BAB 2 TINJAUAN PUSTAKA

BAB 2 TINJAUAN PUSTAKA

Bab ini akan menjelaskan teori – teori dasar dan teori – teori khusus yang digunakan di dalam skripsi ini. Teori – teori dasar diantaranya adalah definisi dan pengertian jaringan, perangkat jaringan, dan arsitektur jaringan. Arstitektur jaringan mencakup model OSI (Open System Interconnection) dan model TCP (Transmission Control Protocol). Sedangkan teori – teori khusus akan membahas tentang definisi dari keamanan Informasi, penjelasan dan contoh – contoh ancaman dan serangan pada jaringan nirkabel serta pengertian dan contoh dari Intrusion Detection System (IDS). Teori – teori yang dicantumkan di dalam skripsi ini digunakan sebagai landasan analisis dan penerapan guna mendukung jalannya sistem Intrusion Detection System di Government Security Incident Response Team (Gov-CSIRT) yang dikelola oleh Direktorat Keamanan Informasi di Kementrian Komunikasi dan Informatika Republik Indonesia (KEMKOMINFO) Republik Indonesia. Bab ini kemudian diakhiri dengan perbandingan sistem IDS keamanan jaringan yang diimplementasikan dengan sistem IDS keamanan jaringan serupa dan mengevaluasi kelemahan dan keunggulan dari sistem monitoring kemanan jaringan yang diterapkan.

2.1

Teori Dasar

2.1.1

Pengertian Jaringan Komputer Pengabungan sistem komputer dengan sistem komunikasi telah memberi pengaruh yang kuat ke mana arah sistem komputer akan berkembang. Konsep tentang sistem komputer yang selalu terpusat di dalam suatu ruangan dengan komputer-komputer yang berukuran besar yang user gunakan untuk memproses suatu data menjadi hal yang usang. Model lama dimana satu komputer melayani semua kebutuhan komputasi suatu organisasi telah digantikan dengan model baru dengan komputer dalam jumlah besar yang terpisah namun terhubung satu sama lain. Sistem inilah yang kini dikenal dengan jaringan komputer. (Tanenbaum, 2011: 2). 8

9

2.1.2 Klasifikasi Jaringan Komputer

2.1.2.1 Berdasarkan Luas Cakupan Menurut Tanenbaum (2011: 18-28) berdasarkan luas cakupan, jaringan dapat dibagi menjadi 5 yaitu:

1. Personal Area Network (PAN) PAN

memungkinkan

suatu

perangkat

agar

dapat

berkomunikasi dengan perangkat lainnya yang masih berada di dalam jangkuan seseorang. Contoh sederhananya adalah sebuah jaringan wireless dengan bluetooth yang menghubungkan komputer dengan perangkat – perangkat pendukungnya. Bila jaringan wireless tidak tersedia maka saluran kabel digunakan. Contoh, komputer yang terhubung dengan layar monitor, keyboard, dan mouse.

Gambar 2.1 Contoh Personal Area Networks (http://www.rfidc.com/images/technology_intros/introductiont owireless_standards_clip_image004.jpg)

2. Local Area Networks (LAN) LAN adalah jaringan yang dikelola secara privat dan dapat beroperasi hingga jarak beberapa kilometer. Namun LAN lebih umum digunakan di dalam satu bangunan seperti rumah, kantor atau pabrik. LAN banyak digunakan untuk menghubungkan dua atau lebih komputer untuk saling bertukar informasi.

10 3. Metropolitan Area Networks (MAN) Sebuah jaringan MAN (Metropolitan Area Network) dapat mencakup satu kota. (Tanenbaum, 2011: 23) Salah satu contoh dari MAN adalah kabel jaringan telepon lokal dan televisi yang tersedia di banyak kota. Sistem ini berkembang dari sistem antena yang digunakan di beberapa daerah

untuk menangkap siaran

televisi. Setelah permintaan yang meningkat, kini jaringan MAN banyak digunakan untuk koneksi internet yang cepat dan saluran televisi berbayar.

4. Wide Area Networks Sebuah

jaringan

WAN

(Wide

Area

Network)

dapat

menjangkau area geografis yang sangat luas, jangkauan WAN dapat mencakup satu negara atau bahkan satu benua. Salah satu contoh penggunaan dari WAN adalah suatu perusahaan yang ingin terhubung dengan kantor – kantor cabang mereka yang tersebar di banyak kota. Jaringan WAN dapat terhubung baik dengan media kabel atau wired WAN atau dapat juga menggunakan media internet dengan menggunakan virtual private network.

Gambar 2.2 Contoh Wide Area Networks (http://www.computernetworks.com/Images/WAN.jpg)

5. Internetworks Banyak jaringan yang telah terbentuk di seluruh dunia, dan dengan perangkat keras

(hardware) dan perangkat lunak

(software) yang berbeda pula. Banyak orang yang telah terhubung

11 di dalam satu jaringan, ingin dapat berkomunikasi dengan orang yang berada di jaringan lainnya. Kumpulan jaringan – jaringan yang saling terhubung ini disebut internetwork atau lebih dikenal dengan internet.

2.1.2.2 Berdasarkan Topologi Jaringan Topologi jaringan adalah hal yang menjelaskan hubungan geometris antara unsur-unsur dasar penyusun jaringan, yaitu node, link, dan station. Menurut Anderson dan Benedetti (2009: 470) Berdasarkan topologi jaringan, jaringan komputer dapat dibedakan menjadi beberapa bagian, antara lain: •

Topologi Bus Topologi

bus

menggunakan

“single

backbone

segment” sebagai penghubung semua komputer yang ada pada jaringan. Semua komputer langsung terhubung dengan komputer tersebut.

