CHAPTER 10
NETWORK SECURITY
• Keamanan atau security adalah
mekanisme dan teknik untuk melindungi
sesuatu yang dapat berupa data atau
informasi di dalam sistem. Pada dasarnya
secutity adalah sistem yang digunakan
untuk melindungi sistem dalam suatu
jaringan keamanan agar tetap terjaga.
Elemen utama pembentuk keamanan jaringan :
• Tembok pengamanan, baik secara fisik
maupun maya, yang ditaruh diantara
piranti dan layanan jaringan yang
digunakan dan orang-orang yang akan
berbuat jahat.
• Rencana pengamanan, yang akan
diimplementasikan bersama dengan user
lainnya, untuk menjaga agar sistem tidak
bisa ditembus dari luar.
Segi-segi keamanan didefinisikan dari kelima point
ini.
• Confidentiality Mensyaratkan bahwa informasi (data)
hanya bisa diakses oleh pihak yang memiliki wewenang. • Integrity Mensyaratkan bahwa informasi hanya dapat
diubah oleh pihak yang memiliki wewenang.
• Availability Mensyaratkan bahwa informasi tersedia
untuk pihak yang memiliki wewenang ketika dibutuhkan. • Authentication Mensyaratkan bahwa pengirim suatu
informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu. • Nonrepudiation Mensyaratkan bahwa baik pengirim
maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.
Serangan (gangguan) terhadap keamanan dapat dikategorikan dalam empat kategori utama :
a. Interruption
• Suatu aset dari suatu sistem diserang sehingga
menjadi tidak tersedia atau tidak dapat dipakai
oleh yang berwenang. Contohnya adalah
perusakan/modifikasi terhadap piranti keras atau
saluran jaringan.
b. Interception
• Suatu pihak yang tidak berwenang mendapatkan
akses pada suatu aset. Pihak yang dimaksud bisa
berupa orang, program, atau sistem yang lain.
Contohnya adalah penyadapan terhadap data
dalam suatu jaringan.
c. Modification
• Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak
semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
d. Fabrication
• Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.
• Contohnya adalah pengiriman pesan palsu kepada orang lain.
Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan :
• diam dan semua akan baik-baik saja
• sembunyi dan mereka tidak akan dapat menemukan anda • teknologi yang digunakan kompleks/rumit, artinya aman
INTRUSION (HOW AN ATTACKER GAINS
CONTROL OF A NETWORK)
• Hackers use many techniques to gain
control of a network. The network
administrator needs to be aware of the
different ways an intruder can gain
Social Engineering
• A way for an intruder to obtain enough
information from people to gain access to the
network
Password Cracking
• The attacker tries to guess the user’s
password
• Dictionary Attack Uses known passwords
and many variations (upper and lowercase
and combinations) to try to log in to your
account
• Brute Force Attack Attacker uses every
possible combination of characters for the
password
Here are steps for preventing password
cracking:
• Don’t use passwords that are dictionary words.
• Don’t use your username as your password.
• Don’t use your username spelled backward as
your password.
• Limit the number of login attempts.
• Make your password strong, which means it is
sufficiently long (eight or more characters) and is
an alphanumeric combination (for example,A b 1
& G 2 5 h).
Packet Sniffing
• Suatu tindakan untuk mengetahui isi data
yang melalui Internet.
• Berdasarkan laporan dari The Computer
Emergency Response Team Coordination
Center (CERT CC), Packet Sniffing adalah
salah satu insiden yang paling banyak
terjadi.
• Para penysuup memasukkan program
Packet Sniffer untuk mendapatkan
account name dan password yang bisa
digunakan.
Vulnerable Software
• istilah Vulnerability merupakan suatu kelemahan yang memungkinkan seseorang untuk masuk dan
mendapatkan hak akses kedalam komputer yang dituju(target).
• Buffer Overflow
salah satu penyebab yang paling banyak menimbulkan masalah pada keamanan komputer baik yang bersifat lokal maupun jaringan.
