Oleh:
HARY NURMANSYAH
103091029602
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF
ii Skripsi
Diajukan untuk Memenuhi Persyaratan Memperoleh Gelar Sarjana Komputer
Pada Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh:
HARY NURMANSYAH
103091029602
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI SYARIF
iii Skripsi
Sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh:
Hary Nurmansyah
103091029602
Menyetujui,
Pembimbing I, Pembimbing II,
Herlino Nanang, MT Viva Arifin, MMSI
NIP. 197312092005011002 NIP. 19738102006042001
Mengetahui,
Ketua Program Studi Teknik Informatika
iv
Dengan ini menyatakan bahwa skripsi yang ditulis oleh : Nama : Hary Nurmansyah
NIM : 103091029602 Fakultas : Sains dan Teknologi Program Studi : Teknik Informatika
Judul Skripsi : Analisis dan Implementasi SSL dengan Metode
Pertukaran Kunci Diffie-Hellman pada Nagios Network Monitoring System
Dapat diterima sebagai syarat kelulusan untuk memperoleh gelar Sarjana Komputer pada Program Studi Teknik Informatika, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta.
Jakarta, September 2010 Menyetujui, Dosen Pembimbing
Dosen Pembimbing I Dosen Pembimbing II
Herlino Nanang, MT Viva Arifin, MMSI
NIP. 197312092005011002 NIP. 19738102006042001
Mengetahui,
Dekan Fakultas Sains & Teknologi Ketua Prodi Teknik Informatika
v
Skripsi berjudul “Analisis dan Implementasi SSL dengan Metode Pertukaran Kunci Diffie-Hellman pada Nagios Network Monitoring System” yang ditulis oleh Hary Nurmansyah, NIM 103091029602 telah diuji dan dinyatakan lulus dalam Sidang Munaqosyah Program Studi Teknik Informatika, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta pada hari Rabu tanggal 29 September 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar Sarjana Strata Satu (S1) Program Studi Teknik Informatika.
Jakarta, September 2010
Tim Penguji,
Mengetahui,
Penguji I, Penguji II,
Fitri Mintarsih, M.Kom NIP. 197212232007102004
Ketua Prodi Teknik Informatika
Yusuf Durachman, MIT NIP. 197105222006041002 Dekan Fakultas Sains dan Teknologi
DR. Syopiansyah Jaya Putra, MSis NIP. 196801172001121001
vi
BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAUPUN LEMBAGA MANAPUN.
Jakarta, September 2010
vii
System, dibimbing oleh Herlino Nanang, MT dan Viva Arifin, MMSI.
Skripsi ini membahas analisis dan implementasi SSL dengan metode pertukaran kunci Diffie-Hellman pada Nagios Network Monitoring System. Sistem monitoring yang dimaksud adalah sistem monitoring untuk infrastruktur TI seperti router, switch, dan server. Dalam implementasinya sistem monitoring dibangun dengan arsitektur client-server. Pada umumnya client mengirim data mengenai keadaan sistem ke server yang akan mengolah data tersebut sesuai permintaan dari server. Pada sistem monitoring ini terjadi pengiriman query ke
server berupa keadaan node yang ingin dipantau. Data pada sistem monitoring jaringan biasanya tidak di enkripsi. Hal ini berawal pada awal implementasi sistem monitoring jaringan yang hanya mengecek node yang berada pada jaringan yang terpisah dari jaringan publik. Namun pada perkembangannya node-node
mulai tersebar dari jaringan yang tertutup bahkan melewati dan berada pada jaringan publik. Padahal data-data ini berisi informasi yang cukup penting tidak boleh dibaca oleh pihak yang tidak bertanggung jawab. Karena data ini dapat menjadi modal dalam tahapan pengumpulan data untuk melakukan serangan jaringan. Sistem monitoring saat ini yang umum diimplementasi memilki dua tipe yaitu berbasis SNMP, yang merupakan standar dalam sistem monitoring jaringan dan berbasis agen, yang dibuat oleh masing-masing pembuat perangkat lunak. Pada skripsi ini akan digunakan perangkat lunak open-source yaitu nagiossebagai
Network Management Station. Alasan pemilihan nagios yaitu source code yang tersedia, telah mendukung dua tipe sistem pengawasan yaitu SNMP dan agen, dan memberikan kebebasan kepada pengembang untuk membuat sendiri program pengecekan yang akan terhubung ke modul utama dari nagios tersebut.
viii
dan rahmat-Nya, penulis dapat menyusun dan menyelesaikan skripsi ini. Adapun judul dari skripsi ini adalah “Analisis dan Implementasi SSL dengan Metode Pertukaran Kunci Diffie-Hellman pada Nagios Network Monitoring System”.
Penyusunan skripsi ini tidak mungkin dapat penulis laksanakan dengan baik tanpa bantuan dari berbagai pihak yang terkait. Untuk itu penulis ingin mengucapkan banyak terima kasih secara khusus kepada beberapa pihak, yaitu:
1. DR. Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta.
2. Yusuf Durrachman, MIT, selaku Ketua Program Studi Teknik Informatika dan Viva Arifin, MMSi, selaku Sekretaris Program Studi Teknik Informatika.
3. Herlino Nanang, MT dan Viva Arifin, MMSI selaku Dosen Pembimbing, yang telah memberikan bimbingan, waktu dan perhatiannya dalam penyusunan skripsi ini.
4. Rizal Bahaweres, Mkom yang telah memberikan nasehat yang berguna untuk penulis.
ix
terbuka terhadap segala saran dan kritik yang membangun.
Akhir kata penulis mempersembahkan skripsi ini dengan segala kelebihan dan kekurangannya, semoga dapat bermanfaat bagi kita semua, amien.
Jakarta, September 2010
x
Skripsi ini penulis persembahkan kepada beberapa pihak yang telah memberi dukungan baik berupa dukungan moril maupun materil, yaitu:
1. Terima kasih yang teramat besar kepada kedua orang tua atas segala yang telah diberikan, kasih sayang, kepercayaan, kesabaran serta dukungan baik moril, spiritual, dan material.
2. Keempat adik penulis (Kiki, Ikbal, Novi, Alfi), yang telah memberikan dukungan terutama secara moral, sehingga memotivasi penulis untuk menyelesaikan skripsi ini.
3. Idah, Mkom, Robby, Skom, Fauzan, dan seluruh staff IT PT Phillip Securities Indonesia (Terima kasih atas dukungan dan motivasinya).
4. Keluarga besar Nahiri dan Ishak yang telah memberi motivasi, dukungan moril dan materil yang tak ternilai harganya.
5. Shita Esthetika Nur Utami yang telah memberikan dorongan dan semangat sehingga skripsi ini bisa selesai.
6. Teman-teman dari Prodi Teknik Informatika angkatan 2003 khususnya kelas D (Bahtiar, Tanto, Rijal,.Syukur, Wildan, Ba’i, Rulan, Gun-gun, Erwin, Ali, Aida, Diah, Prilia, Yuni, Desi, Ratih, Lela, Mimi, Ma’ul, Shidiq, Syamsul, Hafizs, Adam, Putro, Fahmi, Teddy dan Giri) yang telah melewatkan waktu bersama selama masa kuliah.
