ANALISIS DAN IMPLEMENTASI HONEYD SEBAGAI LOW- INTERACTION HONEYPOT DALAM MENINGKATKAN

SISTEM KEAMANAN JARINGAN

TESIS

ABDUL MUIN NASUTION 167038026

PROGRAM STUDI S2 TEKNIK INFORMATIKA

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI UNIVERSITAS SUMATERA UTARA

MEDAN

2021

SISTEM KEAMANAN JARINGAN

TESIS

Diajukan untuk melengkapi tugas dan memenuhi syarat memperoleh ijazah Magister Teknik Informatika

ABDUL MUIN NASUTION 167038026

PROGRAM STUDI S2 TEKNIK INFORMATIKA

FAKULTAS ILMU KOMPUTER DAN TEKNOLOGI INFORMASI UNIVERSITAS SUMATERA UTARA

MEDAN

2021

PERNYATAAN

ANALISIS DAN IMPLEMENTASI HONEYD SEBAGAI LOW- INTERACTION HONEYPOT DALAM MENINGKATKAN

SISTEM KEAMANAN JARINGAN

TESIS

Saya mengaku bahwa tesis ini adalah hasil karya saya sendiri, kecuali beberapa kutipan dan ringkasan yang masing-masing telah disebutkan sumbernya.

Medan, 8 Januari 2021

Abdul Muin Nasution 167038026

iv

PERNYATAAN PERSETUJUAN PUBLIKASI KARYA ILMIAH KEPENTINGAN

AKADEMIS

Sebagai sivitas akademika Universitas Sumatera Utara, saya yang bertanda tangan di bawah ini :

Nama : ABDUL MUIN NASUTION

NIM : 167038026

Program Studi : Magister (S2) Teknik Informatikan Jenis Karya Ilmiah : Tesis

Demi pengembangan ilmu pengetahuan, menyetujui untuk memberikan kepada Universitas Sumatera Utara Hak Bebas Royalti Non-Ekslusif (Non-Exclusive Royalty Free Right) atas tesis saya yang berjudul :

ANALISIS DAN IMPLEMENTASI HONEYD SEBAGAI LOW-INTERACTION HONEYPOT DALAM MENINGKATKAN SISTEM KEAMANAN JARINGAN

Beserta perangkat yang ada (jika diperlukan). Dengan Hak Bebas Royalti Non- Ekslusif ini, Universitas Sumatera Utara berhak menyimpan, mengalih media, memformat, mengelola, dalam bentuk database, merawat dan mempublikasikan tesis saya tanpa meminta izin dari saya selama tetap mencantumkan nama saya sebagai penulis dan sebagai pemegang dan/atau sebagai pemilik hak cipta.

Demikian pernyataan ini dibuat dengan sebenarnya.

Medan, 8 Januari 2020

Abdul Muin Nasution 167038026

Telah diuji pada

Tanggal : 8 Januari 2020

PANITIA PENGUJI TESIS

Ketua : Prof. Dr. Muhammad Zarlis Anggota : 1. Suherman, Ph.D

2. Prof. Dr. Saib Suwilo

3. Dr. Syahril Effendi, S.Si, M.IT

vi

RIWAYAT HIDUP

DATA PRIBADI

Nama Lengkap : Abdul Muin Nasution Tempat dan Tanggal Lahir : Medan, 08 Nopember 1977

Alamat Rumah : Jl. Bersama Gg. Matahari No. 2 Kel. Bandar.

Selamat, Kec. Percut Sei Tuan Medan

Telepon/HP : 0817833001

E-mail : muin.nasution@gmail.com

Instansi Tempat Bekerja : SMK Negeri 9 Medan Alamat Kantor : Jl. Patriot No. 20 A Medan

DATA PENDIDIKAN

SD : SD Negeri 066665 Medan TAMAT : 1990 SLTP : SMP Negeri 11 Medan TAMAT : 1993 SLTA : MAN 1 Medan TAMAT : 1996 D3 : Ilmu Komputer USU TAMAT : 2000 S1 : Ilmu Komputer UNPAD TAMAT : 2009 S2 : Teknologi Informatika USU TAMAT : 2021

UCAPAN TERIMA KASIH

Alhamdulillah, segala puji dan syukur saya ucapkan kehadirat Tuhan Yang Maha Esa, atas berkat dan rahmat-Nya, saya dapat menyelesaikan Tesis ini dalam kurun waktu yang telah ditetapkan.

Ucapan terima kasih juga saya sampaikan kepada pihak-pihak yang telah membantu saya selama penulisan Tesis ini, sehingga Tesis ini dapat terselesaikan dengan baik. Pada kesmepatan kasi ini, saya ingin mengucapkan terima kaish yang sebesar-besarnya kepada :

1. Bapak Prof. Dr. Runtung Sitepu, S.H, M.Hum., selaku Rektor Universitas Sumatera Utara.

2. Bapak Prof. Dr. Opim Salim Sitompul, M.Sc selaku Dekan Fakultas Ilmu Komputer dan Teknologi Informasi Universitas Sumatera Utara.

3. Bapak Prof. Dr. Muhammad Zarlis selaku Ketua Program Studi Magister Teknik Informatika dan selaku Pembimbing 1, yang telah membantu, membimbing, menasehati dan memberi kesempatan kepada penulis untuk menyelesaikan tesis ini, hingga menyelesaikan Program Magister Fakultas Ilmu Komputer dan Teknologi Informasi Universitas Sumatera Utara dengan baik. Semoga Allah SWT membalas segala kebaikan, keihklasan, kesabaran serta sehat, panjang umur dan senantiasa dimudahkan segala urusan bapak, Amiin ya robbal alamin…

4. Bapak Suherman Ph.D selaku Pembimbing 2, yang telah membimbing, membantu saya hingga tesis ini dapat terselesaikan dengan baik. Semoga Allah SWT membantu, mempermudah setiap kesulitan bapak, Amiin….

5. Bapak Prof. Saib Suwilo selaku Pembanding 1 dan Dr. Syahril Effendi selaku Pembanding 2, yang telah memberikan saran dan masukan serta arahan untuk perbaikan tesis saya hingga selesai dengan baik

6. Seluruh Dosen yang tidak disebutkan namanya, serta Kak Ines, Bu Cut selaku Staf Pegawai Program Studi S2 Teknik Informatika Fakultas Ilmu Komputer dan Teknologi Informasi Universitas Sumatera Utara yang telah memberikan bantuan, mengingatkan dan memberi pelayanan terbaik selama mengikuti perkuliahan hingga penyelesaian tesis ini

viii

7. Ayah saya (Alm) H. Thohiruddin Nasution, Ibu saya Hj. Marhaini Lubis, Istri tercinta saya Fauziah Nur Siregar dan Anak tersayang saya Alifia Kalila Nasution telah sabar, mendukung dan mendoakan saya sehingga tesis ini terselesaikan.

8. Teman se-kuliah KOM-A angkatan 2016, khusus Yuan Ardi, Irwandi, Chairunnas dan Herman yang telah ikut serta dalam membantu, memberi masukan, menginformasikan hingga menyemangati selama proses penyelesaian tesis hingga selesai

9. Semua pihak yang terlibat langsung ataupun tidak langsung yang tidak dapat saya sebutkan satu per satu yang telah membantu saya dalam menyelesaikan Tesis ini.

Saya menyadari bahwa masih banyak kekurangan dalam penulisan Tesis ini, oleh karena ini saya mengharapkan kritik dan saran dari pembaca sebagai masukan bagi penelitian ini, agar penelitian ini dapat bermanfaat lebih baik lagi bagi saya ataupun bagi para peneliti selanjutnya.

Medan, 8 Januari 2020 Penulis,

Abdul Muin Nasution 167038026

ABSTRAK

Setiap komputer yang terhubung ke jaringan komputer secara luas, rentan terjadinya katidakamanan baik itu data, informasi, sumber daya dan layanan yang ada pada sistem, dari tindakan seperti penyusupan, penyadapan, pencurian dan penyalahgunaan data-data penting hingga kerusakan system jaringan, yang dilakukan oleh intruder atau attacker yang tidak bertanggung jawab. Honeypot honeyd adalah salah satu metode yang bisa diterapkan diimpelementasikan untuk mencegah atau mengantisipasi terjadinya tindakan buruk tersebut. Honeypot honeyd dengan low- interaction yakni melakukan interaksi secara tidak langsung kepada attacker, karena honeyd memposisikan diri sebagai umpan atau sebuah server bayangan yang memang sengaja untuk diserang hingga nantinya hasil serangan tersebut dapat diketahui dan dianalisa. Pada penelitian ini, honeypot honeyd adalah sebuah server bayangan yang menyerupai server asli/sesungguhnya, yang memiliki beberapa layanan disertai port- port yang sengaja dibuka untuk diserang. Hasil penelitian ini dapat diketahui adanya penyerangan, terlihat dari kenaikan trafik jaringan diatas normal pada sistem monitor, dan juga dapat dilihat file log dari honeyd secara detail apa-apa saja yang telah atau sedang attacker lakukan untuk dianalisa kemudian dilakukan tindakan pencegahan, antisipasi hingga perbaikan baik pada server, sistem jaringan dan layanan yang ada.