Serangan Buffer overflow terjadi ketika si Attacker
memberikan input yang berlebihan pada program yang di jalankan, sehingga program mengalami kelebihan
muatan dan memory tidak dapat mengalokasikannya. Ini memberikan kesempatan kepada Attacker untuk
menindih data pada program dan men-takeover control program yang dieksekusi attacker.
Viruses and Worms
• Virus komputer merupakan program komputer yang
dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain.
• Worm atau cacing komputer dalam keamanan komputer, adalah sebutan untuk sebuah program yang
menyebarkan dirinya di dalam banyak komputer, dengan menggandakan dirinya dalam memori setiap komputer yang terinfeksi. Sebuah worm dapat menggandakan dirinya dalam sebuah sistem komputer sehingga dapat menyebabkan sistem tersebut mengalami crash
sehingga mengharuskan server harus di-restart.
Beberapa worm juga menghabiskan bandwidth yang tersedia. Worm merupakan evolusi dari virus komputer.
Pencegahan
• Antivirus
• Hati memindahkan data dari flashdisk
• Buatlah data backup.
• tampilkan “details” extention dari masing
document, Beberapa Extention yang
harus wapasdai yaitu. *.COM, *.EXE,
*.VBS, *.SCR, *.VB
Wireless Vulnerabilities
• Kelemahan jaringan wireless secara umum dapat dibagi menjadi 2 jenis, yakni kelemahan pada konfigurasi dan kelemahan pada jenis enkripsi yang digunakan.
• WEP (Wired Equivalent Privacy) yang menjadi standart keamanan wireless sebelumnya, saat ini dapat dengan mudah dipecahkan dengan berbagai tools yang tersedia gratis di internet. WPA-PSK (WiFi Protected Access-Pre Shared Key) yang dianggap menjadi solusi
menggantikan WEP, saat ini juga sudah dapat
dipecahkan dengan metode dictionary attack secara offline.
• beberapa kegiatan atau aktivitas yang dilakukan untuk pengamanan jaringan wireless, antara lain :
Menyembunyikan SSID
• Banyak administrator menyembunyikan Services Set Id (SSID) jaringan wireless mereka dengan maksud agar hanya yang mengetahui SSID yang dapat terhubung ke jaringan mereka.
• SSID sebenarnya tidak dapat disembunyikan secara
sempurna. Pada saat-saat tertentu atau khususnya saat client akan terhubung (associate) atau ketika akan
memutuskan diri (deauthentication) dari sebuah jaringan wireless, maka client tetap akan mengirimkan SSID
dalam bentuk plain text (meskipun menggunakan
enkripsi), sehingga jika kita bermaksud menyadapnya, dapat dengan mudah menemukan informasi tersebut. • Beberapa tools yang dapat digunakan untuk
mendapatkan SSID yang di hidden antara lain, kismet (kisMAC), ssid_jack (airjack), aircrack, void11 dan masih banyak lagi.
Keamanan wireless hanya dengan kunci
WEP
WEP merupakan standart keamanan & enkripsi
pertama yang digunakan pada wireless, WEP
memiliki berbagai kelemahan antara lain :
• Masalah kunci yang lemah, algoritma RC4
yang digunakan dapat dipecahkan.
• WEP menggunakan kunci yang bersifat statis.
• Masalah Initialization Vector (IV) WEP.
• Masalah integritas pesan Cyclic Redundancy
Check (CRC-32).
Keamanan wireless hanya dengan kunci
WPA-PSK atau WPA2-PSK
• WPA merupakan teknologi keamanan sementara yang diciptakan untuk menggantikan kunci WEP. Ada dua jenis yakni Personal (PSK), dan WPA-RADIUS.
• Saat ini yang sudah dapat di-crack adalah WPA-PSK, yakni dengan metoda brute force attack secara offline. Brute force dengan menggunakan
• Serangan ini akan berhasil jika passphrase yang
digunakan wireless tersebut memang terdapat pada kamus kata yang digunakan si hacker.
• Untuk mencegah adanya serangan terhadap keamanan wireless menggunakan WPA-PSK, gunakanlah
• Captive Portal
• MAC Filtering
• Wireless Intrusion Prevention System
(WIPS)
War Driving
• tindakan mencari Wi-Fi jaringan nirkabel
oleh orang dalam kendaraan yang
bergerak, menggunakan komputer
portabel atau PDA .
