PENGEMBANGAN PERANGKAT WIRELESS IDS (INTRUSION DETECTION SYSTEM) BERBASIS EMBEDDED SYSTEM (STUDI KASUS : BADAN NARKOTIKA NASIONAL)
Oleh : ARIANDO SATRIA 105091002789
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2011
PENGEMBANGAN PERANGKAT WIRELESS IDS (INTRUSION DETECTION SYSTEM) BERBASIS EMBEDDED SYSTEM (STUDI KASUS : BADAN NARKOTIKA NASIONAL)
Skripsi Sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer Pada Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh :
ARIANDO SATRIA 105091002789
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2011
i
LEMBAR PERSEMBAHAN
Skripsi ini penulis persembahkan kepada beberapa pihak yang telah memberi dukungan baik berupa dukungan moril maupun materil, diantaranya: 1. Terima kaih kepada Kedua Orang Tua atas segala yang telah diberikan dan doa yang telah diberikan 2. Ketiga adikku yang telah memberikan dukungan. 3. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 4. Seluruh teman-teman penulis Hadi Syafrudin, Faruki, Rino, Billy, Nanang, Hadi Rahman, Zein, dan teman teman TIA lainnya yang telah memberikan banyak bantuan sehingga penulis dapat menyelesaikan laporan Skripsi ini. 5. Seluruh karyawan dan karyawati Lembaga Institusi BNN (Badan Narkotika Nasional). 6. Dan pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu.
Semoga Allah membalas semua kebaikan dan ketulusan hati kalian. Amin.
Jakarta, Juni 2011
vii
PERNYATAAN DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENARBENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN. Jakarta,
Juni 2011
Ariando Satria
iii
ABSTRAK Ariando Satria – 105091002789. Pengembangan Perangkat Wireless IDS (Intrusion Detection System) berbasis Embedded System. (Dibawah bimbingan M. Iwan Wahyudin dan Wahyudi). Sejak awal pengembangan, jaringan nirkabel atau WLAN memang kurang mendapat perhatian secara serius dari sisi pengamanannya. Hal ini dikarenakan fokus pengembangan pada saat itu adalah pada aspek mobilitas yang diberikan oleh teknologi tersebut. Pengembangan teknologi keamanan untuk jaringan nirkabel seperti WPA2 atau yang dikenal juga dengan standarisasi IEEE 802.11i, baik yang ditujukan untuk pengguna rumahan (PSK) maupun pengguna enterprise (IEEE 802.1X) baru mulai diperkenalkan pada tahun 2004. Namun, pada kenyataannya solusi tersebut belum dapat melindungi seluruh celah keamanan yang terdapat pada teknologi ini. Perangkat Wireless IDS dirancang untuk menutupi celah-celah yang tidak dapat ditangani oleh protokol WPA2 dan memantau seluruh aktivitas pada jaringan nirkabel. Dengan mekanisme seperti ini, perangkat Wireless IDS dapat mendeteksi adanya upaya-upaya serangan dan penyusupan yang dilakukan serta memberikan alert atau pesan peringatan kepada sysadmin sedini mungkin guna menghindari tingkat kerusakan yang lebih besar.
Kata kunci : Wireless IDS, Kismet, management frame, embedded system, OpenWrt
iv
KATA PENGANTAR
Segala puji serta syukur kehadirat Allah SWT, atas segala limpahkan rahmat dan hidayah – Nya, hingga penulis dapat menyelesaikan skripsi ini. Penulisan skripsi ini merupakan salah satu syarat dalam menyelesaikan Program Studi Sarjana (S-1) Teknik Informatika Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta. Penulis menyadari bahwa Skripsi ini tidak dapat terlaksana dengan baik apabila tanpa bantuan dari berbagai pihak. Oleh karena itu, perkenankan penulis mengucapkan banyak terima kasih dan rasa syukur terutama kepada : 1. Bapak Dr. Syopiansyah Jaya Putra, M.Sis selaku Dekan Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 2. Bapak Yusuf Durachman, M.Sc, MIT. selaku Ketua Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 3. Ibu Viva Arifin, MMSI, selaku Sekretaris Program Studi Teknik Informatika UIN Syarif Hidayatullah Jakarta. 4. Bapak M. Iwan Wahyudin, M.T, selaku pembimbing pertama skripsi ini, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini. 5. Bapak Wahyudi, MT, selaku pembimbing kedua, yang membantu memberikan bimbingan, arahan kepada penulis sehingga penulis dapat menyelesaikan skripsi ini.
v
6. Seluruh Dosen dan Staf Jurusan Teknik Informatika Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. 7. Seluruh karyawan dan karyawati Lembaga Institusi BNN (Badan Narkotika Nasional). 8. Semua pihak yang telah memberikan bantuan dan tidak dapat disebutkan satu persatu. Akhirnya dengan segala keterbatasan dan kekurangan yang ada dalam penulisan skripsi ini, penulis mengucapkan terimakasih yang sebesar-besarnya, semoga skripsi ini dapat bermanfaat bagi semua pihak
Jakarta, Juni 2011
Ariando Satria
vi
DAFTAR ISI
Halaman HALAMAN JUDUL ……………….…………………………………….
i
LEMBAR PENGESAHAN ……………………………………………….
ii
LEMBAR PERNYATAAN ………………………………………………
iii
ABSTRAK ………………………………………………………………..
iv
KATA PENGANTAR …………………………………………………..
v
LEMBAR PERSEMBAHAN ……………………………………………
vii
DAFTAR ISI ……………………………………………………………..
viii
DAFTAR GAMBAR …………………………………………………….
xii
DAFTAR TABEL …………………………………………………………
xv
DAFTAR LAMPIRAN …………………………………………………..
xvi
BAB I. PENDAHULUAN………………………………………………….
1
1.1 Latar Belakang…………………………………………………..
1
1.2 Perumusan Masalah………………………………………………. 3 1.3 Batasan Masalah………………………………………………….. 3 1.4 Tujuan Masalah…………………………………………………… 4 1.5 Manfaat Penelitian………………………………………………… 4 1.6 Metodologi Penelitian…………………………………………….
5
1.6.1 Metode Pengumpulan Data…………………………………. 5 1.6.2 Metode Pengembangan Sistem ……………………………….5 viii
1.7 Sistematika Penulisan……………………………………………… BAB II. LANDASAN TEORI……………………………………………….. 2.1 Wireless Lan………………………………………………………..
6 8 8
2.1.1 Mode Pada Wireless LAN………………………………….
8
2.1.2 Komponen Wireless…………………………………………
10
2.1.3 Badan Standarisasi…………………………………………… 13 2.1.4 Standar Wireless LAN……………………………………….. 14 2.1.5 Teknik Enkripsi Wireless LAN……………………………..
17
2.2 Keamanan Jaringan………………………………………………… 19 2.3 Format Informasi Data Link………………………………………… 20 2.3.1 Frame………………………………………………………….. 21 2.3.2 Manajemen Frame………………………………………….
23
2.3.3 Manajemen Kontrol Paket…………………………………..
26
2.4 Fungsi Layer Mac 802.11………………………………………….
27
2.4.1 Scaning………………………………………………………
27
2.4.2 Otentikasi……………………………………………………
28
2.4.3 Asosiasi………………………………………………………. 31 2.4.4 Fragmentation……………………………………………….. 32 2.5 Pengalamatan Pada MAC………………………………………….. 32 2.6 Intrusion Detection System (IDS)………………………………….. 34 2.6.1 Arsitektur Dari Sebuah IDS ……………………………………39 2.7 OpenWRT………………………………………………………….
43
2.7.1 Directory Structure………………………………………….
46
ix
2.7.2 Software Architecture………………………………………
46
2.8 Kismet……………………………………………………………..
47
2.9 Embedded Device………………………………………………….
48
BAB III. METODE PENELITIAN………………………………………………..53 3.1 Metode Pengumpulan data………………………………………..
53
3.1.1 Studi Lapangan……………………………………………… 53 3.1.2 Studi Pustaka/Literatur……………………………………….. 54 3.2 Metode Pengembangan Sistem…………………………………..
55
3.2.1 Tahapan Analisis……………………………………………
56
3.2.2 Tahapan Desain…………………………………………….
56
3.2.3 Tahapan Simulasi Prototype………………………………….. 57 3.2.4 Tahapan Implementasi……………………………………….. 57 3.2.5 Tahapan Monitoring………………………………………….. 57 3.2.6 Tahapan Management……………………………………….
57
3.2.7 Mekanisme Kerja Penelitian………………………………… 58 BAB IV. HASIL DAN PEMBAHASAN……………………………………… 60 4.1 Profil Perusahaan………………………………………………….
60
4.1.1 Sekilas Tentang Badan Narkotika Nasional…………………. 60 4.1.2 Visi dan Misi………………………………………………..
63
4.1.3 Tujuan Pokok dan Fungsi…………………………………… 65 4.1.3.1 Tujuan Pokok BNN…………………………………….. 65 4.1.3.2 Fungsi BNN……………………………………………. 66 4.1.4 Struktur Organisasi PUSLITDATIN………………………… 67 x
4.2 Analisis………………………………………………………………..
68
4.2.1 Teknik Network Discovery……………………………………..
70
4.2.2 Analisis Karakterisktik atau Fingerprint………………………..
73
4.2.3 Analisis Komponen Komponen………………………………….
78
4.3 Desain………………………………………………………………….
81
4.3.1 Perancangan Hardware…………………………………………
81
4.3.2 Perancangan Topologi…………………………………………..
84
4.3.3 Perancangan Sistem……………………………………………..
87
4.4 Simulasi prototype…………………………………………………….
89
4.5 Implementation………………………………………………………..
90
4.5.1 Firmware Upgrade………………………………………………
90
4.5.2 Instalasi Kismet Drone………………………………………….
91
4.5.3 Installasi Kismet Server…………………………………………
94
4.5.4 Installasi Multilog………………………………………………
94
4.6 Monitoring……………………………………………………………
99
4.6.1 Instalasi Aplikasi Swatch………………………………………
99
4.6.2 Pengujian………………………………………………………
101
4.7 Management………………………………………………………….
108
BAB V. KESIMPULAN DAN SARAN…………………………………………
109
5.1 Kesimpulan…………………………………………………………..
109
5.2 Saran…………………………………………………………………..
109
DAFTAR PUSTAKA…………………………………………………………….
111
LAMPIRAN LAMPIRAN……………………………………………………….
112
xi
DAFTAR GAMBAR
Halaman Gambar 2.1 Mode Jaringan Ad-Hoc …………………………………..
9
Gambar 2.2 Model Jaringan Infrastruktur ..............................................
10
Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan ..........
11
Gambar 2.4 Multiple Access Point dan Roaming ………………… …..
1111
Gambar 2.5 Penggunaan Extension Point …………… ……………….
12
Gambar 2.6 Sturktur Frame Data Link …………………………...........
20
Gambar 2.7 Frame yang Melintasi Jaringan ……………………………
21
Gambar 2.8 Data Link Layer Frame ……………………………...........
22
Gambar 2.9 Four Way Handshak ………………………………….......
26
Gambar 2.10 Proses Otentikasi Sistem Terbuka ………………………
30
Gambar 2.11 Alamat MAC dan Data Link ………………………….....
32
Gambar 2.12 IDS dengan Multi-Tiered Architecture ……………….....
42
Gambar 2.13 Arsitektur Software OpenWRT ……………………….....
47
Gambar 2.14 NIC dalam mode normal dan promiscuous ......................
48
Gambar 2.15 Sejarah perkembangan microprocessor ………………….
49
Gambar 2.16 Block diagram hardware dari sebuah embedded system ...
51
Gambar 2.17 Perbandingan embedded dan desktop computer …………
52
Gambar 3.1 Siklus Network Development Life Cycle …………............
56
Gambar 3.2. Mekanisme Kerja Penelitian .............................................. 57 59 Gambar 4.1 Struktur Organisasi Puslitbang Info BNN ………………..
xii
67
Gambar 4.2 WRT54G internal hardware architecture ……………………
82
Gambar 4.3 Topologi infrastruktur jaringan yang digunakan ……………
84
Gambar 4.4 Topologi jaringan yang telah menggunakan WIDS …………
85
Gambar 4.5 Flowchart komunikasi antar komponen pada WIDS ………..
87
Gambar 4.6 Proses upgrade firmware melalui web management ………
90
Gambar 4.7 Tampilan Welcome Screen Sistem Operasi OpenWrt ………
92
Gambar 4.8 Proses pengujian konektivitas ke Internet …………………..
92
Gambar 4.9 Proses update informasi package management ……………
92
Gambar 4.10 Proses instalasi aplikasi kismet_drone …………………….
93
Gambar 4.11 Konfigurasi aplikasi Kismet Drone ……………………….
93
Gambar 4.12 Proses Instalasi multilog ………………………………….
94
Gambar 4.13. Konfigurasi aplikasi Kismet Server ………………………
95
Gambar 4.14 Menjalankan aplikasi Kismet Drone ………………………
97
Gambar 4.15 Perintah mengaktifkan kismet …………………………….
98
Gambar 4.16 Komunikasi antara kismet_drone dan kismet_server……….
98
Gambar 4.17 Konfigurasi Swatch yang berisi pola-pola serangan………
100
Gambar 4.18. Menjalankan aplikasi Swatch untuk proses pemantauan….
100
Gambar 4.19 Proses pengiriman paket deauthentication ……………….
102
Gambar 4.20 Pesan RTO yang menandakan terputusnya koneksi …….
103
Gambar 4.21 Pengiriman paket broadcast deauthentication …………….
104
Gambar 4.22 Aplikasi WIDS mendeteksi adanya serangan DoS ………..
105
Gambar 4.23 Laporan pesan peringatan akan adanya serangan DoS …….
107
Gambar 4.24 Laporan pesan peringatan akan adanya Rogue AP ………….
107
xiii
Gambar 4.25 Pesan peringatan yang berasal dari aplikasi WIDS …………
xiv
108
DAFTAR LAMPIRAN
Halaman
Lampiran A. Spesifikasi Perangkat Linksys WRT54GL…………………..
112
Lampiran B. Kismet Drone.conf…………………………………………..
114
Lampiran C. Kismet.conf………………………………………………….
115
Lampiran D. swatchrc…………………………………………………….
122
Lampiran E. Kismet Drone Start-Up Configuration………………………
124
Lampiran F. Wawancara………………………………………………….
125
xvi
DAFTAR TABEL
Halaman Tabel 2.1 Perbandingan Standar Wireless LAN ………………………
16
Tabel 2.2 Perbedaan NIDS dan HIDS ……………………………….
34
Tabel 3.1 Studi Literatur………………………………………………
54
Tabel 4.1 Informasi Payload String pada aplikasi NetStumbler………
74
Tabel 4.2 Spesifikasi sistem yang akan dibangun ……………………
78
Tabel 4.3 Spesifikasi Perangkat Lunak (Software) yang digunakan …
79
Tabel 4.4 Spesifikasi Perangkat Keras (Hardware) yang digunakan …..
80
Tabel 4.5 Pengalokasian Alamat IP untuk masing-masing perangkat …
86
Tabel 4.6 Keterangan simbol diagram alur ..........................................
88
xv
ARIANDO SATRIA Alamat : Jl. Psanggrahan, No. 56, Rt.04/04,Kel. Cempaka Putih, Ciputat – Tangsel.
Telp : 021 98909813 Hp : 081374111143 Email :
[email protected] Data diri Tempat / Tanggal Lahir Agama Tinggi/Berat Badan Jenis Kelamin Status Identitas Keluarga Nama Orang Tua a. Ayah b. Ibu Pekerjaan Orang Tua a. Ayah b. Ibu Pendidikan 2005 - 2011
: Bukittinggi, 21 Agustus 1987 : Islam : 175 cm/70 kg : Laki-laki : belum menikah
: Hanizar : Sofia Nelli : PNS : PNS UIN Syarif Hidayatullah Jakarta Fakultas Sains dan Teknologi Jurusan Teknik Informatika
2002 - 2005
SMA PMT Prof. DR. HAMKA (Kelas III bidang studi IPA)
1999 - 2002
SLTP PMT Prof. DR. HAMKA
1993 - 1999
SD YKPP Lirik
Pendidikan Non Formal 2006 – 2007 Cisco Networking Academy
Pengesahan / Legalisasi Saya (Ariando Satria) menyatakan dengan sebenarnya bahwa informasi yang tertuang dalam CV ini benar,akurat dan secara umum mendeskripsikan identitas,aktifitas dan pengalaman saya selama ini. Jika informasi dalam data ini ditemukan terdapat kesalahan, maka saya siap menerima konsekwensinya dan bertanggung jawab atas semua informasi yang saya tulis.
BAB I PENDAHULUAN
1.1
Latar Belakang Penerapan jaringan nirkabel saat ini memberikan dampak perubahan yang
cukup signifikan yang memungkinkan orang-orang bisa memperluas ruang kerja mereka karena tidak terikat pada penggunaan kabel. Penerapan jaringan nirkabel tersebut walapun baik, namun bukan berarti tidak memunculkan masalah baru. Masalah utama adalah keamanan jaringan. Keamanan jaringan sebagai sebuah bagian dari sistem sangat penting untuk menjaga validitas dan integritas data, serta menjamin ketersediaan layanan bagi pemakainya. Keamanan merupakan faktor penting pada jaringan nirkabel, di karenakan jaringan nirkabel menggunakan udara dan gelombang radio sebagai media transmisinya sehingga attacker tidak memerlukan akses fisik untuk melancarakan serangannya.Oleh karena itu diperlukan suatu sistem yang dapat mendeteksi upaya-upaya serangan tersebut, sehingga kerusakan sistem yang besar dapat dihindari secara dini. Badan Narkotika Nasional adalah sebuah lembaga nonstruktural yang bertugas untuk mengkoordinasikan instansi pemerintah terkait dalam penyusunan kebijakan dan pelaksanaannya di bidang ketersediaan, pencegahan, dan pemberantasan penyalahgunaan dan peredaran gelap narkotika, psikotropika dan zat adiktif lainnya. Pada instansi BNN jaringan nirkabel telah di tetapkan dan diimplementasikan pada hampir seluruh departemen, teknologi ini sudah menjadi salah satu komponen penting untuk aktifitas pegawai sehari-hari oleh karena itu 1
2
masalah keamanan menjadi sangat penting, karena tanpa dukungan keamanan yang tinggi dapat menimbulkan kegagalan sistem, yang berakibat pada terganggunya kegiatan pada institusi tersebut, selain itu kelemahan pada teknologi wireless bisa menjadi celah untuk infrastruktur kabel, jaringan wireless seringkali di manfaatkan oleh attacker sebagai jalur masuk untuk menyusup ke infrastruktur jaringan utama suatu institusi. Salah satu solusi yang dapat diterapkan dalam meningkatkan keamanan yaitu dengan menggunakan IDS (Intrusion Detection System). IDS adalah suatu sistem yang secara otomatis memonitor kejadian pada jaringan komputer dan dapat menganalisis masalah keamanan jaringan. IDS mampu mendeteksi penyusup dan memberikan respon secara real time. Pada dasarnya IDS terbagi menjadi dua jenis yaitu rule based system yang mendeteksi serangan berdasarkan rule yang sudah didefinisikan dan adaptif system yang mampu mengenali serangan baru. Dengan adanya WIDS (Wireless Intrusion Detection System) diharapkan dapat membantu administrator dalam melindungi jaringannya. Dengan latar belakang diatas, maka penulis memberikan judul dalam skripsi ini dengan judul: PENGEMBANGAN PERANGKAT WIRELES IDS (INTRUSION DETECTION SYSTEM) BERBASIS EMBEDED SYSTEM. Studi Kasus: Badan Narkotika Nasional (BNN)
3
1.2
Perumusan Masalah Berdasarkan latar belakang tersebut di atas, maka penulis menyimpulkan
permasalahan yang akan dikaji lebih lanjut yaitu: 1. Bagaimana membangun dan mengimplementasikan IDS yang berbasis embedded system ke dalam infrastruktur jaringan wireless yang dapat mendeteksi adanya upaya-upaya serangan atau penyusupan sedini mungkin. 2. Bagaimana membangun dan mengimplementasikan IDS agar dapat memberikan alert atau pesan peringatan yang berisi informasi serangan secara detail kepada administrator ketika terjadi penyerangan terhadap infrastruktur jaringan nirkabel.
1.3
Batasan Masalah Sesuai dengan inti dari penulisan skripsi maka penulis akan membatasi
ruang lingkup agar penelitian lebih terarah. Dengan demikian permasalahan penelitian ini dibatasi pada: 1. Menganalisis masalah atau kelemahan yang terjadi pada jaringan nirkabel yang akan digunakan sebagai tempat implementasi. 2. Menganalisis dan menentukan sistem IDS yang akan digunakan a. Menentukan jenis IDS yang digunakan b. Menentukan rule yang diterapkan c. Menentukan requirement untuk menerapkan sistem IDS 3. Mengimplementasikan sistem IDS pada jaringan nirkabel.
