bab iii analisis dan perancangan -...
TRANSCRIPT
III-1
BAB III
ANALISIS DAN PERANCANGAN
3.1 Layanan HTTP Pada Jaringan Kampus ITB
ITB menyediakan beberapa layanan jaringan untuk mendukung kegiatan-kegiatan
akademis bagi mahasiswa, pegawai maupun dosen di dalam kampus. Terdapat
empat (4) kategori utama layanan yang disediakan, yaitu layanan HTTP, layanan
SMTP, layanan Webmail dan layanan lainnya [NIC08].
Layanan HTTP memberikan akses bagi pengguna jaringan kampus untuk
melakukan web browsing dan light downloading. Dengan tujuan performansi,
penghematan bandwidth dan keamanan, ITB mengimplementasikan teknologi
caching/proxy pada layanan tersebut. Untuk itu, beberapa server yang merupakan
gerbang jaringan kampus ke internet dipasangkan software yang berfungsi sebagai
caching sekaligus proxy server.
Software yang dipasang pada proxy server di ITB juga adalah Squid. Software ini
lebih populer di kalangan pengguna jaringan di kampus ITB sebagai ‘Penjaga
Cumi’. Proxy server ini juga menerapkan caching, sehingga data yang di-request
oleh pengguna di dalam kampus kepada server di luar akan disimpan sementara
ke proxy server. Sehingga hal ini akan meningkatkan performansi dalam browsing
internet. Selain melakukan caching, proxy server ini juga digunakan untuk
melakukan penyaringan paket data baik itu yang masuk maupun yang keluar
jaringan kampus. Sehingga pengguna layanan internet di dalam kampus ITB tidak
bisa sembarangan melakukan request kepada server yang berada di luar. Sehingga
proxy server ini dapat memblokir URL yang tidak sesuai dengan kebijakan yang
sudah ditetapkan para pengambil kebijakan layanan internet kampus.
Berikut beberapa daftar proxy server yang menghubungkan jaringan kampus ITB
ke internet.
III-2
Tabel III-3.1-1 Proxy Server ITB
NO Server Port 1 cache.itb.ac.id / 167.205.22.103 8080 2 cache1.itb.ac.id / 167.205.22.104 8080 3 cache2.itb.ac.id / 167.205.23.15 8080 4 cache3.itb.ac.id / 167.205.23.5 8080 5 cache4.itb.ac.id / 167.205.23.27 8080 6 cache1.comlabs.itb.ac.id 3128 7 cache.if.itb.ac.id 3128
Untuk melakukan akses ke jaringan internet di luar kampus, pengguna harus
melakukan pairing ke suatu web proxy server di ITB. Pairing ini membutuhkan
otentikasi, yaitu menggunakan Akun Jaringan ITB (AJI) yang aktif. Jika proses
otentikasi berhasil, maka pengguna dapat terkoneksi ke internet namun masih
tetap melalui proxy server tersebut. Sehingga proxy server ini dapat
mengendalikan lalu lintas paket data yang dilakukan.
Pada tugas akhir ini, analisis serangan Man in The Middle (MiTM) fokus pada
layanan HTTP yang disediakan pada jaringan kampus ITB ini. Informasi
otentikasi pada web proxy server akan dijadikan target serangan sekaligus yang
diharapkan dapat terlindungi dari hasil pengerjaan tugas akhir ini.
3.2 Tahapan Serangan Man in The Middle (MiTM)
Dalam melakukan aktifitas hacking, terdapat suatu metodologi umum yang
dilakukan oleh para attacker untuk melakukan serangan terhadap suatu sistem.
