7 2.1.2 Visi dan misi Visi: Terwujudnya pascasarjana sebagai center of excellence di Jawa Timur Misi : 1. Melaksanakan Tri Dharma Perguruan Tinggi untuk pengembangan keilmuan dan profesionalisme. 2. Menjadikan Program Pascasarjana UPN Veteran Jawa Timur sebagai penghela menuju reseacrh university. 3. Terwujudnya UPN Veteran Jawa Timur yang maju, modern dan mandiri. 4. Menghasilkan dan mengembangkan lulusan yang memiliki nilai- nilai tanggung jawab, kebersamaan, kerjasama, keterbukaan, kreativitas, kejujuran dan kepedulian kepada lingkungan. 5. Mengembangkan pola berpikir agar para lulusan dapat bertindak kritikal dalam menghadapi berbagai masalah baik politik, sosial maupun budaya pada berbagai keadaan lingkungan melalui identifikasi dan penelitian serta mengambil keputusan yang tepat. Sumber referensi: Anonim. Visi dan Misi, http:pasca.upnjatim.ac.id?l=nemN3B9N3B9 , 05 Juli 2010, 18.58 WIB

2.2 Dasar Teori

Adapun beberapa isi dari dasar teori yang kami utarakan sebagai berikut:

2.2.1 Metode IDS Intrusion Detection System

IDS Intrusion Detection System merupakan sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” atau “pengganggu atau penyusup” di jaringan. IDS sangat mirip seperti alarm, yaitu IDS akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS dapat Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 8 di- definisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau host. IDS adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion. IDS Intrusion Detection System juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai intrusion oleh intruser. Cara kerja IDS dibagi menjadi dua 2,yaitu: 1. Knowledge Based Misuse Detection Knowledge Based pada IDS Intrusion Detection System adalah cara kerja IDS dengan mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule pada IDS tersebut. Database rule tersebut dapat berisi signature – signature paket serangan. Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS, maka paket data tersebut dianggap sebagai serangan dan demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada database rule pada IDS, maka paket data tersebut tidak akan dianggap serangan. 2. Behavior Based Anomaly Based Behavior Base adalah cara kerja IDS Intrusion Detection System dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan–kejanggalan pada sistem, atau adanya keanehan dan kejanggalan dari kondisi pada saat sistem normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS Intrusion Detection System Anomaly Based ini dianggap sebagai serangan. Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect , inappropite yang terjadi di jaringan atau di host tersebut. Intrusion ter- Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 9 sebut kemudian akan diubah menjadi “rules” ke dalam IDS Intrusion Detection System . Sebagai contoh, intrusion atau gangguan seperti port scanning yang dilakukan oleh intruder. Oleh karena itu IDS ditujukan untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion. Jenis – Jenis IDS Intrusion Detection System: a. Network Instrusion Detection System NIDS Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS Intrusion Detection System tersebut. NIDS Network Instrusion Detection System pada umumnya bekerja dilayer 2 pada OSI layer, IDS menggunakan “raw traffic ” dari proses sniffing kemudian mencocokannya dengan signature yang telah ada dalam policy. Jika terdapat kecocokan antara signature dengan raw traffinc hasil sniffing paket, IDS memberikan alert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem. NIDS yang cukup banyak dipakai adalah snort karena signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi. Contoh: melihat adanya network scanning b. Host Instrusion Detection System HIDS Mamantau Anomali di Host dan hanya mampu mendeteksi pada host tempat implementasi IDS Intrusion Detection System tersebut. HIDS Host Instrusion Detection System biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file password dengan penambahan user ber UID 0, perubahan loadable kernel, perubahan ini script, dan gangguan bersifat anomali lainnya. contoh: memonitor logfile, process, file ownership, dan mode. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 10 Gambar 2.2.1.1 Anomali deteksi Serangan Seperti dijelaskan, IDS Intrusion Detection System melakukan deteksi gangguan keamanan dengan melihat Anomali pada jaringan. Anomali dapat dijelaskan sebagai traffic atau aktifitas yang tidak sesuai dengan kebijakan yang dibuat policy. Contoh Anomali yang dijelaskan sebagai Trafficaktivitas yang tidak sesuai dengan policy: a. Akses dari atau menuji ke host yang terlarang b. Memiliki Content atau Patern terlarang virus c. Menjalakan program terlarang. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 11 IDS Intrution Detection System tidak hanya bekerja secara sendiri, IDS bekerja mendeteksi gangguan bersama-sama dengan firewall. Mekanisme penggunaan IDS adalah IDS membantu firewall melakukan pengamanan dengan snort opensource ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan Packet Filtering Firewall. Paket Filtering Firewall dapat membatasi akses koneksi berdasarkan pattern atau pola-pola koneksi yang dilakukan, seperti protokol, IP source and IP destination, Port Source and Port Destination, Aliran data dan code bit sehingga saat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sistem. Paket Filtering Firewall bersifat statik sehingga fungsi untuk membatasi akses juga secara statik, sebagai contoh : akses terhadap port 80 webserver diberikan izin allow oleh policy, maka dari manapun dan apapun aktifitas terhadap port tersebut tetap di ijinkan meskipun aktifitas tersebut merupakan gannguan intrusion ataupun usaha penetrasi dari para intruder. Untuk itulah Paket Filtering Firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan penggunaannya dengan IDS untuk membantu sistem hardening atau pengamanan. IDS Intrusion Detection System dan Firewall menggunakan Engine Sistem Pencegahan Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas membaca alert dari IDS, alert tersebut dapat berupa jenis serangan dan IP address intruder, kemudian memerintahkan firewall untuk melakukan block ataupun drop akses intruder tersebut ke koneksi dalam sistem. Sistem pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika diletakkan pada router, sehingga daerah kerja sistem tersebut dapat mencakup semua host yang berada dalam satu jaringan dengan router sebagai tempat mengimplementasikan sistem pencegahan penyusupan tersebut. Bila konsentrator menggunakan switch, akan terdapat masalah yang timbul. Masalah tersebut adalah proses pendeteksian terhadap paket data yang datang menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah seperti ini, cara tersebut adalah dengan melakukan spoofing MAC address terhadap host– host yang akan diamati. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 12 a Paket Decoder: Paket yang disandikan. b Preprocessor Plug-ins: Modul plug-in uang berfungsi untuk mengolah paket sebelum dianalisa. c Detection Engine: Rules from signature. d Output Stage: Alert dan Log. Ada beberapa tipe penggunaan IDS Intrusion Detection System untuk menajemen keamanan informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS dan IDS dengan menggunakan Box. Untuk melakukan manajemen keamanan informasi pada sistem, haruslah terlebih dahulu diketahui karateristik yang di dapat dari penggunaan IDS Intrusion Detection System agar pengamanan tersebut dapat dilakukan secara maksimal. Karateristik atau sifat yang dimiliki Oleh IDS Intrusion Detection System pada umumnya: a. Suitability Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya. b. Flexibility Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut. c. Protection Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya. d. Interoperability Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 13 e. Comprehensiveness Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu email serta dapat memblokir address url secara spesifik. f. Event Management Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan. g. Active Response Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya. h. Support Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain. Kelebihan yang akan di dapatkan dengan menggunakan IDS Intrusion Detection System sebagai metode Keamanan: 1. Memiliki Akurasi keamanan yang baik IDS Intrusion Detection System haruslah memiliki akurasi atau ketelitian, jadi yang baik adalah IDS yang memiliki ketelitian yang baik untuk mengenal intrusion atau gangguan. Pada saat sekrarang ini IDS telah memiliki ketelitian tinggi, yaitu mampu secara realtime mendeteksi dan melakukan blocking terhadap tindakan yang mencurigakan. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 14 Selain itu IDS juga harus mampu memeriksa dan menganalisa pattern objek secara menyeluruh seperti paket – paket data baik Header Paket maupun Payload yang dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas jaringan sehingga dapat mengenal benar karateristik trafic penyerang. Oleh karena itu untuk melakukan hal tersebut, IDS yang baik haruslah memiliki karateristik: − Memiliki kemampuan menganalisa protokol dari semua sumber lalu lintas trafic. − Memiliki kemampuan menganalisa protokol secara stateful untuk Layer Network atau Layer ke tiga pada OSI Layer sampai dengan Layer Aplication atau Layer ke tujuh pada OSI Layer. − Memiliki kemampuan untuk melakukan perbandingan secara Context-Base, Multiple-Tringger, Multiple-Pattern signature dengan tujuan untuk dapat mengenal dan mengetahui jenis exploit yang dipergunakan. − Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap penumpukan data pada IP Fragmen Layer 3. − Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap penumpukan data pada TCP Segment. − Memiliki kemampuan Forward dan Backward apabila terjadi kerancuan dan ketidakberesan didalam implementasi protokol Layer 4. − Memiliki kemampuan kontrol pada tingkat aplikasi protokol seperti: HTTP, FTP, Telnet, RPC Fragmentasi, dan SNMP Layer 6 dan Layer 7 2. Mampu Mendeteksi dan Mencegah Serangan. IDS Intrusion Detection System haruslah dapat mendeteksi serangan dan juga mampu untuk melakukan pencegahan terhadap serangan tersebut, IDS yang baik dalam mengatasi serangan adalah IDS yang memiliki karateristik: Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 15 a. Dapat beroperasi secara in-line. b. Memiliki kehandalan dan ketersediaan. c. Deliver high performance. d. Kebijakan policy pada IDS Intrusion Detection System yang dapat diatur sesuai dengan yang dibutuhkan. 3. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking IDS Intrusion Detection System haruslah memiliki pengetahuan yang luas, dapat mengenal serangan apa yang belum dikenalnya, seperti contoh IDS harus mampu mendeteksi serangan DOS mempergunakan analisis signature dan mampu mendeteksi segala sesuatu yang mencurigakan. IDS yang baik dalam pengenalan attacking adalah IDS yang memiliki karateristik: − Memiliki AI Artificial intelligence sehingga IDS tersebut dapat mempelajari sendiri serangan-serangan yang datang. − Mampu melakukan proses deteksi trafic dan pembersihan terhadap host Layer 3 – Layer7. − Mampu melakukan scanning TCP dan UDP. − Mampu memeriksa keberadaan backdoor. 4. Dapat memberikan Informasi tentang ancaman – ancaman yang terjadi. 5. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan report- ing yang baik. 6. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan pencegahan.

