjaga.
Elemen utama pembentuk keamanan jaringan :
• Tembok pengamanan, baik secara fisik maupun maya, yang ditaruh diantara piranti dan layanan jaringan yang digunakan dan orang-orang yang akan berbuat jahat. • Rencana pengamanan, yang akan diimplementasikan bersama dengan user lainnya, untuk menjaga agar sistem tidak bisa ditembus dari luar.
Segi-segi keamanan didefinisikan dari kelima point ini. • Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang. • Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang. • Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan. • Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu. • Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.
Serangan (gangguan) terhadap keamanan dapat dikategorikan dalam empat kategori utama :
a. Interruption • Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan. b. Interception • Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
c. Modification • Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan. d. Fabrication • Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. • Contohnya adalah pengiriman pesan palsu kepada orang lain. Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan : • diam dan semua akan baik-baik saja • sembunyi dan mereka tidak akan dapat menemukan anda • teknologi yang digunakan kompleks/rumit, artinya aman
INTRUSION (HOW AN ATTACKER GAINS CONTROL OF A NETWORK)
• Hackers use many techniques to gain control of a network. The network administrator needs to be aware of the different ways an intruder can gain network access or even control.
Social Engineering • A way for an intruder to obtain enough information from people to gain access to the network
Password Cracking • The attacker tries to guess the user’s password • Dictionary Attack Uses known passwords and many variations (upper and lowercase and combinations) to try to log in to your account • Brute Force Attack Attacker uses every possible combination of characters for the password
Here are steps for preventing password cracking: • Don’t use passwords that are dictionary words. • Don’t use your username as your password. • Don’t use your username spelled backward as your password. • Limit the number of login attempts. • Make your password strong, which means it is sufficiently long (eight or more characters) and is an alphanumeric combination (for example,A b 1 & G 2 5 h). • Change passwords often.
Packet Sniffing • Suatu tindakan untuk mengetahui isi data yang melalui Internet. • Berdasarkan laporan dari The Computer Emergency Response Team Coordination Center (CERT CC), Packet Sniffing adalah salah satu insiden yang paling banyak terjadi. • Para penysuup memasukkan program Packet Sniffer untuk mendapatkan account name dan password yang bisa digunakan.
Vulnerable Software • istilah Vulnerability merupakan suatu kelemahan yang memungkinkan seseorang untuk masuk dan mendapatkan hak akses kedalam komputer yang dituju(target). • Buffer Overflow salah satu penyebab yang paling banyak menimbulkan masalah pada keamanan komputer baik yang bersifat lokal maupun jaringan. Serangan Buffer overflow terjadi ketika si Attacker memberikan input yang berlebihan pada program yang di jalankan, sehingga program mengalami kelebihan muatan dan memory tidak dapat mengalokasikannya. Ini memberikan kesempatan kepada Attacker untuk menindih data pada program dan men-takeover control program yang dieksekusi attacker.
Viruses and Worms • Virus komputer merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain. • Worm atau cacing komputer dalam keamanan komputer, adalah sebutan untuk sebuah program yang menyebarkan dirinya di dalam banyak komputer, dengan menggandakan dirinya dalam memori setiap komputer yang terinfeksi. Sebuah worm dapat menggandakan dirinya dalam sebuah sistem komputer sehingga dapat menyebabkan sistem tersebut mengalami crash sehingga mengharuskan server harus di-restart. Beberapa worm juga menghabiskan bandwidth yang tersedia. Worm merupakan evolusi dari virus komputer.
Pencegahan • • • •
Antivirus Hati memindahkan data dari flashdisk Buatlah data backup. tampilkan “details” extention dari masing document, Beberapa Extention yang harus wapasdai yaitu. *.COM, *.EXE, *.VBS, *.SCR, *.VB
Wireless Vulnerabilities • Kelemahan jaringan wireless secara umum dapat dibagi menjadi 2 jenis, yakni kelemahan pada konfigurasi dan kelemahan pada jenis enkripsi yang digunakan. • WEP (Wired Equivalent Privacy) yang menjadi standart keamanan wireless sebelumnya, saat ini dapat dengan mudah dipecahkan dengan berbagai tools yang tersedia gratis di internet. WPA-PSK (WiFi Protected Access-Pre Shared Key) yang dianggap menjadi solusi menggantikan WEP, saat ini juga sudah dapat dipecahkan dengan metode dictionary attack secara offline. • beberapa kegiatan atau aktivitas yang dilakukan untuk pengamanan jaringan wireless, antara lain :
Menyembunyikan SSID • Banyak administrator menyembunyikan Services Set Id (SSID) jaringan wireless mereka dengan maksud agar hanya yang mengetahui SSID yang dapat terhubung ke jaringan mereka. • SSID sebenarnya tidak dapat disembunyikan secara sempurna. Pada saat-saat tertentu atau khususnya saat client akan terhubung (associate) atau ketika akan memutuskan diri (deauthentication) dari sebuah jaringan wireless, maka client tetap akan mengirimkan SSID dalam bentuk plain text (meskipun menggunakan enkripsi), sehingga jika kita bermaksud menyadapnya, dapat dengan mudah menemukan informasi tersebut. • Beberapa tools yang dapat digunakan untuk mendapatkan SSID yang di hidden antara lain, kismet (kisMAC), ssid_jack (airjack), aircrack, void11 dan masih banyak lagi.