Berikut ini metodologi hacking yang dapat dijadikan sebagai panduan dalam
melakukan serangan Man in The Middle [UNI09].
a. Reconnaissance
Tahapan persiapan ini merupakan tahapan dimana penyerang berusaha
mendapatkan informasi yang umum sebanyak-banyaknya dari calon korban
atau sistem yang menjadi target serangan. Informasi ini dapat berupa nama
III-3
domain, alamat IP/MAC, sistem operasi dan semua informasi lainnya yang
dibutuhkan oleh penyerang.
b. Scanning
Pada tahapan ini penyerang melakukan penyelidikan (probing) terhadap
korban, misalnya untuk mengetahui apakah host tersebut sedang aktif atau
untuk mencari tahu port apa saja yang terbuka yang berpotensi untuk
dijadikan jalan masuk serangan.
c. Gaining Access
Setelah menemukan jalan masuk, maka tahapan selanjutnya adalah mencoba
memasuki sistem untuk mendapatkan akses terhadap sistem tersebut.
d. Maintaining Access
Setelah berhasil mendapatkan akses pada sistem target, agar penyerang dapat
kembali masuk ke sistem tersebut dengan mudah, maka penyerang melakukan
beberapa modifikasi terhadap sistem tersebut, misalnya dengan menanamkan
backdoor.
e. Covering Tracks
Tahapan penting lainnya adalah melakukan pembersihan segala aktifitas yang
telah dilakukan pada sistem, sehingga pihak korban tidak mengetahui bahwa
dirinya telah diserang. Hal umum yang biasa dilakukan pada tahapan ini
adalah menghapus semua log pada sistem yang berpotensi mengungkapkan
aktifitas serangan.
Untuk melakukan serangan Man in The Middle pada jaringan ethernet yang
bertujuan untuk mendapatkan Akun Jaringan ITB (AJI) yang dilewatkan pada
jaringan lokal, penulis mengikuti beberapa tahapan tahapan berikut.
3.2.1 Mendapatkan Konfigurasi Jaringan
Informasi yang dibutuhkan untuk melakukan serangan antara lain, range alamat
IP yang digunakan, subnet mask jaringan, gateway server dan DNS server
jaringan. Karena sebagian besar jaringan-jaringan komputer di ITB selain
menyediakan koneksi ethernet, juga menyediakan jaringan access point dengan
III-4
fitur DHCP enabled, maka hal ini tentu saja dapat dimanfaatkan untuk
mendapatkan informasi yang dibutuhkan tersebut.
Ketika suatu komputer melakukan koneksi dengan jaringan access point maka
konfigurasi jaringan akan diberikan secara otomatis. Dengan begitu, maka
penyerang dapat melihat dan mencatat konfigurasi untuk jaringan tersebut, yaitu
range alamat IP, Subnet Mask, Default Gateway, dan DNS Server.
Berikut konfigurasi jaringan untuk jaringan Laboratorium Dasar III Gedung
Benny Subianto (Teknik Informatika) serangan Man in The Middle dilakukan.
o Range alamat IP : 167.205.32.0 - 167.205.35.254
o Subnet Mask : 255.255.254.0
o Default Gateway : 167.205.34.1 (paspati.if.itb.ac.id)
o DNS Server : 167.205.32.2
3.2.2 IP Statik dan MAC Spoofing
Kebanyakan jaringan lokal di kampus ITB menerapkan kebijakan pendaftaran
MAC address sebelum dapat memanfaatkan DHCP jaringan. Hal ini bertujuan
untuk memudahkan pelacakan apabila terjadi aktifitas-aktifitas mencurigakan dari
pengguna jaringan. Bagi penyerang, tentu saja hal ini sangat ‘mengganggu’.
Sehingga sebelum melakukan serangan, penyerang dapat melakukan konfigurasi
statis alamat IP komputernya sesuai keinginan berdasarkan informasi yang didapat
pada langkah 3.2.1.
Untuk lebih menyulitkan pihak system administrator jaringan melakukan
pelacakan, penyerang dapat melakukan penyamaran lebih lebih lanjut. Selain
menentukan sendiri alamat IP, penyerang juga dapat menyamarkan alamat MAC
komputernya. Dengan bantuan tools MAC spoofing, alamat fisik NIC komputer
penyerang pun dapat diubah secara logic.