2.2.1.1 Snort IDS Intrusion Detection System

Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS Intrusion Detection System di industri. Snort merupakan salah satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala Ma- Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 16 cam intrusion atau serangan dari luar seperti Buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting. Secara default Snort memiliki 3 hal yang terpenting, yaitu: 1. Paket Sniffer Contoh: tcpdump, iptraf, dll. 2. Paket Logger Berguna dalam Paket Traffic. 3. NIDS Network Intrusion Detection System Deteksi Intrusion pada Network Komponen – komponen Snort IDS Intrusion Detection System meliputi: a. Rule Snort Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis – jenis serangan. Rule snort IDS Intrusion Detection System harus selalu terupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org. b. Snort Engine Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort. c. Alert Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database. Hubungan ketiga komponen snort IDS Intrusion Detection System tersebut dapat digambarkan dalam gambar berikut. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 17 Gambar 2.2.1.2 System kerja Snort IDS

2.2.1.2 Instalasi dan Konfigurasi Snort IDS Intrusion Detection System

Setelah kita mengeti dan memahami akan teori-teori, fungsi, dan kegunaan Snort IDS Intrusion Detection System, kini saatnya kita mengerjakan Instalasi dan Konfigurasinya. Kebutuhan yang harus di penuhi untuk sebelum menginstall snort: 1. Sistem Operasi GNULinux Backtrack 4 2. Libpcap, libpcap libpcap-devel Instalasi bias langsung di Source milik anda dengan cara [root alif ~] apt-get install libpcap libpcap-devel 3. PCRE, pcre pcre-devel Untuk PCRE bias didownload di ftp:ftp.csx.cam.ac.ukpubsoftwareprogrammingpcrepcre-8.12.tar.gz Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 18 Setelah selesai didownload maka dilanjutkan ke cara instalasinya [dee alif ~] tar zxvf pcre-8.12.tar.gz [dee alif ~] cd pcre-8.12 [dee alif pcre-8.12] .configure [dee alif pcre-8.12] make [dee alif pcre-8.12] make install 4. WebServer Apache Optional Instalasi bias langsung di Source milik anda dengan cara [root alif ~] apt-get install Apache2 5. MySQL Server, mysql-server mysql-devel Optional Instalasi bias langsung di Source milik anda dengan cara [root alif ~] apt-get install mysql-server mysql-client mysql-devel 6. PHP Optional Instalasi bias langsung di Source milik anda dengan cara [root alif ~] apt-get install php5 paket-paket diatas harus sudah terinstall dengan baik itu menggunakan paket binary maupun source tar.bz2. Yang sebelumnya dengan meng-update paket-paket yang terbaru, serta mematikan servicesdaemon yang tidak diperlukan. Instalasi Snort [dee alif ~] tar xjvf snort-2.8.0.tar.gz [dee alif ~] cd snort-2.8.0 Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 19 [dee alif snort-2.8.0] .configure –prefix=usr \ –sysconfdir=etcsnort \ –mandir=usrshareman \ –with-libpcap \ –with-dynamicplugins [dee alif snort-2.8.0] make [root alif snort-2.8.0] make install Setelah instalasi selesai, dengan keyakinan tidak adanya pesan kesalahan. Lanjutkan dengan membuat direktori untuk peletakkan berkas-berkas snort. [root alif snort-2.8.0] mkdir -p etcsnortrules; mkdir varlogsnort [root alif snort-2.8.0] cp etc etcsnort Download snort rules sebaiknya yang terbaru. [dee alif ~] tar xzvf snortrules-pr-2.4.tar.gz [root alif ~] cp rules etcsnortrules Setelah selesai instalasi diatas, kita akan memodifikasi berkas konfigurasi snort etcsnortsnort.conf sesuai dengan peletakkan pada sistem. [root alif ~] nano etcsnortsnort.conf Lakukan perubahan baris-baris berikut — snort.conf file configuration — var HOME_NET 192.168.1.024 - Isikan IP address LAN var EXTERNAL_NET HOME_NET var RULE_PATH etcsnortrules – Isikan Letak Direktori Rules Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 20 dynamicpreprocessor directory usrlibsnort_dynamicpreprocessor dynamicengine usrlibsnort_dynamicenginelibsf_engine.so Setelah selesai, silahkan simpan berkas snort.conf Silahkan ambil snort-init untuk mengatur starting ending service snort. [dee alif ~] wget http:202.152.18.10linuxsnort-init.txt [root alif ~] cp snort-init.txt etcinit.dsnort [root alif ~] chmod +x etcinit.dsnort Agar setiap kali selesai booting komputer, service snort dapat dijalankan secara otomatis, hendaknya dilakukan perintah dibawah ini: [root alif ~] chkconfig –add snort Jalankan, snort [root alif ~] etcinit.dsnort start Starting snort service: [ OK ] Dengan demikian, proses instalasi snort pada sistem sudah selesai.Untuk memonitoring berkasLOG yang disimpan snort [root alif ~] tail -f varlogsnortalert [] [1:1419:9] SNMP trap udp [] [Classification: Attempted Information Leak] [Priority: 2] 1026-16:43:48.741706 192.168.1.101:53809 - 192.168.1.87:162 UDP TTL:255 TOS:0×0 ID:15979 IpLen:20 DgmLen:244 Len: 216 Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 21 [Xref = http:cve.mitre.orgcgi-bincvename.cgi?name=2002-0013][Xref = http:cve.mitre.orgcgi-bincvename.cgi?name=2002-0012][Xref = http:www.securityfocus.combid4132][Xref = http:www.securityfocus.combid4089][Xref = http:www.securityfocus.combid4088] Untuk mengganti, listening interface dapat dilakukan pengeditan langsung pada berkas etcinit.dsnort Asumsi interface eth0 merupakan ethernet yang digunakan sebagai fungsi yang menangani paket yang masuk dan keluar. Setelah snort berjalan dengan normal, dan bisa menampilkan pesan seperti diatas selanjutnya kita coba memasuki tahap pencegahan sistem. Salah satu aplikasi yang kita gunakan saat ini adalah blockit. Download blockit di http:www.sfr-fresh.comunixprivatblockit-1.4.3a.tar.gz . dan dibawah ini cara menginstallnya. Instalasi Blockit [dee alif ~] tar zxvf blockit-1.4.3a.tar.gz [dee alif ~] cd blockit-1.4.3a [dee alif pcre-8.12] sh install.sh Maka akan mucul pesan seperti berikut: Please Enter Install Directory [usrlocalblockit]:etcblockit Do you want to configure MySQL support? [yn]: n If using PF add a line saying ‘anchor blockit’ in your etcpf.conf Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 22 Setelah instalasi selesai maka dilanjutkan dengan mengedit blockit.conf di dalam conf folder etcblockitconfblockit.conf pada bagian dibawah ini: FirewallType = 0 AlertFile = varlogsnortalert Setelah meng-edit blockit.conf, copy seluruh konfigurasi yang ada di dalam forder conf dan pindahkan di folder etcblockit [dee alif ~] cp –Rf etcblockitconf etcblockit Setlah itu copy juga blockit didalam bin etcblockitbin ke dalam folder init.d yang berada pada folder etc etcinit.d [dee alif ~] cp etcblockitbinblockit etcinit.d Setelah selesai konfigurasi, untuk menjalankannya [dee alif ~] etcinit.dblockit start Silahkan lakukan pengetesan, apakah sistem yang dibangun sudah berfungsi. Lakukan scanning, ke sistem yang diinstall, dan lihat hasilnya. Sumber referensi: Saragi, Ronald, Siranda. Membangun-IPS http:mymine.wordpress.com20071130membangun-intrussion-preventif- sistem , 05 Maret 2011, 12.53 WIB