• Software untuk wardriving tersedia secara
bebas di internet , terutama Netstumbler
untuk Windows , Kismet atau SWScanner
untuk Linux , FreeBSD , NetBSD ,
OpenBSD , Dragonfly BSD , dan Solaris ,
dan KisMac untuk Macintosh .
• Warbiking
• Warwalking
• Warkitting
• rootkitting.
DENIAL OF SERVICE
• Denial of service adalah jenis serangan
yang tujuannya adalah mencegah
pengguna yang sesungguhnya menikmati
layanan yang diberikan server.
• Secara umum ada 2 cara melakukan
serangan DoS:
1. Mematikan Server
2. Menyibukkan Server
• Tanpa bug/vulnerability
Smurf Attack
• Smurf attack adalah serangan secara
paksa pada fitur spesifikasi IP yang kita
kenal sebagai direct broadcast
addressing.
• Seorang Smurf hacker biasanya
membanjiri router kita dengan paket
permintaan echo Internet Control
Message Protocol (ICMP) yang kita kenal
sebagai aplikasi ping.
DoS dengan Mematikan Server
• Tujuan serangan ini adalah membuat server
shutdown, reboot, crash, “not responding”. Jadi
serangan ini menghasilkan kerusakan yang
sifatnya persisten artinya kondisi DoS akan tetap
terjadi walaupun attacker sudah berhenti
menyerang, server baru normal kembali setelah
di-restart/reboot.
contoh vulnerability yang berakibat pada DoS
attack
• Ping of Death ( CA-1996-26 )
• MySQL IF Query DoS ( SA25188 )
• Cisco Global Site Selector DNS Request Denial
of Service (SA33429)
DoS dengan Menyibukkan Server
• Jenis DoS ini bersifat sementara, server
akan kembali normal bila attacker berhenti
mengirimkan request yang membuat sibuk
server.
• DoS jenis ini terbagi lagi menjadi 2 jenis
berdasarkan cara melakukan serangan:
1. Exploiting vulnerability: Menyerang
dengan malicious request/packet
2. No vulnerability exploitation: Menyerang
dengan normal request/packet
Make Server Busy by Exploiting
Vulnerability
• Dalam serangan DoS jenis ini, attacker memanfatkan bug yang membuat server berlebihan dalam
menggunakan resource (cpu,memory,disk space dsb). • Biasanya serangan DoS jenis ini tidak berupa serangan
“one shot one kill”. Serangan dilakukan dengan melakukan banyak request dengan setiap request
membuat server mengonsumsi lebih banyak resource dari request yang normal.
• Dalam hitungan matematika sederhana, bila attacker bisa membuat server bekerja selama 10 detik hanya untuk melayani dia (misal normalnya 0,1 detik), maka attacker bisa mengirimkan request 1.000x untuk
membuat server melayani dia selama 10.000 detik (2,7 jam lebih) sehingga membuat pengguna lain tidak bisa menikmati layanan server.
• contoh-contoh vulnerability yang bisa
diexploit untuk melancarkan serangan
DoS jenis ini:
• TCP SYN Flood DoS
Make Server Busy Without Exploiting
Vulnerability
• Ini adalah jenis serangan yang mengandalkan pada kemampuan mengirimkan normal request sebanyak-banyaknya sehingga server menjadi sibuk.
• Perbedaan DoS jenis ini dengan DoS yang mengexploit vulnerability adalah pada requestnya. Request yang
dikirimkan pada DoS jenis ini adalah request yang
normal seperti yang dilakukan pengguna biasa, sehingga server tidak mengonsumsi resource berlebihan.
Sedangkan DoS yang mengandalkan vulnerability
mengirimkan specially crafted malicious request untuk membuat server mengonsumsi resource lebih banyak untuk melayani malicious request tersebut.
Distributed Denial of Service (DDos)
• adalah salah satu jenis serangan Denial of Service yang
menggunakan banyak host penyerang (baik itu menggunakan komputer yang didedikasikan untuk melakukan penyerangan atau komputer yang "dipaksa" menjadi zombie) untuk
menyerang satu buah host target dalam sebuah jaringan.