Dengan demikian honeypot honeyd dapat membantu meningkatkan sistem keamanan jaringan komputer

Kata kunci : Keamanan jaringan, layanan, honeypot, honeyd, attacker, file log

x

ANALYSIS AND IMPLEMENTATION OF HONEYD AS A LOW- INTERACTION HONEYPOT IN IMPROVING NETWORK SECURITY

SYSTEMS

ABSTRACT

Every computer connected to a computer network is vulnerable to insecurity for data, information, resources and services on the system, from actions such as intrusion, wiretapping, theft and misuse of important data until damage to the network system by intruders or attacker, who is not responsible. Honeypot honeyd is one method that can be implemented to prevent or anticipate the occurrence of these bad actions.

Honeypot honeyd with low-interaction, which is to interact indirectly with the attacker, because honeyd positions itself as a decoy or a shadow server that is deliberately attacked so that the results of the attack can be known and analyzed.In this research, honeypot honeyd is a shadow server that resembles a real server, which has several services along with ports that are deliberately opened for attack. The results of this research show that there is an attack, it can be seen from the increase in network traffic above normal on the monitor system, and you can also see the log files from Honeyd in detail about what the attacker has done or is currently doing, to be analyzed then take precautions, anticipation and repair on existing servers, network systems and services. Thus honeyd honeypot can help improve computer network security systems

Keywords: Network security, services, honeypot, honeyd, attacker, log files

DAFTAR ISI

Halaman

HALAMAN JUDUL

PERSETUJUAN ii

PERNYATAAN iii

PERNYATAAN PUBLIKASI iv

PANITIA PENGUJI v

RIWAYAT HIDUP vi

UCAPAN TERIMA KASIH vii

ABSTRAK ix

ABSTRACT x

DAFTAR ISI xi

DAFTAR TABEL xi

DAFTAR GAMBAR xii

BAB 1 PENDAHULUAN 1

1.1 Latar Belakang 1

1.2 Rumusan Masalah 2

1.3 Batasan Masalah 2

1.4 Tujuan Penelitian 2

1.5 Manfaat Penelitian 3

BAB 2 TINJAUAN PUSTAKA 4

2.1 Jaringan Komputer 4

2.1.1 Jenis-jenis Jaringan Komputer 5

2.1.2 Tipe Jaringan Komputer 5

2.1.3 Layanan (Service) pada Jaringan Komputer 6

2.1.4 TCP/IP 7

2.1.5 Port Pada Jaringan Komputer 8

2.2 Sistem Keamanan Jaringan 9

2.2.1 Prinsip Keamanan Jaringan 10

2.2.2 Jenis Serangan Terhadap Keamanan Jaringan 10 2.2.3 Manajemen Keamanan Data/Informasi Dalam Jaringan 11

2.3 Firewall 13

xii

2.4 Serangan dan Ancaman Pada Sistem Keamanan Jaringan 14 2.4.1 Serangan Terhadap Sistem Keamanan Jaringan 14

2.4.2 Bentuk-bentuk Ancaman 14

2.5 Honeypot 15

2.5.1 Jenis Interaksi Honeypot 16

2.5.1.1 Honeypot Low-Interaction 16

2.5.1.2 Honeypot High-Interaction 17 2.5.2 Penempatan Honeypot pada Jaringan 19

2.5.3 Jenis Honeypot 21

2.5.4 Honeyd 22

BAB 3 METODE PENELITIAN 23

3.1 Metode Pengumpulan Data 23

3.2 Analisis Sistem 23

3.2.1 Analisis Kebutuhan Perangkat Keras 24 3.2.2 Analisis Kebutuhan Perangkat Lunak 24

3.3 Perancangan Sistem 25

3.3.1 Gambaran Umum Sistem 25

3.3.2 Melakukan Instalasi dan Konfifgurasi Perangkat Lunak 26 3.3.2.1 Instalasi Oracle VM VirtualBox 26 3.3.2.2 Instalasi Sistem Operasi dan Konfigurasi Honeypot 27 3.3.2.3 Instalasi Sistem Operasi Attacker 30

3.4 Rancangan Pengujian 31

3.4.1 Pengujian Simulasi Tahap 1 31

3.4.2 Pengujian Simulasi Tahap 2 32

3.4.3 Pengujian Simulasi Tahan 3 33

BAB 4 HASIL DAN PEMBAHASAN 34

4.1 Tanggapan Pengujian Honeyd 34

4.1.1 Tanggapan Pengujian Tahap 1 34

4.1.2 Tanggapan Pengujian Tahap 2 35

4.1.3 Tanggapan Pengujian Tahap 3 36

4.2 Hasil Honeyd 37

4.3 Analisis Serangan 37 4.4 Sebelum dan Sesudah Diterapkannya Honeypot 39 4.4.1 Kondisi Sebelum Terjadinya Serangan 39 4.4.2 Kondisi Setelah Terjadinya Serangan 39

BAB 5 KESIMPUAN DAN SARAN 41

5.1 Kesimpulan 41

5.2 Saran 41

DAFTAR PUSTAKA 42

xiv

DAFTAR TABEL

Hal.

TABEL 1. Daftar Port Pada Jaringan Komputer 9

TABEL 2. Perbedaan NIDS dan HIDS 13

TABEL 3. Perbandingan Honeypot 18

TABEL 4. Spesifikasi Perangkat Implementasi Honeypot 36

TABEL 5. Hasil Uji Coba Serangan DoS 36

TABEL 6. Hasil Uji Coba Serangan FTP Attack 37

DAFTAR GAMBAR

Hal.

GAMBAR 1. Perbedaan Letak IDS dan IPS Pada Jaringan 12

GAMBAR 2. Sistem Honeypot Tunggal 18

GAMBAR 3. Peletakan Honeypot Pada Jaringan Intranet 19

GAMBAR 4. Peletakan Honeypot Pada Jaringan Internet 20

GAMBAR 5. Peletakan Beberapa Server Honeypot Pada Sistem Jaringan 20

GAMBAR 6. PC Server dan PC Intruder/attacker terhubung dalam LAN Virtual Box 25

GAMBAR 7. Simulasi Instalasi dan Konfigurasi Perangkat Lunak 26

GAMBAR 8. Sistem Operasi Server Honeypot dan Attacker Berada Dalam Satu Sistem VirtualBox 27

GAMBAR 9. Proses Instalasi Honeyd 28

GAMBAR 10. Proses Pengisian Konfigurasi honeyd.conf 29

GAMBAR 11. Menjalankan Honeyd 29

GAMBAR 12. Zenmap Melakukan Port Scanning 31

GAMBAR 13. Proses Ping ke IP Server 32

GAMBAR 14. Serangan DDos Menggunakan Tool LOIC 32

GAMBAR 15. Akses IP server melalui FileZilla 33

GAMBAR 15. Pantauan atau Tanggapan Honeyd Terhadap Port Scanning Dari Attacker Menggunakan Zenmap 34

GAMBAR 16. Pantauan atau Tanggapan Honeyd Terhadap Port Scanning Dari Attacker Menggunakan Perintah Ping Pada Command Line 35 GAMBAR 17. Pantauan atau Tanggapan Honeyd Terhadap Ping Dari Pttacker 35

GAMBAR 18. Pantauan Atau Tanggapan Honeyd Terhadap Ftp Dari Attacker 36

GAMBAR 19. Interface Web Log Honeyd 37

GAMBAR 20. Koneksi oleh Protokol 38

GAMBAR 21. Koneksi ke IP Tujuan 38

GAMBAR 22. Sistem Monitor Sebelum Terjadinya Serangan 39

GAMBAR 23. Sistem Monitor Setelah Terjadinya Serangan 40

1 BAB 1 PENDAHULUAN

1.1. Latar Belakang

Perkembangan teknologi informasi pada jaringan komputer cepat berkembang namun seiringan perkembangan masalah serius pada jaringan seperti faktor keamanan tetap terjadi. Faktor keamanan ini perlu perhatian khusus karena tidak informasi bersifat terbuka untuk dan tidak semua orang dapat mengakses dengan sah. Munculnya beberapa kasus CyberCrime di Indonesia pada tahun 2016 seperti peretasan akun sosial media, peretasan situs keagamaan, peretasan aplikasi browsing dan peretasan situs perbankkan (Laksana, 2017).

Diantara sekian cara yang dilakukan untuk mengamankan sisem jaringan komputer adalah dengan mengkombinasikan server dan atau melibatkan honeypot dalam penganaman sistem dalam sebuah jaringan

Honeypot yang terpasang pada komputer server dapat dijadikan sebagai pusat data atau informasi yang mirip server asli yang dapat diakses oleh siapa saja termasuk orang-orang yang ingin mencoba-coba mengakses kedalamnya, karena honeypot ini bersifat terbuka dan ilegal sehingga apapun aktifitas, yang tanpa disadari langsung bahwa komputer server telah merekam segala aktivitas atau kegiatan yang membahayakan yang dilakukan oleh penyusup atau penyerang untuk kemudian dijadi bahan analisis. (Utdirartatmo, 205, hal.7)

Pada penelitian ini penulis menggunakan Honeypot Honeyd yang dapat digunakan secara gratis (open source) dan bisa dikembangkan, yakni dengan melakukan analisa dan implementasi/penerapan honeypot pada sistem virtualisasi.