2.2.2 Firewall Firewall

atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang gateway antara jaringan lokal dan jaringan lainnya. Tembok-api umumnya juga Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 23 digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi istilah lazim yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka perlindungan terhadap modal digital perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya, menjadi hakikat. Gambar 2.2.2.1 Letak firewall untuk sebuah jaringan Firewall terbagi menjadi dua jenis, yakni sebagai berikut a. Personal Firewall Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti- spyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan Intrusion Detection System. Contoh dari firewall jenis ini adalah Microsoft Windows Firewall yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows – Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 24 Vista dan Windows Server 2003 Service Pack 1, Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall. b. Network Firewall Network Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server ISA Server, Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNULinux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall packet filter firewall dan stateful firewall, Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan tidak terlihat dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket yang akan ditolak. Gambar 2.2.2.2 Skema Urutan Fungsi Firewall Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 25 2.2.2.1 Fungsi Firewall Secara fundamental, firewall dapat melakukan hal-hal berikut: a Mengatur dan Mengontrol Lalu lintas jaringan Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan filtering terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut. b Proses inspeksi Paket Inspeksi paket packet inspection merupakan proses yang dilakukan oleh firewall untuk menghadang dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses access policy yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket baik yang masuk ataupun yang keluar di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi: • Alamat IP dari komputer sumber • Port sumber pada komputer sumber • Alamat IP dari komputer tujuan • Port tujuan data pada komputer tujuan • Protokol IP • Informasi header-header yang disimpan dalam paket c Koneksi dan Keadaan Koneksi Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 26 Agar dua host TCPIP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan: 1. Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak. 2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya apakah dengan menggunakan koneksi connection-oriented, atau connectionless. Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi. Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi dalam istilah firewall: state table yang memantau keadaan semua komunikasi yang melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang ditunggu oleh host yang dituju, dan jika ya, akan mengizinkannya. Jika data yang melewati firewall tidak cocok dengan kea- Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 27 daan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection. d Stateful Packet Inspection Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection SPI. SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi. Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan tentu saja setelah dilakukan inspeksi, umumnya sebuah kebijakan policy tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini. e Melakukan autentikasi terhadap aksesFungsi fundamental firewall yang kedua adalah firewall dapat melakukan au tentikasi terhadap akses. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 28 Protokol TCPIP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi, sebagai berikut: • Firewall dapat meminta input dari pengguna mengenai nama pengguna user name serta kata kunci password. Metode ini sering disebut sebagai extended authentication atau xauth. Menggunakan xauth pengguna yang mencoba untuk membuat sebuah koneksi akan diminta input mengenai nama dan kata kuncinya sebelum akhirnya diizinkan oleh firewall. Umumnya, setelah koneksi diizinkan oleh kebijakan keamanan dalam firewall, firewall pun tidak perlu lagi mengisikan input password dan namanya, kecuali jika koneksi terputus dan pengguna mencoba menghubungkan dirinya kembali. • Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik. Keunggulan metode ini dibandingkan dengan metode pertama adalah proses autentikasi dapat terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih cepat dalam rangka melakukan proses autentikasi. Meskipun demikian, metode ini lebih rumit implementasinya karena membutuhkan banyak komponen seperti halnya implementasi infrastruktur kunci publik. • Metode selanjutnya adalah dengan menggunakan Pre-Shared Key PSK atau kunci yang telah diberitahu kepada pengguna. Jika dibandingkan dengan sertifikat digital, PSK lebih mudah diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan proses autentikasi terjadi tanpa - intervensi pengguna. Dengan menggunakan PSK, setiap host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang kemudian Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 29 digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci PSK jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci yang sama untuk melakukan koneksi terhadap host- host yang berada pada jarak jauh, sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai sebuah derajat keamanan yang tinggi, umumnya beberapa organisasi juga menggunakan gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat digital. Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan inspeksi paket PI atau berdasarkan keadaan koneksi SPI, jika host tersebut tidak lolos proses autentikasi, paket tersebut akan dibuang. f Melindungi sumber daya dalam jaringan private Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses access control, penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan fatal. Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan dalam konfigurasinya. Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang be- Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 30 lum ditambal, maka seorang pengguna yang iseng dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.