Gambar 2.3 Contoh topologi Bus (http://www.edrawsoft.com/images/network/Bus-NetworkTopology.png)

12 •

Topologi bintang (Star) Topologi bintang menghubungkan semua workstation ke satu buah titik pusat. Titik pusat ini biasanya berupa hub atau switch sehingga seolah-olah komputer yang terhubung berbentuk seperti bintang.

Gambar 2.4 Contoh topologi bintang (http://www.edrawsoft.com/images/network/Star-NetworkTopology.png) •

Topologi extended star Topologi extended star menggabungkan beberapa topologi bintang (star) menjadi satu topologi. Hub dan switch digunakan untuk menghubungkan masing – masing topologi star.

13 Gambar 2.5 Contoh topologi extended star (http://4.bp.blogspot.com/tPCT9PjzA00/T3H4nPTipQI/AAAAAAAAAE4/4F7Nudnnz5 8/s1600/20090526092338!Extended_star_topology.png) •

Topologi cincin (ring) Topologi cincin berbentuk rangkaian workstation yang masing – masing terhubung ke dua workstation lainnya, sedemikian rupa sehingga membentuk jalur melingkar membentuk cincin. Pada topologi cincin, komunikasi data dapat terganggu jika satu titik mengalami gangguan.

Gambar 2.6 Contoh topologi cincin (http://www.edrawsoft.com/images/network/RingTopology.png) •

Topologi mesh Topologi mesh adalah suatu bentuk hubungan antar perangkat dimana setiap perangkat terhubung secara langsung ke perangkat lainnya yang ada di dalam jaringan. Akibatnya, dalam topologi mesh setiap perangkat dapat berkomunikasi langsung dengan perangkat yang dituju (dedicated links). Topologi mesh digunakan ketika dibutuhkan jaringan yang tidak

boleh

melakukan

kesalahan

sedikitpun

dalam

14 komunkasi, contohnya sistem kontrol pembangkit tenaga nuklir.

Gambar 2.7 Contoh topologi mesh (http://www.edrawsoft.com/images/network/Mesh-NetworkTopology.png) •

Topologi pohon (tree) Topologi jaringan ini disebut juga sebagai topologi jaringan bertingkat. Topologi ini biasanya digunakan untuk interkoneksi antar sentral dengan hirarki yang berbeda. Untuk hirarki yang lebih rendah digambarkan pada lokasi yang rendah dan semakin keatas mempunyai hirarki yang semakin tinggi. Topologi jaringan jenis ini cock digunakan pada sistem jaringan komputer.

Gambar 2.8 Contoh topologi tree

15 (http://www.edrawsoft.com/images/network/Tree-NetworkTopology.png) •

Topologi hybrid Topologi hybrid adalah gabungan antara dua bentuk topologi. Topologi ini dapat terbentuk ketika dua topologi dasar yang berbeda terhubung satu sama lain.

Gambar 2.9 Contoh topologi hybrid (http://www.buzzle.com/img/articleImages/553702-3061921.jpg)

2.1.3 Port Menurut Dong dan Jaelin (2007:338) port di suatu perangkat komputer berfungsi sebagai sistem antarmuka antara komputer dan jaringan. Di dalam jaringan komputer, port memiliki nomor khusus yang bertujuan untuk melambangkan proses atau layanan (service) yang sedang berjalan. Beberapa nomor port yang umum diketahui antara lain.

16 Tabel 2.1 Nomor port dan kegunaannya Port

Kegunaan

1434

Port ini digunakan untuk layanan aplikasi Microsoft SQL

53

Port ini dugunakan untuk layanan Domain Name System Server

1433

Port ini digunakan untuk layanan aplikasi Microsoft SQL Monitoring

80 34354

Port ini digunakan untuk layanan World Wide Web HTTP Port ini merupakan port yang tidak terdaftar, namun port ini digunakan untuk menjalankan aplikasi di Windows

25700

Port ini merupakan port yang tidak terdaftar, namun port ini digunakan untuk menjalankan aplikasi di Windows

21810

Port ini merupakan port yang tidak terdaftar, namun port ini digunakan untuk menjalankan aplikasi di Windows

3306

Port ini digunakan untuk menjalankan layanan Database MySQL

4500

Protokol NAT

32015

Port ini merupakan port yang tidak terdaftar, namun port ini digunakan untuk menjalankan aplikasi di Windows

16465

Port ini biasanya digunakan untuk aktivitas sharing P2P contoh: video streaming, file sharing, tetapi bisa juga digunakan untuk komunikasi: Botnet

14471

Port ini biasanya digunakan untuk aktivitas sharing P2P contoh: video streaming, file sharing, tetapi bisa juga digunakan untuk komunikasi: Botnet

691

Port ini digunakan untuk layanan LDAP over Secure Sockets Layer (SSL)

443

Port ini digunakan untuk HTTPS (Hypertext Transfer Protocol over SSL/TLS)

16470

Port ini biasanya digunakan untuk aktivitas sharing P2P contoh: video streaming, file sharing, tetapi bisa juga digunakan untuk komunikasi: Botnet

16464

Port ini biasanya digunakan untuk aktivitas sharing P2P

17 contoh: video streaming, file sharing, tetapi bisa juga digunakan untuk komunikasi: Botnet 16471

Port ini biasanya digunakan untuk aktivitas sharing P2P contoh: video streaming, file sharing, tetapi bisa juga digunakan untuk komunikasi: Botnet

445

Port ini digunakan untuk HTTP/S proxy

3145

Port ini digunakan untuk berkomunikasi (kirim/terima) data tetapi aplikasi yang menggunakan/melakukan komunikasi tersebut bisa apa saja.