III-5
3.2.3 Peracunan ARP (ARP Poisoning)
Pada metodologi hacking seperti yang sudah dijabarkan sebelumnya, tahapan ini
dapat dikategorikan sebagai tahap gaining sccess, yaitu usaha untuk masuk ke
dalam sistem target. Pada serangan MiTM ini, koneksi antara komputer target
serangan dapat dianggap sebagai sistem yang akan diserang. Tahapan ini adalah
bagian utama dan penting dalam penerapan konsep Man in The Middle untuk
melakukan penetrasi lalulintas data pada jaringan lokal yaitu penerapan teknik
ARP poisoning. Prinsip dasar ARP poisoning adalah pemalsuan ARP cache yang
dimiliki komputer korban sehingga korban menganggap alamat MAC komputer
yang ingin dikomunikasikan berasosiasi dengan alamat IP komputer penyerang,
bukan alamat IP komputer sebenarnya.
Seperti yang dijelaskan pada Bab II Dasar Teori mengenai Address Resolution
Protocol (ARP), demi menyediakan proses komunikasi yang sederhana, cepat dan
efisien, para penemu dan perancang jaringan pada akhirnya harus membawa
protokol ARP ini kepada kelemahan terbesarnya yaitu vulnerability. Ketika suatu
komputer menyiarkan ARP request ke seluruh node pada jaringan, dengan
mudahnya komputer tersebut akan mempercayai ARP reply yang dikirimkan oleh
suatu node pada jaringan tersebut kepada dirinya. Protokol ini tidak menyediakan
fungsi apapun untuk melakukan verifikasi apakah node yang membalas ARP
request tersebut adalah memang alamat yang dituju untuk dikomunikasikan.
Kelemahan protokol ARP inilah yang kemudian dimanfaatkan oleh para
penyerang untuk melakukan penetrasi pada jaringan lokal antara lain: Denial of
Service, Man in The Middle, dan MAC Flooding.
Pada serangan Man in The Middle, penyerang menempatkan komputernya secara
lojik diantara dua komputer yang sedang melakukan koneksi. Hal ini dapat
dilakukan dengan menerapkan pemalsuan dan peracunan ARP, sehingga lalulintas
data antara kedua pihak korban dilewatkan melalui komputer penyerang, yang
mengakibatkan penyerang dapat melakukan penyadapan dan ekstraksi informasi
dari paket-paket data tersebut.
III-6
3.2.4 Packet Capturing & Analysis dengan Pcap
Setelah serangan ARP poisoning barhasil diterapkan sehingga terjalin link
komunikasi antara target melalui komputer penyerang, maka langkah selanjutnya
adalah menangkap dan menganalisis paket data yang dilewatkan pada komputer
penyerang. Untuk melakukan hal ini, perangkat lunak yang dapat dipasang adalah
pcap. Pcap adalah suatu Aplication Programming Interface (API) library yang
dapat dimanfaatkan untuk menangkap, menulis ke suatu berkas, dan menganalisis
isi dari paket data yang dilewatkan tersebut. Bahkan versi terbarunya dapat
melakukan transmisi paket data sudah diinjeksi atau dimodifikasi.
Pcap pada awalnya dikembangkan untuk platform Unix yaitu libpcap yang
digunakan untuk packet sniffer tcpdump. Namun dalam perkembangannya,
disediakan juga pcap untuk platform Windows, yaitu WinPCap. Hal ini tentu saja
mendorong munculnya berbagai jenis tool packet sniffer untuk sistem operasi
Windows, misalnya Ettercap dan Cain & Abel.
3.3 Analisis Serangan Tools MiTM
Beberapa hacking tools populer yang merupakan implementasi dari konsep
serangan Man in The Middle pada jaringan ethernet akan dibahas dan dianalisis
lebih mendalam pada subbab ini. Beberapa tools yang masih powerful dewasa ini
dan sering digunakan untuk melakukan penyadapan informasi maupun analisis
keamanan pada jaringan lokal antara lain: dsniff, Ettercap dan Cain & Abel.