4
4. Menganalisa paket-paket IEEE 802.11. 5. Sistem ini tidak membahas keamanan enkripsi data pada jaringan wireless dan autentikasi user.
1.4
Tujuan Penelitian Adapun tujuan yang ingin dicapai dari penulisan ini yaitu Agar
administrator dapat mengetahui secara dini usaha usaha yang mencoba mengaskes sistem secara ilegal, seperti aktivitas scanning, paket flood dan serangan DoS, sehingga administrator dapat mengambil tindakan lebih lanjut untuk menghentikan serangan ini.
1.5
Manfaat Penelitian Manfaat yang diharapkan dari penelitian ini adalah : 1. Dapat digunakan untuk mendeteksi dan memberikan peringatan saat terjadi aktifitas yang tidak normal atau berbahaya pada jaringan nirkabel. 2. Dapat digunakan untuk membantu administrator dalam memonitor dan mendapatkan informasi yang menggambarkan keadaan jaringannya. 3. Dapat digunakan untuk membantu administrator dalam merespon dengan cepat terhadap ancaman yang terjadi pada jaringan.
5
1.6
Metodologi Penelitian Metode yang digunakan penulis dalam penulisan penelitian ini dibagi
menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. Untuk metode pengembangan sistem, penulis menggunakan NDLC (Network Development Life Cycle). 1.6.1 Metode Pengumpulan Data Merupakan metode yang digunakan penulis dalam melakukan analisis data dan menjadikannya informasi yang akan digunakan untuk mengetahui permasalahan yang dihadapi. 1.
Studi Lapangan Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi.
2.
Studi Pustaka atau Literatur Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan.
1.6.2 Metode Pengembangan Sistem Metode pengembangan sistem yang digunakan dalam penelitian ini adalah metode pengembangan sistem NDLC (Network Development Life Cycle). Siklus ini terdiri dari beberapa tahapan, yaitu: 1. Analysis 2. Design 3. Simulation Prototyping
6
4. Implementation 5. Monitoring 6. Management
1.7
Sistematika Penulisan Dalam penulisan skripsi ini, penulis membaginya dalam lima bab
pembahasan. Rincian pembahasan setiap bab yaitu sebagai berikut:
BAB I
PENDAHULUAN Menjelaskan latar belakang penelitian, ruang lingkup penelitian, tujuan dan manfaat penelitian, metodologi yang digunakan dan sistematika penulisan laporan.
BAB II
LANDASAN TEORI Pada bab ini berisi tentang teori-teori dengan
pokok
bahasan
penulis
yang berkaitan serta
teori-teori
pendukungnya dari hasil studi literatur yang akan menjadi landasan dalam proses penelitian. BAB III
METODE PENELITIAN Menjelaskan proses analisis dan perancangan sistem. Pertama tama dilakukan analisis mengenai jaringan, permasalahan, dan kemudian kemungkinan solusi yang dapat digunakan. Kemudian berdasarkan hasil analisis tersebut dimulai proses perancangan yang terdiri dari
7
proses
perancangan
perancangan perangkat
aplikasi,
perancangan
sistem,
lunak
dan perangkat
keras,
perancangan topologi jaringan, pemantauan dan pengujian sistem. BAB IV
ANALISIS DAN IMPLEMENTASI Berisi implementasi sistem IDS pada jaringan yang dimulai dari proses requirement hardware dan software, dan kemudian penjelasan dan penggambaran mengenai cara kerja sistem. Kemudian dijelaskan hasil evaluasi dari implementasi sistem IDS terhadap jaringan.
BAB V
KESIMPULAN DAN SARAN Pada bab ini, merupakan penutup yang berisi kesimpulan dari hasil kegiatan penelitian dan pembuatan skripsi ini, serta saran untuk pengembangan lebih lanjut.
BAB II LANDASAN TEORI
2.1
Wireless LAN Wireless (jaringan nirkabel) menggunakan gelombang radio (RF) atau
gelombang mikro untuk membentuk kanal komunikasi antar komputer. Jaringan nirkabel adalah alternatif yang lebih modern terhadap jaringan kabel yang bergantung pada kabel tembaga dan serat optik antar jaringan. LAN atau Local Area Network Merupakan jaringan komputer yang meliputi suatu area geografis yang relatif kecil (dalam satu lantai atau gedung). LAN dicirikan dengan kecepatan data yang relatif tinggi dan kecepatan error yang relatif rendah. (Kamus Lengkap Jaringan Komputer, 2004). Jaringan nirkabel memungkinkan orang untuk melakukan komunikasi, mengakses aplikasi dan informasi tanpa kabel. Hal tersebut memberikan kemudahan dan kebebasan untuk bergerak dan kemampuan memperluas aplikasi ke berbagai bagian gedung, kota, atau hampir ke semua tempat di dunia. 2.1.1 Mode pada Wireless LAN WLAN sebenarnya memiliki kesamaan dengan jaringan LAN, akan tetapi setiap node pada WLAN menggunakan wireless device untuk berhubungan dengan jaringan. Node pada WLAN menggunakan channel frekuensi yang sama dan SSID yang menunjukkan identitas dari wireless device. Tidak seperti jaringan kabel, jaringan wireless memiliki dua mode yang dapat digunakan, yaitu:
8
9
a. Model Ad-Hoc Model ad-hoc merupakan mode jaringan nirkabel yang sangat sederhana, karena pada mode ini tidak memerlukan access point untuk host dapat saling berkomunikasi. Setiap host cukup memiliki transmitter dan reciever wireless untuk berkomunikasi secara langsung satu sama lain seperti tampak pada gambar 2.1. Kekurangan dari mode ini adalah komputer tidak bisa berkomunikasi dengan komputer pada jaringan yang menggunakan kabel. Selain itu, daerah jangkauan pada mode ini terbatas pada jarak antara kedua komputer tersebut.
Gambar 2.1 Mode Jaringan Ad-Hoc Sumber: http://oc.its.ac.id/ambilfile.php?idp=153 b. Model Infrastruktur Jika komputer pada jaringan wireless ingin mengakses jaringan kabel atau berbagi printer misalnya, maka jaringan wireless tersebut harus menggunakan mode infrastruktur gambar 2.2. Pada mode infrastruktur access point berfungsi untuk melayani komunikasi utama pada jaringan wireless. Access point mentransmisikan data pada PC dengan
10
jangkauan tertentu pada suatu daerah. Penambahan dan pengaturan letak access point dapat memperluas jangkauan dari WLAN.
Gambar 2.2 Model Jaringan Infrastruktur Sumber : http://oc.its.ac.id/ambilfile.php?idp=153 2.1.2 Komponen Wireless LAN Dalam membangun sebuah jaringan WLAN, maka diperlukan beberapa perangkat keras agar komunikasi antara station dapat dilakukan. Secara umum, komponen wireless LAN terdiri atas perangkat berikut : 1. Access Point (AP) Pada wireless LAN, device transceiver disebut sebagai access point (AP), dan terhubung dengan jaringan (LAN) melalui kabel. Fungsi dari AP adalah mengirim dan menerima data, serta berfungsi sebagai buffer data antara wireless LAN dengan wired LAN. Satu AP dapat melayani sejumlah user (beberapa literatur menyatakan bahwa satu AP maksimal meng-handle sampai 30 user). Karena dengan semakin banyak nya user terhubung ke AP maka kecepatan yang diperoleh tiap user juga akan semakin berkurang.
11
Gambar 2.3 Diagram Access Point yang Terhubung ke Jaringan. Sumber: http://www.hp.com/sbso/wireless/setup_wireless_network.html Bila AP dipasang lebih dari satu dan coverage tiap AP saling overlap, maka user/client dapat melakukan roaming. Roaming adalah kemampuan client, untuk berpindah tanpa kehilangan koneksi dan tetap terhubung dengan jaringan.
Gambar 2.4 Multiple Access Point dan Roaming Sumber: http://ilmukomputer.org/2008/11/26/konsep-dasar-wlan/ 2. Extension Point Hanya berfungsi layaknya repeater untuk client ditempat yang jauh. Syarat dari AP yang digunakan sebagai extension point ini adalah terkait dengan channel frekuensi yang digunakan. Antara AP induk (yang
12
terhubung langsung dengan backbone) dan AP repeater-nya harus memiliki frekuensi yang sama.
Gambar 2.5 Penggunaan Extension Point Sumber: http://library.thinkquest.org/04oct/01721/wireless/faq.htm 3. Antena Digunakan untuk memperkuat daya pancar. Terdapat beberapa tipe antena yang dapat mendukung dalam implementasi wireless LAN. Ada yang tipe omni, sectorized serta directional. 4. Wireless LAN Card WLAN card dapat berupa PCMCIA, USB card atau Ethernet card dan sekarang banyak dijumpai sudah embedded di terminal (notebook maupun HP). Biasanya PCMCIA digunakan untuk notebook sedangkan yang lain nya digunakan untuk komputer desktop. WLAN card berfungsi sebagai interface antara sistem operasi jaringan client dengan format interface udara ke AP. (Gunadi, 2009)
13
2.1.3 Badan Standarisasi a. Federal Communication Commission (FCC) Federal Communiation Commission (FCC) adalah sebuah perwakilan independen dari pemerintah Amerika Serikat,
didirikan oleh
Communication Act pada tahun 1943. FCC berhubungan dengan peraturan peraturan dibidang komunikasi yang menggunakan radio, televisi, wire, satelit, dan kabel baik di wilayah Amerika sendiri maupun untuk international. FCC membuat peraturan yang didalamnya berisi perangkat perangkat wireless LAN mana yang dapat beroperasi. FCC menentukan pada spectrum frequency radio yang mana wireless LAN dapat berjalan dan seberapa besar power yang dibutuhkan, teknologi transmisi mana yang digunakan, serta bagaimana dan dimana berbagai jenis hardware wireless LAN dapat digunakan. b. Internet Engineering Task Force (IETF) IETF adalah komunitas terbuka, yang anggota anggota nya terdiri atas para peneliti, vendor, dan perancangan jaringan. Tujuan IETF adalah mengkoordinasikan pegoperasian, pengelolaan, dan evolusi internet, dan memecahkan persoalan arsitektural dan protokol tingkat menengah. IETF mengadakan pertemuan tiga kali setahun dan laporan hasil pertemuan pertemuan itu secara lengkap termasuk kedalam IETF proceedings.
14
c. Institute of Electrical and Electronics Engineers (IEEE) Institute of Electrical and Electronics Engineers (IEEE) adalah pembuat kunci standar dari hampir semua hal yang berhubungan dengan teknologi dan informasi di Amerika Serikat. IEEE membuat standar dengan peraturan yang telah ditetapkan oleh FCC. IEEE telah menspesifikasikan begitu banyak standar teknologi. Seperti Public Key cryptography (IEEE 1363), Ethernet (IEEE 802.3), dan untuk Wireless LAN dengan standar IEEE 802.11. (Gunadi, 2009) 2.1.4 Standar Wireless LAN Standar yang lazim digunakan untuk WLAN adalah 802.11 yang ditetapkan oleh IEEE pada akhir tahun 1990. standar 802.11 kemudian dibagi menjadi tiga jenis, yaitu : a. IEEE 802.11a Menggunakan teknik
modulasi
Orthogonal
Frequency
Division
Multiplexing (OFDM) dan berjalan pada frekuensi 5 GHz dengan kecepatan transfer data mencapai 54 Mbps. Kelebihan dari standar ini adalah kecepatan transfer data yang lebih tinggi dan lebih kecil potensi terjadinya interferensi dari perangkat nirkabel lainnya karena frekuensi ini jarang digunakan. Kelemahannya antara lain membutuhkan biaya yang lebih besar, jarak jangkuan lebih pendek karena frekuensi tinggi dan juga dapat menyebabkan sinyal mudah diserap oleh benda penghalang seperti tembok.
15
b. IEEE 802.11b Menggunakan teknik modulasi direct sequence spread sprectrum (DSSS) dan berjalan pada pita frekuensi 2,4 Ghz dengan kecepatan transfer 11 Mbps. Kelebihan dari standar ini adalah biaya implementasi yang lebih sedikit dan jarak jangkauan yang lebih baik. Kelemahannya adalah kecepatan transfer yang lebih lambat dan rentan terhadap interferensi karena frekuansi 2,4 GHz juga banyak digunakan oleh perangkat lainnya. c. IEEE 802.11g Menggunakan teknik modulasi OFDM dan DSSS sehingga memiliki karakteristik dari kedua standar 802.11b dan 802.11a. Standar ini bekerja pada frekuensi 2.4 GHz dengan kecepatan transfer data mencapai 54 Mbps tergantung dari jenis modulasi yang digunakan. Kelebihan dari standar ini adalah kecepatan transfer data yang tinggi (menyamai standar 802.11a), jarak jangkauan yang cukup jauh dan lebih tahan terhadap penyerapan oleh material tertentu karena bekerja pada frekuensi 2,4 GHz. Kelemahannya adalah rentan terhadap interferensi dari perangkat nirkabel lainya. (Gunadi, 2009) Secara umum perbandingan diantara standar WLAN yang dimaksud dapat dijabarkan seperti pada table 2.1 berikut:
16
Tabel 2.1 Perbandingan Standar Wireless LAN Sumber: Gunadi, 2009 802.11b
802.11a
802.11g
802.11n
Standard
July
July
June
Not yet
approved
1999
1999
2003
ratified
11 Mbps
54 Mbps
54 Mbps
600 Mbps
DSSS or
DSSS or
CCK or
CCK or
OFDM
OFDM
Maximum data rate
DSSS or OFDM
Modulation CCK
2,4 GHz or RF band
2,4 GHz
5 GHz
2,4 GHz 5 GHz
Number of spatial
1
1
1
20 MHz
20 MHz
20 MHz
1, 2, 3, or 4
streams 20 MHz or
Channel
40 MHz
width Compatible 802.11 b with …
802.11
802.11
b/g
b/g/n
802.11 a
17
2.1.5 Teknik Enkripsi Wireless LAN Dalam jaringan nirkabel dikenal ada beberapa teknik enkripsi yang biasa digunakan, antara lain: 1. Wired Equivalent Privacy (WEP) Teknik enkripsi WEP menggunakan kunci (key) yang disebar antara accsess point dengan kliennya dalam satu jaringan supaya masingmasing dapat melakukan proses enkripsi dan dekripsi, karena kedua proses tersebut hanya mungkin dilakukan jika memiliki key yang sama. key yang digunakan pada WEP standar adalah 64 bit, 40 bit adalah key dan 24 bit sisa nya adalah Initialization Vector (IV) yang dikirimkan berupa teks untuk proses otentikasi. Andaikan key yang digunakan pada enkripsi tidak dikenali oleh klien yang seharusnya melakukan dekripsi, maka frame tersebut akan ditolak. Enkripsi ini kemudian menjadi kurang popular karena dikatahui terdapat kelemahan yaitu memiliki IV yang pendek, sehingga memungkinkan terjadinya pengulangan IV yang digunakan untuk setiap jumlah frame yang dikirimkan, tergantung pada luas jaringan dan jumlah pengguna yang terhubung (tingkat kesibukan jaringan) dan membuat cracker bisa dengan mudah menerka IV dan menembus enkripsi WEP. Namun WEP masih tetap menjadi pilihan untuk keamanan minimal yang biasa digunakan pada jaringan nirkabel rumahan.
18
2. Wi – Fi Protected Access (WPA) WPA dibuat sebagai tindak lanjut atas kelemahan WEP dengan menggunakan algoritma enkripsi baru menggunakan key yang dinamis dan berubah secara periodik. WPA yang telah dikembangkan saat ini adalah WPA yang digunakan pada jaringan nirkabel yang sudah umum dan WPA 2. Teknik enkripsi yang digunakan WPA bisa dibagi menjadi dua jenis, yaitu Temporal Key Integrity Protocol (TKIP) yang dibuat sebagai pengganti WEP dengan menggunakan key sepanjang 128 bit dan berubah untuk setiap frame yang akan dikirimkan serta Advance Encryption Standard (AES) yang menggunakan algoritma yang lebih baik namun membutuhkan sumber daya yang lebih besar dan digunakan pada WPA2. WPA sendiri dapat digolongkan menjadi 2 jenis, yaitu WPA Personal yang
menggunakan
Pre-shared
Key
(PSK)
dan
WPA
Enterprise.Penggunaan PSK ditujukan pada jaringan yang berada di lingkungan rumah atau kantor kecil dimana tidak ada pengguna server ontentikasi kompleks. WPA Enterprise kebanyakan digunakan pada jaringan perusahaan dimana keamanan adalah sesuatu yang penting bagi mereka sehingga menggunakan server otentikasi sendiri seperti Remote Authentication Dial-in User Service (RADIUS). Extensible Authentication Protocol (EAP) digunakan pada jenis WPA ini yang hanya mengizinkan pemakaian sebuah port untuk mengirimkan paket – paket EAP dari klien ke server otentikasi. EAP akan menutup semua
19
lalu lintas data lainnya yang menuju server sampai terbukti bahwa pengguna adalah pemakai yang sah. (Ilman Zuhri Yadi).
2.2
Keamanan Jaringan Salah satu masalah yang menjadi perhatian pada jaringan nirkabel adalah
masalah keamanan. Berikut ada beberapa ancaman yang umum ditemui: a. Penyalahgunaan Protokol Jaringan (Network Protocol Abuses) Jenis serangan ini merupakan serangan yang memanfaatkan protocolprotokol jaringan pada lapisan model OSI, yaitu ARP, TCP, UDP, ICMP dan IP. Serangan ini biasanya terdiri dari spoofing atau flooding yang
bertujuan
untuk
mendapatkan
akses
terhadap
system,
mendapatkan informasi-informasi yang sifatnya rahasia, atau untuk membanjiri dan memberatkan kinerja jaringan. Contoh dari serangan ini adalah ARP Spoofing, ICMP Flooding, MAC Spoofing dan IP Spoofing (Carl Endorf, 2004). b. Scanning Suatu kegiatan yang dilakukan oleh para cracker, hacker, cryptanalyst, dan istilah lainnya untuk mengidentifikasi sistem yang akan menjadi target serangan dan mencari vulnerability hole untuk dimanfaatkan memulai suatu serangan dari kelemahan sistem yang telah didapatkan. Scanning lebih bersifat aktif terhadap sistem-sistem sasaran.
20
c. Man int the middle Attacks Man in the middle attacks adalas kejahatan yang di lakukan oleh seorang attacker yang memotong jalur di tengah antara Akses Poin dan client. Pada tipe serangan ini, penyerang menipu client agar mempercayai bahwa penyerang adalah Akses Poin dan juga menipu Akses Poin agar mempercayai bahwa di adalah client yang sah. d. Denial of Service Sebuah metode serangan dengan melakukan pengiriman paket data dalam jumlah yang sangat besar (flooding) tergadap jaringan yang manjadi target nya sercara terus menerus. Hal ini dapat mematikan bandwith jaringan bahkan dapat menyebabkan crash pada jaringan (Dony Ariyus, 2006).
2.3
Format Informasi Data Link Saat layer data link mendapatkan data yang dikirimkan dari layer fisik,
data link akan melakukan pengontrolan terhadap kesalahan transmisi dan paketpaket data bit ke dalam bentuk frame-frame
Gambar 2.6 Sturktur Frame Data Link Sumber: Edi S. Mulyanta, 2005
21
Layer data link akan mengirimkan frame-frame tersebut dalam bentuk kepingan data panjang tertentu. Panjang frame tergantung pada hardwarenya. Frame adalah paket yang di encode untuk keperluan transmisi data. Paket adalah kepingan-kepingan data yang digunakan untuk melakukan pengiriman data melalui layer yang lebih tinggi. Paket-paket ini melakukan perjalanan panjang melintasi jaringan data link yang berlainan, dimana setiap frame mempunyai ukuran dan format yang berlainan.
Gambar 2.7 Frame yang Melintasi Jaringan Sumber: Edi S. Mulyanta, 2005 Format informasi yang ditransmisikan melalui antar jaringan mempunyai bentuk variasi yang beragam. Beberapa format yang sudah sangat umum adalah frame, paket, datagram, segmen, messege, sel, dan data unit. 2.3.1 Frame. Frame adalah unit informasi di mana sumber dan tujuan merupakan satu kesatuan entitas layer data link. Frame terdiri dari header pada layer data link dan upper layer data. Data dari entitas upper layer akan di enkapsulasikan ke dalam header data link layer dan trailer.
