BAB IV PENGUJIAN 4.1 Solusi Yang Diujikan Pada bab sebelumnya, solusi-solusi yang dipilih dari beberapa kandidat solusi yang telah dienumerasikan untuk dilakukan pengujian dalam mencegah serangan Man in The Middle ada dua (2), yaitu sebagai berikut.
4.1.1 Static ARP table entry Solusi ini menitikberatkan pengamanan jaringan pada data link layer, yaitu melakukan manual setting pasangan alamat IP dengan alamat MAC tertentu, sehingga diharapkan penyerang yang berada pada jaringan dan subnet yang sama tidak dapat melakukan poisoning terhadap ARP cache yang dimiliki komputer tersebut.
Umumnya pasangan alamat IP – alamat MAC yang akan diproteksi adalah milik komputer gateway. Hal ini didasarkan pada beberapa hal sebagai berikut: -
Gateway adalah gerbang koneksi keluar jaringan, termasuk internet. Akan sangat membahayakan apabila serangan Man in The Middle berhasil dilakukan pada koneksi di antara komputer klien dan komputer gateway, karena paketpaket data yang berisikan informasi penting yang tidak terenkripsi, misalnya login POP3, IMAP, Samba, FTP, dan otentikasi proxy; begitupun isi komunikasi telnet, instant messaging, VoIP; dapat disadap oleh pihak yang melakukan serangan MiTM ini.
-
Pasangan alamat IP – alamat MAC komputer lainnya dalam satu subnet tidak terlalu penting untuk diproteksi, terkecuali apabila klien memang melakukan koneksi langsung pada komputer yang dituju, misalnya file sharing. Hal ini dikarenakan
jarang
sekali
komputer-komputer
dalam
satu
subnet
berkomunikasi langsung, apabila pun ada biasanya melewati internet terlebih
IV-1
IV-2
dahulu, misalnya instant messaging, email dan lain sebagainya, yang tentu saja proteksi koneksi klien dengan gateway yang harus terjamin keamanannya.
4.1.2 Stunnel Pengimplementasian solusi ini diharapkan mampu memberikan perlindungan pada level aplikasi (Application layer). Stunnel dapat melakukan enkripsi paket data yang tidak terenkripsi sebelumnya, sehingga ketika dilewatkan pada jaringan yang tidak terjamin keamanannya, kerahasiaan informasi yang terkandung di dalam paket data tersebut tetap terjaga.
Stunnel merupakan solusi lain yang dapat dilakukan apabila solusi yang pertama yaitu Static ARP table entry tidak memungkinkan untuk diimplementasikan. Hal tersebut mungkin saja dikarenakan klien tidak mengetahui, baik itu alamat IP ataupun alamat MAC yang akan dilakukan mapping secara statis, atau akan sangat merepotkan apabila setiap kali klien berpindah dari satu jaringan ke jaringan lain harus men-set statis pasangan alamat IP – MAC gateway jaringan tersebut untuk dimasukkan ke ARP cache komputer lokal.
Pada pengujian ini, penulis akan mencoba mengombinasikan software Stunnel dengan software Squid sehingga diharapkan informasi login klien pada proxy server yang dikirimkan secara plain text dengan skema basic authentication terjamin kerahasiaannya walaupun serangan ARP poisoning berhasil dilakukan pada koneksi antara proxy server dengan komputer klien.
Tujuan dari pengujian ini adalah untuk melihat apakah kedua solusi yang dipilih di atas memang mampu memberikan perlindungan dan jaminan kerahasiaan informasi user squid proxy server dari aktifitas sniffing melalui serangan Man in The Middle pada jaringan komputer kampus ITB.
IV-3
4.2 Lingkungan Pengujian Untuk melakukan pengujian terhadap solusi-solusi yang dipilih pada bab sebelumnya, penulis menggunakan lingkungan pengujian yang dapat dijabarkan sebagai berikut. Gambar IV-1 Skema Lingkungan Pengujian
167.205.35.0/24
4.2.1 Lingkungan Server Yang dimaksud dengan server pada lingkungan pengujian ini adalah komputer yang bertindak sebagai gateway yaitu penghubung antara jaringan internet dengan komputer klien. Komputer server ini akan dipasangkan suatu perangkat lunak cache proxy sebagai simulasi proxy server di jaringan kampus ITB. Perangkat lunak tersebut adalah Squid, yaitu software yang sama yang digunakan pada cache-proxy server ITB.