xi
membalas semua kebaikan dan ketulusan hati kalian, Amin
xii
Halaman Judul ... ii
Lembar Pengesahan Pembimbing ... iii
Surat Keterangan ... iv
Lembar Pengesahan Ujian ... v
Lembar Pernyataan ... vi
Abstrak ... vii
Kata Pengantar ... viii
Lembar Persembahan ... x
Daftar Isi ... xi
Daftar Tabel ... xvii
Daftar Gambar ... xviii
Daftar Lampiran ... xx
Daftar Istilah ... xxi
BAB I PENDAHULUAN 1.1 Latar Belakang Masalah ... 1
1.2 Rumusan Masalah ... 3
1.3 Batasan Masalah ... 3
1.4 Tujuan Penelitian ... 3
xiii
1.7 Sistematika Penulisan ... 6
BAB II TINJAUAN PUSTAKA 2.1 Jaringan Komputer ... 9
2.2 Secure Socket Layer ... 10
2.3.1 Alert ... 14
2.3.2 Handshake ... 14
2.3.3 Client Hello dan Operasi Kunci Publik ... 16
2.3.4 Penurunan Kunci Simetri ... 16
2.3.5 Finish Handshake ... 17
2.3.6 Session ... 17
2.3.7 Mengakhiri Session ... 18
2.3.8 Keamanan ... 18
2.3 Diffie-Hellman ... 19
2.4 Sistem Monitoring Jaringan Nagios ... 22
2.4.1 Tipe dan Model Sistem Monitoring Jaringan ... 25
2.4.2 Kriteria Kriptografi untuk Sistem Monitoring Jaringan ... 28
xiv
3.1.2 Observasi ... 31
3.2 Metodologi Pengembangan Sistem ... 31
3.2.1 Tahap Perencanaan (Planning) ... 33
3.2.2 Tahap Analisis (Analysis) ... 34
3.2.3 Tahap Perancangan (Design) ... 35
3.2.3 Tahap Pengembangan (Development) ... 35
3.2.3 Tahap Ujicoba (Testing) ... 36
3.2.3 Tahap Implementasi (Implementation) ... 36
3.2.3 Tahap Pengoperasian dan Pemeliharaan (Operation and Maintenance) ... 37
3.3 Bahan dan Peralatan ... 38
3.4 Ilustrasi Penelitian ... 40
BAB IV
HASIL DAN PEMBAHASAN
4.1 Tahap Perencanaan (Planning) ... 424.1.1 Studi Kelayakan (Feasibility Study) ... 42
4.1.2 Alokasi Waktu ... 43
4.1.3 Cakupan Sistem ... 43
4.2 Tahap Analisis (Analysis) ... 43
xv
4.3.1 Pembuatan Topologi Jaringan ... 47
4.4 Tahap Pengembangan System (Development) ... 48
4.4.1 Instalasi ... 48
4.4.1.1 Instalasi Fully Automated Nagios ... 48
4.4.1.2 Instalasi Ubuntu Server 8.04 ... 50
4.4.1.3 Instalasi Windows Server 2003 ... 51
4.4.1.4 Instalasi Hmailserver ... 52
4.4.1.5 Instalasi NSClient++ ... 52
4.4.1.6 Instalasi Wireshark ... 53
4.4.1.7 Instalasi Plugin NRPE Ubuntu Server 8.04 .... 53
4.4.2 Konfigurasi ... 54
4.4.2.1 Konfigurasi Fully Automated Nagios ... 55
4.4.2.1.1 Konfigurasi Host Monitoring ... 55
4.4.2.1.2 Konfigurasi File Nagios.cfg ... 60
4.4.2.1.3 Konfigurasi Commands.cfg ... 62
4.4.2.1.4 Konfigurasi NRPE.cfg ... 64
4.4.2.2 Konfigurasi Hmailserver Pada Windows Server 2003 ... 65
xvi
4.5.1.1 Pengujian Plugins ... 69
4.5.1.2 Pengujian Application Engine ... 71
4.5.1.3 Pengujian Web Interface ... 72
4.5.2 Pengujian Komunikasi Data Server dan Host Monitoring ... 74
4.5.3 Pengujian Notifikasi Client Melalui Email ke Nagios Server ... 82
4.5.4 Tanggapan User Terhadap Implementasi SSL dengan Metode Pertukaran Kunci Diffie-Hellman pada Sistem Monitoring Jaringan dengan Nagios ... 83
4.7 Implementasi ... 91
4.9 Tahap Pengoperasian dan Pemeliharaan ... 92
BAB V KESIMPULAN DAN SARAN 5.1 Kesimpulan ... 94
5.2 Saran ... 94
DAFTAR PUSTAKA ... 96
xvii
xviii
Gambar 2.2 SSL Pada Model Referensi TCP/IP ... 12
Gambar 2.3 Proses SSL Handshake ... 15
Gambar 2.4 Proses Pertukaran Kunci Publik dan Pertukaran Kunci Diffie-Hellman ... 22
Gambar 2.5 Front End Nagios Web ... 24
Gambar 2.6 Front End FAN ... 25
Gambar 2.7 Komunikasi NMS dan Agen ... 27
Gambar 3.1 Ilustrasi Metodologi Penelitian ... 41
Gambar 4.1 Konfigurasi LAN ... 45
Gambar 4.2 Kunci SNMP Dalam Plainteks ... 46
Gambar 4.3 Usulan Skema jaringan ... 47
Gambar 4.4 Gambar Tactical Overview Nagios. ... 65
Gambar 4.5 Setting Hostname Hmailserver... 65
Gambar 4.6 Setting User Account Hmailserver ... 66
Gambar 4.7 Hasil Capture Wireshark Ubuntu Server 8.04 ... 75
Gambar 4.8 Hasil Capture Wireshark Data [PSH, ACK] Nagios ke ubuntu server 8.04 ... 76
xix
Gambar 4.12 Hasil Capture Wireshark Data [FIN] yang
Diinisialisasi Oleh Nagios Terhadap Ubuntu Server 8.04. ... 78 Gambar 4.13 Hasil Capture Wireshark Windows Server 2003 ... 78 Gambar 4.14 Hasil Capture Wireshark Data [PSH, ACK] dari
Nagios ke Windows Server 2003. ... 79 Gambar 4.15 Hasil Capture Wireshark Data [PSH, ACK] dari
Windows Server 2003 ke Nagios ... 80 Gambar 4.16 Hasil Capture Wireshark Data [PSH, ACK] yang
Kedua dari Nagios ke Windows Server 2003. ... 80 Gambar 4.17 Hasil Capture Wireshark Data [PSH, ACK] yang
Kedua dari Windows Server 2003 ke Nagios.. ... 81 Gambar 4.18 Hasil Capture Wireshark Data [FIN] yang
xx
Lampiran 2 Instalasi Ubuntu Server 8.04 ... 102
Lampiran 3 Instalasi Hmailserver ... 108
Lampiran 4 Instalasi NSClient++ ... 110
Lampiran 5 Instalasi Wireshark ... 114
Lampiran 6 Instalasi Plugin NRPE Ubuntu Server 8.04 ... 118
xxi
API Socket Unix-Style
Socket yang digunakan untuk membolehkan suatu
proses untuk berkomunikasi dengan proses lainnya
dalam lingkungan Unix.
kriptografi
Ilmu yang mempelajari teknik-teknik matematika
yang berhubungan dengan aspek keamanan
informasi seperti kerahasiaan data, keabsahan data,
integritas data, serta autentikasi data.
Entitas
Sesuatu yang memiliki keberadaan yang unik dan
berbeda, walaupun tidak harus dalam bentuk fisik.
Certificate Authority
Sebuah entitas yang mengeluarkan sertifikat
digital yang dapat digunakan oleh pihak-pihak
lainnya.
SSL
Secure Socket Layer yaitu protokol yang
menyediakan authentikasi akhir dan privasi
komunikasi di Internet menggunakan kriptografi.
TCP/IP
Standar komunikasi data yang digunakan oleh
komunitas internet dalam proses tukar-menukar
data dari satu komputer ke komputer lain di dalam
jaringan Internet.
UDP
Salah satu protokol lapisan transpor TCP/IP yang
mendukung komunikasi yang tidak andal
(
unreliable
), tanpa koneksi (
connectionless
) antara
host-host dalam jaringan yang menggunakan
TCP/IP.
Telnet
Sebuah protokol jaringan yang digunakan di
koneksi Internet atau Local Area Network.
HTTP
Sebuah protokol jaringan lapisan aplikasi yang
xxii
Internet Engineering Task Force
Sebuah organisasi yang menjaring banyak pihak
(baik itu individual ataupun organisasional) yang
tertarik dalam pengembangan jaringan komputer
dan Internet.
TLS
Transport Layer Security merupakan kelanjutan
dari protokol
kriptografi
yang menyediakan
komunikasi yang aman di Internet.
Browser
Disebut juga peramban, adalah perangkat lunak
yang berfungsi menampilkan dan melakukan
interaksi dengan dokumen-dokumen yang
disediakan oleh server web.
Alert
Peringatan yang dikeluarkan oleh suatu aplikasi.
Handshake
Proses negosiasi otomatis yang secara dinamis
menetapkan parameter jalur komunikasi antar dua
entitas sebelum komunikasi dilakukan.
