TUGAS AKHIR
PENERAPAN SISTEM KEAMANAN JARINGAN INTERNET BANKING MENGGUNAKAN IPS (INTRUSION PREVENTION SYSTEM)
Diajukan Guna Melengkapi Sebagian Syarat Dalam Mencapai Gelar Sarjana Strata Satu (S1)
Disusun Oleh :
Nama NIM Jurusan Peminatan Pembimbing
: : : : :
Muhammad Ashary 4140411-139 Teknik Elektro Telekomunikasi Ir. Said Attamimi, MT
PROGRAM STUDI TEKNIK ELEKTRO FAKULTAS TEKNOLOGI INDUSTRI UNIVERSITAS MERCUBUANA JAKARTA
2008
LEMBAR PERNYATAAN Yang bertandatangan di bawah ini,
Nama
: Muhammad Ashary
NIM
: 4140411-139
Jurusan
: Teknik Elektro
Peminatan
: Telekomunikasi
Judul Skripsi : Penerapan Sistem Keamanan Jaringan Internet Banking Menggunakan IPS (Intrusion Prevention System)
Dengan ini menyatakan bahwa hasil penulisan Skripsi yang telah saya buat ini merupakan hasil karya sendiri dan benar keasliannya. Apabila ternyata di kemudian hari penulisa n Skripsi ini merupakan hasil plagiat at au penjiplakan terhadap karya orang lain, ma ka saya bersedia mempertanggungjawabkan sekaligus bersedia menerima sanksi berdasarkan aturan tata tertib di Universitas Mercu Buana. Demikian pernyataan ini saya buat dalam keadaan sadar dan tidak dipaksakan.
Penulis,
Muhammad Ashary
ii
LEMBAR PENGESAHAN PENERAPAN SISTEM KEAMANAN JARINGAN INTERNET BANKING MENGGUNAKAN IPS (INTRUSION PREVENTION SYSTEM)
Disusun Oleh :
Nama NIM Jurusan Peminatan
: : : :
Muhammad Ashary 44140411-139 Teknik Elektro Telekomunikasi
Menyetujui,
Pembimbing
Koordinator TA
( Ir. Said Attamimi, MT )
( Yudhi Gunardi, ST, MT )
Mengetahui, Ketua Program Studi Teknik Elektro
( Ir. Budi Yanto, Msc )
iii
ABSTRAK
Perkembangan terknologi informasi, telekomunikasi dan internet yang telah membawa suatu perubahan baru dalam dunia perbankan, y aitu dengan hadirnya suatu layanan yang menggunakan internet sebagai media komunikasi, atau yang dikenal dengan interne t banking. Internet sebagai layanan yang dapat diakses oleh publik, menyebabkan adanya resiko keamanan yang akan ditimbulkan. Untuk memenuhi aspek keamanan internet banking ini maka digunakan beberapa teknologi pengamanan jaringan. Salah satu teknologi keamanan yang cukup berperan adalah Intrusion Prevention System (IPS). Penulisan tugas akhir yang telah Penulis buat ini berhubungan dengan keterangan tersebut yaitu “Penerapan Sistem Keamanan Jaringan Internet Banking Menggunakan Intrusion Prevention System (IPS)”. Materi penerapan teknologi keamanan jaringan dengan I PS ini diperoleh dari pengamatan sistem Internet Banking pada salah satu Bank BUMN di Jakarta, yang kemudian dilengkapi dengan teori -teori dasar mengenai IPS yang diperoleh dari beberapa sumber, terutama internet.
iv
KATA PENGANTAR
Assalamu ‘alaikum Wr. Wb. Puji syukur Penulis haturkan kepada Allah SWT, yang telah memberikan limpahan rahmat dan karunia -Nya kepada Penulis, sehingga tugas akhir yang berjudul “Penerapan Sistem Keamanan Jaringan Internet Banking Menggunakan Intrusion Prevention System (IPS)” ini dapat terselesaikan dengan baik. Dalam menyelesaikan tugas akhir ini, Penulis tidak terlepas dari bantuan berbagai pihak, untuk itu Penulis ingin mengucapkan terima kasih kepada pihak pihak yang telah membantu ters ebut, yang antara lain adalah : 1.
Dosen Pembimbing Tugas Akhir, Bapak Ir. Said Attamimi, MT yang telah meluangkan waktu, pikiran, mengarahan dan membimbing Penulis untuk dapat menyelesaikan Tugas Akhir ini.
2.
Direktur Program Kelas Karyawan, Bapak Ir. Yenon O rsa, MT
3.
Ketua Program Studi Teknik Elektro, Bapak Ir. Budi Yanto, MSc
4.
Koordinator Tugas Akhir, Bapak Yudhi Gunardi, ST, MT
5.
Seluruh Dosen dan staf administrasi PKSM Elektro UMB yang telah memberikan ilmu dan pelayanan kepada penulis untuk menyelesaikan pendidikan ini.
6.
Ayah dan Ibu tercinta yang telah memberikan motivasi semangat, dukungan dan do’a yang tidak ternilai harganya.
7.
Adik-adikku Nini, Vivi dan Diaz yang tak lupa juga memberikan semangat dan do’anya.
v
8.
Dian Fitriani, yang telah memberikan semangat dan dukungan kepada penulis.
9.
Pihak Bank Mandiri, terutama kepada Bapak Satria, Mas Yohanes ( IT Security Dept. ), Tim Server Bank Mandiri (Pak Memet dan Pak Burhan) atas segala informasi, bimbingan dan ilmunya dalam materi tugas akhir ini.
10.
Rekan-rekan Altelindo Plaza Mandiri.
11.
Serta semua pihak yang telah membantu, yang tidak dapat Penulis sebutkan satu persatu.
Penulis menyadari bahwa tugas akhir ini masih memiliki banyak kekurangan,
untuk
lebih
menyempurnakannya
maka
Penulis
sangat
mengharapkan saran dan ma sukan yang membangun sehingga tugas akhir ini dapat lebih berguna bagi kita semua.
Wassalamu’alaikum Wr. Wb
Jakarta, Maret 2008
Penulis
vi
DAFTAR ISI
LEMBAR JUDUL
i
LEMBAR PERNYATAAN
ii
LEMBAR PENGESAHAN
iii
ABSTRAK
iv
KATA PENGANTAR
v
DAFTAR ISI
vii
DAFTAR GAMBAR
BAB I
BAB II
x
PENDAHULUAN 1.1
Latar Belakang
1
1.2
Pokok Permasalahan
3
1.3
Pembatasan Masalah
3
1.4
Metode Penulisan
4
1.5
Tujuan Penulisan
4
1.6
Sistematika Penulisan
4
KOMUNIKASI JARINGAN KOMPUTER 2.1
Teori Dasar TCP/IP
6
2.2
Network Interfance Layer
7
2.2.1 Ethernet
7
2.3 Internet Layer
9
2.3.1 Internet Protocol (IP)
9
2.3.2 Internet Control Massage Protocol (ICMP)
10
2.3.3 Address Resolution Protocol (ARP)
11
2.4 Transport Layer
11
2.4.1 Transmission Control Protocol (TCP)
12
2.4.2 User Datagram Protocol (UDP)
13
vii
2.5 Pembagian Kelas IP Address
BAB III
14
2.5.1 Network ID dan Host ID
15
2.5.2 Pengalokasian IP Address
17
2.6 Subnetting
18
2.7 Routing Pada TCP/IP
20
2.8 Domain Name System (DNS)
22
JARINGAN INTERNET BANKING 3.1
Perkembangan Internet Banking
24
3.2
Faktor-faktor Keamanan Internet Banking
24
3.3
Teknologi Keamanan Internet Banking
26
3.3.1
Firewall
27
3.3.2
Intrusion Detection System (IDS)
29
3.3.3
Secure Socket Layer (SSL)
31
3.4
Jenis-Jenis Serangan Pada Internet Banking
33
3.5
Lapisa Protokol Internet Banking
37
3.5.1
Layer Eksternal
38
3.5.2
Layer Presentasi
39
3.5.3
Layer Aplikasi
41
3.5.4
Layer Database
43
3.5.5
Layer Internal
44
3.6
Proses IPS
44
3.6.1
Pengambilan Data
45
3.6.2
Analisa Pendeteksian Serangan
47
3.6.3
3.7
3.6.2.1
Anomali Detection
47
3.6.2.2
Misuse Detection
48
Respon Terhadap Serangan
49
3.6.3.1
Respon Aktif
49
3.6.3.2
Respon Pasif
51
Folw Data IPS
51
viii
BAB IV
TEKNOLOGI KEAMANAN PADA INTERNET BANKING 4.1
BAB V
Analisa Penerapan IDS & IPS
56
4.1.1 Analisa Penerapan IDS
56
4.1.2
59
Analisa Penerapan IPS
KESIMPULAN
63
DAFTAR PUSTAKA
64
DAFTAR ISTILAH
65
LAMPIRAN
68
ix
DAFTAR GAMBAR
Gambar 2.1
Layar TCP/IP
6
Gambar 2.2
Penulisan IP Address
14
Gambar 2.3
Format IP Address berdasarkan kelas
17
Gambar 2.4
Subnet ID
18
Gambar 2.5
Implementas i Routing pada dua network
21
Gambar 3.1
Faktor Keamanan Bertransaksi
26
Gambar 3.2
Firewall Packet Filtering
28
Gambar 3.2
Firewall Proxy Server
29
Gambar 3.4
Topologi Pengamanan Internet Banking
30
Gambar 3.5
Metode Enkripsi pada SSL
32
Gambar 3.6
Serangan Ping of Death
34
Gambar 3.7
TCP Sync Flood
35
Gambar 3.8
IP Spoofing
36
Gambar 3.9
Sistem Internet Banking
38
Gambar 3.10 Layer Eksternal dan Layer Presentasi
39
Gambar 3.11 Layer Aplikasi
42
Gambar 3.12 Layer Database
43
Gambar 3.13 Proses IPS
45
Gambar 3.14 Contoh Pengambilan Data pada I PS
46
Gambar 3.15 Anomaly Detection
47
Gambar 3.16 Misuse Detection
48
Gambar 3.17 Flow Data IPS
51
x
Gambar 4.1
Network Diagram Internet Banking
55
Gambar 4.2
Penerapan IDS & IPS pada Internet Banking
56
Gambar 4.3
Report HIDS berupa Event yang terdeteksi
57
Gambar 4.4
Report HIDS berupa Event & Network Traffic
57
Gambar 4.5
Activity Reports Alert Serangan TCP SYN Flood
58
Gambar 4.6
Activity Reports Alert Serangan Port_Scan
58
Gambar 4.7
Console pada Site Protector (internet - Sensor Analysis)
59
Gambar 4.8
Console pada Site Protector (server Sensor – Sensor Analysis)
59
Gambar 4.9
Data capture event report IDS & IPS
60
xi
DAFTAR ISTILAH
Anomaly Detection : deteksi terhadap keanehan atau keganjilan yang terjadi pada sistem komputer.
Cracker : sisi gelap dari hacker yang memiliki ketertarikan untuk mencuri informasi, melakukan berbagai macam kerusakan dan sesekali waktu j uga melumpuhkan keseluruhan sistem komputer.