Komputer server pada pengujian ini menggunakan sistem operasi Microsoft Windows XP. Sebenarnya tipikal penggunaan software Squid yaitu pada sistem operasi berbasis UNIX. Namun dikarenakan modem yang akan digunakan untuk melakukan koneksi ke internet hanya memiliki driver untuk Windows XP, maka penulis terpaksa menggunakan sistem operasi tersebut pada komputer server. Namun hal ini bukan merupakan masalah berarti, karena software Squid versi
IV-4
terbaru juga sudah mendukung sistem operasi ini. Di samping hal tersebut, konfigurasi cache-proxy server untuk kedua jenis sistem operasi tersebut tidak jauh berbeda, terkecuali hierarki direktorinya saja.
Koneksi internet yang dipasangkan pada komputer server untuk menyediakan koneksi bagi komputer klien adalah koneksi jaringan UMTS yaitu menggunakan modem GSM. Koneksi internet ini dibutuhkan pada pengujian karena akan dilakukan simulasi serangan MiTM terhadap klien yang melakukan koneksi internet melalui proxy server.
4.2.2 Lingkungan Klien Pada pengujian ini, pihak yang bertindak sebagai korban serangan MiTM akan menggunakan komputer klien ini untuk melakukan koneksi ke internet melalui proxy server. Komputer klien ini menggunakan sistem operasi Microsoft Windows XP. Untuk spesifikasi lainnya sama dengan spesifikasi komputer klien pada umumnya.
Pihak yang bertindak sebagai korban akan melakukan koneksi internet melalui komputer klien ini menggunakan web browser yaitu Mozilla Firefox 3.5 dimana akan dikonfigurasi manual menggunakan proxy server untuk melakukan browsing. Informasi login klien pada proxy server yang akan dikirimkan oleh browser inilah yang akan dijadikan target serangan MiTM pada pengujian ini.
4.2.3 Lingkungan Penyerang Pihak yang akan melakukan serangan MiTM terhadap korban akan menggunakan komputer tersendiri yang sudah dipasang salah satu tool serangan MiTM. Komputer ini akan berada pada jaringan atau subnet yang sama dengan komputer server dan komputer klien.
Tool serangan MiTM yang akan digunakan adalah Cain & Abel versi 4.9.31 yang berjalan pada sistem operasi Microsoft Windows XP. Tool tersebut dapat
IV-5
melakukan ARP spoofing sehingga paket data dapat dilewatkan ke komputer penyerang. Akibatnya informasi penting yang dilewatkan, yang pada pengujian ini adalah username dan password otentikasi klien pada proxy server, ditangkap dan dibaca menggunakan tool tersebut.
4.2.4 Lingkungan Jaringan Untuk melakukan pengujian ini, penulis memanfaatkan jaringan komputer ethernet gedung Benny Subianto (Program Studi Teknik Informatika ITB) sebagai lingkungan jaringan. Komputer yang bertindak sebagai server dan klien, dan juga komputer yang digunakan penyerang akan di-attach pada jaringan tersebut sesuai dengan konfigurasi jaringan sehingga ketiga komputer tersebut dapat saling berkomunikasi.
Pemanfaatan lingkungan jaringan ini tidak akan mengganggu pengguna lainnya karena pengujian serangan MiTM ini spesifik ditujukan pada komputer server dan komputer klien untuk pengujian.
4.3 Tools Pengujian Berikut daftar dan penjelasan singkat mengenai perangkat lunak apa saja yang dibutuhkan dalam proses pengujian solusi pencegahan serangan MiTM pada jaringan kampus ITB.
4.3.1 Squid Proxy Yaitu salah satu perangkat lunak yang digunakan untuk membangun caching proxy server. Perangkat lunak open source ini telah digunakan oleh sebagian besar cache-proxy server di dunia dewasa ini, termasuk di kampus ITB. Pada pengujian ini, penulis menggunakan Squid versi 2.7 Windows NT, karena server yang digunakan bersistem operasi Microsoft Windows XP.
Software Squid dikonfigurasi sehingga membutuhkan otentikasi user ketika klien ingin melakukan koneksi ke internet. Otentikasi ini dilakukan untuk melakukan
IV-6
simulasi penggunaan Akun Jaringan ITB (AJI) ketika pengguna jaringan kampus ingin melakukan koneksi ke luar, yaitu internet. Skema otentikasi yang digunakan adalah basic authentication dengan HTTP message yang juga diterapkan pada proxy servers di ITB. Pada pengujian ini, penulis menggunakan perintah htpasswd milik web server Apache untuk menyimpan informasi login yaitu username dan password ke dalam suatu text file. Informasi login inilah yang akan digunakan oleh skema basic authentication dalam melakukan otentikasi pengguna Squid web proxy.
4.3.2 Cain & Abel + WinPcap Cain & Abel merupakan program populer pada sistem operasi Microsoft Windows XP untuk melakukan serangan MiTM dengan menerapkan ARP poisoning. Program ini dapat melakukan scanning hosts dalam satu subnet untuk dijadikan target ARP poisoning.