SSL session
Digunakan untuk menggambarkan hubungan yang
sedang terjadi antara dua entitas.
TCP 3-way handshake
Proses pembuatan koneksi TCP
Cipher
Sebuah algoritma untuk menampilkan enkripsi dan
kebalikannya dekripsi, serangkaian langkah yang
terdefinisi yang diikuti sebagai prosedur.
Client
Hello
Pesan yang dikirimkan oleh server untuk
menginisiasi session.
Ciphersuite Offer
Untuk membolehkan komunikasi dengan entitas
lain yang memiliki kebutuhan keamanan yang
berbeda.
xxiii
membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengetahuan khusus
Dekripsi
Proses untuk membaca informasi dari hasil
enkripsi.
TLS pseudorandomfunction (PRF)
Sebuah mekanisme yang digunakan untuk
menghasilkan keluaran kode yang aman pada TLS.
Change Cipher Spec
Pesan yang dikirmkan oleh client-server untuk
memberitahukan pihak yang menerima bahwa
pesan akan dilindungi.
Finish Selesainya
komunikasi yang dilakukan oleh dua
entitas dalam SSL session.
Hash
Suatu cara untuk menciptakan fingerprint dari
berbagai data masukan.
Close_Notify
Operasi dalam SSL yang mengakhiri SSL Session.
PRNG
A pseudorandom number generator adalah sebuah
algoritma untuk menghasilkan urutan angka yang
mendekati angka acak.
Diffie-Hellman Key Exchange
Metode praktikal pertama untuk menciptakan
sebuah rahasia bersama antara dua belah pihak
melalui sebuah jalur komunikasi yang tidak
terjaga.
Secret Key
Kunci yang digunakan untuk mendekripsi pesan.
Ephemeral Teknik
ini
digunakan untuk mencipatakan kunci
rahasia sementara atau satu waktu.
Anonymous
Entitas yang tidak dikenal.
Key Encryption Key / shared secret
Sebuah bagian dari data yang hanya diketahui oleh
xxiv
Host
Sebuah komputer yang terhubung ke Internet atau
jaringan internal.
Service Layanan
daripada suatu proses aplikasi
Linux
Nama yang diberikan kepada sistem operasi
komputer bertipe Unix.
Unix-Like
Sistem operasi bertipe Unix
Host Resource
Sumber daya dari sebuah komputer yang
terhubung ke jaringan.
File Log
File yang otomatis dibuat oleh komputer yang
menunjukkan aktivitas dari komputer tersebut.
Distro
Sebutan untuk sistem operasi komputer dan
aplikasinya.
FAN (Fully Automated Nagios)
sebuah
distro
yang sebenarnya adalah remaster
dari
distro
CentOS 5.4
Unreliable
Suatu koneksi yang tidak handal dalam
menghantarkan pesan.
Block Cipher
Kunci simetris yang beroperasi pada kumpulan bit
yang sudah ditetapkan.
CFC
Umpan balik yang diberikan oleh block cipher
SNMP
Protokol standard industri yang digunakan untuk
memonitor dan mengelola berbagai perangkat di
jaringan Internet meliputi hub, router, switch,
workstation dan sistem manajemen jaringan secara
jarak jauh (remote).
Protokol Transport
Protokol tipe transfer data komunikasi logika pada
xxv
TCP wrapper
Program komputer yang menyediakan layanan
firewall untuk server Unix.
Kunci Simetri
Konsep kriptografi dengan sepasang kunci yang
sama untuk enkripsi dan dekripsi.
Tools Hack
Seperangkat alat yang digunakan untuk mencari
kelemahan sistem.
NSCLIENT Plugin
yang
disediakan
oleh Nagios untuk diinstall
pada client.
NRPE
Plugin yang disediakan oleh Nagios untuk diinstall
pada client dengan pilihan aktivasi SSL.
Client Windows
Komputer yang menjalankan sistem operasi
Windows.
Client Linux
Komputer yang menjalankan sistem operasi Linux.
Node
Titik simpul pada jaringan.
NMS (Network Management Stations)
Sebuah komputer yang bertugas sebagai server
monitoring jaringan.
Query
Permintaan untuk mengembalikan sebuah
informasi.
Program Socket
Program yang dirancang untuk berjalan pada
port-port tertentu.
Network Scanner
Seperangkat
alat yang digunakan untuk
menganalisa jaringan.
Scanning
Teknik yang digunakan untuk mencari informasi
yang berharga dari suatu komputer atau jaringan.
xxvi
Command Line
Suatu baris perintah pada sistem operasi Windows
atau Linux.
Network Analysis Tool
Software yang digunakan untuk menganalisa
infrastruktur jaringan.
Protocol Analysis Tool
Software yang digunakan untuk menganalisa
protokol jaringan.
Packet Pniffer
Software yang digunakan untuk menyadap paket
data dalam suatu jaringan.
Troubleshooting
Teknik dalam memecahkan suatu masalah.
Mode
Test
Mode yang digunakan oleh nsclient++ untuk
memecahkan masalah yang timbul.
Root Partition
Partisi hardisk yang digunakan oleh root dalam
sistem operasi Linux.
Drive Size
Ukuran kapasitas ruang hardisk.
Algoritma
Merupakan kumpulan perintah untuk
menyelesaikan suatu masalah. Perintah-perintah
ini dapat diterjemahkan secara bertahap dari awal
hingga akhir.
Apache HTTP Server
Server web yang dapat dijalankan di banyak
sistem operasi (Unix, BSD, Linux, Microsoft
Windows dan Novell Netware serta platform
lainnya) yang berguna untuk melayani dan
memfungsikan situs web. Protokol yang
digunakan untuk melayani fasilitas web/www ini
menggunakan HTTP.
Application Layer
Kumpulan dari beberapa komponen software yang
xxvii
sebelumnya.
Ciphertext
Teks hasil dari sebuah enkripsi.
Client
Pada jaringan, client adalah suatu program aplikasi
yang memungkinkan pengguna untuk mengakses
service atau layanan dari komputer server.
Data Link Layer
Lapisan kedua dari bawah dalam model OSI, yang
dapat melakukan konversi
frame-frame
jaringan
yang berisi data yang dikirimkan menjadi bit-bit
mentah agar dapat diproses oleh lapisan fisik.
Lapisan ini merupakan lapisan yang akan
melakukan transmisi data antara
perangkat-perangkat jaringan yang saling berdekatan di
dalam sebuah
wide area network
(WAN), atau
antara
node
di dalam sebuah segmen
local area
network
(LAN) yang sama.
Daemon
Program komputer yang berjalan di belakang
proses daripada di bawah kontrol langsung user.
Distro
Suatu paket perangkat lunak sistem operasi Linux
beserta aplikasinya.
Framework Kumpulan
fungsi-fungsi dan class untuk tujuan
tertentu yang sudah siap pakai sehingga bisa lebih
mempermudah pekerjaan pemrograman.
Kripanalisis
Teknik analisa memecahkan sebuah
teks yang
telah dienkripsi.
LAN
Network yang masing-masing node terpisah dalam
jarak yang lokal dan menggunakan link berupa
jalur transmisi kabel.
Man-in-the-middle Attacks
Suatu tipe serangan terhadap kriptografi dimana
xxviii
didistribusikan secara gratis dibawah lisensi GPL
(General Public License).
Network Layer
Berfungsi untuk mendefinisikan alamat-alamat IP,
membuat
header
untuk paket-paket, dan kemudian
melakukan routing melalui
internetworking
dengan menggunakan
router
dan
switch layer-3
.
Perl
Perl adalah bahasa interpreter sekaligus kompiler,
artinya Perl akan mendeteksi setiap baris untuk
mencari syntax error sebelum program dijalankan
Plugin
Sebuah program komputer yang menambah
fungsionalitas sebuah program utama.
Presentation Layer
Berfungsi untuk mentranslasikan data yang hendak
ditransmisikan oleh aplikasi ke dalam format yang
dapat ditransmisikan melalui jaringan. Protokol
yang berada dalam level ini adalah perangkat
lunak redirektor (redirector software), seperti
layanan Workstation (dalam Windows NT) dan
juga Network shell (semacam Virtual Network
Computing (VNC) atau Remote Desktop Protocol
(RDP))
Protokol
Suatu aturan yang digunakan oleh server-server
untuk saling berkomunikasi.