3372

Port digunakan untuk MS DTC atau Microsoft Distributed Transaction Coordinator.

2.1.4 Wireless LAN (WLAN) Wireless LAN (WLAN) menyediakan koneksi jaringan antar komputer yang berada dalam jangkauan jarak dekat menggunakan sinyal radio atau infra merah dibandingkan metode tradisional menggunakan kabel. Institute of Electrical and Electronics Engineers (IEEE) telah memberikan standar bagi wireless LAN dengan standar IEEE 802.11 yang mencakup lapisan physical dan data link. Standar 802.11 membagi WLAN menjadi tiga spesifikasi. (Forouzan dan Behrouz, 2007: 432).

Tabel 2.2 Spesifikasi WLAN standar 802.11 Teknik

IEEE

•

Modulasi

Pita (band)

Data Rate (Mbps)

802.11a

OFDM

5,725 GHz

6 – 54

802.11b

DSSS

2,4 GHz

5.5 dan 11

802.11g

OFDM, DSSS

2,4 GHz

22 dan 54

802.11a Menggunakan teknik modulasi OFDM dan berjalan pada frekuensi 5.725 GHz dengan kecepatan transfer data 6 Mbps hingga 54 Mbps. Kelebihan dari standar ini adalah kecepatan transfer data yang lebih tinggin dan lebih kecil

18 potensi terjadinya interferensi dari perangkat nirkabel lainnya karena frekuensi ini jarang digunakan. Kelemahannya antara lain membutuhkan biaya yang lebih besar, jarak jangkuan lebih pendek karena frekuensi tinggi dan juga dapat menyebabkan sinyal mudah diserap oleh benda penghalang seperti dinding atau tembok. •

802.11b Menggunakan teknik modulasi DSSS dan berjalan pada frekuensi 2,4 GHz dengan kecepatan transfer data 5,5 Mbps dan dapat mencapai 11 Mbps. Kelebihan dari standar ini adalah biaya implementasi yang lebih sedikit dan jarak jangkau yang lebih baik. Kelemahannya adalah transfer data yang lebih lambat dan rentan terhadap interferensi karena frekuensi 2,4 GHz banyak digunakan oleh perangkat lainnya.

•

802.11g Menggunakan teknik modulasi OFDM dan DSSS sehingga

memiliki

karakteristik

dari

kedua

standar

sebelumnya. Standar ini bekerja pada frekuensi 2,4 GHz dengan kecepatan transfer data 22 Mbps dan dapat mencapai 54 Mbps tergantung dari jenis modulasi yang digunakan. Kelebihan dari standar ini adalah kecepatan transfer data yang tinggi (menyamai standar 802.11a), jarak jangkuan yang cukup jauh dan lebih tahan terhadap penyerapan oleh material tertentu karena bekerja pada frekuensi 2,4 GHz. Kelemahan dari 802.11g adalah rentan terhadap interferensi dari perangkat nirkabel lainnya.

Mobillitas masyarakat yang tinggi membuat semakin banyak jaringan nirkabel yang terbentuk agar dapat menghubungkan perangkat mobile seperti laptop dan smartphone dengan internet ataupun LAN. Tren ini tentu mengundang ancaman – ancaman

19 serangan, terutama sifat transmisi jaringan nirkabel yang broadcast, ini mempermudah laptop atau komputer terdekat menerima paket informasi yang tidak diperuntukkan untuk mereka. Untuk mencegah hal ini terjadi. Standar 802.11 telah memasukkan beberapa skema enkripsi untuk melakukan pengamanan. Teknik – teknik enkripsi untuk mencegah ancaman – ancaman serangan tersebut melalui antara lain (Stallings, 2011: 529) :

•

Wired Equivalent Privacy (WEP) WEP merupakan standar keamanan & enkripsi pertama yang digunakan pada jaringan nirkabel, WEP (Wired Equivalent Privacy) adalah suatu metoda pengamanan jaringan

nirkabel,

disebut

juga

dengan

shared

key

authentication. Shared key authentication adalah metoda otentikasi yang membutuhkan penggunaan WEP. Enkripsi WEP

menggunakan

kunci

yang

dimasukkan

(oleh

administrator) ke client maupun access point. Kunci ini harus cocok dari yang diberikan access point ke client, dengan yang dimasukkan client untuk authentikasi menuju access point, dan WEP mempunyai standar 802.11b. •

Wi-Fi Protected Access (WPA) WAP sebagai tindak lanjut atas kelemahan WEP dengan menggunakan algoritma enkripsi baru seperti kunci yang dinamis dan dapat berubah sesuai periodik. Ada dua jenis teknik WPA, yaitu TKIP (Temporal Key Integrity Protocol) uang dibuat sebagai pengganti WEP dengan menggunakan kunci sepanjang 128 bit dan berubah setiap frame yang di kirimkan serta AES (Advanced Encryption Standard) yang menggunakan

algoritma

Rine

Dale

yang

kuat

dan

membutuhkan sumber daya yang lebih besar. WPA digolongkan menjadi dua jenis, yaitu WPA Personal menggunakan Pre-Shared Key (PSK) dan WPA

20 Enterprise. WPA PSK biasanya digunakan untuk perumahan atau kantor kecil yang tidak menggunakan server otentikasi yang rumit. Sedangkan WPA enterprise digunakan oleh perusahaan yang menggunakan server dengan otentikasi sendiri seperti RADIUS (Remote Authentication Dial-In User Device). Pengguaan EAP (Extensible Authentication Protocol) memungkinkan client mengirimkan paket ke server otentikasi yang akan menutup semua jalur lalu lintas data yang menuju ke server samapi terbukti bahwa penguna adalah pemakai yang sah.

