TESTING PENETRASI SERVER PROXY PADA WARNET GALERI INFORMATIKA KECAMATAN SEMIN KABUPATEN GUNUGKIDUL
NASKAH PUBLIKASI
diajukan oleh Adam Ghifari Nuskara 09.11.2670
kepada JURUSAN TEKNIK INFORMATIKA SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER AMIKOM YOGYAKARTA YOGYAKARTA 2014
PROXY SERVER PENETRATION TESTING OF WARNET GALERI INFORMATIKA IN KECAMATAN SEMIN GUNUNGKIDUL REGENCY TESTING PENETRASI SERVER PROXY PADA WARNET GALERI INFORMATIKA KECMATAN SEMIN KABUPATEN GUNUNGKIDUL Adam Ghifari Nuskara Melwin Syafrizal Jurusan Teknik Infomatika STMIK AMIKOM Yogyakarta ABSTRACT In the world of computer networks, a proxy server is required for bandwidth savings also bandwith management. Proxy has the ability to create a data cache, so the request is not always served to the main server. So, users in the network feel faster access. From the users side, it is likely actions a user performs experiments infiltrate or damage a system by exploiting security holes. Network administrator, in this case the Warnet Galeri Informatika, has been aware of the party who intends to destroy the system. He never found the existence of the proxy server login attempts. This paper discusses the security analysis on the proxy server. Vulnerability scanning is performed to determine the vulnerability of the system. Then do the verification results of the vulnerability analysis by means of the penetration test. In conclusion, the recommendation would be to follow up the results presented proof. Keywords: computer networking, vulnerability, security, penetration test
1. Pendahuluan 1.1 Latar Belakang Warnet Galeri Informatika terletak di dusun Karangasem, desa Bulurejo, Kecamatan Semin, Kabupaten Gunungkidul. Warnet ini memiliki sembilan komputer client. Tidak hanya melayani keperluan browsing, namun juga game online. Galeri Informatika adalah warnet kedelapan di kecamatan Semin, sekaligus menjadi yang terakhir berdiri hingga saat ini. Muncul usaha yang diduga sengaja dilakukan untuk merugikan Warnet Galeri Informatika dalam persaingan ini. Menurut pengakuan administrator, pernah ada percobaan login terhadap server proxy oleh orang yang tidak diketahui. Mengetahui permasalahan berupa ancaman keamanan tersebut, penulis melakukan penelitian dengan objek server proxy Warnet Galeri Informatika. Dari penelitian ini, penulis ingin mengetahui kelemahan pada objek dan bagaimana cara menanggulanginya, kemudian memberikan rekomendasi kepada administrator jaringan di lokasi objek. 1.2 Metode Penelitian Penyusunan laporan penelitian ini menggunakan metode-metode sebagai berikut. 1. Metode Penetration Testing Execution Standard (PTES) a. Pre-engagement interactions; aspek persetujuan dengan klien. b. Intellegence gathering; pengumpulan informasi tentang target. c.
Vulnerability analysis; melakukan analisa kerentanan.
d. Threat modelling; menyusun rencana pembuktian. e. Exploitation; implementasi rancangan pembuktian. f.
Post exploitation; memanfaatkan kerentanan lebih lanjut.
g. Reporting; menyampaikan laporan analisis dan pembuktian. 2. Metode Wawancara Wawancara terhadap administrator jaringan Warnet Galeri Informatika untuk mengetahui topologi jaringan, manajemen jaringan dan konfigurasi jaringan. 3. Metode Kepustakaan Mempelajari materi dari sumber buku yang valid dan jelas. 2. Landasan Teori 2.1 Penetration Test Penetration testing atau uji penetrasi adalah cara untuk mensimulasikan metode yang mungkin digunakan seorang penyerang untuk menghindari kontrol keamanan dan 1 mendapatkan akses ke organisasi sistem .
