PENGAMANAN JARINGAN KOMPUTER PASCASARJANA

UPN “VETERAN” JATIM MENGGUNAKAN METODE “IDS

(INTRUSION DETECTION SYSTEM)” DARI AKTIFITAS

HACKING IRC

Oleh:

Kafi Ramadhani Borut (0736010040)

TEKNIK INFORMATIKA

FAKULTAS TEKNOLOGI INDUSTRI

UNIVERSITAS PEMBANGUNAN NASIONAL

”VETERAN” JATIM

2011

KATA PENGANTAR

Puji syukur kita panjatkan kehadirat Allah SWT, Tuhan Yang Maha Esa yang telah memberikan rahmat serta hidayah-Nya sehingga penyusunan laporan ini dapat diselesaikan.

Laporan ini disusun untuk Tugas Akhir saya, dengan judul “Pengamanan Jaringan Komputer Pascasarjana UPN “Veteran” Jatim menggunakan metode “IDS (Intrusion Detection system)” dari aktifitas hacking IRC”.

Ucapan terima kasih saya sampaikan juga ke berbagai pihak yang turut membantu memperlancar penyelesaian Tugas Akhir ini, yaitu kepada:

1. Kedua orang tua saya masing-masing, ibu yang banyak memberikan Doa, Kasih Sayang, Cinta, Kesabaran sejak kami dalam kandungan serta bimbingan, dan semangat sampai aku menjadi sekarang ini,terima kasih banyak untuk semuanya dan terima kasih karena selalu menjadi orang tua dan teman yang baik buat saya. Kepada Papa yang selalu men-support saya agar selalu bersemangat dan meraih cita-cita.. terima kasih papa… semangatmu akan membuahkan hasil untuk masa depan saya..

2. Bapak Basuki Rachmat S.si, MT dan Achmad Junaidi S.Kom selaku pembimbing, yang telah sabar dan arif dalam membimbing dan memberikan nasehat kepada kami.

3. Bapak Achmad Junaidi S.Kom yang selalu mendampingi saya serta banyak membantu selama pengerjaan Tugas Akhir Ini ini. Mohon maaf bila ada tindakan maupun perkataan kami yang kurang berkenan dihati bapak dan terima kasih banyak atas saran, nasehat, dan ilmu yang diberikan kepada kami, semoga bermanfaat dimasa yang akan datang. Amin…

4. Prof. Dr. Djohan Mashudi SE.MS. Dr. Indrawati Yuhertiana MM.Ak, Prof. Dr. Soeparlan Pranoto, SE. MM.Ak, Drs. Ec. Prasetyo Hadi MM, Dr. Ir. Sudiyarto, MMA, selaku petinggi pasca, saya ucapkan terima kasih atas bimbingannya, dan nasehatnya selama di Pascasarjana. Sekali lagi saya ucapkan terima kasih.

5. yayankcuw sebagai penyemangat dan penghibur hati yang telah kalut sewaktu mengerjakan Tugas akhir ini. Makasih Yank… telah sabar menemani kitca-kitca dicini... luph u..

6. Pak gajah , pak poh, pak anang, mas arifin, mas priyo, mak ti, bu Lina, dan seluruh anggota administrasi, saya ucapkan terima kasih karena telah sabar menemani kami, terutama mak ti terima kasih kopinya.. hehehe..

7. Buat deddy, fariz, gendon, Rendy dan my Best Prend Ahongx terima kasih telah membantu saya disini.. ur all the best

8. Buat teman-teman explorecrew dan byroe.net atas nama kangkung, bjork, ferry, ahong-x, tanpa bantuan kalian saya bukan apa-apa.

Demikianlah laporan ini disusun semoga bermanfaat, sekian dan terima kasih.

Surabaya, Mei 2011

Penulis

Kafi Ramadhani Borut

DAFTAR ISI

Halaman

ABSTRAK ……….... i

KATA PENGANTAR ………. ii

DAFTAR ISI ……… iv

DAFTAR GAMBAR ……… viii

BAB I PENDAHULUAN 1.1 Latar Belakang ……….. 1

1.2 Perumusan Masalah …….……… 2

1.3. Batasan Masalah ………. 2

1.4 Tujuan Tugas Akhir ………... 3

1.5 Manfaat Tugas Akhir ………. 3

1.6 Sistematika Penulisan ………. 3

BAB II TINJAUAN PUSTAKA 2.1 Pasca Sarjana Universitas Pembangunan Nasional …….... 6

2.1.1 Profile Universitas ……….. 6

2.1.2 Visi dan Misi Universitas ………... 7

2.2 Dasar Teori ………. 7

2.2.1 Metode IDS (Intrusion Detection System) ……… 7

2.2.1.1 Snort IDS (Intrusion Detection System) ………… 15

2.2.1.2 Instalasi dan Konfigurasi Snort IDS (Intrusion Detection System) ………. 17

2.2.2 Firewall ……… 22

2.2.2.1 Fungsi Firewall ……… 25

2.2.2.2 Cara-cara Kerja Firewall ………. 30

2.2.2.3 IPTables ……….. 36

2.2.3 IRC (Internet Relay Chat) ……….. 39

2.2.3.1 Sejarah IRC ………. 39

2.2.3.2 Bagian-bagian IRC ………. 40

2.2.3.3 Menggunakan IRC ……….. 41

2.2.3.4 Analisis Aktifitas Hacking di IRC (Internet Relay Chat) ……… 41

2.2.3 Jenis-Jenis Serangan Dari IRC (Internet Relay Chat) ……….. 50

BAB III

METODE TUGAS AKHIR

3.1 Rancangan Jaringan Komputer Pascasarjana……….. 56

3.2 Rancangan Metode IDS dengan Snort ……… 57

3.3 Rancangan Alur pendeteksian dan pemblokiran Serangan 58 3.3.1 Use Case Diagram pendeteksian dan pemblokiran Serangan ……….. 58

3.3.1.1 Aktifitas diagram Snort untuk mendeteksi Serangan ……….. 59

3.3.1.2 Aktifitas Diagram blockit untuk membuat

Firewall Block ……….. 60

3.3.1.3 Aktifitas Diagram firewall untuk memblokir

Serangan ……… 61

3.3.2 Aktifitas Diagram pendeteksian dan

pemblokiran Serangan DDos ……… 61

3.3.3 Aktifitas Diagram pendeteksian dan pemblokiran

Serangan SynFlood ……….. 63

3.3.4 Aktifitas Diagram pendeteksian dan pemblokiran

Scanning IP & Port ……….. 64

3.4 Rancangan Firewall dengan IPtables .……… 65

BAB IV IMPELEMENTASI SISTEM

4.1 Konfigurasi Snort IDS (Intrusion Detection System) …. 67

4.2 Konfigurasi Blockit ……….. 73

4.3 Konfigurasi Firewall ………. 78

4.4 Implementasi Pendeteksian dan Pemblokiran serangan

dari IRC-Server ……….. 80

4.4.1 Pendeteksian dan Pemblokiran Serangan

Scanning IP dan Port ……….. 81 4.4.2 Pendeteksian dan Pemblokiran Serangan

SynFlood ………. 84

4.4.3 Pendeteksian dan Pemblokiran Serangan

DDos Attack ……… 87

BAB V KESIMPULAN DAN SARAN

5.1 Kesimpulan ……….. 90

5.2 Saran ……… 91

DAFTAR PUSTAKA ……….. x

LAMPIRAN

DAFTAR GAMBAR

Halaman

Gambar 2.1.1 Foto Pasca Sarjana ... 6

Gambar 2.2.1.1 Anomali deteksi Serangan ... 10

Gambar 2.2.1.2 System kerja Snort IDS ………. 17

Gambar 2.2.2.1 Letak firewall untuk sebuah jaringan ………... 23

Gambar 2.2.2.2 Skema Urutan Fungsi Firewall ……….. 24

Gambar 2.2.2.3 Skema IPtables ………,.. 36

Gambar 3.1.1 Rancangan Jaringan Komputer Pascasarjana ……... 56

Gambar 3.2.1 Rancangan Metode IDS dengan Snort IDS ………... 57

Gambar 3.3.1 Use Case Diagram Pendeteksian Serangan ……… 58

Gambar 3.3.1.1 Aktifitas Diagram Snort untuk mendeteksi serangan …. 59 Gambar 3.3.1.2 Aktifitas diagram blockit untuk membuat firewall block ……… 60

Gambar 3.3.1.3 Aktifitas Diagram firewall untuk memblokir serangan…. 61 Gambar 3.3.2.1 Aktifitas diagram Pendeteksian dan Pemblokiran Ddos Attack……… 62

Gambar 3.3.3.1 Aktifitas diagram Pendeteksian dan Pemblokiran SynFlood ………. 63

Gambar 3.3.4.1 Aktifitas diagram Pendeteksian dan Pemblokiran Scanning ……….. 64

Gambar 3.4.1 Skema Limitasi serangan dengan chain INPUT ……... 66

Gambar 4.4.1.1 Serangan Scanning IP dan port ……….. 81

Gambar 4.4.1.2 Alert Snort IDS (Intrusion Detection System)

scanning IP dan Port ………...……….... 82

Gambar 4.4.1.3 Alert Intruders blockit scanning IP dan Port .………... 82

Gambar 4.4.1.4 Pemblokiran IP yang dilakukan Firewall .……….. 83

Gambar 4.4.1.5 Ping dari Backdoors hacker IRC ke alamat ip

pascasarjana yang tidak berhasil ……… 83

Gambar 4.4.2.1 Serangan Syn-flood ………. 84

Gambar 4.4.2.2 Alert Snort IDS (Intrusion Detection System)

serangan Synflood ………. 85

Gambar 4.4.2.3 Alert Intruders blockit serangan Synflood .………….. 85

Gambar 4.4.2.4 Pemblokiran IP yang dilakukan Firewall …………... 86

Gambar 4.4.2.5 Ping dari Backdoors hacker IRC ke alamat ip

pascasarjana yang tidak berhasil ……… 86

Gambar 4.4.3.1 Serangan DDos attack/UDPflood ………... 87

Gambar 4.4.3.2 Alert Snort IDS (Intrusion Detection System)

serangan DDos Attack ……… 88

Gambar 4.4.3.3 Alert Intruders blockit serangan DDos Attack ……….. 88

Gambar 4.4.3.4 Pemblokiran IP yang dilakukan Firewall ……… 89

Gambar 4.4.3.5 Bot yang di block oleh firewall pascasarjana

mengalami timeout ……… 89

Judul : Pengamanan Jaringan Komput er Pascasarjana UPN “ Vet eran” Jat im menggunakan met ode “ IDS (Int rusion Det ect ion Syst em)” Dari Akt ifit as Hacking IRC.

