SKRIPSI

ANALISIS KEAMANAN IPV6 TERHADAP SERANGAN DOS

PADA JARINGAN LAN

Oleh:

FREDY ABDALLAH 109091000108

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI (UIN) SYARIF HIDAYATULLAH

JAKARTA 2014

i

ii

iii

LEMBAR PERNYATAAN

Saya yang bertanda tangan di bawah ini : Nama : Fredy Abdallah

NIM : 109091000108 Jurusan : Teknik Informatika

Judul Skripsi : ANALISIS KEAMANAN IPV6 TERHADAP SERANGAN DOS

PADA JARINGAN LAN

Dengan ini menyatakan bahwa :

Skripsi ini benar - benar hasil karya sendiri yang belum pernah diajukan sebagai skripsi atau hasil karya pada perguruan tinggi atau lembaga manapun.

Jakarta, Oktober 2014

Fredy Abdallah 109091000108

iv

Fredy Abdallah, Analisis Keamanan IPv6 Terhadap Serangan DoS pada Jaringan LAN. Dibimbing olehAndrew Fiade, M.KomdanFeri Fahrianto, M.Sc

ABSTRAK

Kemajuan teknologi dan komunikasi pada saat ini memungkinkan setiap perangkat untuk dapat berkomunikasi melalui internet. Ketidak cukupan IPv4 dalam mencangkup semua perangkat ini dijawab oleh IPv6 yang merupakan generasi selanjutnya teknologi pengalamatan. Namun bagaimanakah cara pencegahan serangan DoS pada IPv6? Sistem teknologi di IPv6 telah telah dikembangkan sedemikian rupa dengan harapan dapat memberikan sebuah layanan pengalamatan yang lebih aman dari IPv4. Serangan DoS pada IPv6 tidak lagi hanya berupa sebuah data flooding biasa, namun DoS pada IPv6 telah merambah ke dalam sebuah protocol yang disebut Internet Control Messages Protocl ( ICMP ). Hal ini mengakibatkan ICMP yang terdapat pada layer 3 ( layer Network ) tidak memiliki sebuah abstrak port dan IP yang digunakan membuat serangan DoS ini menjadi semakin lebih sulit untuk ditangani. Penelitian ini dilakukan dengan metode simulasi yang dimulai dengan persiapan simulasi, pelaksanaan simulasi dan penutup simulasi.. Hasil dari penelitian ini diharapkan dapat digunakan sebagai landasan dalam penelitian selanjutnya, meningkatkan kewaspadaan kita semua terhadap keamanan jaringan dan diharapkan dapat menemukan metode yang terbaik dalam menagani masalah DoS pada IPv6.

KataKunci :IPv6, Keamanan Jaringan, DoS ( Denial of Service ), Internet Control Messages Protocl ( ICMP )

V Bab + xv Halaman + 123 Halaman + 49 Daftar gambar + 3 Daftar tabel + Daftar pustaka

v

KATA PENGANTAR

Bismillahirrahmanirrahim,

Puji dan syukur penulis panjatkan kehadirat Allah SWT atas segala rahmat dan karunia-Nya yang telah diberikan kepada penulis sehingga penulis dapat menyelesaikan penelitian dan penulisan skripsi ini. Shalawat serta salam tak lupa selalu tercurahkan kepada Nabi Muhammad SAW, beserta keluarga, sahabat dan para pengikutnya hingga akhir zaman.

Skripsi penulis yang berjudul "Analisis Keamanan IPv6 Terhadap Serangan DoS Pada Jaringan LAN " disusun untuk memenuhi salah satu syarat dalam menyelesaikan Program Strata Satu (S1) pada Program Studi Teknik Informatika, Universitas Islam Negeri Syarif Hidayatullah Jakarta.

Suatu kebanggaan tersendiri bagi penulis apabila skripsi ini dapat bermanfaat terutama bagi pihak - pihak yang membutuhkannya, meskipun penulis sadari masih terdapat kekurangan pada penulisan ini.

Pada kesempatan ini, penulis ingin menyampaikan ucapan terimakasih kepada pihak - pihak yang telah membantu baik moril maupun materil sehingga penulisan ini terlaksana dengan baik. Secara khusus penulis mengucapkan terikasih kepada :

1. Allah SWT yang telah memberikan kemudahan dan kelancaran selama penelitian dan penulisan skripsi ini.

2. Orang tua penulis ( Suminto dan Esthi Widi Utami ) yang tidak henti - hentinya memberikan dukungan dan motivasi, serta doa agar penulis dapat segera menyelesaikan penulisan ini.

3. Bapak Dr. Agus Salim, M.Si selaku Dekan Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta.

vi

4. Ibu Nurhayati, Ph.D selaku ketua program studi Teknik Informatika, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta.

5. Bapak Andrew Fiade, M.Kom selaku Dosen Pembimbing I yang banyak membantu dan memberikan masukan kepada penulis dalam menyelesaikan penulisan ini.

6. Bapak Feri Fahrianto M.Sc selaku Dosen Pembimbing II yang banyak membantu dan memberikan masukan kepada penulis dalam menyelesaikan penulisan ini.

7. Bapak Hendra Bayu Suseno, M.Kom dan ibu Siti Ummi Masruroh, M.Sc yang telah menjadi dosen penguji 1 dan 2.

8. Seluruh dosen dan staff akademik Fakultas Sains dan Teknologi, khususnya Jurusan Teknik Informatika serta staff akademik pusat.

9. Saudara - saudara penulis terutama kakak perempuan penulis ( Vina Farris, S.Kom ) yang selalu membimbing serta membantu penulis dalam menyelesaikan penulisan skripsi ini.

10. Teman - teman TI angkatan 2009 yang banyak membantu penulis, terutama Ade Zarkasih, Wisnugroho Mahendra, Joko Budi Pratomo, dan Bayu Arifyanto yang selalu memberikan dukungan dan bantuan kepada penulis.

11. Serta semua pihak yang telah membantu penulis dalam mengerjakan skripsi yang tidak dapat penulis sebutkan satu per satu.

Apabila dalam penulisan ini terdapat pertanyaan dari pembaca sekalian, dapat disampaikan kepada penulis melalui e-mail fredyabdallah@gmail.com. Dan akhir kata semoga skripsi ini dapat bermanfaat bagi pembaca dalam pengembangan - pengembangan selanjutnya. Amin.

Jakarta, Oktober 2014 Penulis

Fredy Abdallah

vii DAFTAR ISI

Halaman

LEMBAR PENGESAHAN ... i

LEMBAR PERNYATAAN ... iii

ABSTRAK ……….… iv

KATA PENGANTAR... v

DAFTAR ISI……….. vii

DAFTAR GAMBAR... xii

DAFTAR TABEL... xv

BAB I PENDAHULUAN 1.1.Latar Belakang ... 1

1.2.Rumusan Masalah ... 3

1.3.Batasan Masalah ... 4

1.4.Tujuan ... 5

1.5.Manfaat ... 5

1.6.Metodologi Penelitian ... 6

viii

1.7.Sistematika Penulisan ... 7

BAB II LANDASAN TEORI 2.1. IPv4 ... 9

2.2. Habisnya Alamat IPv4 ... 11

2.3. IPv6 ... 15

2.4. Perbedaan IPv4 dengan IPv6 ... 18

2.5. Format Prefix IPv6 ... 22

2.6. Format Alamat IPv6 ... 23

2.7. Keamanan Pada IPv6 ... 25

2.7.1. Authentication Header (AH) ... 27

2.7.2. Teknik Autentikasi ... 28

2.7.3. Encrypted Security Payload (ESP) ... 30

2.8. IPv6 Autoconfiguration ... 31

2.8.1. Stateful Autoconfiguration ... 31

2.8.2. Stateless Autoconfiguration ... 31

2.9. Serangan Yang Kerap Terjadi Pada Sebuah Jaringan ... 32

ix

2.10. Open System Interconnection ( OSI ) Layer ... 45

2.11. Simulasi ... 50

BAB III METODOLOGI PENELITIAN 3.1. Metode Pengumpulan Data ……… 54

3.2. Metode Pengembangan Jaringan Komputer ……….. 51

3.2.1. Identifikasi Masalah ... 55

3.2.2. Konsep Pemodelan ... 55

3.2.3. Input Output Data ... 56

3.2.4. Pemodelan (modeling) ... 56

3.2.5. Simulasi (simulation) ... 57

3.2.6. Verification and Validation ... 57

3.2.7. Experimentation ... 57

3.2.8. Output Analysis... 58

3.3. Tahap Penelitian ………. 58

3.3.1. Spesifikasi Penyerang dan Target ... 58

3.3.2. Software yang Digunakan ... 59

x

3.4. Kerangka Berfikir ... ……… 60

BAB IV HASIL DAN PEMBAHASAN 4.1. Persiapan Perancangan Simulasi …...…..……….……….. 61