Setelah koneksi terbentuk antara dua target melalui komputer penyerang, Cain & Abel memanfaatkan library WinPCap (libpcap versi Windows) untuk melakukan capture paket data yang melewatinya. Paket data tersebut kemudian dianalisis untuk mendapatkan fields yang berisikan informasi penting, misalnya username dan password.
Pada pengujian ini, tools tersebut di atas digunakan untuk melakukan serangan Man in The Middle antara komputer korban dengan komputer gateway guna mendapatkan informasi login korban pada proxy server ketika sedang melakukan koneksi keluar (internet). Sebelumnya dilakukan ARP poisoning terhadap kedua komputer server dan klien, sehingga komputer klien menganggap komputer penyerang sebagai gateway, begitupun sebaliknya komputer server menganggap komputer penyerang sebagai komputer klien. Sehingga paket data dari dan ke komputer klien melewati komputer penyerang terlebih dahulu.
IV-7
4.3.3 Stunnel Stunnel adalah aplikasi open source yang dirancang untuk dapat bekerja sebagai pembungkus SSL untuk koneksi yang tidak terenkripsi antara komputer klien dan komputer server. Stunnel biasanya digunakan untuk melindungi protokol POP3, IMAP yang rentan terhadap serangan sniffing tanpa perlu mengubah kode program mail itu sendiri.
Stunnel menggunakan SSL library terpisah, misalnya OpenSSL untuk menegosiasikan koneksi Secure Socket Layer (SSL) antara dua komputer yang akan berkomunikasi. Sehingga sebelum dikirimkan ke jaringan, paket data tersebut dilakukan enkripsi terlebih dahulu. Untuk melakukan hal ini Stunnel harus dipasang dan dikonfigurasi baik pada kedua komputer server maupun komputer klien.
Pada pengujian ini, penulis memasang Stunnel pada komputer server dan komputer klien untuk melindungi HTTP messages yang berisikan informasi login pada proxy server yang dikirimkan ke jaringan oleh web browser komputer klien. Diharapkan informasi yang dilewatkan terjamin kerahasiaannya walaupun penyerang berhasil melakukan ARP poisoning dan membangkitkan koneksi antar server dan klien melalui komputer penyerang.
4.4 Setup Lingkungan Pengujian Sebelum melakukan pengujian terhadap beberapa skenario yang ada, terdapat proses setup lingkungan-lingkungan pengujian yang sudah dijabarkan pada subbab 4.2. Proses setup ini dilakukan menurut skema konfigurasi jaringan pada gambar VI-1 di atas. Berikut langkah-langkah dalam melakukan setup lingkungan pengujian.
IV-8
4.4.1 Setup Komputer dan Konfigurasi Kartu Jaringan Berikut
konfigurasi
jaringan
untuk
lingkungan
pengujian
yang
sudah
didefinisikan. Tabel IV-1 Konfigurasi Kartu Jaringan
NO
Ethernet Card
Konfigurasi
Modem Server
Client
Attacker
1
MAC Address
00-16-D3-46-7D-AD
00-03-0D-C7-DD-49
00-02-1C-F4-01-09
00-53-45-00-00-00
2
IP Address
167.205.35.181
167.205.35.183
167.205.35.182
Dynamic
3
Subnet Mask
255.255.254.0
255.255.254.0
255.255.254.0
255.255.255.255
4
Default Gateway
167.205.34.1
167.205.34.1
167.205.34.1
114.59.33.242
5
DNS Server
167.205.22.123
167.205.22.123
167.205.22.123
202.155.0.10
Setelah seluruh komputer yang dibutuhkan dilakukan setup kartu jaringannnya masing-masing seperti konfigurasi di atas, maka kemudian ketiga komputer tersebut di-attach ke jaringan ethernet Gedung Benny Subianto, Prodi Teknik Informatika ITB. Sedangkan untuk Modem UMTS dipasangkan pada komputer server.
4.4.2 Instalasi dan Setup Squid pada Komputer Server Pada pengujian ini, penulis melakukan instalasi paket Squid versi 2.7 untuk Windows NT 4.0/2000/XP/2003 pada komputer server. Direktori instalasi software tersebut yaitu C:\squid\.
Setelah instalasi software Squid berhasil, kemudian dilakukan konfigurasi Squid dengan melakukan pengubahan terhadap file konfigurasinya yaitu squid.conf. Pada sistem operasi Windows XP, file konfigurasi ini terletak pada path: C:\squid\etc\squid.conf
Berikut bagian file konfigurasi squid.conf yang dilakukan pengubahan untuk menyesuaikannya pada lingkungan pengujian.