Default Gateway : interface atau address pada jaringan yang berfungsi sebagai pintu keluar masuk traffic pada client/host untuk dapat berhubungan dengan network yang lain.
Hacker : didefinisikan sebagai seseor ang yang memiliki keinginan untuk melakukan eksplorasi dan penetrasi terhadap sebuah sistem operasi dan kode komputer pengaman lainnya, tetapi tidak melakukan tindakan pengrusakan apapun, tidak mencuri uang atau informasi.
Host : komputer yang terhubung k e jaringan, yang menyediakan layanan -layanan ke komputer lain, lebih dari sekedar untuk menyimpan dan mengirim informasi.
HTTP (Hyper Text Transfer Protocol) : protokol internet yang digunakan oleh World Wide Web (WWW). Dengan protokol ini sebuah web clie nt (dalam hal ini browser) seperti Internet explorer atau Netscape dapat melakukan pertukaran data hypermedia, seperti teks, gambar, suara, bahkan video dengan web server.
65
HTTPS (Hyper Text Transfer Protocol Secure) : protokol yang digunakan untuk mengakses halaman web di internet dan jaringan lain, menggunakan prosedur transmisi yang lebih aman dibandingkan protokol HTTP karena menggunakan enkripsi SSL.
Internet : suatu kumpulan dari jaringan (network of networks) yang menyeluruh dan menggunakan protokol TCP/IP untuk berhubungan.
Intrusion : usaha untuk masuk dan/atau menyalahgunakan sistem yang ada atau aktifitas yang berpotensi atau memungkinkan untuk melakukan gangguan tanpa diketahui oleh pemilik sistem.
Misuse detection : deteksi penyalahgunaan y ang terjadi pada sistem komputer, biasanya memodelkan serangan (intrusion) dalam bentuk pola tertentu.
Protocol : merupakan suatu prosedur standar atau aturan untuk mendefinisikan dan mengatuaran transmisi data antara komputer -komputer
Sniffer : device penyadapan komunikasi jaringan komputer, sniffer ini mendengarkan port ethernet untuk hal -hal seperti “password” dan “login” dalam aliran paket data, kemudian mencatat lalu lintas setelahnya. Dengan cara ini, penyerang memperoleh password untuk sistem yang bahkan tidak mereka usahakan untuk dibongkar. Password teks biasa sangat rentan terhadap serangan ini.
66
Spoofing : teknik melakukan penyamaran sehingga terdeteksi sebagai identitas yang bukan sebenarnya, misal : menyamar sebagai IP tertentu, nama komputer bahkan
email
address
tertentu.
Antisipasinya
dapat
dilakukan
dengan
menggunakan aplikasi firewall.
Trojans : program yang berjalan di dalam komputer seseorang tanpa diketahui secara pasti kehadirannya oleh sang pemilik, dan juga memberikan semacam akses kepada orang lain untuk menggunakan komputer tersebut dari luar (bila menggunakan internet).
67
BAB I PENDAHULUAN
1.1
Latar Belakang Perkembangan serta penerapan aspek teknologi informasi dalam bidang
finansial saat ini di banyak negara telah berlangsung cukup pesat, termasuk di Indonesia. Inovasi-inovasi media teknologi informasi seperti e-commerce, internet banking dan sebagainya telah mengubah pola dan cara perbankan maupun masyarakat dalam berinteraksi atau pun bertransaksi. Untuk memenuhi tuntutan persaingan global di sektor finansi al perbankan tersebut, maka telah dikembang suatu pelayanan jasa keuangan yang berbasis internet yang kita kenal dengan layanan Internet Banking. Layanan Internet Banking atau yang sering disebut juga sebagai layanan e-banking merupakan suatu jaringan informasi yang dapat diakses secara langsung ke server bank melalui fasilitas internet. Keuntungan dari Internet Banking ini yaitu kemudahan dalam berbagai jasa keuangan dengan biaya yang jauh lebih murah dari cara -cara tradisional. Sementara itu dari pengguna jasa perbankan, khususnya pelayanan melalui internet banking memberikan banyak kemudahan karena transaksi keuangan dapat dilakukan setiap saat tanpa dibatasi oleh waktu dan tempat, sepanjang tersedianya jalur komunikasi khususnya melalui koneksi internet.
1
Perkembangan internet yang sangat pesat ini sebagai jaringan pub lik sangat didukung oleh kemampuan protokol internet yang berbasis IP ( Internet Protocol) yang antara lain adalah : Open protocol standard, yaitu tersedia bebas dan dikembangkan , tidak tergantung pada sistem operasi atau perangkat keras tertentu. Independen terhadap perangkat keras jaringan dan dapat dijalankan pada jaringan ethernet, token ring, dial up, X.25, dan jenis media transmisi lainnya. Pengalamatannya yang bersifat unik dalam skala global, sehingga komputer dapat saling terhubung walaupun jaringan nya seluas internet sekalipun.
Dengan hanya mengandalkan penggunaan Internet Protocol, yang secara teknologi telah terbukti lemah dalam tingkat keamanannya, dalam media transaksi perbankan yang disiapkan untuk publik di seluruh dunia tentu saja akan sang at berisiko. Sehingga untuk menjamin keamanan kerahasiaan data serta transaksi nasabah yang menggunakan fasilitas e-banking ini, aspek keamanan (security) merupakan sesuatu yang sangat penting khususnya dalam penerapan layanan Internet Banking. Intrusion Prevention System (IPS) merupakan salah satu cara untuk mencegah terjadinya kegiatan kejahatan atas sistem komputer.
2
1.2
Pokok Permasalahan Internet Banking menggunakan fasilitas jaringan publik internet sebagai
media transaksi, dapat diakses di seluruh du nia yang terkoneksi ke internet. Layanan ini
sangat berisiko mengingat sistem keamanan pada protokol IP
(Internet Protocol) yang sangat lemah. Untuk mengurangi akan resiko keamanan layanan tersebut maka digunakan suatu teknologi keamanan, yakni dengan menggunakan system pengamanan I PS (Intrusion Prevention System). Dalam tugas akhir ini akan dibahas tentang penerapan keamanan jaringan layanan Internet Banking menggunakan IPS (Intrusion Prevention System ) tersebut, cara kerja serta kelebihan dan kekurangan yang dimilikinya.
1.3 a.
Pembatasan Masalah Menjelaskan tentang penerapan serta optimalisasi keamanan jaringan Internet Banking menggunakan IPS (Intrusion Prevention System ), dan tidak membahas tentang WebServer, Server Aplikasi, Database, ataupun programprogram aplikasi yang ada di dalamnya.
b.
Membahas tentang cara kerja IPS (Intrusion Prevention System ) pada jaringan.
3
1.4
Metode Penulisan Metode pendekatan yang Penulis lakukan dalam penyusunan tugas akhir
ini adalah dengan : a.
Studi kepustakaan untuk mendapatkan informasi dan referensi dari buku buku dan majalah-majalah komputer.
b.
Pengamatan di salah satu Bank BUMN, dalam rangka pengumpulan data data yang berkaitan dengan pengamanan suatu system layanan Internet Banking, termasuk IPS (Intrusion Prevention System).
c.
Pengumpulan informasi dan teori penunjang lainnya dari beberapa website di internet.
1.5
Tujuan Penulisan Tujuan penulisan tugas akhir adalah a. Mengetahui dan memahami konfigurasi Security Internet Banking b. Implementasi IPS untuk optimalisasi Security pad a Internet Banking c. Menganalisa terhadap hasil penerapan IPS dalam hal meningkatkan kinerja Security Internet Banking. d. Membandingkan kinerja IDS & IPS
1.6
Sistematika Penulisan Bab I
Pendahuluan Berisikan tentang latar belakang, perumusan masalah, tujuan, pembatasan masalah, metode penulisan, dan sistematika penulisan.
4
Bab II
Komunikasi Jaringan Komputer Berisikan tentang komunikasi TCP/IP, protokol -protokol pada TCP/IP, pembagian kelas IP address, network ID dan host ID, pengalokasian IP address, subnetting, routing pada TCP/IP, dan Domain Name System (DNS).
Bab III Jaringan Internet Banking Berisikan tentang Internet Banking, teknologi internet, keamanan sistem komunikasi internet, persyaratan keamanan Internet Banking, faktor keamanan bertransaksi, teknologi keamanan menggunakan IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System), proses IPS, serta jenis-jenis IPS.
Bab IV Teknologi Keamanan IPS Pada Internet Banking Berisikan tentang jaringan Internet Banking yang terdiri dari beberapa lapisan (layer), dan flow data pada IPS.
Bab V
Kesimpulan Berisikan tentang kesimpulan yang berhubungan dengan teknologi keamanan Internet Banking dengan menggunakan IPS (Intrusion Prevention System).
5
BAB II KOMUNIKASI JARINGAN KOMPUTER
2.1
Teori Dasar TCP/IP TCP/IP ( Transmission Control Protocol/Internet Protocol ) adalah
sekelompok protokol yang berperan dalam mengatur komunikasi data komputer di internet. Komputer-komputer yang terhubung ke inter net berkomunikasi dengan protokol TCP/IP ini. T erdiri atas 4 lapisan (layer) protokol yang bertingkat. Lapisan-lapisan tersebut adalah : Network Interface Layer Berfungsi untuk mengirim dan menerima data ke dan dari media fisik. Internet Layer Berfungsi dalam proses pengiriman data ke alamat yang tepat. Transport Layer Berfungsi untuk mengadakan komunikasi antar host. Application Layer Tempat aplikasi-aplikasi yang menggunakan protokol TCP/IP. Application Layer (SMTP, FTP, HTTP, dll) Transport Layer (TCP, UDP) Internet layer (IP, ICMP, ARP) Network Interface layer (Ethernet)
Jaringan Fisik Gambar 2.1 Layer TCP/IP
6
2.2
Network Interface Layer Layer ini berfungsi mengirim dan menerima data ke dan dari media
fisik. Media fisiknya dapat berupa k abel, serat optik, atau gelombang radio. Peralatan yang diperlukan untuk menghubungkan jaringan ini salah satunya adalah Ethernet.
2.2.1
Ethernet Ethernet ialah interface yang merupakan sebuah card yang terhubung ke
card yang lain melalui ethernet hub dan kab el UTP atau hanya dengan menggunakan sebuah kabel BNC yang diterminasi di ujungnya. Sebelum satu card ethernet memancarkan datanya pada kabel, dia harus mendeteksi terlebih dahulu ada tidaknya card lain yang sedang memancar. Jika tidak ada, maka dia akan memancar. Jika ada, maka card ethernet yang bersangkutan akan menunggu sampai kabel dalam keadaan kosong. Jika pada saat yang bersamaan, dua card memancarkan data maka terjadilah collision/tabrakan (hal ini dideteksi oleh card yang bersangkutan dengan meme riksa tegangan kabel, jika tegangan ini melampaui batas tertentu, maka telah terjadi collision), jika collision terjadi, maka masing-masing card ethernet berhenti memancar dan menunggu lagi dengan selang waktu yang acak untuk mencoba memancarkan kembali. Karena selang waktu pancar masing -masing card yang acak ini, maka kemungkinan collision lebih lanjut menjadi lebih kecil. Seluruh proses ini dikenal dengan nama CSMA/CD (Carrier Sense Multiple Access/Collision Detection ).