Honeypot Honeyd ini tergolong tipe low Ineteraction Honeypot yakni tipe yang dirancang dengan memberikan service (layanan) seperti server umumnya, misalkan layanan FTP, HTTP, telnet dan layanan lainnya. Berdasarkan file log yang diperoleh dari honeypot honeyd ini, dapat dilakukan analisa tentang penyusupan atau penyerangan yang baru dan yang belum dikenal untuk kemudian memperkuat sistem jaringan yang sesungguhnya digunakan.

Oleh karena beberapa hal keadaan / uraian diatas maka penelitian yang dibuat penulis beri judul “Analisis Dan Implementasi Honeyd Sebagai Low-Interaction Honeypot Dalam Meningkatkan Sistem Keamanan Jaringan ”

1.2. Rumusan Masalah

Umumnya suatu sistem jaringan komputer jika sudah mengalami masalah baik dari sisi koneksi jaringan, kerusakan, kehilangan hingga penyalahgunaan data-data penting suatu instansi, baru akan melakukan tindakan memperbaiki tanpa memikirkan tindakan pencegahan. Hal umum lainnya adalah kurangnya mengupgrade kemampuan teknologi terbaru untuk kemudian diterapkan pada sistem keamanan jaringan dengan berbagai alasan seperti adanya tambahan biaya dan lain sebagainya

1.3. Batasan Masalah

Adapun batasan masalah yang penulis lakukan nantinya adalah sebegai berikut:

a. Pembahasan hanya pada implementasi honeyd pada server honeypot

b. Pembahasan terbatas pada cara kerja honeypot tingkat interaksi rendah (low- interaction honeypot) dengan penggunakan tipe honeyd

c. Skenario atau simulasi pada penelitian ini terbatas pada jaringan lokal (LAN) yang berada didalam Virtual Box, atau tidak terhubung pada jaringan lokal yang sesungguhnya

d. PC Server honeypot honeyd menggunakan Ubuntu server 12.04 LTS e. PC intruder/attacker menggunakan sistem operasi Ubuntu desktop 12.04 f. Honeypot honeyd menerima serangan dari DoS berupa ping flooding attack

1.4. Tujuan Penelitian

Tujuan dari penelitian analisis dan implementasi honeypot pada Tesis ini adalah sebagai berikut :

a. Mengimpementasikan honeypot honeyd pada jaringan lokal

b. Menguji kemampuan atau kelebihan dari honeypot honeyd jika dilakukan semacam penyusupan dan penyerangan

3

c. Melakukan pengamatan terhadap aktifitas serangan yang terjadi pada jaringan lokal berdasarkan file log yang diperoleh pada honeypot honeyd dilengkapi dengan sistem monitor

1.5. Manfaat Penelitian

Penelitian ini nantinya akan memberikan beberapa manfaat yakni sebagai berikut : a. Mengetahui lebih mendalam tentang kelebihan honeypot honeyd sebagai

pelengkap dalam pengamanan pada sistem jaringan komputer

b. Lebih memahami tindakan serta tools yang digunakan yang dilakukan oleh penyusup atau penyerang pada suatu jaringan

c. Metode honeypot ini dapat membantu sistem keamanan atau administrator jaringan yakni dengan melakukan antisipasi/pencegahan sedini mungkin terhadap penyusup atau penyerang dengan melakukan analisa file log dari honeyd

2.1. Jaringan Komputer

Jaringan komputer adalah sekumpulan atau beberapa komputer yang saling terhubung saling terkoneksi satu sama lain dalam ruang lingkup internal atau eksternal dengan tujuan bisa saling bertukar data atau informasi. Begitu besarnya manfaat yang bisa diperoleh jika sebuah komputer terhubung ke jaringan begitupun sebuah jaringan yang terdiri dari beberapa komputer terhubung kejaringan lainnya. Berikut beberapa manfaat yang bisa diperoleh :

a. Jaringan dapat dijadikan sumber informasi terpusat, sumber penyimpanan data terpusat, dalam hal ini adanya server sebagai pusat yang dapat diperbaharui secara berkala dapat diakses secara bersama-sama dan kapan saja

b. Jaringan dapat mempercepat proses pertukaran data, transfer data antar sesama pengguna jaringan tanpa harus berajak dari lokasi tempat bekerja

c. Jaringan dapat melakukan pengiriman pesan antar sesama pengguna dalam jaringan atau jaringan luas (email)

d. Jaringan dapat mengakses sumber daya seperti printer dengan hemat secara bersama-sama baik dalam ruangan yang sama atau berbeda. Jadi dengan memilik satu printer sudah bisa menghandle pencetakan data secara bersama- sama dan bergantian

e. Jaringan dapat melakukan komunikasi baik secara personal atau berkelompok lewat chat

f. Jaringan juga dapat melakukan komunikasi secara langsung dengan tatap muka lewat video (teleconfrence)

g. Jaringan dapat memudahkan melakukan interaksi antar karyawan / staf perusahaan, dimana interaksi tersebut dapat dilakukan dimana saja dan kapan saja (Supriyadi, 2007)

Jadi begitu besarnya manfaat yang diperolah jika sebuah komputer terhubung ke sebuah jaringan lokal maupun jaringan luar baik melalui kabel maupun wireless.

5

2.1.1. Jenis-jenis Jaringan Komputer Jaringan komputer terdiri dari 3 jenis, yakni :

1. Local Area Network (LAN)

Merupakan jaringan yang terbatas jangkauan areanya, terbatas oleh lingkungan seperti lingkungan sekolah, perkantoran atau area tertentu dengan jangkauan kisaran 1 km persegi

2. Metropolitan Area Network (MAN)

Merupakan jaringan dengan jangkauan areanya lebih besar dari LAN, seperti jangkauan beberapa wilayah yang berada didalam satu propinsi, jangkauan area antar gedung yang berbeda lokasi seperti jaringan antar cabang Bank dalam sebuah kota besar

3. Wide Area Network (WAN)

Merupakan jaringan berskala besar, lebih luas dari jaringan MAN. Jaringan ini menggunakan satelit, wireless atau kabel fiber optik dalam bertukar informasi.

Karena jangkauannya yang luas bisa mencakup antar geografis, antar negara atau benua

2.1.2. Tipe Jaringan Komputer

Terdapat dua tipe jaringan komputer, yakni : 1. Jaringan Client-Server

Jaringan dimana sebuah komputer sebagai server berfungsi memberi layanan (service) sedangkan komputer lain sebagai client yang meminta layanan. Jadi Client-server berarti adanya pembagian tugas dalam pengelolaan data dalam sebuah jaringan

2. Jaringan Peer to peer

Jaringan dimana tidak ada terdapat satu komputer yang mengkhususkan diri atau yang memfungsikan diri sebagai server, melainkan semua komputer bisa berposisi sebagai server atau sebagai client. Masing-masing komputer mempunyai tanggung jawab sendiri

2.1.3. Layanan (Service) pada jaringan komputer

Ada banyak layanan yang bisa membantu antar user dalam pertukaran data atau iinformasi jika sebuah komputer terhubung ke jaringan skala kecil hingga besar/luas, diantaranya adalah :

a. Berbagi / sharing file, sharing printer, yakni memudahkan dalam pertukaran dan pengolahan data hingga pencetakan hasil dari pengolahan data

b. Database, yakni sekumpulan data atau informasi yang tertata/terorganisir sehingga suatu aplikasi komputer dapat mengambil data tersebut

c. Email (electronic mail) yakni pengisian pesan atau data ke pengirim lewat jaringan internet

d. Milis (mailing list) yakni kumpulan alamat email yang digabungkan menjadi satu email, dengan tujuan agar sipengirim data dapat diterima oleh pemilik email yang sudah tergabung

e. Web atau world wide web (www) yakni suatu alamat website yang dapat diakses melalui browser seperti google chrome atau mozila firefoz

f. Download/upload yakni download yang berarti mengambil file dari komputer lain dalam jaringan, sedangkan upload mengirimkan file ke komuputer lain pada suatu jaringan

Sedangkan layanan server pada jaringan komputer dalam memenuhi kebutuhan client yang berada dalam satu jaringan diantaranya adalah

a. DNS (Domain Name System) server

Merupakan layanan yang menyediakan alamat IP dari suatu website, dengan tujuan mempermudah host /user bisa terkoneksi

b. DHCP (Dynamic Hosy Configuration Protocol) Server,

c. Merupakan layanan pemberian alamat IP, subnet mask, gatewayakni layanan yang memberikan alamat IP, submet mask, default gateway

d. FTP (File Transfer Protokol) Server,

yakni layanan yang bertujuan client mudah melakukan pengunduhan (download) dan mengunggah (Upload) file antar client

e. Mail Server,

Yakni layanan yang terdiri dari SMTP (Simple Mail Transfer Protocol) berkomunikasi dengan server guna mengirim email dari lokal ke server. POP3 (Post Office Protokol 3) layanan yang menerima email yang dari server

7

f. Web Server,

Yakni menggunakan HTTP (Hypertext Transfer Protocol) layanan yang digunakan dan pentransferan informasi dari web server.