IV-9
IV-10
File Konfigurasi Squid: squid.conf # TAG: http_port # Alamat socket dimana Squid akan mendengarkan HTTP request klien http_port 3128 # TAG: acl # Mendefinisikan access list: daftar acl localhost src 127.0.0.1/32 acl localnet src 10.0.0.0/8 acl localnet src 172.16.0.0/12 acl localnet src 192.168.0.0/16 acl nettest src 167.205.35.0/24 acl auth_req proxy_auth REQUIRED
perizinan terhadap suatu objek # komputer localhost # jaringan internal # jaringan internal # jaringan internal # jaringan pengujian # akses klien membutuhkan otentikasi
# TAG: http_access # Memberi izin atau tidak berdasarkan acl yang didefinisikan. http_access allow auth_req # memberikan izin akses apabila terotentikasi http_access allow localnet # memberikan izin akses untuk 172.16.0.0/12 http_access allow localhost # memberikan izin akses untuk localhost http_access allow nettest # memberikan izin akses untuk 167.205.35.0/24 http_access deny all # tutup akses selain yang didefinisikan di atas. # TAG: auth_param # Mendefinisikan parameter skema otentikasi untuk squid. auth_param basic program C:/squid/libexec/ncsa_auth.exe c:/squid/etc/passwd # otentikasi menggunakan basic authentication scheme # dengan path program peng-otentikasinya C:/squid/libexec/ncsa_auth.exe # dimana informasi otentikasi klien disimpan pada c:/squid/etc/passwd # TAG: cache_dir # Opsi direktori untuk caching cache_dir ufs c:/squid/var/cache 1024 16 256 # ket. "ufs" tipe penyimpanan (default) # "c:/squid/var/cache" path direktori caching # "1024" Maks. ukuran direktori caching (MB) # "16" Jumlah subdirektori level-1 # "256" Jumlah subdirektori level-2 # TAG: access_log # Men-spesifikasikan lokasi log file untuk akses access_log c:/squid/var/logs/access.log squid # TAG: dns_nameservers # Men-spesifikasikan alamat DNS servers # Pada pengujian ini, adalah alamat DNS server pada modem UMTS dns_nameservers 202.155.0.10 202.155.0.15
IV-11
Setelah file konfigurasi squid.conf diubah, maka langkah selanjutnya adalah membuat cache direktorinya dengan perintah c:\squid\sbin\squid.exe -D -z
Seperti sudah didefinisikan sebelumnya pada konfigurasi Squid, pengaksesan oleh klien membutuhkan otentikasi, sehingga harus didefinisikan terlebih dahulu informasi akun (username dan password) yang dibutuhkan untuk melakukan pengaksesan. Pada pengujian ini, penulis menggunakan text file untuk menyimpan informasi-informasi akun pengguna. Pada pengujian ini, pembangkitan text file ini ‘meminjam’ program bawaan web server Apache yaitu htpasswd. C:\>htpasswd -c c:/squid/etc/passwd test Automatically using MD5 format. New password: ****** Re-type new password: ****** Adding password for user test
Perintah di atas akan membuat text file passwd pada direktori c:/squid/etc/ yang kemudian menambahkan user test ke dalam file tersebut. Password untuk user test ini juga akan disimpan pada file tersebut dengan format enkripsi menggunakan MD5. File c:/squid/etc/passwd ini akan digunakan oleh program C:\squid\libexec\ncsa_auth.exe pada saat klien melakukan otentikasi akses squid server.
4.4.3 Konfigurasi Manual Proxy Web Browser pada Komputer Klien Agar klien dapat melakukan akses internet melalui squid proxy yang sudah terpasang pada komputer server, maka diperlukan konfigurasi manual web browser yang digunakan. Pada pengujian ini, penulis menggunakan web browser Mozilla Firefox 3.5 pada komputer klien.
Untuk melakukan konfigurasi manual proxy pada Mozilla Firefox 3.5, pilih Tools Options. Pada tab Advanced Network, klik Setting. Masukkan alamat IP
IV-12
squid proxy server, yaitu 167.205.35.181 dengan Port 3128. Centangkan juga opsi “use this proxy server for all protocols” kemudian OK.
Setelah konfigurasi proxy web browser secara manual selesai, maka ketika klien akan melakukan koneksi internet, browser akan meminta klien melakukan otentikasi terlebih dahulu sebelum dapat melakukan koneksi internet melalui squid server.
4.4.4 Instalasi Tool MiTM Cain & Abel pada Komputer Penyerang Untuk dapat melakukan serangan Man in The Middle pada lingkungan pengujian, penulis memasang tool MiTM Cain & Abel versi 4.9.31 pada sistem operasi Microsoft Windows XP komputer penyerang. Tool ini akan digunakan untuk melakukan ARP spoofing dimana target serangannya adalah komputer server dan komputer klien untuk mendapatkan informasi login klien pada Squid proxy server.