Pembim bing I : Basuki Rahmat , S.Si, M T Pembim bing II : Achmad Junaidi S.Kom Penyusun : Kafi Ramadhani Borut

ABSTRAK

Keamanan suatu jaringan sering kali terganggu dengan adanya ancaman dari dalam ataupun dari luar. Serangan tersebut berupa serangan Hacker yang bermaksud merusak Jaringan Komputer yang terkoneksi pada internet ataupun mencuri informasi penting yang ada pada jaringan tersebut seperti halnya Hacker yang berasal dari IRC (Internet Relay Chat). Menurut penelitian/tesis sebelumnya, bahwa awal mula penyebaran hacker di Indonesia berada dalam IRC server. Sampai saat ini banyak Hacker Underground yang memakai IRC sebagai sarana untuk melakukan serangan-serangan. Dari sanalah muncul sebuah penelitian-penelitian yang membahas tentang keamanan jaringan.

Banyak tool yang digunakan untuk mengamankan jaringan contohnya firewall, Namun firewall saja tidak cukup efisien dalam mengamankannya. Oleh sebab itu berkembanglah teknologi IDS (Intrusion Detection System). Dengan adanya IDS dan blockit sebagai software pembantu pengambilan keputusan, maka serangan–serangan dapat dicegah ataupun dihilangkan. IDS (Intrusion Detection System) berguna untuk mendeteksi adanya serangan dari Hacker dalam suatu jaringan baik eksternal maupun internal sedangkan blockit berguna untuk menindaklanjuti Alert dari IDS dengan pemblokiran serangan.

Dari ujicoba serangan-serangan seperti Scanning IP dan Port, Synflood, DDos Attack yang mengancam baik dari jaringan internal maupun eksternal terutama dengan sarana IRC, dapat diatasi dengan baik, jika metode IDS digabungkan dengan firewall dan blockit. Kombinasi Snort IDS, Blockit, dan Firewall mampu menjaga keamanan jaringan serta kenyamanan bagi pengguna internet.

Kata Kunci: IRC (Internet Relay Chat), IDS (Intrusion Detection System), Snort IDS, Blockit, Firewall.

BAB I

PENDAHULUAN

1.1 Latar Belakang

Keamanan jaringan komputer dikategorikan dalam dua bagian, yaitu keamanan secara fisik dan juga keamanan secara non-fisik. Keamanan secara fisik merupakan keamanan yang cenderung lebih memfokuskan segala sesuatunya berdasarkan sifat fisiknya. Dalam hal ini misalnya pengamanan komputer agar terhindar dari pencurian dengan rantai sehingga fisik komputer tersebut tetap pada tempatnya, kondisi ini sudah sejak lama diaplikasikan dan dikembangkan. Sedangkan keamaanan non-fisik adalah keamanan dimana suatu kondisi keamanan yang menitikberatkan pada kepentingan secara sifat, sebagai contoh yaitu pengamanan data, misalnya data sebuah perusahaan yang sangat penting,

Keamanan fisik ataupun keamanan non-fisik kedua–duanya sangat penting namun yang terpenting adalah bagaimana cara agar jaringan komputer tersebut terhindar dari gangguan. Gangguan tersebut dapat berupa gangguan dari dalam (internal) ataupun gangguan dari luar (eksternal). Gangguan internal merupakan gangguan yang berasal dari lingkup dalam jaringan infrastruktur tersebut, dalam hal ini adalah gangguan dari pihak–pihak yang telah mengetahui kondisi keamanan dan kelemahan jaringan tersebut. Gangguan eksternal adalah gangguan yang memang berasal dari pihak luar yang ingin mencoba atau dengan sengaja ingin menembus keamanan yang telah ada. Gangguan Eksternal biasanya lebih sering terjadi pada jaringan eksternal kita, seperti web-server, telnet, FTP, SSH-server.

Kita ambil sebuah Contoh bahasan yaitu kegiatan hacking dari IRC yang pernah diteliti oleh Dony B.U (pengaman jaringan) dari detik.com. Jadi IRC bukan saja sarana untuk chating saja, tetapi juga sebagai sarana hacking terbesar didunia.

2

Banyak serangan-serangan yang dilancarkan dari IRC server seperti DDos attack, SYNflood, dan scanning bugs serta banyak lainnya.

Maka dari itu, saya akan merancang sebuah Pengamanan Jaringan Komputer di Pascasarjana UPN “Veteran” Jatim menggunakan metode “IDS (Intrusion Detection system)” dari aktifitas hacking IRC.

1.2 Rumusan Masalah

Adapun rumusan masalah yang akan dibahas dalam perancangan dan pengaplikasian keamanan jaringan komputer tersebut yaitu:

Pendeteksian Jenis serangan-serangan yang mungkin timbul dari IRC (Internet Relay Chat) server dalam suatu jaringan komputer di pascasarjana khususnya jaringan eksternal.

a. Bagaimana cara mendeteksi jenis-jenis serangan-serangan yang mungkin terjadi dalam suatu jaringan dengan metode IDS?

b. Program apakah yang mungkin dipakai untuk mendeteksi serangan-serangan tersebut?

Pengamanan Jenis serangan seperti Synflood (TCP-flood), Scanning IP dan Port, DDos Attack (UDP-flood). Bagaimana cara mengamankan jaringan eksternal pascasarjana dari serangan-serangan Synflood, Scanning IP dan Port, DDos Attack?

1.3 Batasan Masalah

Dalam perancangan dan pengaplikasian pengamanan Jaringan Komputer di Pascasarjana UPN “Veteran” Jatim menggunakan metode “IDS (Intrusion Detection system)” dari aktifitas hacking IRC ini, mempunyai batasan masalah sebagai berikut:

a. Mendeteksi serangan DDos dan Synflood attack serta scanning IP dan Port dari IRC (Internet Relay Chat) dengan Snort IDS (Intrusion Detection System) pada jaringan eksternal Pascasarjana UPN “Veteran” Jawa Timur.

b. Pemblokiran serangan-serangan tersebut dengan Blockit dan rancangan Firewall menggunakan iptables.

1.4 Tujuan Tugas Akhir

Tujuan dari tugas akhir ini adalah

a. Mengerti dan memahami jenis-jenis serangan DDos, Synflood, Scanning IP dan Port dari IRC (Internet Relay Chat).

b. Memahami dan mampu mengaplikasikan pendeteksian serangan-serangan menggunakan metode IDS (intrusion detection system) dengan program snort.

1.5 Manfaat Tugas Akhir

Manfaat yang didapat dari tugas akhir ini untuk Pascasarjana UPN “Veteran” Jawa timur ini adalah sebagai berikut:

a. Meminimalisir adanya kesalahan dari sebuah sistem dalam jaringan di Pascasarjana UPN “Veteran Jatim.

b. Mengamankan sebuah jaringan komputer yang berbasis client-server dengan studi kasus jaringan komputer di Pascasarjana UPN “Veteran” Jatim.

c. Mengamankan Jaringan Local maupun Jaringan Internet di Pascasarjana UPN “Veteran” Jatim.

d. Pengembangan IT di Pascasarjana UPN “Veteran” Jatim. e. Pengabdian ilmu untuk kemajuan UPN “Veteran”Jatim.

1.6 Sistematika Penulisan

Sistematika penulisan Tugas Akhir (TA) ini akan membantu mengarahkan penulisan laporan agar tidak menyimpang dari batasan masalah yang dijadikan sebagai acuan atau kerangka penulisan dalam mencapai tujuan penulisan laporan -

4

Tugas Akhir (TA) sesuai dengan apa yang diharapkan.

Laporan Tugas Akhir (TA) ini terbagi dalam VI bab yaitu:

BAB I: PENDAHULUAN

Pendahuluan berisi mengenai gambaran umum tentang latar belakang masalah, perumusan masalah, batasan masalah, tujuan, manfaat dan sistematika penulisan.

BAB II: TINJAUAN PUSTAKA

Tinjauan pustaka ini berisi tentang gambaran umum objek pekerjaan , pengertian–pengertian dasar dan teori–teori yang berhubungan dengan masalah yang akan dibahas dalam tugas akhir (TA) ini sebagai landasan bagi pemecahan yang diusulkan.

BAB III: METODE TUGAS AKHIR

Metode tugas akhir ini berisi tentang rancangan jaringan, rancangan pendeteksian serangan-serangan, dan metode-metode yang dipakai untuk penyelesaian tugas akhir.

BAB IV: IMPLEMENTASI SISTEM

Implementasi sistem berisi tentang hasil dan pembahasan mengenai beberapa konfigurasi-konfigurasi untuk membentuk sebuah keamanan untuk jaringan pascasarjana serta timbal balik pengamanan dari serangan Hacking IRC (Internet Relay Chat).