2.2.2.2 Cara-Cara Kerja Firewall

a Packet-Filter Firewall Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC Network Interface Card, kartu antarmuka jaringan yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router. Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses atau menolaknya dengan menggunakan basis hak-hak yang dimiliki oleh pengguna. Cara kerja packet filter firewall: Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 31 Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkanmenonaktifkan port TCPIP dalam sistem firewall tersebut. Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP Simple Mail Transfer Protocol umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian exception agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan. b Circuit Level Gateway Firewall jenis lainnya adalah Circuit-Level Gateway, yang umumnya berupa komponen dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi dalam model referensi tujuh lapis OSI bekerja pada lapisan sesisession layer daripada Packet Filter Firewall.Modifikasi ini membuat firewall jenis ini berguna dalam rangka menyembunyikan informasi mengenai jaringan terproteksi, meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi. Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara langsung dengan firewall pada saat proses pembuatan koneksi dan firewall pun akan membentuk koneksi dengan sumber daya jaringan yang hendak diakses oleh pengguna setelah mengubah alamat IP dari paket yang ditransmisikan oleh - Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 32 dua belah pihak. Hal ini mengakibatkan terjadinya sebuah sirkuit virtual virtual circuit antara pengguna dan sumber daya jaringan yang ia akses. Firewall ini dianggap lebih aman dibandingkan dengan Packet-Filtering Firewall, karena pengguna eksternal tidak dapat melihat alamat IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari firewall. Protokol yang populer digunakan sebagai Circuit-Level Gateway adalah SOCKS v5. c Application Level Firewall Application Level Firewall disebut juga sebagai application proxy atau application level gateway Firewall jenis lainnya adalah Application Level Gateway atau Application-Level Firewall atau sering juga disebut sebagai Proxy Firewall, yang umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang tidak aman. Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan logging sebagai bagian dari kebijakan keamanan yang diterapkannya. Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak bebera- Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 33 pa perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy SMTP sehingga mereka dapat menerima surat elektronik dari luar tanpa menampakkan alamat e-mail internal, lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application gateway memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter firewall. d NAT Firewall NAT Network Address Translation Firewall secara otomatis menyediakan proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas MAN, WAN atau Internet seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall. e Stateful Firewall Cara kerja stateful firewall: Stateful Firewall merupakan sebuah firewall yang menggabungkan keunggulan yang ditawarkan oleh packet-filtering firewall, NAT Firewall, Circuit- Level Firewall dan Proxy Firewall dalam satu sistem. Stateful Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 34 halnya packet-filtering firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut di izinkan. Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall umumnya didesain agar lebih transparan seperti halnya packet-filtering firewall atau NAT firewall. Tetapi, stateful firewall juga mencakup beberapa aspek yang dimiliki oleh application level firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi application layer dengan menggunakan layanan tertentu. Firewall ini hanya tersedia pada beberapa firewall kelas atas, semacam Cisco PIX. Karena menggabungkan keunggulan jenis-jenis firewall lainnya, stateful firewall menjadi lebih kompleks. f Virtual Firewall Virtual Firewall adalah sebutan untuk beberapa firewall logis yang berada dalam sebuah perangkat fisik komputer atau perangkat firewall lainnya. Pengaturan ini mengizinkan beberapa jaringan agar dapat diproteksi oleh sebuah firewall yang unik yang menjalankan kebijakan keamanan yang juga unik, cukup dengan menggunakan satu buah perangkat. Dengan menggunakan firewall jenis ini, sebuah ISP Internet Service Provider dapat menyediakan layanan firewall kepada para pelanggannya, sehingga mengamankan lalu lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat. Hal ini jelas merupakan penghematan biaya yang signifikan, meski firewall jenis ini hanya tersedia pada firewall kelas atas, seperti Cisco PIX 535. g Transparent Firewall Transparent Firewall juga dikenal sebagai bridging firewall bukanlah sebuah firewall yang murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada firewall-firewall lainnya yang beroperasi pada lapisan IP ke atas, transparent firewall bekerja pada lapisan Data-Link Layer, dan kemudian ia memantau lapisan-lapisan yang ada di atasnya. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 35 Selain itu, transparent firewall juga dapat melakukan apa yang dapat dilakukan oleh packet-filtering firewall, seperti halnya stateful firewall dan tidak terlihat oleh pengguna karena itulah, ia disebut sebagai Transparent Firewall. Intinya, transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk menyaring lalu lintas jaringan antara dua segmen jaringan. Dengan menggunakan transparent firewall, keamanan sebuah segmen jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT Filter. Transparent Firewall menawarkan tiga buah keuntungan, yakni sebagai berikut: • Konfigurasi yang mudah bahkan beberapa produk mengklaim sebagai Zero Configuration. Hal ini memang karena transparent firewall dihubungkan secara langsung dengan jaringan yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-link layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi atau dapat juga untuk melindungi sebuah host, jika memang diperlukan. • Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi. • Tidak terlihat oleh pengguna stealth. Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall. Karena itulah, transparent firewall tidak dapat terlihat oleh para Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 36 penyerang. Karena tidak dapat diraih oleh penyerang tidak memiliki alamat IP, penyerang pun tidak dapat menyerangnya. • Tidak mempengaruhi kinerja dari router. Hal ini memang dikarenakan Transparent Firewall bekerja membutuhkan kapasitas process RAM yang kecil namun sangat pandai dalam menentukan rule-rule.

2.2.2.3 IPTables

IPTables merupakan command untuk menentukan sebuah rule-rule firewall dalam tugasnya menjaga sebuah jaringan. IPTables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall firewall chain atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD. Gambar 2.2.2.3 skema iptables Pada diagram tersebut, lingkaran menggambarkan ketiga rantai atau chain. Pada saat sebuah paket sampai pada sebuah lingkaran, maka disitulah terjadi proses penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila keputusannnya adalah DROP, maka paket tersebut akan di-drop. Tetapi jika rantai Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 37 memutuskan untuk ACCEPT, maka paket akan dilewatkan melalui diagram tersebut. Sebuah rantai adalah aturan-aturan yang telah ditentukan. Setiap aturan menyatakan “jika paket memiliki informasi awal header seperti ini, maka inilah yang harus dilakukan terhadap paket”. Jika aturan tersebut tidak sesuai dengan paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai aturan terakhir yang ada, paket tersebut belum memenuhi salah satu aturan, maka kernel akan melihat kebijakan bawaan default untuk memutuskan apa yang harus dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default DROP dan default ACCEPT. Jalannya sebuah paket melalui diagram tersebut bisa dicontohkan sebagai berikut: a. Perjalanan paket yang diforward ke host yang lain: 1. Paket berada pada jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan, contoh eth0. 3. Paket masuk ke chain PREROUTING pada table Mangle. Chain ini berfungsi untuk me-mangle menghaluskan paket, seperti merubah TOS, TTL dan lain-lain. 4. Paket masuk ke chain PREROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan DNAT Destination Network Address Translation . 5. Paket mengalami keputusan routing, apakah akan diproses oleh host lokal atau diteruskan ke host lain. 6. Paket masuk ke chain FORWARD pada tabel filter. Disinlah proses pemfilteran yang utama terjadi. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 38 7. Paket masuk ke chain POSTROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan SNAT Source Network Address Translation . 8. Paket keluar menuju interface jaringan, contoh eth1. 9. Paket kembali berada pada jaringan fisik, contoh LAN. b. Perjalanan paket yang ditujukan bagi host local: 1. Paket berada dalam jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan, contoh eth0. 3. Paket masuk ke chain PREROUTING pada tabel mangle. 4. Paket masuk ke chain PREROUTING pada tabel nat. 5. Paket mengalami keputusan routing. 6. Paket masuk ke chain INPUT pada tabel filter untuk mengalami proses penyaringan. 7. Paket akan diterima oleh aplikasi lokal. c. Perjalanan paket yang berasal dari host local: 1. Aplikasi lokal menghasilkan paket data yang akan dikirimkan melalui jaringan. 2. Paket memasuki chain OUTPUT pada tabel mangle. 3. Paket memasuki chain OUTPUT pada tabel nat. 4. Paket memasuki chain OUTPUT pada tabel filter. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 39 5. Paket mengalami keputusan routing, seperti ke mana paket harus pergi dan melalui interface mana. 6. Paket masuk ke chain POSTROUTING pada tabel NAT. 7. Paket masuk ke interface jaringan, contoh eth0. 8. Paket berada pada jaringan fisik, contoh internet. Sintaks IPTables iptables [-t table] command [match] [targetjump] Sumber referensi: Anonim. Firewall http:id.wikipedia.orgwikiFirewal , 05 Maret 2011, 16.26 WIB

2.2.3 IRC Internet Relay Chat

Internet Relay Chat IRC adalah suatu bentuk komunikasi di Internet yang diciptakan untuk komunikasi interpersonal terutama komunikasi kelompok di tempat diskusi yang dinamakan channel saluran, tetapi juga bisa untuk komunikasi jalur pribadi. IRC muncul sebagai saluran komunikasi pintu belakang yang menarik yang meliput kejadian-kejadian penting. Pada saat alat-alat komunikasi tradisional tak dapat berfungsi dengan baik, IRC dapat menjadi alternatif yang dapat diandalkan.

