59
4.4 Analisis Menggunakan Keamanan Web Proxy
Saat penulis melakukan penelitian, jaringan Wireless LAN di lingkungan PT Masterdata sedang dikembangkan dengan menggunakan Web Proxy. Analisis
yang terdapat pada sub bab ini ditekankan pada arsitektur jaringan yang sedang diimplementasikan di PT. Masterdata.
• Arsitektur Keamanan Web Proxy
Jaringan Wireless LAN di Divisi TI teknologi Informasi PT. Masterdata merupakan bagian dari jaringan yang terdapat di PT. Masterdata. Semua access
point yang terdapat di PT. Masterdata dan semua wireless user terhubung dengan adanya sebuah Virtual Local Area Network VLAN. Dengan konsep
VLAN ini, semua jaringan Wireless LAN yang terdapat di masing-masing divisi seolah-olah membentuk suatu jaringan lokal dengan hotspot Masterdata gateway
sebagai server. Gambar arsitektur Wireless LAN yang saat ini terdapat di PT. Masterdata dapat dilihat pada
Gambar 33.
Gambar 33 Arsitektur Wireless LAN di PT. Masterdata
Pada Gambar 33
dapat dilihat bahwa arsitektur Wireless LAN dan jaringan kabel merupakan bagian dari jaringan terintegrasi. Setiap permintaan koneksi dari
wireless user akan menuju ke hotspot PT Masterdata Gateway. Akses kontrol terhadap device yang ingin melakukan koneksi dilakukan dengan menggunakan
MAC Address dari pengguna yang disimpan dalam server LDAP Lightweight Direction Access Protocol.
60 Proses otentikasi ke dalam jaringan dilakukan dengan melalui Web Proxy yang
menggunakan protokol Secure Socket Layer SSL. SSL adalah protokol ke- amanan yang bekerja di atas lapisan ke 4 empat OSI transport layer, dimana
semua data-data yang melalui protokol ini akan dienkripsi. Setelah pengguna terotentikasi, maka pengguna akan mendapatkan hak akses kedalam jaringan
kabel internal dan ke internal dengan menggunakan proxy server. Pengguna Wireless LAN menggunakan Web Proxy dengan protokol SSL dalam proses
otentifikasi, memberikan perlindungan keamanan terhadap pencurian informasi wireless username dan password karena data-data tersebut ditransmisikan dalam
bentuk terenkripsi. Proses koneksi wireless user digambarkan secara jelas pada Gambar 34.
Gambar 34 Proses koneksi Wireless LAN di PT. Masterdata
Penjelasan mengenai proses yang terjadi pada adalah sebagai berikut. 1.Wireless user akan melakukan proses asosiasi dengan access point dengan
menggunakan open system authentication tanpa menggunakan WEP.
61 2.Access point melakukan akses kontrol terhadap permintaaan asosiasi dari
wireless user dengan melakukan query ke hotspot PT. Masterdata berdasarkan informasi MAC Address yang dimiliki oleh wireless user.
3.Query yang diterima oleh hotspot PT. Masterdata diteruskan ke server untuk mendapatkan informasi apakah MAC Address dari wireless user merupakan
device yang sudah terdaftar. 4.Server memberikan konfirmasi apakah MAC Address terdapat didalam
database atau tidak. 5.Hotspot PT. Masterdata Gateway menerima informasi dari server dan
kemudian memberikan konfirmasi proses asosiasi diterima atau tidak berdasarkan informasi tersebut, yaitu apabila MAC Address sudah terdaftar
maka proses asosiasi diterima dan demikian sebaliknya. 6.Access point memberikan konfirmasi ke wireless user bahwa proses asosiasi
telah berhasil dilakukan atau tidak. 7.Apabila proses asosiasi berhasil, akan dilakukan proses-proses berikutnya
proses ke tujuh dan seterusnya. Mula-mula wireless user akan mengirimkan broadcast request ke server yang terdapat pada hotspot PT. Masterdata
gateway. Dalam hal ini, sebenarnya semua transisi terjadi melalui access point, namun dalam
Gambar 34 diilustrasikan langsung tanpa melalui access point
untuk mempermudah pemahaman, kemudian hotspot PT. Masterdata akan merespon dengan memberikan sebuah IP address yang diperoleh.
8.Setelah wireless user mendapatkan sebuah IP address, diperlukan suatu proses otentifikasi untuk memastikan bahwa wireless user merupakan pengguna yang
memang mempunyai hak akses. Untuk itu, wireless user harus memasukan informasi berupa wireless username dan password melalui Web Proxy yang
menggunakan protokol SSL. Dimana data-data yang ditrasnsmisikan akan dienkripsi sehingga mencegah kemungkinan penyerang dapat mengetahui
identitas rahasia dari wireless user. 9.Informasi wireless username dan password akan digunakan oleh hotspot PT.