2.1.4. TCP/IP

TCP/IP (Transmission Control Protocol/Internet Protocol) merupakan perpaduan protokol TCP dan IP yang mengatur jalannya komunikasi data, pertukaran data antar sebuah komputer dengan komputer lainnya yang terhubung dalam suatu jaringan internet dan memastikan data yang terkirim dari suatu alamat ke alamat tujuan dapat tercapai. Protokol ini tidak bisa berdiri sendiri namun ada beberapa protokol lain ikut bekerjasama dalam komunikasi maupun pertukaran data dalam sebuah jaringan.

Protokol ini dalam penerapannya menggunakan aplikasi berada pada sistem operasi dengan istilah TCP/IP stack.

Di akhir tahun 1970 – 1980 protokol TCP/IP mengalami perkembangan, dengan menajadikan protokol TCP/IP sebagai protokol standar yang dapat menghubungkan beberapa komputer yang tergabung dalam jaringan area kecil (LAN) hingga besar (WAN). TCP/IP merupakan standar jaringan yang bersifat terbuka terhadap jaringan fisik sehingga dapat digunakan diberbagai area. Disebut alamt IP (IP Address) karena menggunakan pengalamatan yang sederhana. Dengan IP address yang berbeda pada masing-masing komputer dapat saling terhugung dengan komputer lainnya. Protokol ini dapat menghubungkan dengan berbagai sistem operasi siperti Microsoft Windows, Unix dan Linux dengan berbagai macam bentuk topologi jaringan

Protokol TCP/IP memeiliki beberapa protokol utama yakni:

 Protokol yang berada pada lapisan aplikasi berfungsi untuk menyediakan akses keseluruh aplikasi layanan, mencakup protokol DNS (Domain Name System), DHCP (Dynamic Host Configuratiion Protocol), FTP (File Transfer Protocol), HTTP (Hypertext Transer Protocol), SMTP (Simple Mail Transfer Protocol) dan protokol-protokol lainnya. Dalam penerapannya menggunakan interface windows socket atau NetBIOS

 Protokol yang berada pada lapisan antar host berfungsi dalam pembuatan komunikasi menggunakan koneksi bersifat connection-oriented dan broadcast menggunakan connectionless. Protokol pada lapisan ini adalah protokol TCP dan UDP (User Datagram Protocol)

 Protokol yang berada pada lapisan internetwork yang berfungsi melakukan routing atau pemetaan jaringan dan enkapsulasi terhadap paket data IP.

Protokol pada lapisan ini adala protokol IP, ARP (Address Resolution Protocol), ICMP (Internet Control Message Protocol) dan IGMP (Internet Group Management Protocol)

 Protokol yang berada pada lapisan interface jaringan yang berfungsi meletakkan frame jaringan diatas media jaringan, bekerja melalui transport seperti Ethernet, Token ring, MAN dan WAN

2.1.5. Port Pada Jaringan Komputer

Port pada sebuah jaringan TCP/IP merupakan mekanisme bahwa sebuah komputer diizinkan untuk melakukan koneksi dengan komputer lain yang terdapat dalam satu sistem jaringan komputer. Port ini menjelaskan bahwa sebuah layanan aplikasi yang diberikan komputer server untuk dapat diakses oleh user atau komputer client dari area mana saja dan terhubung ke dalam jaringan..

Port sebagaimana tercantum pada halaman web wikipedia (2021) disebut juga port number terdiri dari angka 16 bit dikelompokkan dengan jenis protokol transport yang digunakan ke dalam port TCP dan UDP. Dilihat dari jumlah penomorannya, port TCP dan UDP ini dbagi kepada tiga jenis yaitu:

 Well-known Port

Port yang berawal antara 0 – 255 kemudian dikembangkan menjadi 0 – 1023.

Port ini mempresentasikan layanan pada jaringan yang sama yang ditetapkan IANA (Internet Assigned Number Authority). Port ini nantinya akan digunakan dimasa depan.

 Registered Port

Port ini dipakai oleh vendor komputer atau pada jaringan yang berbeda sesuai dengan sistem operasi dan aplikasi yang dibuat. Registered port ini juga ditetapkan oleh IANA tetapi tidak secara permanen sehingga vendor komputer lain dapat menggunakan port tersebut secara bersama-sama. Port ini antara 1024 - 49151

 Dynamically Assigned Port

Port ini ditetapkan sendiri oleh sistem operasi atau aplikasi untuk memenuhi layanan atau permintaan dari komputer clientnya. Port ini antara 1024 - 65536

9

Berikut tabel berisi daftar port umumnya digunakan pada jaaringan komputer, sebagai dasar/rujukan pada penelitian ini

Tabel 1. Daftar Port pada Jaringan komputer Port

Number

Port

Tipe Keyword Fungsi

21 22 23 25 53 69 79 80 92 93 110 123 137 138 139 161 220

TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP TCP, UDP

FTP SSH telnet SMTP domain TFTP finger www NPP DCP POP3 NTP

NetBIOS-ns NetBIOS-dgm NetBIOS-ssn SNMP IMAP3

File Transfer Protocol. (Koneksi) Putty

Telnet

Simple Mail Transfer Protocol (Mail) Domain Name System Server

Trivial File Transer Protocol Finger

World Wide Web (HTTP) Network Printing Protocol Device Control Protocol

Post Office Protocol version 3 (Postoffice) Network Time Protocol (ntpd ntp) Net BIOS Name Service

NetBIOS Datagram Service NetBIOS Session Service

Simple Network Management Protocol Interactive Mail Access Protocol versi 3 (Sumber: Wikipedia, 2020)

2.2. Sistem Keamanan Jaringan

Sebuah komputer jika terhubung kejaringan rentan mengalami ancaman atau gangguan yang tanpa disadari. Adanya sistem keamanan jaringan komputer merupakan hal penting untuk mengantisipasi adanya gangguan dan ancaman tersebut juga menjaga sumber daya yang ada, menjaga informasi, menjaga validitas dan integritas serta jaminan adanya ketersediaan layanan pada user/client.

Dengan melakukan pencegahan, pengedalian pada sistem keamanan jaringan maka resiko seperti adanya ancaman, pencurian data atau perangkat keras, kerusakan

perangkat, penyadapan hingga adanya virus serta sniffing dapat diantisipasi sedini mungkin.

2.2.1. Prinsip Keamanan Jaringan

Ada lima dasar prinsip keamanan jaringan, yakni:

a. Kerahasiaan (Secrecy)

Kerahasiaan dalam melakukan pembacaan suatu data atau informasi penting pada sistem komputer. Jadi sistem komputer disebut aman jika pengaksesan, pembacaan data hanya oleh orang-orang yang berhak mengakses dan yang sudah legal/terdaftar secara sah

b. Ketersediaan (Availability)

Ketersediaan data atau informasi berdasarkan kebutuhannya. Jadi data atau informasi tersebut hanya boleh dimanfaatkan dipergunakan oleh orang-orang yang berhak

c. Integritas (Integrity)

Hak dalam melakukan pengubahan data atau informasi. Jadi sistem komputer disebut aman jika yang melakukan pengubahan benar-benar yang punya akun atau hak akses yang sah

d. Akses Kontrol (Access Control)

Pengkontrolan setiap user yang melakukan komunikasi pada sistem, agar sistem dapat terpantau oleh pihak-pihak yang ingin melakukan kejahatan baik internal maupun eksternal

e. Otentikasi (Authentication)

Pernyataan bahwa yang menggunakan suatu informasi adalah memang orang aslinya, orang yang memang secara sah terdaftar

2.2.2. Strategi Keamanan Data/Informasi dalam Jaringan

Sebagaimana prinsip-prinsip keamanan jaringan yang telah disampaikan sebelumnya, maka perlu adanya beberapa strategi yang dilakukan dalam mengamankan data/informasi yang ada, yakni sebagai berikut

a. Keamanan Fisik (Physical Security)

Strategi yang dilakukan untuk mengamankan sumber daya fisik seperti perangkat keras, lingkungan tempat kerja termasuk individu/user

11

b. Keamanan individu/user (Personal Security)

Strategi yang dilakukan untuk mengamankan setiap individu atau user dalam kegiatannya yang melibatkan keamanan data/informasi serta kesadaran setiap individu bahwa betapa pentingnya menjaga data/informasi yang ada.

c. Keamanan Operasional (Operation Security)

Strategi yang dilakukan untuk mengamankan setiap kegiatan operasional suatu organisasi sehingga tidak adanya gangguan selama aktifitas operasional berlangsung

d. Keamanan Jaringan (Network Security)

Strategi yang dilakukan untuk mengamankan jaringan infrastruktur dan jaringan media sistem informasi.

e. Keamanan Berkumunikasi (Communication Security)

Strategi yang dilakukan untuk mengamankan teknologi media dalam berkomunikasi sehingga tidak ada gangguan dan dapat berjalan dengan baik.