4.1.1. Hardware Yang Digunakan ... 61

4.1.2. Software Yang Digunakan ... 62

4.2. Pembahasan .……….……… 62

4.2.1. Identifikasi Masalah ..……….... 62

4.2.2. Konsep Pemodelan ……….………... 64

4.2.3. Input/Output Data ………... ... 64

4.2.4. Pemodelan (Modeling) ... 66

4.2.4.1. Penerapan Model Skenario ... . 70

4.2.5. Simulasi (Simulation) ... 76

4.2.6. Verification and Validation ... 77

4.2.7. Experimentation ... 77

4.2.7.1. Melakukan DoS pada Windows 8.1 Pro yang Masih Fresh ….... 77

xi

4.2.7.2. Melakukan DoS pada Windows 8.1 dengan Pengaktifan Comodo

Firewall ………... 83

4.2.7.3. Melakukan DoS pada Windows 8.1 Pro dengan pengaktifan Antivirus Avast Internet Security 2014 ………... 90

4.2.7.4. Melakukan DoS pada Windows 8.1 Pro dengan ditambah penginstalan semua WindowsCritical………. 96

4.2.7.5. Melakukan DoS pada Kali Linux Sebagai Target ……….. 103

4.3. Analisis Hasil / Output Analysis... 106

4.3.1. Analisis Hasil Skenario ... 106

4.3.2. Analisis Paket Data DoS ... .. 111

4.3.3. Cara Menghindari Serangan DoS ... 118

BAB V KESIMPULAN DAN SARAN ... 122

5.1. Kesimpulan ………...….... 122

5.2. Saran ………... 123

DAFTAR PUSTAKA ... 124

LAMPIRAN-LAMPIRAN

xii

DAFTAR GAMBAR

Gambar 2.1 Kelas dalam IPv4 ... 9

Gambar 2.2 IPv4 yang tersisa ... 12

Gambar 2.3 Blok yang tersisa pada IANA 10 April 2010 ... 13

Gambar 2.4 Contoh Penggunaan Header AH ... 28

Gambar 2.5 Struktur dari header AH ... 28

Gambar 2.6 Paket IPv6 dengan sebuah header ESP ... 30

Gambar 2.7 Struktur dari sebuah header ESP ... 30

Gambar 2.8 7 Layer pada OSI ... 46

Gambar 3.1 Desain Jaringan ... 59

Gambar 3.2 Kerangka Berfikir Penelitian ... 60

Gambar 4.1 koneksi belum terdeteksi ... 72

Gambar 4.2 Edit Connections ... 73

Gambar 4.3 Menambah Koneksi kabel ... 74

Gambar 4.4 Menyalakan interface eth0 ... 75

Gambar 4.5 Ping IPv6 berhasil dilakukan ... 76

Gambar 4.6 Windows Firewall telah menyala ... 78

Gambar 4.7 Buka semua program yang dibutuhkan ... 79

Gambar 4.8 Perintah DoS ... 80

Gambar 4.9 CPU + RAM + DISK + Ethernet usage ... 81

Gambar 4.10 Suhu Processor saat terkena DoS ... 82

xiii

Gambar 4.11 Tangkapan Wireshark Target ... 83

Gambar 4.12 Setting Comodo Firewall + Filter IPv6 ... 84

Gambar 4.13 Buka semua aplikasi yang dibutuhkan ... 85

Gambar 4.14 Perintah DoS ... 86

Gambar 4.15 Status CPU + RAM + DISK + Ethernet ... 87

Gambar 4.16 Suhu Processor saat menerima serangan ... 88

Gambar 4.17 Tangkapan Wireshark target ... 89

Gambar 4.18 Detail paket Router Advertisement ... 90

Gambar 4.19 Perlindungan Avast Internet Security 2014 telah aktif seluruhnya .... 91

Gambar 4.20 Buka semua aplikasi yang dibutuhkan ... 92

Gambar 4.21 Perintah RA DoS ... 93

Gambar 4.22 CPU + RAM + Disk + Ethernet Usage ... 94

Gambar 4.23 Suhu Processor... 95

Gambar 4.24 Tangkapan Wireshark Target ... 96

Gambar 4.25 Tidak ada update lagi ... 97

Gambar 4.26 Buka semua program yang dibutuhkan ... 98

Gambar 4.27 Mulai melakukan RA DoS ... 99

Gambar 4.28 CPU + RAM + Disk + ethernet usage awal ... 100

Gambar 4.29 CPU Resource Monitor yang mulai turun ... 101

Gambar 4.30 Suhu Processor ... 102

Gambar 4.31 Tangkapan Wireshark target ... 103

xiv

Gambar 4.32 CPU Usage sebelum terkena serangan DoS ... 104

Gambar 4.33 CPU Usage setelah terkena serangan DoS ... 105

Gambar 4.34 Tangkapan 1 paket data serangan ... 113

Gambar 4.35 Simulasi 1 serangan RA DoS ... 114

Gambar 4.36 Format pesan Router Advertisement ... 115

Gambar 4.37 2 jenis informasi yang dikirim dalam 1 paket ... 117

Gambar 4.38 Windows Firewall with Advanced security ... 119

Gambar 4.39 Memasukkan IP address yang diperbolehkan ... 120

xv

DAFTAR TABEL

Tabel 2.1 alokasi alamat IPv6 ... 21

Tabel 4.1 Perbandingan Percobaan masing – masing skenario ... 119 Tabel 4.2 Penjelasan Format pesan Router Advertisement ... 125

1

BAB I

PENDAHULUAN

1.1. LATAR BELAKANG

Komputer yang terhubung ke sebuah jaringan diidentifikasikan berdasarkan alamat IP (Internet Protocol). IPv4 (IP versi 4 – berbasis 32 bit) sebagai protocol utama yang digunakan saat ini. Secara teoritis IPv4 dapat menampung 4,3 milyar alamat, tetapi jumlah tersebut tidak seluruhnya dapat digunakan. Selain itu beberapa faktor penting yang dibutuhkan untuk jaringan modern, pada IPv4 masih harus ditopang oleh teknologi lain, seperti Network Address Translation (NAT) danDynamic Host Configuration Protocol (DHCP).

Berdasarkan rilis yang dikeluarkan oleh Internet Assign Number Authority (IANA)pada tahun 2010 ( Sumber : IANA.org ), diperkirakan alokasi IPv4 akan segera habis pada pertengahan 2011. Banyak penelitian yang mendiskusikan tentang Ipv4 dan IPv6, baik dari sisi teknologi maupun adopsi teknologi tersebut.

Meskipun beragam kesimpulan yang muncul, tetapi para peneliti memiliki pandangan yang sama bahwa IPv4 akan digantikan IPv6.

Pada tanggal 1 Februari 2011, IANA mengabulkan permintaan Asia Pasific Network Confirmation Control (APNIC) dan memberikan 2 buah blok /8 terakhirnya. "Inilah saat habisnya freepool IPv4 di IANA. Memang, masih ada 5

2

blok /8 lagi yang disimpan IANA, tetapi blok tersebut akan segera dibagikan secara merata ke setiap wilayah Asia Pasifik, Amerika Utara, Amerika Latin, Afrika, dan Eropa," ( Valens Riyadi, Kabid National Internet Registry Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) ).

IPv6 kemudian diperkenalkan pada tahun 1994 sebagai solusi untuk mengantisipasi permasalahan keterbatasan alamat yang ada di IPv4. Dari sisi jumlah alamat, IPv6 yang berbasis 128 bit memiliki alamat yang sangat besar yaitu 3,4 x 10³⁸. Selain itu, IPv6 juga mengatasi kekurangan yang ada pada IPv4 baik dari sisi manajemen maupun keamanan. Tetapi meski memiliki keunggulan dibandingkan dengan pendahulunya, penggunaan IPv6 masih sangat terbatas.

Namun seperti yang kita tahu bahwa terdapat begitu banyak kelemahan pada IPv4 yang membuatnya menjadi sangat rentan terhadapserangan dari luar seperti Denial of Service (DoS). Bagaimana dengan IPv6?

Dikutip dari paper “IPv6 Security Challenges”, sebuah serangan DoS pada IPv6 dapat dilakukan dengan mengeksploitasi celah keamanan pada proses DAD ( Duplicate Address Detection ). Hal ini menunjukkan bahwa DoS pada IPv6 ini masih mungkin untuk dilakukan.

Dikutip dari Release Notes "Cisco ASA 5500 Series, Version 8.2(x)" Bahwa Cisco masih terus melakukan serangkaian update dari tahun 2009 dengan tujuan untuk menutupi "celah bawaan" dari IPv6 menyangkut masalah DoS ini. Berbeda

dengan Cisco yang melakukan patch terhadap sistem mereka dari tahun 2009, Microsoft justru tertinggal dengan melakukan patch pada akhir tahun 2012 ( Patch KB2750841) mengenai masalah celah pada IPv6 ini untuk Windows 7 dan Windows Server 2008 R2. Namun yang jadi pertanyaan adalah, apakah patch yang mereka lepaskan ini telah berhasil menghentikan DoS pada IPv6?