2.1.5 Internet Protocol Suite Menurut Miller (2009: 22) internet protocol suite adalah suatu model jaringan dan kumpulan

protokol komunikasi yang dibutuhkan untuk

membangun internet. Beberapa implementasi dari internet protocol suite antara lain IP, ARP, ICMP, UDP dan TCP.

1. Internet Protocol (IP) Internet Protocol (IP) atau protokol internet adalah protokol komunikasi utama di internet protocol suite yang bertugas untuk menyampaikan data di suatu jaringan. Routing dari protokol internet memungkinkan terciptanya koneksi antar internet atau yang lebih dikenal dengan internet. Protokol internet yang banyak digunakan saat ini adalah protokol internet versi empat (IPv4). Menurut Miller (2009:97) IPv4 memiliki fitur – fitur khusus yaitu: •

Type of Service – Fitur ini digunakan untuk menentukan QoS (Quality of Service) tertentu

•

Time-to-Live

–

Saat

kondisi

routing,

terdapat

kemungkinan terjadinya looping ketika suatu datagram tidak dapat dikirimkan. Time-to-live mempunyai timer untuk membuang datagram tersebut.

21 •

Options – IPv4 menyediakan beberapa option atau pilihan yang meskipun terkadang tidak diperlukan di beberapa kasus tertentu digunakan untuk memberikan kontrol fungsi

•

Header Checksum – Untuk memastikan informasi yang ada di datagram IPv4 sampai di tujuan dalam kondisi utuh, IP melakukan pengecekan informasi yang ada di dalam datagram tersebut dengan checksum yang telah dibuat.

•

Error Reporting – Fitur ini umumnya dianggap bagian yang vital di IP karena tanpa fitur ini, IP tidak akan mempunyai mekanisme pelaporan error.

2. Address Resolution Protocol (ARP) Address Resolution Protocol adalah protokol tingkat rendah yang menggunakan layanan MAC (lapisan data link), dan sebagaimana

dengan

protokol

lainnya,

protokol

ARP

dienkapsulasi di kerangka fisik jaringan.

3. Internet Control Message Protocol (ICMP) Protokol ICMP digunakan oleh perangkat jaringan seperti router untuk mengirimkan informasi tentang status dari sebuah jaringan. ICMP berfungsi untuk melaporkan: •

Error atau kesalahan yang ada di aplikasi jaringan

•

Ketersediaan remote host

•

Kepadatan trafik jaringan

Penggunaan paling umum dari protokol ICMP adalah saat melakukan ping yang menggunakan ICMP sebagai peraba remote host untuk mengecek daya tanggap dan waktu tempuh dari pesan yang dikirimkan saat melakukan ping.

4. User Datagram Protocol (UDP)

22 User Datagram Protocol didesain untuk memberi kemampuan melakukan transfer data dari satu proses aplikasi ke aplikasi lainnya tanpa mengeluarkan sumber daya tambahan (Miller, 2009:189). Karena UDP yang bersifat connectionless yang tidak memerlukan sumber daya yang banyak, protokol ini menjadi pilihan ideal untuk aplikasi seperti Simple Network Management Protocol (SNMP), Domain Name System (DNS) dan juga beberapa protokol routing.

5. Transmission Control Protocol (TCP) Menurut Miller (2009:169) Transmission Control Protocol adalah protokol yang bersifat connection oriented, end-to-end dan dapat diandalkan. Protokol ini tidak didesain untuk berantar muka dengan pokok dari teknologi jaringan, protokol TCP didesain secara spesifik untuk memberikan koneksi yang dapat diandalkan antara proses aplikasi yang berada di mesin yang berbeda.

2.1.6 Arsitektur Jaringan 2.1.6.1 Model OSI 7 Layer Model Open System Interconnection (OSI) diciptakan oleh International Organization for Standardization (ISO) pada tahun 1977 yang diperkenalkan pada tahun 1984. Model OSI menyediakan kerangka logika terstruktur bagaimana proses komunikasi data berinteraksi melalui jaringan. Standard ini dikembangkan agar komputer dapat berkomunikasi pada jaringan yang berbeda secara efisien.

23 Gambar 2.10 7 layer model OSI (http://www.bpsharma.in/eLearning/Networking/images/osigr oupedlayers.gif)

Pada model OSI terdapat 7 buah layer yang setiap layer-nya mengilustrasikan fungsi-fungsi jaringan. Pembagian fungsi-fungsi jaringan ini disebut layering. Menurut Tanenbaum (2011: 41-45), masing - masing layer tersebut memiliki fungsi sebagai berikut (diurut dari layer paling bawah ke layer paling atas)

1. Physical Layer (Layer 1) Physical layer berhubungan dengan transmisi bit-bit di dalam kanal komunikasi. Desain dari lapisan ini bertugas untuk memastikan ketika satu pihak mengirim 1 bit, pihak yang menerima juga harus menerima kiriman tersebut sebagai 1 bit, bukan 0 bit. Lapisan ini didesain untuk menangani aspek mekanik, elektrik, dan timing interfaces serta medium untuk transmisi fisik.

2. Data Link Layer (Layer 2) Tugas utama dari data link layer adalah untuk mengubah sebuah transmisi mentah menjadi sebuah barisan data yang bebas dari transmission error yang tidak terdeteksi. Ini dapat dilakukan dengan menutupi atau menyembunyikan error

sebenarnya

sehingga

network

layer

tidak

mengetahuinya.