2.2.3. Manajemen Keamanan Data/Informasi Dalam Jaringan

Ada berbagai cara yang dilakukan dalam memenej data/informasi agar benar-benar aman dari pencurian atau penyalahgunaan oleh orang-orang yang tidak berhak, yakni:

a. IDS (Intrusion Detection System)

Menurut Onno W. Purbo (2010), IDS adalah usaha untuk mengidentifikasi setiap adanya penyusup/intruder yang mencoba masuk ke suatu sistem dengan maksud menyalahgunakan sumber daya tanpa memiliki hak yang sah. IDS merupakan aplikasi atau program untuk mendeteksi adanya gangguan- gangguan yang terdeteksi pada sistem, sebagai contoh Snort. IDS melakukan pengawasan dengan memeriksa dan mencatat setiap paket data yang masuk (inbound) maupun paket data yang keluar (outbound) pada trafik atau lalu lintas yang menuju jaringan. IDS akan memberikan peringatan langsung pada adminstrator yang diakses melalui konsol IDS

Cara kerja IDS dalam melakukan pengawasannya pada setiap paket data yang menuju ke jaringan terbagi dua, yakni:

1. Berbasis Pengetahuan (Knowledge Based)

IDS mengenali penyusupan dengan cara menyadap setiap paket data yang menuju jaringan untuk kemudian dibandingkan dengan database

rule (berisi signature-signature paket serangan) pada IDS. Jika paket data ditemukan adanya kemiripan pada database rule maka paket data tersebut patut dicurigai dan dianggap sebagai suatu serangan.

2. Berbasis Prilaku (Behavior Based)

IDS mendeteksi penyusup dengan cara mengamati setiap kejanggalan pada sistem jaringan seperti penggunaan memori cendrung bertambah besar atau adanya koneksi paralel oleh suatu IP address dalam jumlah banyak dan waktu bersamaan, sehingga koneksi dalam jaringan menjadi lambat dan ini dianggap sebagai bentuk suatu serangan

b. IPS (Intrusion Prevention System)

IPS merupakan pengembangan dari IDS yang ditempatkan pada firewall, IPS dapat melakukan pengawasan terhadap aktivitas yang tidak sah / intrusion yang berlangsung pada jaringan Cara kerja IPS dengan melakukan kontrol pada sistem jaringan berdasarkan pattern (aplikasi konten), jadi tidak hanya berdasarkan IP addres atau port saja. Perbedaan IPS dan IDS, IPS dapat melakukan aksi, tindakan hingga kebijakan saat ditemukannya serangan yakni dengan memblok paket data yang lewat pada sistem jaringan dengan memberikan laporan langsung ke firewall

Gambar 1. Perbedaan Letak IDS dan IPS pada jaringan

IDS dan IPS memiliki dua tipe yang sama, berikut akan disajikan dalam tabel dibawah ini:

IPS

IDS Firewall

Server

Untrusted Network

13

Tabel 2. Perbedaan NIDS da HIDS

NIDS HIDS

Ruang lingkup pengawasan

Luas (mengawasi semua aktivitas)

Terbatas (mengawasi hanya aktovitas host tertentu)

Pengaturan Lebih mudah Sedikit lebih rumit Pendeteksian dan

letak pada jaringan

Mendeteksi serangan dari luar jaringan

Mendeteksi serangan dari dalam jaringan

c. Manajemen Resiko (Risk Management)

Manajemen resiko merupakan suatu strategi atau cara bagaimana memperkecil terjadinya hal buruk disebuah instansi atau perusahaan yakni dengan membuat atau mengambil suatu keputusan manajemen resiko yang berkaitan dengan aktifitas informasi, ancaman dan kelemahan sebelum atau saat terdeteksinya dampak buruk yang harus dihadapi

2.3. Firewall

Firewall merupakan mekanisme atau sistem yang diterapkan pada perangkat keras, perangkat lunak dan pada sistem itu sendiri untuk melindungi, membatasi, menyaring setiap kegiatan yang berlangsung pada jaringan yang melibatkan server, client maupun perangkat jaringan. Secara umum firewall ada dibuat untuk melayani:

1. Komputer

Setiap user dengan perangkat komputer yang dimiliki yang terhubung ke jaringan intranet atau luar/internet dan menginginkan adanya keamanan baik keamanan perangkat hingga data/informasi

2. Jaringan

Terhubungnya beberapa komputer membentuk sebuah topologi jaringan komputer agar dapat melakukan / saling berkomunikasi, bertukar informasi

2.4. Serangan dan Ancaman Pada Sistem Keamanan Jaringan 2.4.1. Serangan Terhadap Sistem Keamanan Jaringan

Ada dua bentuk atau jenis serangan yang dapat terjadi pada sistem keamanan jaringan komputer, yakni:

a. Serangan Aktif

Serangan dimana dilakukannya percobaan modifikasi data, mendapatkan otentikasi dengan melakukan pengiriman paket data palsu dalam sebuah data stream

b. Serangan Pasif

Serangan dengan malakukan pemantauan setiap pengiriman data atau informasi ke tujuan, dengan harapan akan memperoleh login atau password dan juga data penting lainnya

2.4.2. Bentuk-bentuk Ancaman

Ada banyak ancaman yang bisa saja terjadi pada suatu sistem jaringan dengan berbagai tujuan apakah sekedar menyusup melakukan pencurian data berupa login password atau melakukan perusakan data, sistem dan perangkat yang ada agar sistem tidak berfungsi sama sekali

Adapun bentuk atau model ancaman tersebut diantaranya adalah : a. Spoofing

Tindakan pemalsuan atau penipuan yakni dengan menggabungkan informasi palsu misalkan dalam pemberian informasi melalui email, sehingga yang menerima bisa terjebak

b. Spamming

Penyebaran informasi palsu yang dikirim kebeberapa email tujuan, umumnya dalam jumlah besar atau mengirim informasi palsu beruntun ke sebuat email tujuan, sehingga email yang dituju menjadi cepat penuh

c. Sniffer

Tindakan yang dilakukan dengan memantau setiap pertukaran data pada jaringan dengan harapan mendapatkan data penting berupa login dan password d. DoS (Danial of Service)

Tindakan yang memang dengan sengaja dilakukan agar jaringan menjadi lambat, macet dalam pertukaran data seperti melakukan ping terus menerus

15

e. Hacking

Tindakan yang dilakukan untuk memperoleh askes ke suatu komputer atau sistem jaringan dengan tujuan mendapatkan atau mengubah informasi secara tidak sah

f. Probe (Probing)

Tindakan yang dilakukan untuk mengakses sistem dan mendapatkan informasi tentang sistem

g. Crackers

Melakukan semacam cracking terhadap sistem, mencari kelemahan pada sistem agar bisa masuk ke dalam sistem, atau dapat sebut pembobolan

h. Malicious code

Tindakan yang dilakukan dengan menyisipkan kode untuk merusak sistem atau data/informasi yang ditemukan. Jenis malicious code ini sepeti trojan horse, worm dan virus.

2.5. Honeypot

Honeypot adalah sistem yang dibuat semirip mungkin dengan sistem asli pada sebenarnya palsu disertai layanan-layanan palsunya dengan maksud untuk menjebak penyusup atau penyerang (Nugraha, 2013). Honeypot dapat dikatakan sebagai pengalih perhatian terhadap si penyusup atau penyerang yang beranggapan bahwa mereka telah berhasil untuk mengambil data pada suatu jaringan, pada data tersebut adalah palsu atau data yang tidak penting (Purbo, 2008)

Honeypot dapat dikatakan sebagai alat yang sengaja untuk diseranga denga tujuan mendapatkan informasi sebanyak mungkin dari tindakan yang dilakukan penyerang untuk informasi tersebut dipelajari dianalisa setiap tindakannya (Raharjo, 2004)

Kegiatan yang berlangsung pada honeypot sangat penting bagi administrator jaringan sebagai salah satu aktivitas selain mengamankan sistem jaringan juga melakukan tindakan pencegahan sebelum terjadinyan serangan yang sesungguhnya pada server yang sesungguhnya

2.5.1. Jenis Interaksi Honeypot

Honeypot terbagi kepada 2 jenis interaksi yaitu:

a. Honeypot Low-Interaction b. Honeypot High-Interaction

2.5.1.1. Honeypot Low-Interaction

Honeypot low interaction dalam penerapannya menggunakan sistem operasi yang terpasang pada honeypot ketika berhadapan dengan penyerang. Honeypot low interaction memiliki interaksi yang terbatas kepada penyerang. Serangan yang dihadapi biasanya berupa port scanning dan juga digital signature attack (R.

Upadhayay, 2017) .Interaksi pada honeypot low interaction dengan host lain terbatas sehingga kemampuan yang dimiliki terbatas dan penyerang dapat dengan mudah mengenalinya tetapi dibalik terbatasnya honeypot low interaction memiliki resiko yang rendah (A. Jain and D. B. Buksh, 2015).