BAB V: KESIMPULAN DAN SARAN

Berisi tentang kesimpulan yang di peroleh dari hasil pengana-lisaan data dari bab-bab sebelumnya. Dimana berisi tentang saran-saran yang diharapkan dapat bermanfaat dan dapat membangun serta mengembang-

5

kan isi laporan terebut sesuai dengan tujuan penulisan Laporan Tugas Akhir (TA).

BAB VI: PENUTUP

Berisi daftar pustaka dan lampiran-lampiran lain yang berfungsi untuk melengkapi uraian yang disajikan dalam bagian utama laporan.

BAB II

TINJAUAN PUSTAKA

2.1 Pasca Sarjana Universitas Pembangunan Nasional (UPN) “Veteran”

Jawa Timur

Adapun keterangan untuk Pasca Sarjana Universitas Pembangunan Nasional “Veteran” Jatim sebagai berikut:

2.1.1 Profile Pasca Sarjana

Gambar 2.1.1 Pascasarjana UPN “Veteran” Jatim

Program Pascasarjana UPN "Veteran" Jawa Timur didirikan berdasarkan Surat Keputusan Direktur Jenderal Pendidikan Tinggi, Departemen Pendidikan dan Kebudayaan Nomor: 390/Dikti/Kep/1999, Tanggal: 6 September 1999, tentang Pembukaan Program Magister Manajemen Agribisnis Pada Program Pascasarjana Di Lingkungan Universitas Pembangunan Nasional „Veteran" Jawa Timur Di Surabaya. Pelaksanaan program pascasarjana Jawa Timur angkatan I dilaksanakan pada Tahun Akademik 1999/2000.

2.1.2 Visi dan misi

Visi: Terwujudnya pascasarjana sebagai center of excellence di Jawa Timur

Misi :

1. Melaksanakan Tri Dharma Perguruan Tinggi untuk pengembangan keilmuan dan profesionalisme.

2. Menjadikan Program Pascasarjana UPN "Veteran" Jawa Timur sebagai penghela menuju reseacrh university.

3. Terwujudnya UPN "Veteran" Jawa Timur yang maju, modern dan mandiri.

4. Menghasilkan dan mengembangkan lulusan yang memiliki nilai-nilai tanggung jawab, kebersamaan, kerjasama, keterbukaan, kreativitas, kejujuran dan kepedulian kepada lingkungan.

5. Mengembangkan pola berpikir agar para lulusan dapat bertindak kritikal dalam menghadapi berbagai masalah baik politik, sosial maupun budaya pada berbagai keadaan lingkungan melalui identifikasi dan penelitian serta mengambil keputusan yang tepat. (Sumber referensi: Anonim. Visi dan Misi,

http://pasca.upnjatim.ac.id/?l=nemN3B9N3B9, 05 Juli 2010, 18.58 WIB)

2.2 Dasar Teori

Adapun beberapa isi dari dasar teori yang kami utarakan sebagai berikut:

2.2.1 Metode IDS (Intrusion Detection System)

IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” atau “pengganggu atau penyusup” di jaringan. IDS sangat mirip seperti alarm, yaitu IDS akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS dapat

8

di- definisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate

yang terjadi di jaringan atau host. IDS adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion.

IDS (Intrusion Detection System) juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai intrusion oleh intruser. Cara kerja IDS dibagi menjadi dua (2),yaitu:

1. Knowledge Based (Misuse Detection)

Knowledge Based pada IDS (Intrusion Detection System) adalah cara kerja IDS dengan mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule pada IDS tersebut. Database rule tersebut dapat berisi signature –

signature paket serangan. Jika pattern atau pola paket data tersebut

terdapat kesamaan dengan rule pada database rule pada IDS, maka paket data tersebut dianggap sebagai serangan dan demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada database rule pada IDS, maka paket data tersebut tidak akan dianggap serangan.

2. Behavior Based ( Anomaly Based )

Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan–kejanggalan pada sistem, atau adanya keanehan dan kejanggalan dari kondisi pada saat sistem normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS (Intrusion Detection System) Anomaly Based ini dianggap sebagai serangan.

Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly,

sebut kemudian akan diubah menjadi “rules” ke dalam IDS (Intrusion Detection

System). Sebagai contoh, intrusion atau gangguan seperti port scanning yang

dilakukan oleh intruder. Oleh karena itu IDS ditujukan untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion.

Jenis – Jenis IDS (Intrusion Detection System): a. Network Instrusion Detection System (NIDS)

Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS (Intrusion

Detection System) tersebut. NIDS (Network Instrusion Detection System)

pada umumnya bekerja dilayer 2 pada OSI layer, IDS menggunakan “raw

traffic” dari proses sniffing kemudian mencocokannya dengan signature

yang telah ada dalam policy. Jika terdapat kecocokan antara signature

dengan raw traffinc hasil sniffing paket, IDS memberikan alert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem. NIDS yang cukup banyak dipakai adalah snort karena signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi.

Contoh: melihat adanya network scanning

b. Host Instrusion Detection System (HIDS)

Mamantau Anomali di Host dan hanya mampu mendeteksi pada host tempat implementasi IDS (Intrusion Detection System) tersebut. HIDS (Host Instrusion Detection System) biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file password dengan penambahan user ber UID 0, perubahan loadable kernel, perubahan ini script, dan gangguan bersifat anomali lainnya.

10

Gambar 2.2.1.1 Anomali deteksi Serangan

Seperti dijelaskan, IDS (Intrusion Detection System) melakukan deteksi gangguan keamanan dengan melihat Anomali pada jaringan. Anomali dapat dijelaskan sebagai traffic atau aktifitas yang tidak sesuai dengan kebijakan yang dibuat (policy).

Contoh Anomali yang dijelaskan sebagai Traffic/aktivitas yang tidak sesuai dengan policy:

a. Akses dari atau menuji ke host yang terlarang b. Memiliki Content atau Patern terlarang (virus) c. Menjalakan program terlarang.

IDS (Intrution Detection System) tidak hanya bekerja secara sendiri, IDS bekerja mendeteksi gangguan bersama-sama dengan firewall. Mekanisme penggunaan IDS adalah IDS membantu firewall melakukan pengamanan dengan snort (opensource) ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan Packet Filtering Firewall. Paket Filtering Firewall dapat membatasi akses koneksi berdasarkan pattern atau pola-pola koneksi yang dilakukan, seperti protokol, IP source and IP destination, Port Source and Port Destination, Aliran data dan code bit sehingga saat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sistem. Paket Filtering Firewall bersifat statik sehingga fungsi untuk membatasi akses juga secara statik, sebagai contoh : akses terhadap port 80 (webserver) diberikan izin (allow) oleh policy, maka dari manapun dan apapun aktifitas terhadap port tersebut tetap di ijinkan meskipun aktifitas tersebut merupakan gannguan (intrusion) ataupun usaha penetrasi dari para intruder. Untuk itulah Paket Filtering Firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan penggunaannya dengan IDS untuk membantu sistem hardening atau pengamanan.

IDS (Intrusion Detection System) dan Firewall menggunakan Engine Sistem Pencegahan Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas membaca alert dari IDS, alert tersebut dapat berupa jenis serangan dan IP address intruder, kemudian memerintahkan firewall untuk melakukan block ataupun drop akses intruder tersebut ke koneksi dalam sistem.

Sistem pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika diletakkan pada router, sehingga daerah kerja sistem tersebut dapat mencakup semua host yang berada dalam satu jaringan dengan router sebagai tempat mengimplementasikan sistem pencegahan penyusupan tersebut. Bila konsentrator menggunakan switch, akan terdapat masalah yang timbul. Masalah tersebut adalah proses pendeteksian terhadap paket data yang datang menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah seperti ini, cara tersebut adalah dengan melakukan spoofing MAC address terhadap host– host yang akan diamati.

12

a) Paket Decoder: Paket yang disandikan.

b) Preprocessor (Plug-ins): Modul plug-in uang berfungsi untuk mengolah

paket sebelum dianalisa.

c) Detection Engine: Rules from signature.

d) Output Stage: Alert dan Log.

Ada beberapa tipe penggunaan IDS (Intrusion Detection System) untuk menajemen keamanan informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS dan IDS dengan menggunakan Box.

Untuk melakukan manajemen keamanan informasi pada sistem, haruslah terlebih dahulu diketahui karateristik yang di dapat dari penggunaan IDS

(Intrusion Detection System) agar pengamanan tersebut dapat dilakukan secara

maksimal.

Karateristik atau sifat yang dimiliki Oleh IDS (Intrusion Detection System) pada umumnya:

a. Suitability

Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya.

b. Flexibility

Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut.

c. Protection

Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya.

d. Interoperability

Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya.

e. Comprehensiveness

Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu email serta dapat memblokir address url secara spesifik.

f. Event Management

Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan.

g. Active Response

Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya.

h. Support

Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain.

Kelebihan yang akan di dapatkan dengan menggunakan IDS (Intrusion Detection

System) sebagai metode Keamanan:

1. Memiliki Akurasi keamanan yang baik

IDS (Intrusion Detection System) haruslah memiliki akurasi atau ketelitian, jadi yang baik adalah IDS yang memiliki ketelitian yang baik untuk mengenal intrusion atau gangguan. Pada saat sekrarang ini IDS telah memiliki ketelitian tinggi, yaitu mampu secara realtime mendeteksi dan melakukan blocking terhadap tindakan yang mencurigakan.

14

Selain itu IDS juga harus mampu memeriksa dan menganalisa pattern objek secara menyeluruh seperti paket – paket data baik Header Paket maupun Payload yang dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas jaringan sehingga dapat mengenal benar karateristik trafic penyerang.