Keamanan wireless hanya dengan kunci WEP WEP merupakan standart keamanan & enkripsi pertama yang digunakan pada wireless, WEP memiliki berbagai kelemahan antara lain : • Masalah kunci yang lemah, algoritma RC4 yang digunakan dapat dipecahkan. • WEP menggunakan kunci yang bersifat statis. • Masalah Initialization Vector (IV) WEP. • Masalah integritas pesan Cyclic Redundancy Check (CRC-32).
Keamanan wireless hanya dengan kunci WPA-PSK atau WPA2-PSK • WPA merupakan teknologi keamanan sementara yang diciptakan untuk menggantikan kunci WEP. Ada dua jenis yakni WPA-Personal (WPA-PSK), dan WPARADIUS. • Saat ini yang sudah dapat di-crack adalah WPA-PSK, yakni dengan metoda brute force attack secara offline. Brute force dengan menggunakan • Serangan ini akan berhasil jika passphrase yang digunakan wireless tersebut memang terdapat pada kamus kata yang digunakan si hacker. • Untuk mencegah adanya serangan terhadap keamanan wireless menggunakan WPA-PSK, gunakanlah passphrase yang cukup panjang (satu kalimat).
• Captive Portal • MAC Filtering • Wireless Intrusion Prevention System (WIPS)
War Driving • tindakan mencari Wi-Fi jaringan nirkabel oleh orang dalam kendaraan yang bergerak, menggunakan komputer portabel atau PDA . • Software untuk wardriving tersedia secara bebas di internet , terutama Netstumbler untuk Windows , Kismet atau SWScanner untuk Linux , FreeBSD , NetBSD , OpenBSD , Dragonfly BSD , dan Solaris , dan KisMac untuk Macintosh .
• • • •
Warbiking Warwalking Warkitting rootkitting.
DENIAL OF SERVICE • Denial of service adalah jenis serangan yang tujuannya adalah mencegah pengguna yang sesungguhnya menikmati layanan yang diberikan server. • Secara umum ada 2 cara melakukan serangan DoS: 1. Mematikan Server 2. Menyibukkan Server • Tanpa bug/vulnerability • Meng-exploit bug/vulnerability
Smurf Attack • Smurf attack adalah serangan secara paksa pada fitur spesifikasi IP yang kita kenal sebagai direct broadcast addressing. • Seorang Smurf hacker biasanya membanjiri router kita dengan paket permintaan echo Internet Control Message Protocol (ICMP) yang kita kenal sebagai aplikasi ping.
DoS dengan Mematikan Server • Tujuan serangan ini adalah membuat server shutdown, reboot, crash, “not responding”. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti menyerang, server baru normal kembali setelah di-restart/reboot. contoh vulnerability yang berakibat pada DoS attack • Ping of Death ( CA-1996-26 ) • MySQL IF Query DoS ( SA25188 ) • Cisco Global Site Selector DNS Request Denial of Service (SA33429)
DoS dengan Menyibukkan Server • Jenis DoS ini bersifat sementara, server akan kembali normal bila attacker berhenti mengirimkan request yang membuat sibuk server. • DoS jenis ini terbagi lagi menjadi 2 jenis berdasarkan cara melakukan serangan: 1. Exploiting vulnerability: Menyerang dengan malicious request/packet 2. No vulnerability exploitation: Menyerang dengan normal request/packet
Make Server Busy by Exploiting Vulnerability • Dalam serangan DoS jenis ini, attacker memanfatkan bug yang membuat server berlebihan dalam menggunakan resource (cpu,memory,disk space dsb). • Biasanya serangan DoS jenis ini tidak berupa serangan “one shot one kill”. Serangan dilakukan dengan melakukan banyak request dengan setiap request membuat server mengonsumsi lebih banyak resource dari request yang normal. • Dalam hitungan matematika sederhana, bila attacker bisa membuat server bekerja selama 10 detik hanya untuk melayani dia (misal normalnya 0,1 detik), maka attacker bisa mengirimkan request 1.000x untuk membuat server melayani dia selama 10.000 detik (2,7 jam lebih) sehingga membuat pengguna lain tidak bisa menikmati layanan server.