Honeypot low interaction juga dirancang untuk mensimulasikan service atau layanan yang ada tak ubahnya pada server asli seperti layanan FTP, SSH. Layanan tersebut bukan sistem operasi secara keseluruhan, Honeypot low-interaction lebih mudah diimplementasikan dan memiliki dampak resiko yang rendah pada jaringan maupun sistem (S. Z. Melese and P. S. Avadhani, 2016)

a. Kelebihan honeypot low-interaction diantaranya adalah

- Memberikan pengalaman bagi yang ingin memepelajari dengan membangun honeypot (S. Gupta and V. Singhal, 2011), .

- Dapat melakukan instalasi, pengembangan dan maintenance dengan mudah, dan juga dengan analisa pada log yang dihasilkan juga lebih mudah (S. Gupta and V. Singhal, 2011).

b. Honeypot low-interaction memiliki beberapa kekurangan diantaranya:

- Keterbatasan dari file log yang dihasilkan

- kemampuan untuk menangkap serangan sudah diketahui sebelumnya,

- Penyerang yang sudah profesional dapat dengan mudah mengetahui honeypot low interaction ini

-

17

Tujuan dibuatnya honeypot low interaction diantaranya

- Untuk mengidentifikasi dan mendeteksi serangan yang dilakukan oleh tools tertentu, - Menipu penyerang yang masih script kiddies,

- Mengalihkan penyerang dari sistem asli ke sistem mirip asli

- Mendapatkan model atau cara-cara serangan yang dilakukan penyerang.

2.5.1.2. Honeypot High-Interaction

Honeypot high interaction menggunakan sistem operasi asli untuk lebih memotivasi penyerang dalam menyerang sistem sehingga strategi maupun modus serangan dapat dicatat dan dianalisis lebih detail. Honeypot high interaction mampu memproses dan membedakan antara paket yang bersih dengan paket yang dikirim oleh penyerang sehingga paket tersebut tidak dapat merusak server asli (R. Upadhayay, 2017).

a. Kelebihan honeypot high-interaction

Kelebihan honeypot high interaction diantaranya adalah serangan yang diterima honeypot high interaction bisa jadi serangan yang asli dan belum dikenal, ini membuat serangan tersebut bermanfaat untuk dipelajari. Serangan yang diterima mempermudah pengguna honeypot untuk mempelajari metode yang digunakan penyerang, dan mencegah serangan pada masa mendatang dan mendapatkan pengetahuan tentang ancaman tersebut (S. Gupta and V. Singhal, 2011).

b. Kekurangan Honeypot high-interaction

Honeypot high interaction memiliki kekurangan diantaranya untuk membuat, konfigurasi, deploy, dan maintenance memakan waktu yang lama karena harus menyesuaikan teknologi yang digunakan seperti IDS, firewall, dan lain sebagainya, Analisa serangan memakan waktu yang lama, dan Resiko yang dihasilkan oleh honeypot high interaction sangat tinggi, jika tidak ada tindakan pencegahan maupun perlindungan tambahan maka dapat merugikan organisasi dari serangan yang dilakukan oleh penyerang. (S. Gupta and V. Singhal, 2011).

Berikut dibawah ini adalah tabel menjelaskan perbedaan antara honeypot low- interaction dan honeypot high-interaction

Tabel 3. Perbandingan Honeypot

Parameter Low-Interaction

Honeypot

High-Interaction Honeypot

Tingkat Perkembangan Rendah Tinggi

Sistem Operasi Tidak Ya

Resiko Rendah Tinggi

Pengumpulan Informasi Koneksi Semua

Emulasi Layanan Ya Tidak

Penetahuan Tentang Men- jalankan &Mengembangkan

Rendah Tinggi

Waktu Perawatan Rendah Tinggi

(Sumber: Mitchell A, 2018)

Sistem honeypot pada awalnya berupa sistem yang terkoneksi langsung ke jaringan produktif agar penyerang tertarik untuk masuk. Gambar berikut adalah honeypots tunggal yang berada pada jaringan internal.

.

Gambar 2. Sistem Honeypot Tunggal

Menurut Marty Roesch, pembuat Snort, Honeypots dapat dibagi dua katagori yakni,

19

a. Production Honeypots,

Honeypot yang dibuat untuk mengurangi terjadinya resiko dari serangan pada sistem keamanan jaringan informasi.

b. Research Honeypots,

Honeypot yang dibuat bertujuan untuk medapatkan informasi sebanyak- banyaknya dari tindakan yang dilakukan penyerang

2.5.2 Penempatan Honeypot pada Jaringan

Menurut Budi Raharjo (2004), honeypots dalam sebuah jaringan dapat ditempatkan dimana saja, bisa dipindah-pindah dan diletakkan diarea yang mencolok atau terjangkau oleh penyerang, hal ini karena server honeypot ini tidak memiliki layanan khusus penting yang dapat digunakan. Sedangkan apabila ingin mendeteksi user yang berasal dari dalam/internal, honeypot dapat diletakan di jaringan intranet,

Gambar 3. Peletakan Honeypot Pada Jaringan Intranet

Jika ingin mendeteksi penyerang dari luar honeypot dapat diletakkan dijaringan internet

Gambar 4. Peletakan Honeypot Pada Jaringan Internet

Berikut dibawah ini adalah gambaran letak server honeypot pada sistem jaringan:

 Front firewall / didepan gateway (internet)

 Di dalam DMZ (Demilitarized Zone)

 Back firewall / dibelakang gateway (intranet)

Gambar 5. Peletakan Beberapa Server Honeypot Pada Sistem Jaringan

21

Letak lokasi atau penempatan server honeypot dalam sebuah sistem jaringan memiliki kelebihan dan kekurangan tersendiri, tentunya butuh pertimbangan- pertimbangan untuk menetapkan penempatan atau lokasi yang tepat

1. Front firewall/di depan gateway (internet)

Kelebihan : honeypot dianggap sama dengan sistem eksternal, jika honeypot disusupi oleh penyerang, maka resiko hanya terjadi pada jaringan privat saja Kekurangan : honeypot mencatat setiap kegiatan yang tidak sah tidak akan memberikan peringatan langsung pada firewall, atau informasi yang diperoleh sangat minim

2. Di dalam DMZ (Demilitarized Zone)

Kelebihan : kegiatan yang tidak sah tentunya akan melewati firewall terlebih dahulu kemudian ke sistem honeypot. Firewall turut mencatat kegiatan tidak sah tersebut

Kekurangan : sistem yang ada pada DMZ turut mengamankan honeypot secara tidak langsung, jika penyerang berhasil masuk ke honeypot kemungkinan besar juga akan menyerang firewall yang ada

3. Back firewall / dibelakang gateway (intranet)

Tujuan penempatan honeypot pada lokasi ini adalah untuk mendeteksi kegiatan yang tidak sah yang berada dijaringan internal/ privat atau dibelakang firewall sehingga mengakibatkan adanya resiko pada jaringan privat jika berhasil disusupi

2.5.3 Jenis Honeypot

Adapun jenis-jenis dari honeypot adalah sebagai berikut : a. Deception Toolkit (DTK)

Honeypot yang bebas digunakan (open source), merupakan honeypot pertama tahun 1997.

b. LaBrea,

Honeypot yang berguna untuk memperlambat hingga menghentikan serangan dengan bertindak

c. Kippo,

Honeypot yang mengemulasi shell (Samudra, 2016).

d. Honeytrap,

Honeypot low-ineteration yang memiliki kemampuan mengamati serangan pada layanan yang ada pada jaringan.

e. Honeyd sama dengan honeytrap, merupakan honeypot low-interaction yang cukup handal dan banyak digunakan.

2.5.4 Honeyd

Honeyd adalah jenis Honeypot Low-Interaction yang diciptakan sebagai pengganti Nepenthes. Honeyd dibuat dari bahasa script python. Honeyd dibuat untuk memperoeh hasil duplikat data dari tindakan malware (Ion, 2015).

Kemampuan honeyd dapat mendeteksi dan mengevaluasi payload agar dapat memperoleh salinan malware.

23 BAB 3

METODOLOGI PENELITIAN

Metodologi pada penelitian ini terdiri dari beberapa metode atau tahapan yang dilakukan yaitu metode pengumpulan data yang mencakup studi literatur dan kegiatan observasi, tahapan melakukan penganalisaan sistem, kebutuhan hardware dan sorfware, perancangan sistem hingga melakukan pengujian simulasi serangan.