Pada saat melakukan instalasi program ini, akan diminta juga untuk menginstal library WinPCap yang telah ter-bundle ke dalam file instalasi Cain & Abel. Karena library WinPCap ini digunakan oleh Cain & Abel untuk melakukan capturing paket data, maka biarkan library tersebut terinstalasi juga pada komputer penyerang, terkecuali apabila sudah dipasang sebelumnya.
4.5 Skenario Pengujian 4.5.1 Skenario I Skenario I merupakan pengujian terhadap sistem yang telah dibangun, yaitu terdiri dari lingkungan server, klien, penyerang dan lingkungan jaringan apakah sudah sesuai dengan apa yang diharapkan. Pada skenario ini, belum dilakukan pengimplementasian solusi apapun pada sistem yang dibangun. Skenario ini merupakan simulasi keadaan standar pada jaringan kampus ITB. Kriteria keadaan yang diharapkan pada pengujian skenario ini adalah sebagai berikut.
IV-13
a. Komputer Server -
Koneksi ke jaringan berjalan dengan lancar
-
Dapat melakukan koneksi ke internet secara langsung menggunakan modem GSM
-
Service squid yang dipasang dapat dijalankan tanpa pesan error ataupun warning sehingga komputer server juga dapat melakukan koneksi ke internet melalui squid server itu sendiri.
b. Komputer Klien -
Koneksi ke jaringan berjalan dengan lancar
-
Web browser menampilkan form yang meminta informasi otentikasi, yaitu username dan password ketika hendak membuka halaman web.
c. Komputer Penyerang -
Koneksi ke jaringan berjalan dengan lancar
-
Program Cain & Abel yang dipasang mampu melakukan ARP Poisoning terhadap komputer server dan komputer klien dan juga mampu menyadap dan menampilkan username dan password otentikasi klien pada squid proxy server.
Tahapan-tahapan yang dilakukan untuk mencapai tujuan di atas dapat dijabarkan sebagai berikut. 1. Melakukan pengujian koneksi internet pada komputer server dengan melakukan browsing halaman web menggunakan web browser, dimana konfigurasi proxy dilakukan secara manual dengan proxy server-nya adalah komputer server itu sendiri 2. Membuka halaman web pada web browser komputer klien. Apabila web browser meminta otentikasi proxy, maka ketika klien memasukkan username dan password akun yang sudah dispesifikasikan, halaman web yang akan dibuka tersebut dapat ditampilkan.
I IV-14
3. Deengan mengggunakan Toool Cain & Abel, kompputer penyeerang melakkukan scaanning kom mputer-kompputer yang berada padda subnet yang y sama. Hasil darri scanningg tersebut mampu m menddapatkan paasangan alaamat IP – alamat MA AC komputter server daan komputeer klien. 4. Penyerang keemudian meelakukan AR RP Spoofingg terhadap kedua kom mputer ng berhasil di-scan terrsebut. Seteelah Spoofin ng dilakukaan, program Cain yan & Abel mam mpu menamppilkan isi dari d HTTP messages yang y dikirim mkan oleeh web broowser klienn ke squid proxy servver, antara lain usernname, password, dann URL.
Berikut gaambar hasil screenshot dari tahapaan akhir prooses pengujiian skenarioo I.
Gambar IV--2 Hasil Sniffin ng oleh Cain & Abel
yaitu Hasil pen ngujian untuuk skenarioo ini sesuai dengan apa a yang diharapkan, d aktifitas serangan Maan in The Middle M mam mpu mendaapatkan info ormasi otenntikasi bel. Keadaaan ini meruppakan proxy miliik klien denngan mengggunakan tool Cain & Ab bentuk reppresentasi dari d keadaann jaringan kkomputer di kampus IT TB, dimana Akun A Jaringan ITB (AJI) milik maahasiswa dan d pegawaai yang digunakan d u untuk
IV-15
melakukan otentikasi pada proxy server, rentan terhadap serangan MiTM yang dilakukan dari jaringan internal kampus.
4.5.2 Skenario II Pada skenario pengujian yang kedua ini, dilakukan pengimplementasian solusi static ARP table entry pada komputer klien. Dengan menerapkan solusi tersebut diharapkan serangan ARP poisoning terhadap koneksi antara komputer klien dan komputer server dapat dicegah. Entri tabel ARP secara manual dan statik ini merupakan solusi pencegahan pertama pada data link layer terhadap serangan Man in The Middle dengan memanfaatkan teknik ARP poisoning.