22
Gambar 2.8 Data Link Layer Frame Sumber: Edi S. Mulyanta, 2005 Standar 802.11 mendefenisikan beberapa tipe frame yang digunakan pada setiap komunikasi antar station (baik menggunakan NIC maupun akses poin) maupun digunakan sebagai pengatur dan pengontrol link wireless. Setiap frame mempunyai field pengontrol yang menggambarkan versi protocol 802.11, tipe frame, dan beberapa indikator seperti apakah fungsi power management dan Wired Equivalent Privacy (WEP) aktif atau tidak. Saat di aktifkan, WEP hanya akan memproteksi informasi paket data dan tidak akan memproteksi header dari layer fisik, sehingga station yang lain pada jaringan dapat mendengar dan mengatur data yang dibutuhkan di jaringan. Semua frame mempunyai alamat MAC (Media Access Control) di station maupun akses poin baik sumber maupun tujuan, urutan frame, frame body dan frame check sequence (untuk deteksi kesalahan). Data frame pada standar 802.11 akan membawa protocol dan data dari layer atasnya yang dimasukkan dalam body frame tersebut. Selanjutnya, data frame tersebut dapat membawa kode-kode HTML pada halaman web (dilengkapi dengan header TCP/IP) yang dapat ditampilkan user.
23
2.3.2 Manajemen Frame Manajemen frame pada standar 802.11 menjadikan station dapat mengatur dan menjalankan komunikasi. Beberapa manajemen frame 802.11 yang umum adalah: a. Frame Autentikasi Autentikasi 802.11 merupakan proses dimana akses poin menerima atau menolak sebuah identitas pada NIC wireless. NIC akan memulai proses dengan mengirimkan frame autentikasi yang (secara default), NIC wireless akan mengirimkan frame autentikasi saja dan akses poin akan merespon pula dengan frame autentikasi yang mengindikasikan dua kemungkinan, yaitu diterima atau ditolak. b. Frame Deautentikasi Station akan mengirimkan frame deautentikasi ke station yang lain jika station tersebut mengakhiri komunikasi yang secure. c. Frame Association Request Association 802.11 akan menjadikan akses poin mengalokasikan resource untuk melakukan sinkronisasi dengan NIC wireless. NIC akan
memulai
proses
association
(penggabungan)
dengan
mengirimkan permintaan association dengan akses poin. Frame ini akan membawa informasi tentang NIC dan service set identifier (SSID) jaringan yang akan melakukan associate. Setelah mengirimkan permintaan association, akses poin akan melakukan asosiasi dengan
24
NIC, dan jika diterima akan mencadangkan ruangan memori untuk association ID pada NIC. d. Frame Association Response Akses poin akan mengirimkan frame ini yang berisi pemberitahuan persetujuan atau penolakan terhadap NIC radio yang meminta association. Jika akses poin menyetujui NIC radio, frame tersebut akan menyertakan informasi tentang association, seperti association ID. e. Frame Reassociation Request Jika NIC radio berpindah-pindah atau terjadi roaming dari satu akses poin ke akses poin lain yang mempunyai sinyal pancar yang lebih kuat, NIC radio akan mengirimkan frame ini ke akses poin yang baru. Akses poin yang baru kemudian akan melakukan koordinasi forwading frame data yang masih ada pada buffer akses poin sebelumnya dan menunggu transmisi ke NIC radio. f. Frame Reassociation Response Akses poin akan mengirimkan frame ini, yang berisi pemberitahuan persetujuan atau penolakan radio NIC yang meminta proses reassociation. Seperti pada proses association, frame ini berisi informasi
yang
menyertakan
permintaan
association,
seperti
association ID dan dukungan data rate. g. Frame Disassociation Sebuah station akan mengirimkan frame ini ke station lain jika dibutuhkan untuk menghentikan association. Sebagai contoh, jika
25
sebuah NIC radio melakukan shut down, maka ia akan mengirimkan frame disassociation untuk memberikan peringatan terhadap akses poin bahwa NIC tersebut telah dimatikan. Akses poin akan melepaskan alokasi memori dan menghapus NIC radio di tabel association. h. Frame Beacon Akses poin akan mengirimkan frame ini untuk memberitahukan keberadaannya serta informasi relay. NIC radio ini akan secara continue melakukan scan pada keseluruhan channel radio 802.11 dan mendengarkan beacon (pemancar) sebagai dasar dalam pemilihan akses poin yang terbaik untuk melakukan association. i. Frame probe Request Station akan mengirimkan frame ini untuk mengetahui atau memperoleh informasi dari station yang lain. NIC radio melakukan pemeriksaan dan menentukan akses poin mana yang ada pada jarak range penerimaannya. j. Frame Probe Response Station akan merespons dengan frame ini dengan menyertakan kapabilitas informasi dan dukungan data rate setelah menerima frame probe request.
26
2.3.3 Manajemen dan Kontrol Paket Kontrol paket merupakan transmisi pendek yang secara langsung mengontrol komunikasi. Control paket terdiri dari Request To Sent (CTS), dan acknowledgement ACK yang disebut Four Way Handshakes
Gambar 2.9 Four Way Handshak Sumber: Edi S. Mulyanta, 2005 Manajemen paket digunakan untuk mendukung autentikasi, asosiasi, dan sinkronisasi. Format ini sama pada setiap paket data, akan tetapi pada header MAC terdapat lebih banyak field (Edi S. Mulyanta, 2005). Frame Request to Sent (RTS): Frame ini berfungsi untuk mengurangi tabrakan frame saat hidden station berasosiasi dengan akses poin yang sama. Station akan mengirimkan frame RTS ke station yang lain pada fase pertama dari proses handshake dua arah sebelum melakukan pengiriman frame data. Frame Clear to Send (CTS): Station akan merespon RTS dengan CTS dengan menyediakan persetujuan station utnuk dapat mengirimkan frame data. CTS berisi nilai waktu yang mengakibatkan semua station menghentikan transmisi frame dengan periode yang telah ditentukan untuk meminta sebuah station mengirimkan framenya. Hal ini akan meminimalisir tabrakan di antara hidden station, sehingga akan menghasilkan troughput yang tinggi jika diterapkan dengan benar.
27
Frame Acknowladgement (ACK): Setelah mengirimkan frame data, station penerima akan memanfaatkan proses error checking untuk mendeteksi keberadaan eror. Station penerima akan mengirimkan frame ini jika tidak terjadi eror. Jika station tidak mengirimkan ACK pada periode tertentu, station akan mengirimkan kembali transmisi disertai framenya.
2.4
Fungsi Layer MAC 802.11 Beberapa fungsi umum pada MAC antara lain, yaitu:
2.4.1 Scanning Standar 802.11 mempunyai dua metode scanning, yaitu metode aktif dan pasif. Scanning secara pasif dilakukan oleh setiap NIC secara individual untuk mencari sinyal terbaik di akses poin. Secara periodik, akses poin akan melakukan pemancaran broadcast dan NIC akan menerima pancaran tersebut saat melakukan scanning serta melakukan pencatatan kekuatan sinyal. Pancaran tersebut berisi informasi tentang akses poin yang meliputi Service Set Identifier (SSID), data rate, dan lain-lain. NIC dapat menggunakan informasi ini selama sinyal tersebut kuat. Scanning aktif adalah dimana NIC berinisiatif untuk melakukan broadcast sebuah frame probe, dan semua akses poin yang ada didalam range tersebut akan meresponsnya dengan mengirimkan probe respons. Scanning aktif akan menjadikan NIC selalu menerima dengan segera respon dari akses poin, tanpa menunggu transmisi pancar (Edi S. Mulyanta, 2005).
28
2.4.2 Otentikasi Langkah pertama dalam koneksi ke sebuah LAN nirkebel adalah otentikasi. Otentikasi adalah proses verifikasi identitas sebuah node nirkabel (NIC, USB klien) oleh jaringan (akses poin) yang ingin dikoneksi oleh node tersebut. Verifikasi ini terjadi ketika akses poin yang sedang terhubung dengan klien memverifikasi bahwa klien tersebutlah yang dimaksud. Dengan kata lain, akses poin tersebut merespon klien yang meminta untuk melakukan koneksi dengan memverifikasi identitas klien tersebut sebelum koneksi apapun dilaksanakan. Kadang-kadang proses otentikasi bersifat dibatalkan, yang berarti bahwa meskipun klien maupun akses poin harus melewati langkah ini agar berasosiasi, namun tidak ditemukan identitas khusus yang dibutuhkan untuk asosiasi ini. Kasus seperti ini biasa terjadi pada beberapa akses poin yang baru dan NIC diinstalasi dengan konfigurasi defaultnya. Klien memulai proses otentikasi dengan mengirim sebuah frame permintaan otentikasi ke akses poin. Akses poin tersebut bisa menerima atau menolak
permintaan
ini
dan selanjutnya
memberitahu
station
tentang
keputusannya menggunakan sebuah frame respons otentikasi. Proses otentikasi bisa dilaksanakan di akses poin atau akses poin bisa meneruskan tugas ini ke sebuah server otentikasi. Server akan melakukan proses otentikasi tersebut berdasarkan sejumlah kriteria dan kemudian mengirim kembali hasilnya ke akses poin sehingga akses poin bisa mengembalikan hasil tersebut ke station klien. Standar IEEE 802.11 menetapkan dua metode otentikasi: Open System Authotentication (Otentikasi Sistem Terbuka) dan Shared Key Authotentication.
29
Metode yang lebih sederhana dan lebih aman dari kedua metode ini adalah Otentikasi Sistem Terbuka. Agar klien bisa terotentikasi, klien tersebut harus berjalan menempuh serangkaian langkah bersama dengan akses poin. Rangkaian langkah-langkah ini berbeda-beda tergantung proses otentikasi yang digunakan. a. Otentikasi Sistem Terbuka Otentikasi sistem terbuka adalah suatu metode otentikasi dan ditetapkan oleh standar IEEE 802.11 sebagai default setting dalam piranti LAN nirkabel. Dengan menggunakan metode otentikasi ini, sebuah station bisa berasosiasi dengan setiap akses poin yang menggunakan otentikasi sistem terbuka asalkan memiliki service set identifier (SSID) yang tepat. Piranti SSID tersebut harus cocok untuk digunakan pada akses poin maupun sebelum klien diperbolehkan untuk menyelesaikan proses otentikasi. Otentikasi sistem terbuka digunakan secara efektif baik dalam lingkungan yang aman maupun lingkungan tidak aman. Proses otentikasi sistem terbuka berlangsung sebagai berikut: 1.
Klien nirkabel mengajukan permintaan untuk berasosiasi dengan akses poin.
2.
Titik akses mengotentikasi klien tersebut dan mengirim sebuah respon positif dan selanjutnya klien tersebut akan terasosiasi (terkoneksi).
30
Gambar 2.10 Proses Otentikasi Sistem Terbuka Otentikasi sistem terbuka adalah suatu proses yang sangat sederhana. Administrator LAN nirkabel memiliki opsi menggunakan enkripsi WEP (wired equivalent Privacy) dengan otentikasi sistem terbuka. Jika WEP digunakan dengan proses otentikasi sistem terbuka, tetap tidak ada verifikasi terhadap WEP key pada setiap sisi koneksi selama otentikasi. Justru WEP key digunakan hanya untuk mengenkripsi data setelah klien diotentikasi dan diasosiasi. Otentikasi sistem terbuka digunakan dalam beberapa skenario, tetapi ada dua alasan pokok penggunaan metode ini. Pertama, otentikasi sistem terbuka dianggap lebih aman dari kedua metode otentikasi yang ada. Kedua, otentikasi sistem terbuka mudah dikonfigurasi karena metode ini sama sekali tidak membutuhkan konfigurasi. Semua hardware LAN nirkabel yang sesuai dengan standar 802.11 dikonfigurasi untuk menggunakan otentikasi sistem terbuka
31
secara default, yang memudahkan administrator mulai membangun dan mengkoneksi LAN nirkabel di luar box. b. Shared Key Authentication Shared
Key
Authentication
adalah
metode
otentikasi
yang
mengharuskan penggunaan WEP. Enkripsi WEP menggunakan kunci yang dimasukkan (biasanya oleh administrator) ke dalam klien maupun akses poin. Kunci ini harus cocok pada kedua sisi agar WEP bisa bekerja dengan baik (Abas A. Pangera, 2008).
2.4.3 Asosiasi Setelah klien wireless terotentikasi, klien selanjutnya akan berasosiasi dengan akses poin. Kondisi terasosiasi adalah keadaan dimana suatu klien diizinkan untuk mengirimkan data melalui sebuah akses poin. Jika NIC berasosiasi dengan sebuah akses poin, berarti kita telah terkoneksi ke akses poin tersebut, dan juga berarti terkoneksi dengan jaringan. Proses agar bisa berasosiasi adalah sebagai berikut: Ketika klien ingin melakukan koneksi, klien tersebut mengirim sebuah permintaan otentikasi ke akses poin dan balasannya dia memperoleh sebuah respon otentikasi. Setelah otentikasi selesai dilaksanakan, station akan mengirim sebuah frame permintaan asosiasi ke akses poin yang kemudian menjawab klien tersebut dengan sebuah frame respons asosiasi, entah itu mengizinkan atau menolak asosiasi.
32
2.4.4 Fragmentation Fungsi dari fragmentation adalah menjadikan station 802.11 dapat membagi paket-paket datanya menjadi frame yang kecil. Hal ini digunakan untuk menghindari proses retransmit frame-frame dengan ukuran yang besar yang dapat menimbulkan interferensi RF. Interferensi RF diakibatkan oleh bit-bit yang mengalami error dan berakibat pada satu frame secara keseluruhan, sehingga memerlukan energi lagi untuk melakukan retransmisi. Dengan menggunakan RTD/CTS, user dapat mengatur ambang batas panjang frame maksimum saat mengaktifkan fungsi fragmentation. Jika ukuran frame melebihi ambang batas frame, dimana setiap frame tidak lebih dari nilai ambang batas yang telah ditentukan.
2.5
Pengalamatan Pada MAC. Pengelamatan pada media access control (MAC) terdiri dari subnet alamat
pada link layer. Alamat MAC mengidentifikasi entitas jaringan dalam LAN dengan mengimplementasikan pengalamatan MAC IEEE pada layer data link. Pada pengalamatan data link. Alamat MAC merupakan nilai yang unik pada setiap interface LAN.
Gambar 2.11 Alamat MAC dan Data Link Sumber: Edi S. Mulyanta, 2005
33
Alamat MAC terdiri 48 bit panjangnya dan mempunyai 12 digit heksadesimal. 6 digit heksadesimal pertama digunakan oleh IEEE, yang berisi identitas pabrikan atau vendor dalam satu organisasi organizational unique identifier (OUI). 6 digit heksadesimal terakhir terdiri dari nomor serial interface yang digunakan oleh vendor. Alamat MAC ini terkadang diberi nama dengan burned-in addresses (BIA) karena ditempatkan ke dalam read only memory (ROM) dan disalinkan di random access memory (RAM) saat NIC tersebut diinisialisasi. Heksadesimal menggunakan digit 0 hingga 9 dan huruf A hingga F, dimana setiap digit
akan dipisahkan oleh tanda titik dua,
misalnya
07:57:AC:1F:B2:76. Beberapa protocol yang berbeda mempunyai metode yang berlainan pula dalam menentukan alamat MAC pada peralatan tersebut. Beberapa metode tersebut antara lain address resolution protocol (ARP) yang akan memetakan alamat jaringan ke dalam alamat MAC. Address resolution adalah proses pemetaan alamat jaringan ke alamat MAC. Proses ini diselesaikan dengan menggunakan ARP, dimana proses diimplementasikan pada berbagai protocol. Saat alamat jaringan telah sukses diasosiasikan dengan alamat MAC, peralatan jaringan tersebut akan menyimpan informasi pada chace ARP. Chace ini akan menjadikan peralatan tersebut dapat mengirimkan transmisi ke alamat tujuan tanpa harus membuat trafik ARP baru karena alamat MAC dari tujuan tersebut telah dikenal terlebih dahulu (Edi S. Mulyanta, 2005).
34
2.6
Intrusion Detection System (IDS) Didefinisikan sebagai tool, metode, sumber daya yang memberikan
bantuan untuk melakukan identifikasi, memberikan laporan terhadap aktifitas jaringan komputer. IDS tidak mendeteksi penyusup tetapi hanya mendeteksi aktifitas pada lalu lintas jaringan yang tidak layak terjadi. IDS secara khusus berfungsi sebagai proteksi secara keseluruhan dari system yang telah di instal IDS. Terdapat dua macam IDS, yaitu : a. Network-based Intrusion Detection System (NIDS) IDS ini akan mengumpulkan paket-paket data yang terdapat pada jaringan dan kemudian menganalisanya serta menentukan apakah paket-paket tersebut adalah paket normal atau paket serangan. b. Host-based Intrusion Detection System (HIDS) HIDS hanya melakukan pemantauan pada host tertentu dalam jaringan. IDS Janis ini akan mendeteksi serangan pada host tersebut. HIDS akan melakukan pemantauan terhadap event seperti kesalahan login berulang kali atau melakukan pengecekan file. (Dony Ariyus, 2007). Perbedaan antara NIDS dan HIDS dapat dijabarkan seperti tabel di bawah ini: Tabel 2.2 Perbedaan NIDS dan HIDS Sumber: Dony Ariyus, 2007 NIDS
HIDS
Ruang lingkup yang luas,
Ruang lingkup yang terbatas,
mengamati semua aktivitas
mengamati hanya aktivitas pada
35
jaringan
host tertentu
Lebih mudah melakukan setup
Setup lebih rumit
Lebih baik untuk mendeteksi
Lebih baik untuk mendeteksi
serangan yang berasal dari luar
serangan yang berasal dari
jaringan
dalam jaringan
Lebih murah untuk
Lebih mahal untuk
diimplementasikan
diimplementasikan
Pendeteksian berdasarkan pada
Pendeteksian berdasarkan pada
apa yang direkam dari aktifitas
single host yang diamati semua
jaringan
aktifitasnya Packet header tidak
Menguji packet header diperhatikan Selalu merespon setelah apa Respon yang real time yang terjadi OS independent
OS spesifik
Mendeteksi serangan terhadap
Mendeteksi seragan local
jaringan serta payload untuk
sebelum mereka memasuki
dianalisis
jaringan
Mendeteksi usaha dari serangan
Melakukan verifikasi sukses
yang gagal
atau gagalnya suatu serangan
36
Setiap aspek dari teknologi informasi pasti memiliki kelemahannya tersendiri, tidak terkecuali dengan IDS. Hal yang perlu diperhatikan pada saat kita ingin mengimplementasikan IDS adalah perihal false positive dan false negatife. False positive adalah peringatan yang dihasilkan oleh IDS akan sebuah serangan yang terdeteksi pada sistem yang dimonitor, tetapi yang terdeteksi itu sebenarnya bukanlah sebuah serangan. False positive dapat menjadi masalah yang berarti karena IDS akan memberi sinyal peringatan yang dapat menyembunyikan serangan yang sebenarnya dan selanjutnya administrator akan melakukan pelacakan pada serangan yang sebenarnya tidak ada. False positive terjadi pada saat menghasilkan peringatan dalam kondisi sebagai berikut : a. IDS mendeteksi paket normal yang melintas pada jaringan namun dianggap sebagai suatu paket serangan. b. Sebuah serangan yang tidak terjadi pada sistem yang sedang dimonitor. False negative terjadi saat suatu serangan terlewatkan oleh IDS sehingga tidak menghasilkan peringatan
apapun atas serangan tersebut. IDS dapat
melewatkan serangan karena serangan tersebut tidak dikenali oleh IDS atau karena penyerang berhasil menggunakan sebuah metode serangan yang dapat menghindari IDS. Akibatnya, serangan dapat masuk dan merusak sistem jaringan tanpa diketahui oleh IDS. Dalam mengenali sebuah serangan, pendekatan yang sering digunakan antara lain (Carl Endorf, 2004):
37
a. Misuse Detection (Signatures Based Detection) Analisis dilakukan terhadap aktivitas sistem, mencari event atau set event yang cocok dengan pola perilaku yang dikanali sebagai serangan. Pola perilaku serangan tersebut disebut sebagai signatures, sehingga Misuse detection banyak dikenal dengan istilah Signatures Based Detection. Ada empat tahap proses analisis yang ada pada Misuse Detector: 1. Preprocessing Merupakan langkah pertama pengumpulan data tentang pola dari serangan dan meletakkannya pada skema klarifikasi atau pattern descriptor. Dari skema klarifikasi, suatu model akan dibangun dan kemudian dimasukkan ke dalam bentuk format yang umum seperti signature name, signature ID dan signature description. 2. Analysis Data dan formatnya akan dibandingkan dengan pola yang ada untuk
keperluan
analisis
engine
pattern
matching,
mencocokkannya dengan pola serangan yang sudah dikenalnya. 3. Response Jika sudah ada yang cocok dengan pola serangan, analisis engine akan mengirimkan peringatan ke server 4. Refinement Perbaikan dari analisis pattern-matching yang diturunkan untuk memperbarui signature, karena IDS hanya mengijinkan signature
38
yang terakhir yang telah di-update. Banyak IDS mengizinkan update signature secara manual sehingga mudah untuk diserang dengan menggunakan signature yang di-update. b. Anomaly Detection (Profile Based Detection) Anomaly Detection mengidentifikasi perilaku tidak lazim yang terjadi dalam host atau network. Detector berfungsi dengan asumsi bahwa serangan itu berbeda dengan aktivitas normal dank arena itu dapat dideteksi dengan sistem yang mampu mengidentifikasi perbedaan tersebut.