Resource
Entitas virtual atau fisik yang terbatas yang
digunakan untuk mendapatkan keuntungan
darinya.
Server
Suatu Sistem komputer yang menyediakan jenis
layanan tertentu dalam sebuah jaringan komputer.
Session Layer
Berfungsi
untuk
mendefinisikan bagaimana
xxix
paket tersebut disusun ulang sehingga data yang
dikrimkan oleh sebuah pihak dapat dicuri oleh
pihak yang tidak berwenang.
SNMP Community
Suatu grup yang dimiliki oleh perangkat dan
stasiun manajemen yang menjalankan SNMP.
Transport Layer
Lapisan keempat dari model referensi jaringan
OSI. Lapisan transpor bertanggung jawab untuk
menyediakan layanan-layanan yang dapat
diandalkan kepada protokol-protokol yang terletak
di atasnya.
WAN Network
yang
masing-masing node terletak di
BAB I
PENDAHULUAN
1.1
Latar Belakang Masalah
Perkembangan teknologi informasi, khususnya jaringan memungkinkan
terjadinya pertukaran informasi yang cepat dan semakin kompleks. Pengaturan
jaringan yang baik tentu akan memaksimalkan pemanfaatan informasi tersebut.
Oleh sebab itu jaringan harus diatur dan diawasi sehingga kelancaran pengiriman
informasi dapat berjalan dengan baik. Semakin besar dan luas sistem jaringan,
semakin sulit untuk mengatur dan mengawasinya.
Untuk menjamin berjalannya semua infrastruktur sistem jaringan tersebut
maka diimplementasikan sistem
monitoring
untuk mempercepat diagnosis dan jika
terjadi permasalahan akan mempercepat aksi untuk menghindari kerugian yang
lebih banyak.
Sesuai kebutuhan dari sistem
monitoring
, data yang dipertukarkan bisa
bermacam-macam antara lain
uptime
, sisa ruang hardisk, versi dari
service
hingga
keadaan basis data. Data-data tersebut jika ditampilkan ke orang awam mungkin
hanya sekedar data yang tidak berguna. Namun bagi peretas, data tersebut dapat
digunakan untuk persiapan melakukan sebuah serangan. Misalnya menyadap data
sniffer
dapat diketahui versi dari suatu
service
, peretas selanjutnya akan mencari
apakah terdapat lubang keamanan dari versi tersebut lalu melakukan eksploitasi
terhadap lubang keamanan yang ada pada versi tersebut.
Salah satu contoh sistem
monitoring
jaringan adalah Dude yang
dikembangkan oleh Mikrotik dan Nagios. Dude menggunakan
SNMP
sebagai agen
untuk melakukan
monitoring
. Akan tetapi,
SNMP
yang merupakan protokol
standar untuk
monitoring
bukanlah sebuah protokol yang didesain untuk
keamanan. Hal ini ditambah dengan kenyataan data hasil
monitoring
yang
dialirkan melalui protokol
SNMP
merupakan
plainteks
yang dapat dilihat dengan
mudah dengan suatu program
sniffer
. Kunci
SNMP
dapat mudah ditemukan dan
berbasis
plainteks
.Sedangkan Nagios dapat menggunakan
SNMP
dan juga
NRPE
sebagai agennya.
NRPE
menggunakan
SSL
untuk mengamankan komunikasi data
antara
client server
.
Perkembangan terbaru dari
SNMP
telah dilengkapi keamanan namun versi
terbaru ini belum secara penuh diterapkan bahkan untuk mesin-mesin lama hal ini
cukup sulit untuk diimplementasikan. Keadaan ini tentu saja cukup
memprihatinkan dengan perkembangan
tools hack
yang lebih mudah digunakan
bahkan user yang tidak berpengalaman akan mampu melakukan
sniffing
. Sehingga
dalam Tugas Akhir ini dikembangkan sebuah teknik untuk mengimplementasikan
pengamanan data
monitoring
menggunakan
SSL
dengan pertukaran kunci
1.2
Rumusan Masalah
Berdasarkan hal tersebut maka dapat ditetapkan suatu rumusan masalah yang
juga sekaligus menjadi pertanyaan penelitian sebagai berikut: bagaimana
membangun suatu sistem
monitoring
jaringan yang aman dan handal?
1.3
Batasan Masalah
Sesuai dengan latar belakang dan waktu yang tersedia, maka pada kesempatan
skripsi ini, penulis batasi penulisannya hanya pada :
1)
Monitoring
jaringan dilakukan pada jaringan intranet.
2)
Pemilihan sistem kriptografi untuk
monitoring
jaringan yaitu
Diffie-Hellman
.
3)
Analisis penggunaan
SSL
dalam mengamankan lalu lintas data
client-server
dalam
monitoring
jaringan.
4)
Service
yang dimonitor adalah cpu load, drive space, memory usage, uptime,
proses explorer.
1.4
Tujuan Penelitian
Tujuan dari skripsi ini adalah untuk mengembangkan sistem
monitoring
jaringan yang mengimplementasikan
SSL
dengan metode pertukaran kunci
Diffie-Hellman
pada Nagios
Network Monitoring System
sebagai suatu solusi yang tepat
untuk aliran data pengawasan dalam jaringan. Tentu saja selain keamanan yang
Sasaran pengembangan sistem
monitoring
jaringan ini adalah perusahaan atau
organisasi yang memiliki banyak server dan membutuhkan suatu solusi untuk
monitoring
jaringan mereka.
1.5
Manfaat Penelitian
Sesuai dengan permasalahan dan tujuan penelitian yang sudah disebutkan,
maka manfaat penelitian dapat dirumuskan sebagai berikut :
1.
Bagi Penulis
a)
Untuk memenuhi salah satu syarat dalam menempuh gelar S1 (Strata 1)
pada Fakultas Sains dan Teknologi Jurusan Teknik Informatika
Universitas Islam Negeri Jakarta.
b)
Menambah wawasan penulis tentang sistem
monitoring
jaringan yang
aman.
2.
Bagi Universitas
a)
Mengetahui kemampuan mahasiswa dalam menguasai materi teori yang
telah diperoleh masa kuliah.
b)
Mengetahui kemampuan mahasiswa dalam menerapkan ilmunya dan
sebagai bahan evaluasi.
a)
Secara praktis isi dari skripsi ini dapat diterapkan di instansi-instansi
pemerintahan dan atau di perusahaan–perusahaan yang menerapkan
sistem
monitoring
jaringan.
b)
Semoga penulisan skripsi ini berguna bagi semua pihak atau pembaca
sebagai informasi, khususnya bagi pembaca yang mempunyai minat.
1.6
Metodologi Penelitian
1.6.1
Metodologi Pengumpulan Data
1.
Metodologi Observasi
Merupakan pengumpulan data dan informasi dengan cara meninjau
dan mengamati secara langsung kegiatan yang terjadi yang
berhubungan dengan studi kasus yang di hadapi dalam analisa dan
perancangan sistem ini.
2.
Metodologi Studi Pustaka
Merupakan pengumpulan data dan informasi dengan mencari dan
memperoleh data-data atau informasi yang diperlukan dari sumber
tertulis, baik itu dari buku ataupun dari tulisan situs internet.
1.6.2
Metodologi Pengembangan Sistem
Metode pengembangan sistem yang penulis gunakan penulis
siklus SDLC terdapat 7 tahap umum (Hartono, 2004 : 18-19). Siklus
hidup pengembangan ini dapat diuraikan tahapan-tahapannya sebagai
berikut :
1.
Tahap Perencanaan (
Planning
)
Pada tahap ini dilakukan
feasibility study
, lokasi waktu, dan
cakupan dari aplikasi yang akan dikembangkan.
2.
Tahap Analisa (
Analysis
)
Pada tahap ini akan diuraikan mengenai keadaan sistem sekarang,
analisis proses komunikasi
client-server monitoring
, identifikasi
masalah dan solusi pemecahan masalah.
3.
Tahap Desain
(Design
)
Tahap ini untuk menggambarkan topologi jaringan yang digunakan
.
4.
Tahap Pengembangan (
Development
)
Pada tahap ini penulis melakukan pengembangan dengan instalasi
dan konfigurasi terhadap komponen-komponen sistem yang
diperlukan.