Masterdata untuk melakukan query ke server.
62 10. Server memberikan respon apakah proses otentifikasi diterima atau tidak
dengan memeriksakan apakah kombinasi wireless username dan pasword terdapat dalam direktori database.
11. Apakah proses otentifikasi diterima, hotspot PT Masterdata gateway akan memberikan akses bagi wireless user untuk masuk ke dalam jaringan PT.
Masterdata. Dan apabila proses otentifikasi gagal, maka wireless user harus memasukan ulang informasi wireless user name dan password melalui Web
Proxy. 12. Wireless user yang telah mempunyai hak akses ke jaringan total telah
terotentifikasi, dapat melakukan koneksi ke dalam jaringan internal yang terdapat di PT. Masterdata.
13. Setelah terotentifikasi, wireless user dapat melakukan koneksi keluar jaringan internal, yaitu ke internet, dengan melalui proxy server firewall.
• Keamanan Web Proxy.
Penggunaan keamanan Web Proxy dengan protokol SSL dalam proses otentikasi, memberikan perlindungan keamanan terhadap pencurian informasi wireless
username dan pasword karena data-data tersebut ditransmisikan dalam bentuk terenkripsi. Selain itu, kemungkinan terjadinya replay attack dan man-in-the-
middle attack dalam proses otentikasi juga dapat diatasi dengan mengunakan keunggulan protokol SSL itu sendiri, yaitu dengan menggunakan nonce dan
certificate.
• Kemungkinan Serangan pada Keamanan Web Proxy
Keamanan Web Proxy menggunakan protokol SSL yang menyediakan keamanan pada pada lapisan diatas transport layer namun, hanya terjadi pada
saat proses otentifikasi. Keterbatasan perlindungan keamanan yang ada, menjadikan titik kelemahan sehingga dapat dilakukan serangan terhadap
Wireless LAN. Serangan yang dapat dilakukan, terjadi pada lapisan data link layer dan piysical layer dimana lapisan ini tidak dilindungi oleh protokol
keamanan apapun Gambar 35
.
63 Gambar 35
Lapisan OSI yang dapat diserang pada Lapisan Web Proxy Analisis kemungkinan serangan yang dapat terjadi dilihat pada
Tabel 6. Tabel 6
Kemungkinan Serangan pada Keamanan Web Proxy
Potensi Kelemahan Ancaman
Otentifikasi Sistem Session hijacking
Akses Kontrol MAC Address Spoofing
Kerahasiaaan data Eavesdropping apabila menggunakan protokol
yang tidak menyediakan layanan keamanan seperti HTTP FTP dan telnet
Integritas Data Modifikasi pesan dan replay attack apabila
menggunakan protokol lapisan atas yang tidak aman
Ketersediaan sistem Denial of service attack dan jamming signal
Perlindungan terhadap data yang ditransmisikan kerahasiaan dan integritas dalam Wireless LAN di PT. Masterdata hanya terbatas pada penggunaaan
protokol yang aman, contohnya SSL dan SHL Secure Shell. Protokol-protokol yang aman ini berjalan dilapisan protokol standar keamanan IEEE 802.11 data
link layer. Protokol-protokol tersebut menyediakan otentifikasi, enkripsi dan integritas daya yang tangguh. Protokol yang lain terdapat dilapisan atas
application layer seperti HTTP, FTP dan telnet bukan merupakan protokol yang aman karena semua data yang ditransmisikan merupakan text biasa.
64 Implementasi jaringan Wireless LAN dilingkungan PT. Masterdata tidak
menggunakan keamanan lapisan data link layer seperti WEP dan WPA, karena itu transmisi data dari protokol yang “tidak aman” tersebut tetap
ditransmisikan dalam bentuk text biasa clear text. Hal ini berarti titik kelemahan dalam keamanan yang dapat dimanfaatkan penyerang untuk
menyadap transmisi data tersebut. Penulis melakukan percobaan untuk melakukan serangan terhadap otentifikasi dan akses kontrol dari sistem Web
Proxy di PT masterdata. Serangan dilakukan adalah session hijacking, yaitu serangan yang dilakukan untuk mencuri session dari seorang wireless user yang
sudah terotentifikasi dengan access point. Penjelasan mengenai session hijacking telah dibahas pada bab sebelumnya. Ilustrasi mengenai serangan ini
dapat dilihat pada Gambar 36.