Sebagai informasi, untuk melakukan dan menganalisis serangan MiTM
menggunakan tools tersebut, penulis melakukan penetrasi langsung pada salah
satu jaringan komputer di ITB, yaitu jaringan Laboratorium Dasar III Gedung
Beny Subianto (Teknik Informatika). Penetrasi ini sudah mendapat perizinan dari
pihak admin jaringan dengan persyaratan serangan hanya dilakukan pada
komputer sendiri dan tidak mengganggu privasi informasi pihak lain yang
menggunakan jaringan yang sama.
III-7
Berikut ini skema skenario serangan MiTM yang akan dilakukan dengan
menggunakan beberapa tool tersebut diatas.
Gambar III-1 Skema Serangan Tools MiTM
Pada skema skenario serangan di atas, attacker akan melakukan serangan Man in
The Middle antara komputer korban dengan gateway jaringan. Hal ini
memungkinkan attacker untuk dapat melakukan penyadapan semua koneksi dan
lalulintas informasi antara komputer victim dengan pihak luar yang dilewatkan
melalui komputer Gateway, misalnya situs-situs apa saja yang diakses oleh victim,
komunikasi instant messaging, akun email POP/IMAP dan juga Akun Jaringan
ITB yang digunakan untuk melakukan otentikasi pada Proxy Server.
3.3.1 dsniff
dsniff adalah suatu tool yang dapat mengendus paket data yang berlalu-lalang
pada suatu jaringan. Software ini dikembangkan oleh Dug Song, peneliti
keamanan komputer pada Universitas Michigan. Selain membaca dan
menganalisis data mentah yang tertangkap, dsniff juga memiliki kemampuan
teknik MiTM, yaitu membangkitkan dan mengirimkan informasi tertentu ke
jaringan dengan tujuan untuk melakukan penyerangan [WIK09-c].
III-8
Selain kemampuan dasar mendapatkan password pada jaringan lokal, dsniff juga
memiliki beberapa plugin, antara lain:
- webspy, suatu program yang dapat melakukan intersepsi URL yang
dikirimkan oleh alamat IP tertentu. Akibatnya, korban membuka halaman
web palsu yang sudah dibuat oleh penyerang
- sshmitm dan webmitm, program yang dirancang untuk melakukan
intersepsi komunikasi SSH v1 dan lalulintas web dengan menerapkan
serangan MiTM
- msgsnarf, program yang dirancang untuk melakukan penyadapan
percakapan Instant Messenger dan IRC
- macof, suatu program yang dirancang untuk menyerang ethernet switch
dengan membanjirinya dengan paket data MAC addresses palsu (MAC
Flooding)
3.3.2 Et
Ettercap a
analisis p
melakukan
mendapatk
dan Marc
suatu LAN
graphical
platform b
d].
Beberapa
- Me
- Me
SS
- Me
Berikut wa
1. Tentu
melak
tercap
adalah salah
protokol jar
n interseps
kan passwo
co Valleri (
N. Versi t
user interf
baik itu Linu
serangan ya
enyisipkan,
endapatkan
SH1 dan seb
embangkitk
alkthrough
ukan Netwo
kukan aktifi
h satu open s
ringan dan
si lalu lint
ord. Tool in
(NaGA) de
erakhir ette
rface (GUI)
ux, FreeBS
ang dapat d
mengubah
password u
bagainya
kan sertifika
serangan M
ork Interfa
itas sniffing
source softw
n keamanan
tas data p
ni dikemba
engan mene
ercap adala
) dan juga
D, Mac OS
ilakukan m
atau mengh
untuk proto
at SSL palsu
Man in The M
ace Card
ware yang d
nnya. Kem
pada jaring
angkan oleh
erapkan tek
ah NG-0.7.
sudah ters
SX, Solaris m
enggunakan
hapus data p
okol-protoko
u pada proto
Middle men
(NIC) yan
digunakan u
mampuan u
gan, salah
h Alberto O
knik serang
.3 yang su
sedia untuk
maupun Wi
n Ettercap a
pada suatu k
ol seperti FT
okol HTTPS
nggunakan t
ng akan d
untuk melak
utamanya a
satunya a
Ornaghi (A
gan MiTM
dah mendu
k sebagian
indows [WI
antara lain:
koneksi
TP, HTTP,
S.