5.
Tahap Testing
Pengujian dilakukan dengan metode
Black Box
terhadap sistem
yang telah selesai dibangun.
Implementasi dilakukan dengan menerapkan aplikasi yang telah
selesai melalui tahap pengujian untuk digunakan oleh user.
7.
Tahap Pengoperasian dan Pemeliharaan (
Operations and
Maintenace
)
Pada tahap terakhir ini yang dilakukan adalah kegiatan-kegiatan
untuk mendukung beroperasinya aplikasi yang akan dilakukan oleh
admin.
1.7
Sistematika Penulisan
Untuk mempermudah pembaca dalam penyusunan skripsi ini, maka penulis
membagi dalam lima bab, yang secara singkat akan diuraikan sebagai berikut :
BAB I
PENDAHULUAN
Bab ini berisi uraian tentang Latar Belakang, Rumusan Masalah,
Batasan Masalah, Tujuan, Manfaat, Metodologi Penelitian, dan
Sistematika Penulisan.
BAB II LANDASAN TEORI
Bab ini berisi uraian tentang landasan teori yang berhubungan dengan
materi yang penulis buat. Teori-teori tersebut antara lain adalah sistem
jaringan komputer,
SSL
,
Diffie-Hellman
, dan sistem
monitoring
BAB III METODOLOGI PENELITIAN
Bab ini menjelaskan mengenai metode-metode yang digunakan
penulis dalam penelitian.
BAB IV
HASIL DAN PEMBAHASAN
Berisi tentang hasil serta pembahasan secara terperinci mengenai
keseluruhan proses penelitian, serta memaparkan hasil pengujian dari
implementasi
SSL
dengan metode pertukaran kunci
Diffie-Hellman
pada Nagios
Network Monitoring System
yang telah dibuat.
BAB V
KESIMPULAN DAN SARAN
Dalam bab ini berisi uraian tentang kesimpulan-kesimpulan yang
didapat serta mengemukakan saran yang penulis dapatkan selama
pengerjaan Tugas Akhir.
DAFTAR PUSTAKA
BAB II
TINJAUAN PUSTAKA
2.1
Jaringan Komputer
Menurut Jogiyanto (1999:313-314), jaringan komputer adalah jaringan dari
sistem komunikasi data yang melibatkan sebuah atau lebih sistem komputer yang
dihubungkan dengan jalur transmisi alat komunikasi membentuk satu sistem.
Komponen dari suatu jaringan komputer adalah
node
dan
link
.
Node
adalah titik
yang dapat menerima input data ke dalam network atau menghasilkan output
informasi atau kedua-duanya. Link adalah
channel
atau jalur transmisi untuk arus
informasi atau data di antara node.
Jaringan
yang masing-masing node terletak di lokasi yang berjauhan satu
dengan yang lainnya dan menggunakan
link
berupa jalur transmisi jarak jauh
disebut WAN (
Wide Area Network
). Sedangkan jaringan yang masing-masing
node terpisah dalam jarak lokal dan menggunakan link berupa jalur transmisi kabel
disebut LAN (
Lokal Area Network
). Jaringan komputer LAN pada suatu organisasi
membentuk
intranet
, seperti pada gambar di bawah, memiliki satu atau lebih
server
.
Server
-
server
saling berkomunikasi menggunakan suatu aturan yang
Gambar 2.1 Jaringan Komputer (Sumber :
HTTP
://jaffer.com)
2.2
Secure Socket Layer
SSL
adalah
protokol
keamanan yang didesain untuk dijalankan pada
TCP/IP
dan dengan mudah dapat digantikan dengan
API soket UNIX-style
standar yang
digunakan oleh hampir semua perangkat lunak jaringan. Keamanan dijamin
dengan menggunakan kombinasi dari
kriptografi
kunci publik
dan
kriptografi
kunci simetri
bersamaan dengan sebuah infrastruktur sertifikat.
Sebuah sertifikat adalah sebuah kumpulan data identifikasi dalam format yang
telah distandarisasi. Data tersebut digunakan dalam proses verifikasi identitas dari
sebuah
entitas
(contohnya sebuah
web server
) pada
internet
. Sertifikat ini secara
yang dapat dipercaya yang diberikan kekuasaan untuk melakukan verifikasi
sebuah perusahaan atau individu yang ingin menyediakan aplikasi yang diamankan
menggunakan
SSL
.
Client
yang ingin berkomunikasi secara aman dengan
entitas
tersebut dapat melakukan verifikasi identitasnya dengan menanyakannya pada
basis data
CA
.
Sebuah sertifikat juga mengandung
kunci publik
dari pemiliknya. Kunci ini
berpasangan dengan
kunci private
yang hanya diketahui oleh pemiliknya.
Pasangan kunci ini digunakan untuk verifikasi identitas dari pemilik sertifikat, dan
juga untuk membuat informasi rahasia dapat dipertukarkan antara pemilik
sertifikat dan
entitas
lainnya.
SSL
adalah
protokol
keamanan yang digunakan pada hampir semua transaksi
aman pada
internet
.
SSL
mengubah suatu
protokol
transport
seperti TCP menjadi
sebuah saluran komunikasi aman yang cocok untuk transaksi yang sensitif.
Protokol
SSL
mendefinisikan metode yang digunakan untuk membangun sebuah
saluran komunikasi yang aman dan tidak tergantung pada algoritma
kriptografi
mana yang digunakan.
SSL
mendukung berbagai macam algoritma
kriptografi
, dan
berlaku sebagai sebuah
framework
di mana
kriptografi
dapat digunakan dengan
cara yang tepat dan terdistribusi.
Penggunaan
SSL
sangat luas. Aplikasi yang membutuhkan pengiriman data
melalui sebuah jaringan yang tidak aman seperti
internet
atau
intranet
perusahaan
adalah salah satu aplikasi yang berpotensi untuk memanfaatkan
SSL
.
SSL
menggunakan
SSL
, kita dapat memastikan bahwa data kita aman dari pihak-pihak
[image:41.612.134.534.164.509.2]yang tidak berhak mengakses.
SSL
didesain untuk dijalankan pada
TCP/IP
.
Gambar 1 berikut ini menunjukkan bagaimana posisi
protokol
SSL
pada model
referensi
TCP/IP
.
Gambar 2.2
SSL
Pada Model Referensi
TCP/IP
SSL
menyediakan autentikasi (pada sisi
client
, dan opsional pada sisi
server
)
terhadap pihak-pihak yang berkomunikasi.
SSL
dapat mengamankan koneksi
antara dua titik, dan tidak ada pihak yang dapat melakukan hal-hal yang bersifat
destruktif atau mengakses informasi yang bersifat sensitif.
SSL
menyediakan
sebuah saluran komunikasi yang aman tanpa perlu adanya pertemuan kedua pihak
Fungsi
SSL
pada komunikasi aman sama seperti fungsi
TCP
pada komunikasi
normal, yaitu menyediakan sebuah infrastruktur komunikasi standar di mana
sebuah aplikasi dapat menggunakannya dengan mudah dan hampir tidak dapat
terlihat (
invisible
).
SSL
menyediakan sebuah komponen penting pada sistem yang
aman. Mekanisme otentikasi dasar seperti password
Telnet
dan otentikasi
HTTP
dasar menjadi sangat kuat ketika dieksekusi dengan
SSL
dibandingkan dengan
TCP
, di mana pada
SSL
password
tidak lagi dikirim dalam bentuk plainteks.
SSL
meng
enkripsi
koneksi, bukan data pada kedua pihak yang berkomunikasi, dan
tidak mengandung mekanisme untuk otentikasi
user
ataupun perlindungan
password
(hanya koneksi yang diautentikasi, keamanannya akan
gagal jika mesin
pada kedua pihak yang
berkomunikasi saling berkompromi).
Implementasi
SSL
paling pertama dikembangkan oleh
Netscape
Communications
Corporation
pada awal tahun 1990-an untuk mengamankan
HTTP
, yang mengirimkan data dalam bentuk plainteks melalui
internet
.
Peluncuran resmi pertamanya adalah versi 2.0, di mana saat itu diterima cukup
luas, meskipun masih ada beberapa masalah desain pada
protokol
.