3. Network Layer (Layer 3) Network layer mengatur pengoperasion dari subnet. Desain kunci dari lapisan ini adalah menentukan bagaimana paketpaket dikirimkan dari sumber ke tujuan. Penanganan kongesti juga menjadi tanggung jawab dari network layer.

4. Transport Layer (Layer 4)

24 Fungsi dasar dari transport layer adalah menerima data dari atas, memecah data tersebut menjadi potonganpotongan yang lebih kecil, dan mengirimkannya ke network layer, dan memastikan semua potongan-potongan yang dikirimkan, diterima dengan benar di tujuan akhir.

5. Session Layer (Layer 5) Session layer memungkinkan user di perangkat-perangkat yang berbeda membuat sessions diantara mereka. Sessions memberikan beberapa layanan, termasuk dialog control, token management dan synchronization.

6. Presentation Layer (Layer 6) Berbeda dengan lapisan-lapisan bawah, yang sebagian besar berhubungan dengan perpindahan bit. Presentation layer lebih banyak berhubungan dengan aspek sintaks dan semantik dari informasi yang ditransmisikan.

7. Application Layer (Layer 7) Application layer mengandung berbagai protokol yang umumnya dibutuhkan oleh users. Salah satu yang banyak digunakan adalah HTTP (HyperText Transfer Protocol), yang menjadi dasar dari World Wide Web. Ketika browser meminta halaman web, browser mengirim nama dari halaman yang diinginkan kepada server yang menjadi host dari halaman tersebut menggunakan HTTP. Server kemudian mengirimkan kembali halaman yang diminta. Protokol-protokol aplikasi lainnya yang cukup banyak digunakan adalah file transfer dan electronic mail.

2.1.6.2 Model Protokol TCP/IP Protokol TCP/IP dikembangkan setelah model OSI. Oleh karena itu, tidak semua lapisan – lapisan dari protokol TCP/IP sama dengan lapisan – lapisan yang ada di model OSI. Menurut

25 Forouzan dan Fagan (2007: 42) Protokol TCP/IP memiliki lima lapisan, yaitu •

Physical Layer

•

Data Link Layer

•

Internetwork (Internet) Layer

•

Transport Layer

•

Application Layer

Empat layer pertama melakukan fungsi – fungsi physical, network

interfaces,

internetworking,

dan

transport

yang

berhubungan dengan empat layer pertama dari model OSI. Sedangankan 3 layer teratas dari model OSI, direpresentasikan oleh layer aplikasi di protokol TCP/IP.

2.2 Teori Khusus 2.2.1 Keamanan Informasi Terdapat tiga konsep yang dikenal dengan CIA Triad mengenai keamanan jaringan maupun informasi (Stallings,2011: 11). •

Confidentiality Menjaga otorisasi dan kerahasiaan informasi untuk mencegah kebocoran ke pihak-pihak yang tidak mempunyai hak untuk mengakses informasi tersebut. Salah satu upaya untuk menjaga confidentiality adalah penggunaan enkripsi untuk informasi – informasi tertentu yang hanya bisa dilihat atau diakses oleh pihak – pihak yang memiliki “kunci”.

•

Integrity Integrity bertujuan untuk menjaga informasi dari perubahan konten informasi yang tidak berizin dan menjamin keaslian informasi yang tidak dapat disangkal. Hilangnya integrity dari suatu informasi merupakan pengrusakan

26 informasi.

Beberapa

upaya

menjaga

integrity

adalah

penggunaan antispam, antimalware dan antivirus.

•

Availability Availability memastikan akses informasi yang dapat diandalkan. Hilangnya availability dari suatu informasi merupakan gangguan akses informasi. Denial of Service merupakan salah satu contoh serangan terhadap aspek ini.

Meskipun konsep CIA Triad dinilai telah mapan, banyak yang pihak – pihak yang bergerak di bidang keamanan informasi beranggapan dibutuhkannya dua konsep tambahan. Dua konsep tersebut adalah: •

Authenticity Authenticity memastikan keaslian informasi sehingga informasi dan sumber informasi dapat dipercaya. Authenticity juga menjaga keabsahan konten-konten yang terdapat di dalam informasi tersebut.

•

Accountability Aspek ini menjadi suatu ketentuan etika agar setiap perbuatan dari suatu pihak dapat dilacak. Ini bertujuan agar setiap informasi yang keluar dapat dipertanggungjawabkan.

Terdapat banyak jenis ancaman terhadap keamanan jaringan komputer di seluruh dunia. Beberapa diantaranya cukup berbahaya, dan ada pula yang tidak namun cukup menggangu. Ancamanancaman tersebut antara lain (Indrajit, 2011: 80-86). •

Phising Phising Merupakan sebuah proses “pra-serangan” atau kerap dikatakan sebagai “soft attack” dimana sang penyerang

27 berusaha mendapatkan informasi rahasia dari target dengan cara menyamar menjadi pihak yang dapat dipercaya atau seolah-olah merupakan pihak yang sesungguhnya. Serangan phishing ini kerap dikategorikan sebagai usaha “social engineering”, yaitu memanfaatkan pendekatan sosial dalam usahanya untuk mendapatkan informasi rahasia sebagai alat untuk melakukan penyerangan dikemudian hari. •

Port Scanning Penyerang melakukan port scan untuk melihat portport apa saja yang terbuka. Penyerang melakukan cara ini untuk mencari layanan atau services apa saja yang sedang digunakan dan mengetahui sistem operasi apa yang target miliki. Menurut laporan dari ID-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure) pada kurun waktu Januari - September 2013, port yang paling banyak menjadi sumber serangan adalah port 1434 dimana port ini digunakan untuk layanan aplikasi Microsoft SQL . Tabel 2.3 Top Three Port Tujuan Insiden (sumber: ID-SIRTII) Port