Oleh karena itu untuk melakukan hal tersebut, IDS yang baik haruslah memiliki karateristik:

− Memiliki kemampuan menganalisa protokol dari semua sumber lalu lintas (trafic).

− Memiliki kemampuan menganalisa protokol secara stateful untuk

Layer Network atau Layer ke tiga pada OSI Layer sampai dengan

Layer Aplication atau Layer ke tujuh pada OSI Layer.

− Memiliki kemampuan untuk melakukan perbandingan secara

Context-Base, Multiple-Tringger, Multiple-Pattern signature

dengan tujuan untuk dapat mengenal dan mengetahui jenis exploit yang dipergunakan.

− Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data) pada IP Fragmen (Layer 3). − Memiliki kemampuan Forward dan Backward apabila terjadi

proses overlap (penumpukan data) pada TCP Segment.

− Memiliki kemampuan Forward dan Backward apabila terjadi kerancuan dan ketidakberesan didalam implementasi protokol (Layer 4).

− Memiliki kemampuan kontrol pada tingkat aplikasi protokol seperti: HTTP, FTP, Telnet, RPC Fragmentasi, dan SNMP (Layer 6 dan Layer 7)

2. Mampu Mendeteksi dan Mencegah Serangan.

IDS (Intrusion Detection System) haruslah dapat mendeteksi serangan dan juga mampu untuk melakukan pencegahan terhadap serangan tersebut, IDS yang baik dalam mengatasi serangan adalah IDS yang memiliki karateristik:

a. Dapat beroperasi secara in-line.

b. Memiliki kehandalan dan ketersediaan.

c. Deliver high performance.

d. Kebijakan policy pada IDS (Intrusion Detection System) yang dapat diatur sesuai dengan yang dibutuhkan.

3. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking

IDS (Intrusion Detection System) haruslah memiliki pengetahuan yang luas, dapat mengenal serangan apa yang belum dikenalnya, seperti contoh IDS harus mampu mendeteksi serangan DOS mempergunakan analisis signature dan mampu mendeteksi segala sesuatu yang mencurigakan.

IDS yang baik dalam pengenalan attacking adalah IDS yang memiliki karateristik:

− Memiliki AI (Artificial intelligence) sehingga IDS tersebut dapat mempelajari sendiri serangan-serangan yang datang.

− Mampu melakukan proses deteksi trafic dan pembersihan terhadap host (Layer 3 – Layer7).

− Mampu melakukan scanning TCP dan UDP. − Mampu memeriksa keberadaan backdoor.

4. Dapat memberikan Informasi tentang ancaman – ancaman yang terjadi. 5. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan

report-ing yang baik.

6. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan pencegahan.

2.2.1.1 Snort IDS (Intrusion Detection System)

Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion Detection System) di industri. Snort merupakan salah satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala Ma-

16

cam intrusion atau serangan dari luar seperti Buffter overflows, stealth scan, CGI

attacks, SMP probes, OS fingerprinting. Secara default Snort memiliki 3 hal yang terpenting, yaitu:

1. Paket Sniffer

Contoh: tcpdump, iptraf, dll. 2. Paket Logger

Berguna dalam Paket Traffic.

3. NIDS (Network Intrusion Detection System) Deteksi Intrusion pada Network

Komponen – komponen Snort IDS (Intrusion Detection System) meliputi: a. Rule Snort

Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis – jenis serangan. Rule snort IDS (Intrusion Detection System) harus selalu terupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org.

b. Snort Engine

Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort.

c. Alert

Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database. Hubungan ketiga komponen snort IDS (Intrusion

Gambar 2.2.1.2 System kerja Snort IDS

2.2.1.2 Instalasi dan Konfigurasi Snort IDS (Intrusion Detection System)

Setelah kita mengeti dan memahami akan teori-teori, fungsi, dan kegunaan Snort IDS (Intrusion Detection System), kini saatnya kita mengerjakan Instalasi dan Konfigurasinya.

Kebutuhan yang harus di penuhi untuk sebelum menginstall snort: 1. Sistem Operasi (GNU/Linux Backtrack 4)

2. Libpcap, libpcap & libpcap-devel

Instalasi bias langsung di Source milik anda dengan cara [root @alif ~] apt-get install libpcap libpcap-devel 3. PCRE, pcre & pcre-devel

Untuk PCRE bias didownload di

18

Setelah selesai didownload maka dilanjutkan ke cara instalasinya [dee @alif ~]# tar zxvf pcre-8.12.tar.gz

[dee @alif ~]# cd pcre-8.12

[dee @alif pcre-8.12]# ./configure [dee @alif pcre-8.12]# make [dee @alif pcre-8.12]# make install 4. WebServer Apache (Optional)

Instalasi bias langsung di Source milik anda dengan cara [root @alif ~] apt-get install Apache2

5. MySQL Server, mysql-server & mysql-devel (Optional) Instalasi bias langsung di Source milik anda dengan cara

[root @alif ~] apt-get install mysql-server mysql-client mysql-devel 6. PHP (Optional)

Instalasi bias langsung di Source milik anda dengan cara [root @alif ~] apt-get install php5

paket-paket diatas harus sudah terinstall dengan baik itu menggunakan paket binary maupun source (tar.bz2). Yang sebelumnya dengan meng-update paket-paket yang terbaru, serta mematikan services/daemon yang tidak diperlukan.

Instalasi Snort

[dee @alif ~]$ tar xjvf snort-2.8.0.tar.gz [dee @alif ~]$ cd snort-2.8.0

[dee @alif snort-2.8.0]$ ./configure –prefix=/usr \ –sysconfdir=/etc/snort \

–mandir=/usr/share/man \ –with-libpcap \

–with-dynamicplugins

[dee @alif snort-2.8.0]$ make

[root @alif snort-2.8.0]# make install

Setelah instalasi selesai, dengan keyakinan tidak adanya pesan kesalahan. Lanjutkan dengan membuat direktori untuk peletakkan berkas-berkas snort.

[root @alif snort-2.8.0]# mkdir -p /etc/snort/rules; mkdir /var/log/snort [root @alif snort-2.8.0]# cp etc/* /etc/snort/

Download snort rules (sebaiknya yang terbaru). [dee @alif ~]$ tar xzvf snortrules-pr-2.4.tar.gz [root @alif ~]# cp rules/* /etc/snort/rules/

Setelah selesai instalasi diatas, kita akan memodifikasi berkas konfigurasi snort (/etc/snort/snort.conf) sesuai dengan peletakkan pada sistem.

[root @alif ~]# nano /etc/snort/snort.conf Lakukan perubahan baris-baris berikut

— snort.conf file configuration —

var HOME_NET 192.168.1.0/24 - Isikan IP address LAN var EXTERNAL_NET $HOME_NET

20

dynamicpreprocessor directory /usr/lib/snort_dynamicpreprocessor/ dynamicengine /usr/lib/snort_dynamicengine/libsf_engine.so Setelah selesai, silahkan simpan berkas snort.conf

Silahkan ambil snort-init untuk mengatur starting & ending service snort. [dee @alif ~]$ wget http://202.152.18.10/linux/snort-init.txt [root @alif ~]# cp snort-init.txt /etc/init.d/snort

[root @alif ~]# chmod +x /etc/init.d/snort

Agar setiap kali selesai booting komputer, service snort dapat dijalankan secara otomatis, hendaknya dilakukan perintah dibawah ini:

[root @alif ~]# chkconfig –add snort Jalankan, snort

[root @alif ~]# /etc/init.d/snort start Starting snort service: [ OK ]

Dengan demikian, proses instalasi snort pada sistem sudah selesai.Untuk memonitoring berkas/LOG yang disimpan snort

[root @alif ~]# tail -f /var/log/snort/alert [**] [1:1419:9] SNMP trap udp [**]

[Classification: Attempted Information Leak] [Priority: 2]

10/26-16:43:48.741706 192.168.1.101:53809 -> 192.168.1.87:162 UDP TTL:255 TOS:0×0 ID:15979 IpLen:20 DgmLen:244

[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][Xref =>

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][Xref => http://www.securityfocus.com/bid/4132][Xref =>

http://www.securityfocus.com/bid/4089][Xref => http://www.securityfocus.com/bid/4088]

Untuk mengganti, listening interface dapat dilakukan pengeditan langsung pada berkas /etc/init.d/snort Asumsi interface eth0 merupakan ethernet yang digunakan sebagai fungsi yang menangani paket yang masuk dan keluar.

Setelah snort berjalan dengan normal, dan bisa menampilkan pesan seperti diatas selanjutnya kita coba memasuki tahap pencegahan sistem. Salah satu aplikasi yang kita gunakan saat ini adalah blockit. Download blockit di http://www.sfr-fresh.com/unix/privat/blockit-1.4.3a.tar.gz . dan dibawah ini cara menginstallnya.

Instalasi Blockit

[dee @alif ~]# tar zxvf blockit-1.4.3a.tar.gz [dee @alif ~]# cd blockit-1.4.3a

[dee @alif pcre-8.12]# sh install.sh Maka akan mucul pesan seperti berikut:

Please Enter Install Directory [/usr/local/blockit]:/etc/blockit Do you want to configure MySQL support? [y/n]: n

If using PF add a line saying ‘anchor blockit’ in your /etc/pf.conf! #

22

Setelah instalasi selesai maka dilanjutkan dengan mengedit blockit.conf di dalam conf folder (/etc/blockit/conf/blockit.conf) pada bagian dibawah ini:

FirewallType = 0

AlertFile = /var/log/snort/alert

Setelah meng-edit blockit.conf, copy seluruh konfigurasi yang ada di dalam forder conf dan pindahkan di folder /etc/blockit/

[dee @alif ~]# cp –Rf /etc/blockit/conf/* /etc/blockit/

Setlah itu copy juga blockit didalam bin (/etc/blockit/bin/) ke dalam folder init.d yang berada pada folder etc (/etc/init.d)

[dee @alif ~]# cp /etc/blockit/bin/blockit /etc/init.d/ Setelah selesai konfigurasi, untuk menjalankannya

[dee @alif ~]# /etc/init.d/blockit start

Silahkan lakukan pengetesan, apakah sistem yang dibangun sudah berfungsi. Lakukan scanning, ke sistem yang diinstall, dan lihat hasilnya.

