Pengujian - HASIL DAN PEMBAHASAN - Pengembangan perangkat wireless IDS ( Intrusion Detection Sy

BAB IV. HASIL DAN PEMBAHASAN

4.6 Monitoring

4.6.2 Pengujian

Untuk mengetahui apakah sistem wireless IDS telah berfungsi dengan baik, maka akan dilakukan proses pengujian berupa serangan ke infrastruktur jaringan nirkabel yang dibangun. Proses pengujian ini akan menggunakan sebuah perangkat notebook dengan wireless NIC yang memiliki kemampuan monitoring

dan packet injection. Untuk keperluan tersebut, peneliti akan menggunakan USB

wireless adapter D-Link G122 revision C1 dengan chipset dari Ralink Tech dengan model rt73. Untuk melakukan percobaan ini maka pada perangkat notebook yang digunakan untuk melakukan serangan terlebih dahulu harus diinstal aplikasi aircrack-ng.

$ sudo apt-get install aircrack-ng

Setelah proses instalasi program aircrack-ng berhasil dilakukan, maka penulis akan mengaktifkan fitur RFMON pada salah satu WLAN interface card

yang akan difungsikan untuk mengirimkan paket-paket serangan ke jaringan nirkabel yang telah dirancang sebelumnya. Adapun perintah-perintah yang digunakan untuk mengirimkan paket-paket tersebut terlihat seperti bagian berikut:

$ sudo airmon-ng wlan1 start

Terlebih dahulu, penulis yang kali ini bertindak sebagai attacker, harus mengumpulkan beberapa informasi mengenai target. Informasi ini diperlukan untuk dapat melancarkan proses serangan yang berikutnya.

$ sudo airodump-ng wlan1

Setelah mendapatkan keseluruhan informasi tersebut, seperti alamat MAC dari Wireless Access Point, alamat MAC Wireless Client, channel serta ESSID

yang digunakan oleh target, maka penulis baru dapat mengirimkan perintah berikut ini untuk melakukan pengujian serangan deauthentication flood.

$ sudo aireplay-ng –deauth 20 wlan1 –a $AP –c $WIFI

Gambar 4.19 Proses pengiriman paket deauthentication

Perintah diatas akan mengirimkan paket management frame berupa paket

deauthentication ke wireless AP yang dituju. Wireless AP yang menerima paket tersebut akan memutuskan wireless klien yang memiliki informasi alamat MAC yang terdapat dalam paket tersebut. Metode serangan seperti ini dilakukan sebagai salah satu langkah atau tahapan untuk menembus keamanan jaringan nirkabel yang menerapkan protokol WEP atau WPA. Apabila serangan ini berhasil, maka

wireless klien tersebut akan kehilangan konektivitasnya ke jaringan. Setelah

attacker selesai mengirimkan paket deauthentication, maka wireless klien tersebut akan secara otomatis akan melakukan fase asosiasi dan otentikasi kembali ke

wireless AP. Paket inilah yang akan di-sniffing oleh attacker untuk selanjutnya dianalisa guna mendapatkan WEP atau WPA key yang digunakan untuk mengakses jaringan nirkabel tersebut. Koneksi wireless client yang terputus dapat

dilihat dari adanya paket request timeout yang diterima seperti yang terlihat pada gambar 4.20 dibawah ini.

Gambar 4.20 Pesan RTO yang menandakan terputusnya koneksi

Pada proses pengujian ini wireless client akan melakukan koneksi ke salah satu wireless akses point untuk mendapatkan ke dalam jaringan. Pada pengujian ini, penulis menggunakan protokol keamanan yang paling tinggi yang ada saat penelitian ini dilakukan, yaitu WPA2 atau IEEE 802.11i baik dengan mode PSK maupun mode IEEE 802.1X. Hal ini bertujuan untuk membuktikan bahwa protokol keamanan yang paling tinggi tersebut tetap memiliki celah atau lubang keamanan yang dapat disalahgunakan oleh unauthorized user.

Setelah koneksi berhasil dilakukan, maka penulis mengirimkan paket ICMP untuk melakukan pengujian pengiriman data ke wireless akses point. Proses ini dapat dilihat dari gambar 4.20 dimana paket ICMP yang dikirim oleh

wireless client direspon dengan mengirim ICMP reply oleh perangkat WAP yang memiliki alamat IP 192.168.1.1.