tool ettercap
digunakan u
III-9
kukan
adalah
adalah
ALoR)
pada
ukung
besar
IK09-
POP,
p.
untuk
2. Melak
subne
3. Mena
sedan
Middl
kukan scan
et yang sama
ampilkan ha
ng aktif dan
le
nning terhad
a
asil scannin
n menentuk
dap semua
ng yaitu al
kan Target
nodes yg a
amat MAC
1 dan Targ
aktif pada j
C dan alam
get 2 serang
I
jaringan de
mat IP host
gan Man in
III-10
engan
yang
n The
4. Melak
5. Memu
3.3.3 Ca
Menurut s
untuk me
dalam ken
dapat dim
Cain & A
hanya me
GUI.
kukan ARP
ulai aktifita
ain & Abel
situs resmi
ndapatkan
nyataannya,
manfaatkan
Abel yang p
ndukung si
Poisoning
s sniffing pa
l
developer-
kembali pa
, begitu ban
dalam akti
paling baru
istem opera
terhadap ta
ada target y
-nya, Cain
assword pa
nyak kemam
ifitas hacki
pada saat d
asi Window
arget yang d
yang sudah d
& Abel ad
ada sistem
mpuan-kem
ng menggu
dokumen in
ws. Versi ter
dipilih
dilakukan p
dalah tool
operasi W
mampuan te
unakan free
ni ditulis ad
rsebut suda
I
peracunan A
yang digun
Windows. N
ersembunyi
eware ini.
dalah 4.9.30
ah menggun
III-11
ARP
nakan
amun
yang
Versi
0 dan
nakan
Untuk me
lain:
- Me
- Me
cra
- Se
- Me
- Me
- Me
- Me
Berikut w
Abel.
1. Meng
elakukan pa
elakukan pe
elakukan c
acking
rangan brut
erekam perc
elakukan de
encari dan m
elakukan an
walkthrough
gaktifkan mo
assword re
enyadapan l
cracking pa
te-force dan
cakapan Vo
ecoding pas
membaca pa
nalisis proto
h serangan
ode Sniffing
ecovery, lan
lalulintas da
assword ya
n cryptanaly
oIP
ssword acak
assword yan
okol routing
Man in Th
g dan ARP P
ngkah-langk
ata pada jari
ang terenkr
ysis
k
ng tersimpa
g
he Middle m
Poisoning
kah yang d
ingan lokal
ripsi meng
an, dan
menggunak
I
dilakukan a
ggunakan k
kan tool Ca
III-12
antara
kamus
ain &
2. Melak
subne
3. Mene
The M
kukan scann
et yang sama
entukan alam
Middle
ning seluru
a dengan at
mat-alamat
uh komputer
ttacker
IP yang ak
r yang terhu
kan dijadika
ubung ke ja
an sasaran s
I
aringan dan
serangan M
III-13
pada
Man in
4. Mena
Dari perco
atas, kesem
mendapatk
Skema ser
- Me
- Me
- Me
url
Sehingga
bahwa ser
yaitu:
a. ARP P
Yaitu
menga
dengan
ampilkan ha
obaan peng
muanya me
kan informa
rangan tools
enentukan k
elakukan pe
enangkap p
l)
dari analis
rangan Man
Poisoning/Sp
peracuna
asosiasikan
n alamat M
asil informas
gunaan beb
enggunakan
asi penting y
s tersebut ya
kedua pihak
eracunan/pe
paket dan m
sis penggun
n in The M
Spoofing
an ARP
alamat IP k
MAC palsu,
si yang dida
berapa tools
n suatu skem
yang dikom
aitu:
k target sera
enipuan AR
mengekstrak
naan bebera
Middle ini te
cache k
komputer y
yaitu milik
apat dari ser
s dalam me
ma serangan
munikasikan
angan
RP
ksi informas
apa tools te
erbagi menj
komputer-k
yang akan m
komputer p
rangan terse
lakukan ser
n yang seru
n antara kedu
sinya (usern
ersebut, da
jadi dua (2)
komputer
menjadi law
penyerang,
I
ebut.