1
David Kennedy,et.al, Metasploit The Penetration Tester Guide, hal.1
1
Penetration testing dinilai perlu dilakukan sebagai upaya uji keamanan sistem teknologi informasi bagi organisasi atau perusahaan, seperti yang diperjelas oleh kutipan berikut ini. Penilaian keamanan merupakan langkah awal yang bagus bagi sebuah organisasi yang sangat mempertimbangkan pentingngya pemahaman keamanan pada jaringan mereka. Praktek yang sangat direkomendasikan adalah individu-individu di luar organisasi Anda menjalankan penilaian keamanan setiap tahunnya. Karena itu, ada evaluasi yang objektif dan transparan pada keamanan Anda, dan karena kerentanan selalu ditemukan, maka jaringan Anda akan sering dievaluasi untuk mengetahui efektivitasnya. (Thomas, 2005: 419) 2.2 Legalitas Penetration Test Tindakan yang termasuk dalam kegiatan penetration testing, aspek hukumnya telah diatur pada bab VII Perbuatan yang Dilarang, dalam pasal 30 Undang-undang Republik Indonesia Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (UU ITE). (1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun. (2) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik. (3) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan. Kegiatan ini sah dan tidak melawan hukum karena penulis dan pengelola sistem membuat kesepakatan secara tertulis tentang poin-poin kegiatan penetration testing yang akan dilakukan. 2.3 Perangkat Penetration Test a. Nessus Nessus adalah aplikasi pemindai kerentanan sistem dari Tenable Security (http://www.tenable.com/products/nessus).
Dapat
digunakan
untuk
mengaudit
keamanan sistem seperti menemukan vulnerability, mengetahui konfigurasi yang salah dan security patch yang belum diaplikasikan. b. Kali Linux Kali Linux adalah sistem operasi yang merupakan salah satu distro Linux, dan dikembangkan untuk penetration testing. Sistem operasi ini merupakan kelanjutan dari BackTrack Linux yang terakhir, yaitu versi 5R3. c.
Metasploit Metasploit adalah perangkat lunak yang digunakan untuk menguji coba keamanan suatu sistem dengan cara mengeksploitasi kerentanan. Bukan hanya alat,
2
Metasploit merupakan framework yang menyediakan infrastruktur untuk keperluan yang kompleks dalam hal penetrasi keamanan 2 . d. Paragon Hard Disk Manager Paragon HD Manager adalah aplikasi manjemen hard disk (http://www.paragonsoftware.com). Salah satu fungsinya untuk membuat salinan dari sebuah partisi hard disk, bahkan dapat menyalin isi satu hard disk utuh sama persis, atau yang sering disebut cloning. e. Oracle VM Virtual Box Virtual Box adalah aplikasi free yang dapat menjalankan komputer virtual di dalam komputer sesungguhnya. Pengguna dapat menjalankan lebih dari satu komputer virtual, dan antarkomputer tersebut dapat berhubungan karena mendukung LAN virtual. Penulis menggunakan aplikasi ini untuk melakukan simulasi penetration testing. f.
Nmap Nmap (Network Mapper) adalah perangkat lunak bersifat open source untuk eksplorasi dan audit keamanan jaringan. Melalui aplikasi ini, pengguna dapat mengetahui host yang tersedia dalam jaringan dan layanan yang tersedia 3 .
2.4 Proxy Di dalam konteks jaringan komputer, server merupakan sistem komputer yang menyediakan jenis layanan tertentu dalam jaringan. Server menjalankan perangkat lunak administratif yang mengontrol akses terhadap jaringan dan sumber daya yang terdapat di dalamnya. Dalam penelitian ini, penulis membahas proxy dengan mesin Squid. Karena server proxy pada objek penelitian menggunakan Squid yang berdiri di atas sistem operasi Ubuntu Server 12.04. 2.5 Jenis Serangan Banyak macam serangan terhadap jaringan komputer. Namun seranganserangan yang ada dapat dikelompokkan menjadi tiga kategori; intrusion, Denial of Service (DoS), dan information theft. Intrusion adalah usaha untuk masuk dan atau menyalahgunakan sistem yang ada. Penyerang mempunyai berbagai macam cara untuk mendapatkan akses ke suatu sistem komputer, salah satunya dengan identifikasi pengguna yang memiliki akses terhadap suatu sistem. Serangan Denial of Services (DoS) adalah salah satu contoh jenis serangan yang dapat mengganggu infrastruktur dari jaringan komputer, serangan jenis ini memiliki suatu pola khas, dimana dalam setiap serangannya akan mengirimkan sejumlah paket
2 3
David Kennedy,et.al, Metasploit The Penetration Tester Guide, hal. xxii http://nmap.org/man/id/index.html#man-description, diakses pada 6 Juni 2013
3
data secara terus-menerus kepada target serangannya. Macam-macam serangan DoS adalah Ping of Death, SYN Attack, dan Smurf Attack 3. Analisis dan Perancangan Sistem 3.1 Pre-engagement Interactions Manager Warnet Galeri Informatika telah menyetujui rencana proyek penetration testing di Warnetnya setelah diadakan pembicaraan. Persetujuan tersebut tertera dalam Dokumen Perjanjian Kerjasama Penelitian Mahasiswa terlampir. Berdasarkan hasil wawancara, penulis mendapat beberapa informasi. Yang pertama adalah topologi LAN. Detailnya dapat dilihat pada gambar berikut ini.