Selanjutnya penulis akan melakukan pengujian penyerangan, yaitu dengan mengirimkan paket broadcast deauthentication yang akan memutuskan koneksi antara wireless client dengan WAP. Proses pemutusan koneksi ini berhasil dilakukan seperti yang terlihat pada gambar 4.21 dimana komunikasi antara

wireless client dan WAP terputus. Hal ini terlihat dari putusnya komunikasi, yang ditandai dengan pesan “request time out” dan/atau “destination host unreachable”. Proses terputusnya koneksi wireless client akan terlihat sama seperti proses penyerangan pada percobaan sebelumnya yang dapat dilihat pada tampilan layar pada perangkat komputer yang digunakan untuk melakukan penyerangan seperti yang terlihat pada gambar 4.21.

Proses selanjutnya adalah mendeteksi illegal activity yang dilakukan oleh

unauthorized user seperti yang telah dijelaskan pada bagian sebelumnya. Untuk keperluan proses ini, penulis menggunakan tiga komponen WIDS, yaitu sensor, server dan manager. Untuk pengujian pertama, penulis skema yang sederhana yang digunakan untuk mengetahui apakah aplikasi yang digunakan, Kismet, dapat mendeteksi pola-pola tertentu yang digunakan oleh penyerang. Untuk itu, penulis akan mengulangi langkah-langkah yang telah dilakukan sebelumnya yang terlihat pada gambar 4.20 dan gambar 4.21, sedangkan pada perangkat terpisah penulis akan memasang sebuah sensor yang akan berkomunikasi dengan kismet server. Berdasarkan hasil pengujian didapatkan bahwa aplikasi kismet dapat mendeteksi pola serangan tersebut seperti yang terlihat pada gambar 4.22 dibawah ini.

Pada gambar 4.22 terlihat bahwa kismet mengirimkan pesan peringatan atau alert yang memberitahukan adanya serangan berupa broadcast deauthenticate/disassociation pada perangkat wireless akses point dengan BSSID 00:25:9C:CB:66:18 yang pada proses sebelumnya diketahui merupakan wireless

akses point yang menggunakan nama jaringan atau SSID “Linksys”.

Pada proses selanjutnya, informasi yang diterima adalah meneruskan informasi yang telah diproses oleh kismet server agar dapat diterima dan diketahui oleh network atau system administrator kapanpun dan dimanapun. Hal ini bertujuan agar sysadmin dapat mengambil tindakan pencegahan sedini mungkin sehingga dapat menghindari terjadinya kerusakan sistem yang lebih besar. Oleh karena itu, untuk keperluan tersebut penulis menggunakan media e-mail untuk fasilitas pengiriman pesan peringatan atau alert.

Berdasarkan hasil pengujian, aplikasi manager dapat berintegrasi dengan

kismet server dan memproses berkas log yang digunakan oleh kismet server untuk menyimpan setiap event yang terjadi. Aplikasi manager akan memantau pola-pola tertentu yang telah ditetapkan sebelumnya dan akan mengirimkan sebuah e-mail ke system administrator apabila ditemukan pola-pola tersebut dalam berkas log kismet server. E-mail yang dikirim oleh aplikasi manager akan berisi informasi yang penting bagi system administrator untuk mengambil tindakan pencegahan selanjutnya. Beberapa informasi tersebut antara lain adalah alamat MAC dari

wireless akses point yang menjadi target serangan dan jenis serangan yang dilancarkan. Bentuk atau format e-mail yang dikirimkan oleh aplikasi manager

Gambar 4.23 Laporan pesan peringatan akan adanya serangan DoS

Gambar 4.24 Laporan pesan peringatan akan adanya Rogue AP

Sistem WIDS yang dikembangkan dapat mendeteksi berbagai jenis serangan dan untuk tiap jenis serangan tersebut, aplikasi akan memberikan pesan peringatan atau alert yang berbeda-beda sesuai dengan karakteristik serangan

yang terjadi. Hal ini dapat membantu system atau network administrator dalam mengenali pola-pola yang dilakukan oleh unauthorized users serta dapat mengambil langkah pencegahan yang sesuai dengan kondisi yang terjadi. Pada gambar 4.25 dapat diketahui bahwa jaringan sedang disusupi oleh unauthorized users yang dideteksi oleh sistem ini dan terdeteksi dengan pesan suspicious client.

Gambar 4.25 Pesan peringatan yang berasal dari aplikasi WIDS

Dalam dokumen Pengembangan perangkat wireless IDS ( Intrusion Detection System berbasis Embedded Sytem ; studi kasus; Badan narkotika Nasional (Halaman 120-127)