Pada akhir tahun 1990-an, semakin terlihat dengan jelas bahwa
SSL
2.0
tidaklah aman.
Netscape
memulai untuk membangun
SSL
3.0. Dengan bantuan
Netscape
,
Internet
Engineering Task Force
(IETF, badan yang mengatur untuk
standar
internet
) memulai untuk menstandarisasi
SSL
, sebuah proyek yang
kemudian dikenal dengan nama
TLS
(
Transport Layer Security
).
SSL
3.0 tidak
menggantikan\
SSL
2.0 sebagai standar industri.
TLS
yang akhirnya diselesaikan
pada tahun 2000, menyediakan
protokol
terstandarisasi yang pertama untuk
SSL
.
Walaupun
SSL
3.0 masih digunakan secara luas, untuk pengembangan terbaru
termasuk sudah tertinggal karena saat ini hampir semua
browser
modern
mendukung
TLS
. Walaupun
SSL
sederhana pada teorinya (kunci dipertukarkan
menggunakan
kriptografi
kunci publik
, dan komunikasi dilakukan dengan
menggunakan
kriptografi
kunci simetri
), namun cukup kompleks pada
implementasi aktualnya. Berikut ini beberapa detail dalam membangun sebuah
koneksi
SSL
dan berkomunikasi menggunakan koneksi tersebut.
2.2.1
Alert
Salah satu komponen terpenting dari
SSL
adalah sistem penanganan errornya.
Error pada
SSL
disebut dengan
alert
dan merupakan presentasi dari kemungkinan
serangan-serangan.
Alert
adalah pesan-pesan yang dikirim melalui saluran
komunikasi
SSL
, dan kadang juga di
enkripsi
. Spesifikasi
SSL
menjelaskan secara
mendetil tentang 20
alert
yang berbeda dan memberikan petunjuk bagaimana
menanganinya ketika
alert
tersebut diterima, serta kapan waktu yang tepat untuk
membangkitkan dan mengirimkannya.
2.2.2
Handshake
Komunikasi
SSL
diadakan pada sebuah
SSL
session
.
SSL
ini dibangun
Keseluruhan proses
handshake
, termasuk pembangunan soket
TCP/IP
, dapat
[image:44.612.130.539.55.560.2]dilihat pada gambar 2.6
Gambar 2.3 Proses
SSL
Handshake
Seperti yang dapat dilihat pada gambar, koneksi
TCP/IP
dibangun terlebih
dahulu, kemudian proses
handshake SSL
dimulai.
Session SSL
dimulai ketika
client
dan
server
berkomunikasi menggunakan parameter dan
cipher
yang telah
dinegosiasikan.
Session SSL
diakhiri ketika kedua pihak selesai mentransmisikan
2.2.3
Client Hello
dan Operasi
Kunci publik
Semua
session
pada
SSL
dimulai dengan sebuah pesan
Client Hello
. Pesan
ini dikirim oleh
client
kepada
server
yang ingin dituju untuk berkomunikasi. Pesan
ini berisi versi
SSL
dari
client
, sebuah bilangan acak yang akan digunakan
selanjutnya pada penurunan kunci, dan juga sebuah kumpulan
ciphersuite offer
.
Offer
ini merupakan penanda yang menunjukkan cipher dan algoritma
hash
yang
ingin digunakan oleh
client
. Pada saat membangun koneksi inisial,
server
memilih
sebuah
offer
yang ingin digunakan, dan menyampaikan kembali
offer
tersebut
kepada
client
bersama dengan
certificate
dan sebuah bilangan acak yang
dimilikinya.
Client
kemudian melakukan verifikasi
server
menggunakan sertifikat
dan mengekstraksi
kunci publik
server
. Dengan menggunakan
kunci publik
,
client
meng
enkripsi
rahasia premaster, sebuah nilai acak yang akan digunakan untuk
membangkitkan
kunci simetri
, dan mengirim pesan ter
enkripsi
tersebut kepada
server
, yang kemudian men
dekripsi
pesan menggunakan
kunci private
nya.
2.2.4 Penurunan
Kunci simetri
Setelah
server
menerima rahasia premaster dari
client
,
server
dan
client
sama-sama membangkitkan
kunci simetri
yang sama menggunakan rahasia
premaster dan juga membangkitkan bilangan acak yang telah dipertukarkan
sebelumnya menggunakan
TLS
pseudorandomfunction
(PRF), yang mengekspansi
rahasia dan beberapa data menjadi sebuah blok dengan panjang tertentu. Dengan
kriptografi
kunci publik
, membatasi kemungkinan mahalnya operasi pada
performansi.
2.2.5
Finish Handshake
Segera setelah kunci dibangkitkan,
client
dan
server
bertukar pesan-pesan
“
change cipher spec
” untuk mengindikasikan bahwa mereka telah memiliki
kunci
simetri
dan komunikasi selanjutnya dapat dilaksanakan menggunakan algoritma
simetri yang dipilih pada tahap inisial proses
handshake
. Pada tahap ini,
server
dan
client
menggunakan semua pesan-pesan
handshake
yang diterima dan dikirim, dan
membangkitkan sebuah blok data yang digunakan untuk melakukan verifikasi
bahwa
handshake
tidak terganggu. Data ini, yang dibangkitkan menggunakan
TLS
PRF
, dikirimkan pada pesan handshake terakhir disebut
Finish
. Jika data pada
pesan
finish
yang dibangkitkan tidak cocok dengan data
finish
yang dibangkitkan
secara lokal, maka koneksi akan diterminasi oleh pihak manapun yang gagal
melakukan tes verifikasi.
2.2.6
SSL Session
Ketika sebuah proses
handshake
selesai,
client
dan
server
mulai
berkomunikasi dengan menggunakan saluran komunikasi aman yang baru. Setiap
pesan di-
hash
, di
enkripsi
dan kemudian dikirim. Setiap kali ada kegagalan, baik itu
pada proses
dekripsi
,
enkripsi
,
hash
, verifikasi, atau komunikasi,
SSL
alert
akan
kegagalan. Kebanyakan
alert
bersifat fatal, dan menyebabkan komunikasi harus
dihentikan sesegera mungkin.
2.2.7 Mengakhiri
SSL Session
Ketika
client
atau
server
selesai berkomunikasi, sebuah
alert
khusus,
close_notify
, dikirimkan untuk memastikan semua komunikasi telah dihentikan
dan koneksi dapat ditutup.
Alert
ini digunakan untuk mencegah pihak yang tidak
bertanggung jawab melakukan sebuah serangan pemotongan, yang akan menipu
server
atau
client
agar berpikir bahwa semua data yang ingin dipertukarkan telah
berhasil terkirim, padahal sebenarnya masih ada data yang masih belum terkirim
(hal ini dapat menjadi masalah pada situasi seperti transaksi perbankan, di mana
semua informasi harus terkirim).
2.2.8 Keamanan
Kerumitan dan mahalnya pembangunan
session SSL
merupakan hasil dari
pembelajaran selama bertahun-tahun terhadap berbagai serangan terhadap
SSL
dan
protokol
keamanan lainnya. Beberapa serangan menargetkan implementasi
kriptografi
nya, serangan lainnya menargetkan
PRNG
. Beberapa serangan dapat
menggunakan pengetahuan tentang informasi yang dikirim untuk mendapatkan
informasi rahasianya. Beberapa serangan bahkan menggunakan
timing
dari
algoritma tertentu untuk mendapatkan rahasia.
SSL
dan
TLS
menangani beberapa
implementasinya harus mengikuti
protokol
agar pengamanan dapat bekerja dengan
baik.
2.3
Diffie-Hellman
Diffie-Hellman Key Exchange
ditemukan pada tahun 1976 atas hasil
kerjasama antara
Whitfield Diffie
dan
Martin Hellman
. Metode ini merupakan
metode praktikal pertama untuk menciptakan sebuah rahasia bersama antara dua
belah pihak melalui sebuah jalur komunikasi yang tidak terjaga.
Menurut Stallings (2009:11) terdapat 3 jenis pertukaran kunci
Diffie-Hellman
, yaitu :
1.
Fixed
Diffie-Hellman
: Ini adalah pertukaran kunci
Diffie-Hellman
dimana
pada sertifikat
server
terdapat parameter publik
Diffie-Hellman
yang
ditandatangani oleh
certificate authority
(CA)
. Yakni, sertifikat
kunci publik
mengandung parameter
kunci publik
Diffie-Hellman
.