Gambar 3.1 Topologi LAN Warnet Galeri Informatika 3.2 Intellegence Gathering Dari gambar di bawah ini dapat diketahui jumlah komputer klien yang aktif dalam LAN warnet Galeri Informatika sebanyak tujuh host. Host beralamat 192.168.99.15 adalah laptop milik penulis yang digunakan untuk scanning. Host beralamat 192.168.99.1 adalah router Mikrotik. Host beralamat 192.168.99.254 adalah komputer operator. Selain ketiga host yang disebut, semuanya adalah komputer klien.
Gambar 3.2 Nmap terhadap LAN Warnet Dalam metode penetration testing, langkah mengetahui sistem operasi target atau OS footprinting termasuk dalam bagian intelligence gathering.
4
Berdasarkan scanning yang dilakukan dengan Zenmap, server proxy diketahui menggunakan sistem operasi Linux dengan kernel versi 2.6.32. Jika ditambah keterangan dari administrator, diketahui sistem operasinya adalah Ubuntu Server 12.04. Dapat diketahui bahwa server proxy dengan IP address 192.168.89.2 mempunyai 4 port aktif saat dilakukan scan. Maka dapat diketahui layanan yang tersedia pada server ini adalah sebagai berikut. 1. File Transfer Protocol (FTP) pada port 21, digunakan untuk transfer data. 2. Secure Shell (SSH) pada port 22, digunakan untuk remote server dari perangkat lain. 3. HTTP pada port 80 dan 3128, sebagai layanan proxy web-cache.
Gambar 3.3 Port yang terbuka pada server proxy 3.3
Vulnerability Analysis Penulis menggunakan perangkat lunak Nessus untuk melakukan pemindaian.
Langkah pertama adalah mengaktifkan layanan Nessus pada Kali Linux dengan perintah “/etc/init.d/nessusd start”, kemudian remote Nessus dari web browser. Policy scan adalah setting parameter untuk pencarian kerentanan. Setting disesuaikan dengan target yang akan diperiksa dan sesuai kebutuhan. Pada bagian Scan, opsi Safe Checks diaktifkan untuk menghindari lumpuhnya target saat proses scanning. Meskipun menurut persetujuan dimana scanning dilakukan saat Warnet sepi pengunjung, antisipasi terhadap kerusakan target perlu dilakukan.
Gambar 3.4 Membuat policy scan di Nessus
5
Meninjau kembali pada sub-bab sebelumnya, temuan masalah pada tahap intelligence gathering akan digabung bersama keempat poin kerentanan yang mempunyai faktor resiko. Himpunan informasi yang berasal dari information gathering dan vulnerability assesment ini selanjutnya disebut sebagai variabel kerentanan. Tabel 3.1 Variabel Kerentanan No 1
Variabel Kemungkinan penyusup di LAN
Referensi Tabel 3.3
Sifat Fisik
2
Kemungkinan eksploitasi celah keamanan FTP Kemungkinan eksploitasi SSH dari identifikasi tipe dan versi layanan
CVE-19990497
Sistem
Plugin Nessus nomor 10267, sub-bab 3.4.3, hasil scan nmap Sub-bab 3.4.3, hasil scan nmap
Sistem
CVE-20073008
Sistem
3
4
Kemungkinan eksploitasi port 80 web server; Apache
5
Kemungkinan eksploitasi port 3128; squid proxy
3.4
Sistem
Deskripsi Pengunjung Warnet dapat membawa laptop untuk sabotase LAN. Kabel UTP mudah dipindahkan ke laptop pengunjung. Login FTP oleh anonymous diizinkan. Risk factor: medium. Tipe dan versi server SSH dapat diidentifikasi . Risk factor: low
Layanan Apache 2.2 dapat dimanfaatkan untuk mengeksploitasi server layanan transparent proxy squid dapat dimanfaatkan untuk mengeksploitasi server
Threat Modelling Langkah selanjutnya adalah merancang cara untuk membuktikan kebenaran dari