%

Januari

Port

%

Port

Februari

% Maret

1434

15,52%

1434

14,61%

16471

38,53%

53

13,69%

53

9,06%

16464

27,17%

1433

8,10%

1433

6,92%

80

6,44%

April

Mei

Juni

16471

39,84%

1434

55,25%

1434

40,28%

16464

19,64%

16464

9,02%

16471

11,64%

1434

12,24%

16471

6,36%

53

11,43%

Juli

Agustus

September

1434

58,16%

1434

28,89%

1434

20,77%

53

7,67%

53

14,17%

1433

19,98%

28 80

•

4,76%

16464

9,80%

16465

10,27%

Malware Malware, kependekan dari “malicious software” adalah aplikasi ganas yang dibuat dengan maksud untuk merusak atau melumpuhkan perangkat yang digunakan oleh target seperti perangkat-perangkat mobile, komputer atau server. Aktivitas-aktivitas yang dilakukan malware termasuk mengganggu operasi komputasi dan komunikasi, mencuri data sensitif, mengakses jaringan pribadi, atau membajak sistem untuk mengeksploitasi sumber daya dari target. ID-SIRTII mencatat 12.5 juta serangan malware yang terjadi pada kurun waktu Maret – September 2013.

•

Denial of Service (DoS) Menurut Indrajit (2011:83) serangan yang dikenal dengan istilah DoS atau DDoS (Distributed Denial of Service) ini pada dasarnya merupakan suatu aktivitas dengan tujuan utama menghentikan atau meniadakan layanan sistem atau jaringan komputer sehingga pengguna tidak dapat menikmati fungsionalitas dari layanan tersebut – dengan cara menggangu ketersediaan komponen sumber daya yang terkait dengannya. Dengan kata lain, DoS dan/atau DDoS merupakan serangan untuk melumpuhkan suatu layanan dengan cara menghabiskan sumber daya yang diperlukan sistem komputer untuk

melakukan

kegiatan

normalnya.

Berikut

adalah

serangan

yang

sejumlah tipe serangan DoS/DDoS:

1. SYN-Flooding:

merupakan

memanfaatkan lubang kerawanan saat koneksi TCP/IP terbentuk.

29 2. Pentium “FOOF” Bug: merupakan serangan terhadap prosessor yang menyebabkan sistem senantiasa melakukan “rebooting”. Hal ini tidak bergantung terhadap jenis sistem operasi yang digunakan tetapi lebih spesifik lagi terhadap prosessor yang digunakan. 3. Ping Flooding: merupakan aktivitas “brute force”” sederhana, dilakukan oleh penyerang dengan bandwith yang lebih baik dari korban, sehingga mesin korban tidak dapat mengirimkan paket data ke dalam jaringan (network). Hal ini terjadi karena mesin korban dibanjir (flood) oleh paket – paket ICMP. Yang membedakan antara DDoS dengan DoS adalah

pada

DDoS

serangan

dilakukan

secara

serempak oleh beberapa komputer sekaligus, sehingga hal ini sangat ampuh dalam membuat sistem atau jaringan komputer tertentu lumpuh dalam waktu cepat.

2.2.2 Computer Emergency Response Team (CERT) CERT adalah sebuah tim khusus yang siap dan sigap untuk menghadapi berbagai insiden yang mungkin terjadi dan dapat merugikan merugikan organisasi tersebut. Computer Security Incident Response Team atau disingkat menjadi CSIRT menjadi pusat kordinasi dari tim CERT yang memungkinkan para praktisi CERT dapat bertemu secara virtual maupun fisik untuk membahas berbagai isu terkait dengan keamanan dan pengamanan internet. Menurut Indrajit (2011:23), dilihat dari karakteristik dan anggotanya, ada 4 (empat) jenis CERT yang dikenal yaitu: •

Sector CERT - institusi yang dibentuk mengelola keamanan komputer/internet untuk lingkungan komunitas tertentu seperti militer, rumah sakit, universitas, dan lain sebagainya;

30 •

Internal CERT – institusi yang dibentuk sebuah perusahaan yang memiliki ruang linkup geografis tersebar di seluruh nusantara

sehingga

dibutuhkan

koordinasi

dalam

hal

mengelola keamanan komputer, seperti milik Pertamina, LippoBank, PLN, Telkom, dan lain sebagainya; •

Vendor CERT – Institusi pengelola keamanan yang dimiliki oleh vendor teknologi untuk melindungi kepentingan pemakai teknologi terkait, seperti Yahoo, Cisco, Microsoft, Oracle, dan lain sebagainya; dan

•

Commercial CERT – institusi yang biasanya dibentuk oleh sejumlah praktisi dan ahli keamanan komputer/internet yang banyak menawarkan beragam produk/jasa kepada pihak lain terkait dengan tawaran membantu proses pengamanan teknologi informasi secara komersial.

2.2.3 Intrusion Detection System (IDS) Menurut Rehman (2003: 5), Intrusion Detection System (IDS) adalah kumpulan teknik dan metode yang digunakan untuk mendeteksi kegiatan yang mencurigakan di level jaringan dan host. Terdapat dua macam IDS yaitu: •

Network-based Intrusion Detection System (NIDS) NIDS

adalah

intrusion

detection

sistem

yang

menangkap paket data yang yang bergerak di suatu media jaringan (kabel, nirkabel) dan mencocokkan paket data tersebut dengan signature-signature yang terletak di database. Bila paket data cocok dengan signature dari intruder maka peringatan (alert) akan dibuat dan paket data akan disimpan ke sebuah file atau database. •

Host Intrusion Detection System (HIDS) Host-based intrusion detecton systems atau HIDS ditempatkan sebagai agen dari sebuah host. Intrusion detection

31 systems macam ini dapat melihat ke dalam file log dari sistem dan aplikasi untuk mendeteksi segala kegiatan intrusi. Beberapa dari sistem ini bersifat reaktif, yang berarti HIDS hanya melaporkan user ketika serangan telah terjadi. Tetapi ada beberapa pula yang bersifat proaktif yang dapat mengendus traffic jaringan dari host tertentu yang telah dipasang dengan HIDS dan melakukan peringantan secara real time.