Berikut tahapan-tahapan pengujian terhadap solusi static ARP table entry pada komputer klien yang menggunakan sistem operasi Microsoft Windows XP. 1. Melakukan pembersihan ARP cache pada komputer klien. Hal ini dilakukan untuk memastikan bahwa ARP cache komputer klien bersih dari aktifitas poisoning/spoofing sebelumnya. Pembersihan dilakukan perintah: C:\>arp –d
2. Melakukan entri manual pasangan alamat IP dengan alamat MAC komputer server pada tabel ARP komputer klien. Pada pengujian tahap ini menggunakan perintah: C:\> arp –s 167.205.35.181 00-16-D3-46-7D-AD
3. Melakukan pengecekan ARP table pada komputer klien apakah entri yang dilakukan sudah sesuai dengan perintah: C:\> arp –a
4. Melakukan pengujian aktifitas ARP poisoning terhadap komputer klien menggunakan tool Cain & Abel pada komputer penyerang 5. Melakukan pengecekan ARP table pada komputer klien untuk mengetahui berubah tidaknya entri pada tahap (2). Apabila alamat MAC untuk alamat IP server tidak berubah menjadi alamat MAC komputer penyerang, maka hal tersebut menunjukkan bahwa poisoning/spoofing ARP pada komputer klien gagal dilakukan dikarenakan entri statik yang dilakukan sebelumnya.
I IV-16
Berikut gaambar hasil screenshot tahapan akkhir pada pengujian skeenario ini.
Gambar IV-3 ARP A Poisoning Gagal Pada En ntri Statik
gecekan AR RP table pada komputeer klien terrlihat bahwaa entri pasaangan Dari peng alamat IP P – alamatt MAC yaang bertipee statik tiddak dapat diubah ataaupun diracuni/sppoofed olehh pihak pen nyerang. Keeadaan ini menjamin m b bahwa pakett data yang dikiirimkan kee alamat IP pada enntri ARP statik s terseebut tidak akan dilewatkan n ke kompuuter tertenttu yang tidaak berhak, sehingga serangan s M in Man The Midddle dengann teknik ARP Poisonning ini tiddak dapat dilakukan pada komputer yang memppunyai ARP P table yangg bersifat staatik.
4.5.3 Sk kenario III Pada sken nario ini akan a dilaku ukan penguujian terhaddap peengggunaan soft ftware Stunnel dalam d melinndungi jaluur komunikaasi antara squid s proxyy server deengan komputer klien. Tujuan dari pengujian p skkenario inii adalah un ntuk mengeetahui p mentasian Stunnel inni dapat melindungi m i dan meenjaga apakah pengimplem kerahasiaaan informassi proxy authenticationn yang dileewatkan padda jaringan yang sebelumnyya tidak terjjamin keam manannya.
Pengujiann untuk skeenario ini dilakukan d m menurut skeema sistem m yang dibaangun sebagai beerikut.
IV-17
Port: 3128
Ethernet
Port: 3128
Modem Client: 167.205.35.183 Web Browser
Server: 167.205.35.181 Squid
Attacker: 167.205.35.182 Tool MiTM: Cain & Abel
Gambar IV-4 Skema Implementasi Stunnel pada Squid
Tahapan-tahapan dalam pengujian skenario ini dapat dijabarkan sebagai berikut. 1. Instalasi software Stunnel baik pada komputer server dan komputer klien. Setelah terinstal, kemudian dilakukan konfigurasi Stunnel dengan mengedit file konfigurasi Stunnel.conf berdasarkan konfigurasi berikut. Stunnel-Server cert = Stunnel.pem [proxy] accept = 0.0.0.0:8080 connect = 127.0.0.1:3128
Stunnel-Client cert client [proxy] accept connect
= Stunnel.pem = yes = 127.0.0.1:8080 = 167.205.35.181:8080
Konfigurasi Stunnel di atas dapat dijelaskan sebagai berikut. Stunnel akan membangkitkan jalur komunikasi SSL antara komputer server dan komputer klien melalui port 8080 (Squid pada pengujian menggunakan
I IV-18
port 3128). Pada penngujian inii, koneksi SSL ini dinegosiaasikan meenggunakann sertifikat SSL S defaultt milik Stunn nel yaitu Sttunnel.pem m. 2. Meelakukan pengubahan p n konfiguraasi manuall proxy seerver pada web broowser kompputer klien dimana sebbelumnya 167.205.35.1181:3128 (S Squid serrver) menjjadi localh host:8080 (Stunnel-C Client). Denngan ini maka sebbelum HTT TP messagee yang beriisikan otenttikasi proxyy dikirimkaan ke jalur komunikkasi, paket data tersebbut dilakukaan enkripsii terlebih dahulu oleeh Stunnel-Client. Seetelah pakeet data terrsebut menncapai kom mputer serrver, makaa Stunnel-SServer melaakukan dekkripsi dan kemudian baru dikkirimkan kee program peng-otentikkasi milik sqquid proxy server. s 3. Meelakukan serangan s A ARP poisonning terhaddap kompu uter serverr dan komputer klieen menggunnakan tool Cain C & Abell pada komp puter penyeerang. 4. Meemeriksa appakah setelah melakukkan poisoniing/spoofingg, program Cain & Abel mam mpu mendaapatkan infformasi oteentikasi prooxy milik klien. k p data dari klien n oleh Stun nnel, seharuusnya Deengan terennkripsinya paket infformasi yanng terkanduung di dalaamnya tidak k dapat diek kstraksikann oleh proogram Cainn & Abel.