Anomaly
Detector
menyusun
profil-profil
yang
merespresentasikan kebiasaan pengguna yang normal, host atau koneksi jaringan. Profil-profil ini dibangun dari data historis yang dikumpulkan dalam periode operasi normal. Kemudian detector mengumpulkan data-data peristiwa dan menggunakan langkah-langkah yang beragam ketika aktivitas yang diamati menyimpang dari normal. Hal yang membedakannya dengan Signatures Based Detection adalah pada Profile Based Detection, yang didefenisikan bukan hanya aktivitas yang tidak diperbolehkan namun juga aktivitas apa saja yang diperbolehkan.
Kelebihan
dari
metode
ini
terletak
pada
kemampuannya dalam mengumpulkan data mengenai perilaku sistem baik secara statistik (kuantitatif) maupun secara karakteristik (kualitatif). Anomaly Detection dapat dibagi menjadi tiga kategori utama, yakni :
39
1. Behavioral analysis, mencari anomaly dari perilaku sistem. 2. Traffic-pattern analysis, mencari pola-pola tertentu dari lalu lintas jaringan. 3. Protocol analysis, mencari pelanggaran atau penyalahgunaan protocol
jaringan.
Analisis
ini
memiliki kelebihan untuk
mengidentifikasi serangan yang belum dikenali. Rule dan signature hanya berisi pola serangan yang selalu diupdate secara rutin karena ada serangan baru setiap hari. Proses deteksi anomaly tidak menggunakan rule dan signature, hanya mengamati kondisi normal dari sistem jaringan. Jika sewaktu-waktu kondisi jaringan tidak normal, hal ini dianggap sebagai sebuah serangan. Keunggulan dari sistembdeteksi ini bisa mengenali serangan baru yang polanya tidak ada pada rule dan signature hasil dari pembelajaran sistem deteksi itu sendiri. Kekurangan dari sistem deteksi anomaly adalah banyaknya peringatan false positive yang dikirimkan ke penggunal. Contohya jika suatu waktu server banyak menerima permintaan authorized klien dan kinerja sistem meningkat dengan cepat, maka sistem deteksi akan melaporkannya sebagai serangan. 2.6.1 Arsitektur dari sebuah IDS Untuk dapat bekerja normal dalam kondisi minimum, sebuah IDS sebenarnya hanya memerlukan sebuah perangkat. Namun, untuk penggunaan pada jaringan skala besar, IDS yang berjalan pada sebuah
40
perangkat dinilai sangat tidak efisien. Secara umum ada tiga jenis arsitektur berlapis (tiered architectures) pada IDS, yaitu: a.
Single-Tiered Architecture IDS dengan single-tiered architecture adalah IDS yang semua komponen/modulnya berada pada satu perangkat yang sama. Artinya, IDS tersebut mengumpulkan data dan sekaligus menganalisa data tersebut. Salah satu contoh IDS dengan single-tiered architecture adalah host-based intrusion detection (HIDS) tool, seperti OSSEC. Tool ini akan menganalisa log sistem (pada sistem berbasis Unix berkas ini disimpan di utmp dan wtmp) lalu membandingkan isi berkas tersebut dengan berkas rules yang berisi pola-pola serangan yang telah diketahui. IDS dengan single-tiered architecture memiliki beberapa keuntungan, seperti kesederhanaan, hemat biaya, dan tidak bergantung pada sistem/komponen/aplikasi lain. Namun, IDS jenis ini hanya dapat digunakan untuk melindungi satu perangkat saja.
b. Multi-Tiered Architecture IDS dengan multi-tiered architecture menggabungkan banyak komponen yang berbagi informasi satu sama lainnya. IDS jenis ini umumnya terdiri dari tiga bagian utama, yaitu: sensors, analyzers atau agents, dan sebuah manager. Sensors bertugas untuk mengumpulkan data. Sebagai contoh, network sensors biasanya adalah program yang menangkap data dari kartu jaringan (NIC). Sensors juga dapat
41
mengumpulkan data dari berkas log sistem dan sumber lainnya seperti personal firewall, TCP wrapper dan/atau menggunakan protokol RPCAP (Remote Packet Capture). Sensors meneruskan informasi ke agents/analyzers, yang bertugas untuk memantau aktivitas-aktivitas yang mencurigakan. Agents dapat dikonfigurasi untuk menjalankan satu fungsi tertentu saja. Sebagai contoh, agents hanya ditugaskan untuk memantau lalu lintas data protokol TCP, sedangkan agents yang lainnya ditugaskan untuk memantau protokol HTTP dan SMTP. Ketika salah satu agent mendeteksi adanya upaya serangan, maka agent akan mengirimkan alert ke komponen manager yang selanjutnya akan melakukan beberapa tugas, seperti: a. Mengumpulkan
informasi
serangan
tersebut
dan
menampilkannya ke layar. b. Mengirimkan notification melalui e-mail dan/atau SMS c. Menyimpan informasi mengenai serangan tersebut ke dalam database. d. Mengumpulkan informasi tambahan yang berkaitan dengan serangan saat itu. e. Mengirimkan informasi ke sebuah host
agar berhenti
menjalankan aplikasi tertentu. f. Mengirimkan perintah ke firewall atau router untuk mengubah konfigurasi ACL.
42
Proses pengumpulan data yang terpusat akan memudahkan tahapan analisa. Selain itu menggandakan seluruh informasi dan log yang telah didapat ke perangkat lainnya akan sangat berguna apabila attacker berhasil masuk ke salah satu server IDS dan menghapus seluruh jejak dan data yang berkaitan dengan serangan yang dilakukannya.
Gambar 2.12 IDS dengan Multi-Tiered Architecture Sumber: Endorf, 2004 c.
Peer-to-Peer Architecture Tidak seperti multi-tiered architecture yang mengumpulkan raw packet dan meneruskannya ke server terpusat untuk dianalisa, peer-topeer architecture saling bertukar informasi satu sama lainnya. Masing-masing komponen menjalankan fungsi yang sama. IDS dengan peer-to-peer architecture umumnya diimplementasikan untuk berintegrasi dengan perangkat firewall, router dan/atau switch.
43
Dimana perangkat tersebut (misalnya firewall) akan mengambil informasi akan suatu kejadian (event), lalu meneruskan informasi tersebut ke perangkat lainnya (misalnya firewall) yang memungkinkan perangkat tersebut untuk mengubah beberapa konfigurasi atau policy (misalnya konfigurasi ACL). Perangkat firewall yang kedua juga akan melakukan hal yang sama, yaitu mengirim informasi atas suatu kejadian (event) ke perangkat firewall yang pertama. Informasi tersebut lalu digunakan oleh perangkat firewall yang pertama untuk mengubah konfigurasi dan policy yang ada (misalnya konfigurasi ACL). Keuntungan utama dari arsitektur ini adalah kesederhanaannya, karena setiap komponen dapat berpartisipasi dalam proses pengumpulan data, selain itu setiap komponen/perangkat memperoleh keuntungan dari informasi yang diberikan oleh perangkat lainnya (Endorf, 2004).
2.7
OpenWRT Open WRT adalah thirdpary firmware yang digunakan untuk menjalankan
wireless router linksys seri WRT54. WRT54 adalah wireless router pertama yang dapat menggunakan openWRT kerena mempunyai basis disain dari Broadcom. OpenWRT firmware menggunakan sistem operasi linux yang digunakan dalam suatu embedded device seperti wireless router. Dibentuk pada akhir tahun 2003 pada awalnya openWRT hanya digunakan oleh Linksys WRT54G yang terbentuk dalam
rangka
mengembangkan
sebuah
third-party
firmware.
Dalam
44
perkembangannya openWRT dapat pula digunakan untuk mendukung wireless router yang lain seperti ASUS, D-Link, DELL daan lain-lain. Open WRT hanya menyediakan firmware dengan paket tambahan yang memungkinkan untuk merubah, menambah, dan menghilangkan paket yang diinginkan.
Dalam
perkembangan
OpenWRT
sangat
dipengaruhi
oleh
kemudahannya dalam memodifikasi fitur-fitur tambahan diluar fitur-fitur yang telah disediakan oleh pihak manufaktur agar dapat digunakan sesuai dengan keperluan tertentudari para pengguna. Hal ini dapat dilakukan karena openWRT bersifat opensource karena dibuat berdasarkan GNU General Public License, sehingga setiap perubahan yang dibuat oleh pihak manufaktur harus didaftarkan dan dirilis melalui license GPL. Berdasarkan sifat opensource ini pula maka para pengguna dapat dengan bebas memodifikasi ataupun menambah fitur-fitur lain pada router sesuai dengan kebutuhan. Dalam
firmware
bawaan
dari
pabrikan
wireless
router
yang
menggabungkan semua paket dalam suatu firmware, maka OpenWRT dapat menyediakan konfigurasi minimal yang dibutuhkan oleh sebuah wireless router, namun dengan kemampuan untuk mendukung paket-paket
tambahan. Untuk
wireless router ini adalah penghematan ruang, karena paket-paket tidak diperlukan dapat dihilangkan. Cara umum yang digunakan untuk konfigurasi OpenWRT adalah dengan read-only partisi menggunakan squashfs atau dengan read-write partisi. Pada partisi kedua terdapat link ke partisi squashfs sebagai root pada file sistem. Ada dua cara untuk melakukan instalasi OpenWRT melalui web GUI atau TFTP (Trivial File Transfer Protocol), selain itu ada dua pilihan file
45
system dalam OpenWRT yaitu : SQUSHFS dan Journaling Flash File System, version2 (JFFS2). Squashfs memiliki ukuran yang lebih kecil dibandingkan dengan file JFFS2 karena filenya telah terkompresi, dan cara yang paling aman untuk menginstal firmware OpenWRT karena filenya bersifat read-only dan banyak direkomendasikan untuk pemula karena squashfs mampu untuk mencegah error dalam penginstalasiannya. JFFS2 adalah file sistem GNU license, dalam filenya tidak dilakukan kompresi sehingga membutuhkan memory yang cukup besar dan file sistemnya bersifat read/write dan mudah mengalami user error karena keterbatasan pengguna sehingga peralatan tidak dapat dipakai kembali. Saat ini ada dua jenis OpenWRT yang telah dibuat yaitu: a. WhiteRussian WhiteRussian adalah versi pertama dari OpenWRT, lebih stabil karena telah dikembangkan palingawal. Karena itu banyak dokumentasi maupun tutorial
yang
tersedia
untuk
mendukung
pemakaian
OpenWRT versi ini. Versi terakhir dari whiterussian adalah White Russian 0.9 yang dirilis pada tanggal 5 februari 2007. b. Kamikaze Kamikaze merupakan versi baru dari OpenWRT, walaupun sudah stabil namun masih dalam pengembangan. Memiliki GUI yang lengkap dari versi terdahulu, dibuat berdasarkan desain berbeda dengan versi yang terdahulu sehingga dapat bekerja pada pilihan jenis wireless router yang lebih luas, selain itu mempunyai kernel yang lebih baru. Versi terakhir dari kamikaze adalah Kamikaze 7.
46
2.7.1 Directory Structure Terdapat empat directory utama pada OpenWRT yaitu:
Tools
Toolchain
Package
Target
Tools dan toolechain adalah directory yang biasa digunakan untuk membangun image firmware, yaitu compiler dan C library. Hasilnya adalah tiga directory baru yaitu, build_dir/host ini adalah temporary directory untuk membangun
target,
build_dir/toolchain,
directory
ini
digunakan
untuk
membangun toolchain dengan arsitektur yang spesifik, terakhir adalah staging_dir/toolchain directory ini adalah hasil dari toolchain yang telah diinstal. 2.7.2 Software Architecture OpenWRT menggunakan embeded linux tools seperti uClib, busybox, shell interpreter. Setiap arsitektur menggunakan kernel Linux berbeda yang mengijinkan user untuk mengembangkan. Untuk itu kita hanya recompile uClib dan packages untuk mencocokkan target arsitektur untuk mendapatkan program diinginkan yang berbeda dari embeded device. Unfied configuration Interface (UCI) adalah interface dari C library yang menyediakan hubungan konfigurasi untuk sistem. UCI digunakan oleh OpenWRT untuk device yang tidak memiliki NVRAM untuk tempat menyimpan partisi. Karena UCI adalah library dari C, ini
47
mudah diintegrasikan kedalam apliksai yang telah ada untuk dikembangkan konfigurasi yang kompatibel dengan OpenWRT.
Gambar 2.13 Arsitektur Software OpenWRT Sumber: Ashadi, 2008 OpenWRT menggunakan sistem ipkg seperti yang biasa digunakan Linux untuk mengatur paket-paket fitur tersebut. IPKG adalah sebuah directory tempat penyimpanan semua kontrol file ipkg. File ini selalu bernama “pkgname.type” sebagai contoh: strace.control. file secara otomatis ditambahkan ke package saat di eksekusi (Ashadi, 2008).
2.8
Kismet Kismet adalah sebuah aplikasi packet sniffer, network detector dan
intrusion detection system untuk jaringan nirkabel. Kismet dapat berfungsi pada kartu jaringan yang memiliki fasilitas atau mode raw monitoring. Kismet dapat berjalan diatas beberapa platform sistem operasi berbasis UNIX, seperti : Linux, FreeBSD, OpenBSD dan MAC OS X. Agar dapat berfungsi dengan normal, Kismet membutuhkan dukungan yang baik pada kartu jaringan, software driver dan sistem operasi.
48
Gambar 2.14 NIC dalam mode normal dan promiscuous Kismet memiliki kemampuan untuk berfungsi sebagai NIDS yang akan memeriksa atau memonitoring paket-paket data layer 2 IEEE 802.11 secara pasif yang umumnya berupa management frame dan bukan data frame. Informasi ini nantinya akan dikirim ke server terpusat untuk diolah. Apabila dari hasil analisa paket-paket data tersebut ditemukan adanya usaha-usaha serangan maka sistem akan memberikan peringatan ke sysadmin. Selain itu, Kismet juga dapat bertindak hanya sebagai packet sniffer dan mengirimkan paket-paket tersebut ke aplikasi NIDS lainnya seperti Snort, untuk dianalisa.
2.9
Embedded System Embedded system adalah suatu kombinasi antara perangkat keras dan
perangkat lunak yang dirancang untuk melakukan tugas atau fungsi tertentu. Beberapa contoh embedded system, yaitu kamera digital microwave oven dan mobile phone. Perkembangan embedded system dimulai pada tahun 1971, dimana pada saat itu microprocessor pertama kali ditemukan oleh Intel. Microprocessor
49
tersebut, Intel 4004, dirancang untuk digunakan pada perangkat kalkulator produksi perusahaan Jepang Busicom. Microprocessor tersebut mendapat kesuksesan yang besar dan sejak saat itu, embedded system banyak digunakan dalam berbagai bidang/perangkat seperti laser printer, mesin fax, video game console, network switches hingga sistem kendali pesawat terbang.
Gambar 2.15 sejarah perkembangan microprocessor Sumber: Hallinan, 2006 Karakteristik dari sebuah embedded system, antara lain: a. Biasanya dirancang untuk tujuan atau aplikasi yang spesifik dan bukan untuk kebutuhan komputasi yang bersifat umum. b. Memiliki user interface yang sederhana atau bahkan tidak sama sekali
50
c. Kebanyakan embedded system memiliki resource hardware yang terbatas, seperti ukuran memory yang kecil dan tidak memiliki media penyimpanan d. Memiliki
keterbatasan
dalam
kebutuhan
sumber
tenaga
dan
membutuhkan power tambahan dari batere. e. Aplikasi yang dapat dijalankan sudah tertanam dalam sistem dan enduser tidak dapat memilih dan melakukan kustomisasi f. Embedded system biasanya dalam melakukan fungsinya tidak memerlukan interaksi dari manusia. Salah satu komponen terpenting dalam embedded system adalah processor. Ada dua jenis processor yang sering digunakan, yaitu stand alone processor dan integrated processor. Walaupun stand alone processor memiliki kemampuan komputasi yang lebih baik, namun pada banyak embedded system processor yang banyak digunakan adalah integrated processor. Integrated processor atau System on chip (SoC). System on a chip (SoC) adalah sebuah integrated circuit yang terdapat sebuah processor, bus (jalur), dan elemen lainnya dalam sebuah single monolithic substrate. Beberapa contoh dari integrated processor adalah PowerPC, MIPS dan ARM. Arsitektur MIPS dirancang pada tahun 1981 oleh Dr. John Hennessey, ketua tim teknisi dan peneliti pada Universitas Stanford. MIPS banyak ditemukan pada berbagai produk seperti televisi High Definition Sony, Wireless Access Points Linksys dan game console PlayStation 2.
51
MIPS adalah microprocessor dengan arsitektur RISC yang mendukung implementasi sistem 32-bit dan 64-bit. Sama seperti ARM, perusahaan pemilik teknologi MIPS hanya membuat desain/rancangan dan tidak melakukan proses manufacturing tetapi memberikan lisensi kepada perusahaan lain untuk proses tersebut. Salah satu perusahaan yang sukses memproduksi microprocessor ini untuk digunakan dalam embedded system adalah Broadcom.
Gambar 2.16 Block diagram hardware dari sebuah embedded system Sumber: Hallinan, 2006
52
Gambar 2.17 Perbandingan embedded dan desktop computer Sumber: hallinan, 2006 Firmware merupakan perangkat lunak yang dirancang untuk bekerja pada low-level system. Pada low-level system, program bertugas untuk mengendalikan perangkat pada saat pertama kali dijalankan. Program ini terlebih dahulu akan menginisialisasi perangkat keras yang lainnya seperti memory, kartu jaringan dan media penyimpanan. Setelah itu, firmware akan meaktifkan aplikasi utama atau sistem operasi. Bagian dari firmware yang melakukan tugas ini disebut dengan bootloader.
BAB III METODE PENELITIAN
Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. Berikut penjelasan kedua metode tersebut:
3.1
Metode Pengumpulan Data Pengumpulan data merupakan proses pengadaan data primer untuk
keperluan penelitian. Pengumpulan data merupakan langkah yang amat penting dalam metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk menguji hipotesis yang telah dirumuskan. Data yang dikumpulkan harus cukup valid untuk digunakan (Nazir, 2005). 3.1.1 Studi Lapangan/Observasi Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Penulis melakukan penelitian di KAPUS LITDATIN BNN (Badan Narkotika Nasional), Jl. MT. Haryono No. 11 Cawang, Jakarta Timur. BNN dipilih sebagai lokasi penelitian karena ketersediaan fasilitas (perangkat dan sumber daya) yang dibutuhkan untuk mendukung proses penelitian.
53
54
3.1.2 Studi Pustaka/Literature Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi tersebut sebagai acuan untuk membuat landasan teori. Dan referensi-referensi apa saja yang digunakan penulis dapat dilihat pada daftar pustaka. Tabel 3.1 Studi Literatur NO
JUDUL
PENULIS
TAHUN
PEMBAHASAN
1
Implementasi Protocol PEAP pada Infrastruktur Jaringan Nirkabel Fakultas Sains dan Teknologi UIN Jakarta Pengembangan Intrusion Detection System dan Active Response Pada transparent SingleHomed Bastion Host Http Proxy Server Firewall Sebagai Keamanan Sistem Proxy
Muhammad Arief Faruki
2011
Penanganan Kendali akses pada Infrastruktur jaringan nirkabel dengan menggunakan protocol IEEE 802.1X
2
Perancangan dan Implementasi Intrusion Detection Detection System Pada Jaringan Nirkabel BINUS University
Abraham Nethanel Setiawan Junior, Agus Harianto, Alexander.
2006
Merancang IDS menggunakan Snort dengan tampilan antarmuka bebasiskan web dan implementasi sistem untuk memantau aktifitas para pengguna HotSpot BINUS University. Penelitian ini berisi analisa gangguan pada jaringan,
55
proses dan cara kerja sistem IDS yang dibuat dengan basis web, serta evaluasi penerapan sistem IDS pada jaringan. 3
3.2
2006
P. Tri Riska INTRUSION DETECTION DAN Ferawati Widiasrini REPORTING SYSTEM BERBASIS MOBILE AGENT
Penekanan skripsi ini terarah pada intrusion detection and reporting system (IDRS) berbasis mobile agent (MA) yang bias diterapkan pada setiap sistem operasi di setiap konfigurasi jaringan.