rangan MiT
upa dalam u
ua pihak ko
name, passw
apat disimpu
) bagian pe
target de
wan komun
sehingga te
III-14
TM di
upaya
orban.
word,
ulkan
enting
engan
nikasi
erjadi
III-15
jalinan koneksi antara komputer-komputer korban melalui komputer
penyerang.
b. Packet Sniffing
Ketika penyerang berhasil ‘membelokkan’ jalur koneksi kedua komputer
korban melalui komputernya, maka bagian lain dari serangan Man in The
Middle ini adalah aktifitas sniffing yaitu melakukan capturing paket data yang
dilewatkan melalui kartu jaringannya. Tujuannya adalah untuk menyadap
informasi penting yang terkandung pada paket data tersebut.
3.4 Pertahanan terhadap Serangan MiTM
Berdasarkan analisis berbagai tool pada subbab sebelumnya, serangan ini Man in
The Middle ini dapat dibagi menjadi dua (2) komponen penting yaitu:
- ARP poisoning/spoofing
- Packet sniffing
Pada subbab ini akan dienumerasikan semua kemungkinan solusi yang dapat
dilakukan dalam melakukan pertahanan terhadap serangan Man in The Middle
yaitu dengan mencegah penerapan kedua teknik serangan di atas. Analisis
mengenai kemungkinan dapat-tidak dan layak-tidaknya kandidat-kandidat solusi
ini untuk diimplementasikan pada jaringan kampus ITB akan dijabarkan pada
subbab berikutnya.
3.4.1 Pertahanan terhadap ARP Poisoning/Spoofing
Berikut ini beberapa kandidat solusi yang dapat diujikan untuk melakukan
pertahanan terhadap teknik serangan ARP Poisoning/Spoofing
a. Static ARP Table Entry
Untuk melakukan pencegahan peracunan ARP table pada komputer, salah
satu langkah yang dapat dilakukan oleh klien adalah dengan melakukan set
statis ARP table entri. Dengan begitu, pihak luar (penyerang) tidak akan
dapat melakukan update entri pada ARP table klien dengan cara
mengirimkan ARP reply ke klien.
III-16
Pada sistem operasi Windows, langkah-langkah dalam melakukan set
statis ARP adalah sebagai berikut.
1. Jalankan command prompt
2. Hapus semua ARP table entri dengan perintah arp -d
3. Masukkan entri yang ingin dibuat statis, misalnya IP dan MAC
address gateway jaringan.
4. Periksa apakah konfigurasi yang dilakukan sudah sesuai yang diharapkan.
b. ARP Guard
ARP Guard adalah salah satu solusi sistem untuk perlindungan terhadap
serangan ARP-based pada jaringan ethernet. ARP Guard secara terus
menerus memonitor dan menganalisis semua pesan ARP kemudian akan
mengirimkan pesan peringatan secara real-time apabila mengidentifikasi
adanya serangan. ARP Guard mudah diintegrasikan dengan lingkungan
keamanan jaringan yang sudah ada, misalnya firewall, virus scanner,
maupun NIDS (Network Intrusion Detection System).
ARP Guard terdiri dari beberapa sensor yang memiliki kemampuan untuk
mendeteksi serangan ARP spoofing dan melaporkan kepada system
administrator secara otomatis. Sensor-sensor ini tersambung pada Sistem
Manajemen ARP Guard menggunakan koneksi IP terenkripsi. Sistem
manajemen ARP Guard menganalisis semua pesan yang masuk, jika ARP
Guard mencurigai adanya serangan, maka akan admin akan
diinformasikan misalnya melalui email ataupun SMS.