Berikut gaambar hasil pengujian tahapan t teraakhir pada skenario s ini.
Gam mbar IV-5 AR RP Poisoning Berhasil B Pada Skenario S III
Gam mbar IV-6 Cain n & Abel Gagaal Membaca Issi Paket Data
IV-19
Hasil pengujian penerapan software Stunnel dalam melindungi jalur komunikasi antara klien dan proxy server membuktikan bahwa walaupun penyerang dapat melakukan ARP poisoning sehingga komputer penyerang berada di tengah-tengah jalur komunikasi antara klien dan proxy server, dimana paket data dilewatkan kepadanya, namun dikarenakan paket data tersebut sebelum dikirimkan sudah dilakukan enkripsi terlebih dahulu, maka walaupun WinPCap yang digunakan oleh tool Cain & Abel berhasil melakukan capturing, informasi yang terkandung dalam paket data tersebut tidak dapat dibaca, sehingga kerahasiaan otentikasi proxy milik klien tetap terjaga walaupun serangan poisoning berhasil dilakukan. Keadaan ini menunjukkan bahwa Stunnel mampu melindungi kerahasiaan otentikasi proxy milik klien dari aktifitas sniffing.
4.6 Analisis Hasil Pengujian Berikut rekapitulasi hasil pengujian terhadap beberapa skenario pengujian yang dijabarkan pada subbab sebelumnya. Tabel IV-2 Rakapitulasi Hasil Pengujian
NO
Skenario
Deskripsi
Objektif
Hasil
1
I
Tes lingkungan pengujian tanpa penerapan solusi apapun
Tool Cain & Abel mendapatkan info otentikasi proxy klien
Tercapai
2
II
Pengujian terhadap solusi 1: Static ARP table entry pada komputer klien
Tool Cain & Abel tidak dapat melakukan ARP poisoning pada komputer klien
Tercapai
3
III
Pengujian terhadap penerapan solusi 2: Stunnel
Tool Cain & Abel tidak mendapatkan informasi otentikasi proxy
Tercapai
Terdapat beberapa catatan dari analisis hasil pengujian solusi-solusi pencegahan serangan Man in The Middle di atas. Catatan tersebut dapat dijabarkan sebagai berikut.
IV-20
4.6.1 Static ARP Table Entry Dari hasil pengujian, penerapan solusi ini mampu melindungi komputer klien dari tahap (1) serangan MiTM yang telah dijelaskan pada subbab 3.2, yaitu tahapan ARP poisoning/spoofing. Hal ini dikarenakan pengesetan statik entri pada ARP table menyebabkan mapping antara alamat IP – alamat MAC tidak dapat diubah oleh pihak luar, termasuk peracunan ARP yang dilakukan oleh komputer penyerang. Karena bersifat statis, entri manual pada ARP cache komputer klien untuk suatu destination tertentu misalnya gateway, tidak dapat di-update oleh pesan ARP reply ‘teracuni’ yang dikirimkan oleh komputer penyerang.