Metode Pengembangan Sistem menggunakan NDLC (Network Development Life Cycle) NDLC adalah kunci dibalik proses perancangan jaringan computer. NDLC
merupakan
model
mendefenisikan
siklus
proses
pembangunan
atau
pengembangan sistem jaringan computer. Kata cycle (siklus) adalah kata kunci deskriptif dari siklus hidup pengembangan sistem jaringan yang menggambarkan secara eksplisit seluruh proses dan tahapan pengembangan sistem jaringan yang berkesinambungan (Goldman eet all,2001). Dalam hal metode ini metode yang pengembangan sistem yang digunakan adalah Network Development Life Cycle (NDLC). Berkaitan dengan skripsi ini, penerapan dari setiap tahap NDLC adalah sebagai berikut:
56
Gambar 3.1 Siklus Network Development Life Cycle Sumber: Goldman, James E. & Rawles, 2001
3.2.1 Tahapan Analisis Model pengembangan sistem NDLC di mulai pada fase analisis. Pada tahap ini penulis mengidentifikasi konsep kismet dan OpenWrt. Mengumpulkan dan mengidentifikasi kebutuhan sistem tersebut. Sehingga kebutuhan sistem IDS dapat diperjelas dan diperinci. Tahap-tahap ini meliputi : 3.2.2 Tahapan Desain Tahapan selanjutnya dari metode pengembangan sistem NDLC adalah Design. Tahap design ini adalah membuat sebuah sistem yang akan dibangun, diharapkan dalam membangun sistem yang didesign akan memberikan gambaran seutuhnya dari kebutuhan yang ada. Pada fase ini, penulis merancang topologi sistem jaringan untuk simulasi WLAN sebagai representasi sistem nyata dan merancang sistem solusi IDS.
57
3.2.3 Tahapan Simulasi Prototype Tahap selanjutnya adalah pembuatan prototype sistem yang akan dibangun, yaitu dengan menggunakan tools VMware version 6.0 dengan mempertimbangkan bahwa proses kesalahan dalam menerapkan IDS (Intrusion Detection Sistem) tidak akan mempengaruhi lingkungan nyata. 3.2.4 Tahapan Implementasi (Penerapan) Tahap selanjutnya adalah implementasi, pada fase perancangan digunakan sebagai panduan implementasi pada lingkungan simulasi WLAN. Ini melingkupi instalasi dan konfigurasi terhadap rancangan topologi, komponen sistem sensor IDS yaitu kismet. 3.2.5 Tahapan Monitoring (Pengawasan) Setelah tahap implementasi adalah tahap monitoring dimana tahap ini penting. Proses pengujian dilakukan melalui aktivitas pengoperasian dan pengamatan sistem yang dibangun dan diterapkan apakah sistem IDS sudah berjalan dengan baik dan benar. Dalam hal ini penulis melakukan pengujian pada :fungsionalitas (interkoneksi) perangkat jaringan computer. Dalam hal menguji interkoneksi antar komponen IDS. 3.2.6 Tahapan Management (Pengaturan) Pada fase ini, aktivitas perawatan, pemeliharaan dan pengolahan. Karena proses manajemen sejalan dengan aktivitas perawatan atau pemeliharaan sistem. Pada tahap ini untuk menghasilkan keluaran berupa jaminan fleksibilitas dan kemudahan pengelolaan serta pengembangan sistem IDS datang.
dimasa yang akan
58
3.3
Mekanisme kerja Penelitian Pendefinisian gambaran umum proses kerja penelitian skripsi. Penulis
mendefinisikan dan merepresentasikan metode dan alur proses penelitian, elemenelemen, beserta interkoneksinya satu sama lainnya yang penulis terapkan pada penelitian skripsi ini dengan menggunakan pendekatan terhadap model NDLC dengan menggunakan media diagram model proses berikut ini :
59
Gambar 3.2. Mekanisme Kerja Penelitian
BAB IV HASIL DAN PEMBAHASAN
4.1
Profil Perusahaan
4.1.1 Sekilas Tentang Badan Narkotika Nasional Sejarah penanggulangan bahaya Narkotika dan kelembagaannya di Indonesia dimulai tahun 1971 pada saat dikeluarkannya Instruksi Presiden Republik Indonesia (Inpres) Nomor 6 Tahun 1971 kepada Kepala Badan Koordinasi Intelligen Nasional (BAKIN) untuk menanggulangi 6 (enam) permasalahan nasional yang menonjol, yaitu pemberantasan uang palsu, penanggulangan penyalahgunaan narkoba, penanggulangan penyelundupan, penanggulangan kenakalan remaja, penanggulangan subversi, pengawasan orang asing Berdasarkan Inpres tersebut Kepala BAKIN membentuk Bakolak Inpres Tahun 1971 yang salah satu tugas dan fungsinya adalah menanggulangi bahaya narkoba. Bakolak Inpres adalah sebuah badan koordinasi kecil yang beranggotakan wakil-wakil dari Departemen Kesehatan, Departemen Sosial, Departemen Luar Negeri, Kejaksaan Agung, dan lain-lain, yang berada di bawah komando dan bertanggung jawab kepada Kepala BAKIN. Badan ini tidak mempunyai wewenang operasional dan tidak mendapat alokasi anggaran sendiri dari ABPN melainkan disediakan berdasarkan kebijakan internal BAKIN. Pada masa itu, permasalahan narkoba di Indonesia masih merupakan permasalahan kecil dan Pemerintah Orde Baru terus memandang dan
60
61
berkeyakinan bahwa permasalahan narkoba di Indonesia tidak akan berkembang karena bangsa Indonesia adalah bangsa yang ber-Pancasila dan agamis. Pandangan ini ternyata membuat pemerintah dan seluruh bangsa Indonesia lengah terhadap ancaman bahaya narkoba, sehingga pada saat permasalahan narkoba meledak dengan dibarengi krisis mata uang regional pada pertengahan tahun 1997, pemerintah dan bangsa Indonesia seakan tidak siap untuk menghadapinya, berbeda dengan Singapura, Malaysia dan Thailand yang sejak tahun 1970 secara konsisten dan terus menerus memerangi bahaya narkoba. Menghadapi
permasalahan
narkoba
yang
berkecenderungan
terus
miningkat, Pemerintah dan Dewan Perwakilan Rakyat Republik Indonesia (DPRRI) mengesahkan Undang-Undang Nomor 5 Tahun 1997 tentang Psikotropika dan Undang-Undang Nomor 22 Tahun 1997 tentang Narkotika. Berdasarkan kedua Undang-undang tersebut, Pemerintah (Presiden Abdurahman Wahid) membentuk Badan Koordinasi Narkotika Nasional (BKNN), dengan Keputusan Presiden Nomor 116 Tahun 1999. BKNN adalah suatu Badan Koordinasi penanggulangan narkoba yang beranggotakan 25 Instansi Pemerintah terkait. BKNN diketuai oleh Kepala Kepolisian Republik Indonesia (Kapolri) secara ex-officio. Sampai tahun 2002 BKNN tidak mempunyai personil dan alokasi anggaran sendiri. Anggaran BKNN diperoleh dan dialokasikan dari Markas Besar Kepolisian Negara Republik Indonesia (Mabes Polri), sehingga tidak dapat melaksanakan tugas dan fungsinya secara maksimal. BKNN sebagai badan koordinasi dirasakan tidak memadai lagi untuk menghadapi ancaman bahaya narkoba yang makin serius. Oleh karenanya
62
berdasarkan Keputusan Presiden Nomor 17 Tahun 2002 tentang Badan Narkotika Nasional, BKNN diganti dengan Badan Narkotika Nasional (BNN). BNN, sebagai sebuah lembaga forum dengan tugas mengoordinasikan 25 instansi pemerintah terkait dan ditambah dengan kewenangan operasional, mempunyai tugas dan fungsi: 1. mengoordinasikan instansi pemerintah terkait dalam perumusan dan pelaksanaan
kebijakan
nasional
penanggulangan
narkoba;
dan
2.
mengoordinasikan pelaksanaan kebijakan nasional penanggulangan narkoba. Mulai tahun 2003 BNN baru mendapatkan alokasi anggaran dari APBN. Dengan alokasi anggaran APBN tersebut, BNN terus berupaya meningkatkan kinerjanya bersama-sama dengan BNP dan BNK. Namun karena tanpa struktur kelembagaan yang memilki jalur komando yang tegas dan hanya bersifat koordinatif (kesamaan fungsional semata), maka BNN dinilai tidak dapat bekerja optimal dan tidak akan mampu menghadapi permasalahan narkoba yang terus meningkat dan makin serius. Oleh karena itu pemegang otoritas dalam hal ini segera menerbitkan Peraturan Presiden Nomor 83 Tahun 2007 tentang Badan Narkotika Nasional, Badan Narkotika Propinsi (BNP) dan Badan Narkotika Kabupaten/Kota (BNK), yang memiliki kewenangan operasional melalui kewenangan Anggota BNN terkait dalam satuan tugas, yang mana BNN-BNPBNKab/Kota merupakan mitra kerja pada tingkat nasional, propinsi dan kabupaten/kota yang masing-masing bertanggung jawab kepada Presiden, Gubernur dan Bupati/Walikota, dan yang masing-masing (BNP dan BN Kab/Kota) tidak mempunyai hubungan struktural-vertikal dengan BNN.
63
Merespon perkembangan permasalahan narkoba yang terus meningkat dan makin serius, maka Ketetapan MPR-RI Nomor VI/MPR/2002 melalui Sidang Umum Majelis Permusyawaratan Rakyat Republik Indonesia (MPR-RI) Tahun 2002 telah merekomendasikan kepada DPR-RI dan Presiden RI untuk melakukan perubahan atas Undang-Undang Nomor 22 Tahun 1997 tentang Narkotika. Oleh karena itu, Pemerintah dan DPR-RI mengesahkan dan mengundangkan UndangUndang Nomor 35 Tahun 2009 tentang Narkotika, sebagai perubahan atas UU Nomor 22 Tahun 1997. Berdasarkan UU Nomor 35 Tahun 2009 tersebut, BNN diberikan kewenangan penyelidikan dan penyidikan tindak pidana narkotika dan prekursor narkotika. Berdasarkan undang-undang tersebut, status kelembagaan BNN menjadi Lembaga Pemerintah Non-Kementrian (LPNK) dengan struktur vertikal ke propinsi dan kabupaten/kota. Di propinsi dibentuk BNN Propinsi, dan di kabupaten/kota dibentuk BNN Kabupaten/Kota. BNN dipimpin oleh seorang Kepala BNN yang diangkat dan diberhentikan oleh Presiden. BNN berkedudukan di bawah dan bertanggungjawab kepada Presiden. Kepala BNN dibantu oleh seorang Sekretaris Utama, Inspektur Utama, dan 5 (lima) Deputi yaitu Deputi Pencegahan, Deputi Pemberdayaan Masyarakat, Deputi Rehabilitasi, Deputi Pemberantasan, dan Deputi Hukum dan Kerja Sama. 4.1.2 Visi dan Misi Komitmen negara-negara anggota ASEAN yang telah dideklarasikan bahwa ASEAN BEBAS NARKOBA TAHUN 2015 yang merupakan issue global, regional harus disikapi secara serius untuk mewujudkannya. Seiring dengan itu
64
sesuai dengan visi bangsa Indonesia dalam pembangunan bangsa telah ditetapkan dalam Ketetapan MPR nomor: TAP/MPR/VII/2001 yaitu : "Terwujudnya masyarakat Indonesia yang religius, manusiawi, bersatu, demokratis, adil, sejahtera, maju, mandiri serta baik dan bersih dalam penyelenggaraan Negara", maka Visi yang ditetapkan Badan Narkotika Nasional sebagai focal point dalam penanganan permasalahan narkoba adalah : "Terwujudnya masyarakat Indonesia bebas penyalahgunaan dan peredaran gelap narkotika, psikotropika dan bahan adiktif lainnya (narkoba) tahun 2015". Dalam rangka memberikan kerangka untuk tingkat perencanaan yang lebih rinci, seperti : penetapan sasaran, program, kegiatan dan rencana anggaran serta rencana operasional yang bersifat teknis maka perlu ditetapkan tujuan dari BNN yang dapat memberikan hasil akhir yang ingin dicapai. Disamping itu dengan penetapan tujuan organisasi (BNN) diharapkan dapat memberikan kejelasan tentang visi, misi dan isu-isu strategis. Dengan demikian tujuan yang ditetapkan adalah : 1.
Tercapainya komitmen yang tinggi dari segenap komponen pemerintahan dan masyarakat untuk memerangi narkoba.
2.
Terwujudnya sikap dan perilaku masyarakat untuk berperan serta dalam pencegahan dan pemberantasan penyalahgunaan dan peredaran gelap narkoba.
3.
Terwujudnya kondisi penegakan hukum di bidang narkoba sesuai dengan supremasi hukum.
65
4.
Tercapainya peningkatan sistem dan metode dalam pelayanan terapi dan rehabilitasi penyalahguna narkoba.
5.
Tersusunnya database yang akurat tentang penyalahgunaan dan peredaran gelap narkoba.
6.
Beroperasinya Satuan-satuan Tugas yang telah dibentuk berdasarkan analisis situasi.
7.
Berperannya Badan Narkotika Propinsi/Kabupaten/Kota dalam melaksanakan program P4GN.
8.
Terjalinnya kerjasama internasional yang efektif yang dapat memberikan bantuan solusi penanganan permasalahan narkoba.
4.1.3 Tujuan Pokok dan Fungsi 4.1.3.1 Tugas Pokok BNN Kedudukan Badan Narkotika Nasional adalah Lembaga Non Struktural yang berkedudukan dibawah dan bertanggungjawab langsung kepada Presiden. Tugas Badan Narkotika Nasional mempunyai tugas membantu Presiden dalam mengkoordinasikan instansi pemerintah terkait
dalam penyusunan
kebijakan dan pelaksanaan kebijakan operasional di bidang ketersediaan dan pencegahan, pemberantasan penyalahgunaan dan peredaran gelap narkotika, psikotropika, prekursor dan bahan adiktif lainnya atau dapat disingkat dengan P4GN dan melaksanakan P4GN dengan membentuk
66
satuan tugas yang terdiri atas unsur instansi pemerintah terkait sesuai dengan tugas, fungsi dan kewenangannya masing-masing. 4.1.3.2 Fungsi BNN 1.
Pengkoordinasian instansi pemerintah terkait dalam penyiapan dan penyusunan kebijakan di bidang ketersediaan dan P4GN.
2.
Pengkoordinasian instansi pemerintah terkait dalam pelaksanaan kebijakan di bidang ketersediaan dan P4GN serta pemecahan permasalahan dalam pelaksanaan tugas.
3.
Pengkoordinasian instansi pemerintah terkait dalam kegiatan pengadaan, pengendalian, dan pengawasan di bidang narkotika, psikotropika, prekursor dan bahan adiktif lainnya.
4.
Pengoperasian satuan tugas yang terdiri atas unsur pemerintah terkait dalam P4GN sesuai dengan bidang tugas, fungsi dan kewenangan masing-masing.
5.
Pemutusan jaringan peredaran gelap narkotika, psikotropika, prekursor dan bahan adiktif lainnya melalui satuan tugas.
6.
Pelaksanaan kerja sama nasional, regional dan internasional dalam rangka penanggulangan masalah narkotika, psikotropika, prekursor dan bahan adiktif lainnya.
7.
Pembangunan dan pengembangan sistem informasi, pembinaan dan pengembangan terapi dan rehabilitasi serta laboratorium narkotika, psikotropika, prekursor dan bahan adiktif lainnya.
67
8.
Pengorganisasian BNP dan BNK/Kota berkaitan dengan pelaksanaan kebijakan di bidang P4GN.
4.1.4 Struktur Organisasi PUSLITDATIN
Gambar 4.1 Struktur Organisasi PUSLITDATIN BNN
68
4.2
Analysis (Analisis) Proses menemukan jaringan nirkabel atau network discovery dengan
menggunakan aplikasi-aplikasi seperti NetStumbler, DStumbler, Wellenreiter dan banyak aplikasi lainnya merupakan suatu teknik yang cukup populer untuk tujuan penetrasi ke dalam suatu jaringan. Proses menemukan jaringan nirkabel ini biasanya bertujuan untuk mendapat akses internet yang oleh banyak orang terkesan tidak membahayakan infrastruktur jaringan atau digunakan sebagai jalan belakang atau backdoor untuk masuk ke dalam jaringan guna melancarkan serangan yang selanjutnya. Salah satu teknik yang digunakan oleh aplikasi WIDS adalah menggunakan informasi fingerprint untuk mendeteksi adanya percobaan serangan ataupun penyusupan melalui jaringan nirkabel. Fingerprint tersebut didapatkan dari informasi layer dua OSI model, yaitu MAC dan LLC layer. Berikut ini adalah beberapa analisis informasi fingerprint dari beberapa aplikasi-aplikasi network discovery yang sering digunakan oleh penyerang atau unauthorized users. Keberhasilan implementasi dari aplikasi dan sistem WIDS juga dipengaruhi oleh posisi atau lokasi dari perangkat yang berfungsi sebagai sensor. Pada infrastruktur IDS konvensional, lokasi dari perangkat sensor dapat berada di area-area tertentu seperti DMZ, didalam firewall, diluar firewall, dan lain sebagainya. Sedangkan pada jaringan nirkabel, perangkat sensor yang bertugas untuk mengumpulkan semua data atau frame-frame 802.11 harus diletakkan pada area yang sama dengan jaringan yang ingin dipantau. Menginstalasi perangkat
69
sensor pada lokasi yang tidak tepat dapat menyebabkan adanya peringkatan false positive. Salah satu mekanisme yang digunakan adalah dengan menggunakan anomaly detection. Hal ini dikarenakan frame yang ditransmisikan oleh normal traffic dengan frame yang dikirimkan oleh penyerang memiliki banyak kesamaan yang akan dibahas pada bagian selanjutnya. Agar perangkat wireless client dapat mengetahui dan mengidentifikasi daftar jaringan yang memberikan konektivitas, standarisasi dan spesifikasi IEEE 802.11 telah membuat dan mengakomodasikan suatu fungsi atau kemampuan mengirimkan paket broadcast untuk mendapatkan informasi jaringan yang tersedia. Aplikasi seperti NetStumbler dan DStumbler memanfaatkan fitur tersebut dan teknik-teknik scanning lainnya untuk menemukan jaringan nirkabel yang berada disekitarnya. Karena teknik-teknik tersebut merupakan bagian dari spesifikasi 802.11, maka cara-cara tersebut dapat dianggap sebagai teknik network discovery yang sah. Namun, pada kenyataannya beberapa teknik scanning yang digunakan oleh NetStumbler dan DStumbler yang digunakan disini menunjukkan beberapa penyimpangan ketika dibandingkan dengan spesifikasi 802.11 sehingga dapat dibedakan dengan teknik discovery yang sah yang pada umumnya digunakan oleh aplikasi-aplikasi supplicant baik yang terintegrasi pada sistem operasi maupun pada aplikasi terpisah bawaan vendor perangkat jaringan nirkabel tersebut. Dengan cara ini, sistem dapat mendeteksi adanya penggunaan aplikasi-aplikasi NetStumbler, DStumbler dan lain-lain oleh pengguna yang tidak sah.
70
Beberapa karakteristik atau fingerprint yang dapat digunakan untuk proses analisis akan dijelaskan pada bagian berikut ini. 1. Sequence Number Suatu
bagian
kendali
sequence
atau
urutan
digunakan
untuk
mengakomodasikan fragmentasi yang terjadi pada frame-frame 802.11 pada saat proses transmisi. Bagian ini memiliki panjang dua bytes, empat bits pertama digunakan untuk membedakan masing-masing frame dengan ketentuan 12 bits berikutnya digunakan untuk membedakan masingmasing frame berdasarkan pada suato modulo 4096 counter (Gast, 41). 2. Control Type dan Subtype Bagian control type dan control subtype menggunakan dua bytes dari struktur kendali frame 802.11 untuk mengidentifikasikan frame data, frame management dan frame control atau kendali guna mendukung dan mengoptimalkan kinerja jaringan 802.11 atau WLAN. 4.2.1 Teknik Network Discovery Berdasarkan mekanisme atau teknik network discovery, aplikasi-aplikasi yang sering digunakan oleh attacker dapat dibagi menjadi dua bagian, yaitu: Active Probing dan RF Monitoring. Aplikasi network discovery yang digunakan untuk mencari daftar jaringan nirkabel yang tersedia akan menerapkan satu dari dua teknik yang dapat digunakan. Masing-masing teknik tersebut memiliki kelebihan dan kekurangan seperti yang dijelaskan pada bagian berikut ini.