• Serangan Denial of Service klasik bersifat "satu lawan satu", sehingga dibutuhkan sebuah host yang kuat (baik itu dari kekuatan pemrosesan atau sistem operasinya) demi
membanjiri lalu lintas host target sehingga mencegah klien yang valid untuk mengakses layanan jaringan pada server yang dijadikan target serangan.
• Serangan DDoS ini menggunakan teknik yang lebih canggih dibandingkan dengan serangan Denial of Service yang klasik, yakni dengan meningkatkan serangan beberapa kali dengan menggunakan beberapa buah komputer sekaligus, sehingga dapat mengakibatkan server atau keseluruhan segmen
FIREWALLS AND ACCESS LISTS
• Firewall merupakan suatu cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun sistem itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya.
• Access list adalah pengelompokan paket berdasarkan kategori.Penggunaan access list yang paling umum dan paling mudah untuk dimengerti adalah penyaringan
paket yang tidak diinginkan ketika mengimplementasikan kebijakan keamanan.
• Packet Filtering
• Proxy Server
• stateful firewall
• Jenis dan standart access list
• Tipe dan cara kerja firewall
INTRUSION DETECTION
• Intrusion Detection System digunakan
untuk mendeteksi aktivitas yang
mencurigakan dalam sebuah sistem atau
jaringan. Intrusion adalah aktivitas tidak
sah atau tidak diinginkan yang
mengganggu konfidensialitas, integritas
dan atau ketersediaan dari informasi yang
terdapat di sebuah sistem.
Tipe dasar IDS
• Rule-based systems : berdasarkan atas
database dari tanda penyusupan atau serangan
yang telah dikenal. Jika IDS mencatat lalu lintas
yang sesuai dengan database yang ada, maka
langsung dikategorikan sebagai penyusupan.
• Adaptive systems: mempergunakan metode
yang lebih canggih. tidak hanya berdasarkan
database yang ada, tetapi juga membuka
kemungkinan untuk mendeteksi terhadap
bentuk-bentuk penyusupan yang baru.
Jenis-jenis IDS Ada dua jenis, yakni:
• Network-based Intrusion Detection System (NIDS): Network intrusion detection systems adalah jenis IDS yang bertanggung jawab untuk mendeteksi serangan yang berkaitan dengan
jaringan[4]. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada “pintu masuk” jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit
diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet
sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
• Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Cara kerja IDS
• Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan
pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
• Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya,
adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false
Kelebihan
• dapat mendeteksi “external hackers” dan serangan jaringan internal
• dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
• dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama
• menyediakan pertahanan pada bagian dalam • menyediakan layer tambahan untuk perlindungan • ids memonitor Internet untuk mendeteksi serangan
• ids membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif
• ids memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh
• adanya pemeriksaan integritas data dan laporan perubahan pada file data • ids melacak aktivitas pengguna dari saat masuk hingga saat keluar
• ids menyederhanakan sistem sumber informasi yang kompleks
Kekurangan
• Lebih bereaksi pada serangan daripada mencegahnya • menghasilkan data yang besar untuk dianalisis
• rentan terhadap serangan yang “rendah dan lambat” • tidak dapat menangani trafik jaringan yang terenkripsi • ids hanya melindungi dari karakteristik yang dikenal
• ids tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu
• ids tidak menyediakan penanganan kecelakaan • ids tidak mengidentifikasikan asal serangan
• ids hanya seakurat informasi yang menjadi dasarnya • Network-based IDS rentan terhadap “overload”
• Network-based IDS dapat menyalahartikan hasil dari transaksi yang mencurigakan
Contoh program IDS
• * chkwtmp - Program yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong.
• * tcplogd - Program yang mendeteksi stealth scan. stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server
mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan
koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux.
• * hostsentry - Program yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time
anomalies), dan anomali lokal (local anomalies). • * snort
• Snort adalah program IDS yang bekerja pada umumnya pada sistem
operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform [5]. Snort pada umumnya merujuk kepada intrusion detection
system yang sifatnya lightweight atau ringan karena diperuntukkan bagi