7
Karena dalam satu kabel terdapat banyak card ethernet, maka harus ada suatu metode untuk mengenali dan membedakan masing -masing card ethernet tersebut. Untuk itu, pada setiap card ethernet telah tertera kode khusus sepanjang 48 bit, yang dikenal dengan ethernet address.
Selain itu juga diperlukan komponen fisik penghubung jaringan lain, yaitu :
Repeater Fungsi utama repeater adalah menerima sinyal dari satu segmen kabel LAN dan memancarkannya kembali dengan kekuatan yang sama dengan sinyal asli pada segmen (satu atau lebih) kabel LAN ya ng lain. Dengan adanya repeater ini, jarak antara dua jaringan komputer bisa diperjauh.
Bridge Sebuah bridge juga meneruskan paket dari satu segmen LAN ke segmen lain, tetapi bridge lebih fleksibel dan lebih cerdas dibandingkan repeater. Pada bridge tiap Card Ethernet memiliki Alamat Ethernet dan dapat mengatur alur frame berdasarkan alamat tersebut. Selain itu bridge juga dapat menghubungkan jaringan yang menggunakan metode jaringan yang berbeda dan/atau medium access control yang berbeda.
Router Router memiliki kemampuan melewatkan paket IP dari satu jaringan lain yang mungkin memiliki banyak jalur diantara keduanya. Router -router yang saling terhubung dalam jaringan internet dapat menentukan jalur terbaik yang dilalui paket IP dari satu system ke sys tem lain. Router juga dapat digunakan untuk menghubungkan sejumlah LAN sehingga trafik yang
8
dibangkitkan oleh suatu LAN terisolasi dengan baik dari trafik yang dibangkitkan oleh LAN lain. Mirip dengan
bridge, router dapat
menghubungkan network interface yang berbeda. Router yang umum dipakai terdiri atas dua jenis, yaitu router dedicated (buatan pabrik) dan PC yang difungsikan sebagai router sepanjang ia memiliki lebih dari satu interface jaringan (PC router).
2.3
Internet Layer Layer ini bertanggung jawab dal am proses pengiriman paket ke alamat
yang tepat. Pada layer ini terdapat tiga macam protokol, yaitu : a.
Internet Protocol (IP)
b.
Internet Control Massage Protocol (ICMP)
c.
Address Resolution Protocol (ARP)
2.3.1
Internet Protocol (IP) Internet Protocol (IP) merupakan inti dari protokol TCP/IP. Seluruh data
yang berasal dari protokol pada layer di atas IP harus dilewatkan, diolah oleh protokol IP, dan dipancarkan sebagai paket IP, agar sampai ke tujuan. Dalam melakukan pengiriman data, IP memiliki sifat yang dikenal s ebagai unreliable, connectionless, datagram delivery service. Unreable/ketidakandalan berarti bahwa protokol IP tidak menjamin datagram yang dikirim pasti sampai ke tempat tujuan. Protokol IP hanya berjanji ia akan melakukan usaha sebaik mungkin, agar pak et yang dikirimkan tersebut sampai ke tujuan. Jika di perjalanan paket tersebut terjadi hal -hal yang tidak
9
diinginkan (salah satu jalur putus, router mengalami kongesti/macet, atau host/network tujuan sedang down), protokol IP hanya memberitahukan ke pengirim paket melalui protokol ICMP, bahwa terjadi masalah dalam pengiriman paket IP ke tujuan. Connectionless berarti dalam pengiriman paket dari tempat asal ke tujuan, pihak pengirim dan penerima paket IP sama sekali tidak mengadakan perjanjian (handshake) terlebih dahulu. Datagram delivery service berarti setiap paket data yang dikirim adalah independen terhadap paket data yang lain. Akibatnya, jalur yang ditempuh oleh masing-masing paket data IP ke tujuannya bisa jadi berbeda satu dengan lainnya. Hal ini dilakukan untuk menjamin tetap sampainya paket IP ke tujuan, walaupun salah satu jalur ke tujuan itu mengalami masalah.
2.3.2
Internet Control Message Protocol (ICMP) Internet Control Message Protocol (ICMP) adalah protokol yang
bertugas mengirimkan pesan -pesan kesalahan dan kondisi lain yang memerlukan perhatian khusus. Pesan/paket ICMP dikirimkan jika terjadi masalah pada layer IP dan layer atasnya (TCP/UDP). Pada kondisi normal, protokol IP berjalan baik dan menghasilkan proses penggunaan memory serta sumber daya transmisi yang efisien. Namun ada beberapa kondisi dimana koneksi IP terganggu, misalnya beberapa router yang crash, putusnya kabel, atau matinya host tujuan. Pada saat ini ICMP berperan membantu menstabilkan kondisi jaringan. Hal ini dilakukan dengan cara memberikan pesan -pesan tertentu, sebagai respons atau kondisi tertentu yang terjadi pada jaringan tersebut.
10
2.3.3
Address Resolution Protocol (ARP) Dalam jaringan lokal, paket IP biasanya dikirim melalui card ethernet.
Untuk berkomunikasi mengenali dan be rkomunikasi dengan ethernet lainnya, digunakan ethernet address. ethernet address ini besarnya 48 bit. Setiap card ethernet memiliki ethernet address yang berbeda-beda. Pada saat hendak mengirimkan data ke komputer dengan IP tertentu, suatu host pada jaringan ethernet perlu mengetahui, di atas ethernet address yang manakah tempat IP tersebut terletak. Untuk keperluan pemetaan IP address dengan ethernet address ini, digunakan protokol ARP ( Address Resolution Protocol). ARP berkerja dengan mengirimkan paket berisi IP address yang ingin diketahui alamat Ethernetnya ke alamat broadcast ethernet. Karena dikirim ke alamat broadcast, semua card Ethernet akan mendengar paket ini. Host yang merasa memiliki IP address ini akan membalas paket tersebut, dengan mengirimkan paket yang berisi pasangan IP address dan ethernet address. Untuk menghindari seringnya permintaan jawaban seperti ini, jawaban ini disimpan di memory untuk sementara waktu.
2.4
Transport Layer Transport layer merupakan layer komunikasi data yang mengatu r aliran
data, untuk keperluan aplikasi ini, ada dua buah protokol pada layer ini, yaitu : a.
Transmission Control Protocol (TCP)
b.
User Datagram Protocol (UDP)
11
2.4.1
Transmission Control Protocol (TCP) TCP merupakan protokol yang terletak di layer transport. Protok ol ini
menyediakan service yang dikenal dengan connection oriented, reliable, byte stream service. Connection oriented berarti sebelum melakukan pertukaran data, dua aplikasi pengguna TCP harus melakukan pembentukan hubungan (handshake) terlebih dahulu. Reliable berarti TCP menerapkan proses deteksi kesalahan paket dan retransmisi. Byte stream service berarti paket dikirimkan dan sampai ke tujuan secara berurutan. Untuk menjamin reliabilitas pengiriman TCP melakukan hal -hal berikut :
Data yang diterima oleh aplikasi dipisah menjadi segmen -segmen yang besarnya menurut TCP paling sesuai untuk pengiriman data.
Ketika TCP menerima data (TCP SYN) dari mitranya, TCP mengirimkan acknowledgment – TCP ACK (pemberitahuan bahwa ia telah menerima data).
Ketika TCP mengirim sebuah data, TCP mengaktifkan pewaktu ( software timer) yang akan menunggu acknowledgment dari penerima segmen data tersebut.
Jika
sampai
waktu
yang
ditentukan
tidak
menerima
acknowledgment, data tersebut dikirimkan kembali oleh TCP.
Sebelum data segmen dikirim, TCP melakukan perhitungan checksum pada header dan datanya. Hal ini berbeda dengan protokol IP yang hanya melakukan perhitungan checksum pada headernya saja. Jika segmen yang diterima memiliki checksum yang tidak valid, TCP akan membuang segmen t ini dan berharap sisi pengirim akan melakukan retransmisi.
12
Karena segment TCP dikirim menggunakan IP, dan datagram IP dapat sampai ke tujuan dalam keadaan tidak berurutan, segmen TCP yang dikirimnya pun dapat mengalami hal yang sama. Karenanya sisi pener ima paket TCP harus mampu melakukan pengurutan kembali segmen TCP yang ia terima (requencing), dan menerima data dengan urutan yang benar ke aplikasi penggunanya.
Karena paket IP dapat terduplikasi di perjalanan, penerima TCP harus membuang data tersebut.
Untuk mencegah agar server yang cepat tidak membanjiri server yang lambat, TCP melakukan proses flow control. Setiap koneksi TCP memiliki buffer dengan ukuran yang terbatas. Sisi penerima TCP hanya memperbolehkan sisi pengirim mengirimkan data sebesar buff er yang ia miliki.
2.4.2
User Datagram Protocol (UDP) Data Datagram Protocol (UDP) merupakan protokol transport yang
sederhana. Berbeda dengan TCP yang connection oriented, UDP bersifat connectionless. Dalam UDP tidak ada sequencing (pengurutan kembali) paket yang datang, acknowledgement terhadap paket yang datang, atau retransmisi jika paket mengalami masalah di tengah jalan. Kemiripan UDP dengan TCP ada pada penggunaan port number. Sebagaimana digunakan pada TCP, UDP menggunakan port number ini membedakan pengiriman datagram ke beberapa aplikasi berbeda yang terletak pada komputer yang sama.
13
Karena sifatnya yang connectionless dan unreliable, UDP digunakan oleh aplikasi-aplikasi yang secara periodik melakukan aktivitas tertentu (misalnya query routing table pada jaringan lokal), serta hilangnya satu data akan dapat diatasi pada query pada periode berikutnya dan melakukan pengiriman data ke jaringan lokal. Pendeknya jarak tempuh datagram akan mengurangi resiko kerusakan data.
2.5
Pembagian Kelas IP Address IP address merupakan bilangan biner 32 bit yang dipisahkan oleh tanda
pemisah berupa tanda titik setiap 8 bitnya. Tiap 8 bit ini disebut sebagai oktet, yang masing-masing bit tersebut dapat diganti oleh angka 0 atau 1. Nilai terbesar dari bilangan biner 8 bit adala h 255 (=2 7+26+25+24+23+22+21+20). Karena IP address terdiri atas 4 buah bilangan 8 bit, maka jumlah IP address yang tersedia ialah 255.255.255.255.
bit
0
31
10000100 . 01011100 . 01111001 . 00000001 132
92
121
132 . 92 . 121 . 1
Gambar 2.2 Penulisan IP address
14
1
2.5.1
Network ID dan Host ID Pembagian kelas-kelas IP address didasarkan pada dua hal : network ID
dan host ID dari suatu IP address. Setiap IP address selalu merupakan sebuah pasangan da ri network ID (identitas jaringan) dan host ID (identitas host dalam jaringan tersebut). Network ID ialah bagian dari IP address yang digunakan untuk menunjukkan jaringan tempat komputer itu berada. Sedangkan host ID adalah bagian dari IP address yang digunakan untuk menunjukkan workstation, router, dan semua host TCP/IP lainnya dalam jaringan tersebut. Dalam satu jaringan, host ID ini harus unik (tidak boleh ada yang sama). Untuk mempermudah pendistribusian pendaftaran IP address maka dikelompokkan dalam kelas-kelas :
Kelas A IP address kelas A diberikan untuk jaringan dengan jumlah host yang sangat besar. Bit pertama dari IP address kelas A adalah di set 0 (nol) sehingga byte yang terdepan dari IP address kelas A selalu bernilai antara angka 0 dan 127. pada IP address kelas A, network ID ialah 8 bit pertama, sedang kan host ID ialah 24 bit berikutnya. Dengan panjang host ID yang 24 bit, network dengan IP address kelas A ini dapat menampung sekitar 16 juta host.