71
1. Active Probing Seperti yang dijelaskan dalam spesifikasi IEEE 802.11, teknik atau metode active probing menggunakan paket probe request pada masing-masing channel yang tersedia guna mendeteksi dan menemukan adanya aktivitas jaringan nirkabel. Ketika suatu AP berada dalam jangkauan dari wireless client dan menerima sebuah frame probe request, maka AP tersebut akan merespon dengan mengirimkan sebuah frame probe response yang berisi informasi ESSID dari jaringan. Metode active scanning untuk menemukan daftar jaringan yang tersedia merupakan teknik atau metode yang termudah untuk dilakukan dan cara tersebut merupakan mekanisme yang digunakan oleh sistem operasi Microsoft Windows. Namun, metode ini tidak memiliki kemampuan untuk menemukan
jaringan
nirkabel
yang
dikonfigurasi
agar
tidak
mentransmisikan keberadaannya ke jaringan atau disebut dengan hidden network. Selain itu, metode active scanning mengharuskan perangkat wireless client untuk berkomunikasi secara aktif dengan AP, dimana hal ini memberikan kemudaan bagi intrusion analyst untuk menemukan adanya upaya-upaya penyusupan. 2. RF Monitoring Peningkatan jumlah aplikasi WLAN discovery yang menggunakan metode passive monitoring atau disebut dengan RFMON mode. Suatu wireless client yang memiliki perangkat WLAN card yang dikonfigurasi untuk
72
beroperasi pada mode RFMON akan memiliki kemampuan untuk menangkap semua sinyal RF pada suatu channels yang dipantaunya. Aplikasi WLAN discovery menggunakan teknik pencarian dengan mode RFMON akan menginterpretasikan dan menampilkan semua informasi mengenai jaringan yang dapat ditangkap oleh perangkat wireless client dan tidak terbatas hanya pada informasi yang dibawa oleh frame probe request dan probe response. Karena metode ini merupakan teknik yang benarbenar pasif, maka akan sangat sulit bagi intrusion analyst untuk mendeteksi keberadaan pengguna yang menggunakan teknik tersebut. Namun, pada satu sisi metode ini memiliki kekurangan yang cukup dirasakan oleh attacker yang ingin menggunakan teknik passive discovery atau passive monitoring. Aplikasi network discovery jenis ini, sampai penelitian ini dilakukan, hanya dapat dilakukan pada sistem operasi berbasis GNU/Linux dan BSD. Walaupun terdapat produk komersil yang dapat dijalankan pada sistem operasi Microsoft Windows, tetapi dari segi biaya hal ini merupakan pilihan yang kurang populer. Selain itu, tidak semua chipset perangkat WLAN card memiliki fitur RFMON. Hal ini merupakan beberapa kendala yang dihadapi ketika menggunakan teknik passive scanning bila dibandingkan dengan teknik active scanning. Ketika dalam mode RFMON, perangkat wireless client tidak dapat mentransmisikan frame apapun. WLAN card tersebut hanya dapat menerima data dari perangkat lain. Hal ini akan membatasi perangkat wireless client dimana aplikasi hanya dapat digunakan untuk melaporkan
73
paket-paket yang diproses pada saat ini atau paket yang telah ditangkap sebelumnya. 4.2.2 Analisis Karakteristik atau Fingerprint Berikut ini adalah beberapa tahapan yang digunakan untuk mendeteksi pola-pola aplikasi network discovery.
1. NetStumbler Nama
: NetStumbler, MiniStumbler
Situs
: http://www.netstumbler.com/
Metode discovery
: Active scanning/probing
Fitur
: proses instalasi mudah, dukungan GPS
Sistem Operasi
: Microsoft Windows, Pocket PC
Developer
: Marius Milner
NetStumbler merupakan suatu aplikasi yang sangat populer bagi pengguna sistem operasi Microsoft Windows yang digunakan untuk mencari daftar jaringan nirkabel yang tersedia melalui metode active scanning. NetStumbler akan mengirimkan frame probe requests ke alamat broadcast dengan sebuah broadcast SSID dan ESSID yang tidak dispesifikasikan (dengan panjang ESSID adalah 0). Frame probe requests yang digunakan oleh NetStumbler sulit dideteksi sebagai sebuah upaya serangan karena metode active scanning yang digunakan merupakan suatu teknik yang sah yang dibahas dalam spesifikasi IEEE 802.11 dan merupakan teknik yang dipakai oleh aplikasi-aplikasi supplicant. Hal ini membuat intrusion analyst sulit membedakan apakah frame probe requests
74
tersebut sebagai suatu aktivitas yang normal atau berasal dari aplikasi NetStumbler. Ketika suatu AP ditemukan, selanjutnya NetStumbler akan menyelidiki AP tersebut dengan menggunakan frame LLC/SNAP yang berisi karakteristik yang unik yang memungkinkan intrustion analyst untuk mengenali dan mendeteksi aktivitas aplikasi NetStumbler. Mekanisme pendeteksian ini pertama kali dipublikasikan oleh Mike Craik di milis Kismet Wireless pada 28 Maret 2002. frame yang dienkapsulasi dalam format LLC ini dibangkitkan oleh NetStumbler dan akan menggunakan suatu organizationally unique identifier (OID) dengan isi 0x00601d dan protocol identifier (PID) yang berisi 0x0001. NetStumbler juga menggunakan suatu payload data berukuran 58 bytes yang berisi string unik yang dapat digunakan untuk mengidentifikasikan versi dari aplikasi NetStumbler yang digunakan.
Tabel 4.1 Informasi Payload String pada aplikasi NetStumbler NetStumbler Version
Payload String
3.2.0
Flurble gronk bloopit, bnip Frundletrune
3.2.3
All your 802.11b are belong to us
3.3.0
Intentionally blank
75
Untuk mengidentifikasikan trafik yang dibangkitkan oleh NetStumbler, intrusion
analyst
dapat
menggunakan
display
filter
pada
aplikasi
Wireshark/Ethereal seperti berikut:
Pendeteksian berikut ini berasal dari aplikasi NetStumbler versi 3.2.3 dengan sistem operasi Microsoft Windows 2000.
76
Aplikasi MiniStumbler merupakan aplikasi sejenis yang ditujukan untuk beroperasi pada sistem operasi Microsoft Pocket PC. Walaupun berkas eksekusi “ministumbler.exe” berisi string “All your 802.11b are belong to use”, versi MiniStumbler ini tidak memiliki proses yang sama dengan NetStumbler karena tidak mengirimkan frame probe pada AP yang ditemukan. Pada beberapa diskusi yang banyak dibahas di milis mengindikasi bahwa banyak pengguna NetStumbler yang menggunakan aplikasi binary file editor untuk mengubah string “All your 802.11b are belong to use” guna menghindari pendeteksian saat melakukan proses network discovery.
2. DStumbler Nama
: DStumbler, bsd-airtools
Download
: http://www.dachb0den.com/projects/dstumbler.html
Metode
: active scanning/probing atau passive RF monitoring
Fitur
: Reports APs with default configuration, GPS support, reports additional information about discovered networks (WEP enabled, beacon interval, node detection)
DStumbler merupakan aplikasi open-source berbasis curses yang dirancang untuk berjalan pada sistem operasi BSD-like. DStumbler menawarkan dua mekanisme scanning yang dapat digunakan pada WLAN. Tidak seperti NetStumbler, DStumbler tidak melakukan proses active scanning untuk menemukan daftar Wireless Access Points yang berada di sekitarnya. Ketika dioperasikan dalam mode active scanning, DStumbler memiliki
77
karakteristik atau penanda yang unik yang memungkinkan aplikasi WIDS mendeteksi keberadaan dan penggunaan aplikasi tersebut melalui frame probe request. Berdasarkan beberapa informasi yang didapatkan melalui milis Kismet Wireless, salah seorang anggota (Mike Craik, 2002) menyebutkan bahwa untuk mendeteksi keberadaan DStumbler dapat digunakan pola yang terdapat pada sequence number, yaitu 0, 3, 6, 9 dan 11. Ketika DStumbler dioperasikan dalam mode active scanning, maka aplikasi ini akan membangkitkan dan mentransmisikan frame-frame probe request. Dengan menggunakan aplikasi seperti Wireshark/Ethereal dapat diketahui adanya keberadaan DStumbler dengan menggunakan filter seperti dibawah ini:
3. Wellenreiter Name
: Wellenreiter
Download
: http://www.remote-exploit.org/
Metode
: Passive RF Monitoring
Fitur
: GPS support, reports default ESSIDs, embedded statistics engine for collection of signal strength, packet counters, and other related information.
Platforms
: Linux, experimental BSD
Author
: Max Moser
78
Wellenreiter merupakan suatu aplikasi berbasis Perl/Gtk+ yang beroperasi pada sistem operasi GNU/Linux. Wellenreiter hanya mendukung proses network discovery melalui mekanisme RFMON packet capture. Namun, Wellenreiter memerlukan WLAN Interface Card yang terpisah guna menjalankan proses ESSID brute-force attack. Keberadaan Wellenreiter dan pola serangan tersebut dapat diketahui dengan menggunakan aplikasi Wireshark/Ethereal dengan filter seperti di bawah ini.
Wellenreiter
juga
menggunakan alamat
MAC
yang
acak
guna
meningkatkan level of anonymity bagi si penyerang. Tetapi, mekanisme ini juga dapat digunakan oleh aplikasi WIDS dengan mendeteksi alamat MAC acak yang tidak memenuhi mekanisme penomoran yang dibuat oleh badan IEEE. 4.2.3 Analisis Komponen Komponen a. Spesifikasi sistem yang akan dibangun Tabel 4.2 Spesifikasi sistem yang akan dibangun Sistem
Keterangan
Drone
Sensor IDS
Kismet
Server IDS dan analyzer
Alerting
Reporting/Notification
79
b. Spesifikasi perangkat lunak (software) Perangkat lunak (software) yang digunakan penulis dalam penelitian tugas akhir ini adalah: Tabel 4.3 Spesifikasi Perangkat Lunak (Software) yang digunakan No Software
Versi
Keterangan
1
10.10
Sistem operasi yang digunakan sebagai
Ubuntu
OS untuk server IDS. 2
Windows 7
Ultimate Sistem operasi yang digunakan sebagai OS client/user
3
OpenWrt
10.03
Sistem operasi yang digunakan sebagai OS sensor IDS pada wireless router.
4
Kismet Server
2010.07
Aplikasi IDS server
5
Kismet Drone
2010.07
Aplikasi IDS sensor
6
Swatch
3.2
Aplikasi log monitoring
7
aircrack-ng
1.0
Aplikasi yng di gunakan untuk menguji keamanan pada IDS.
8
Arpspoof
1.17
Aplikasi yang digunakan untuk mendateksi perubahan alamat mac.
9
Multilog
Linux
Aplikasi yang digunakan untuk memproses berkas dari log kismet server menjadi format tertentu agar mudah di baca oleh swatch.
10
Smtplib
Linux
Aplikasi yang digunakan untuk
80
mengirimkan pesan peringatan yang berupa email.
Untuk memastikan sistem yang dibangun telah berfungsi dengan baik, maka diperlukan sistem lain yang digunakan untuk melakukan pengujian dengan cara melancarkan beberapa jenis serangan pada jaringan nirkabel. Untuk membangun sistem uji tersebut diperlukan beberapa persyaratan, yaitu adanya dukungan dari sistem operasi, aplikasi atau tools dan driver perangkat NIC yang digunakan. Seperti yang terlihat pada tabel spesifikasi perangkat lunak, penulis menggunakan sistem operasi Ubuntu Desktop Edition 10.04, aplikasi aircrack-ng dan driver ath5k pada perangkat pada sisi attacker. c. Spesifikasi perangkat keras (Hardware) Tabel 4.4 Spesifikasi Perangkat Keras (Hardware) yang digunakan No.
Perangkat
Jumlah
Keterangan
1
Server
1
CPU: AMD Athlon II X4 620
2
Normal AP
2
AP Model: Linksys WRT54GL Fimware: Default Linksys
3
Drone
1
System-On-Chip: Broadcom 5352EKPB CPU Speed: 200 MHz Flash-Chip: EON EN29LV302B-70TCP Flash size: 4 MB RAM: 16 MB Wireless: Broadcom BCM43xx 802.11
81
b/g (integrated)
4
Rogue AP
1
Linksys WRT54GL
5
Embedded
1
AP Model: TP-Link WR1043ND CPU architecture: based on RISC, MIPS CPU type and speed: Atheros AR9132 @ 400 MHz RAM: 32 MB, Flash: 8 MB Wireless: Atheros AR9103 802.11n Ethernet: Gigabit switch Realtek RTL8366RB
4.3
Design (perancangan) Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem
yang akan dibangun yaitu sistem pendeteksian penyusup pada jaringan nirkabel dengan menggunakan embedded device. Proses perancangan dibagi menjadi : 4.3.1 Perancangan Hardware Linksys WRT54GL merupakan salah satu wireless router yang mudah untuk dikustomisasi. Beberapa firmware open source mendukung perangkat ini secara penuh, antara lain yaitu DD-WRT, OpenWrt dan Tomato. Perangkat ini memilih ukuran memori yang cukup besar sehingga mengijinkan pengguna untuk menambah kemampuan lebih dari yang diberikan secara default oleh vendor.
82
Spesifikasi secara mendetail mengenai perangkat Linksys WRT54GL dapat dilihat pada lampiran A. Pada penilitian kali ini, penulis akan melakukan modifikasi pada perangkat Linksys WRT54GL dan TP-LINK WR1043ND untuk ditambahkan beberapa fungsi untuk membangun sistem pendeteksi penyusup (IDS) pada jaringan nirkabel. IDS berfungsi untuk memantau jaringan nirkabel, sehingga apabila ada usaha-usaha yang dilakukan untuk menembus sistem keamanan yang ada, maka IDS akan memberikan peringatan/pemberitahuan kepada sysadmin guna menghindari kerusakan yang lebih besar yang dapat ditimbulkan dari tindakan tersebut. Untuk mengatasi usaha-usaha serangan yang ada, sysadmin harus melakukan tindakan pencegahan secara manual berdasarkan informasi-informasi yang telah dikumpulkan oleh IDS dan dikirimkan bersamaan dengan pesan peringatan.
Gambar 4.2 WRT54G internal hardware architecture
83
Keamanan jaringan nirkabel telah mengalami banyak perbaikan dalam beberapa tahun terakhir ini. standarisasi keamanan terbaru, IEEE 802.11i, telah dikeluarkan untuk menggantikan protokol yang lama yaitu WEP dan WPA. IEEE 802.11i atau yang dikenal juga dengan istilah WPA2 memberikan keamanan yang lebih baik. Walaupun WPA2 menjamin keamanan dengan menggunakan proses authentication dan data encryption, tetapi protokol ini tetap tidak bisa melindungi jaringan dari active attack seperti Denial of Service (DoS), disassoc flood, packet injection dan lain-lain. Selain pada beberapa kondisi jaringan, proses upgrade bukan merupakan salah satu pilihan yang dapat ditempuh. Hal ini dikarenakan, keterbatasan hardware, kompatibilitas software dan lain sebagainya yang membuat sysadmin tetap menggunakan protokol yang tidak aman seperti WEP. Salah satu solusi lain yang dapat meningkatkan keamanan pada jaringan nirkabel adalah dengan menerapkan suatu policy. Policy ini akan membatasi user yang boleh mengakses jaringan nirkabel, menentukan layanan apa yang digunakan dan kapan user dapat mengakses layanan tersebut. Tetapi semua langkah-langkah tersebut masih belum cukup untuk benar-benar mengamankan jaringan nirkabel dari attacker. Oleh karena itu, diperlukan suatu sistem yang dapat mendeteksi adanya upaya serangan, sehingga dengan sistem ini dapat dicegah kerusakan yang lebih besar.
84
4.3.2 Perancangan Topologi Pada tahap ini, penulis melakukan perancangan topologi yang akan digunakan dan perubahan apa yang diperlukan pada topologi jaringan yang ada saat ini.
Gambar 4.3 Topologi infrastruktur jaringan yang digunakan Seperti yang terlihat pada gambar 4.3 gedung BNN memiliki empat buah lantai dan masing-masing lantai telah dikonfigurasi untuk menggunakan VLAN yang berbeda. Hal ini bertujuan untuk meningkatkan kinerja jaringan, keamanan dan kemudahan administrasi jaringan tersebut. Pada infrastruktur jaringan di gedung BNN telah terdapat sistem IPS (Intrusion Prevention System) yang digunakan untuk melindungi server farm yang menjalankan layanan e-mail, portal
85
web dan Domain Name System. Selain itu, IPS ini juga digunakan untuk memantau trafik pada jaringan dan melihat adanya lalu-lintas yang berbahaya seperti worm, virus dan/atau trojan. Sistem yang akan dikembangkan adalah wireless IDS. Wireless IDS dirancang khusus untuk melindungi infrastruktur jaringan nirkabel. Jaringan nirkabel pada saat ini bisa menjadi salah satu jalan yang digunakan oleh attacker untuk masuk sebelum pada akhirnya melakukan serangan pada server farm. Hal ini dikarenakan, pada banyak institusi, jaringan nirkabel seringkali menjadi low priority dalam merancang keamanan suatu jaringan. Sysadmin lebih fokus pada pengamanan jaringan dari ancaman serangan yang berasal dari extranet atau dari luar jaringan seperti serangan yang berasal dari internet. Untuk tujuan penelitian skripsi ini, implementasi sistem wireless IDS akan ditempatkan pada salah satu departemen, yaitu IT departemen yang terdapat pada lantai 4.
Gambar 4.4 Topologi jaringan yang telah menggunakan WIDS
86
Tabel 4.5 Pengalokasian Alamat IP untuk masing-masing perangkat No.
Perangkat
Alamat IP
Keterangan
1
Sensor-1
192.168.10.101
Kismet Drone
2
Sensor-2
192.168.10.102
Kismet Drone
3
WIDS Server
192.168.10.1
Kismet Server
4
Wireless Client
192.168.1.101
DHCP
5
Wireless AP-1
192.168.1.11
Normal AP
6
Wireless AP-2
192.168.1.12
Rogue AP
7
Attacker
192.168.1.102
wlan0
Penempatan sensor IDS menjadi salah satu poin penting dalam perancangan sistem yang akan dikembangkan. Server IDS dirancang untuk dapat menerima raw data hasil proses capture dari banyak sensor, sehingga dengan proses seperti ini akan memudahkan administrasi dan mengurangi biaya dan waktu maintenance. Untuk menjaga lalu-lintas data pada jaringan tetap baik, maka konektivitas antara sensor dan server IDS akan dibuat terpisah seperti yang terlihat pada gambar 4.4. Selain itu, hal ini bertujuan untuk meningkatkan keamanan karena komunikasi antara sensor dan server IDS tidak dienkripsi sama sekali dan proses otentikasi yang dilakukan sebelum komunikasi antara keduanya terbentuk hanya berdasar pada konfigurasi alamat IP yang digunakan.
87
4.3.3 Perancangan Sistem Setelah perancangan topologi jaringan dan embedded device yang akan digunakan, langkah selanjutnya adalah membuat rancangan sistem sistem baru yang akan dibangun dan diimplementasikan, yang akan menjadi solusi berbagai rumusan
permasalahan.
Penulis
menggunakan
diagram
alur
untuk
menggambarkan dan mendefinisikan alur koneksi fungsionalitas sistem yang akan penulis bangun, sehingga dapat dengan jelas diidentifikasi dan dipahami dengan lebih mudah. Gambar 4.5 menspesifikasikan diagram alur dari sistem IDS yang dibangun.
Gambar 4.5 Flowchart proses komunikasi antar komponen pada WIDS
88
Keterangan dari simbol simbol diatas adalah sebagai berikut: Tabel 4.6 Keterangan simbol diagram alur Model
Simbol
Keterangan
Terminal
Mendefinisikan awal atau akhir proses
Process,
Mendefinisikan
report
kegiatan
yang
terjadi atau hasil dari kegiatan tersebut. Mendefinisikan
Decision
suatu
kondisi
pilihan
dari
sejumlah kemungkinan dari suatu proses tertentu Mendefinisikan output dalam layar /
Display display
Sequence
Urutan terjadinya proses-proses
Diagram diatas dapat dijelaskan sebagai berikut: 1. Sensor atau drone bertugas untuk menangkap seluruh data yang ditransmisikan melalui jaringan nirkabel 2. Raw packet data yang diterima oleh sensor akan diteruskan ke Kismet Server untuk diproses 3. Seluruh informasi hasil proses oleh Kismet Server akan disimpan dalam sebuah berkas log 4. Berkas log tersebut akan dianalisis oleh Swatch guna mencari polapola yang sesuai dengan pola yang telah didefinisikan sebelumnya
89
5. Apabila ditemukan pola yang sesuai maka akan dikirim alert atau peringatan berupa pesan ke e-mail network administrator. 6. Apabila tidak ditemukan pola-pola serangan, maka proses analisis akan dilanjutkan dengan membaca data terbaru dari berkas log
4.4
Simulation Prototyping (Prototipe Simulasi) Pada tahap ini penulis membangun prototipe dari sistem yang akan
dibangun. Proses simulasi berguna untuk menghindari kesalahan/kegagalan pada tahapan implementasi. Melakukan modifikasi pada embedded device memiliki resiko dan kesulitan yang cukup tinggi. Kesalahan konfigurasi dan proses instalasi pada embedded device dapat mengakibatkan perangkat tersebut tidak dapat difungsikan lagi. Oleh karena itu, penulis akan membangun sistem yang memiliki fungsionalitas yang sama tetapi dibangun diatas arsitektur x86. Penulis menggunakan aplikasi virtualisasi yang berjalan diatas arsitektur x86, dimana aplikasi ini nantinya akan menjalankan sistem operasi yang menggantikan fungsi Drone sebagai sensor IDS. Adapun langkah-langkah yang dilalui adalah sebagai berikut: 1. Instalasi aplikasi virtualisasi VirtualBox versi 3.2.10 keluaran Oracle 2. Instalasi sistem operasi virtual Ubuntu Server Edition 10.04 3. Konfigurasi topologi jaringan pada sistem operasi virtual 4. Instalasi sistem operasi OpenWrt pada arsitektur x86. 5. Instalasi aplikasi kismet_drone yang berfungsi sebagai sensor IDS 6. Testing komunikasi drone ke server IDS
90
7. Testing swatch log monitoring 8. Uji coba serangan dengan sistem attacker
4.5
Implementation (Implementasi) Setelah dipastikan semua proses instalasi dan konfigurasi berjalan dengan
baik dan setiap komponen dalam sistem IDS dapat berkomunikasi satu sama lainnya, maka tahapan selanjutnya adalah proses implementasi pada perangkat wireless router Linksys WRT54GL dan TP-Link WR1043ND yang menggunakan arsitektur MIPS. 4.5.1 Firmware Upgrade Langkah pertama adalah melakukan instalasi/upgrade default firmware dengan firmware open-source dari OpenWrt Backfire 10.03 yang dapat dilakukan dengan dua cara antara lain, yaitu: a.