C:\>arp -d
C:\>arp -s 167.205.34.1 00-AA-BB-CC-DD-EE
C:\>arp -a
III-17
c. Dynamic ARP Inspection (DAI)
Untuk mencegah serangan ARP Poisoning pada jaringan, switch pada
jaringan tersebut harus memastikan bahwa ARP request dan reply yang
valid saja yang dilewatkan. DAI mencegah serangan ini dengan
melakukan intersepsi semua ARP request dan response. Untuk setiap
paket yang diintersepsi ini kemudian diverifikasi untuk mengetahui apakah
binding alamat IP dengan alamat MAC itu valid sebelum ARP cache lokal
dilakukan update entrinya atau paket tersebut diteruskan ke tujuannya.
Untuk setiap paket ARP yang tidak valid kemudian akan dibuang [CIS09].
DAI memastikan valid tidaknya paket ARP didasarkan pada binding
alamat MAC dengan alamat IP yang valid yang tersimpan pada database
yang dipercaya. Database ini dibangkitkan oleh DHCP snooping pada saat
runtime.
d. Port Security
Port security adalah suatu fitur keamanan yang disediakan pada suatu
perangkat switch tertentu. Opsi pertama dalam implementasi port security
adalah apa yang disebut dengan MAC locking. Cara kerjanya adalah
memaksa switch agar hanya mengizinkan satu MAC address saja yang
dapat terhubung untuk setiap port fisik yang terdapat pada switch. Fitur ini
mencegah para penyerang untuk melakukan perubahan MAC address
ataupun melakukan mapping lebih dari satu MAC address untuk
komputernya. Jika ada percobaan untuk melanggar aturan tersebut, maka
switch langsung mematikan port tersebut. Tentu saja hal ini dapat
mencegah teknik ARP poisoning yang merupakan bagian dari serangan
Man in The Middle [TEC09].
Opsi-opsi lainnya antara lain:
- MAC Lockout: Mencegah MAC address tertentu untuk dapat
terhubung pada switch
III-18
- MAC Learning: Menggunakan knowledge koneksi langsung setiap
port, switch dapat melakukan konfigurasi keamanan berdasarkan
koneksi yang sedang terjadi
- Remote Configuration: Membatasi konfigurasi jarak jauh untuk
alamat IP tertentu yaitu menggunakan SSH ketimbang telnet.
Sebab telnet melewatkan username dan password tanpa enkripsi,
sehingga rentan terbaca oleh setiap komputer yang terhubung pada
jaringan.
3.4.2 Pertahanan terhadap Serangan Packet Sniffing
Bagian penting lainnya dari serangan Man in The Middle ini adalah penyadapan
isi paket data. Ketika serangan bagian pertama yaitu ARP poisoning/spoofing
berhasil dijalankan pada komputer-komputer target maka paket-paket data milik
korban akan dilewatkan ke komputer penyerang. Berikut beberapa kandidat solusi
yang dapat diimplementasikan untuk melindungi kerahasiaan isi paket data dari
aktifitas sniffing.
a. AntiSniff
Merupakan anti sniffing tool yang sedang dikembangkan oleh L0pht
Heavy Industries, dirancang untuk melakukan pendeteksian komputer-
komputer yang berada pada jaringan yang dicurigai sedang melakukan
aktifitas sniffing. AntiSniff melakukan pendeteksian dengan cara melacak
ethernet card yang sedang berada dalam promiscuous mode (melewatkan
& menangkap paket data yang bukan ditujukan kepadanya ketimbang
melakukan dropping).
AntiSniff akan melakukan pelaporan kepada network administrator
apabila tool yang dipasang pada jaringan tersebut mendeteksi adanya
kemungkinan aktifitas sniffing. Pelaporan ini dapat berupa peringatan
berupa suara dan visual, serta dengan mengirimkan email. Sayangnya tool
ini bersifat komersil, sehingga hanya diberikan waktu 15 hari untuk
mencoba trial version, kemudian selanjutnya harus melakukan registrasi.