Bertahan dari serangan DoS merupakan suatu hal yang sangat sulit, solusi yang paling efektif mungkin adalah melakukan perubahan yang signifikan pada arsitektur Internet itu sendiri.

Dengan latar belakang yang sudah diutarakan sebelumnya, penulis mengajukan skripsi dengan judul"ANALISISKEAMANAN IPV6 TERHADAP SERANGAN DOS PADA JARINGAN LAN"

1.2. RUMUSAN MASALAH

Berdasarkan latar belakang yang telah diutarakan sebelumnya, maka penulis merumuskan masalah-masalah sebagai berikut:

1. Bagaimana cara pencegahan serangan DoS pada Ipv6?

2. Bagaimana cara mengembalikan sistemyang mengalami kegagalan fungsi setelah menerima serangan DoS?

1.3. BATASAN MASALAH

Berikut adalah batasan – batasan masalah pada skripsi ini :

1. Analisa sistem keamanan ini dilakukan dengan pengalamatan Ipv6, 2. Analisis sistem keamanan ini dilakukan didalam cakupan jaringan LAN, 3. Analisis sistem keamanan ini dilakukan pada Windows 8.1 Pro dan Kali

Linux sebagai target,

4. Analisis sistem keamanan ini dilakukan dengan Kali Linux sebagai penyerang.

5. Analisis sistem keamanan ini menggunakan metodologi Simulasi.

6. Tools yang digunakan dalam penelitian ini antara lain ; Wireshark, RealTemp, Task Manager, dan Network.

7. 1 unit Laptop Toshiba L310 dengan spesifikasi : Pentium® Dual-Core CPU T4200 @2.00GHz, 3 GB RAM, Mobile Intel® 4 Series Express Chipset Family, Marvell Yukon 88E8040T PCI-E Fast Ethernet Controller.

1 unitLaptop Asus dengan spesifikasi : Processor Intel Core I3-2330M 2.2 GHz, RAM 2 GB, Display AMD Radeon HD 6730M 2GB, Sistem Operasi Windows 8.1 Pro

1.4. TUJUAN

Tujuan dari dilakukannya penelitian ini adalah untuk dapat mencegah serangan DoS pada IPv6 dan mengembalikan kinerja perangkat yang terkena serangan DoS IPv6.

1.5. MANFAAT

Adapun manfaat dari penelitian yang dilakukan ini diantaranya : Bagi penulis :

1. Meningkatkan pemahaman akan IPv6, 2. Meningkatkan pemahan akan serangan DoS.

Bagi Institusi :

1. Meningkatkan keamanan IPv6 terhadap serangan DoS, 2. Meningkatkan rasa aman dalam menggunakan IPv6.

Bagi Ilmu Pengetahuan :

1. Penelitian ini dapat dijadikan bahan acuan untuk melakukan penelitian – penelitian selanjutnya,

2. Penelitian ini dapat menciptakan sebuah metode pengamanan baru pada IPv6 terhadap serangan DoS.

1.6. Metodologi Penelitian

1.6.1 Metode Pengumpulan Data Studi Pustaka

Pada tahap ini penulis melakukan pengumpulan data dengan mempelajari berbagai macam literatur, jurnal dan dokumen yang dapat menunjang penelitian ini, khususnya yang berkaitan dengan keamanan jaringan, LAN, IPv6 dan DoS, mempelajari teori – teori dari buku, makalah, ataupun dari hasil penelitian yang berkaitan dan menyediakan informasi yang relevan dengan permasalahan dalam analisis keamanan pada IPv6 ini.

1.6.2 Metode Simulasi

Framework penelitian yang digunakan untuk penelitian ini adalah metode simulasi dengan membuat beberapa skenario yang mungkin terjadi pada kehidupan yang sebenarnya, agar mendapatkan hasil yang mendekati kondisi riil.

yang memiliki kerangka sebagai berikut : 1. Persiapan simulasi.

2. Pelaksanaan simulasi 3. Penutup simulasi

1.7. Sistematika Penulisan

Sistematika penyusunan skripsi berisi dasar teori, analisis, hasil penelitian, serta kesimpulan. Skripsi ini dibagi menjadi beberapa bab, yaitu:

BAB I PENDAHULUAN

Bab ini menjelaskan tentang latar belakang masalah, perumusan masalah, batasan masalah, tujuan penelitian dan sistematika penulisan.

BAB II LANDASAN TEORI

Bab ini disajikan bahasan mengenai konsep dan berbagai teori seperti : konsep dasar, sejarah, dan aturan IP v.6 ; konsep dasar jaringan khususnya jaringan LAN.

BAB III METODOLOGI PENELITIAN

Berisi tentang metode - metode yang penulis gunakan dalam menganalisis keamanan pada jaringan LAN berbasis IPv.6, seperti Metode Pengumpulan Data, Metode Analisis Data, Metode Analisis Keamanan

BAB IV HASIL DAN PEMBAHASAN

Bab ini berisi tentang langkah - langkah yang dilakukan dalam perancangan penelitian, hasil penelitian dan Dari data yang sudah dihasilkan akan dilakukan analisisuntuk mengetahui tingkat keamanan IPv6 terhadap serangan dari DoS.

BAB V KESIMPULAN DAN SARAN

Bab ini berisi tentang kesimpulan dan saran yang diharapkan dapat bermanfaat untuk pengembangan penelitian tentang keamanan jaringan.

9 BAB II

LANDASAN TEORI 2.1. IPv4

IPv4 adalah sebuah jenis pengalamatan jaringan yang menggunakan protokol Internet Protokol(IP) versi 4. IP versi ini memiliki keterbatasan yakni hanya mampu mengalamati sebanyak 4 miliar host komputer di seluruh dunia.

Contoh alamat IPv4 adalah 192.168.0.3. Pada IPv4 ada 5 jenis Kelas, tergantung dari besarnya bagian host, yaitu kelas A (bagian host sepanjang24 bit, IP address dapat diberikan pada 16,7 juta host), kelas B (bagian host sepanjang 16 bit = 65534host) kelas C (bagian host sepanjang 8 bit = 254 host ), Kelas D dan E yang dapat menampung sebanyak 32 host.

Gambar 2.1 Kelas dalam IPv4

( Sumber : Internet Protocol Journal Volume 9 No.3 by T. Sridhar, Flextronics )

10

Administrator jaringan dapat mengajukan permohonan jenis kelas berdasarkan skala jaringan yang dikelolanya. Konsep kelas ini memiliki keuntungan yaitu : pengelolaan rute informasi tidak memerlukan seluruh 32 bit tersebut, melainkan cukuphanya bagian jaringannya saja, sehingga besar informasi rute yang disimpan di router, menjadi kecil. Setelah alamat jaringan diperoleh, maka organisasi tersebut dapat secara bebas memberikan alamat bagian host pada masingmasing hostnya. Pemberian alamat dalam internet mengikuti format IP address (Request For Comment, RFC 1166). Alamat ini dinyatakan dengan 32 bit (bilangan 1 dan 0) yang dibagi atas 4 kelompok dimana setiap kelompok terdiri dari 8 bit atau oktet dan tiap kelompok dipisahkan oleh sebuah tanda titik. Untuk memudahkan pembacaan, penulisan alamat dilakukan dengan angka desimal, misalnya 100.3.1.100 yang jika dinyatakan dalam binary menjadi 01100100.00000011.00000001.01100100. Dari 32 bit ini berarti banyaknya jumlah maksimum alamatyang dapat dituliskan adalah 2 pangkat 32, atau 4.294.967.296 alamat. Format alamat ini terdiri dari 2 bagian, netid dan hostid. Netid sendiri menyatakan alamat jaringan sedangkan hostid menyatakan alamat lokal (host/router). Dari 32 bit ini, tidak boleh semuanya angka 0 atau 1 (0.0.0.0 digunakan untuk jaringan yang tidak dikenal dan 255.255.255.255 digunakan untuk broadcast). Dalam penerapannya, alamat internet ini diklasifikasikan ke dalam kelas (A-E).

Alasan klasifikasi ini antara lain :

1. Memudahkan sistem pengelolaan dan pengaturan alamat-alamat.

2. Memanfaatkan jumlah alamat yang ada secara optimum (tidak ada alamat yang terlewat).

3. Memudahkan pengorganisasian jaringan di seluruh dunia dengan membedakan jaringan tersebuttermasuk kategori besar, menengah, atau kecil.

4. Membedakan antara alamat untuk jaringan dan alamat untuk host/router.

2.2 Habisnya Alamat Ipv4

Internet, sebuah jaringan global yang menghubungkan banyak perangkat / host di seluruh dunia agar bisa saling berkomunikasi. Setidaknya ada tiga alamat yang diperlukan agar end device bisa berkomunikasi dengan end device lain yakni, port address, IP address dan Media Access Control ( MAC ) address. Host harus diberikan alamat IPv4 secara unik (tidak boleh sama satu dengan yang lainnya) sebagai kebutuhan dalam komunikasi dan isu tentang habisnya IPv4 yang kita pakai sekarang.