Client
menyediakan
parameter
kunci publik
Diffie-Hellman
baik dalam bentuk sertifikat, jika
autentikasi
client
diperlukan, atau dalam pesan pertukaran kunci. Metode ini
menghasilkan
secret key
yang tetap antara dua pihak, berdasarkan perhitungan
Diffie-Hellman
menggunakan
kunci publik
yang tetap.
2.
Ephemeral
Diffie-Hellman
: Teknik ini digunakan untuk mencipatakan kunci
rahasia
ephemeral
(sementara, satu waktu). Dalam kasus ini,
kunci publik
privatee
RSA atau DSS pengirim. Si penerima dapat menggunakan
kunci
publik
yang berkaitan untuk memverifikasi tanda tangan. Sertifikat digunakan
untuk mengautentikasi
kunci publik
. Pilihan ini tampaknya menjadi pilihan
paling aman dalam ketiga pertukaran kunci
Diffie-Hellman
karena kunci
autentikasi yang dihasilkan bersifat sementara.
3.
Anonymous
Diffie-Hellman
: Algoritma dasar
Diffie-Hellman
yang digunakan,
dengan tidak ada autentikasi. Pendekatan ini rentan terhadap
man-in-the-middle attacks
, yang mana penyerang melakukan pertukaran kunci
Diffie-Hellman
dengan kedua belah pihak.
Diffie-Hellman
bukan metode
enkripsi
dan tidak dapat digunakan untuk
enkripsi
data. Ini merupakan metode pertukaran kunci sekuritas dari
enkripsi
data.
Diffie-Hellman
mengkompilasi pertukaran sekuritas dengan membuat “
shared
secret
” atau disebut dengan “
Key Encryption Key
” (KEK). antara dua perangkat.
Shared secret
kemudian di
enkripsi
dengan
kunci simetri
s untuk sekuritas
pengiriman.
Kunci simetri
s terkadang disebut dengan
Traffic Encryption Key
(TEK) atau
Data
Encryption Key
(DEK). Terkadang KEK digunakan untuk
sekuritas pengiriman dalam TEK.
Menurut Palmgren (2010:15), Tahapan Proses KEK, adalah:
1.
Setiap side mengenerate
kunci private
baik disisi penerima dan di sisi
pengirim.
3.
Komunikasi yang dilakukan oleh setiap sisi menggunakan
kunci private
masing-masing dan
kunci publik
dari sistem lainnya.
4.
Protokol
Deffie-Hellman mengenerate “
shared secrets
” untuk identifikasi
kunci
kriptografi
yang akan di share pada setiap sisi.
5.
Kemudian
share secret
akan dikalkulasi dengan perhitungan secara matematis
untuk membentuk
kunci simetri
s.
6.
Kunci simetri
s kemudian di
enkripsi
dan dikirm ke sisi penerima. Di sisi
penerima
kunci simetri
s diubah kembali menjadi
shared secret
.
7.
Pada saat pembuatan
kunci simetri
s data di
enkripsi
di sisi pengirim dan data
Gambar 2.4 Proses Pertukaran
Kunci publik
dan Pertukaran Kunci
Diffie-Hellman
2.4
Sistem Monitoring Jaringan Nagios
Menurut Barth (2005:16), Nagios merupakan aplikasi untuk monitoring
jaringan,
host
, dan
service
yang terdapat pada suatu jaringan. Aplikasi ini dapat
client
. Nagios bersifat modular, mudah digunakan, dan memiliki skalablitas tinggi.
Modul atau
plugin
pada nagios sangat simple, user pun dapat membuatnya guna
melengkapi pengecekan sistem pada nagios sesuai dengan kebutuhan. Nagios
awalnya didesain untuk berjalan pada sistem operasi
Linux
, namun dapat juga
berjalan dengan baik hampir disemua sistem operasi
unix-like
.
Untuk proses kerjanya, monitoring
daemon
memeriksa secara berkala pada
komputer
host
dan
service
yang telah didefinisikan dengan menggunakan eksternal
plugin
, yang akan mengirim status informasi ke nagios. Ketika terjadi suatu
problem,
daemon
akan secara otomatis mengirimkan pesan ke administrator
dengan menggunakan beragam cara yang dipilih (email, instant messaging, SMS,
dan sebagainya). Status informasi saat ini, log kejadian dan laporan, selanjutnya
dapat diakses sepenuhnya dengan menggunakan web browser.
Nagios sudah memiliki sejumlah fitur yang membuat aplikasi monitoring ini
bersifat cukup powerful. Beberapa fitur yang dimiliki nagios, antara lain :
1.
Dapat digunakan untuk memonitor
service
jaringan (
SMTP, POP3, HTTP,
PING
).
2.
Dapat digunakan untuk memonitor penggunaan
host
resource
(kinerja
processor, penggunaan memory dan hardisk, proses yang berjalan,
file log
,
dan sebagainya).
3.
Memiliki desain
plugin
yang simple, yang mengizinkan user dengan mudah
4.
Memiliki kemampuan untuk mendefinisikan hiraerki
host
jaringan, yang
mengizinkan pendeteksian dan pembagian antara komputer
host
yang down,
dan yang tidak down.
5.
Memiliki kemampuan untuk mendefinisikan penanganan kejadian yang akan
dijalankan, sebelum terjadi permasalahan pada komputer
host
.
6.
Memiliki kemampuan untuk mengenali masalah melalui tampilan berbasis
[image:53.612.124.537.53.516.2]web.
Gambar 2.5
Front End Nagios Web
Paket binary nagios sudah tersedia di berbagai macam
distro
, seperti
Debian,
Ubuntu, Fedora, Mandriva, OpenSUSE, dan Gentoo
. Sekarang ini sudah tersedia
distro
yang khusus dibuat dengan memasukkan paket-paket nagios di dalamnya,
yaitu
FAN (Fully Automated Nagios).
FAN
adalah sebuah
distro
yang sebenarnya adalah remaster dari
distro
ditambahkan aplikasi sistem monitoring jaringan Nagios yang dilengkapi dengan
berbagai tool pelengkapnya seperti
Nagios-plugins, NRPE, Nagvis, Centreon, dan
Nareto
.
FAN ini dimaksudkan agar pengguna linux yang ingin membangun sistem
[image:54.612.126.540.66.472.2]monitoring jaringan dapat melakukannya dengan cepat, tepat, dan mudah.
Gambar 2.6
Front End FAN
2.4.1
Tipe dan Model Sistem Monitoring Jaringan
Sistem monitoring saat ini yang umum diimplementasi memilki dua tipe
yaitu berbasis
SNMP
, yang merupakan standar dalam sistem pengawasan dan
berbasis
agen
, yang dibuat oleh masing-masing pembuat perangkat lunak.
SNMP
merupakan
protokol
standard industri yang digunakan untuk memonitor dan
yang wajib disediakan pada berbagai perangkat jaringan untuk memudahkan
melakukan pengawasan.
Perkembangan terbaru dari
SNMP
telah dilengkapi keamanan. Namun versi
terbaru ini belum secara penuh dideploy, bahkan untuk mesin-mesin lama hal ini
cukup sulit untuk diimplementasikan. Keadaan ini tentu saja cukup
memprihatinkan dengan perkembangan
tools hack
yang lebih mudah digunakan
bahkan user yang tidak berpengalaman akan mampu melakukan
sniffing
. sehingga
dalam skripsi ini dikembangkan sebuah teknik untuk mengimplementasikan
pengamanan data pengawasan dengan menggunakan
kriptografi
, yang notabene
fitur
kriptografi
ini sudah ada pada
agen
.
Agen
merupakan perangkat lunak yang terpasang pada client yang diawasi.
Secara sederhana
agen
merupakan program socket client sederhana yang
menghubungi program socket
server
pada sistem monitoring. Pada Nagios terdapat
2
plugin
yang dapat bertindak sebagai
agen
t, yaitu
NSCliient
dan
NRPE
.
NSClient
biasa digunakan untuk monitoring
client Windows
dan
NRPE
biasa digunakan
untuk monitoring
client Linux
.