Gambar 36 Session Hidjacking pada Wireless LAN dengan Web Proxy
65 Dimana titik A adalah pengguna sah yang melakukan akses kedalam jaringan
dan posisi penyerang digambarkan sebagai titik B. Session hidjacking dapat di- lakukan oleh orang yang tidak memiliki akses ke dalam jaringan karena
penyerang dapat dengan mudah menyadap paket-paket yang melintas dijaringan Wireless LAN passsive snooping. Kemudian penyerang akan mendapatkan
informasi session di jaringan Gambar 36
titik A. Penyerang Gambar 36
titik B dapat bertindak seolah-olah dengan access point dan mengirimkan pesan
disassociate palsu kepada wireless user. Kemudian penyerang menggunakan MAC Address tersebut untuk dapat melakukan asosiasi dengan access point dan
mendapat IP Address dari server yang terdapat di hotspot PT. Masterdata. Gambar 36
titik C. Untuk melakukan serangan session hijacking, penyerang mula-mula akan menyadap paket untuk mendapat informasi MAC Address yang
sedang terkoneksi ke dalam jaringan dengan mencari IP Address pada hotspot PT. Masterdata menggunakan Software GFI LANguard N.S.S 7.0
. Hasil
pendeteksian IP Address dapat digambarkan pada Gambar 37
.
5 10
15 20
25 30
20 40
60 80
100
Jar ak m R
espon t im
e d
et ik
Deteksi IP
Gambar 37
Hasil Percobaan Serangan Pendeteksian IP Address Kemudian setelah berhasil mengetahui IP Address PT. Masterdata, maka
dilakukan pemanipulasian MAC Address IP address yang sah Masquarade mengguna-kan software EtherChange v1.0 sebagai pihak yang mempunyai hak
akses ke dalam sistem. Hasil manipulasi dapat dilihat pada software Packet sniffer tool menangkap file ethereal V0.10.6 yang berada di server
Gambar 38
66 Gambar 38
Hasil Serangan Manipulasi MAC Address Penulis melakukan percobaan serangan tersebut sebanyak 4 empat posisi dan 5
lima jarak yang berbeda. Percobaan serangan pertama dilakukan dalam keadaan dimana wireless user asli sebenarnya melakukan koneksi terlebih
dahulu daripada wireless user penyerang device yang telah diubah MAC Addressnya. Percobaan serangan kedua dilakukan karena memungkinkan suatu
keadaan bahwa wireless user penyerang telah berhasil melakukan koneksi pada jaringan sebelumnya dampak dari session hijacking, sehingga mengetahui
informasi MAC Address yang sah dan dapat mencuri informasi identitas wireless user asli yang sah, yaitu wireless username dan password misalnya
melalui password proxy server yang ditransmisikan dalam bentuk text biasa. Hasil percobaan yang dilakukan penulis, baik melalui pergantian IP address
secara manual maupun tidak, menunjukan keberhasilan dalam melakukan koneksi. Ilustrasi mengenai percobaan yang dilakukan penulis dapat dilihat pada
Gambar 39 dan
Gambar 40. Gambar 39 menunjukan konfigurasi koneksi
Wireless LAN yang dilakukan pada device yang sebenarnya. Gambar 40 menunjukan konfigurasi koneksi Wireless LAN yang dilakukan pada device
yang telah diubah MAC Addressnya. Dalam ilustrasi ini, terjadi koneksi dari dua buah device yang mempunyai MAC Address yang sama namun masing-masing
mendapatkan IP Address yang berbeda.
67 Gambar 39
Konfigurasi Koneksi Wireless LAN pada User Asli
Gambar 40 Konfigurasi Koneksi Wireless LAN pada Penyerang
Penulis telah mencoba attack ini, namun belum berhasil dalam pengiriman pesan disassociation kepada wireless user. Penulis hanya berhasil mencoba
mengambil session dari pengguna yang telah terotentifikasi dengan access point namun, tidak memutuskan koneksinya dengan access point. Dari percobaan
yang dilakukan, beberapa diantaranya menunjukan bahwa penyerang mendapat- kan IP Address dari server yang ternyata sama dengan device asli, dan sisanya
menunjukan bahwa wireless user asli dan penyerang mendapatkan IP Address yang berbeda. Hal ini terjadi dalam kedua percobaan, baik wireless user asli
melakukan koneksi terlebih dahulu daripada penyerang, maupun sebaliknya. Apabila wireless user asli dan penyerang memiliki IP Address yang berbeda,
maka koneksi akan berjalan tanpa mengalami gangguan. Namun, apabila wireless user asli dan penyerang memiliki koneksi IP Address yang sama, maka
wireless user asli dan penyerang tersebut mengalami gangguan koneksi. Penulis melakukan percobaan dengan mengganti IP Address secara manual pada salah
satu wireless user asli atau pada penyerang. Hasil penyerangan terhadap pemanipulasian IP Address dapat dilihat pada
Gambar 41 .
68
5 10
15 20
25 30
20 40
60 80
100
Jar ak m R
e s
p on t
im e
d e
ti k
Metoda 1 Metoda 2
Gambar 41 Hasil Serangan Manipulasi IP Address
4.5 Analisis Menggunakan Keamanan VPN