• contoh-contoh vulnerability yang bisa diexploit untuk melancarkan serangan DoS jenis ini: • TCP SYN Flood DoS • Apache mod_deflate DoS
Make Server Busy Without Exploiting Vulnerability • Ini adalah jenis serangan yang mengandalkan pada kemampuan mengirimkan normal request sebanyakbanyaknya sehingga server menjadi sibuk. • Perbedaan DoS jenis ini dengan DoS yang mengexploit vulnerability adalah pada requestnya. Request yang dikirimkan pada DoS jenis ini adalah request yang normal seperti yang dilakukan pengguna biasa, sehingga server tidak mengonsumsi resource berlebihan. Sedangkan DoS yang mengandalkan vulnerability mengirimkan specially crafted malicious request untuk membuat server mengonsumsi resource lebih banyak untuk melayani malicious request tersebut.
Distributed Denial of Service (DDos) • adalah salah satu jenis serangan Denial of Service yang menggunakan banyak host penyerang (baik itu menggunakan komputer yang didedikasikan untuk melakukan penyerangan atau komputer yang "dipaksa" menjadi zombie) untuk menyerang satu buah host target dalam sebuah jaringan. • Serangan Denial of Service klasik bersifat "satu lawan satu", sehingga dibutuhkan sebuah host yang kuat (baik itu dari kekuatan pemrosesan atau sistem operasinya) demi membanjiri lalu lintas host target sehingga mencegah klien yang valid untuk mengakses layanan jaringan pada server yang dijadikan target serangan. • Serangan DDoS ini menggunakan teknik yang lebih canggih dibandingkan dengan serangan Denial of Service yang klasik, yakni dengan meningkatkan serangan beberapa kali dengan menggunakan beberapa buah komputer sekaligus, sehingga dapat mengakibatkan server atau keseluruhan segmen jaringan dapat menjadi "tidak berguna sama sekali" bagi klien.
FIREWALLS AND ACCESS LISTS • Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya. • Access list adalah pengelompokan paket berdasarkan kategori.Penggunaan access list yang paling umum dan paling mudah untuk dimengerti adalah penyaringan paket yang tidak diinginkan ketika mengimplementasikan kebijakan keamanan.
• • • • •
Packet Filtering Proxy Server stateful firewall Jenis dan standart access list Tipe dan cara kerja firewall
INTRUSION DETECTION • Intrusion Detection System digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Intrusion adalah aktivitas tidak sah atau tidak diinginkan yang mengganggu konfidensialitas, integritas dan atau ketersediaan dari informasi yang terdapat di sebuah sistem.
Tipe dasar IDS • Rule-based systems : berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalu lintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. • Adaptive systems: mempergunakan metode yang lebih canggih. tidak hanya berdasarkan database yang ada, tetapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang baru.
Jenis-jenis IDS Ada dua jenis, yakni: • Network-based Intrusion Detection System (NIDS): Network intrusion detection systems adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan jaringan[4]. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. • Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Cara kerja IDS • Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan. •
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Kelebihan • dapat mendeteksi “external hackers” dan serangan jaringan internal • dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan. • dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama • menyediakan pertahanan pada bagian dalam • menyediakan layer tambahan untuk perlindungan • ids memonitor Internet untuk mendeteksi serangan • ids membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif • ids memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh • adanya pemeriksaan integritas data dan laporan perubahan pada file data • ids melacak aktivitas pengguna dari saat masuk hingga saat keluar • ids menyederhanakan sistem sumber informasi yang kompleks • ids memberikan integritas yang besar bagi infrastruktur keamanan lainnya
Kekurangan • Lebih bereaksi pada serangan daripada mencegahnya • menghasilkan data yang besar untuk dianalisis • rentan terhadap serangan yang “rendah dan lambat” • tidak dapat menangani trafik jaringan yang terenkripsi • ids hanya melindungi dari karakteristik yang dikenal • ids tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu • ids tidak menyediakan penanganan kecelakaan • ids tidak mengidentifikasikan asal serangan • ids hanya seakurat informasi yang menjadi dasarnya • Network-based IDS rentan terhadap “overload” • Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakan • Paket terfragmantasi dapat bersifat problematis
Contoh program IDS • * chkwtmp - Program yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong. •
* tcplogd - Program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux.
•
* hostsentry - Program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).
• •
* snort Snort adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform [5]. Snort pada umumnya merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule
ANALYZING UNSECURED DATA PACKETS • Wireshark adalah salah satu program untuk menganalis suatu jaringan, baik itu jaringan kabel maupun jaringan nirkabel. Perangkat ini digunakan untuk pemecahan masalah jaringan, analisis, perangkat lunak dan pengembangan protokol komunikasi, dan pendidikan.