3.1. Metode Pengumpulan Data

Tujuan metode ini dilakukan agar hasil dan anlisis dari penilitian ini lebih terarah dengan data yang akurat. Data yang lengkap dapat membantu dalam proses penyusunan tesis ini dan waktu lebih efisien. Metode dalam pengumpulan data ini mencakup :

1. Studi Literatur

Penulis dalam melakukan penelitian ini menggunakan studi literatur yakni dengan mencari dan mempelajari berbagai sumber informasi baik melalui buku cetak, elektronik book (ebook), jurnal ilmiah dan sumber lain yang didapat diperoleh secara online, tentunya dengan topik pembahasan yang mirip/mendapakati penelitian ini

2. Kegiatan Observasi

Penulis melakukan pengumpulan sumber informasi dengan mengamati objek secara langsung dan teliti untuk memperoleh informasi yang tepat, sesuai dan sistematis, terdiri dari instalasi sistem, konfigurasi sistem, penggunaan tool, membangun jaringan virtual dan melakukan koneksi baik internal dan internet

3.2. Analisis Sistem

Sistem keamanan suatu jaringan sangat penting agar validitas dan integritas data atau informasi tetap terjaga oleh setiap user/pengguna. Sistem harus benar-benar dilindungi dari bentuk-bentuk penyusupan dan serangan oleh orang-orang yang tidak punya hak atau tidak punya otoritas penuh. Proses analisis ini sangat diperlukan pada sistem jaringan, untuk mensimulasi tingkat atau ketangguhan keamanan pada suatu jaringan, karena analisa yang tepat, dapat mengidentifikasi celah atau kelemahan sistem keamanan jaringan. Atas dasar inilah honeypot dapat dijadikan sebagai pilihan dibuat /

dibangun suatu sistem jaringan palsu sebagai sarana uji coba pada sebuah sistem jaringan asli yang perlu dijaga keamanan dan kerahasiaannya.

Pada penelitian ini, sistem operasi yang digunakan adalah linux Ubuntu sebagai server yang bisa dikonfigurasi pada konfigurasi honeypot honeyd sebagai apakah sebagai sistem operasi server berbasis Unix, Linux atau Windows Server. Honeypot honeyd yang berjalan dan dikonfigurasi pada sistem operasi Ubuntu server tersebut mamiliki keunggulan yakni dapat mengetahui keberadaan penyusupan atau penyerang dan apa saja yang sedang dilakukan atau sudah dilakukkannya pada suatu jaringan.

Selain honeypot, sistem monitor pada server Ubuntu juga dapat membantu mengetahui atau sebagai alert apakah serangan tersebut dapat membuat jaringan lumpuh atau tidak berdasarkan pantauan trafik jaringan, penggunaan CPU, Memory yang sedang berlangsung disaat terjadinya serangan

3.2.1. Analisis Kebutuhan Perangkat Keras

Perangkat keras yang dibutuhkan pada simulasi penelitian ini adalah sebuah laptop yang nantinya dibagi dalam sebuah virtual box yakni

1. PC server honeypot bersistem operasikan Ubuntu server 12.04

2. PC penyusup / penyerang bersistem operasikan Ubuntu desktop 12.04 Keduanya memiliki spesifikasi hardware yang sama diatur pada setingan virtual box

- Nama PC/Laptop : Acer Aspira E1-470G

- Processor : Intel Core i3-3217U (1.8 GHz)

- RAM : 1 Giga Byte DDR3

- VGA : Nvidia Geforce 2GB

- HDD : 8 Giga Byte

- Network : Virtual Box Host-Only Netowork

3.2.2. Analisis Kebutuhan Perangkat Lunak

Perangkat lunak yang digunakan pada masing-masing PC (Personal Computer) yang berada pada virtual box menggunakan sistem operasi yang bersifat open source yakni linux Ubuntu termasuk tool yang digunakan oleh penyusup/penyerang. Berikut adala perangkat lunak yang digunakan

1. Ubuntu server 12.04

Merupakan perangkat lunak sistem operasi server yang digunakan PC server honeypot.yang berbasis CLI (Command Line Interface)

25

2. Ubuntu desktop 12.04

Merupakan perangkat lunak sistem operasi berbasis desktop / GUI untuk client yang digunakan pada PC penyusup / penyerang

3. Honeyd

Merupakan perangkat lunak honeypot yang sudah include didalam paket Ubuntu server. Honeypot ini menjadikan PC server menjadi sebuah PC seolah-olah seperti server sungguhan yang dengan sengaja membuka beberapa layanan/port seperti FTP, HTTP, telnet untuk memancing penyusup/penyerang masuk ke dalam sistem jebakan

4. Zenmap

Merupakan salah satu perangkat lunak atau tool yang dapat melakukan banyak hal seperti port scanning

5. Virtual Box (Oracle VM VirtualBox 4.2.12)

Merupakan perangkat lunak simulasi yang menjalankan sekaligus menghubungkan kedua PC diatas dalam sebuah jaringan virtual LAN dan untuk melakukan simulasi penyerangan oleh PC penyusup dan penjebakan oleh PC server honeypot dalam sebuah virtual masin

3.3. Perancangan Sistem 3.3.1. Gambaran Umum Sistem

Penelitian ini dalam simulasinya pengimplementasian honeypot dalam sebuah virtual mesin manager (virtual box) adanya sebuah PC server dan PC Intruder/attacker

Gambar 6. PC Server dan PC Intruder/attacker terhubung dalam LAN Virtual Box

PC server atau honeypot server dengan sengaja membuka beberapa port service http, ftp, ssh dan telnet untuk memancing hingga mengetahui apa saja yang dilakukan oleh penyusup, kemudian ada sebuah PC attacker difungsikan melakukan penyusupan hingga penyerangan dengan bantuan tool seperti zenmap. Dari hasil penyusupan/penyerangan berlangsung, diperoleh sebuah file log yang berisikan segala aktifitas yang dilakukan oleh orang yang tidak berhak seperti penyusup untuk dapat dilakukan analisa oleh administrator

Gambar 7. Simulasi implementasi dan analisa pada server honeypot

3.3.2. Melakukan Instalasi dan Konfigurasi Perangkat Lunak

Proses instalasi sistem operasi disertai dengan konfigurasi jaringan (konfigurasi IP address, subnet mask) pada PC Server Honeypot dan PC Attacker mutlak dilakukan agar penulis dapat melakukan implementasi, simulasi dan analisis pada tesis ini.

Instalasi ini nantinya dilakukan dalam sebuah perangkat lunak virtual dan kedua sistem operasi harus bisa saling terhubung dalam sebuah jaringan LAN agar dapat saling berkomunikasi dalam sebuah jaringan virtual host.

3.3.2.1. Instalasi Oracle VM VirtualBox

Perangkat lunak virtual yang digunakan dalam penilitian ini ada Oracle VM VirtualBox versi 4.2.12. VirtualBox ini nantinya akan diinstall didalamnya dua sistem operasi linux, VirtualBox membutuhkan file .iso atau .image dari masing-masing sistem operasi tersebut yakni ubuntu-12.04.5-server-i386.iso yakni sistem operasi linux ubuntu-12.04.5-desktop-i386.iso yang bertindak sebagai PC server honeypot dan sebagai PC attacker.

27

Penulis tidak mencantumkan proses instalasinya karena dianggap mudah untuk melakukannya, namun disarankan agar VirtualBox dapat berjalan dengan baik yang dapat menghandle jalannya kedua sistem operasi tersebut secara bersamaan minimal spesifikasi memory 4 GB. Berikut adalah tampilan dimana kedua sistem operasi telah terinstal didalam VirtualBox

Gambar 8. Sistem Operasi Server Honeypot dan Attacker Berada Dalam Satu Sistem VirtuaBox

3.3.2.2. Instalasi Sistem Operasi dan Konfigurasi Server Honeypot a. Instalasi Sistem Operasi

Sistem operasi yang digunakan sebagai PC Server Honeypot ini adalah sistem operasi Ubuntu versi 12. Untuk dapat diinstall pada VirtualBox diperlukan satu file .iso yakni ubuntu-12.04.5-server-i386.iso, yang dapat didownload langsung secara gratis di https://releases.ubuntu.com/12.04/ kemudian pilih file berdasar tipe processor.

Sedangkan proses instalasi itu sendiri penulis tidak cantumkan mengingat langkah- langkahnya relatif panjang untuk disertakan pada tesis ini, namun bisa dicari dan banyak ditemukan diinternet

b. Konfigurasi Server Honeypot

Setelah proses instalasi selesai, selanjutnya melakukan konfigurasi IP address untuk PC Server Honeypot yakni 192.168.72.131, kemudian dilanjutkan dengan konfigurasi honeypot honeyd :

> Update repository

#apt-get update

> Install honeypot honeyd

#apt-get install honeyd

Gambar 9. Proses Instalasi Honeyd

> Membuat file konfigurasi honeyd (membuka layanan)

#gedit honeyd.conf

29

Gambar 10. Proses Pengisian Konfigurasi honeyd.conf

Berikut keterangan konfigurasi honeyd

 #create winxp set winxp personality…

merupakan keterangan atau catatan saja bahwa konfigurasi server honeypot berada didalam sistem operasi windows xp, keterangan ini bisa dihapus termasuk #bind 10.0.0.200 boleh dihapus atau digunakan denga membuka / hapus # untuk menentukan IP address server

 create default

merupakan konfigurasi agar tcp, udp dan icmp secara default terblok

 create windows

merupakan pemberian nama varibel sistem operasi

- set windows personality “Microsoft Windows…”, merupakan pemberian nama panjang sistem operasi dengan tujuan mengelabui attacker

- set windows default tcp action reset, untuk menghentikan trafik yang tidak termasuk dalam bagian port yang dibuka atau yang didefenisikan

- add windows tcp port 135 open, …139 open, … 445 open merupakan port-port atau layanan yang sengaja dibuka, bisa diganti dengan port lain seperti port 21 (FTP), 22 (SSH), 23 (telnet), 80 (www/http) dengan tujuan untuk memancing attacker masuk / mengakses port tersebut

 set windows ethernet “00:0c:29:35:bf:c0”, merupakan command tambahan jika ingin mengganti MAC Address kartu jaringan server

 bind 192.168.77.131 windows

> Jalankan honeyd

#honeyd -d -f honeyd.conf

Gambar 11. Menjalankan honeyd

Pada gambar 11 terlihat bahwa IP address pada server honeypot 192.168.72.131 merupakan IP bayangan dari honeyd, sedangkan IP address PC attacker adalah 192.168.72.1

3.3.2.3. Instalasi Sistem Operasi Attacker

Sistem operasi yang digunakan sebagai PC Attacker ini adalah sistem operasi Ubuntu versi 12. Untuk dapat diinstall pada VirtualBox diperlukan satu file .iso yakni ubuntu- 12.04.5-desktop-i386.iso, yang dapat didownload langsung secara gratis di https://releases.ubuntu.com/12.04/ kemudian pilih file berdasar tipe processor.