(Sumber referensi: Saragi, Ronald, Siranda. Membangun-IPS

http://mymine.wordpress.com/2007/11/30/membangun-intrussion-preventif-sistem , 05 Maret 2011, 12.53 WIB)

2.2.2 Firewall

Firewall atau tembok-api adalah sebuah sistem atau perangkat yang

mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Umumnya, sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang

23

digunakan untuk mengontrol akses terhadap siapa saja yang memiliki akses terhadap jaringan pribadi dari pihak luar.

Saat ini, istilah firewall menjadi istilah lazim yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses ke Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka perlindungan terhadap modal digital perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya, menjadi hakikat.

Gambar 2.2.2.1 Letak firewall untuk sebuah jaringan

Firewall terbagi menjadi dua jenis, yakni sebagai berikut a. Personal Firewall

Personal Firewall didesain untuk melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam, dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan

(Intrusion Detection System). Contoh dari firewall jenis ini adalah Microsoft

Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows –

24

Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur utama, yakni Packet Filter Firewall dan Stateful Firewall.

b. Network Firewall

Network Firewall didesain untuk melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket yang akan ditolak.

2.2.2.1 Fungsi Firewall

Secara fundamental, firewall dapat melakukan hal-hal berikut: a) Mengatur dan Mengontrol Lalu lintas jaringan

Fungsi pertama yang dapat dilakukan oleh firewall adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket dan koneksi tersebut.

b) Proses inspeksi Paket

Inspeksi paket ('packet inspection) merupakan proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang administrator. Firewall, sebelum menentukan keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar) di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika menentukan apakah hendak menolak atau menerima komunikasi:

• Alamat IP dari komputer sumber • Port sumber pada komputer sumber • Alamat IP dari komputer tujuan • Port tujuan data pada komputer tujuan • Protokol IP

• Informasi header-header yang disimpan dalam paket c) Koneksi dan Keadaan Koneksi

26

Agar dua host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:

1. Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau ditolak.

2. Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented, atau connectionless).

Kedua tujuan tersebut dapat digunakan untuk menentukan keadaan koneksi antara dua host tersebut, seperti halnya cara manusia bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan komunikasi yang terjadi.

Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall.

Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakah data yang melewati firewall sedang "ditunggu" oleh host yang dituju, dan jika ya, akan mengizinkannya. Jika data yang melewati firewall tidak cocok dengan kea-

daan koneksi yang didefinisikan oleh tabel keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut sebagai Stateful Inspection.

d) Stateful Packet Inspection

Ketika sebuah firewall menggabungkan stateful inspection dengan packet inspection, maka firewall tersebut dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam hal penapisan yang tinggi.

Salah satu keunggulan dari SPI dibandingkan dengan inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan (policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi terhadap data dan perintah yang terkandung dalam sebuah paket data untuk menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall modern telah mendukung fungsi ini.

e) Melakukan autentikasi terhadap aksesFungsi fundamental firewall yang kedua adalah firewall dapat melakukan au tentikasi terhadap akses.

28

Protokol TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme autentikasi, sebagai berikut:

• Firewall dapat meminta input dari pengguna mengenai nama pengguna

(user name) serta kata kunci (password). Metode ini sering disebut sebagai

extended authentication atau xauth. Menggunakan xauth pengguna yang mencoba untuk membuat sebuah koneksi akan diminta input mengenai nama dan kata kuncinya sebelum akhirnya diizinkan oleh firewall. Umumnya, setelah koneksi diizinkan oleh kebijakan keamanan dalam firewall, firewall pun tidak perlu lagi mengisikan input password dan namanya, kecuali jika koneksi terputus dan pengguna mencoba menghubungkan dirinya kembali.

• Metode kedua adalah dengan menggunakan sertifikat digital dan kunci publik. Keunggulan metode ini dibandingkan dengan metode pertama adalah proses autentikasi dapat terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih cepat dalam rangka melakukan proses autentikasi. Meskipun demikian, metode ini lebih rumit implementasinya karena membutuhkan banyak komponen seperti halnya implementasi infrastruktur kunci publik.

• Metode selanjutnya adalah dengan menggunakan Pre-Shared Key (PSK) atau kunci yang telah diberitahu kepada pengguna. Jika dibandingkan dengan sertifikat digital, PSK lebih mudah diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan proses autentikasi terjadi tanpa -intervensi pengguna. Dengan menggunakan PSK, setiap host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang kemudian

digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci PSK jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci yang sama untuk melakukan koneksi terhadap host-host yang berada pada jarak jauh, sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai sebuah derajat keamanan yang tinggi, umumnya beberapa organisasi juga menggunakan gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat digital.

Dengan mengimplementasikan proses autentikasi, firewall dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket telah diizinkan dengan menggunakan inspeksi paket (PI) atau berdasarkan keadaan koneksi (SPI), jika host tersebut tidak lolos proses autentikasi, paket tersebut akan dibuang.

f) Melindungi sumber daya dalam jaringan private

Salah satu tugas firewall adalah melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan menggunakan beberapa peraturan pengaturan akses (access control), penggunaan SPI, application proxy, atau kombinasi dari semuanya untuk mencegah host yang dilindungi dapat diakses oleh host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlah satu-satunya metode proteksi terhadap sumber daya, dan mempercayakan proteksi terhadap sumber daya dari ancaman terhadap firewall secara eksklusif adalah salah satu kesalahan fatal. Jika sebuah host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet, firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang be-

30

lum ditambal, maka seorang pengguna yang "iseng" dapat saja membuat exploit untuk meruntuhkan web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contoh ini, web server tersebut akhirnya mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal ini disebabkan oleh firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain tentunya dilindungi oleh firewall.

2.2.2.2Cara-Cara Kerja Firewall

a) Packet-Filter Firewall

Pada bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router.

Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah hendak meneruskan atau menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna.

Packet-filtering router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh, port 25 yang digunakan oleh Protokol SMTP

(Simple Mail Transfer Protocol) umumnya dibiarkan terbuka oleh beberapa

firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan.

b) Circuit Level Gateway

Firewall jenis lainnya adalah Circuit-Level Gateway, yang umumnya berupa komponen dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi dalam model referensi tujuh lapis OSI (bekerja pada lapisan sesi/session layer) daripada Packet Filter Firewall.Modifikasi ini membuat firewall jenis ini berguna dalam rangka menyembunyikan informasi mengenai jaringan terproteksi, meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket individual yang mengalir dalam koneksi.

Dengan menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara langsung dengan firewall pada saat proses pembuatan koneksi dan firewall pun akan membentuk koneksi dengan sumber daya jaringan yang hendak diakses oleh pengguna setelah mengubah alamat IP dari paket yang ditransmisikan oleh -

32

dua belah pihak. Hal ini mengakibatkan terjadinya sebuah sirkuit virtual (virtual

circuit) antara pengguna dan sumber daya jaringan yang ia akses.

Firewall ini dianggap lebih aman dibandingkan dengan Packet-Filtering Firewall, karena pengguna eksternal tidak dapat melihat alamat IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari firewall. Protokol yang populer digunakan sebagai Circuit-Level Gateway adalah SOCKS v5.

c) Application Level Firewall

Application Level Firewall (disebut juga sebagai application proxy atau

application level gateway)

Firewall jenis lainnya adalah Application Level Gateway (atau

Application-Level Firewall atau sering juga disebut sebagai Proxy Firewall), yang

umumnya juga merupakan komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan pertama kali yang terletak dalam jaringan publik yang tidak aman.

Umumnya, firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang diterapkannya. Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi. Sebagai contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak bebera-

pa perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy SMTP sehingga mereka dapat menerima surat elektronik dari luar (tanpa menampakkan alamat e-mail internal), lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan komputer yang dikonfigurasikan sebagai application gateway

memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter firewall.

d) NAT Firewall

NAT (Network Address Translation) Firewall secara otomatis menyediakan proteksi terhadap sistem yang berada di balik firewall karena NAT Firewall hanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap port-port dalam NAT firewall.

e) Stateful Firewall

Cara kerja stateful firewall:

Stateful Firewall merupakan sebuah firewall yang menggabungkan keunggulan yang ditawarkan oleh packet-filtering firewall, NAT Firewall, Circuit-Level Firewall dan Proxy Firewall dalam satu sistem. Stateful Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti

34

halnya packet-filtering firewall, dan juga memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut di izinkan.

Tidak seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall umumnya didesain agar lebih transparan (seperti halnya packet-filtering firewall atau NAT firewall). Tetapi, stateful firewall juga mencakup beberapa aspek yang dimiliki oleh application level firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari lapisan aplikasi (application layer) dengan menggunakan layanan tertentu. Firewall ini hanya tersedia pada beberapa firewall kelas atas, semacam Cisco PIX. Karena menggabungkan keunggulan jenis-jenis firewall lainnya, stateful firewall menjadi lebih kompleks.

f) Virtual Firewall

Virtual Firewall adalah sebutan untuk beberapa firewall logis yang berada dalam sebuah perangkat fisik (komputer atau perangkat firewall lainnya). Pengaturan ini mengizinkan beberapa jaringan agar dapat diproteksi oleh sebuah firewall yang unik yang menjalankan kebijakan keamanan yang juga unik, cukup dengan menggunakan satu buah perangkat. Dengan menggunakan firewall jenis ini, sebuah ISP (Internet Service Provider) dapat menyediakan layanan firewall kepada para pelanggannya, sehingga mengamankan lalu lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat. Hal ini jelas merupakan penghematan biaya yang signifikan, meski firewall jenis ini hanya tersedia pada firewall kelas atas, seperti Cisco PIX 535.

g) Transparent Firewall

Transparent Firewall (juga dikenal sebagai bridging firewall) bukanlah sebuah firewall yang murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada firewall-firewall lainnya yang beroperasi pada lapisan IP ke atas, transparent firewall bekerja pada lapisan Data-Link Layer, dan kemudian ia memantau lapisan-lapisan yang ada di atasnya.