Gambar 2.2 IPv4 yang tersisa ( Sumber IANA.org )

Internet dikenalkan pertama kali oleh Advanced Research Project Agency (ARPA) dan selanjutnya dikembangkan dibawah Defense Advanced Research Project Agency (DARPA). Sekitar tahun 1969, ARPAnet merilis versi pertama dari Network Control Protokol(NCP).

Namun, 4 tahun kemudian sekitar tahun 1973 NCP dinyatakan tidak mampu lagi menangani trafik jaringan dengan berkembangnya penggunaan internet di universitas dan pengguna lainnya. Tahun itu pula diusulkan suksesor dari NCP yakni Transfer Control Protokol (TCP), sebuah protokol suite yang lebih mudah, lebih murah dan lebih cepat.

TCP diharapkan untuk independen terhadap platform jaringan dan hardware komputer agar memungkinkan beragam platform berkomunikasi dengan baik pada jaringan. Tahun 1981 TCP/IPv4 resmi distandarisasikan dan kemudian

menggantikan NCP dalam ARPAnet dua tahun berselang. Pada awal mula diperkenalkanya IPv4 sebagai pengalamtan internet, Tidak pernah terbayangkan sebelumnya kalau internet akan berkembang sepesat ini.

Gambar 2.3 Blok yang tersisa pada IANA 10 April 2010 ( Sumber IANA.org )

Protokol IPv4 memiliki panjang 32 bit yang dikonversikan dalam 4 dotted bilangan desimal. Artinya alamat IPv4 memiliki alamat IP sebanyak 4.294.967.296 lebih dari 4 milyar jumlah yang sangat banyak saat itu. Namun, seiring dengan pertumbuhan komputer dan perangkat lain yang membutuhkan alamat IP untuk berkomunikasi dalam jaringan lagi-lagi isu habisnya alokasi alamat IP membuat para ahli berfikir kembali mengenai keberlanjutan protokol ini. Untuk sekedar mengurangi cepat habisnya alokasi alamat IP ini, beragam teknik dilakukan yakni dengan membedakan adanya alamat IP Private dan alamat IP Publik, Subnetting,

Variable Lenght Subnet mask (VLSM) dan Network Address Translation (NAT).

Pertumbuhan yang sangat pesat membuat teknik-teknik tersebut tak mampu menahan habisnya alokasi IP address lebih lama, diramalkan tanggal 26 September 2011 IPv4 akan segera habis. ( http://inetcore.com/project/ipv4ec/index_en.html ).

habisnya ipv4 di level IANA jauh lebih cepat dari yang diperkirakan sebelumnya ,

 Tahun 2009 = diperkirakan IANA akan kehabisan IP pada pertengahan 2012,

 Tahun 2010 = diperkirakan IANA akan kehabisan IP pada pertengahan 2011,

 Namun ternyata IANA kehabisan blok IP yang dapat dialokasikan ke (Regional Internet Registry) RIR pada 3 februari 2011,

 APNIC tinggal memiliki 1 buah blok /8 pada 15 april 2011.

Ahli memang telah lama memperkirakan ini, dan isu ini memang bukanlah hal baru lagi meskipun tetap menarik menunggu detik-detik habisnya IPv4 dan membahas bagaimana proses migrasinya. Setidaknya 16 tahun lalu tepatnya 25 Juli 1994 ide tentang suksesor IPv4 telah ditawarkan oleh Ipng Area Directors dari Internet Engineering Task Force (IETF) dalam pertemuannya yang kemudian didokumentasikan dalam RFC 1752 yang disebut “The Recommendation for the IP Next Generation Protokol” yang kemudian menjadi cikal bakal dari suksesor IPv4 yakni IPv6 atau sering juga disebut Next Generation IP (IPng). Dari sisi panjangnya tidak tanggung-tanggung IPv6 memiliki panjang alamat 2 pangkat 128 atau

sebanyak 340.282.366.920.938.463.463.374.607.431.768.211.456. Jumlah yang sangat banyak hingga untuk mempermudah penulisan alamat IPv6 akan ditulis dengan bilangan heksadesimal.

Dengan adanya IPv6 diharapkan IP akan kembali menjadi tulang punggung internet dunia bahkan mungkin untuk jaringan lain seperti jaringan telekomunikasi dan televisi dengan terus dirilisnya beramacam jenis teknologi yang memungkinkan semuanya mengadaptasi IP sebagai protokol yang kemudian dikenal sebagai Next Generation Network (NGN).

2.3. IPv6

Alamat IP versi 6 (sering disebut sebagai alamat IPv6) adalah sebuah jenis pengalamatan jaringan yang digunakan di dalam protokol jaringan TCP/IP yangmenggunakan protokol IP versi 6. Panjang totalnya adalah 128-bit, dan secarateoritis dapat mengalamati hingga 2128=3,4 x 1038 host komputer

diseluruhdunia. Contoh alamat IP versi 6adalah

21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A. Pertumbuhan internet yang sangat cepat baik di segi pemakai internet di rumah, perkantoran, sekolah, instansi- instansi maupun perkembangan pesat perangkat telekomunikasi yang sudah mulai menggabungkan IP ke dalam teknologinya (convergence) di seluruh dunia telah menyebabkan alamat IPv4 dengan format 32bit binary yang sudah digunakan sejak

awal keberadaan internet, tidak bisa lagi menampung kebutuhan pengalamatan internet setelah jangka waktu 20 tahun kedepan atau bahkan lebih cepat dari itu.

Alamat IPv4 dengan pengalamatan 32 bit hanya bisa menampung kebutuhan 4,294,967,296. Bayangkan, penduduk dunia saat ini adalah 6,5 Milyar. Jika nantinya masing-masing punya satu komputer, 1 Laptop (mobile), 1 PDA, 2 Handphone (GSM &CDMA). Lalu setiap perangkat butuh 1 IP address untuk bisa saling berhubungan. Berapa jumlah IP yang dibutuhkan untuk misalkan 3 Milyard penduduk dunia (bahkan dari 4 milyard IP versi 4 ini tidak keseluruhan bisa dipakai (The Internet Engineering Task Force , IETF).

Kekurangan alamat IPv4 ini tentu saja akan membuat perkembangan internet khususnya komunikasi data akan menjadi terganggu karena tidak ada lagi IPv4 yang bisa dialokasikan untuk setiap komputer, perangkat lain yang akan terkoneksi baik ke internet maupun antar perangkat. Langkah antisipasi awal sebenarnya sudah dilakukan dengan teknologi NAT (Network Address Translation) yang bekerja dengan cara melakukan penterjemahan satu alamat IPv4 publik ke banyak IPv4 private. Sehingga satu alamat IPv4 publik bisa dipergunakan untuk banyak perangkat yang akan terkoneksi ke internet.

Teknologi ini sudah berkembang luas namun memiliki keterbatasan untuk interkoneksi antar jaringan yang cukup besar dan berbeda kebijakan pengalamatan, berikutnya kebutuhan gateway untuk penterjemahan alamat, serta keterbatasan pengembangan protokol internet terutama untuk aplikasi yang langsung terhubung

satu sama lain (peer-to-peer) seperti Peer-to-Peer Games dan Voice over Internet Protokol (VoIP) misalnya yang membutuhkan IPv4 publik untuk bisa bekerja dengan baik. Pada tahun 1992 IETF selaku komunitas terbuka internet membuka diskusi parapakar untuk mengatasi masalah ini dengan mencari format alamat IP generasi berikutnya setelah IPv4 (IPng, IP Next Generation) yang kemudian menghasilkan banyak RFC, yakni dokumen standar yang membahas protokol, program, prosedur serta konsep internet IPv6. Setelah melalui pembahasan yang panjang, pada tahun 1995 ditetapkan melalui RFC2460 alamat IPversi 6 sebagai IP generasi berikutnya (IPng) pengganti IP versi 4. IPv6 inimenggunakan format 128 bit binary sehingga bisa menampung kebutuhan 340,282,366,920,938,463,463,374,607,431,768,211,456 IPv6 Address.

Pengembangan IPv6 sampai saat ini sudah dilakukan oleh banyak pihak yang ada diseluruh dunia termasuk Service Provider, Internet Exchange Point, Internet Service Provider (ISP) regional, Militer serta Universitas. Untuk Indonesia sendiri sudah dialokasikan 17 prefix IPv6 untuk berbagai organisasi, mobile operator, IXP dan ISP. Dan berdasarkan data statistik dari badan pengembangan dan penyedia tunnel broker SixXS (www.sixxs.net) hingga saat iniyang aktif hanya 7 prefix dari 7 ISP (indo.net, Indosatnet serta CBN, pesatnet, NTT).

2.4. Perbedaan IPv4 dengan IPv6

Berbeda dengan IPv4 yang hanya memiliki panjang 32-bit (jumlah total alamat yang dapat dicapainya mencapai 4,294,967,296 alamat), alamat IPv6 memiliki panjang 128-bit. meskipun total alamat IPv4 mencapai 4 miliar, pada kenyataannya tidak sampai 4 miliar alamat, karena ada beberapa limitasi, sehingga implementasinya saat ini hanya mencapai beberapa ratus juta saja.