HTTP Web Interface Cara yang paling aman untuk melakukan proses upgrade firmware
WRT54G adalah melalui fasilitas yang telah diberikan dalam web management. Aplikasi management untuk Linksys WRT54GL bisa diakses melalui URL http://192.168.1.1 dimana terlebih dahulu harus memasukkan informasi username (defaultnya kosong) dan password (defaultnya admin). Lalu menu upgrade dapat diakses di Administration > Firmware Upgrade > Browser.
91
Gambar 4.6 Proses upgrade firmware melalui web management b.
TFTP Upload Cara yang kedua adalah dengan menggunakan protokol TFTP. Cara ini sedikit lebih rumit, karena selain aplikasi tambahan berupa TFTP klien, proses upload membutuhkan timing yang tepat agar proses upgrade dapat berjalan dengan baik. Proses ini sering digunakan apabila unit Linksys WRT54GL telah diganti sebelumnya dengan firmware third-party selain OpenWrt. Untuk dapat menggunakan metode ini, juga perlu diaktifkan parameter boot_wait pada unit tersebut.
4.5.2 Instalasi Kismet Drone Pada tahapan ini akan dilalukan konfigurasi pada unit Linksys WRT54GL agar berfungsi sebagai IDS sensor dengan menggunakan aplikasi Kismet Drone.
92
Gambar 4.7 Tampilan Welcome Screen Sistem Operasi OpenWrt Untuk memastikan bahwa perangkat sensor yang digunakan telah terkoneksi ke Internet maka penulis mengirimkan paket ICMP ke salah satu server yang berada di internet dengan perintah berikut ini: # ping google.com
Gambar 4.7 Proses pengujian konektivitas ke Internet Sebelum melakukan proses instalasi paket kismet_drone, terlebih dahulu penulis harus mengsinkronisasikan database packet management ke server repository OpenWrt dengan perintah berikut: # opkg update
Gambar 4.9 Proses update informasi package management
93
Selanjutnya, untuk melakukan proses instalasi paket kismet_drone, penulis menggunakan perintah berikut: # opkg install kismet-drone
Gambar 4.10 Proses instalasi aplikasi kismet_drone Sebelum dapat dioperasikan, aplikasi kismet_drone terlebih dahulu harus dikonfigurasi dengan mengubah beberapa parameter sesuai dengan kondisi dan topologi jaringan yang digunakan. # vim /etc/kismet/kismet-drone.conf
Gambar 4.11 Konfigurasi aplikasi Kismet Drone
94
4.5.3 Instalasi Kismet (IDS Server) Aplikasi Kismet yang terdapat pada repository Ubuntu adalah Kismet 2008-05-R1-4.1 dimana versi tersebut sudah cukup lama. Untuk penelitian ini akan digunakan versi terbaru yaitu Kismet 2011-03-R2 yang diambil dari situs resminya. $ sudo apt-get update $ wget http://kismetwireless.net/kismet-2011.03.2.i386.deb $ sudo dpkg kismet-2011.03.2.i386.deb
4.5.4 Instalasi Multilog Multilog adalah aplikasi yang berfungsi untuk mengolah berkas log yang dibuat oleh Kismet. Aplikasi multilog terdapat dalam paket svtools. Untuk langkah proses instalasi adalah sebagai berikut: # apt-get install svtools
Gambar 4.12 Proses Instalasi multilog
95
Konfigurasi Kismet Berkas konfigurasi untuk aplikasi Kismet tidak terdapat di direktori /etc seperti umumnya aplikasi yang lain. Hal ini dikarenakan proses instalasi dilakukan dari kode sumber dan bukan dari repository sistem operasi yang bersangkutan. Berkas program binary Kismet akan berada di /usr/local/bin/kismet sedangkan berkas konfigurasi akan berada di direktori /usr/local/etc/kismet. # nano /usr/local/etc/kismet/kismet.conf
Gambar 4.13. Konfigurasi aplikasi Kismet Server suiduser=roamer
Parameter source berguna untuk memberitahukan ke aplikasi tentang NIC yang akan digunakan untuk proses monitoring. Perangkat yang digunakan adalah WRT54GL. source=prism0,wlan0,wrt54gl source=drone,tcp 10023
96
Parameter source dapat berisi informasi lebih dari satu sumber. Hal ini memungkinkan Kismet dapat memproses dan melakukan analisa data yang berasal dari banyak sensor. channelhop=true
Apabila parameter channelhop di set true, maka aplikasi akan melakukan proses monitoring pada semua channel yang ada, yaitu channel 1 sampai channel 13. Apabila salah satu sensor ditugaskan untuk memantau pada channel tertentu, maka parameter channelhop harus di set menjadi false. channelvelocity=5
Parameter berikutnya adalah channel velocity. Parameter ini berguna untuk mengendalikan banyaknya channel yang akan diproses dalam satu detik. Secara default, nilai parameter ini adalah 3, artinya kismet akan memproses 3 channel per detik. Range nilai yang dapat digunakan adalah 1 – 10. Parameter GPS berguna untuk menentukan koordinat akses point. Pada penelitian ini, fitur GPS tidak akan digunakan. Oleh karena itu, parameter ini harus di set menjadi false dan member tanda # didepan parameter gpshost. gps=false
Parameter terakhir merupakan salah satu parameter yang penting, terutama pada lingkungan sistem embedded. Parameter write interval memberitahu aplikasi Kismet waktu yang digunakan untuk menyimpan seluruh informasi ke dalam sebuah berkas di media penyimpanan (flash atau harddisk). Pada penelitian ini perangkat media penyimpanan yang digunakan merupakan flash memory. Oleh karena itu, nilai write interval harus di set seminimal mungkin agar juga penulisan
97
data ke flash memory menjadi lebih sedikit. Hal ini berguna untuk menjaga write cycles dan umur perangkat tersebut. Ada dua jenis celah keamanan utama yang perlu dilakukan pengujian. Celah yang pertama adalah serangan secara aktif dari malicious user, seperti serangan DoS, packet injection (misalnya ARP replay) terhadap Access Points maupun wireless client atau usaha untuk menembus protokol otentikasi dan enkripsi. Celah yang kedua adalah yang berasal dari Rogue AP, dimana Rogue AP ini dapat berupa AP yang memiliki konfigurasi yang salah, AP yang terkoneksi ke jaringan internal yang dibawa oleh karyawan atau malicious AP yang sengaja dipasang oleh attacker untuk menjebak valid user untuk membangun koneksi dengan AP tersebut. Setelah instalasi dan konfigurasi drone, multilog dan kismet server telah dilakukan, maka selanjutnya adalah menjalankan aplikasi tersebut untuk memantau lalu lintas pada jaringan nirkabel. 1. Mengaktifkan Drone
Gambar 4.14 Menjalankan aplikasi Kismet Drone
98
2. Mengaktifkan Kismet
Gambar 4.15 Perintah mengaktifkan kismet
Gambar 4.16 Komunikasi antara kismet_drone dan kismet_server Berdasarkan gambar 4.16 dapat diketahui bahwa komunikasi antara kismet_drone dan kismet_server merupakan komunikasi client/server yang menggunakan transport layer protocol TCP dan nomor port 2502. Mekanisme struktur data pada protokol komunikasi yang digunakan oleh aplikasi Kismet ini belum dikenali dengan baik oleh Wireshark. Hal ini dapat diketahui dari gambar
99
4.16 tersebut dimana PDU (Packet Data Unit) untuk application layer tidak dapat diuraikan dengan baik serta nomor port yang terdeteksi sebagai aplikasi yang lain.
4.6
Monitoring
4.6.1 Instalasi Aplikasi Swatch Untuk proses monitoring akan diproses oleh aplikasi Swatch. Aplikasi ini belum tersedia secara built-in pada sistem operasi GNU/Linux Ubuntu. Oleh karena itu, penulis terlebih dahulu harus melakukan proses instalasi program Swatch tersebut dengan perintah seperti yang tertera dibawah ini. $ sudo apt-get install swatch
Setelah proses instalasi swatch berhasil, maka sebelum menjalankan aplikasi ini ada beberapa berkas yang harus dikonfigurasi. Berkas konfigurasi swatch berada di /root/.swatchrc dimana berkas ini menyimpan informasi pola yang akan dipantau dan aksi yang akan dilakukan bila pola-pola tersebut ditemukan di dalam berkas log aplikasi yang dipantau oleh swatch. Informasi keseluruhan berkas .swatchrc dilampirkan pada lampiran D.
100
Gambar 4.17 Konfigurasi Swatch yang berisi pola-pola serangan Setelah menambahkan semua pola serangan dan aksi yang akan dilakukan ketika pola serangan tersebut terdeteksi, maka selanjutnya adalah menjalankan aplikasi swatch. Untuk memudahkan proses administrasi maka akan dibuat sebuah skrip yang akan menjalankan aplikasi swatch secara otomatis ketika perangkat dijalankan. Skrip ini secara lengkap dapat dilihat pada perintah dibawah ini. $ sudo nano /etc/rc.local # Start kismet_server echo -n " kismet_server" /usr/local/bin/kismet_server
2>&1
|
multilog
-*
+ALERT*
/var/log/kismet/alerts &
Gambar 4.18. Menjalankan aplikasi Swatch untuk proses pemantauan
101
4.6.2 Pengujian Untuk mengetahui apakah sistem wireless IDS telah berfungsi dengan baik, maka akan dilakukan proses pengujian berupa serangan ke infrastruktur jaringan nirkabel yang dibangun. Proses pengujian ini akan menggunakan sebuah perangkat notebook dengan wireless NIC yang memiliki kemampuan monitoring dan packet injection. Untuk keperluan tersebut, peneliti akan menggunakan USB wireless adapter D-Link G122 revision C1 dengan chipset dari Ralink Tech dengan model rt73. Untuk melakukan percobaan ini maka pada perangkat notebook yang digunakan untuk melakukan serangan terlebih dahulu harus diinstal aplikasi aircrack-ng. $ sudo apt-get install aircrack-ng
Setelah proses instalasi program aircrack-ng berhasil dilakukan, maka penulis akan mengaktifkan fitur RFMON pada salah satu WLAN interface card yang akan difungsikan untuk mengirimkan paket-paket serangan ke jaringan nirkabel yang telah dirancang sebelumnya. Adapun perintah-perintah yang digunakan untuk mengirimkan paket-paket tersebut terlihat seperti bagian berikut: $ sudo airmon-ng wlan1 start
Terlebih dahulu, penulis yang kali ini bertindak sebagai attacker, harus mengumpulkan beberapa informasi mengenai target. Informasi ini diperlukan untuk dapat melancarkan proses serangan yang berikutnya. $ sudo airodump-ng wlan1
Setelah mendapatkan keseluruhan informasi tersebut, seperti alamat MAC dari Wireless Access Point, alamat MAC Wireless Client, channel serta ESSID
102
yang digunakan oleh target, maka penulis baru dapat mengirimkan perintah berikut ini untuk melakukan pengujian serangan deauthentication flood. $ sudo aireplay-ng –deauth 20 wlan1 –a $AP –c $WIFI
Gambar 4.19 Proses pengiriman paket deauthentication Perintah diatas akan mengirimkan paket management frame berupa paket deauthentication ke wireless AP yang dituju. Wireless AP yang menerima paket tersebut akan memutuskan wireless klien yang memiliki informasi alamat MAC yang terdapat dalam paket tersebut. Metode serangan seperti ini dilakukan sebagai salah satu langkah atau tahapan untuk menembus keamanan jaringan nirkabel yang menerapkan protokol WEP atau WPA. Apabila serangan ini berhasil, maka wireless klien tersebut akan kehilangan konektivitasnya ke jaringan. Setelah attacker selesai mengirimkan paket deauthentication, maka wireless klien tersebut akan secara otomatis akan melakukan fase asosiasi dan otentikasi kembali ke wireless AP. Paket inilah yang akan di-sniffing oleh attacker untuk selanjutnya dianalisa guna mendapatkan WEP atau WPA key yang digunakan untuk mengakses jaringan nirkabel tersebut. Koneksi wireless client yang terputus dapat
103
dilihat dari adanya paket request timeout yang diterima seperti yang terlihat pada gambar 4.20 dibawah ini.
Gambar 4.20 Pesan RTO yang menandakan terputusnya koneksi Pada proses pengujian ini wireless client akan melakukan koneksi ke salah satu wireless akses point untuk mendapatkan ke dalam jaringan. Pada pengujian ini, penulis menggunakan protokol keamanan yang paling tinggi yang ada saat penelitian ini dilakukan, yaitu WPA2 atau IEEE 802.11i baik dengan mode PSK maupun mode IEEE 802.1X. Hal ini bertujuan untuk membuktikan bahwa protokol keamanan yang paling tinggi tersebut tetap memiliki celah atau lubang keamanan yang dapat disalahgunakan oleh unauthorized user. Setelah koneksi berhasil dilakukan, maka penulis mengirimkan paket ICMP untuk melakukan pengujian pengiriman data ke wireless akses point. Proses ini dapat dilihat dari gambar 4.20 dimana paket ICMP yang dikirim oleh wireless client direspon dengan mengirim ICMP reply oleh perangkat WAP yang memiliki alamat IP 192.168.1.1.
104
Selanjutnya penulis akan melakukan pengujian penyerangan, yaitu dengan mengirimkan paket broadcast deauthentication yang akan memutuskan koneksi antara wireless client dengan WAP. Proses pemutusan koneksi ini berhasil dilakukan seperti yang terlihat pada gambar 4.21 dimana komunikasi antara wireless client dan WAP terputus. Hal ini terlihat dari putusnya komunikasi, yang ditandai dengan pesan “request time out” dan/atau “destination host unreachable”. Proses terputusnya koneksi wireless client akan terlihat sama seperti proses penyerangan pada percobaan sebelumnya yang dapat dilihat pada tampilan layar pada perangkat komputer yang digunakan untuk melakukan penyerangan seperti yang terlihat pada gambar 4.21.
Gambar 4.21 Pengiriman paket broadcast deauthentication
105
Proses selanjutnya adalah mendeteksi illegal activity yang dilakukan oleh unauthorized user seperti yang telah dijelaskan pada bagian sebelumnya. Untuk keperluan proses ini, penulis menggunakan tiga komponen WIDS, yaitu sensor, server dan manager. Untuk pengujian pertama, penulis skema yang sederhana yang digunakan untuk mengetahui apakah aplikasi yang digunakan, Kismet, dapat mendeteksi pola-pola tertentu yang digunakan oleh penyerang. Untuk itu, penulis akan mengulangi langkah-langkah yang telah dilakukan sebelumnya yang terlihat pada gambar 4.20 dan gambar 4.21, sedangkan pada perangkat terpisah penulis akan memasang sebuah sensor yang akan berkomunikasi dengan kismet server. Berdasarkan hasil pengujian didapatkan bahwa aplikasi kismet dapat mendeteksi pola serangan tersebut seperti yang terlihat pada gambar 4.22 dibawah ini.
Gambar 4.22 Aplikasi WIDS (Kismet) mendeteksi adanya serangan DoS
106
Pada gambar 4.22 terlihat bahwa kismet mengirimkan pesan peringatan atau
alert
yang
memberitahukan
adanya
serangan
berupa
broadcast
deauthenticate/disassociation pada perangkat wireless akses point dengan BSSID 00:25:9C:CB:66:18 yang pada proses sebelumnya diketahui merupakan wireless akses point yang menggunakan nama jaringan atau SSID “Linksys”. Pada proses selanjutnya, informasi yang diterima adalah meneruskan informasi yang telah diproses oleh kismet server agar dapat diterima dan diketahui oleh network atau system administrator kapanpun dan dimanapun. Hal ini bertujuan agar sysadmin dapat mengambil tindakan pencegahan sedini mungkin sehingga dapat menghindari terjadinya kerusakan sistem yang lebih besar. Oleh karena itu, untuk keperluan tersebut penulis menggunakan media e-mail untuk fasilitas pengiriman pesan peringatan atau alert. Berdasarkan hasil pengujian, aplikasi manager dapat berintegrasi dengan kismet server dan memproses berkas log yang digunakan oleh kismet server untuk menyimpan setiap event yang terjadi. Aplikasi manager akan memantau pola-pola tertentu yang telah ditetapkan sebelumnya dan akan mengirimkan sebuah e-mail ke system administrator apabila ditemukan pola-pola tersebut dalam berkas log kismet server. E-mail yang dikirim oleh aplikasi manager akan berisi informasi yang penting bagi system administrator untuk mengambil tindakan pencegahan selanjutnya. Beberapa informasi tersebut antara lain adalah alamat MAC dari wireless akses point yang menjadi target serangan dan jenis serangan yang dilancarkan. Bentuk atau format e-mail yang dikirimkan oleh aplikasi manager dapat dilihat pada gambar 4.24 dibawah ini.
107
Gambar 4.23 Laporan pesan peringatan akan adanya serangan DoS
Gambar 4.24 Laporan pesan peringatan akan adanya Rogue AP Sistem WIDS yang dikembangkan dapat mendeteksi berbagai jenis serangan dan untuk tiap jenis serangan tersebut, aplikasi akan memberikan pesan peringatan atau alert yang berbeda-beda sesuai dengan karakteristik serangan
108
yang terjadi. Hal ini dapat membantu system atau network administrator dalam mengenali pola-pola yang dilakukan oleh unauthorized users serta dapat mengambil langkah pencegahan yang sesuai dengan kondisi yang terjadi. Pada gambar 4.25 dapat diketahui bahwa jaringan sedang disusupi oleh unauthorized users yang dideteksi oleh sistem ini dan terdeteksi dengan pesan suspicious client.
Gambar 4.25 Pesan peringatan yang berasal dari aplikasi WIDS
4.7
Management Untuk proses manajemen, salah satu komponen dari aplikasi atau sistem
WIDS akan melakukan pengaturan pada berkas log, sehingga berkas log yang diproses merupakan berkas log yang berisi perubahan terbaru. Untuk proses penyimpanan berkas log yang lama dapat disimpan dalam suatu database terpisah. Namun, pembahasan tersebut diluar cakupan dari penelitian yang dilakukan oleh penulis. Penyimpanan berkas log yang telah lama dapat digunakan untuk proses analisis lebih lanjut mengetahui pola-pola maupun karakteristik serangan yang dilakukan oleh attacker.
BAB V KESIMPULAN DAN SARAN
5.1 Kesimpulan 1. Aplikasi Wireless IDS yang dikembangkan telah berhasil mendeteksi upaya-upaya serangan dan penyusupan yang menggunakan berbagai macam metode serangan seperti deauthentication flood, Denial of Service (D0S), Rogue Access Point, Suspicious Client dan Suspicious Data Traffic. 2. Aplikasi Wireless IDS yang dikembangkan juga telah dapat memberikan alert atau pesan peringatan sedini mungkin ketika terjadinya upaya-upaya serangan atau penyusupan ke infrastruktur jaringan nirkabel. Pesan peringatan yang dikirimkan berisi beberapa informasi yang sangat penting bagi network administrator untuk memberikan respons yang cepat.
5.2 Saran 1. Untuk pengembangan selanjutnya dapat diarahkan ke pembuatan fitur atau fasilitas reporting yang lebih informatif serta menyimpan daftar history dari serangan serangan yang telah terdeteksi sebelumnya ke dalam sebuah database guna pengkajian lebih lanjut mengenai pola pola serangan yang digunakan oleh attacker. 2. Untuk pengembangan selanjutnya, sistem WIDS dapat ditambahkan fasilitas pengiriman pesan peringatan atau alert melalui media SMS sehingga tetap dapat mengirimkan pesan peringatan meskipun konektivitas 109
110
ke internet sedang terputus atau mengalami gangguan baik pada sisi aplikasi maupun pada sisi penerima pesan, dalam hal ini adalah sysadmin.