Terdapat beberapa perbedaan antara NIDS dan HIDS, yang akan dijabarkan di tabel berikut:

Tabel 2.4 Perbedaan NIDS dan HIDS NIDS

HIDS

Ruang linkup yang luas,

Ruang lingkup yang terbatas,

mengamati semua aktivitas

mengamati hanya aktivitas pada

jaringan

host tertentu

Lebih mudah melakukan setup

Setup lebih rumit

Lebih baik untuk mendeteksi

Lebih baik untuk mendeteksi

serangan yang berasal dari luar

serangan yang berasal dari

jaringan

dalam jaringan

Lebih murah untuk

Lebih mahal untuk

diimplementasikan

diimplementasikan

Pendeteksian berdasarkan apa

Pedeteksian berdasarkan pada

yang direkam dari aktivitas

single host yang diamati semua

jaringan

aktivitasnya

Menguji packet header

Packet header tidak diperhatikan

Respon yang real time

Selalu merespon setelah apa yang terjadi

OS independent

OS spesifik

Mendeteksi serangan terhadap

Mendeteksi serangan lokal

jaringan serta payload untuk

sebelum mereka memasuki

32 dianalisis

jaringan

Mendeteksi usaha dari serangan Memverifikasi sukses atau yang gagal

gagalnya suatu serangan

Intrusion detection systems terbagi ke dalam dua katagori pendekatan: intrusion detection system berbasis signature dan anomaly detection systems berbasis profil. IDS juga dapat dikatakan sebagai pencari aturan (pattern discovery) dan pengenalan aturan (pattern recognition) dari suatu sistem. Pattern atau rule adalah bagian yang paling penting dari Intrusion Detection System. Proses dan mekanisme IDS dapat digambarkan sebagai berikut.

M a c h in e L e a rn in g & D a ta m in in g & S ta tis tic s m e th o d s T r a n in g A u d it D ata

F e a tu re E x t ra c tio n

T r a in in g D a ta & K n o w le d ge

P a tt e r n E x t ra c tio n E x p e rt K n o w le d g e & R u le c o lle c tio n & R u le a b s tr a c t io n

P a tte r n & D e c is io n R u le

P a tte rn M a tc h in g

A la r m s

In tr u s io n D e te c tio n S yste m

D is c r im in a t e fu n c tio n

Pass

R e a l-T im e A d u it d a ta

P a tt e r n R e c o g n itio n

Gambar 2.11 Mekanisme Intrusion Detection System

Gambar diatas menunjukkan bahwa IDS terlebih dahulu melakukan audit suatu paket data dan kemudian mempelajarinya untuk disimpan di knowledge base IDS. Dari audit atau analisis paket data yang diambil maka IDS dapat mengetahui aturan (rule) dari pattern (pola) dan decision (keputusan) data tersebut. Pada tahap akhir, IDS melakukan fungsi untuk memutuskan apakah paket data

33 tersebut dianggap sebagai ancaman atau tidak. Paket data yang dianggap sebagai ancaman akan memicu alarm atau alert untuk memberi notifikasi kepada pengguna akan ancaman yang sedang dialami. Penjelasan mengenai beberapa istilah – istilah di dalam IDS adalah sebagai berikut:

- Signatures Signature adalah pola yang dicari yang berada di dalam sebuah paket data. Signature digunakan untuk mendeteksi satu atau lebih tipe ancaman serangan. Sebagai contoh, potongan kata atau string “scripts/iisadmin” di dalam paket data yang berada di jaringan akan memicu peringatan tentang aktivitas intrusi.

- Alerts Peringatan atau alerts adalah bentuk notifikasi yang diberikan kepada user bila terjadi kegiatan intrusi. Ketika IDS mendeteksi seorang penyusup atau intruder, IDS harus memberi informasi kepada user dengan alert. Alert dapat berbentuk jendela pop-up, melakukan logging ke console, mengirim surak elektronik dan lainnya. Alerts juga dapat disimpan ke dalam file log atau database.

- Logs Pesan log pada umumnya disimpan dalam bentuk file. Secara default Snort menyimpan pesan – pesan ini ke dalam direktori /var/log/snort. Tetapi, lokasi dari pesan log dapat dirubah menggunakan perintah ketika mengaktifkan Snort. File log dapat disimpan dalam format teks atau biner. File biner dapat dilihat menggunakan Snort atau program tcpdump.

- False Alarms

34 False alarms adalah peringatan yang sebenarnya tidak memiliki indikasi aktivitas intrusi. Ini dapat terjadi ketika host internal yang tidak terkonfigurasi dengan baik sering mengeluarkan pesan broadcast yang memicu salah satu rule dari Snort dan mengeluarkan false alarms.