IPv6, yang memiliki panjang 128-bit, memiliki total alamat yang mungkin hingga 2128=3,4 x1038 alamat. Total alamat yang sangat besar ini bertujuan untuk menyediakan ruang alamat yang tidak akan habis (hingga beberapa masa ke depan), dan membentuk infrastruktur routing yang disusun secara hierarki, sehingga mengurangi kompleksitas proses routing dan tabel routing. Sama seperti halnya IPv4, IPv6 juga mengizinkan adanya Dynamic Host Configuration Protokol (DHCP) Server sebagai pengatur alamat otomatis.

2.4.1. Struktur pengalamatan

 IPv4

Pengalamatan IPv4 menggunakan 32 bit yang setiap bit dipisahkan dengan notasi titik. Notasi pengalamatan IPv4 adalah sebagai berikut:

XXXXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX. dimana setiap simbol X digantikan dengan kombinasi bit 0 dan 1, contoh : 10000010.11001000.01000000.00000001 (dalam angka biner).

Cara penulisan lain agar mudah diingat adalah dengan bentuk 4 desimal yang dipisahkan dengan titik. misal untuk alamat dengan kombinasi biner seperti diatas dapat dituliskan sebagai 130.200.127.254

 IPv6

Tidak seperti pada IPv4 yang menggunakan notasi alamat sejumlah 32 bit, IPv6 menggunakan 128 bit. Notasi alamat IPv6 adalah sebagai berikut:

X:X:X:X:X:X:X:X dalam bentuk biner ditulis sebagai berikut:

1111111001111000:0010001101000100:1011111001000001:10111100110110 10:0100000101000101:0000000000000000:0000000000000000:00111010000 00000

Agar lebih mudah diingat, setiap simbol X digantikan dengan kombinasi 4 bilangan heksadesimal dipisahkan dengan simbol titik dua [:]. untuk contoh diatas dapat ditulis menjadi FE78:2344:BE43:BCDA:4145:0:0:3A.

Sistem pengalamatan IPv6 dapat disederhanakan jika terdapat berturut-turut beberapa angka "0". contohnya untuk notasi seperti diatas dapat ditulis:

FE78:2344:BE43:BCDA:4145:0:0:3A menjadi

FE78:2344:BE43:BCDA:4145::3A 2.4.2. Sistem pengalamatan

 IPv4

Sistem pengalamatan IPv4 dibagi menjadi 5 kelas, berdasarkan jumlah host yang dapat dialokasikan, yaitu :

Kelas A : range 1-126 Kelas B : range 128-191 kelas C : range 192-223 kelas D : range 224-247 kelas E : range 248-255

Selain itu pada IPv4 dikenal istilah subnet mask yaitu angka biner 32 bit yang digunakan untuk membedakan network ID dan host ID, menunjukkan letak suatu host berada dalam satu jaringan atau berbeda jaringan.

 IPv6

Pada IPv6 tidak dikenal istilah pengkelasan, hanya IPv6 menyediakan 3 jenis pengalamatan yaitu: Unicast, Anycast dan Multicast. alamat unicast yaitu alamat yang menunjuk pada sebuah alamat antarmuka atau host, digunakan untuk komunikasi satu lawan satu. Alamat unicast dibagi 3 jenis lagi yaitu: alamat link local, alamat site local dan alamat global. Alamat link lokal adalah alamat yang digunakan di dalam satu link yaitu jaringan lokal yang saling tersambung dalam satu level. sedangkan alamat Site local setara dengan alamat privat, yang dipakai terbatas di dalam satu site sehingga terbatas penggunaannya hanya didalam satu site sehingga tidak dapat digunakan untuk mengirimkan alamat diluar site ini.

Alamat global adalah alamat yang dipakai misalnya untuk Internet Service Provider. Alamat anycast adalah alamat yang menunjukkan beberapa interface (biasanya node yang berbeda). paket yang dikirimkan ke alamat ini akan

dikirimkan ke salahsatu alamat antarmuka yang paling dekat dengan router.

alamat anycast tidak mempunyai alokasi khusus, karena jika beberapa node/interface diberikan prefix yang sama maka alamat tersebut sudah merupakan alamat anycast.

Alamat multicast adalah alamat yang menunjukkan beberapa interface (biasanya untuk node yang berbeda). Paket yang dikirimkan ke alamat ini maka akan dikirimkan ke semua interface yang ditunjukkan oleh alamat ini. alamat multicast ini didesain untuk menggantikan alamat broadcast pada IPv4 yang banyak mengkonsumsi bandwidth.

Tabel 2.1 alokasi alamat IPv6

Alokasi Binary Prefix Contoh 16 bit pertama

Global unicast 001 2XXX atau 3XXX

link local 1111 1110 10 FE8X - FEBx site local 1111 1110 11 FECx - FEFx Multicast 1111 1111 FFxx

Jika dalam IPv4 terdapat dynamic address dan static address, maka dalam IPv6, konfigurasi alamat dengan menggunakan DHCP Server dinamakan dengan stateful address configuration, sementara jika konfigurasi alamat IPv6 tanpa DHCP Server dinamakan dengan stateless address configuration. Seperti halnya IPv4 yang menggunakan bit-bit pada tingkat tinggi (high-order bit) sebagai

alamat jaringan sementara bit-bit pada tingkat rendah (low-order bit) sebagai alamat host, dalam IPv6 juga terjadi hal serupa. Dalam IPv6, bit-bit pada tingkat tinggi akan digunakan sebagai tanda pengenal jenis alamat IPv6, yang disebut dengan Format Prefix (FP). Dalam IPv6, tidak ada subnet mask, yang ada hanyalah Format Prefix.

2.5. Format Prefix IPv6

Dalam IPv4, sebuah alamat dalam notasi dotted-decimal, format dapat direpresentasikan dengan menggunakan angka prefiks yang merujuk kepada subnet mask. IPv6 juga memiliki angka prefiks, tapi tidak digunakan untuk merujuk kepada subnet mask, karena memang IPv6 tidak mendukung subnet mask.

Prefiks adalah sebuah bagian dari alamat IP, di mana bit-bit memiliki nilai- nilai yang tetap atau bit-bit tersebut merupakan bagian dari sebuah rute atau subnet identifier. Prefiks dalam IPv6 direpesentasikan dengan cara yang sama sepertihalnya prefiks alamat IPv4, yaitu [alamat]/[angka panjang prefiks]. Panjang prefix menentukan jumlah bit terbesar paling kiri yang membuat prefiks subnet.

Sebagai contoh, prefiks sebuah alamat IPv6 dapat direpresentasikan sebagai berikut:

3FFE:2900:D005:F28B::/64

2. 6. Format Alamat IPv6

Dalam IPv6, alamat 128-bit akan dibagi ke dalam 8 blok berukuran 16-bit, yang dapat dikonversikan ke dalam bilangan heksadesimal berukuran 4-digit. Setiap blok bilangan heksadesimal tersebut akan dipisahkan dengan tanda titik dua (:).

Karenanya, format notasi yang digunakan oleh IPv6 juga sering disebut dengancolon-hexadecimal format, berbeda dengan IPv4 yang menggunakan dotted- decimal format.Berikut ini adalah contoh alamat IPv6 dalam bentuk bilangan biner :00100001110110100000000011010011000000000000000000101111001110 110000001010101010000000001111111111111110001010001001110001011010 Untuk menerjemahkannya ke dalam bentuk notasi colon-hexadecimal format,angka- angka biner di atas harus dibagi ke dalam 8 buah blok berukuran 16-bit : 0010000111011010 0000000011010011 0000000000000000 0010111100111011 0000001010101010 0000000011111111 1111111000101000 1001110001011010 Lalu, setiap blok berukuran 16-bit tersebut harus dikonversikan ke dalam bilangan heksadesimal dan setiap bilangan heksadesimal tersebut dipisahkan denganmenggunakan tanda titik dua. Hasil konversinya adalah sebagai berikut : 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A.

Paket IPv6 terdiri dari komponen berikut : 1. Header IPv6

Header IPv6 ini akan selalu ada dengan ukuran yang tetap yaitu 40 bytes.

Header ini merupakan penyederhanaan dari header IPv4 dengan

menghilangkan bagian yang tidak diperlukan atau jarang digunakan dan menambahkan bagian yang menyediakan dukungan yang lebih bagus untuk komunikasi masa depan yang sebagian besar adalah trafik real-time.