Kelas B IP kelas B biasanya dialokasikan untuk jaringan berukuran sedang dan besar. Dua bit pertama dari IP address kelas B selalu diset 10 (satu nol) sehingga byte terdepan dari IP address kelas B selalu bernilai antara 128 hingga 191.pada IP address kelas B, network ID ialah 16 bit pertama,
15
sedangkan host ID ialah 16 bit berikutnya. dengan panjang host ID yang 16 bit, network dengan IP address kelas B ini dapat menampung sekitar 65000 host.
Kelas C Pada IP address kelas C, 3 bit pertama selalu berisi 111, bersama 21 bit berikutnya, angka ini membentuk network ID 24 bit. Host ID ialah 8 bit terakhir. Dengan konfigurasi ini, bias dibentuk sekitar 2 juta network dengan masing-masing network memiliki 256 IP address.
Kelas D IP address kelas D digunakan untuk keperluan IP multicasting. 4 bit pert ama IP address kelas D diset 1110. Bit -bit berikutnya diatur sesuai keperluan multicasting group yang digunakan IP address ini. Dalam multicasting tidak dikenal network bit dan host bit.
Kelas E IP address kelas E hanya digunakan untuk eksperimental. 4 b it pertama IP address ini diset 1111.
Kelas A bit
0
1
7
8
31
0 Network-ID
Host-ID
Kelas B bit
0
2
15 16
31
10 Network -ID
Host-ID
16
Kelas C bit
0
3
23
24
31
110 Network -ID
Host-ID
Gambar 2.3 Format IP Address berdasarkan k elas
2.5.2
Pengalokasian IP Address Terdapat beberapa aturan dasar dalam menentukan network ID dan host
ID yang hendak digunakan :
Network ID tidak boleh sama dengan 127. Network ID 127 tidak dapat digunakan karena secara default digunakan untuk keperluan loopback. Loopback ialah IP address yang digunakan komputer untuk menunjuk diri sendiri.
Network ID dan host ID tidak boleh sama dengan 255 (seluruh bit di set 1). Jika hal itu dilakukan, network ID at au host ID tersebut akan diartikan sebagai alamat broadcast. ID broadcast merupakan alamat yang mewakili seluruh anggota jaringan. Pengiriman paket ke alamat broadcast akan menyebabkan paket ini didengar oleh seluruh anggota network tersebut.
Network ID dan host ID tidak boleh semua bitnya 0 (nol). IP address denga n host ID 0 diartikan sebagai alamat network. Alamat network ialah alamat yang digunakan untuk menunjuk suatu jaringan, dan tidak menunjuk suatu host.
Host ID harus unik dalam satu network, dimana dalam satu network tidak boleh ada dua host yang memiliki h ost ID yang sama.
17
2.6
Subnetting Network ID yang dimiliki suatu organisasi dapat dipecah lagi menjadi
beberapa network ID lain dengan jumlah anggota jaringan yang lebih kecil. Teknik
ini
dinamakan
subnetting
dan
jaringannya
dinamakan
subnet
(subnetwork). Kegunaan subnet adalah untuk mengatasi keterbatasan IP address yang tersedia dan untuk lebih memaksimalkan penggunaan IP address itu sendiri. Dalam subnetting, proses yang dilakukan ialah memakai sebagian bit host ID untuk membentuk subnet ID. Dengan demikian jumlah bit yang digunakan untuk host ID menjadi lebih sedikit.
Network ID
Host ID
Network ID
Subnet ID
Host ID
Gambar 2.4 Subnet ID
Subnet mask ialah angka biner 32 bit yang digunakan untuk :
Membedakan network ID dan host ID
Menunjukkan letak suatu host, apakah berada di jaringan lokal atau jaringan luar
Secara default subnet mask untuk tiap kelas IP address :
Kelas A
: 255.0.0.0
Kelas B
: 255.255.0.0
Kelas C
: 255.255.255.0
18
Pada subnet mask, seluruh bit yang behubungan dengan network ID di set 1. sedangkan bit yang berhubungan dengan host ID di set 0. IP address kelas A, misalnya, secara default memiliki subnet 255.0.0.0 yang menunjukkan batas antara network ID IP address kelas A. Subnet mask juga digunakan untuk menentukan letak suatu hos t, apakah dijaringan lokal atau di jaringan luar. Hal ini diperlukan untuk operasi pengiriman paket IP. Dengan melakukan operasi AND antara subnet mask dengan IP address asal dan IP address tujuan, serta membandingkan hasilnya, dapat diketahui arah tujuan paket IP tersebut. Jika kedua hasil operasi tersebut sama, maka host tujuan terletak di jaringan lokal, dan paket IP dikirim langsung ke host tujuan. Jika hasilnya berbeda, host tujuan terletak di luar jaringan lokal, sehingga paketpun dikirim ke default router. Dalam subnetting, proses yang dilakukan ialah memakai sebagian bit host ID untuk membentuk subnet ID. Dengan demikian jumlah bit yang digunakan untuk Host-ID menjadi lebih sedikit. Semakin panjang subnet -ID, jumlah subnet yang dapat dibentuk semakin banyak, namun jumlah host tiap subnet menjadi semakin sedikit.
Cara menggunakan jumlah subnet masknya adalah :
Mengubah jumlah network yang dibutuhkan menjadi bilangan biner. Satu network kelas B dapat diubah menjadi 255 network kelas C. angka 255 jika dipresentasikan dalam biner adalah 11111111.
Menghitung jumlah bit yang dibutuhkan untuk mempresentasikan angka tersebut. Untuk mempresentasikan angka 255 dalam biner dibutuhkan oleh
19
subnet-ID. Jumlah bit host-ID sekarang ialah jumlah bit host -ID yang lama dikurangi bit yang diperlukan untuk subnet -ID. Jika dulunya IP kelas B memakai 16 bit untuk host-ID, sekarang hanya tersisa 8 bit saja.
Mengisi sub-ID ini dengan bit 1. sehingga subnet mask yang baru yaitu : 11111111.11111111.11111111.00000000. Dengan ada nya subnet mask baru ini, IP address 132.92.121.1 dibaca sebagai Network ID = 132.92.121 Host ID = 1 Dengan kata lain, 132.92.121.1 ialah host nomor 1 pada jaringan 132.92.121/24.
2.7
Routing Pada TCP/IP Route yang berarti jalur adalah sebuah bagian yang ti dak dapat
dipisahkan untuk kita berhubungan dengan network lain bahkan dengan internet. Setiap host di dalam jaringan akan membutuhkan routing untuk berhubungan. Contoh sederhana sebagai analogi adalah bila anda akan berjalan keluar dari rumah A dengan tujuan rumah B anda harus melalui sebuah pintu keluar (routing default rumah A) kemudian berjalan misalkan melewati jalan AB (routing network A-B) hingga anda akan menemukan rumah B dan bertemu dengan si B. Demikian pula halnya dengan sebuah jaringan kompute r untuk menuju internet. Perangkat yang melakukan routing dan berfungsi sebagai jalan menuju network lainnya akan disebut router. Implementasinya di LAN dan internet dikenal 2 jenis routing, yaitu :
Routing Langsung (direct routing) dimana setiap paket ak an langsung dikirimkan ke tujuannya karena remote host biasanya masih berada dalam network/subnetwork dengan local host.
20
Routing Tidak Langsung ( indirect routing) biasa ditemukan dalam network yang memiliki beberapa subnetwork atau koneksi antar network di internet.
Host A1
Host B1
Router 1
Router 2
Host B2
Host A2
Gambar 2.5 Implementasi routing pada dua network.
Routing langsung akan terjadi bila hostA1 berkomunikasi dengan hostB1 atau sebaliknya, termasuk komunikasi dari tiap host di network1 terhadap router1, sedangkan routing tidak langsung terjadi apabila hostA2 berhubungan dengan hostA1 atau hostB1 demikian pula sebaliknya. Router1 dan router2 memiliki router table untuk memungkinkan hal di atas terjadi. Dan routing default dari host di masing -masing network akan diarahkan pada router yang terdapat pada network tersebut. Pertemuan antara satu router dengan router lainnya dikenal dengan sebutan hop. Proses routing sendiri memiliki beberapa protokol yang digunakan diantaranya adalah Information Protocol (RIP).
21
Routing
2.8
Domain Name System (DNS) DNS dikenal sebagai system database terdistribusi pada tahun 1984.
munculnya ide DNS mengikuti perkembangan internet yang sangat cepat, dimana timbul masalah baru yang dapat menghubungi sebuah host sebagai tujuan, karena format IP yang berupa angka cukup sulit untuk diingat. Walaupun sebelumnya sebuah sebuah teknik yang menggunakan file HOSTS.TXT sebagai data dari nama komputer (hostname) telah ada, namun hal ini tidak fleksibel dimana ketika jumlah host di internet sudah mele bihi 1000 host. Format penamaan host di internet dibuat memiliki hirarki, yang skemanya membentuk tree. Dimana setiap node memiliki sebuah tree subnode, node yang berlabel dikenal dengan nama domain. Domain sendiri bias berupa hostname, subdomain, atau top level domain. Domain teratas dinamakan Root Domain, yang dituliskan dengan titik (.) atau dapat juga dihilangkan. Contoh penggunaan dan penjelasan domain adalah sebagai berikut : “altelindo.webdevelopment.teras.net.id ” Dijelaskan sebagai berikut :
null domain name setelah id merupakan Root Domain
id merupakan country code Top Level Domain (ccTLD)
net merupakan Second Level Domain Names (SLDs)
teras merupakan Third Level Domain (atau domain teras.net.id)
webdevelopment merupakan Fourth Level Domain (atau s ubdmain dari teras.net.id)
altelindo merupakan hostname dari LAN di webdevelopment.teras.net.id
22
Penulisan lengkap dari root domain hingga hostname dikenal dengan Fully Qualified Domain Name (FQDN). Sementara sekumpulan node di bawah root domain disebut dengan Top Level Domain, dimana ada 3 jenis top level domain yaitu TLD generik, TLD negara, dan TLD arpa.
23
BAB III JARINGAN INTERNET BANKING
3.1
Perkembangan Internet Banking Perkembangan teknologi informasi
telekomunikasi serta internet
menyebabkan mulai munculnya aplikasi bisnis yang berbasis internet. Salah satu aplikasi yang mulai mendapat banyak perhatian adalah Internet Banking. Layanan ini mulai menjadi tuntutan dari sebagian sebagian nasabah bank, sama halnya dengan layanan ATM dan Phone Banking. Tuntutan ini datang dari pengguna yang menginginkan layanan transaksi cepat, tersedia setiap saat, nyaman d an murah, tanpa harus datang langsung ke bank, hal ini dapat diberikan oleh layanan Internet Banking. Dibalik dari kemudahan dan kenyamanan tersebut terdapat resiko keamanan dalam bertransaksi. Untuk itu layanan Internet Banking harus memenuhi aspek keamanan dalam menyelenggarakan pelayanan tersebut. .