DAFTAR PUSTAKA
Ariyus, Dony. 2009. Intrusion Detection System. Yogyakarta : Penerbit ANDI. Ariyus, Dony. 2006. Computer Security. Yogyakarta : Penerbit ANDI Budiawan, Ashadi. 2008. Analisa Unjuk Kerja Wireless Mesh Network Dengan Protokol Routing AODV-ST. Jakarta : Perpustakaan Universitas Indonesia Endorf, C. Schultz, E. dan Mellander, J.2004. Intrusion Detection & Prevention. California : McGraw-Hill/Osborne. Goldman, James, E. dan Rawles, Philip, T. 2001. Applied Data Communication A Business Oriented Approach, 3 Edition. John Wiley & Sons, Inc. Haines, Brad, Frank Thornton dan Michael Schearer. 2008. Kismet Hacking. Syngress Hallinan, Christopher. 2006. Embedded Linux Primer: A Practical Real-World Approach. Prentice Hall Hantoro, Gunadi Dwi. 2009. Wi-Fi (Wireless LAN) Jaringan Komputer Tanpa Kabel. Bandung : Penerbit Informatika. Mulyanta, S, Edi. 2005. Pengenalan Protokol Jaringan Wireless Komputer. Yogyakarta : Penerbit ANDI. Murray, Jason. 2009. An Inexpensive Wireless IDS using Kismet and OpenWRT. SANS Institute. Nazir, Muhammad. 2005. Metode Penelitian. Bogor : Ghalia Indonesia. Wright, Joshua. 2002. Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection. SANS Institute.
111
112
LAMPIRAN A Spesifikasi Perangkat Linksys WRT54GL
Ports:
WAN : Satu buah port RJ-45 10/100 untuk koneksi WAN
LAN : Empat buah port RJ-45 Auto-MDI(X) switched ports
WLAN: 54 Mbps 802.11 b/g berupa sebuah MiniPCI card dengan dual external RP-TNC antenna
113
LED Indicators
Power, DMZ, Diag
WLAN : Act, Link
LAN : Link/Act, Full/Col, 100
Internet : Link/Act, Full/Col, 100
Channels
: 1-11 (USA), 1-14 (Asia, Eropa)
Transmit Power
: 15 dBm (dapat ditingkatkan sampai 20 db/84 mW)
Hardware specification Architecture
: MIPS
Vendor
: Broadcom
Bootloader
: CFE
System-On-Chip
: Broadcom 5352EKPB
CPU Speed
: 200 MHz
Flash-Chip
: EON EN29LV302B-70TCP
Flash size
: 4 MB
RAM
: 16 MB
Wireless
: Broadcom BCM43xx 802.11 b/g
Ethernet
: Switch in CPU
USB
: No
Serial
: Yes
JTAG
: Yes
114
LAMPIRAN B kismet_drone.conf
# Kismet drone config file version=newcore.1 # Name of drone server (informational) servername=Kismet-Drone # Drone configuration # Protocol, interface, and port to listen on dronelisten=tcp://127.0.0.1:2502 # Hosts allowed to connect, comma separated. netmasks.
May include
# allowedhosts=127.0.0.1,10.10.10.0/255.255.255.0 droneallowedhosts=127.0.0.1 # Maximum number of drone clients dronemaxclients=10 droneringlen=65535 # Do we have a GPS? gps=false # Do we use a locally serial attached GPS, or use a gpsd server? # (Pick only one) gpstype=gpsd # gpstype=serial # What serial device do we look for the GPS on? gpsdevice=/dev/rfcomm0 # Host:port that GPSD is running on. remote! gpshost=localhost:2947
This can be localhost OR
# Do we lock the mode? This overrides coordinates of lock "0", which will # generate some bad information until you get a GPS lock, but it will # fix problems with GPS units with broken NMEA that report lock 0 gpsmodelock=false # Do we try to reconnect if we lose our link to the GPS, or do we just # let it die and be disabled? gpsreconnect=true # See the README for full information on the new source format # ncsource=interface:options ncsource=null # for example:
115
# ncsource=wlan0 # ncsource=wifi0:type=madwifi # ncsource=wlan0:name=intel,hop=false,channel=11 # Special per-source options # sourceopts=[sourcename|*]:opt1,opt2 # sourceopts=*:fuzzycrypt,weakvalidate # Comma-separated list of sources to enable, if you don't want to enable all # the sources you defined. # enablesource=source1,source2 # How many channels per second do we hop? channelvelocity=5
(1-10)
# By setting the dwell time for channel hopping we override the channelvelocity # setting above and dwell on each channel for the given number of seconds. #channeldwell=10 # Users outside the US might want to use this list: # channellist=IEEE80211b:1,7,13,2,8,3,14,9,4,10,5,11,6,12 channellist=IEEE80211b:1:3,6:3,11:3,2,7,3,8,4,9,5,10 # US IEEE 80211a channellist=IEEE80211a:36,40,44,48,52,56,60,64,149,153,157,161,165 # Combo channellist=IEEE80211ab:1:3,6:3,11:3,2,7,3,8,4,9,5,10,36,40,44,48, 52,56,60,64,149,153,157,161,165
LAMPIRAN C kismet.conf # Kismet config file # Most of the "static" configs have been moved to here -- the command line # config was getting way too crowded and cryptic. We want functionality, # not continually reading --help! # Version of Kismet config version=2009-newcore # Name of server (Purely for organizational purposes) servername=Kismet_2009 # Prefix of where we log (as used in the logtemplate later) # logprefix=/some/path/to/logs
116
# Do we process the contents of data frames? If this is enabled, data # frames will be truncated to the headers only immediately after frame type # detection. This will disable IP detection, etc, however it is likely # safer (and definitely more polite) if monitoring networks you do not own. # hidedata=true # Do we allow plugins to be used? This will load plugins from the system # and user plugin directiories when set to true (See the README for the default # plugin locations). allowplugins=true # # # # # #
See the README for full information on the new source format ncsource=interface:options for example: ncsource=wlan0 ncsource=wifi0:type=madwifi ncsource=wlan0:name=intel,hop=false,channel=11
ncsource=drone:host=192.168.1.1,port=2502 #ncsource=wlan1 # Comma-separated list of sources to enable. This is only needed if you defined # multiple sources and only want to enable some of them. By default, all defined # sources are enabled. # For example, if sources with name=prismsource and name=ciscosource are defined, # and you only want to enable those two: # enablesources=prismsource,ciscosource # Control which channels we like to spend more time on. By default, the list # of channels is pulled from the driver automatically. By setting preferred channels, # if they are present in the channel list, they'll be set with a timing delay so that # more time is spent on them. Since 1, 6, 11 are the common default channels, it makes # sense to spend more time monitoring them. # For finer control, see further down in the config for the channellist= directives. preferredchannels=1,6,11 # How many channels per second do we hop? channelvelocity=3
(1-10)
# By setting the dwell time for channel hopping we override the channelvelocity
117
# setting above and dwell on each channel for the given number of seconds. #channeldwell=10 # Channels are defined as: # channellist=name:ch1,ch2,ch3 # or # channellist=name:range-start-end-width-offset,ch,range,ch,... # # Channels may be a numeric channel or a frequency # # Channels may specify an additional wait period. For common default channels, # an additional wait period can be useful. Wait periods delay for that number # of times per second - so a configuration hopping 10 times per second with a # channel of 6:3 would delay 3/10ths of a second on channel 6. # # Channel lists may have up to 256 channels and ranges (combined). For power # users scanning more than 256 channels with a single card, ranges must be used. # # Ranges are meant for "power users" who wish to define a very large number of # channels. A range may specify channels or frequencies, and will automatically # sort themselves to cover channels in a non-overlapping fashion. An example # range for the normal 802.11b/g spectrum would be: # # range-1-11-3-1 # # which indicates starting at 1, ending at 11, a channel width of 3 channels, # incrementing by one. A frequency based definition would be: # # range-2412-2462-22-5 # # since 11g channels are 22 mhz wide and 5 mhz apart. # # Ranges have the flaw that they cannot be shared between sources in a non-overlapping # way, so multiple sources using the same range may hop in lockstep with each other # and duplicate the coverage. # # channellist=demo:1:3,6:3,11:3,range-5000-6000-20-10 # Default channel lists # These channel lists MUST BE PRESENT for Kismet to work properly. While it is # possible to change these, it is not recommended. These are used when the supported
118
# channel list can not be found for the source; to force using these instead of # the detected supported channels, override with channellist= in the source defintion # # IN GENERAL, if you think you want to modify these, what you REALLY want to do is # copy them and use channellist= in the packet source. channellist=IEEE80211b:1:3,6:3,11:3,2,7,3,8,4,9,5,10 channellist=IEEE80211a:36,40,44,48,52,56,60,64,149,153,157,161,165 channellist=IEEE80211ab:1:3,6:3,11:3,2,7,3,8,4,9,5,10,36,40,44,48, 52,56,60,64,149,153,157,161,165 # Client/server listen config listen=tcp://127.0.0.1:2501 # People allowed to connect, comma seperated IP addresses or network/mask # blocks. Netmasks can be expressed as dotted quad (/255.255.255.0) or as # numbers (/24) allowedhosts=127.0.0.1 # Maximum number of concurrent GUI's maxclients=5 # Maximum backlog before we start throwing out or killing clients. The # bigger this number, the more memory and the more power it will use. maxbacklog=5000 # Server + Drone config options. To have a Kismet server export live packets # as if it were a drone, uncomment these. # dronelisten=tcp://127.0.0.1:3501 # droneallowedhosts=127.0.0.1 # dronemaxclients=5 # droneringlen=65535 # OUI file, expected format 00:11:22
manufname # IEEE OUI file used to look up manufacturer info. the # wireshark one since most people have that. ouifile=/etc/manuf ouifile=/usr/share/wireshark/wireshark/manuf ouifile=/usr/share/wireshark/manuf
We default to
# Do we have a GPS? gps=false # Do we use a locally serial attached GPS, or use a gpsd server? # (Pick only one) gpstype=gpsd # gpstype=serial # What serial device do we look for the GPS on? gpsdevice=/dev/rfcomm0 # Host:port that GPSD is running on. This can be localhost OR remote! gpshost=localhost:2947
119
# Do we lock the mode? This overrides coordinates of lock "0", which will # generate some bad information until you get a GPS lock, but it will # fix problems with GPS units with broken NMEA that report lock 0 gpsmodelock=false # Do we try to reconnect if we lose our link to the GPS, or do we just # let it die and be disabled? gpsreconnect=true # Do we export packets over tun/tap virtual interfaces? tuntap_export=false # What virtual interface do we use tuntap_device=kistap0 # Packet filtering options: # filter_tracker - Packets filtered from the tracker are not processed or # recorded in any way. # filter_export - Controls what packets influence the exported CSV, network, # xml, gps, etc files. # All filtering options take arguments containing the type of address and # addresses to be filtered. Valid address types are 'ANY', 'BSSID', # 'SOURCE', and 'DEST'. Filtering can be inverted by the use of '!' before # the address. For example, # filter_tracker=ANY(!"00:00:DE:AD:BE:EF") # has the same effect as the previous mac_filter config file option. # filter_tracker=... # filter_dump=... # filter_export=... # filter_netclient=... # Alerts to be reported and the throttling rates. # alert=name,throttle/unit,burst # The throttle/unit describes the number of alerts of this type that are # sent per time unit. Valid time units are second, minute, hour, and day. # Burst describes the number of alerts sent before throttling takes place. # For example: # alert=FOO,10/min,5 # Would allow 5 alerts through before throttling is enabled, and will then # limit the number of alerts to 10 per minute. # A throttle rate of 0 disables throttling of the alert. # See the README for a list of alert types. alert=ADHOCCONFLICT,5/min,1/sec alert=AIRJACKSSID,5/min,1/sec alert=APSPOOF,10/min,1/sec
120
alert=BCASTDISCON,5/min,2/sec alert=BSSTIMESTAMP,5/min,1/sec alert=CHANCHANGE,5/min,1/sec alert=CRYPTODROP,5/min,1/sec alert=DISASSOCTRAFFIC,10/min,1/sec alert=DEAUTHFLOOD,5/min,2/sec alert=DEAUTHCODEINVALID,5/min,1/sec alert=DISCONCODEINVALID,5/min,1/sec alert=DHCPNAMECHANGE,5/min,1/sec alert=DHCPOSCHANGE,5/min,1/sec alert=DHCPCLIENTID,5/min,1/sec alert=DHCPCONFLICT,10/min,1/sec alert=NETSTUMBLER,5/min,1/sec alert=LUCENTTEST,5/min,1/sec alert=LONGSSID,5/min,1/sec alert=MSFBCOMSSID,5/min,1/sec alert=MSFDLINKRATE,5/min,1/sec alert=MSFNETGEARBEACON,5/min,1/sec alert=NULLPROBERESP,5/min,1/sec #alert=PROBENOJOIN,5/min,1/sec # Controls behavior of the APSPOOF alert. SSID may be a literal match (ssid=) or # a regex (ssidregex=) if PCRE was available when kismet was built. The allowed # MAC list must be comma-separated and enclosed in quotes if there are multiple # MAC addresses allowed. MAC address masks are allowed. apspoof=Foo1:ssidregex="(?i:foobar)",validmacs=00:11:22:33:44:55 apspoof=Foo2:ssid="Foobar",validmacs="00:11:22:33:44:55,aa:bb:cc:d d:ee:ff" # Known WEP keys to decrypt, bssid,hexkey. This is only for networks where # the keys are already known, and it may impact throughput on slower hardware. # Multiple wepkey lines may be used for multiple BSSIDs. # wepkey=00:DE:AD:C0:DE:00,FEEDFACEDEADBEEF01020304050607080900 # Is transmission of the keys to the client allowed? This may be a security # risk for some. If you disable this, you will not be able to query keys from # a client. allowkeytransmit=true # How often (in seconds) do we write all our data files (0 to disable) writeinterval=300 # Do we use sound? # Not to be confused with GUI sound parameter, this controls wether or not the # server itself will play sound. Primarily for headless or automated systems. enablesound=false
121
# Path to sound player soundbin=play sound=newnet,true sound=newcryptnet,true sound=packet,true sound=gpslock,true sound=gpslost,true sound=alert,true # Does the server have speech? (Again, not to be confused with the GUI's speech) enablespeech=false # Binary used for speech (if not in path, full path must be specified) speechbin=flite # Specify raw or festival; Flite (and anything else that doesn't need formatting # around the string to speak) is 'raw', festival requires the string be wrapped in # SayText("...") speechtype=raw # How do we speak? Valid options: # speech Normal speech # nato NATO spellings (alpha, bravo, charlie) # spell Spell the letters out (aye, bee, sea) speechencoding=nato speech=new,"New network detected s.s.i.d. %1 channel %2" speech=alert,"Alert %1" speech=gpslost,"G.P.S. signal lost" speech=gpslock,"G.P.S. signal O.K." # How many alerts do we backlog for new clients? Only change this if you have # a -very- low memory system and need those extra bytes, or if you have a high # memory system and a huge number of alert conditions. alertbacklog=50 # File types to log, comma seperated. Built-in log file types: # alert Text file of alerts # gpsxml XML per-packet GPS log # nettxt Networks in text format # netxml Networks in XML format # pcapdump tcpdump/wireshark compatible pcap log file # string All strings seen (increases CPU load) logtypes=pcapdump,gpsxml,netxml,nettxt,alert # Format of the pcap dump (PPI or 80211) pcapdumpformat=ppi # pcapdumpformat=80211 # Default log title logdefault=Kismet
122
# logtemplate - Filename logging template. # This is, at first glance, really nasty and ugly, but you'll hardly ever # have to touch it so don't complain too much. # # %p is replaced by the logging prefix + '/' # %n is replaced by the logging instance name # %d is replaced by the starting date as Mon-DD-YYYY # %D is replaced by the current date as YYYYMMDD # %t is replaced by the starting time as HH-MM-SS # %i is replaced by the increment log in the case of multiple logs # %l is replaced by the log type (pcapdump, strings, etc) # %h is replaced by the home directory logtemplate=%p%n-%D-%t-%i.%l # Where state info, etc, is stored. change this. # This is a directory. configdir=%h/.kismet/
You shouldnt ever need to
LAMPIRAN D .swatchrc watchfor /Deauthentication\/Dissassociate.*on ([0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300 exec python smtp44.py "$_"
watchfor /BCASTDISCON Network BSSID ([0-9A-F]{2}:[0-9A-F]{2}:[09A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300 exec python smtp44.py "$_"
watchfor /Suspicious client ([0-9A-F]{2}:[0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=5,seconds=604800 mail "[email protected]",subject="Suspicious Client"
watchfor /Out-of-sequence BSS timestamp on ([0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300
123
mail "[email protected]",subject="Potential AP Spoof"
watchfor /Netstumbler.*from ([0-9A-F]{2}:[0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300 mail "[email protected]",subject="Netstumbler Probe"
watchfor /Deauthentication\/Dissassociate.*on ([0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300 mail "[email protected]",subject="Deauth Flood"
watchfor /Beacon on ([0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300 mail "[email protected]",subject="AP Changed Channel" watchfor /Broadcast.*on ([0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[09A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300 mail "[email protected]",subject="BroadcastDissassociation"
watchfor /Suspicious traffic on ([0-9A-F]{2}:[0-9A-F]{2}:[0-9AF]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300 mail "[email protected]",subject="Potentail DoS Dissassoc"
watchfor /Illegal SSID length.*from ([0-9A-F]{2}:[0-9A-F]{2}:[09A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2}:[0-9A-F]{2})/ threshold track_by=$1,type=both,count=1,seconds=300 mail "[email protected]",subject="Long SSID"
124
LAMPIRAN E Kismet Drone Start-Up Configuration # vim /etc/init.d/kismet_drone
#!/bin/sh /etc/rc.common # Copyright 2009 Jason Murray
START=70 STOP=20
start() {
echo -n "Setting radio for kismet_drone" /sbin/ifconfig wl0 up ; /usr/sbin/iwconfig wl0 mode Monitor channel 1 txpower 5mW /sbin/ifconfig wl0 down; /sbin/ifconfig wl0 up ; /usr/sbin/iwconfig wl0 mode Monitor channel 1 txpower 5mW /usr/sbin/wl ap 0 echo "." echo -n "Running kismet_drone" /usr/bin/kismet_drone -f /etc/kismet/kismet_drone.conf > /dev/null 2>&1 & sleep 3 echo "."
}
stop() { killall kismet_drone }
boot() { # nothing special needs to be called on boot so just do start() start }
125
LAMPIRAN F Wawancara
Responden
: Agung Tri Nugroho, ST (Admin Pusat Penelitian Data dan Informasi)
Penanya
: Ariando Satria
Pertanyaan 1 : Bagaimana mekanisme pengamanan dan kendali akses pada infrastruktur jaringan nirkabel BNN? Jawaban 1
: Untuk perlindungan dari akses tidak sah atau unauthorized users,
kami menggunakan teknologi captive portal sehingga setiap pengguna akan diarahkan secara otomatis ke sebuah halaman login. Apabila pengguna tersebut memiliki akun yang sah maka pengguna tersebut dapat login di halaman tersebut lalu setelah proses verifikasi berhasil, pengguna dapat mengakses ke dalam jaringan dan ke Internet.
Pertanyaan 2 : Dari sisi standarisasi IEEE 802.11 untuk kecepatan penggunaan frekuensi ISM yang digunakan? Jawaban 2
: Hampir semua Wireless Access Point yang digunakan disini telah
mendukung standarisasi IEEE 802.11g yang bekerja pada frekuensi 2,4 GHz dan memilki transfer rate 54 Mbps.
126
Pertanyaan 3 : Untuk proses pengamanan secara umun, solusi keamanan apa saja yang diterapkan? Jawaban 3
: Secara umum kami menggunakan bebeberapa solusi, karena
seperti kita ketahui, tidak ada satu solusi atau perangkat keras/lunak yang dapat menjawab semua kebutuhan keamanan suatu perusahaan atau lembaga. Oleh karena itu, kami menggunakan beberapa solusi diantaranya Firewall, Proxy Server, Antivirus, dan lain-lain.
Pertanyaan 4 : Untuk solusi keamanan yang Anda sebutkan terakhir, yaitu IDS. Apakah dapat dijelaskan lebih terinci lagi? Jawaban 4
: Perangkat IDS yang digunakan berbentuk hardware atau security
appliance yang berasal dari salah satu vendor jaringan terkenal. Perangkat IDS ini dirancang untuk mengamankan dan memantau seluruh traffic yang berasal dari Internet. Dengan adanya perangkat IDS tersebut seluruh aktivitas jaringan yang menuju Web Server, Mail Server dan Server-Server lainnya terlebih dahulu akan diproses di perangkat tersebut.