Beberapa perbandingan kunci dari header IPv4 dan IPv6 :

a) Jumlah header field berkurang dari 12 (termasuk option) pada header IPv4 menjadi 8 pada header IPv6.

b) Jumlah header field yang harus diproses oleh router antara (intermediate router) turun dari 6 menjadi 4 yang membuat proses forwarding paket IPv6 normal menjadi lebih efisien.

c) Header field yang jarang terpakai seperti fields supporting fragmentation dan opsi pada header IPv4 dipindahkan ke extensionheader IPv6.

d) Ukuran header IPv6 memang bertambah dua kalinya, yaitu dari 20 bytes pada header minimum IPv4 menjadi tetap sebesar 40 bytes. Namun keuntungannya adalah header untuk pengalamatan menjadi 4 kali lebih panjang dari IPv4 (dari 32 menjadi 128 bit) yang menyebabkan tersedianya jumlah alamat yang jauh lebih besar.

2. Extension headers

Header dan extensionheader pada IPv6 ini menggantikan header dan option pada IPv4. Tidak seperti opsi pada IPv4, extensionheaders IPv6 tidak memiliki ukuran maksimum dan dapat diperluas untuk melayani kebutuhan

komunikasi data di IPv6. Jika pada header IPv4 semua opsi akan dicek dan diproses jika ada maka pada extensionheaders IPv6 hanya ada satu yang harus diproses yaitu Hop-by-Hop Options. Hal ini akan meningkatkan kecepatan pemrosesan header IPv6 dan meningkatkan kinerja forwarding paket IPv6.

Extensionheader yang harus didukung oleh setiap titik IPv6 yaitu : - Hop-by-Hop Options header

- Destination Options header - Routing header

- Fragmentheader - Authenticationheader

- Encapsulating Security Payload header

3. Protokol Data Unit (PDU) dari layer yang lebih tinggi (upper layer) Protokol Data Unit (PDU) layer yang lebih tinggi pada dasarnya terdiri dari header protokol layer yang lebih tinggi dan payload yang terkandung di dalamnya misalnya saja TCP, UDP atau ICMPv6.

2.7. Keamanan pada IPv6

Internet Protocol Security (IPsec) adalah sebuah protocol untuk mengamankan komunikasi IP dengan mengautentifikasi dan meng-enkripsi setiap paket data IP dari setiap komunikasi. Layanan keamanan pada IPsec telah diperkenalkan oleh 2 buah dedicated extension header :

Authentication Header (AH) dan Encrypted Security Payload (ESP), dengan kemampuan masingmasing yang saling melengkapi satu sama lain. Header AH dirancang untuk memastikan keabsahan dan keutuhan dari Paket IP, juga melindungi dari dua serangan yaitu modifikasi yang ilegal dari fixed field dan packet spoofing.

Sedangkan Header ESP membuat enkapsulasi data dengan enkripsi, untuk memastikan bahwa titik penerima saja yang dapat membaca payload yang dibuat oleh Paket IP. Kedua buah header ini dapat digunakan bersama-sama untuk untuk membuat sistem keamanan yang lebih tangguh.

Baik Header AH dan ESP menggunakan konsep dari keamanan Security Association (SA), sehingga baik pengirim dan penerima menggunakan standar algoritma yang sama. Pada umumnya tiap titik IPv6 mengolah sebuah rangkaian dari SA untuk setiap komunikasi aman yang sedang aktif.

Security Parameter Index (SPI), adalah sebuah parameter yang mengandung kedua buah unsur header AH dan ESP, dan menetapkan SA mana yang harus digunakan didalam decrypting dan authenticating dari paket.

Dalam transmisi unicast , SPI biasa dipilih oleh titik penerima dan mengirimkan kembali ke titik pengirim ketika komunikasi terjalin. Dalam transmisi multicast, SPI harus dipakai oleh setiap anggota dari kelompok multicast. Tiap titik harus sanggup untuk mengenali SA yang benar dengan mengkombinasikan SPI dengan alamat multicast. Negosiasi dari sebuah SA (dan SPI yang berhubungan) adalah bagian yang integral dari protokol untuk menukar kunci keamanan.

2.7.1. Authentication Header (AH)

Authentication Header adalah salah satu extension header yang umum yang di definisikan untuk IPv6. AH dinyatakan oleh nilai 51 pada daerah Next Header dari previous header. AH dimasukkan diantara header IPv6 dan upper level payload, seperti dilihat pada gambar 2.4.

Format dari header AH (diperlihatkan pada gambar 2.5) adalah sangat sederhana. AH tersusun dari sebuah 64 bit fixed part yang mengikuti oleh sebuah nilai variabel dari 32 bit block. Fixed Part tersebut terdiri dari :

 Nilai tipe berikutnya dari payload di dalam daisy chain dari header (8 bit)

 Panjang payload dimana panjang keseluruhan dari authentication data diwujudkan sebagai kelipatan dari 32 bit words (8 bit)

 Sebuah daerah reserved. (16 bits)

 SPI yang digunakan oleh header ini (32 bits)

Bagian variabel dari header AH dibuat sebuah nilai variabel yang terdiri dari 32 bit block, mengandung actual authentication data. Panjang payload terdiri 8 bit. Tetapi panjang header ini juga tergantung dari algoritman authentikasi yang digunakan.

2.7.2. Teknik Autentikasi

Integritas data didalam system telekomunikasi biasanya dipastikan oleh sistem komputasi dan diperiksa oleh nilai dari fungsi yang pantas dari data, seringkali dinamakan Message Digest (MD).

Gambar 2.4 Contoh Penggunaan Header AH ( Sumber : Layanan Keamanan Pada Ipv6 oleh Ibnu Sena )

Gambar 2.5 Struktur dari header AH

( Sumber : Layanan Keamanan Pada Ipv6 oleh Ibnu Sena )

Fungsi ini sangat efektif pada saat melakukan tugas mereka, ketika data yang termodifikasi tersebut disebatkan oleh random errors. Tetapi fungsi ini sama sekali tidak cukup untuk memproteksi paket yang mengalami modifikasi yang disengaja. Dalam kasus ini ada kesepakatan tentang proteksi yang dapat memastikan hanya algoritma MD5 atau SHA yang lebih baik. Kita harus memberikan catatan bahwa integritas data tanpa autentikasi yang asli adalah samasekali tidak berguna. Oleh karena itu, algoritma digest secara normal digunakan sebagai cara untuk memasukkan parameter yang dapat dibuat untuk melindungi identitas pengirim secara serentak. Kadang-kadang cara ini disediakan oleh algoritma enkripsi public key; sayangnya, proses komputasinya lebih berat daripada algortma digest. Karena kecepatan merupakan sesuatu yang sangat penting didalam jaringan komputer, maka teknik autentikasi yang standar yang dipilih untuk IPSEC adalah sederhana dinamakan dengan keyed MD5. Jelasnya, teknik tersebut memanggil untuk mengkomputasi MD5 digest pada data yang akan diproteksi, diproses dan diikutkan oleh sebuah key (yang terdiri atas sederetan bit yang rahasia).

2.7.3. Encrypted Security Payload (ESP)

Encrypted Security Payload adalah salah satu extension header yang umum yang di definisikan untuk IPv6. Ketika digunakan blok ini harus selalu diletakkan pada urutan kedua terakhir pada rantai header, karena seluruhnya tersembunyi dari upper level payload dan dari semua next header.

Header ESP sendiri terdiri atas sebuah bilangan integer dari 32 bit Block. Pada bagian pertama mengandung SPI yang memilih SA yang akan digunakan untuk mendeskripsikan semua blok pada paket.

Gambar 2.6 Paket IPv6 dengan sebuah header ESP ( Sumber : Layanan Keamanan Pada Ipv6 oleh Ibnu Sena )

Gambar 2.7 Struktur dari sebuah header ESP ( Sumber : Layanan Keamanan Pada Ipv6 oleh Ibnu Sena )

2.8. IPv6 Autoconfiguration

2.8.1. Stateful Autoconfiguration

Kedua jenis autoconfiguration adalah "stateless" dan "stateful."

Autoconfiguration Stateful adalah IPv6 dalam DHCP secara penuh. Sebuah protokol baru, yang disebut DHCPv6 (yang didasarkan dari DHCP), digunakan untuk menangani dan memberi layanan informasi dengan cara yang sama seperti DHCP yang digunakan dalam IPv4. Ini disebut "stateful"

karena server DHCP dan klien harus sama - sama menjaga informasinya untuk menjaga alamat dari konflik, untuk menangani koneksi, dan memperbaharui alamat dari waktu ke waktu.

2.8.2. Stateless Autoconfiguration

Jenis lain dari autoconfiguration di IPv6 adalah Stateless Autoconfiguration. Dengan Stateless Autoconfiguration, host mendapatkan alamat melalui antarmuka otomatis pengalamatan dan tidak memerlukan pembentukan sebuah server untuk mendapatkan alamat. Stateless autoconfiguration memungkinkan host untuk mengusulkan alamat yang mungkin akan menjadi unik (berdasarkan awalan jaringan dan yang alamat Ethernet MAC) dan mengusulkan penggunaannya pada jaringan. Karena tidak ada server harus menyetujui penggunaan alamat, atau mengusulkan sebuah alamat, stateless autoconfiguration ini lebih sederhana. Ini adalah

mode default untuk kebanyakan sistem operasi yang mendukung IPv6, termasuk server.