2.2.3.1 Sejarah IRC

IRC diciptakan oleh Jarkko Oikarinen nickname WiZ pada akhir Agustus 1988 untuk menggantikan program di BBS yang disebut MUT MultiUser Talk, di Finlandia di sebut OuluBOX. Oikarinen menemukan inspirasi Bitnet Relay Chat yang beroperasi di dalam Jaringan Bitnet. Dia membuat IRC client dan IRC server di Universitas Oulu, Finlandia Pada saat dia Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 40 bekerja di Departemen Informasi Ilmu Pengetahuan. Sekarang IRC sudah digunakan di lebih dari 60 negara di seluruh dunia. Pada tahun 1992 Internet Relay Chat kemudian disempurnakan tepatnya pada saat perang gurun. Antara periode ini, informasi diterima dan disalurkan ke seluruh dunia sehingga karena dengan IRC manusia dapat berkomunikasi dengan jarak beribu-ribu mil. IRC adalah sebuah tempat pertemuan untuk siapa saja yang membutuhkan informasi langsung up to date dan dapat dipergunakan.

2.2.3.2 Bagian-bagian IRC

Terdiri dari bermacam-macam network jaringan atau nets IRC server, mesin-mesin untuk menghubungkan pemakai dengan IRC. Nets yang terbesar adalah EFnet IRC net yang pertama, yang kadang-kadang memiliki lebih dari 32000 pengguna IRC dalam satu saat, Undernet, IRCnet, DALnet, NewNet. Server-server tersebut yang menghantarkan informasi-informasi ke dan dari satu server ke server yang lain di dalam net yang sama. Client-client yang direkomendasikan: 1. UNIXShell: ircII 2. Windows: mIRC or PIRCH 3. Macintosh: Ircle Channel-channel dalam IRC dikelola oleh channel operator,atau ops. Channel operator adalah orang-orang yang berkuasa di channel tersebut, dan keputusan-keputusan mereka tidak dapat diganggu gugat. Mereka dapat memilih siapa saja yang bisa join di channel tersebut, siapa yang berhak berbicara dengan membuat channel tersebut moderated dan juga menolak dengan mem-ban beberapa pemain Jika ada di-ban dari suatu channel, bicaralah dengan channel operator, dan minta dengan baik agar dia mengijinkan Anda untuk bergabung dengan channel tersebut dengan meng-unban. IRC server dikelola oleh IRC admin dan IRC operator atau IRCops. IRCops tidak- Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 41 turut campur dalam urusan pribadi orang-orang, perang antar channel, memberi status op, dan lain-lain. Mereka bukanlah IRC cops.

2.2.3.3 Menggunakan IRC

Saat kita menggunakan Internet Relay Chat, kita akan disambut oleh Message of the Day Pesan Hari Ini atau MOTD yang berisi informasi tentang situs dan lalu lintas pada jaringan. Ketika menggunakan IRC, pengguna diminta untuk menyebutkan nama julukan atau samaran. Sang pengguna memiliki suatu program yang disebut client untuk menghubungkan Anda dengan suatu server dari salah satu IRC nets tersebut di atas. Bila telah log in pada client IRC, pengguna dapat secara otomatis menggunakan saluran aktif yang bernama chatzone. Semua saluran atau channel IRC diawali tanda ada juga dengan tanda . Channel-channel tersebut adalah channel-channel lokal di satu server saja sehingga pengguna harus bergabung dengan server tersebut untuk dapat bergabung dengan channel. Semua perintah IRC dimulai dengan garis miring . Misalnya untuk mengetahui daftar saluran yang sedang digunakan pada saat yang bersangkutan dan jumlah orang yang bercakap-cakap, ketik perintah “list”. Untuk turut serta dalam percakapan di Internet ini, tinggal beri perintah ”join” diikuti tanda nama saluran. Jika pengguna telah memiliki program seperti mIRC untuk Windows, beberapa perintahnya dapat dipilih dari menu-nya. Semua perintah-perintah dasar IRC berlaku untuk semua client-client.