hipotesis. Pembuktian hipotesis bersifat percobaan langsung terhadap target. Tabel 3.7 Perancangan Pembuktian / Threat Modeling No
Variabel
Cara Pembuktian Serangan fisik
1
Kemungkinan penyusup di LAN
2
Kemungkinan eksploitasi celah keamanan FTP
Metasploit
3
Kemungkinan eksploitasi SSH dari identifikasi
Metasploit
Deskripsi
a. Penulis bertindak a. dapat sebagai bergabung pengunjung dalam LAN membawa laptop, b. mendapat akses b. memindahkan internet tanpa kabel UTP ke diketahui laptop, operator c. berusaha bergabung ke LAN Menggunakan Command shell modul didapatkan “exploit/unix/ftp/vsft pd_234_backdoor” Menggunakan Command shell modul didapatkan “exploit/unix/ssh/tec 6
Indikator
4
5
tipe dan versi layanan Kemungkinan eksploitasi port 80 seb server; Apache Kemungkinan eksploitasi port 3128; squid proxy
tia_passwd_change req” Menggunakan modul “exploit/multi/http/p hpmyadmin_3522_ backdoor” Menggunakan modul “exploit/linux/proxy/ squid_authenticate _ntlm”
Metasploit
Metasploit
Command shell didapatkan
Command shell didapatkan
4. Implementasi dan Pembahasan 4.1 Eksploitasi Fisik Sebagai pembuktian threat modelling pada poin pertama, penulis akan mencoba eksploitasi terhadap kerentanan secara fisik. Langkah-langkahnya sebagai berikut. 1. Penulis datang ke Warnet Galeri Informatika sebagai user di komputer klien nomor 5. 2. Kabel UTP pada komputer klien nomor 5 dipindahkan ke laptop milik penulis. Konfigurasi diatur hingga laptop dapat terkoneksi dengan LAN. 3. Jika berhasil, artinya penulis mendapat peluang mengeksploitasi jaringan dari dalam LAN, khususnya server proxy. 4. Memastikan upaya menyusup ke LAN tidak diketahui oleh operator. Dari percobaan di atas, dapat disimpulkan menjadi beberapa hal berikut. 1. Dengan kemudahan akses seperti ini, siapapun dapat mempunyai peluang mengeksploitasi jaringan LAN Warnet termasuk perangkat-perangkatnya. 2. Perancang jaringan Warnet Galeri Informatika tidak memperhitungkan kebijakan keamanan berupa penyusupan ke LAN oleh pengguna Warnet. 3. Administrator jaringan tidak menerapkan pembatasan akses user di PC klien terhadap Command Prompt dan Control Panel. 4. Administrator jaringan tidak menerapkan MAC address filtering untuk membatasi komputer yang hanya boleh bergabung dalam LAN. 5. Aplikasi billing server di komputer operator masih memiliki kelemahan, yaitu tidak ada peringatan atau notifikasi sebagai peringatan kecurangan tertentu. Akibatnya, operator tidak akan tahu jika ada klien yang off sementara dan ternyata berbuat curang. 4.2 Eksploitasi Otomatis Yang dimaksud eksploitasi secara otomatis adalah penulis membolehkan Metasploit untuk memilih modul-modul serangan. Dari hasil scan, Metasploit akan memilih modul-modul serangan yang relevan atau mendekati akurat. Operasi ini dilakukan melalui antarmuka web.
7
Dari hasil eksploitasi otomatis ini tidak berhasil mengambil alih server target. Modul-modul lain yang dipilih oleh Metasploit tidak dapat bereaksi pada server target.
Gambar 4.1 Proses eksploitasi otomatis oleh Metapsloit 4.3
Reporting Dari analisa kerentanan yang sudah dilakukan pada sub bab 3.5, dapat dibuat
laporan secara otomatis. Laporan dengan format RTF ini cukup detail, sehingga informasinya dapat dipahami dengan mudah.
Gambar 4.2 Tampilan report Nessus dalam format RTF Demikian juga dengan Metasploit. Dari uji eksploitasi yang sudah dilakukan, dapat dibuat laporan secara otomatis.