3.2
Faktor-faktor Keamanan Internet Banking Beberapa Faktor-faktor keamanan yang perlu dan penting diperhatikan
yaitu faktor keamanan bertransaksi dan faktor keamanan teknologi jaringan yang digunakan. Faktor Keamanan Transaksi Internet Banking adalah :
24
Confidentiality Aspek confidentiality memberi jaminan bahwa data -data tidak dapat disadap oleh pihak-pihak yang tidak berwenang. Serangan terhadap aspek ini adalah penyadapan nama account dan PIN dari pen gguna Internet Banking. Penyadapan dapat dilakukan pada sisi terminal (komputer) yang digunakan oleh nasabah atau pada jaringan ( network) yang mengantarkan data dari sisi nasabah ke penyedia jasa Internet Banking.
Integrity Aspek integrity menjamin integritas data, dimana data tidak boleh berubah atau diubah oleh pihak-pihak yang tidak berwenang. Adanya pihak lain yang mengubah informasi tanpa ijin pemilik informasi merupakan contoh masalah integritas. Sebuah email dapat saja ditangkap di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju, sehingga informasi tersebut sudah tidak terjaga integritasnya.
Availability Availability digunakan untuk meyakinkan orang yang mengakses layanan dan juga server (web) yang memberikan layanan. Sa lah satu kesulitan melakukan authentication adalah biasanya pengguna hanya menggunakan user-id /account number dan password/PIN, keduanya hanya mencakup satu hal saja (sesuatu yang diketahui) dan mudah disadap.
25
Confidentiality
Integrity
Availability
Gambar 3.1 Faktor Keamanan Ber-Transaksi
Faktor Teknologi Jaringan
secara umum pada Internet Banking, yang
terdiri atas sebagai berikut.
3.3
Firewall,
Intrusion Detection System (IDS),
Secure Socket Layer (SSL)
Antivirus
Perangkat Back-up.
Teknologi Keamanan Internet Banking Teknologi keamanan yang harus dipenuhi secara teknis dalam Internet Banking dan pada saat yang sama juga meningkatkan kepercayaan pengguna layanan tersebut adalah :
26
3.3.1
Firewall Firewall adalah komponen atau sekumpulan komponen jaringan, yang berfungsi membatasi akses antara internal network (network yang akan dilindungi) dengan eksternal network (internet). Firewall memiliki beberapa tugas pada jaringan, yaitu : - Firewall harus dapat mengimplementasikan kebijakan security ( security policy) di jaringan, sehingga sem ua akses ilegal antar jaringan yang tidak memenuhi kebijakan security akan diblok. - Melakukan filtering, yaitu dengan mewajibkan semua traffik yang ada untuk dilewatkan melalui firewall bagi semua proses pemberian dan memanfaatan layanan informasi. Dalam konteks ini, aliran data dari/menuju firewall diseleksi berdasarkan IP address, nomor port, atau arahnya, disesuaikan dengan kebijakan security. - Merekam / mencatat event-event mencurigakan serta memberitahu administrator terhadap segala usaha -usaha menembus kebijakan security.
Beberapa teknologi firewall yang dijadikan pilihan, terutama adalah : 1.
Packet Filtering Pada gambar 3.1 berikut ini, sistem packet filtering melakukan routing paket antara jaringan internal dan jaringan eksternal secara selektif ses uai dengan kebijakan security yang telah ditentukan pada jaringan tersebut.
27
Gambar 3.2 Firewall Packet Filtering
Firewall ini menerapkan suatu aturan yang menentukan apakah paket data akan dilewatkan atau tidak, informasi yang digunakan untuk menyeleksi paket tersebut adalah :
2.
IP address sumber dan IP address tujuan dari paket data
Port sumber dan post tujuan dari paket data
Protokol yang digunakan
Proxy Server Proxy server adalah aplikasi khusus yang merupakan perantara an tara jaringan internal dengan jaringan eksternal (internal), dimana program ini mengambil user request untuk internet servis dan meneruskannya (tergantung pada security policy) ke host yang dituju.
28
Gambar 3.3 Firewall Proxy Server
Gambar 3.2 diatas ini proxy server menghubungkan pengguna pada jaringan internal dengan servis pada internet. Pengguna dan servis tersebut tidak berkomunikasi secara langsung. Masing -masing berhubungan dengan proxy dan proxy yang menangani hubungan antara pengguna dan servis di belakang layar. Proxy server dapat membatasi apa yang dapat dilakukan oleh pengguna, sesuai dengan security policy yang telah ditentukan.
3.3.2
Intrusion Detection System (IDS) IDS mendeteksi penyusupan ( intrusion) dengan melakukan mengamatan (monitoring event) terhadap paket-paket yang melewati jaringan dan berusaha menemukan apakah terdapat paket tersebut yang berisi aktifitas mencurigakan atau penyusupan ( intrusion), terhadap confidentiality, integrity, availability, ataupun melakukan by-pass mekanisme pengamanan yang ada. sekaligus melakukan tindak lanjut pencegahan.
29
Secara umum mekanisme sistem keamanan pada Internet Banking, yang terdiri atas Firewall, SSL, dan I DS dapat digambar sebagai berikut
User / Nasabah
* Network Based IDS * Host Based IDS * SSL
`
* Network Based IDS * Host Based IDS * SSL Core Banking
ISP
Intranet
internet
Aplication Server
Web Server Firewall Membatasi Akses Web
Firewall Membatasi Akses Aplikasi
Internet Banking Firewall Membatasi Akses SQL
Gambar 3.4 Topologi Pengamanan Internet Banking
Jenis-jenis IDS yang digunakan, yaitu :
Network-Based IDS
Host-Based IDS
IDS Network-Based IDS ini biasanya berupa suatu mesin yang khusus dipergunakan untuk memonitoring seluruh segmen dari jaringan. I DS network-based akan mengumpulkan paket-paket data yang terdapat pada jaringan dan kemudian menganalisanya serta menentukan apakah paket -paket itu berupa suatu paket yang normal atau berupa aktifitas yang mencurigakan.
30
IDS Network-Based ini tidak tergantung pada sist em operasi yang digunakan oleh host yang dilindungi, karena evaluasi yang dilakukan tidak harus berada pada host tersebut. Respon yang dapat dilakukan oleh I DS Network-Based antara lain adalah notifikasi alarm, email, SNMP Trap, maupun TCP rest dan konfigu rasi ulang Firewall.
IDS Host-Based IDS Host-Based memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data I DS Host-Based biasanya berupa log yang dihasilkan dengan memonitor pada sistem file, event, dan keamanan pada windows NT. Saat terjadi pada log tersebut, dilakukan analisis apakah sama dengan pola serangan yang ada pada basis data I DS. IDS Host-Based ini memiliki kelebihan dalam menganalisis forensik yang lebih kuat dan fokus pada sebuah host, selain i tu IDS Host-Based juga tidak memerlukan tambahan perangkat keras. Respon yang dapat dilakukan oleh IDS Host-Based diantaranya adalah notifikasi alarm, email, SMTP Trap, terminasi login pengguna, dan disable user account.
3.3.3
Secure Socket Layer (SSL) Secure Socket Layer (SSL) adalah suatu protokol komunikasi yang menyediakan fasilitas keamanan, seperti kerahasiaan, keutuhan dan keabsahan. Dimana protokol ini
melakukan
proses -proses enkripsi,
dekripsi,
komunikasi
data,
authentication
dalam
yakni
dengan
memanfaatkan teknologi kunci publik 40 bit dari RSA (Rivest Shamir
31
Addleman) dan kunci enkripsi simetris yang dipergunakan adalah 128 bit, dimana SSL akan mengacak data yang dikirim menjadi kode -kode rahasia dengan menggunakan 128 bit enkripsi. Salah satu metode dilakukan dengan menggunakan sebuah key (kunci) yang merupakan kode rahasia untuk mengenkripsi dan mendekripsi data yang ditransmisikan antara pengirim dan penerima ( gambar 3. 4 ). Kunci rahasia ini akan di-share oleh pihak pengirim dan penerima.
KODE KUNCI
Fungsi Enkripsi
DATA
DATA ACAK
Fungsi Dekripsi
Data
Gambar 3.5 Metode Enkripsi pada SSL
Protokol ini bebas dipergunakan dan didukung beberapa browser seperti Netscape, IE , ataupun Mozilla . SSL ini mengkhususkan diri hanya untuk mendukung protokol HTTP, karenanya SSL menggunakan port 443 untuk berhubungan dengan server yang juga memiliki fasilitas SSL. SSL menjadi perantara antara pemakai dengan protokol HTTP dan menampilkan HTTPS kepada pemakai. Protokol ini ditempatkan diantara Transport Layer (TCP, UDP) dan Application Layer (HTTP, SMTP, FTP, dsb). Dengan memanfaatkan SSL, aplikasi internet dapat melakukan komunikasi yang aman melalui fasilitas yang disediakan oleh SSL :
Kerahasiaan pesan, agar tidak dapat dibaca oleh pihak yang tidak diinginkan.
32
Keutuhan pesan, sehingga tidak bisa diubah -ubah di tengah jalan.
Keabsahan, sehingga meyakinkan pihak -pihak yang berkomunikasi mengenai keabsahan pesan dan keabsahan jati diri lawan bicaranya.
3.4 Jenis-Jenis Serangan dalam Internet Banking Dikarenakan layanan Internet Banking menggunakan internet sebagai media komunikasi, maka keamanan dari layanan Internet Banking tergantung kepada keamanan dari internet. Teknologi internet yang digunakan saat ini bergantung kepada teknologi Internet Protocol (IP) versi 4, IPv4 ini memiliki beberapa kelemahan :
Paket protokol IP tidak memiliki enkripsi sehingga dapat dibaca dan diganti isi paketnya. Membaca paket ini dapat dilakukan dengan cara menyadap yang disebut dengan instilah wire-tapping atau packet sniffing.
Menyamarkan IP address, menggunakan alamat IP lain sehingga b erhasil mendapatkan paket yang seharusnya ditujukan ke host tersebut. Serangan yang sering muncul karena kelemahan pada TCP/IP adalah
Denial of Service (DoS), yakni serangan di internet yang menyebabkan mesin/server tidak bisa beroperasi sama sekali dan t idak bisa memberikan service. Beberapa serangan yang sering digunakan adalah : a.
Ping of Death Ping digunakan untuk mengecek berapa waktu yang dibutuhkan untuk mengirimkan sejumlah data tertentu dari satu komputer ke komputer lain. Panjang maksimum data yan g dapat dikirim menurut spesifikasi protokol IP adalah 65,536 byte. Pada Ping of Death data yang dikirim melebihi
33
maksimum paket tersebut, sehingga sistem yang tidak siap akan crash, hang, atau reboot pada saat sistem tersebut menerima paket yang demikian panjang. Serangan ini dapat diatasi dengan memperbaiki sistem pada sistem operasi. Berikut ini gambar serangan Ping of Death .