Namun walaupun demikian, penerapan solusi ini mempunyai beberapa kelemahan antara lain sebagai berikut. a. ARP table bersifat sementara. Sehingga apabila komputer klien melakukan rebooting, maka entry pada ARP table yang sudah dimasukkan sebelumnya akan terhapus. Masalah ini dapat di atasi dengan membuat batch script (Windows XP) untuk melakukan entri statik ARP table yang kemudian dijalankan setiap kali komputer klien booting. @echo off arp –d arp –s 167.205.35.181 00-16-D3-46-7D-AD
Script di atas kemudian disimpan pada direktori user’s startup. b. Setiap jaringan memiliki gateway yang berbeda. Akan merepotkan apabila klien sering berpindah-pindah dari satu jaringan ke jaringan lainnya. Penerapan solusi ini mengharuskan klien untuk melakukan entri ARP table secara manual untuk setiap gateway pada jaringan-jaringan tempat klien terkoneksi. Selain itu, klien juga harus mengetahui baik itu alamat IP maupun alamat MAC gateway. c. Solusi ini hanya melindungi jalur komunikasi satu arah. Maksudnya hanya paket data yang dikirimkan oleh komputer klien yang telah melakukan pengesetan statis ARP table untuk destination-nya yang terjamin tidak akan dibelokkan ke komputer penyerang. Sedangkan paket data yang
IV-21
dikirimkan dari arah sebaliknya yaitu destination host ke klien tetap rentan untuk dibelokkan apabila destination host tidak melakukan entri statis ARP table-nya juga sehingga dapat diracuni oleh penyerang. d. Tetap rentan terhadap aktifitas sniffing. Walaupun dapat mencegah serangan Man in The Middle dengan penerapan teknik ARP Poisoning, namun solusi ini tidak menjamin keamanan dan kerahasiaan informasi yang terkandung pada paket data milik klien dari aktifitas sniffing. Hal ini dikarenakan pada promiscuous mode, setiap komputer mampu melakukan capturing paket data yang dilewatkan pada jaringan ethernet.
4.6.2 Stunnel Penerapan solusi ini mampu menjaga komputer klien dari serangan MiTM pada tahap (2) yaitu aktifitas packet sniffing sekaligus mampu menjamin kerahasiaan informasi penting yang terkandung dalam paket data klien baik pada kondisi dimana tahap (1) dari serangan MiTM yaitu ARP spoofing berhasil dilakukan ataupun tidak. Hal ini dikarenakan Stunnel membangkitkan koneksi SSL end to end terhadap koneksi yang tidak terenkripsi. Sehingga protokol-protokol tidak terenkripsi, misalnya POP3, IMAP, Telnet, termasuk juga HTTP yang digunakan untuk otentikasi proxy dapat terlindungi dari aktifitas sniffing.
Namun walaupun demikian terdapat beberapa catatan dalam pengimplementasian solusi ini, antara lain sebagai berikut. a. Koneksi SSL bersifat end to end. Hal ini mengharuskan Stunnel dipasang dan dilakukan konfigurasi di dua titik, yaitu server-side dan client-side. Agar koneksi SSL dapat dibangkitkan, Stunnel-server dan Stunnel-client menegosiasikannya menggunakan sertifikat SSL yang sama. b. Stunnel bersifat stand-alone. Penerapan Stunnel pada proxy authentication tidak akan mengubah kode program maupun konfigurasi squid pada proxy server. Hal ini juga berlaku pada penerapan untuk melindungi protokolprotokol lainnya.
IV-22
c. Stunnel yang sudah terkompilasi dapat menangani sampai 500 koneksi aktif [STU09]. Dengan jumlah pengguna proxy di jaringan kampus ITB yang sudah ribuan, penerapan Stunnel kelihatannya bukanlah solusi yang tepat. Namun karena dikembangkan sebagai aplikasi Open Source, solusi ini juga menyediakan source code program yang dapat dikompilasi ulang sehingga dengan mengubah beberapa parameter pada source code, jumlah koneksi dapat ditingkatkan. Selain itu, daripada memasangkan stunnel dari server squid proxy ke klien – yang tentunya mengurangi performansi jaringan dan membebani server – lebih baik memasangkannya dari komputer gateway tiap jaringan ke masing-masing pengguna jaringan tersebut.
Gambar IV-7 Stunnel pada Gateway – Clients
d. Performansi berbanding terbalik dengan jumlah koneksi aktif. Semakin banyak requests klien yang dilayani Stunnel-server maka semakin meningkat delay time-nya. Namun, keadaan ini dapat ditangani dengan melakukan kostumisasi konfigurasi Stunnel di sisi server. Karena Stunnel dapat menjalankan banyak services pada satu instansiasi [MIR09], maka Stunnel dapat melakukan binding banyak port. Sehingga sekumpulan koneksi klien dapat dibagi-bagi berdasarkan incoming port-nya.
IV-23
Berikut ringkasan perbandingan untuk kedua solusi pencegahan serangan MiTM terhadap otentikasi web proxy yang telah diujikan. Tabel IV-3 Perbandingan Static ARP - Stunnel
No 1
Pembanding Pencegahan MiTM: - ARP Poisoning - Packet Sniffing
2
Implementasi
3
Membebani server
4
Performansi jaringan
5
Menjamin kerahasiaan info otentikasi web proxy
Static ARP table entry
Stunnel
Ya Tidak
Tidak Ya
Sederhana; command prompt/shell pada client
Rumit; instalasi & konfigurasi server & client
Tidak
Ya
Tidak berpengaruh
Berpengaruh
Tidak
Ya