2.9. Serangan Yang Kerap Terjadi Pada Sebuah Jaringan 2.9.1. Accidental association

Akses tidak sah ke wireless perusahaan dan jaringan kabel dapat berasal dari sejumlah metode dan maksud yang berbeda. Salah satu metode ini disebut sebagai "asosiasi yang tidak sah (accidental association)". Ketika pengguna menyalakan komputer dan terhubung ke sebuah jalur akses nirkabel dari jaringan perusahaan tetangga yang sinyalnya sampai kepada mereka, pengguna dapat bahkan tidak tahu bahwa hal ini terjadi. Namun, itu adalah pelanggaran keamanan dalam informasi perusahaan milik terkena dan sekarang ada bisa ada link dari satu perusahaan yang lain. Hal ini terutama berlaku jika laptop ini juga tersambung ke kabel jaringan.

2.9.2. Malicious association

"Asosiasi berbahaya" adalah ketika perangkat nirkabel dapat diaktifkan oleh cracker untuk terhubung ke jaringan perusahaan melalui laptop peretas mereka dan bukan merupakan access point (AP) perusahaan.

Access point yang melakukan hal ini dikenal sebagai "soft AP" dan dibuat ketika cracker menjalankan beberapa perangkat lunak yang jaringan kartu nirkabel nya seperti jalur akses yang sah. Setelah cracker telah memperoleh akses, dia bisa mencuri password, memulai serangan pada jaringan kabel,

atau trojan. Karena jaringan nirkabel beroperasi pada Layer 2, perlindungan pada layer 3 seperti otentikasi jaringan dan Virtual Private Network (VPN) tidak dapat ditawarkan sebagai penghalang. Kemungkinan besar cracker hanya mencoba untuk mengambil alih klien pada tingkat layer 2.

2.9.3. Ad-hoc Networks

Jaringan Ad-hoc dapat menimbulkan ancaman keamanan. Jaringan Ad-hoc didefinisikan sebagai jaringan peer-topeer antara komputer nirkabel yang tidak memiliki titik akses di antara mereka. Sementara jenis jaringan biasanya memiliki sedikit perlindungan, metode enkripsi dapat digunakan untuk menyediakan keamanan.

2.9.4. Non-Traditional Network

Jaringan Non-traditional seperti perangkat Bluetooth, jaringan pribadi yang tidak aman dari cracker dan harus dianggap sebagai risiko keamanan.

Bahkan barcode pembaca, PDA genggam, dan printer nirkabel dan mesin fotokopi harus diamankan. Jaringan nontradisional ini dapat dengan mudah diabaikan oleh personil IT yang memiliki kefokusan yang relatif sempit pada laptop dan jalur akses saja.

2.9.5. Identity Theft (MAC Spoofing)

Pencurian identitas (atau MAC spoofing) terjadi ketika seorang cracker mampu mendengarkan pada jaringan lalu lintas dan mengidentifikasi alamat MAC dari komputer yg memiliki hak jaringan. Kebanyakan sistem

nirkabel memungkinkan beberapa jenis MAC filtering untuk memungkinkan wewenang komputer dengan ID MAC tertentu yang mendapatkan akses dan memanfaatkan jaringan. Namun, Sejumlah program jaringan yang telah ada memiliki kemampuan "mengendus". mengkombinasikan program dengan perangkat lunak lain yang memungkinkan komputer untuk berpura-pura memiliki alamat MAC yang memungkinkan ia dapat melewati pertahanan terhadap MAC filtering.

2.9.6. Man-in-the-middle

Seorang Man-in-the-middle membujuk penyerang komputer untuk login ke komputer yang diatur sebagai Access Point palsu. Setelah ini dilakukan, hacker terhubung ke akses nyata titik melalui kartu nirkabel lain menawarkan aliran lalu lintas melalui komputer hacking transparan miliknya ke jaringan nyata. Sehingga Hacker kemudian dapat mengendus lalu lintas.

Salah satu jenis serangan man-in-the-middle bergantung pada kesalahan keamanan di tantangan dan protokol handshakes untuk mengeksekusi "de- otentikasi serangan".

Serangan ini memaksa komputer yang terkoneksi dengan AP untuk menjatuhkan hubungan mereka dan berhubungan kembali dengan AP palsu milik cracker. Serangan Man-in-the-middle yang ditingkatkan oleh software seperti LAN dan jack AirJack, yang mengotomatisasi beberapa langkah dari proses. Apa yang awalnya diperlukan beberapa keterampilan khusus kini

dapat dilakukan oleh script kelas anak-anak. Hotspot sangat rentan terhadap serangan apapun karena ada sedikit atau tidak ada keamanan pada jaringan ini.

2.9.7. Network Injection

Dalam sebuah serangan injeksi jaringan, cracker dapat menggunakan jalur akses yang tidak disaring lalu lintas jaringannya, khususnya broadcast lalu lintas jaringan tersebut sebagai "Spanning Tree". Cracker menyuntikkan jaringan palsu perintah re-konfigurasi yang mempengaruhi router, switch, dan hub. Sebuah jaringan keseluruhan dapat diturunkan dengan cara ini dan memerlukan reboot atau bahkan reprogramming dari semua perangkat jaringan cerdas.

2.9.8. Caffe Latte attack

Serangan Caffe Latte adalah cara lain untuk mengalahkan Wired Equivalent Privacy (WEP). Tidak diperlukan untuk penyerang berada di cangkupan jaringan wireless, karena memang dmemungkinkan untuk mendapatkan kunci WEP dari romote client.. Dengan mengirimkan banjir permintaan ARP dienkripsi, penyerang mengambil keuntungan dari otentikasi kunci bersama dan kelemahan modifikasi pesan 802,11 WEP.

penyerang menggunakan tanggapan ARP untuk mendapatkan kunci WEP dalam waktu kurang dari 6 menit.

2.9.9. Denial of Service (DoS)

Sebuah serangan Denial-of-Service (DoS) terjadi ketika seorang penyerang terus membombardir sebuah Access Point atau jaringan dengan permintaan palsu, pengiriman sukses, pesan sambungan, pesan kegagalan, dan / atau perintah lainnya. Menyebabkan pengguna sah untuk tidak bisa mendapatkan hubungan pada jaringan dan bahkan dapat menyebabkan jaringan crash. Serangan-serangan ini bergantung pada penyalahgunaan protokol seperti Extensible Authentication Protokol (EAP).

2.9.9.1. Pengertian Dan Sejarah Dos

Serangan DoS (denial-of-service attacks) adalah seranganuntukmembuat serveratausumber daya jaringantidak tersedia untukpengguna, biasanya dengansementaramengganggu ataumenangguhkanlayanan darisebuah hostterhubung ke Internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang Ț ersebut.

Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut : 1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu

lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.

2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.

3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.

Bentuk serangan Denial of Service awal adalah serangan SYN Flooding Attack, yang pertama kali muncul pada tahun 1996 dan mengeksploitasi terhadap kelemahan yang terdapat di dalam protokol Transmission Control Protokol (TCP). Serangan-serangan lainnya akhirnya dikembangkan untuk mengeksploitasi kelemahan yang terdapat di dalam sistem operasi, layanan jaringan atau aplikasi untuk

menjadikan sistem, layanan jaringan, atau aplikasi tersebut tidak dapat melayani pengguna, atau bahkan mengalami crash.

Beberapa tool yang digunakan untuk melakukan serangan DoS pun banyak dikembangkan setelah itu, bahkan beberapa tool dapat diperoleh secara bebas, termasuk di antaranya Bonk, LAND, Smurf, Snork, WinNuke, dan Teardrop.

Meskipun demikian, serangan terhadap TCP merupakan serangan DoS yang sering dilakukan. Hal ini disebabkan karena jenis serangan lainnya seperti halnya memenuhi ruangan hard disk dalam sistem, mengunci salah seorang akun pengguna yang valid, atau memodifikasi tabel routing dalam sebuah router membutuhkan penetrasi jaringan terlebih dahulu, yang kemungkinan penetrasinya kecil, apalagi jika sistem jaringan tersebut telah diperkuat.

2.9.9.2. Jenis Serangan DoS

Jenis yang paling umum dari serangan DoS adalah membanjiri sumber daya (resource) sasaran dengan permintaan komunikasi eksternal. Kelebihan permintaan ini dapat mencegah resource yang ada untuk merespon lalu lintas yang sebenarnya, atau memperlambat respon begitu signifikan yang mengakibatkan layanan yang diberikan tidak tersedia secara efektif.

Sumber daya (resource) yang ditargetkan dalam serangan DoS dapat menjadi komputer tertentu, port atau layanan pada sistem target, seluruh jaringan, atau komponen jaringan sistem. Serangan DoS juga dapat menargetkan komunikasi manusia dengan sistem ( misalnya menonaktifkan alarm atau printer ), atau antara manusia - sistem ( misalnya menonaktifkan telepon teknisi penting atau laptop ) .