Gambar 3.6 Serangan Ping of Death b.
SYN Attach Paket SYN dikirim di saat memulai handshake antara dua aplikasi sebelum transaksi/pengiriman data dilakukan. Pada kondisi normal, aplikasi pengguna akan mengirimkan paket TCP SYN untuk mensinkronisasi paket pada aplikasi di server. Server akan mengirimkan respon berupa acknowledgement paket TCP SYN ACK. Set elah paket TCP SYN ACK diterima dengan baik oleh pengguna, maka pengguna akan mengirimkan paket ACK sebagai tanda transaksi/pengiriman data akan dimulai. Dalam serangan SYN flood (banjir paket SYN), pengguna akan membanjiri server dengan banyak paket TCP S YN. Setiap paket TCP SYN yang dikirim akan menyebabkan server menjawab dengan paket TCP SYN ACK. Server akan terus mencatat (membuat antrian backlog) untuk menunggu respon TCP ACK dari pengguna yang mengirimkan paket TCP SYN. Tempat antrian backlog yang terbatas akan menyebabkan antrian backlog ini penuh
34
sehingga sistem tidak akan merespon paket TCP SYN lain yang masuk, dengan kata lain sistem akan gang. Pada SYN attach ini pengguna membanjiri server dengan paket TCP SYN menggunakan alamat IP sumber yang kacau, sehingga tidak akan ada TCP ACK yang akan dikirim sebagai respon dari paket TCP SYN ACK. Dengan cara ini sistem akan hang dan tidak memproses respon dalam waktu yang lama. Pertahanan terhadap SYN attach dapat dilakukan menggunakan I PS, sementara itu program pada firewall juga disetting agar tidak paket dengan alamat IP sumber yang kacau. Gambar 3.2 dibawah ini menunjukkan serangan TCP SYN ACK.
Gambar 3.7 TCP SYN flood
c.
IP Spoofing IP Spoofing adalah sebuah model serangan yang bertujuan untuk menipu seseorang.Serangan ini dilakukan dengan cara mengubah alamat asal sebuah paket, sehingga dapat melewati perlindungan firewall dan menipu host penerima data. Hal ini dapat dilakukan karena pada dasarnya alamat IP asal sebuah paket dituliskan oleh sistem operasi host yang mengirimkan paket tersebut. Dengan melakukan raw-socket-programming, seseorang dapat menuliskan isi paket yang akan dikirimkan setiap bit -nya sehingga untuk melakukan pemalsuan data dapat dilakukan dengan mudah.
35
Salah satu bentuk serangan yang memanfaatkan metode IP Spoofing adalah 'man-in-themiddle-attack'. Pada serangan ini, penyerang akan berperan sebagai orang ditengah antara
dua pihak yang sedang
berkomunikasi. Misalkan ada dua pihak yaitu pihak A dan pihak B lalu ada penyerang yaitu C. Setiap kali A mengirimkan data ke B, data tersebut akan dicegat oleh C, lalu C akan mengirimkan data buatannya sendiri ke B, dengan menyamar sebagi A. Paket balasan dari B ke A juga dicegat oleh C yang kemudian kembali mengirimkan data 'balasan' buatannya sendiri ke A. Dengan cara ini, C akan mendapatkan seluruh data yang dikirimkan antara A dan B, tanpa diketahui oleh A maupun C. Untuk mengatasi serangan yang berdasarkan IP Spoofing, sebuah sistem operasi harus dapat memberikan nomor-urut yang acak ketika menjawab inisiasi koneksi dari sebuah host. Dengan nomor urut paket yang acak, akan sangat sulit bagi seorang penyerang untuk dapat melakukan pembajakan transmisi data. Selain itu, untuk mengatasi model serangan 'man-in-the-middle-attack', perlu ada sebuah metode untuk melakukan otentikasi host yang kita hubungi. Otentikasi dapat berupa digital certificate yang eksklusif dimiliki oleh host tersebut. Konfigurasi firewall yang tepat juga dapat meningkatkan kemampuan jaringan computer dalam menghadapi IP Spoofing. Firewall harus dibuat agar dapat menolak paket-paket dengan alamat IP sumber jaringan internal yang masuk dari interface yang terhubung dengan jaringan eksternal.
A
B
C Gambar 3.8 IP Spoofing
36
3.5 Lapisan Protokol Internet Banking Internet
banking
merupakan
sarana
layanan
perbankan
yang
sebagaimana telah dijelaskan sebelumnya bahwa jaringan internet ini sangat rentan terhadap faktor keamanan maka dengan itu untuk meminimalisasi permasalahan tersebut dilakukan suatu la ngkah pengamanan. Sistem Internet Banking dilakukan dengan pengamanan yang berlapis, dimana setiap lapisan (layer) dipisahkan oleh sebuah firewall. Untuk meminimalisasi masuknya intrusion-intrusion ke dalam sistem Internet Banking, maka selain menggunakan firewall sebagai pembatas masing -masing layer, juga digunakan beberapa teknologi pengamanan lainnya, salah satu pengamanan yang sangat berperan adalah IPS (Intrusion Prevention System ). Pola pengamanan berlapis pada jaringan Internet Banking terdiri atas 5 layer, yaitu :
Layer Eksternal
Layer Presentasi
Layer Aplikasi
Layer Database
Layer Internal. Teknologi keamanan jaringan dengan Intrusion Prevention System (IPS)
digunakan pada dua layer, yakni di Layer Presentasi dan Layer Aplikasi.
37
Gambar 3.9 Sistem Internet Banking
3.5.1
Layer Eksternal Layer eksternal merupakan lapisan yang berhubungan langsung dengan jaringan internet melalui ISP ( Internet Service Provider), jaringan transmisi ke ISP bisa berupa lease-line, radio link, fiber optik, VSAT, dan sebagainya. Layer eksternal memberikan akses kepada user yang berada di jaringan internet ke jaringan Internet Banking melalui transaksi perbankan. Dalam hal ini kapasitas bandwidth yang digunakan harus sebanding dengan kapasitas transaksi yang dilakukan oleh nasabah. Semakin banyak jumlah nasabah dan semakin banyak diantara nasabah
38
tersebut yang aktif
menggunakan layanan Internet Banking, maka kapasitas bandwidth yang dibutuhkan untuk jaringan harus semakin besar. 3.5.2
Layer Presentasi Layer presentasi merupakan layer yang berhubungan langsung dengan jaringan eksternal, dimana pada layer ini terdapat WebServer. User/nasabah yang mengakses service pada WebServer harus memenuhi policy security yang diimplementasikan pada Firewall (1), hanya trafik data yang authorize yang diijinkan melalui firewall selainnya akan ditolak. WebServer yang berada pada lapisan kedua ini paling rawan terhadap penyerangan karena langsung diekspos oleh jaringan eksternal, sehingga pada lapisan ini dibekali oleh beb erapa komponen keamanan, yakni Firewall (1), Network-Based IPS (1), SSL, dan Host-Based IPS yang diinstall di WebServer.
Layer Eksternal
Layer Presentasi
User / Nasabah Firewall & NIPS Console
`
NIPS [Network IPS] 1
Internet User / Nasabah ISP
` User / Nasabah
To / From Server Aplikasi
Firewall 1
Firewall 2
` Web Server - SSL - Host Base IPS
Gambar 3.10 Layer Eksternal dan Layer Presentasi
39
Firewall (1), sebagai pembatas antara layer eksternal dengan layer presentasi,
berfungsi
untuk
memproteksi
WebServer serta
lapisan
dibelakangnya dari serangan yang mungkin datang. Policy yang harus diterapkan oleh Firewall (1) antara lain hanya membuka port -port tertentu pada saluran komunikasi, hal ini bert ujuan untuk memblok paket -paket dari port-port yang tidak diinginkan. Selain itu Firewall (1) juga membuat policy yang menentukan perangkat yang bisa diakses dan menentukan service yang bisa dilakukan. Mengingat policy Firewall yang sangat terbatas (sesuai dengan policy yang ditetapkan sebelumnya) maka akan sangat berkemungkinan untuk masuknya penyusup-penyusup yang dapat memanfaatkan celah keamanan dapat Firewall, untuk itu digunakan Network-Based IPS (1). Network-Based IPS (1) merupakan suatu sistem pendu kung yang digunakan untuk memonitoring jaringan, terutama dari serangan yang masuk ke dalam sistem Internet Banking. Dalam melakukan tugasnya, IPS menggunakan analisis terhadap aktifitas sistem, mencari event atau set event yang cocok dengan pola prilaku yang dikenali sebagai serangan atau Signature, maka pada manager console IPS akan tampil alert, dimana data ini kemudian dapat dijadikan sebagai data policy pada Firewall.
40
Selain menggunakan Network-Based IPS, juga digunakan Host-Based IPS yang diinstal pada masing-masing server. Host-Based IPS ini akan melakukan pengecekan pada file sistem dan file eksekusi pada interval waktu tertentu untuk mendapat perubahan yang tidak diharapkan. Secara umum dari monitoring pada Host-Based IPS dapat diketahui event da n sumber penyusup. Sistem pengamanan Host-Based IPS ini mendeteksi serangan yang tidak dapat dikenali oleh Network-Based IPS, sebagai contoh adalah serangan melalui sistem lokal yang tidak melewati jaringan. Adapun respon terhadap serangan tersebut akan di tampilan pada manager console yang ada pada layer tersebut, selain itu juga ada juga respon alarm, email, atau peringatan lainnya kepada administrator.
3.5.3
Layer Aplikasi Layer ini berisi Server Aplikasi yang menghubungkan antara WebServer dan Database. Server Aplikasi berkomunikasi langsung dengan WebServer, namun tidak menyediakan service -service internet untuk user eksternal, server ini hanya merupakan server yang menjebatani WebServer untuk mendapatkan data-data transaksi pengguna yang diinginkan dari Data base. Layer Aplikasi ini hanya bisa diakses dari Layer Presentasi, tidak ada user internal/eksternal yang bisa mengakses area ini dan hanya trafik data yang authorize yang diijinkan melalui Firewall selainnya akan ditolak. Firewall (2) pada lapisan ini berfungsi untuk mengatur lalu -lintas paket Layer Presentasi ke Layer Aplikasi, dengan mengimplementasikan suatu policy
41
pada Firewall (2) maka paket data yang diperbolehkan melewati Firewall (2) hanya paket dari Server Aplikasi dengan tujuan Database dan sebal iknya.
Gambar 3.11 Layer Aplikasi
Pada Layer Aplikasi ini, selain pengamanan menggunakan policy yang sudah ditentukan pada Firewall(2), juga dioptimalkan dengan menggunakan Network-Based IPS(2), yang akan memonitor lalu li ntas pada jaringan tersebut. Dalam hal ini terlihat adanya pengamanan yang saling mendukung dan berlapis antara kedua komponen tersebut, dimana jika ada indikasi serangan yang tidak termasuk ke dalam policy Firewall (2) maka IPS akan memberikan alert kepada administrator dan melakukan beberapa hal yang diperlukan. Alert ini dapat berupa alarm, email, maupun telnet pada manager console.