2.2.3.4 Analisis Aktifitas Hacking di IRC Internet Relay Chat

Berdasarkan hasil analisa dari data-data yang telah dikumpulkan oleh penulis, terdapat fakta bahwa hacker yang memiliki atau bergabung dalam suatu kelompok hacker tertentu, ternyata menggunakan Internet Relay Chat IRC atau chatroom. Bukan tidak mungkin bahwa hacker yang tergabung dalam sebuah - Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 42 Chatroom dalam jangka waktu tertentu, secara berkala dan konsisten, bisa mem- bentuk sebuah kelompok hacker tertentu. Nama kelompok hacker tersebut akan mengikuti nama chat roomnya, ataupun nama chatroom yang dipilih akan menyesuaikan dengan nama kelompok hacker tersebut. Nama dari sebuah chatroom akan mengidentifikasikan nama kelompok hacker tersebut, demikian pula sebaliknya, nama sebuah kelompok hacker akan mengidentifikasikan nama chatroom yang digunakan. Contohnya kelompok hacker AntiHackerlink, Jasakom dan K-Elektronik, masing-masing memiliki chatroom dengan nama AntiHackerlink, Jasakom dan K-Elektronik. Ketiga chat room tersebut berada di sebuah server Internet global yang bernama DALnet. Berikut ini adalah data-data teknis ketiga chatroom tersebut: Info for antihackerlink: Founder : Anon202.146.241.142 Mode Lock : -m Last Topic : http:www.research.att.comswtoolsuwin zer0_c00l Description: ::..:: We Are Indonesia Hackers Crew ::..:: Options : SecuredOps, Verbose, Sticky Topics Memo Level : AOP Registered : Sat 12012001 09:53:08 GMT Last opping: Sun 12232001 09:46:56 GMT End of Info info for jasakom: Founder : sdfgsdf202.47.64.58 Mode Lock : -i Description: WWW.JASAKOM.COM Memo Level : AOP Registered : Tue 05292001 02:30:10 GMT Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 43 Last opping: Sun 12232001 09:42:37 GMT End of Info Info for k-elektronik: Founder : ~XWindowsthugscript.net Mode Lock : +cnt-sipkR Last Topic : | Kecoak Crew | the great way to learn wellex Description: www.k-elektronik.org URL : http:www.k-elektronik.org Options : SecuredOps, Ident, Topic LockS Memo Level : SOP Registered : Tue 12042001 08:35:17 GMT Last opping: Sun 12232001 11:50:29 GMT End of Info Tampak jelas dalam data-data di atas mengenai nickname pendiri founder, waktu didirikan registered, deskripsi description chatroom, dan sebagainya. Sebuah chatroom dapat menjadi suatu perwujudan dari keberadaan sebuah kelompok sosial atau komunitas hacker. Kemampuan dan fungsi chatroom memang memungkinkan hal tersebut. Pertama, chatroom mampu berfungsi sebagai sarana komunikasi sosial dan dapat pula menjadi manifestasi kelompok sosial itu sendiri. Kemampuan chatroom menjadi sebuah sarana komunikasi sosial karena secara teknis di dalam chatroom para chatters dapat melakukan komunikasi interpersonal private chat dan komunikasi kelompok public chat. Baik private chat maupun public chat, antar pelakunya harus berada dalam satu tempat yang sama bertemu dalam satu chatroom tertentu dan dalam waktu yang sama pula real time. Salah satu tahap terjadinya interaksi sosial adalah adanya kontak, yang bisa bersifat sekunder menggunakan media tertentu, dalam hal ini melalui chatroom dan langsung tanpa perantara individu lain meskipun tidak face-to-face. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 44 Kedua, chatroom mampu menjadi sebuah kelompok sosial. Hal tersebut tak lepas pula dari karakteristik teknis chatroom itu sendiri. Pertama-tama, kita definisikan dahulu arti kata kelompok sosial. Menurut George Hillery dalam jurnal CyberSociology http:www.cybersoc.com, ciri komunitas adalah adanya sekelompok orang yang saling melakukan interaksi sosial dan ada suatu persamaan yang mengikat mereka pada kelompok tersebut dan antar sesama anggota kelompok, serta mereka berbagi area tertentu dalam jangka waktu tertentu. Geoffrey Liu dalam jurnal Computer-Mediated Communication http:www.ascusc.orgjcmc, menetapkan beberapa syarat terjadinya komunitas atau kelompok sosial maya, yaitu: 1. adanya ruang publik maya, 2. adanya aktifitas komunikasi dari para komunikator, 3. adanya anggota dengan jumlah besar sehingga memungkinkan terjadinya beberapa interaksi, 4. adanya kestabilan jumlah anggota dan konsistensi pemunculan anggota dan 5. adanya interaktifitas pesan verbal, pesan simulasi aksi dan konsistensi penggunaan nickname. Di dalam chatroom, khususnya server DALnet, ada jenjang struktural dan fungsional yang baku. Jenjang pertama dan tertinggi adalah founder, super operator SOP dan auto operator AOP dan temporary operator. Keempat jabatan tersebut selain struktural, juga fungsional. Mereka secara umum disebut Operator OP dan menggunakan tanda di depan nickname mereka. Nickname mereka secara otomatis akan berada di urutan teratas dari listname pengunjung chatroom. Ketiganya merupakan penguasa sebuah chatroom yang dapat mengundang orang lain untuk datang, mengusir paksa orang dan mengawasi setiap percakapan publik yang terjadi di chatroom. Founder adalah pemegang akses tertinggi dalam sebuah chatroom dan hanya dipegang oleh satu orang saja. Seorang founder bisa mengangkat SOP dan AOP. SOP bisa mengangkat AOP. Pengangkatan para SOP dan AOP tersebut memerlukan pendekatan kepada atasaanya. Karena tidak jarang para chatters Ter- Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 45 pisah antar negara dan sama sekali tidak pernah bertemu satu dengan yang lainnya secara face-to-face. Pengangkatan jabatan tersebut harus berdasarkan kepercayaan dan tidak jarang dengan melakukan lobi-lobi. Kembali ke pendapat Hillery, syarat penting terjadinya sebuah komunitas maya adalah adanya suatu persamaan yang mengikat mereka pada kelompok tersebut dan antar sesama anggota kelompok, serta mereka berbagi area tertentu dalam jangka waktu tertentu. Para anggota kelompok hacker di chatroom memiliki persaman yang mengikat yaitu anggotanya sama-sama menyatakan dirinya sebagai hacker dan memiliki tujuan untuk melakukan hacking. Mereka juga berbagi area kekuasaan tertentu dalam jangka waktu tertentu. Area ter sebut ialah sebuah chatroom. Konsep area dalam chatroom ini tidak berbeda jauh dengan konsep area kekuasan dalam dunia nyata. Dalam chatroom pun ada istilah penguasa lahan operator, perebutan lahan channel takeover dan intimidasi area flooding. Ada kalanya para anggota sebuah chatroom melakukan serangan ke chatroom lain. Selain itu dikenal pula istilah meminta jasa keamanan kepada operator yang ahli, biasanya adalah operator di sebuah chatroom besar, yang dalam dunia nyata disebut sebagai God Father. Bagi chat room kecil atau yang baru memiliki anggota sedikit, tidak jarang diganggu oleh pihak yang iseng. Operator chatroom besar rata-rata memiliki pengalaman dan pengetahuan yang lebih baik dalam mengatur sebuah channel dan mengatasi permasalahan yang timbul. Operator tersebut kemudian diangkat sebagai SOP oleh founder chatroom kecil dan diajak untuk bergabung dalam channel kecil tersebut, walapun hanya sekedar meletakkan nickname saja. Dengan adanya God Father dari chatroom besar tersebut, maka tingkat gangguan terhadap chatroom kecil tersebut dapat dikurangi. Setidaknya membuat pihak yang ingin mengganggu tersebut harus berpikir dua kali, karena bisa saja dia yang terkena serangan balasan atau dicekal untuk masuk ke chatroom lain yang dipegang oleh God Father tersebut. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 46 Salah satu ciri khas yang membedakan antara hacker yang tidak bergabung dengan suatu kelompok hacker tertentu dengan hacker yang memilih bergabung adalah dari kebiasaan meninggalkan catatan dalam tampilan sebuah situs yang telah dimodifikasi oleh hacker tersebut. Bagi hacker tanpa kelompok, dia hanya meninggalkan catatan atas nama nickname atau inisial hacker tersebut. Salah satu contohnya adalah ketika Fabian Clone pada hari Jumat tanggal 24 Mei 2000 menembus sistem sekuriti situs Indofood.co.id dan Rekayasa.co.id, dia hanya meninggalkan pesan-pesan yang diakhiri dengan inisial F.C.. Sedangkan bagi hacker yang berkelompok, dia akan menuliskan nama kelompoknya. Salah satu contohnya adalah ketika hC- pada hari Kamis tanggal 16 Mei 2000 menembus sistem sekuriti situs PLN-Jawa-Bali.co.id, dia meninggalkan pesan-pesan tertentu sekaligus mengucapkan salam antara lain kepada rekannya dari kelompok hacker AntiHackerlink. Di dalam chatroom, kerap terdapat ajakan-ajakan eksplisit atau motivator- motivator untuk melakukan hacking. Salah satu contohnya adalah logs chatroom AntiHackerlink di bawah ini: Start Logs Session Start: Wed Mar 21 12:38:10 2001 [12:38] Now talking in antihackerlink [12:38]Topic is http:www.multysistem.it, http:www.nicastroebarone.it ,http:www.salvatoremirmina.it, http:www.pensionescala.itsakitjiwa.txt, http:www.roseeroselline.it http:www.cavi-vivai.it New TargeT www.westernunion.com www.paypal.com yg bisa di akui jadi hacker sejati both of them [12:38] Set by chikebum on Wed Mar 21 11:56:49 [12:38] antihackerlink url is pimp.goes.to.hell.with.the.support.from antihackerlink.org -cutted- Session Time: Thu Mar 22 00:00:00 2001 Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 47 -cutted- [07:24] Wagimin changes topic to ANTIHACKERLINK IS BACK | The Hot News seen www.westernunion.com http:www.detik.comnet200103212001321-114641.shtml || Last target www.paypal.com || [eF] My Gift for ANTIHACKERLINK :: http:hacked.cen tralbankasia.com [eF] -cutted- [07:24] c1sc0- ANTIHACKERLINK IS BACK [07:24] c1sc0- ANTIHACKERLINK IS BACK End Logs Perbedaan jam antara informasi logs tersebut dengan WIB adalah +7. Dari logs tersebut bisa dijelaskan bahwa pada pukul 19.38 WIB, Chikebum memasang topic di AntiHackerlink yang intinya berisi ajakan atau motivasi untuk melakukan hacking ke situs Western Union salah satunya. Pada pukul 06.19 WIB keesokan harinya, dotcom- mengirimkan e-mail ke penulis yang mengatakan bahwa dia dan eF73 berhasil masuk ke server WesternUnion.com. Siang harinya berita bobolnya server Western Union tersebut dimuat oleh situs www.detik.com. Kemudian pada pukul 14.24 WIB, Wagimin, alias eF73, memasang topic di AntiHackerlink tentang keberhasilan eF73 dan dotcom- menembus server Western Union, sekaligus memasang alamat situs berita dari Detikcom yang memberitakan keberhasilan mereka. Sedangkan alamat situs http:hacked.centralbankasia.com merupakan salah satu tempat curahan data-data kartu kredit dari toko buku online Barners Nobles yang sistemnya baru saja ditembus oleh AntiHackerlink. Kedua peristiwa tersebut membuat C1sc0- bersorak gembira. Hal tersebut merupakan contoh adanya kemungkinan melakukan tindakan persuasif atau memotivasi orang lain di dalam chatroom. Salah satu kebanggaan hacker yang membentuk kelompok maya Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 48 di chatroom adalah ketika hasil hackingnya dipasang sebagai topic channel, sehingga setiap pengunjung chatroom tersebut pasti membaca isi topik. Terlebih lagi apabila di dalam topik tersebut adalah alamat situs tempat berita keberhasilannya itu dimuat. Saling memotivasi dan saling memberikan salut merupakan hal yang lumrah dan kerap terjadi di chatroom hacker. Bukti lain bahwa chat room dapat menjadi sarana belajar belajar atau motivasi perilaku hacking adalah ketika hC-, seorang hacker Indonesia yang didenda Rp 150 juta oleh pengadilan Singapura pada tanggal 30 Agustus 2000 karena membobol jaringan komputer di Singapura, oleh Kepolisian Singapura dirinya dinyatakan menggunakan chatroom untuk mempelajari teknik penyusupan ke sebuah jaringan komputer. Kita kembali kepada konsep Liu tentang syarat eksistensi sebuah komunitas maya., khususnya dalam hal konsistensi pemunculan anggota dan adanya interaktifitas pesan simulasi aksi. Makna pemunculan anggota di sini adalah keberadaan individu dalam sebuah area tertentu secara konsisten. Keberadaan individu tersebut dimanifestasikan dengan keberadaan sebuah nickname yang digunakan secara tetap pada sebuah chatroom secara regular dalam jangka waktu tertentu. Sedangkan interaktifitas pesan simulasi aksi adalah keberadaan bahasa-bahasa verbal dalam bentuk teks atau tulisan yang memiliki makna atau dimaknai sebagai sebuah aksi yang benar-benar dilakukan. Jika kedua hal ini digabung, maka maknanya adalah pemunculan nickname secara konsisten dalam sebuah chatroom tertentu yang antara lain dapat melakukan simulasi aksi. Simulasi aksi baru memiliki makna apabila dilakukan secara real-time kepada lawan bicara. Ungkapan saya mencium kamu misalnya, akan memiliki makna yang berbeda ketika disampaikan melalui chatroom dan ketika melalui e-mail. Dalam e-mail, rasa dan makna kehadiran pada saat itu menjadi tidak penting. Kejadian bisa terjadi kapanpun tidak real-time dan dimanapun tanpa ha Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 49 -rus bertemu di satu tempat tertentu. Kejadian apapun yang di dalam milis, termasuk simulasi aksi tersebut, tidak akan memiliki makna seperti dalam chatroom. Dalam chatroom, rasa dan makna kehadiran menjadi sangat penting. Karena tanpa hadir dalam satu saat yang sama dan tempat maya yang sama, komunikasi dan interaksi tidak akan terjadi. Hal tersebut menjelaskan mengapa simulasi aksi tersebut dapat sedemikian bermakna di chatroom. Kejadian maupun simulasi aksi tersebut benar-benar dilakukan dan terjadi pada saat itu. Makna saya mencium kamu di dalam milis bisa jadi bermakna seperti sekedar rayuan, sekedar angan, obsesi maupun bayangan. Tetapi jika di chatroom saya mencium kamu bisa bermakna saya saat ini sedang mencium kamu dan benar-benar tengah terjadi secara virtual atau setidaknya dalam benak pelaku. Untuk itulah maka konsep-konsep tentang cybersex lebih mengacu kepada chat, ketimbang e-mail. Komunikasi interpersonal akan terasa lebih personal, intensif dan menyentuh bila terjadi secara realtime. Berdasarkan beberapa hal tersebut di atas, ikatan emosi antar anggota sebuah chatroom jauh lebih kuat ketimbang antar anggota sebuah mailing-list. Hal ini menjelaskan mengapa walaupun para hacker banyak berlangganan mailing-list security, eksistensi mereka tetap dimanifestasikan dalam chatroom. Sekedar contoh, yang kerap disebut sebagai anggota hacker Jasakom bukanlah mereka yang tergabung dalam mailing-list Jasakom, tetapi lebih kepada mereka yang secara konsisten muncul di chatroom Jasakom. Jadi menuruti analisa ini, IRC merupakan awal perkembangan hacker di Indonesia. Sumber referensi: Donny. http:opensource.telkomspeedy.comwikiindex.phpSejarah_Internet_Indonesia: Memahami_Karakeristik_Komunitas_Hacker , 05 Maret 2011, 17.13 WIB Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 50 2.2.3 Jenis-Jenis Serangan Dari IRC Internet Relay Chat a. Serangan DoS Serangan DoS bahasa Inggris: denial-of-service attacks adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber resource yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut. Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut: • Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding. • Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding. • Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server. Bentuk serangan Denial of Service awal adalah serangan SYN Flooding Attack, yang pertama kali muncul pada tahun 1996 dan mengeksploitasi terhadap kelemahan yang terdapat di dalam protokol Transmission Control Protocol TCP. Serangan-serangan lainnya akhirnya dikembangkan untuk mengeksploitasi Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 51 kelemahan yang terdapat di dalam sistem operasi, layanan jaringan atau aplikasi untuk menjadikan sistem, layanan jaringan, atau aplikasi tersebut tidak dapat melayani pengguna, atau bahkan mengalami crash. Beberapa tool yang digunakan untuk melakukan serangan DoS pun banyak dikembangkan setelah itu bahkan beberapa tool dapat diperoleh secara bebas, termasuk di antaranya Bonk, LAND, Smurf, Snork, WinNuke, dan Teardrop. Meskipun demikian, serangan terhadap TCP merupakan serangan DoS yang sering dilakukan. Hal ini disebabkan karena jenis serangan lainnya seperti halnya memenuhi ruangan hard disk dalam sistem, mengunci salah seorang akun pengguna yang valid, atau memodifikasi tabel routing dalam sebuah router membutuhkan penetrasi jaringan terlebih dahulu, yang kemungkinan penetrasinya kecil, apalagi jika sistem jaringan tersebut telah diperkuat. b. Penolakan Layanan secara Terdistribusi DDos Penolakan Layanan secara Terdistribusi bahasa Inggris: Distributed Denial of Service DDos adalah salah satu jenis serangan Denial of Service yang menggunakan banyak host penyerang baik itu menggunakan komputer yang didedikasikan untuk melakukan penyerangan atau komputer yang dipaksa menjadi zombie untuk menyerang satu buah host target dalam sebuah jaringan. Serangan Denial of Service klasik bersifat satu lawan satu, sehingga dibutuhkan sebuah host yang kuat baik itu dari kekuatan pemrosesan atau sistem operasinya demi membanjiri lalu lintas host target sehingga mencegah klien yang valid untuk mengakses layanan jaringan pada server yang dijadikan target serangan. Serangan DDoS ini menggunakan teknik yang lebih canggih dibandingkan dengan serangan Denial of Service yang klasik, yakni dengan meningkatkan serangan beberapa kali dengan menggunakan beberapa buah komputer sekaligus, sehingga dapat mengakibatkan server atau keseluruhan segmen jaringan dapat menjadi tidak berguna sama sekali bagi klien. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 52 Serangan DDoS pertama kali muncul pada tahun 1999, tiga tahun setelah serangan Denial of Service yang klasik muncul, dengan menggunakan serangan SYN Flooding, yang mengakibatkan beberapa server web di Internet mengalami downtime. Pada awal Februari 2000, sebuah serangan yang besar dilakukan sehingga beberapa situs web terkenal seperti Amazon, CNN, eBay, dan Yahoo mengalami downtime selama beberapa jam. Serangan yang lebih baru lagi pernah dilancarkan pada bulan Oktober 2002 ketika 9 dari 13 root DNS Server diserang dengan menggunakan DDoS yang sangat besar yang disebut dengan Ping Flood. Pada puncak serangan, beberapa server-server tersebut pada tiap detiknya mendapatkan lebih dari 150000 request paket Internet Control Message Protocol ICMP . Untungnya, karena serangan hanya dilakukan selama setengah jam saja, lalu lintas Internet pun tidak terlalu terpengaruh dengan serangan tersebut setidaknya tidak semuanya mengalami kerusakan. Tidak seperti akibatnya yang menjadi suatu kerumitan yang sangat tinggi bagi para administrator jaringan dan server yang melakukan perbaikan server akibat dari serangan, teori dan praktek untuk melakukan serangan DDoS justru sederhana, yakni sebagai berikut: 1. Menjalankan tool biasanya berupa program perangkat lunak kecil yang secara otomatis akan memindai jaringan untuk menemukan host-host yang rentan vulnerable yang terkoneksi ke Internet. Setelah host yang rentan ditemukan, tool tersebut dapat menginstalasikan salah satu jenis dari Trojan Horse yang disebut sebagai DDoS Trojan, yang akan mengakibatkan host tersebut menjadi zombie yang dapat dikontrol secara jarak jauh bahasa Inggris: remote oleh sebuah komputer master yang digunakan oleh si penyerang asli untuk melancarkan serangan. Beberapa tool software} yang digunakan untuk melakukan serangan serperti ini adalah TFN, TFN2K, Trinoo, dan Stacheldraht, yang dapat diunduh bahasa Inggris: download secara bebas di Internet. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 53 2. Ketika si penyerang merasa telah mendapatkan jumlah host yang cukup sebagai zombie untuk melakukan penyerangan, penyerang akan menggunakan komputer master untuk memberikan sinyal penyerangan terhadap jaringan target atau host target. Serangan ini umumnya dilakukan dengan menggunakan beberapa bentuk SYN Flood atau skema serangan DoS yang sederhana, tapi karena dilakukan oleh banyak host zombie, maka jumlah lalu lintas jaringan yang diciptakan oleh mereka adalah sangat besar, sehingga memakan habis semua sumber daya Transmission Control Protocol yang terdapat di dalam komputer atau jaringan target dan dapat mengakibatkan host atau jaringan tersebut mengalami downtime. Hampir semua platform komputer dapat dibajak sebagai sebuah zombie untuk melakukan serangan seperti ini. Sistem-sistem populer, semacam Solaris, Linux, Microsoft Windows dan beberapa varian UNIX dapat menjadi zombie, jika memang sistem tersebut atau aplikasi yang berjalan di atasnya memiliki kelemahan yang dieksploitasi oleh penyerang. c. SYN flooding attack SYN flooding attack adalah istilah teknologi informasi dalam bahasa Inggris yang mengacu kepada salah satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN. Paket-paket SYN adalah salah satu jenis paket dalam protokol Transmission Control Protocol yang dapat digunakan untuk membuat koneksi antara dua host dan dikirimkan oleh host yang hendak membuat koneksi, sebagai langkah pertama pembuatan koneksi dalam proses TCP Three-way Handshake. Dalam sebuah serangan SYN Flooding, si penyerang akan mengirimkan paket- paket SYN ke dalam port-port yang sedang berada dalam keadaan Listening yang berada dalam host target. Normalnya, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukkan sistem aktual, tetapi paket-paket SYN dalam serangan ini didesain sedemikian rupa, sehingga paket-paket tersebut me- Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 54 miliki alamat sumber yang tidak menunjukkan sistem aktual. Ketika target menerima paket SYN yang telah dimodifikasi tersebut, target akan merespons dengan sebuah paket SYNACK yang ditujukan kepada alamat yang tercantum di dalam SYN Packet yang ia terima yang berarti sistem tersebut tidak ada secara aktual, dan kemudian akan menunggu paket Acknowledgment ACK sebagai balasan untuk melengkapi proses pembuatan koneksi. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan oleh penyerang tidaklah valid, paket ACK tidak akan pernah datang ke target, dan port yang menjadi target serangan akan menunggu hingga waktu pembuatan koneksi kadaluwarsa atau timed-out. Jika sebuah port yang listening tersebut menerima banyak paket-paket SYN, maka port tersebut akan meresponsnya dengan paket SYNACK sesuai dengan jumlah paket SYN yang ia dapat menampungnya di dalam buffer yang dialokasikan oleh sistem operasi. Jumlah percobaan pembuatan koneksi TCP yang dapat ditampung oleh sebuah host di dalam buffer memang berbeda-beda antara satu platform dengan platform lainnya, tapi jumlahnya tidak lebih dari beberapa ratus buah koneksi saja. Dengan mengirimkan banyak paket SYN ke sebuah port yang berada dalam keadaan listening yang berada dalam host target, buffer koneksi yang dialokasikan oleh sistem penerima dapat mengalami kepenuhan dan target pun menjadi tidak dapat merespons koneksi yang datang hingga paket SYN yang sebelumnya mengalami timed-out atau buffer memiliki ruang tampung yang lebih banyak. Beberapa sistem operasi bahkan dapat mengalami hang ketika buffer koneksi terlalu penuh dan harus di-restart. Baik pe-restart-an ulang sistem operasi atau buffer yang dipenuhi dengan paket SYN yang tidak jelas datangnya dari mana tersebut mengakibatkan pengguna yang valid dalam sebuah jaringan menjadi tidak dapat mengakses layanan-layanan dalam jaringan. Sistem server di mana pengguna hendak mengakses pun menolak request akses dari pengguna. Ada beberapa cara yang dapat dilakukan untuk mencegah dan mengurangi efek dari SYN Flooding, yakni sebagai berikut: Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 55 • Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlah percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan ukuran paket SYN yang ia kirimkan untuk memenuhi buffer tersebut. • Mengurangi nilai waktu kapan sebuah percobaan pembuatan koneksi TCP menjadi timed-out. Hal ini juga menjadi solusi sementara, apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat. • Mengimplementasikan penapisan paket yang masuk ke dalam router, sehingga memblokir semua serangan yang menggunakan alamat palsu. Hal ini juga menjadi solusi sementara, karena tidak semua ISP mengimplementasikan fitur seperti ini. Memantau firewall dan mengonfigurasikannya untuk memblokir serangan SYN flood ketika hal tersebut terjadi. Pendekatan ini merupakan pendekatan yang sering dilakukan oleh banyak organisasi, apalagi jika ditambah dengan Intrusion Prevention System IPS, meski hal ini membutuhkan kejelian dari seorang administrator jaringan untuk memantau catatan log dari IPS dan firewall yang ia atur. Bahkan, dengan kedua perangkat tersebut, klien-klien yang valid dapat ditolaknya karena konfigurasi yang tidak benar. Anonim. Jenis-jenis serangan hacker http:id.wikipedia.orgwikiSerangan- hackerl , 05 Maret 2011, 16.26 WIB Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. BAB III METODE TUGAS AKHIR

3.1 Rancangan Jaringan Komputer Pascasarjana