35

Selain itu, transparent firewall juga dapat melakukan apa yang dapat dilakukan oleh packet-filtering firewall, seperti halnya stateful firewall dan tidak terlihat oleh pengguna (karena itulah, ia disebut sebagai Transparent Firewall).

Intinya, transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk menyaring lalu lintas jaringan antara dua segmen jaringan. Dengan menggunakan transparent firewall, keamanan sebuah segmen jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT Filter. Transparent Firewall

menawarkan tiga buah keuntungan, yakni sebagai berikut:

• Konfigurasi yang mudah (bahkan beberapa produk mengklaim sebagai "Zero Configuration"). Hal ini memang karena transparent firewall dihubungkan secara langsung dengan jaringan yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-link layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi atau dapat juga untuk melindungi sebuah host, jika memang diperlukan.

• Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi.

• Tidak terlihat oleh pengguna (stealth). Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall). Karena itulah, transparent firewall tidak dapat terlihat oleh para

36

penyerang. Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak dapat menyerangnya.

• Tidak mempengaruhi kinerja dari router. Hal ini memang dikarenakan Transparent Firewall bekerja membutuhkan kapasitas process RAM yang kecil namun sangat pandai dalam menentukan rule-rule.

2.2.2.3 IPTables

IPTables merupakan command untuk menentukan sebuah rule-rule firewall dalam tugasnya menjaga sebuah jaringan. IPTables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD.

Gambar 2.2.2.3 skema iptables

Pada diagram tersebut, lingkaran menggambarkan ketiga rantai atau chain. Pada saat sebuah paket sampai pada sebuah lingkaran, maka disitulah terjadi proses penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila keputusannnya adalah DROP, maka paket tersebut akan di-drop. Tetapi jika rantai

memutuskan untuk ACCEPT, maka paket akan dilewatkan melalui diagram tersebut.

Sebuah rantai adalah aturan-aturan yang telah ditentukan. Setiap aturan menyatakan “jika paket memiliki informasi awal (header) seperti ini, maka inilah yang harus dilakukan terhadap paket”. Jika aturan tersebut tidak sesuai dengan paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai aturan terakhir yang ada, paket tersebut belum memenuhi salah satu aturan, maka kernel akan melihat kebijakan bawaan (default) untuk memutuskan apa yang harus dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default DROP dan default ACCEPT. Jalannya sebuah paket melalui diagram tersebut bisa dicontohkan sebagai berikut:

a. Perjalanan paket yang diforward ke host yang lain: 1. Paket berada pada jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan, contoh eth0.

3. Paket masuk ke chain PREROUTING pada table Mangle. Chain ini berfungsi untuk me-mangle (menghaluskan) paket, seperti merubah TOS, TTL dan lain-lain.

4. Paket masuk ke chain PREROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan DNAT (Destination Network

Address Translation).

5. Paket mengalami keputusan routing, apakah akan diproses oleh host lokal atau diteruskan ke host lain.

6. Paket masuk ke chain FORWARD pada tabel filter. Disinlah proses pemfilteran yang utama terjadi.

38

7. Paket masuk ke chain POSTROUTING pada tabel nat. Chain ini berfungsi utamanya untuk melakukan SNAT (Source Network Address

Translation).

8. Paket keluar menuju interface jaringan, contoh eth1. 9. Paket kembali berada pada jaringan fisik, contoh LAN. b. Perjalanan paket yang ditujukan bagi host local:

1. Paket berada dalam jaringan fisik, contoh internet. 2. Paket masuk ke interface jaringan, contoh eth0.

3. Paket masuk ke chain PREROUTING pada tabel mangle. 4. Paket masuk ke chain PREROUTING pada tabel nat. 5. Paket mengalami keputusan routing.

6. Paket masuk ke chain INPUT pada tabel filter untuk mengalami proses penyaringan.

7. Paket akan diterima oleh aplikasi lokal. c. Perjalanan paket yang berasal dari host local:

1. Aplikasi lokal menghasilkan paket data yang akan dikirimkan melalui jaringan.

2. Paket memasuki chain OUTPUT pada tabel mangle. 3. Paket memasuki chain OUTPUT pada tabel nat. 4. Paket memasuki chain OUTPUT pada tabel filter.

5. Paket mengalami keputusan routing, seperti ke mana paket harus pergi dan melalui interface mana.

6. Paket masuk ke chain POSTROUTING pada tabel NAT. 7. Paket masuk ke interface jaringan, contoh eth0.

8. Paket berada pada jaringan fisik, contoh internet. Sintaks IPTables

iptables [-t table] command [match] [target/jump]

(Sumber referensi: Anonim. Firewall http://id.wikipedia.org/wiki/Firewal, 05 Maret 2011, 16.26 WIB)

2.2.3 IRC (Internet Relay Chat)

Internet Relay Chat (IRC) adalah suatu bentuk komunikasi di Internet yang diciptakan untuk komunikasi interpersonal terutama komunikasi kelompok di tempat diskusi yang dinamakan channel (saluran), tetapi juga bisa untuk komunikasi jalur pribadi.

IRC muncul sebagai saluran komunikasi pintu belakang yang menarik yang meliput kejadian-kejadian penting. Pada saat alat-alat komunikasi tradisional tak dapat berfungsi dengan baik, IRC dapat menjadi alternatif yang dapat diandalkan.

2.2.3.1 Sejarah IRC

IRC diciptakan oleh Jarkko Oikarinen (nickname "WiZ") pada akhir Agustus 1988 untuk menggantikan program di BBS yang disebut MUT

(MultiUser Talk), di Finlandia di sebut OuluBOX. Oikarinen menemukan

inspirasi Bitnet Relay Chat yang beroperasi di dalam Jaringan Bitnet. Dia membuat IRC client dan IRC server di Universitas Oulu, Finlandia (Pada saat dia

40

bekerja di Departemen Informasi Ilmu Pengetahuan). Sekarang IRC sudah digunakan di lebih dari 60 negara di seluruh dunia.

Pada tahun 1992 Internet Relay Chat kemudian disempurnakan tepatnya pada saat perang gurun. Antara periode ini, informasi diterima dan disalurkan ke seluruh dunia sehingga karena dengan IRC manusia dapat berkomunikasi dengan jarak beribu-ribu mil. IRC adalah sebuah tempat pertemuan untuk siapa saja yang membutuhkan informasi langsung up to date dan dapat dipergunakan.

2.2.3.2 Bagian-bagian IRC

Terdiri dari bermacam-macam "network" (jaringan atau "nets") IRC server, mesin-mesin untuk menghubungkan pemakai dengan IRC. Nets yang terbesar adalah EFnet (IRC net yang pertama, yang kadang-kadang memiliki lebih dari 32000 pengguna IRC dalam satu saat), Undernet, IRCnet, DALnet, NewNet. Server-server tersebut yang menghantarkan informasi-informasi ke dan dari satu server ke server yang lain di dalam net yang sama. Client-client yang direkomendasikan:

1. UNIX/Shell: ircII

2. Windows: mIRC or PIRCH 3. Macintosh: Ircle

Channel-channel dalam IRC dikelola oleh "channel operator",atau "ops". Channel operator adalah orang-orang yang berkuasa di channel tersebut, dan keputusan-keputusan mereka tidak dapat diganggu gugat. Mereka dapat "memilih" siapa saja yang bisa join di channel tersebut, siapa yang berhak berbicara (dengan membuat channel tersebut "moderated") dan juga menolak (dengan mem-"ban" beberapa pemain) Jika ada di-"ban" dari suatu channel, bicaralah dengan channel operator, dan minta dengan baik agar dia mengijinkan Anda untuk bergabung dengan channel tersebut (dengan meng-"unban"). IRC server dikelola oleh IRC admin dan IRC operator (atau "IRCops"). IRCops tidak-

turut campur dalam urusan pribadi orang-orang, perang antar channel, memberi status op, dan lain-lain. Mereka bukanlah "IRC cops".

2.2.3.3 Menggunakan IRC

Saat kita menggunakan Internet Relay Chat, kita akan disambut oleh

Message of the Day (Pesan Hari Ini) atau MOTD yang berisi informasi tentang

situs dan lalu lintas pada jaringan. Ketika menggunakan IRC, pengguna diminta untuk menyebutkan nama julukan atau samaran. Sang pengguna memiliki suatu program (yang disebut "client") untuk menghubungkan Anda dengan suatu server dari salah satu IRC nets tersebut di atas.

Bila telah log in pada client IRC, pengguna dapat secara otomatis menggunakan saluran aktif yang bernama #chatzone. Semua saluran atau channel IRC diawali tanda (#) ada juga dengan tanda (&). Channel-channel tersebut adalah channel-channel lokal di satu server saja sehingga pengguna harus bergabung dengan server tersebut untuk dapat bergabung dengan channel. Semua perintah IRC dimulai dengan garis miring (/). Misalnya untuk mengetahui daftar saluran yang sedang digunakan pada saat yang bersangkutan dan jumlah orang yang bercakap-cakap, ketik perintah “/list”. Untuk turut serta dalam percakapan di Internet ini, tinggal beri perintah ”/join” diikuti tanda #(nama saluran). Jika pengguna telah memiliki program seperti mIRC untuk Windows, beberapa perintahnya dapat dipilih dari menu-nya. Semua perintah-perintah dasar IRC berlaku untuk semua client-client.