42
Selain pengamanan dengan Network-Based IPS, pada Server Aplikasi juga terdapat Host-Based IPS, yang akan memonitor lalu lin tas data pada server itu, jika terdapat kejanggalan pada lalu lintas data atau tidak sesuai dengan kebiasaan normal maka IPS akan memberikan alert kepada administrator.
3.5.4
Layer Database Layer ini berisi data dan informasi nasabah bank, sehingga lapisan ini
merupakan lapisan yang paling penting untuk diamankan, user intranet/internet tidak diperbolehkan untuk mengakses langsung area ini dan harus melalui Layer Presentasi dan Layer Aplikasi terlebih dahulu. Server yang berada pada Layer Database menyediakan semua service yang dibutuhkan oleh Server Aplikasi.
Layer Database
To / From Server Aplikasi Database
Firewall (3)
Gambar 3.12 Layer Database
Layer ini dibatasi oleh Firewall (3), dimana Firewall (3) ini berfungsi untuk mengatur lalu lintas paket dari Layer Aplikasi ke Layer Database atau sebaliknya. Dengan mengimplementasikan suatu policy pada Firewall (3), maka paket yang diperbolehkan melewati Firewall (3) adalah paket dari Server Aplikasi
43
dengan tujuan Database dan sebaliknya, sementara yang lainnya akan ditolak. Pada layer ini tidak digunakan lagi IPS, baik itu Network-Based maupun HostBased, karena dari pihak banking sendiri sudah merasa cukup dengan sistem pengamanan ini.
3.5.5
Layer Internal Layer internal adalah area dimana internal user (karyawan) penyedia
service Internet Banking melakukan aktifitas sehari -hari. User internal juga dapat mengakses layanan Internet Banking, namun akses jaringannya harus melalui Firewall (1) pada Layer Presentasi.
3.6 Prose IPS IPS memiliki tiga komponen fungsi fundamental yang merupakan proses utama dalam IPS. Komponen fungsi itu antara lain : 1.
Pengambilan data (information source) Komponen ini merupakan fungsi untuk melakukan pengambilan data dari berbagai sumber yang ada pada sistem yang diamati.
2.
Analisis pendeteksian serangan Bagian ini melakukan organisasi terhadap data yang diperoleh, mengambil kesimpulan terhadap pelanggaran/ intrusion, baik yang sedang terjadi maupun yang telah terjadi.
44
3.
Respon terhadap serangan Komponen ini melakukan beberapa aksi pada sistem setelah pelanggaran yang terjadi telah terdeteksi. Respon ini dapat dikelompokkan menjadi dua, yaitu respon aktif dan respon pasif.
Analysis Engine
Information Collector
raw data Monitoring Events
Report Facility An IPS System Monitored System
Analysis Hosts
Gambar 3.13 Proses IPS
3.6.1
Pengambilan Data Sumber data yang diambil dapat berasal dari berbagai level dari sistem
seperti network, host, dan aplikasi. IPS mengambil data dengan melakukan analisis dari paket-paket jaringan backbone atau segmen dari Local Area Network (LAN). Data juga dapat diperoleh d ari data yang dihasilkan oleh sistem baik sistem operasi atau aplikasi yang ada. Formula IPS dapat juga diambil dari aliran lalu lintas data pada jaringan, dimana dari data jaringan yang terkoneksi dapat dijadikan data untuk membagi atau mengklasifikasikan, apakah data jaringan tersebut dikategorikan normal atau suatu intrusion. Istilah koneksi pada Gambar 3.14 menunjukkan rangkaian paket
45
data yang terhubung ke service yang ada, seperti pengiriman suatu webpage melalui protokol HTTP. Setiap koneksi jaringa n dapat didefinisikan sebagai pola untuk pengklasifikasian. Sebelum penentuan suatu intrusion, ada tiga feature turunan utama pada jaringan, yaitu:
Feature intrinsic, yaitu informasi umum yang berhubungan dengan koneksi, seperti durasi, tipe, protokol, dan sebagainya.
Feature traffic, yaitu statistik yang menghubungkan antara koneksi sebelumnya dengan yang terbaru, seperti nomor koneksi dengan tujuan host yang sama atau koneksi ke service yang sama dalam waktu tertentu.
Feature content, yaitu feature yang berisi informasi tentang isi data pada paket yang bisa saja berhubungan dengan penemuan suatu intrusion, seperti laporan error pada operating system, usaha pengaksesan root, dan sebagainya.
Paket TCP/IP
Record Koneksi
Feature Turunan
Feature Intrinsic
Feature Traffic
Feature Content
Klasifikasi
Tergolong Normal atau Serangan
Gambar 3.14 Contoh Pengambilan Data pada IPS
46
3.6.2
Analisis Pendeteksian Serangan Dalam mengenali sebuah serangan yang dilakukan oleh penyusup
digunakan data yang telah diperoleh. Pendekatan yang sering digunakan untuk mengenali serangan antara lain : -
Anomaly Detection (Deteksi Penyimpangan)
-
Misuse Detection (Deteksi Penyalahgunaan)
3.6.2.1 Anomaly Detection (Deteksi Penyimpangan) Anomaly detector mengindentifikasi perilaku tak lazim yang terjadi (anomaly) dalam host atau network. Detektor berfungsi dengan asumsi bahwa serangan itu berbeda dengan aktivita s normal dan karena itu dapat dideteksi dengan sistem yang mampu mengidentifikasikan perbedaan tersebut. Anomaly detector menyusun profil-profil yang menjelaskan kebiasaan user yang normal, host, atau koneksi jaringan. Profil -profil ini dibangun dari data -data historis yang dikumpulkan dalam periode operasi normal, seperti dengan mengamati statistik seperti utilisasi CPU, aktivitas disk, login user, aktivitas file, dan sebagainya. A typical anomaly detection system update profile
audit data
system profile
statistically deviant ?
generate new profile dynamicaly
Gambar 3.15 Anomaly Detection
47
attack state
Teknik deteksi penyimpangan ini mempunyai asumsi bahwa semua aktifitas serangan terhadap sistem sebagai suatu anomaly atau keanehan. Ini berarti jika pengelola sistem atau administrator mampu membuat profile aktifitas normal dari sistem tersebut, maka secara teori, aktifi tas di luar profile tersebut dapat dikategorikan sebagai anomaly. Deteksi anomaly sering menimbulkan kesalahan -kesalahan pelanggaran, yang disebabkan karena perilaku pengguna yang sulit untuk diprediksi.
3.6.2.2 Misuse Detection (Deteksi Penyalahgunaan) Detektor melakukan analisis terhadap aktifitas sistem, mencari event atau set event yang cocok dengan pola prilaku yang dikenali sebagai serangan. Pola perilaku serangan tersebut disebut dengan knowledge (‘k’) atau signatures, sehingga misuse detection juga dikena l sebagai signatures-based detection.
A typicall misuse detection system modify existing rules
rule audit data
system profile match ?
attach state
timing information add new rules
Gambar 3.16 Misuse Detection
Konsep pada deteksi penyalahgunaan ini adalah dengan memodelkan serangan dalam bentuk pola atau signature, jadi apabila terdapat variasi bentuk
48
serangan tetapi dengan pola yang sama, serangan masih dapat dikenali. Perbedaan dengan anomaly detection adalah pada anomaly detection hanya mampu mendeteksi serangan, sedangkan pada teknik misuse detection mampu mengenal serangan tersebut. Keuntungan misuse detector ini sangat efektif dalam mendeteksi serangan tanpa menimbulkan banyak kesalahan alarm. Adapun kelemahannya, misuse detector hanya mendeteksi serangan yang telah diketahui saja, sehingga harus selalu di-update dengan signature-signature dari serangan-serangan yang baru, selain itu karena misuse detector didesain untuk menggunakan signature yang benar-benar telah diketahui atau didefinisikan sehingga menghalangi mereka dari pendeteksian dari variasi -variasi serangan yang tidak lazim.
3.6.3
Respon Terhadap Serangan Setelah IPS memperoleh informasi dan melakukan analisis terhadap
informasi untuk mencari gejala penyerangan, IPS akan menyusun beberapa respon untuk mencegah perusakan lebih jauh pada sistem. Respon ini dapat berupa penambahan log pada sistem dan beberapa IPS melakukan respon aktif secara otomatis.
3.6.3.1 Respon Aktif
Beberapa hal yang dilakukan pada respon aktif ini, antara lain :
Pengambilan informasi atau menyimpan bukti. Pada percobaan perusakan yang tidak membahayakan, paket yang dicurigai sebagai seranga n
49
disimpan untuk dianalisa lebih jauh guna mencari informasi lebih lanjut mengenai data penyerang.
Menghentikan serangan yang sedang terjadi dan melakukan bloking akses lebih lanjut oleh penyerang. Yakni dengan melakukan bloking terhadap IP address dimana penyerang berada. Beberapa cara yang dilakukan untuk mengurangi akses yang besar pada penyerang antara lain :
-
Memutuskan koneksi TCP penyerang, dengan mengirimkan paket TCP FIN untuk memaksa penghentian koneksi yang dicurigai. Atau dapat juga dengan membuat suatu ‘rule’ untuk memblok alamat IP tertentu.
-
Konfigurasi ulang router dan firewall untuk melakukan bloking pada port, protokol, service.
Alert atau pemberitahuan yang diberikan oleh I PS sebagai respon memiliki dua kemungkinan, yakni :
False Positives Yaitu merupakan alert yang memberitahu adanya aktifitas yang berpotensi berupa serangan, tetapi masih ada kemungkinan bahwa ternyata aktifitas tersebut bukan sebuah serangan.
False Negatives Yakni kondisi dimana IPS tidak dapat mendeteksi adanya serangan,
karena tidak mengenal
signature-nya, jadi IPS tidak
memberikan alert, walaupun sebenarnya serangan terhadap sistem sedang berlangsung.
50
3.6.3.2 Respon Pasif Beberapa hal yang dilakukan pada respon pasif ini, antara lain :
Alarm dan notifikasi, alarm dan notif ikasi merupakan respon yang sering digunakan oleh IPS untuk melaporkan adanya serangan yang berhasil dideteksi.
SNMP Trap, merupakan protokol yang digunakan untuk memonitor dan mengelola berbagai perangkat di jaringan Internet secara jarak jauh (remote), yang kemudian dikirimkan pada management console.
Mengirim email peringatan kepada administrator.
Reporting, setiap IPS memiliki kemampuan untuk menghasilkan laporan secara periodik mengenai statistik yang telah terjadi.
3.7
Flow Data pada IPS
user profile
audit log
Packet
packet monitor
valid Log data into audit trail
misuse detector
anomaly detector
invalid shut down
b
action decoder
comparator
k
e-mail alert
shut down telnet intrusion log
Gambar 3.17 Flow Data IPS
51
system shut down
Berdasarkan flow data di atas dapat dibuatkan suatu bentuk algoritma IPS, yaitu :
Langkah 1: Start
Langkah 2: Packet monitor melakukan analisa pengontrolan data pada paket yang akan dikirim atau diterima dari sem ua jaringan. Jika pada paket yang ditemukan ada sesuatu yang tidak normal maka IPS akan merespon dengan mematikan sistem. Namun jika paket yang ditemukan adalah normal maka dilanjutkan ke langkah 3.