III-19
b. Stunnel
Stunnel adalah suatu program yang memungkinkan untuk melakukan
pembungkusan koneksi TCP tidak terenkripsi ke dalam koneksi SSL
(Secure Socket Layer). Artinya program ini dapat melakukan pengamanan
terhadapat koneksi yang tidak dienkripsi dimana datanya dikirimkan
secara plain-text dengan mengimplementasikan protokol SSL pada
koneksi tersebut. Program ini dapat bekerja pada berbagai sistem operasi
misalnya Unix-like dan Windows.
Kebanyakan penggunaan dari Stunnel ini adalah untuk melakukan
perlindungan atau melakukan enkripsi antara mail server POP atau IMAP
dengan email client. Hal ini dikarenakan kedua protokol ini membutuhkan
otentikasi username dan password, sedangkan pengiriman informasi
tersebut tidak terenkripsi, sehingga penyadapan terhadapat informasi yang
ditransmisikan tersebut sangat membahayakan bagi pemiliki akun email.
3.5 Analisis Kandidat Solusi
Subbab ini merupakan penjabaran dari hasil analisis kandidat-kandidat solusi yang
sudah dienumerasikan pada subbab 3.3 sebelumnya. Kegiatan analisis ini akan
mengelompokkan kandidat solusi apa saja yang layak dan tidak layak diterapkan
untuk melakukan pencegahan serangan MiTM pada tipikal jaringan kampus ITB.
Untuk menentukan dapat-tidak dan layak-tidaknya kandidat solusi tersebut untuk
diimplementasikan, penulis menentukan sendiri kriteria-kriterianya sebagai
berikut.
a. Bebas biaya
Faktor biaya sangat menentukan layak tidaknya kandidat solusi pencegahan
tersebut untuk diimplementasikan. Pengimplementasian kandidat solusi yang
membutuhkan biaya tidak direkomendasikan sebagai solusi yang layak untuk
diterapkan.
III-20
b. Open Source
Dalam institusi pendidikan, penggunaan aplikasi Open Source sudah
dibudayakan dan dianjurkan untuk diimplementasikan. Oleh sebab itu, solusi
yang akan dipilih adalah solusi yang tidak diproteksi oleh lisensi yang bersifat
komersil.
c. Multiplatform
Komputer-komputer yang terhubung pada jaringan kampus ITB menggunakan
berbagai macam sistem operasi. Solusi yang akan diimplementasikan
diharapkan dapat mengakomodir perlindungan terhadap semua pengguna,
tidak hanya untuk sistem operasi tertentu.
d. Kemudahan
Kemudahan baik itu dalam pengimplementasian solusi maupun
penggunaannya juga merupakan faktor penting dipilih tidaknya kandidat
solusi tersebut untuk diimplementasikan.
Berikut tabel analisis kandidat solusi terhadap kriteria untuk mendapatkan solusi
pencegahan terhadap serangan MiTM pada jaringan kampus ITB.
Tabel III-1 Analisis Kandidat Solusi
NO Kandidat Solusi Bebas Biaya OpenSource Multiplatform Kemudahan Keterangan
1 Static ARP Entry √ √ √ √
2 ARP Guard √
- Solusi berbayar - Lisensi komersil - Terdiri dari s/w &
h/w (sensor)
3 DAI √
- Solusi berbayar - Lisensi komersil - Terintegrasi pada
produk switch
4 Port Security √
- Solusi berbayar - Lisensi komersil - Terintegrasi pada
produk switch
5 AntiSniff √ √ - 15 hari trial - Lisensi komersil
6 Stunnel √ √ √ √
III-21
Berdasarkan tabel di atas, kandidat solusi yang layak untuk diimplementasikan
dalam melakukan pencegahan serangan MiTM pada jaringan kampus ITB adalah:
1. Static ARP Table Entry
2. Stunnel.
Simulasi pengimplementasian dan pengujian solusi tersebut dalam upaya
mencegah serangan Man in The Middle (MiTM) akan dijabarkan pada Bab
selanjutnya.