2.2.4 Snort Snort adalah sebuah Network Based Intrusion Detection System (NIDS) yang menggunakan deteksi berbasis signature. Snort mengendus dan memeriksa paket data di suatu jaringan untuk mencocokan dengan karakteristik atau ciri dari suatu ancaman serangan. (Scott, Wolfe, Hayes, 2004,p12) Snort memiliki beberapa keunggulan sebagai IDS, yaitu: •

Dapat dikonfigurasi Semua konfigurasi pada Snort dari file konfigurasi sampai pada rules – rules yang menjadi dasar dari Snort sudah tersedia dan dapat dirubah sesuai dengan keinginan user dari IDS yang ingin diimplementasikan. Keunggulan

lainnya

adalah, Snort memungkinkan user menambah atau menulis rule sendiri bila terdapat jenis – jenis ancaman serangan yang baru. •

Gratis Snort dirilis dengan menggunakan lisensi GNU GPL (General Public License) yang berarti user dapat menggunakan Snort secara bebas tanpa harus membayar biaya apapun.

•

Dapat berjalan pada sistem operasi yang berbeda-beda Snort tidak hanya dapat berjalan di sistem operasi berbasis Unix (termask Linux) tetapi juga dapat berjalan di sistem operasi lainnya, seperti Windows.

•

Update secara berkala

35 Rules – rules yang digunakan Snort selalu diupdate dan biasanya dirilis beberapa bulan sekali. Update tersebut memperbahai rules dengan menambah signature – signature dari ancaman serangan terbaru

2.2.5 Low Orbit Ion Cannon (LOIC) LOIC (Low Orbit Ion Cannon) adalah salah satu alat untuk melakukan serangan DoS yang ampuh dan tersedia secara gratis. LOIC pada awalnya dikembangkan oleh perusahaan Praetox Technologies sebagai alat stress testing sebelum dirilis ke publik. Alat ini dapat melakukan serangan DoS sederhana dengan mengirim paket data dalam jumlah banyak berupa paket UDP, TCP, atau permintaan HTTP ke target yang diserang. Menurut Verma (2012: 1) keunggulan dari alat LOIC, selain dapat digunakan secara gratis, cara penggunaannya juga mudah. Namun LOIC memiliki kelemahan yaitu mudahnya untuk mencari penyerang yang menggunakan alat ini. Ini disebabkan karena setiap melakukan penyerangan, IP dari penyerang tidak disamarkan dan terekspos ke pihak korban atau target.

2.3

Jurnal Ilmiah Mengenai Intrusion Detection System

A. (Gimenez, Villegas, Alvarez: An Anomaly-Based Approach for Intrusion Detection in Web Traffic, 2010) Sistem yang dikembangkan untuk mendeteksi serangan berbasis web ini menggunakan pendekatan berbasis anomali, oleh karena itu serangan yang dikenal atau belum dikenal dapat dideteksi. Sistem ini bergantung pada file XML untuk mengklasifikasi permintaan (request) yang datang sebagai permintaan normal atau anomali. Dengan file XML, yang dibuat dari traffic normal, mengandung deskripsi dari perilaku dan kondisi normal dari aplikasi web yang menjadi target. Semua permintaan yang menyimpang dari perilaku normal akan dianggap sebagai ancaman serangan. Sistem ini telah diaplikasikan untuk melindungi beberapa aplikasi web. Eksperimen yang dilakukan menunjukkan ketika file XML mempunyai informasi yang cukup

36 untuk mencirikan perilaku normal dari aplikasi web yang menjadi target, tingkat deteksi yang tinggi dapat dicapai dan jumlah notifikasi false positive dapat ditekan.

B. (Hoque, Mukit, Bikas: An Implementation of Intrusion Detection System Using Genetic Algorithm, 2012) Di sistem Intrusion Detection System ini diimplementasikan menggunakan aplikasi genetic algorithm (GA) atau algoritma genetik. Dengan pendekatan algoritma genetik, segala ancaman serangan atau intrusi dapat dideteksi secara efisien. Pendekatan ini adalah bentuk evolusi dari teori evolusi informasi yang digunakan untuk menyaring traffic data sehingga mengurangi

tingkat

kerumitan.

Algoritma

genetik

adalah

teknik

pemrograman dengan meniru teori evolusi biologis sebagai strategi pemecahan masalah. Teknik yang berdasarkan teori yang dikemukakan Charles Darwin ini mengambil prinsip evolusi dan survival of fittest dimana yang terkuat yang dapat bertahan. GA menggunakan evolusi dan seleksi natural yang menggunakan struktur data berbentuk seperti kromosom. Fungsi evaluasi digunakan untuk melakukan kalkulasi seberapa baik kondisi tiap kromosom dalam solusi - solusi yang diinginkan. Fungsi ini dikenal dengan “fitness function”. Ketika GA digunakan untuk mendapatkan solusi dari masalah yang ada, tiga faktor mempunyai dampak di seberapa efektif algoritma dan aplikasi yang digunakan: fitness function, perwakilan dari individual, dan parameter GA. Ketiga faktor tersebut yang bergantung dengan aplikasi dan bagaimana implementasi dilakukan.

C. (Peddabachigari, Abraham, Grosan, Thomas: Modelling Intrusion Detection System Using Hybrid Intelligent Systems, 2005) Di dalam jurnal ini, dilakukan dua pendekatan untuk melakukan pemodelan intrusion detection system. Decision trees (DT) dan support vector machines (SVM) dikombinasikan sebagai model hirarki hibrida yang pintar (DT-SVM) yang kemudian dikelompokkkan

untuk menjadi suatu

pendekatan klasifikasi dasar. Melalui pendekatan ini didapatkan hasil terbaik

37 untuk mendeteksi serangan kelas probe dan R2U (remote to user). Pendekatan ini mencapai tingkat 100% untuk keakuratan dalam mendeteksi kelas probe dan tidak menutup kemungkinan untuk dapat meraih hasil yang di kelas lainnya.