2.2.3.4 Analisis Aktifitas Hacking di IRC (Internet Relay Chat)

Berdasarkan hasil analisa dari data-data yang telah dikumpulkan oleh penulis, terdapat fakta bahwa hacker yang memiliki atau bergabung dalam suatu kelompok hacker tertentu, ternyata menggunakan Internet Relay Chat (IRC) atau chatroom. Bukan tidak mungkin bahwa hacker yang tergabung dalam sebuah -

42

Chatroom dalam jangka waktu tertentu, secara berkala dan konsisten, bisa mem-bentuk sebuah kelompok hacker tertentu.

Nama kelompok hacker tersebut akan mengikuti nama chat roomnya, ataupun nama chatroom yang dipilih akan menyesuaikan dengan nama kelompok hacker tersebut. Nama dari sebuah chatroom akan mengidentifikasikan nama kelompok hacker tersebut, demikian pula sebaliknya, nama sebuah kelompok hacker akan mengidentifikasikan nama chatroom yang digunakan. Contohnya kelompok hacker AntiHackerlink, Jasakom dan K-Elektronik, masing-masing memiliki chatroom dengan nama #AntiHackerlink, #Jasakom dan #K-Elektronik. Ketiga chat room tersebut berada di sebuah server Internet global yang bernama DALnet.

Berikut ini adalah data-data teknis ketiga chatroom tersebut: Info for #antihackerlink:

Founder : (Anon@202.146.241.142) Mode Lock : -m

Last Topic : http://www.research.att.com/sw/tools/uwin/ (zer0_c00l) Description: ::..:: We Are Indonesia Hacker's Crew ::..::

Options : SecuredOps, Verbose, "Sticky" Topics Memo Level : AOP

Registered : Sat 12/01/2001 09:53:08 GMT Last opping: Sun 12/23/2001 09:46:56 GMT End of Info

info for #jasakom:

Founder : (sdfgsdf@202.47.64.58) Mode Lock : -i

Description: WWW.JASAKOM.COM Memo Level : AOP

43

Last opping: Sun 12/23/2001 09:42:37 GMT End of Info

Info for #k-elektronik:

Founder : (~XWindows@thugscript.net) Mode Lock : +cnt-sipkR

Last Topic : | Kecoak Crew | the great way to learn (wellex) Description: www.k-elektronik.org

URL : http://www.k-elektronik.org Options : SecuredOps, Ident, Topic Lock(S) Memo Level : SOP

Registered : Tue 12/04/2001 08:35:17 GMT Last opping: Sun 12/23/2001 11:50:29 GMT End of Info

Tampak jelas dalam data-data di atas mengenai nickname pendiri

(founder), waktu didirikan (registered), deskripsi (description) chatroom, dan

sebagainya. Sebuah chatroom dapat menjadi suatu perwujudan dari keberadaan sebuah kelompok sosial atau komunitas hacker. Kemampuan dan fungsi chatroom memang memungkinkan hal tersebut.

Pertama, chatroom mampu berfungsi sebagai sarana komunikasi sosial dan dapat pula menjadi manifestasi kelompok sosial itu sendiri. Kemampuan chatroom menjadi sebuah sarana komunikasi sosial karena secara teknis di dalam chatroom para chatters dapat melakukan komunikasi interpersonal (private chat) dan komunikasi kelompok (public chat). Baik private chat maupun public chat, antar pelakunya harus berada dalam satu tempat yang sama (bertemu dalam satu chatroom tertentu) dan dalam waktu yang sama pula (real time). Salah satu tahap terjadinya interaksi sosial adalah adanya kontak, yang bisa bersifat sekunder (menggunakan media tertentu, dalam hal ini melalui chatroom) dan langsung (tanpa perantara individu lain meskipun tidak face-to-face).

44

Kedua, chatroom mampu menjadi sebuah kelompok sosial. Hal tersebut tak lepas pula dari karakteristik teknis chatroom itu sendiri. Pertama-tama, kita definisikan dahulu arti kata kelompok sosial. Menurut George Hillery dalam jurnal CyberSociology (http://www.cybersoc.com), ciri komunitas adalah adanya sekelompok orang yang saling melakukan interaksi sosial dan ada suatu persamaan yang mengikat mereka pada kelompok tersebut dan antar sesama anggota kelompok, serta mereka berbagi area tertentu dalam jangka waktu tertentu.

Geoffrey Liu dalam jurnal Computer-Mediated Communication

(http://www.ascusc.org/jcmc), menetapkan beberapa syarat terjadinya komunitas atau kelompok sosial maya, yaitu: (1). adanya ruang publik maya, (2). adanya aktifitas komunikasi dari para komunikator, (3). adanya anggota dengan jumlah besar sehingga memungkinkan terjadinya beberapa interaksi, (4). adanya kestabilan jumlah anggota dan konsistensi pemunculan anggota dan (5). adanya interaktifitas pesan verbal, pesan simulasi aksi dan konsistensi penggunaan nickname.

Di dalam chatroom, khususnya server DALnet, ada jenjang struktural dan fungsional yang baku. Jenjang pertama dan tertinggi adalah founder, super

operator (SOP) dan auto operator (AOP) dan temporary operator. Keempat

jabatan tersebut selain struktural, juga fungsional. Mereka secara umum disebut

Operator (OP) dan menggunakan tanda "@" di depan nickname mereka.

Nickname mereka secara otomatis akan berada di urutan teratas dari listname pengunjung chatroom. Ketiganya merupakan penguasa sebuah chatroom yang dapat mengundang orang lain untuk datang, mengusir paksa orang dan mengawasi setiap percakapan publik yang terjadi di chatroom.

Founder adalah pemegang akses tertinggi dalam sebuah chatroom dan hanya dipegang oleh satu orang saja. Seorang founder bisa mengangkat SOP dan AOP. SOP bisa mengangkat AOP. Pengangkatan para SOP dan AOP tersebut memerlukan pendekatan kepada atasaanya. Karena tidak jarang para chatters Ter-

45

pisah antar negara dan sama sekali tidak pernah bertemu satu dengan yang lainnya secara face-to-face. Pengangkatan jabatan tersebut harus berdasarkan kepercayaan dan tidak jarang dengan melakukan lobi-lobi.

Kembali ke pendapat Hillery, syarat penting terjadinya sebuah komunitas maya adalah adanya suatu persamaan yang mengikat mereka pada kelompok tersebut dan antar sesama anggota kelompok, serta mereka berbagi area tertentu dalam jangka waktu tertentu. Para anggota kelompok hacker di chatroom memiliki persaman yang mengikat yaitu anggotanya sama-sama menyatakan dirinya sebagai hacker dan memiliki tujuan untuk melakukan hacking. Mereka juga berbagi area kekuasaan tertentu dalam jangka waktu tertentu. Area ter sebut ialah sebuah chatroom.

Konsep area dalam chatroom ini tidak berbeda jauh dengan konsep area kekuasan dalam dunia nyata. Dalam chatroom pun ada istilah penguasa lahan

(operator), perebutan lahan (channel takeover) dan intimidasi area (flooding). Ada

kalanya para anggota sebuah chatroom melakukan "serangan" ke chatroom lain. Selain itu dikenal pula istilah "meminta jasa keamanan" kepada operator yang ahli, biasanya adalah operator di sebuah chatroom besar, yang dalam dunia nyata disebut sebagai God Father. Bagi chat room kecil atau yang baru memiliki anggota sedikit, tidak jarang diganggu oleh pihak yang iseng. Operator chatroom besar rata-rata memiliki pengalaman dan pengetahuan yang lebih baik dalam mengatur sebuah channel dan mengatasi permasalahan yang timbul.

Operator tersebut kemudian diangkat sebagai SOP oleh founder chatroom

kecil dan diajak untuk bergabung dalam channel kecil tersebut, walapun hanya sekedar meletakkan nickname saja. Dengan adanya God Father dari chatroom besar tersebut, maka tingkat gangguan terhadap chatroom kecil tersebut dapat dikurangi. Setidaknya membuat pihak yang ingin mengganggu tersebut harus berpikir dua kali, karena bisa saja dia yang terkena serangan balasan atau dicekal untuk masuk ke chatroom lain yang dipegang oleh God Father tersebut.

46

Salah satu ciri khas yang membedakan antara hacker yang tidak bergabung dengan suatu kelompok hacker tertentu dengan hacker yang memilih bergabung adalah dari kebiasaan meninggalkan "catatan" dalam tampilan sebuah situs yang telah dimodifikasi oleh hacker tersebut. Bagi hacker tanpa kelompok, dia hanya meninggalkan catatan atas nama nickname atau inisial hacker tersebut.

Salah satu contohnya adalah ketika Fabian Clone pada hari Jumat tanggal 24 Mei 2000 menembus sistem sekuriti situs Indofood.co.id dan Rekayasa.co.id, dia hanya meninggalkan pesan-pesan yang diakhiri dengan inisial "F.C.". Sedangkan bagi hacker yang berkelompok, dia akan menuliskan nama kelompoknya. Salah satu contohnya adalah ketika hC- pada hari Kamis tanggal 16 Mei 2000 menembus sistem sekuriti situs PLN-Jawa-Bali.co.id, dia meninggalkan pesan-pesan tertentu sekaligus mengucapkan salam antara lain kepada rekannya dari kelompok hacker AntiHackerlink.