Langkah 3: Paket yang normal tersebut akan di -log ke dalam audit trail.
Langkah 4: Extractor memilah dan memisahkan masing -masing data audit pada masing-masing detector, baik itu misuse detector maupun anomaly detector.
Langkah 5: Misuse detection melakukan pengecekan serangan statis berdasarkan skenario serangan dari intrusion log. Jika ditemukan aktifitas yang sesuai dengan log tersebut maka dinyatakan sebagai serangan dan IPS akan merespon dengan mematikan sistem, sementara aktifitas yang tidak sesuai dilanjutkan ke langkah 6.
Langkah 6: Misuse detection menentukan ‘k’, yaitu aktifitas yang diindikasikan sebagai serangan. Nilai ini kemudian diberikan ke comparator.
Langkah 7: Anomaly detector menentukan ‘b’, yakni dengan mengindikasikan aktifitas yang terjadi pada kebiasaan normal sebagai user profile. Ni lai ini kemudian diberikan ke comparator.
52
Langkah
8:
Comparator
membandingkan
nilai
‘b’
dan
‘k’
untuk
mengklasifikasikan aktifitas yang terjadi secara tepat, menjadi 4 tingkatan tertentu yakni : -
Strongly Intrusive (SI)
-
Weakly Intrusive (WI)
-
Weakly Normal (WN)
-
Strongly Normal (SN)
Output dari comparator kemudian diberikan ke action decoder.
Langkah 9: Pada action decoder akan mengubah output comparator menjadi respon yang tepat, seperti dijelaskan pada tabel berikut :
Tingkatan Aktifitas SI WI
Respon A B
WN
C
SN
D
Respon tersebut antara lain adalah : A) Menghentikan aktifitas yang sedang berjalan dan memberikan alert kepada sistem administrator.
B)
Alert, dengan tidak menghentikan aktifitas tapi memberikan alert kepada sistem administrator.
53
C)
Buffer (waspada), dengan memasukkan aktifitas yang sedang terjadi ke dalam buffer (data yang harus diwaspadai) dan memonitornya sebagai waktu pra-penentuan. Pada akhirnya jika tidak ada perubahan pada aktifitas maka akan diberikan alert kepada administrator, namun jik a ada perubahan maka aktifitas dikeluarkan dari buffer.
D) Melewatkan,
tidak
menghalangi
meneruskan proses.
54
aktifitas
dan
membiarkannya
BAB IV TEKNOLOGI KEAMANAN PADA INTERNET BANKING
Teknologi keamanan internet banking menggunakan I ntrusion Prevention System memiliki kemampuan lebih baik dari IDS ( Intrusion Detection System ), dimana IDS hanya mampu mendeteksi adanya penyusupan dalam j aringan lalu mengaktifkan peringatan kepada pengguna untuk segera mengambil langkah langkah mitigasi sementara IPS langsung mengatasi penyusupan tersebut.
Internet
CBN
Indosat IPS
Gateway
Web Server
Server
HSM Server
Console Firewalls
Firewalls Core Banking
Servers
Monitoring Firewalls Management Console
Gambar 4.1 Network Diagram Internet Banking
55
Internal Network
4.1
Analisa Penerapan IDS & IPS Dasar tujuan dari analisis pada IDS & IPS adalah untuk meningkatkan
keamanan sistem. IDS & IPS melakukan analisa
terhadap data dan
mengidentifikasi aktivitas yang ganjil (anomalous) pada ruang lingkup jaringan dan host.
User / Nasabah
* Network Based IDS * Host Based IDS * SSL
`
* Network Based IDS * Host Based IDS * SSL Core Banking
ISP
Intranet
internet
Aplication Server
Web Server Firewall Membatasi Akses Web
Firewall Membatasi Akses Aplikasi
* Network Based IPS * Host Based IPS * SSL
Internet Banking Firewall Membatasi Akses SQL
* Network Based IPS * Host Based IPS * SSL
Gambar 4.2 Penerapan IDS & IPS pada Internet Banking
4.1.1
Analisa Penerapan IDS Alat/piranti yang digunakan adalah CyberGuard (Hardware) dan Site Protector (Software) dari ISS. NIDS : - Mengamati semua aktivitas jaringan - Pendeteksian berdasarkan pada apa yang direkam dari aktiv itas jaringan. - Mendeteksi serangan terhadap jaringan untuk dianalisa - Mendeteksi usaha dari serangan yang gagal
56
HIDS : - Mengamati hanya pada host tertentu - Pendeteksian berdasarkan pada single host yang diamati semua aktivitas - Mendeteksi serangan local sebelum memasuki jaringan - Men-verifikasi-kan sukses atau gagalnya suatu serangan Berikut ini beberapa report dari penggunaan IDS :
Gambar 4.3 Report HIDS berupa Event yang terdeteksi
Gambar 4.4 Report HIDS berupa Event & Network Traffic
57
Berikut ini tampilan aktivitas ada perangkat Cyber Guard yang telah mendeteksi adanya serangan serangan TCP Synfood dan Port Scan.
Gambar 4.5 Activity Reports Alert Serangan TCP SYN Flood
Gambar 4.6 Activity Reports Alert Serangan Port_Scan
58
4.1.2
Analisa Penerapan IPS Alat / piranti yang digunakan adalah Proventia G200 dan Site Protector dari ISS.
Gambar 4.7 Console pada Site Protector (internet - Sensor Analysis)
Gambar 4.8 Console pada Site Protector (server Sensor – Sensor Analysis)
59
Pada gambar 4.7 & 4.8 diatas dapat dijelaskan bahwa event name yang ditampilkan merupakan hasil dari pendeteksian dari perangkat Sensor Proventia G200. Console Site Protector juga dapat menjelaskan status event/serangan yang terdeteksi, apakah sudah di block ataupun tidak dikenali oleh perangkat, banyaknya serangan yang terjadi dan berasal dari IP berapa ditujukan ke IP berapa. Perangkat yang digunakan sudah disetting sesuai dengan policy yang ditetapkan dari management.
Log hasil dari event/serangan yang terdeteksi dapat dilihat pada gambar berikut, dimana merupakan perbandingan log dari perangakat IDS & IPS
Data Event Analysis Bulan November 2007
1
2
Gambar 4.9 Data capture event report IDS & IPS
60
-
1. Finger_Bomb
-
2. Windows_PWL_Access
Finger_Bomb : Dengan Finger_Bomb suatu sistem dapat dengan mudah diserang. Serangan yang terjadi dapat merusak suatu jaringan dengan mengalihkan suatu trafict . Finger, servis yang umum bagi sistem operasi UNIX (meskipun sudah ada versi Windows-nya, misalnya Finger32) adalah perintah yang dapat menampilkan informasi mengenai seorang pemakai jaringan. Cara kerjanya seseorang menjalankan program utiliti finger client (Finger32) untuk mencari keterangan tentang A di sistem B, misalnya, program finger client tadi akan mengirimkan permintaan ke finger daemon di sistem B. Daemon dalam konteks ini adalah program yang ditempatkan sebagai "penunggu" port-port pada host di Internet. Daemon ini tugasnya menjalankan perintah dari luar secara otomatis, misalnya mailer daemon, finger daemon, dan sebagainya. Finger daemon yang kemudian akan mengirimkan informasi yang diminta ke tujuan. Kelengkapan informasi yang diberikan bisa berbeda -beda, tergantung konfigurasi sistem yang digunakan. Informasi y ang umum ditampilkan antara lain login name, waktu login terakhir, dan nama pemakai. Finger juga bisa digunakan untuk melihat daftar pemakai dalam suatu sistem. Dalam hal ini, yang difinger adalah hostnya, bukan nama pemakai secara spesifik, seperti finger @host_sasaran.com
61
Perusahaan besar biasanya menonaktifkan finger daemon pada sistem mereka (dengan menyunting file /etc/inetd.conf) untuk menjaga keamanan jaringan mereka. Bila finger dilakukan pada sistem -sistem semacam ini, akan muncul pesan Connection Refused. Selain melakukan scanning terhadap port yang terbuka, juga bisa dilakukan scanning terhadap sistem secara umum. Biasanya untuk mengetahui jenis sistem operasi dalam komputer, tipe daemon, file share (NETBIOS pada sistem berbasis Windows).
Windows_PWL_Access Sebuah serangan yang menggunakan akses FTP untuk mendapatkan password pada Windows 98, Windows Me dan NT 4.0 dengan ekstensi .PWL . Tempat penyimpanan file ekstendi .PWL memiliki enkripsi yang lemah, mudah rusak, dan tidak boleh di share ole h file system. Akibat yang ditimbulkan adalah penyerang dapat dengan mudahnya mengakses file -file yang ber-password dan menyerang internet services pada suatu windows.
Perbandingan IDS & IPS : Intrusion Detection System
Intrusion Prevention System
- Installasi di Network & di Host
- Installasi di Network & di Host
- Berada pada jaringan sebagai
- Berada pada jaringan sebagai
system yang pasif
system yang aktif
- Tidak dapat menguraikan trafik
- Dapat menguraikan trafik
enkripsi
enkripsi
- Respon hanya berupa Alert (pasif)
- Respon berupa Alert & Blocking (aktif)
62
63
BAB V KESIMPULAN
1. Perkembangan IDS lebih pesat dikarenakan fungsinya tidak hanya sebagai pendeteksi ( Detection ) melainkan berkembang menjadi Intrusion Prevention System ( Pencegahan ). 2. Proses dasar IDS adalah mengumpulkan data, mengklasifikasikan data lalu dianalisa, jika pola yang ada cocok dengan keadaan yang tidak normal maka akan dikirim respon/alert tentang aktivitas tersebut. 3. Teknik monitoring serangan oleh IDS sangat tergantung kepada signature yang diset, sehingga harus selalu di -update karena besar kemungkinan adanya serangan-serangan dengan menggunakan pola dan variasi baru 4. Proses dasar IPS adalah menghalangi serangan yang datang dengan bantuan administrator secara minimal dan bahkan tidak sama sekali. 5. Keunggulan IPS antara lain dapat berada pada jaringan sebagai sistem yang aktif, blocking yang proaktif, dapat mengontrol lalu lintas file enkripsi
63
DAFTAR PUSTAKA
1.
Budi Rahardjo, “Aspek Teknologi dan Keamanan Dalam Internet Banking” , http://www.indocisc.com, 2001.
2.
Budi
Rahardjo,
“Keamanan
Sistem
Informasi
Berbasis
Internet” ,
http://budi.insan.co.id, 2002. 3.
Onno W Purbo, “TCP/IP”, Elex Media Komputindo, Jakarta, 2001.
4.
Struat McClure, Saumil Shah, Shreeraj Shah, “ Web Hacking – Serangan dan Pertahanannya”, ANDI, Yogyakarta, 2003
5.
Dony Ariyus, M.Kom., “Intrusion Detection System – Sistem Pendeteksi Penyusup Pada Jaringan Komputer” , ANDI, Yogyakarta, 2007
6.
Majalah CHIP “ Perfect Security “ Gramedia, Jakarta , 2007
64