Serangan DoS juga dapat menargetkan sumber daya nyata sistem, seperti sumber daya komputasi ( bandwidth, disk space , processor time ), informasi konfigurasi ( informasi routing , dll); sumber informasi ( misalnya , TCP tereset sendiri ). Selain itu, serangan DoS dapat dirancang untuk : mengeksekusi malware yang dapat membuat prosesor menjadi 100% terpakai, mencegah penggunaan , kesalahan urutan dalam mesin microcode atau urutan instruksi, memaksa komputer berada dalam kondisi tidak stabil, mengeksploitasi kerentanan sistem operasi dan merusak sistem operasi keseluruhan secara bersama-sama.

2.9.9.3. Sumber Serangan DoS

Serangan DoS cukup murah, dan sulit untuk dilawan tanpa tool yang tepat. Hal ini membuat mereka sangat populer bahkan untuk orang-orang dengan pengetahuan teknis. Bahkan, layanan DoS yang ditawarkan pada beberapa situs web mulai dari $ 50. Layanan ini telah terus berkembang dan menjadi lebih canggih, dan secara efektif dapat

memanfaatkan kerentanan aplikasi dan menghindari deteksi oleh firewall.

Asal serangan DoS sebagian besar berasal dari orang-orang dengan dendam atau keluhan terhadap situs web atau perusahaan, pesaing ingin meningkatkan pangsa pasar dengan merusak ketersediaan web komersial, atau unsur-unsur kriminal yang sistematis memeras pemilik situs web dengan memegang aset nya sebagai tebusan.

2.9.10. DDoS

2.9.10.1. Pengertian Dan Sejarah DDoS

Tidak seperti serangan Denial of Service (DoS), di mana satu komputer dan satu koneksi internet digunakan untuk membanjiri sumber daya (resource) yang ditargetkan dengan paket, serangan DDoS menggunakan banyak komputer dan banyak koneksi Internet, yang dilancarkan secara global dalam hal ini sering juga disebut sebagai botnet.

Serangan DDoS pertama kali muncul pada tahun 1999, tiga tahun setelah serangan Denial of Service yang klasik muncul, dengan menggunakan serangan SYN Flooding, yang mengakibatkan beberapa server web di Internet mengalami "downtime". Pada awal Februari 2000, sebuah serangan yang besar dilakukan sehingga beberapa situs web terkenal seperti Amazon, CNN, eBay, dan Yahoo! mengalami

"downtime" selama beberapa jam. Serangan juga pernah dilancarkan pada bulan Oktober 2002 ketika 9 dari 13 root DNS Server diserang dengan menggunakan DDOS yang sangat besar yang disebut dengan

"Ping Flood". Pada puncak serangan, beberapa server tersebut pada tiap detiknya mendapatkan lebih dari 150.000 request paket Internet Control Message Protokol (ICMP). Untungnya, karena serangan hanya dilakukan selama setengah jam saja, lalu lintas internet pun tidak terlalu terpengaruh dengan serangan tersebut.

2.9.10.2. Jenis Serangan DDoS

Serangan Volume Based - termasuk membanjiri dengan UDP, ICMP, dan membanjiri dengan paket palsu lainnya. Tujuan serangannya adalah untuk memenuhi bandwidth situs yang diserang, dan besarnya diukur dalam bit per detik (bps).

Serangan protokol - termasuk membanjiri dengan SYN, serangan paket terfragment, Ping of Death, Smurf DDoS, dan banyak lagi. Jenis serangan ini dapat melumpuhkan sumber daya perangkat keras setara dengan server, berikut aplikasi pendukungnya, seperti firewall dan load balancers, dan diukur dalam Paket per detik.

Serangan Application Layer - termasuk Slowloris, Zero-day DDoS, serangan DDoS yang menargetkan kerentanan Apache, Windows atau OpenBSD dan banyak lagi. Serangan ini terdiri dari permintaan yang

tampaknya baik dan tidak bermasalah, tujuan dari serangan ini adalah untuk membuat crash server web, dan besarnya diukur dalam Permintaan per detik.

Secara Spesifik DDoS dibagi dalam beberapa jenis, yaitu :

1. UDP Flood - Serangan DDoS ini memanfaatkan User Datagram Protokol (UDP), sebuah protokol jaringan sessionless. Jenis serangan ini membanjiri port secara acak pada remote host dengan berbagai paket UDP, menyebabkan target berulang kali memeriksa aplikasi yang tersambung di port itu, dan (bila tidak ada aplikasi yang ditemukan) maka akan membalas dengan paket ICMP Unreachable Tujuan. Proses ini menguras sumber daya target, dan akhirnya dapat menyebabkan tidak dapat diakses.

2. ICMP Flood - Secara prinsip mirip dengan serangan UDP flood, ICMP flood menguasai sumber daya sasaran dengan paket ICMP Echo Request, umumnya mengirimkan paket secepat mungkin tanpa menunggu balasan. Jenis serangan dapat mengkonsumsi bandwidth yang keluar dan masuk target, karena server korban akan terus mencoba untuk merespon dengan paket ICMP Echo, sehingga secara keseluruhan dapat memperlambat sistem secara signifikan.

3. SYN Flood - Serangan SYN flood DDoS mengeksploitasi kelemahan yang dikenal dalam urutan koneksi TCP ("three-way handshake"),

dimana permintaan SYN untuk memulai koneksi TCP dengan host harus dijawab oleh respon SYN-ACK dari host tersebut, dan kemudian dikonfirmasi oleh respon ACK dari pemohon. Dalam skenario SYN flood, pemohon mengirimkan beberapa permintaan SYN, tapi tidak merespon respon dari SYN-ACK host, atau mengirimkan permintaan SYN dari alamat IP palsu. Dengan begitu, sistem host terus menunggu respon untuk setiap permintaan, memakai sumber daya yang ada sampai tidak ada koneksi baru yang dapat dibuat, dan akhirnya mengakibatkan denial of service.

4. Ping Of Death - Ping of Death ("POD") adalah serangan yang melibatkan penyerang yang mengirimkan beberapa ping mencurigakan atau berbahaya ke komputer target. Panjang maksimum paket IP dari sebuah paket (termasuk kepala) adalah 65.535 bytes. Namun, Data Link Layer biasanya mempunyai batas-batas ukuran frame maksimum - misalnya 1500 byte melalui jaringan Ethernet. Dalam hal ini, IP paket besar dibagi di beberapa paket IP (dikenal sebagai fragmen), dan host penerima menyusun fragmen IP tersebut menjadi sebuah paket lengkap. Dalam skenario Ping of Death, setelah memanipulasi konten fragmen yang berbahaya, penerima berakhir dengan sebuah paket IP yang lebih besar dari 65.535 bytes ketika disatukan kembali. Hal ini dapat mengakibatkan meluapnya buffer memori yang dialokasikan

untuk paket, menyebabkan penolakan layanan untuk paket yang sebenarnya.

5. Slowloris - sangat berbahaya untuk host yang menjalankan Apache, dhttpd, Tomcat dan GoAhead WebServer, Slowloris adalah serangan yang bertarget, memungkinkan satu server web untuk mencatat server lain, tanpa mempengaruhi layanan lain atau port pada jaringan target.

Slowloris melakukan hal ini dengan memegang banyak koneksi ke server web target yang terbuka untuk selama mungkin. Ia melakukan hal ini dengan membuat koneksi ke server target, tetapi hanya mengirimkan sebagian permintaan. Slowloris terus mengirimkan header HTTP, tetapi tidak pernah menyelesaikan permintaan. Server target terus menyimpan masing-masing koneksi palsu yang terbuka.

Ini akhirnya dapat meluapkan pool koneksi, dan menyebabkan penolakan koneksi tambahan dari klien yang sebenarnya.

6. Zero Day DDoS - "Zero-day" adalah seranganbaru ataubelum diketahui, mengeksploitasikerentananyangada padapatchyang belumdirilis. Istilah inidigunakan oleh komunitas hackerterkenal, dan perdagangankerentanan Zero-dayyang dapat digunakandalam serangantelah menjadikegiatan yang populer.

2.10. Open System Interconnection (OSI) Layer 2.10.1. Pengertian

Protokol OSI merupakan salah satu protokol standar yang distandarkan pada model yang diusulkan oleh ISO ( International Organization for Standardization ) (Susanto, 2005:524)

Masalah utama dalam komunikasi antar komputer dari vendor yang berbeda adalah karena mereka mengunakan protokol dan format data yang berbeda-beda. Untuk mengatasi ini, (ISO) membuat suatu arsitektur komunikasi yang dikenal sebagai Open System Interconnection (OSI) model yang mendefinisikan standar untuk menghubungkan komputer-komputer dari vendor-vendor yang berbeda.

Model-OSI tersebut terbagi atas 7 layer, dan layer kedua juga memiliki sejumlah sub-layer (dibagi oleh Institute of Electrical and Electronic Engineers (IEEE)). Perhatikan gambar 2.8.