Di dalam chatroom, kerap terdapat ajakan-ajakan eksplisit atau motivator-motivator untuk melakukan hacking. Salah satu contohnya adalah logs chatroom #AntiHackerlink di bawah ini:

Start Logs

Session Start: Wed Mar 21 12:38:10 2001 [12:38] Now talking in #antihackerlink [12:38]Topic is 'http://www.multysistem.it/,

http://www.nicastroebarone.it/ ,http://www.salvatoremirmina.it/, http://www.pensionescala.it/sakitjiwa.txt, http://www.roseeroselline.it/ http://www.cavi-vivai.it/ New TargeT www.westernunion.com

www.paypal.com > yg bisa di akui jadi hacker sejati < both of them' [12:38] Set by chikebum on Wed Mar 21 11:56:49

[12:38] #antihackerlink url is pimp.goes.to.hell.with.the.support.from antihackerlink.org

-cutted-

47 -cutted-

[07:24] Wagimin changes topic to 'ANTIHACKERLINK IS BACK !!! | The Hot News seen www.westernunion.com

http://www.detik.com/net/2001/03/21/2001321-114641.shtml ! || Last target www.paypal.com || [eF!] My Gift for #ANTIHACKERLINK :: http://hacked.cen

tralbankasia.com/ [eF!]' -cutted-

[07:24] <c1sc0-> ANTIHACKERLINK IS BACK! [07:24] <c1sc0-> ANTIHACKERLINK IS BACK! End Logs

Perbedaan jam antara informasi logs tersebut dengan WIB adalah +7. Dari logs tersebut bisa dijelaskan bahwa pada pukul 19.38 WIB, Chikebum memasang topic di #AntiHackerlink yang intinya berisi ajakan atau motivasi untuk melakukan hacking ke situs Western Union salah satunya. Pada pukul 06.19 WIB keesokan harinya, dotcom- mengirimkan e-mail ke penulis yang mengatakan bahwa dia dan eF73 berhasil masuk ke server WesternUnion.com. Siang harinya berita bobolnya server Western Union tersebut dimuat oleh situs www.detik.com. Kemudian pada pukul 14.24 WIB, Wagimin, alias eF73, memasang topic di #AntiHackerlink tentang keberhasilan eF73 dan dotcom- menembus server Western Union, sekaligus memasang alamat situs berita dari Detikcom yang memberitakan keberhasilan mereka.

Sedangkan alamat situs http://hacked.centralbankasia.com merupakan salah satu tempat curahan data-data kartu kredit dari toko buku online Barners & Nobles yang sistemnya baru saja ditembus oleh AntiHackerlink. Kedua peristiwa tersebut membuat C1sc0- "bersorak" gembira. Hal tersebut merupakan contoh adanya kemungkinan melakukan tindakan persuasif atau memotivasi orang lain di dalam chatroom. Salah satu kebanggaan hacker yang membentuk kelompok maya

87 4.4.3 Pendeteksian dan Pemblokiran Serangan DDos Attack

Sudah dijelaskan bagaimana kronolgi tentang serangan DDos Attack di bab II, namun di IRC ini serangan DDos Attack diartikan sebagai serangan udp flood dengan packet dan size yang cukup besar kepada target dan menyerang seluruh port yang ada. Pendapat sebagian hacker IRC bahwa serangan DDos/UDPflood tidak dapat diblok dan dibendung oleh sebuah server. Dan yang bias memblokir serangan tersebut adalah sebuah hardware yang dirancang khusus. Oleh karena itu saya ingin mecoba mematahkan pendapat tersebut dengan rancangan snort IDS.

Setelah snort dirancang untuh mendeteksi sebuah serangan, Blockit dipakai sebuah sarana membentuk Firewall, dan Firewall membaca Intruksi dari blockit, maka saat ini server pascasarjana sudah siap di uji coba dengan serangan-serangan yang sudah dirancang. Berikut ini uji coba serangan, pendeteksian dan pemblokiran serangan DDos Attack:

1. Ketika Script yang dijelaskan dalam bab IV sudah di load dari web-server zombie yang dimiliki hacker IRC maka bot tersebut otomatis masuk dan mengenali server yang ditempatinya didalam IRC server. Nama nick yang dirancang dalam bot ini adalah Skripsi. Berikut ini contoh gambar bot yang sudah diload oleh para hacker didalam IRC server dan sudah digunakan untuk menyerang server Pascasarjana dengan jenis serangan DDos Attack:

2. Setelah serangan DDos Attack tersebut dilancarkan oleh hacker yang berada dalam IRC server maka Snort IDS yang akan mendeteksi serangan tersebut dan mengeluarkan Alert untuk yang berada didalam folder /var/log/snort. Alert tersebut merupakan tanda pendeteksi sebuah serangan yang akan di baca oleh blockit. Berikut ini gambar yang alert yang terjadi ketika serangan DDos Attack terjadi dan terdeteksi oleh snort IDS:

Gambar 4.4.3.2 Alert Snort IDS (Intrusion Detection System) serangan DDos Attack

3. Setelah Snort IDS mendeteksi serangan DDos Attack dan mengeluarkan Alert maka sudah jadi tugas blockit membaca alert tersebut dan meneruskannya dengan membuat intruders untuk diteruskan dan dibaca firewall untuk memblockir serangan. Dan dibawah ini gambar alert intruder yang dibuat blockit untuk membuat intruksi kepada firewall dalam pemblokiran serangan DDos Attack:

89 4. Ketika intruksi alert intruders yang blockit dibuat maka alert tersebut

secara otomatis akan dibaca firewall dan berikut ini gambar firewall memblokir ip yang digunakan hacker untuk menyerang server pascasarjana dengan jenis serangan DDos Attack (-A BLOCKIT –s 202.72.129.99/32 –j DROP):

Gambar 4.4.3.4 Pemblokiran IP yang dilakukan Firewall

5. Contoh gambar ketika bot yang diload dengan nama [A]skripsi52356 timeout ketika serangan tersebut di blok oleh server pascasarjana.

Gambar 4.4.3.5 Bot yang di block oleh firewall pascasarjana mengalami timeout

KESIMPULAN DAN SARAN

5.1 Kesimpulan

Setelah mengerti dan memahami serta mengimplementasikan metode IDS. Maka

dapat ditarik kesimpulan dari bahasan Tugas Akhir diatas yaitu:

1. Metode IDS (Intrution Detection System) dapat diterapkan jika sebuah

snort memiliki rule-rule yang handal.

2. Snort dapat berkolaborasi dengan blockit, dan firewall untuk mengaman-kan jaringan kita.

3. IRC bukan saja sarana untuk berkomunikasi saja, tetapi sebagai sarana para hacker untuk menyerang targetnya.

4. Serangan synflood dan ddos attack dapat dideteksi jika kita membuat rule sendiri. Namun serangan DDos Attack/ UDP-flood tidak dapat diblokir.

Dan harus hardware yang memblokirnya.

5. Metode IDS dapat diterapkan kedalam program Open Source, seperti snort karena snort memiliki beberapa kelebihan dibandingkan dengan program

lainnya. Kelebihan snort adalah Free, Rule-rule yang disiapkan dapat

diganti-ganti dan terlebih lagi snort mampu memilki pendeteksian yang

cukup handal dan sensitif.

91 5.2 Saran

Dari seluruh metode dan program yang dijelaskan dalam tugas akhir, maka dapat

ditarik beberapa saran yaitu:

1. Adanya pengembangan snort menjadi sebuah IPS (Intrution Prevention System). Snort dengan metode IPS ini memiliki beberapa kelebihan

dibandingkan snort yang memakai metode IDS. Snort dengan metode IPS

ini yang langsung dapat berhubungan dengan Firewall untuk melakukan

sebuah pemblokiran-pemblokiran serangan.

2. Diperlukan lebih bagi semua untuk memahami sebuah serangan-serangan yang terjadi dalam dunia internet, karena internet merupakan jaringan

komputer yang cukup besar dan didalamnya pun terdapat jenis-jenis

serangan yang lain.

3. Diperlukan sebuah pengembangan snort untuk mendeteksi sebuah serangan terutama untuk mendeteksi sebuah serangan-serangan dalam

sebuah web server. Sehingga server-server yang dimiliki aman dari

serangan Backdoor (jalan belakang) para hacker.

4. Diperlukan adanya pengembangan tentang pemblokiran serangan yang menyerang UDP, agar serangan tersebut tidak mengganggu dan merugikan

Anonim. Firewall http://id.wikipedia.org/wiki/Firewal, 05 Maret 2011, 16.26 WIB)

Anonim. Jenis-jenis serangan hacker http://id.wikipedia.org/wiki/Serangan-hackerl, 06 Maret 2011, 16.29 WIB)

Anonim. Visi dan Misi, http://pasca.upnjatim.ac.id/?l=nemN3B9N3B9, 05 Juli 2010, 18.58 WIB

B.U.Dony, Karateistik hacker di Indonesia

http://opensource.telkomspeedy.com/wiki/index.php/Sejarah_Internet_Indonesia: Memahami_Karakeristik_Komunitas_Hacker, 07 Maret 2011, 15.36 WIB

Haniri, Anis. Integrasi Jaringan Unix-Windows, PT Elex Media Komputindo, Jakarta, 2002.

Hidayat, Jhoni. Brenton, Chris. Hunt, Cameron. Network Security, PT Elex Media Komputindo, Jakarta, 2005.

Rafiudin, Rahmat. Menguasai Security Unix, PT Elex Media Komputindo, Jakarta, 2002.

Rafiudin, Rahmat. Mengganyang Hacker Dengan Snort, C.V ANDI OFFSET, Yogyakarta, 2010

Setiawan, Deris. Sistem Keamanan Komputer, PT Elex Media Komputindo, Jakarta, 2005.