Sistem monitoring jaringan diimplementasikan dalam model
client
dan
server
. Pada kasus jaringan umum,
server
monitoring berada pada jaringan yang
terhubung dengan
node-node
yang diawasi. Dalam sistem monitoring terdapat dua
buah
entitas
yang membentuk sistem yaitu manager dan
agen
. Manager adalah
server
yang menjalankan suatu sistem perangkat lunak yang dapat menangani
NMS (Network Management Stations)
. Sebuah
NMS
bertanggung jawab untuk
mengumpulkan dan menerima
query
dari
agen
-
agen
yang terdapat dalam jaringan.
Entitas
selanjutnya adalah
agen
, merupakan perangkat lunak yang terpasang di sisi
client
yang diawasi. Secara sederhana
agen
merupakan
program socket
client
[image:56.612.132.535.194.423.2]sederhana yang menghubungi
program socket
server
pada
NMS
.
Gambar 2.7 Komunikasi
NMS
dan
Agen
Dalam mengimplementasikan
agen
yang berbasis
socket
digunakan
protokol
TCP
atau
UDP
. Keduanya memiliki kelemahan dan kelebihan
masing-masing. Pemilihan ini penting karena dapat mempengaruhi algoritma
kriptografi
yang akan diimplemtnasikan.
Menurut Hendra Wijaya (2004:7-8)
UDP
adalah
protokol
yang
unreliable
karena tidak bergaransi. Penerima tidak mengirimkan tanda terima dan paket-paket
tidak diurut kembali seperti asalnya. Namun dalam beberapa kasus jaringan
merupakan
protokol
yang lebih baik. Hal ini disebabkan sifatnya yang cepat.
Kekurangan utama yang menyebabkan
protokol
ini tidak cocok pada implementasi
keamanan dengan
kriptografi
adalah tidak terjaminnya urutan paket yang akan
kriptografi
seperti
block cipher
yang menggunakan
CFC
tidak dapat
diimplementasikan. Dari informasi ini penulis menyadari mengapa versi awal dari
SNMP
tidak menggunakan
kriptografi
karena
protokol
ini menggunakan
UDP
untuk pengiriman datanya.
TCP
secara umum memilki sifat yang bertolak
belakang dengan
UDP
. Namun sambungan
TCP
sekali-kali terjadi loss. Namun
dari dua pilihan
protokol
transport
TCP
memberikan layanan yang lebih baik
untuk data yang ter
kriptografi
. Sisi buruk yang dapat diperkirakan adalah
pembukaan port. Hal ini sebenarnya membuka sebuah celah sehingga dalam
impelentasinya selain harus meng
enkripsi
pesan juga harus melindungi port yang
terbuka untuk pertukaran data pengawasan. Permasalahan port dapat ditangani
dengan menggunakan
firewall
baik pada sisi
client
dan
server
. Untuk lebih
mengingkatkan fleksibilitas dan mempermudah konfigurasi dapat digunakan
TCP
wrapper
.
2.4.2
Kriteria
Kriptografi
untuk Sistem Monitoring Jaringan
Pada model sistem pengawasan terdapat kriteria tertentu yang harus
dipenuhi antara lain:
1.
Kecepatan proses
enkripsi
dan
dekripsi
yang cepat kecepatan proses
enkripsi
dan
dekripsi
diperlukan karena pada beberapa kasus pengawasan digunakan
tenggat waktu yang cukup singkat dari satu pengecekan ke pengecekan
berikutnya. Normalnya digunakan interval waktu 5 menit namun dalam kasus
2.
Sumber daya komputasi yang dipakai dalam proses
enkripsi
dan
dekripsi
relatif kecil dalam beberapa kasus suatu
server
melakukan pengecekan pada
node yang jumlah cukup banyak. Dalam kasus tanpa
enkripsi
hal tersebut
sudah memberikan beban CPU yang tinggi kepada
server
pemeriksa atau
client sehingga menganggu fungsi aslinya. Terlebih
enkripsi
akan
diimplentasikan dalam setiap pesan sehingga jika menggunakan
enkripsi
yang
menggunakan tingkat komputasi yang tinggi tentu saja akan memakan banyak
resource dan mengurangi kinerja infrastruktur. Penambahan kecepatan
prosessor atau memory tentu bukan menjadi opsi, proses
kriptografi
harus
menggunakan resource yang kecil.
3.
Hasil
enkripsi
yang relatif kecil dalam beberap kasus
enkripsi
akan
menggembungkan ukuran dari file asli. Dalam implementasi
protokol
NMS
hal ini sebisa mungkin dihindari dan diminimalkan karena NMS mengirimkan
data ke dalam jaringan dalam interval waktu yang cukup singkat. Sehingga
jika paket yang dikirimkan terlampau besar jsutru akan membebani jaringan.
4.
Mudah untuk diimplementasi Kriteria ini mentikaberatkan pada mekanisme
aplikasi
kriptografi
yang digunakan pada program. Jika terlalu rumit justru
akan menyulitkan proses administrasi.sehingga jenis dan algoritma
kriptografi
yang dipilih untuk diimplementasikan harus memberikan sisi keamanan yang
tidak menghilangkan kriteria dari fungsi pengawasan itu tersebut. Dengan
dipilihnya
TCP
akan memberikan fleksibilitas untuk algoritma
kriptografi
sehingga kompleksitas dari
kriptografi
yang dapat diterapkan menjadi tidak
terbatas sehingga tipe dan mode
kriptografi
tidak menjadi kriteria dalam
enkripsi
protokol
sistem monitoring jaringan.
2.4.3
Tipe dan Model
Kriptografi
untuk
Stasiun Monitoring Jaringan
Tipe
kriptografi
yang menjadi calon dalam
enkripsi
pesan sistem
pengawasan adalah
kriptografi
kunci simetri
dan
kriptografi
kunci publik
.
Keduanya memiliki kekurangan dan kelebihan masing-masing. kelebihan
kriptogafi
kunci simetri
adalah aplikasi
kunci simetri
dapat di desain untuk aplikasi
yang membutuhkan data throughput yang cepat hal ini. Dibandingkan dengan
algoritma
kunci publik
yang lambat dalam proses
enkripsi
dan dekripisi
Kelemahannya adalah manajemen kunci jika dibandingkan dengan
kunci publik
yang dapat kita atur
kunci publik
dan
kunci privatee
-nya. Sehingga dari kriteria
protokol
sistem monitoring dan melihat ciri dari masing-masing teknik
BAB III
METODOLOGI PENELITIAN
3.1
Metode Pengumpulan Data
3.1.1
Riset kepustakaan (
Library Research
)
Metode ini menggunakan data-data dari berbagai buku, jurnal
penelitian, majalah, dan sumber bacaan elektronis yang tersedia di
internet yang berkaitan dengan masalah keamanan jaringan komputer
dan sistem monitoring jaringan.
3.1.2
Observasi
Pengamatan secara langsung sistem jaringan yang sedang digunakan.
Pengumpulan data dilakukan berdasarkan dokumentasi sistem jaringan
terakhir yaitu bulan Januari tahun 2010 dan hasil analisa penulis.
3.2
Metodologi Pengembangan Sistem
Penelitian yang penulis lakukan berjudul Analisis dan Implementasi
SSL
dengan Metode Pertukaran Kunci
Diffie-Hellman
pada Nagios
Network
Monitoring
System. Dalam impelementasi sistem ini penulis menggunakan
Metodologi
System Development Life Cycle
(Siklus Hidup Pengembangan
Sistem). Disebut SDLC, karena terdiri dari beberapa tahapan-tahapan
pengembangan sistem yang membentuk suatu siklus hidup yaitu tahap
beberapa model SDLC. Dalam skripsi ini penulis memakai model SDLC
waterfall
yang banyak digunakan.
Dalam sebuah siklus SDLC terdapat 7 tahap umum (Hartono, 2004 :
18-19). Siklus hidup pengembangan ini dapat diuraikan tahapan-tahapannya
sebagai berikut :
1.
Tahap Perencanaan (
Planning
)
Pada tahap ini dilakukan
feasibility study
, lokasi waktu, dan cakupan dari
aplikasi yang akan dikembangkan.
2.
Tahap Analisa (
Analysis
)
Pada tahap ini akan diuraikan mengenai keadaan sistem sekarang, analisis
proses komunikasi
<