Gambar 4.24 Mengunduh custom report Metasploit Dari serangkaian kegiatan penetration testing, terbukti bahwa server proxy Warnet Galeri Informatika tidak dapat ditembus keamanannya. Hipotesis berupa variabel kerentanan yang didapatkan dari scanning Nessus, tidak terbukti rentan bagi server. 8
Penulis merekomendasikan administrator jaringan untuk melakukan upaya berikut ini. 1. Melakukan evaluasi kebijakan keamanan untuk mengurangi resiko penyalahgunaan hak akses, seperti yang telah dibuktikan penulis pada sub bab 4.1.1. 2. Menerapkan pembatasan akses untuk user di PC klien terhadap Command Prompt dan Control Panel. 3. Menerapkan MAC address filtering dan IP address filtering. 4. Memilih aplikasi billing Warnet yang berkualitas dan mendukung upaya keamanan. 5. Menerapkan syslog server untuk mendokumentasikan secara terpusat dari log-log perangkat yang ada seperti router dan server. Hal ini dimaksudkan agar mempermudah kontrol terhadap usaha login oleh user yang tidak berhak 6. Menerapkan Intrusion Detection System (IDS) misalnya Snort, untuk mengantisipasi serangan Denial of Service (DoS). 7. Menonaktifkan service yang tidak diperlukan; yaitu service FTP pada port 21. 8. Meskipun hipotesis kerentanan tidak terbukti bagi server proxy, namun administrator perlu rutin cek celah keamanan. Ikuti informasi dari situs cvemitre.org, cvedetails.com, exploit-db.com dan situs informasi keamanan lainnya. Bila diperlukan, segera lakukan update atau patch. 5. Penutup 5.1
Kesimpulan 1. Tujuan penelitian tercapai. Kegiatan testing penetrasi menggunakan metode Penetration Testing Execution Standard (PTES) berhasil dilakukan untuk analisis keamanan jaringan, khususnya server proxy di Warnet Galeri Informatika. 2.
Empat dari lima hipotesis tidak terbukti. Penulis dapat membuktikan hipotesis kerentanan LAN secara fisik, namun tidak berhasil membuktikan hipotesis kerentanan sistem pada server proxy.
3. Adapun celah keamanan terdapat pada pengelolaan LAN secara fisik. Hipotesis kerentanan berupa penyalahgunaan hak akses pengguna, telah terbukti pada sub bab 4.1.1. 4. Rekomendasi untuk memperbaiki kondisi yang terbukti rentan, telah disampaikan penulis pada sub bab 4.2.4.
9
5.2 Saran 1. Peneliti selanjutnya dapat membuat skenario analisis kerentanan dan percobaan serangan dari luar LAN. Hal ini berguna untuk testing kekuatan router atau perangkat lain. 2. Peneliti selanjutnya dapat melakukan kegiatan testing penetrasi dengan metode selain PTES, misalnya National Institute of Standard Technology (NIST) Guideline in Network Security. Tujuannya untuk membandingkan metode yang tepat dan efisien jika diterapkan untuk kasus serupa. 3. Untuk testing penetrasi dengan lingkup yang lebih luas, misalkan sistem informasi manajemen, metode lain yang dapat dipakai adalah Open Web Application Security Project (OWASP). Selain itu juga ada Offensive Web Testing Framework (OWTF) untuk sistem berbasis web.
10
DAFTAR PUSTAKA
Ali, S. dan Haryanto, T. 2011. BackTrack 4: Assuring Security by Penetration Testing. PACKT Publilshing, Birmingham Ariyus, D. 2006. Internet Firewall. Graha Ilmu, Yogyakarta Kennedy, D. 2011. Metasploit The Penetration Tester Guide. No Starch Press, San Fransisco Massandi, D. Algoritma Elgamal Dalam Pengamanan Pesan Rahasia. http://informatika.stei.itb.ac.id/~rinaldi.munir/Matdis/20092010/Makalah0910/MakalahStrukdis0910-056.pdf, diakses tanggal 6 Oktober 2013 Plummer, C. An Ethernet Address Resolution Protocol or Converting Network Protocol Addresses. http://tools.ietf.org/html/rfc826, diakses tanggal 7 Juni 2013 Pratomo, B. dan Djanali, S. Pengalihan Paket ke Honeypot Pada Linux Virtual Server Untuk Mengatasi Serangan Ddos. http://si.its.ac.id/data/sisfo_data/files/7_vol4no1.pdf, diakses tanggal 6 Oktober 2013 Sofana, I. 2010. Cisco CCNA dan Jaringan Komputer. Penerbit Informatika, Bandung Sucipta, I. dan Wirawan, I. Analisis Kinerja Anomaly-Based IDS Dalam Mendeteksi Serangan DoS Pada Jaringan Komputer. http://ojs.unud.ac.id/index.php/JLK/article/download/4894/3677, diakses pada 6 Oktober 2013 Syafrizal, M. 2005. Pengantar Jaringan Komputer. ANDI offset, Yogyakarta Thomas, T. 2005. Network Security First Step. Penerbit ANDI, Yogyakarta. Yugopuspito, P. dan Prananda M. 2012. Skenario Pengujian Identity-Based Encryption Multisignature Proxy. http://dspace.library.uph.edu:8080/bitstream/123456789/895/2/jiik-08-02-2012skenario_pengujian_identity_based-encryption.pdf, diakses tanggal 6 Oktober 2013
11