Setelah proses instalasi selesai, selanjutnya melakukan konfigurasi IP address untuk PC Attacker yakni 192.168.72.131, diakhiri dengan menginstal zenmap sebagai alat untuk melakukan port scanning dan penyerangan

Dengan demikian dalam mengimplementasi / mensimulasikan penelitian ini dapat digambarkan spesifikasi perangkat keras dan perangkat lunak pada tabel berikut

Tabel 4. Spesifikasi Perangkat Implementasi Honeypot Posisi Sistem Operasi IP Address Tool / command Server Honeypot Ubuntu 192.168.72.131 Honeyd, honeyd-viz Attacker Ubuntu 192.168.72.1 Zenmap, nmap, LOIC, ftp

31

3.4. Rancangan Pengujian

3.4.1. Simulasi Pengujian Tahap 1

Pengujian pertama yang dilakukan adalah penyusupan dimulai dengan mendeteksi port mana saja yang terbuka pada server yang dituju, yakni dengan menjalankan zenmap pada PC attacker untuk melakukan port scanning, yakni dengan menentukan target penyerangan :

Target IP server: 192.168.72.131

Pada PC attacker jalankan Zenmap, seperti tampilan gambar 12, emudian masukkan ip pada fom target, kemudian klik scan, berikut respon zenmap

Gambar 12. Zenmap Melakukan Port Scanning

Pada gambar 12 merupakan hasil port scanning menggunakan zenmap yang dilakukan melalui PC-Attacker. Dari hasil tool zenmap ini diketahui port yang terbuka yakni

port 135, 445 dan 135, atau bisa juga attacker melakukan ping manual ke IP address komputer server honeypot melalui command prompt (shell)

# ping 192.168.72.131

3.4.2. Simulasi Pengujian Tahap 2

Pengujian kedua ini peyerangan DoS (denial of service) yakni penyerangan dengan mencoba membanjiri (flood) jaringan sehingga lalu lintas pada jaringan menjadi lambat, akses ke layanan server menjadi terhambat, dengan cara mamasukkan perintah ping atau nmap ke ip address tujuan sasaran, sebagai contoh

Ping 192.168.72.131 -t

Gambar 13. Proses Ping ke IP Server

Bisa juga menggunakan tool LOIC (Low Orbit Ion Canon) merupakan tool untuk melakukan serangan DDoS

Gambar 14. Serangan DDos Menggunakan Tool LOIC

33

Pada gambar gambar 14, langkah awal memasukkan IP addres tujuan yakni IP server dibagian IP, kemudian menentukan port dan metode serangan seperti UDP, selanjutnya menekan tombol IMMA CHARGIN MAH LAZER (tombol memulai serangan). Serangan ini menggunakan tool ini bisa berakibat lambatnya mengakses suatu IP tujuan bahkan tidak bisa diakses dari IP lainnya dalam satu jaringan. Tool ini juga dapat melumpuhkan akses ke halaman suatu website yang memiliki IP Public.

3.4.3. Simulasi Pengujian Tahap 3

Pengujian ketiga ini yang akan lakukan adalah penyusupan atau penyerangan melalui ftp, bisa dilakukan lewat shell command line atau menggunakan salah satu browser seperti mozilla firefox atau google chrome

ftp://192.168.72.131

Bisa juga menggunakan tool filezilla

Gambar 15. Akses IP server melalui FileZilla

Pada gambar 15, attacker mencoba akses IP server menggunakan tool FileZilla disertai username dan password: anonymous dan port 21.

4.1. Tanggapan Pengujian Honeyd

Pengujian telah dilakukan maka didapatkan hasil dari pengujiannya seperti tanggapan honeyd pada ping yang oleh penyerang lakukan, tanggapan honeyd terhadap usaha port scanning ke server honeyd, dan menginformasikan sistem operasi host honeyd serta layanan yang memiliki port terbuka kepada penyusup yang menggunakan zenmap sebagaimana gambar 13. Maka diperoleh hasil tanggapan dari honeyd

4.1.1. Tanggapan Pengujian Tahap 1

Tanggapan honeyd terhadap tindakan berupa port scanning menggunakan zenmap yang dilakukan oleh penyusup dengan IP address 192.168.72.1

Gambar 15. Pantauan atau Tanggapan Honeyd terhadap Port Scanning Dari Attacker Menggunakan Zenmap

Sedangkan berikut ini adalah tanggapan atau respon dari server honeyd dari ping pada command yang dilakukan oleh attacker

35

Gambar 16. Pantauan atau Tanggapan Honeyd terhadap Port Scanning Dari Attacker menggunakan Perintah Ping Pada Command Line

4.1.2. Tanggapan Pengujian Tahap 2

Tanggapan honeyd terhadap tindakan berupa DoS (denial of service) menggunakan command ping ipaddress (ping 192:168.72.131) dan atau menggunakan tool LOIC yang dilakukan oleh penyusup dengan IP address 192.168.72.1

Gambar 17. Pantauan atau Tanggapan Honeyd Terhadap Ping Dari Attacker

Hasil serangan yang dilakukan melalui PC attacker (192.168.72.1) membuktikan bahwa attacker tidak memperoleh data apapun yang umumnya ditunjukkan adanya packet loss. Sedangkan dari sisi komputer server honeyd akan menampilkan IP penyerang sampai penyerangan pada komputer atau PC attacker berhenti dengan sendirinya tanpa memperoleh apapun.

Selanjutnya pada komputer server honeyd dapat dilakukan pengamatan terhadap log yang tersimpan pada file log honeyd yang berisi catatan atau notifikasi dari serangan DoS dimana sebelumnya dilakukan tiga kali percobaan serangan terhadap komputer server honeyd. Berikut tabel hasil uji coba serangan DoS

Tabel 5. Hasil Uji Coba Serangan DoS Uji Coba

Serangan IP Address Waktu

(detik)

1. 192.168.72.1 2

2, 192.168.72.1 3

3. 192.168.72.1 2

Rata-rata Waktu 2.33

4.1.3. Tanggapan Pengujian Tahap 3

Tanggapan honeyd terhadap tindakan berupa pengaksesan FTP (File Transer Protocol) yakni serangan buffer overflow bertujuan untuk mendapatkan shell command. Shell Command ini diperlukan oleh attacker agar dapat mengakses langsung ke sistem server dan file data didalamnya, Dapat dilakukan melalui browser atau shell command yakni ftp://ipaddress (ftp://192:168.72.131) yang dilakukan oleh penyusup dengan IP address 192.168.72.1

Gambar 18. Pantauan atau Tanggapan Honeyd Terhadap Ftp Dari Attacker

Hasil pengamatan yang diperoleh pada file log honeyd terhadap serangan FTP Attack melalui shell command menunjukkan bahwa berdasarkan pengamatan waktu atau rata-rata waktu yang dibutuhkan honeyd ketika serangan berlangsung berkisar 2 detik dari tiga kali dilakukan uji coba penyerangan

37

Tabel 6. Hasil Uji Coba Serangan FTP Attack Uji Coba

Serangan IP Address Waktu

(detik)

1. 192.168.72.1 1

2, 192.168.72.1 1

3. 192.168.72.1 1

Rata-rata Waktu 1

4.2. Hasil Honeyd

Dari hasil beberapa pengujian yang dilakukan yakni port scanning, DoS dan FTP attack terhadap IP komputer server honeyd, file log honeyd menghasilkan catatan atau notifikasi dari mana sumber IP berasal atau keberadaan attacker dan rata-rata waktu yang dihasilkan oleh honeyd dalam pendeteksian terhadap serangan terjadin.

4.3. Analisa Serangan

Penganalisaan terhadap serangan bertujuan untuk mendeteksi tindakan-tindakan pengujian dari sistem yang telah dibuat, dapat dilihat dengan melakukan generate Honeyd-Viz pada interface webnya honeyd-viz, seperti pada gambar berikut ini

Gambar 19. Interface Web Log Honeyd