59
Case study Network Security Final Assessment By M. Adhitya Akbar 0806316801 Electrical Engineering Department Faculty of Engineering University of Indonesia

Security Networking

Embed Size (px)

DESCRIPTION

Makalah Keamanan jaringan komputer

Citation preview

Page 1: Security Networking

Case study Network Security

Final Assessment

By

M. Adhitya Akbar

0806316801

Electrical Engineering Department

Faculty of Engineering University of Indonesia

Page 2: Security Networking

H a l a m a n | 1 dari 59

1. Langkah pertama kali yang saya lakukan dalam information gathering adalah mencari

informasi umum yang ada pada internet. Google dan mesin pencarian lainnya menjadi awal

yang baik.

Gambar 1.1 Tampilan Googlehacks

Untuk kali ini saya menggunakan aplikasi google hack, dalam penggunaannya google hacks

lebih berfungsi sebagai alat pencari alternatif untuk mendapatkan beberapa informasi yang

terkadang tidak ditampilkan oleh google. Saya memilih opsi Cache untuk mendapatkan

informasi archive dari situs yang saya inginkan, salah satu subdomain dari www.ui.ac.id yaitu

www.ee.ui.ac.id dan mendapatkan informasi archievenya dari www.archieve.org :

Gambar 1.2 Tampilan Archieve.org untuk www.ee.ui.ac.id

Page 3: Security Networking

H a l a m a n | 2 dari 59

Setiap arsip tersebut menyimpan informasi halaman website yang ada pada tahun-tahun

tersebut.

Pengumpulan informasi tidak sampai disitu saja, saya mencoba untuk mencari tahu letak

dan posisi server dari www.ee.ui.ac.id. Di internet untuk banyak cara mengetahuinya, salah

satunya adalah dengan trace server. Saya menggunakan http://81solutions.com/server-

location.html untuk mencari letaknya.

Gambar 1.3 Server Location by 81solutions

Saya melihat letak dan posisi server dari www.ee.ui.ac.id tidak berada ditempat seharusnya.

Ini menandakan pada ip-address awal dari www.ee.ui.ac.id terdaftar di daerah tersebut atau

terdapat proxy yang mengubah pencarian. Kemungkinan terbesar adalah situs ini memakai

proxy server di depannya, saya melihat kondisi server seharusnya berada di depok dimana

universitas ini berada namun pada saat di trace letaknya berada di sulawesi selatan.

Page 4: Security Networking

H a l a m a n | 3 dari 59

Setelah itu saya melakukan pencarian terhadap jenis servernya dan informasi lainnya

dengan menggunakan www.netcraft.net.

Gambar 1.4 Hasil Pencarian Netcraft.net terhadap ee.ui.ac.id

Saya melihat sistem operasi yang digunakan untuk web servernya adalah Linux Debian

dengan Apache Server dan DNS adminnya [email protected] dengan reverse DNS-nya

electron.ee.ui.ac.id.

Page 5: Security Networking

H a l a m a n | 4 dari 59

Saya akan mencoba mencari informasi berdasarkan DNS –nya dengan cara menggunakan

www.intodns.net.

Page 6: Security Networking

H a l a m a n | 5 dari 59

Saya juga menggunakan http://www.unmaskparasites.com/security-report/ dan mendapatkan

report berikut :

General

Title: Electrical Engineering | Universitas Indonesia

URL: http://www.ee.ui.ac.id

Google: not currently listed as suspicious* (details)

Last checked: 0 minutes ago (results are cached for 1 hour)

Dengan link externalnya :

Page 7: Security Networking

H a l a m a n | 6 dari 59

Gambar 1.5 Hasil pengumpulan direktori yang ada pada www.ee.ui.ac.id

Selanjutnya saya mencoba mengambil beberapa informasi tentang port-port serta berbagai

macam informasi pada server tersebut. Salah satu tool yang saya gunakan adalah nessus.

Page 8: Security Networking

H a l a m a n | 7 dari 59

Gambar 1.6 Tampilan awal Nessus

Gambar 1.7 Tampilan total beberapa celah keamanan dan port yang terbuka

Terlihat terdapat 120 total keamanan yang di curigai memiliki celah oleh Software ini dan ini

dapat mengundang para hacker untuk mengeksploitasinya. 27 Port juga terlihatnya terbuka,

ini termasuk jumlah yang besar untuk skala server perusahaan. Seharusnya port-port yang

tidak digunakan ditutup dan diberikan firewall.

Gambar 1.8 Port-port yang terbuka

Berikut adalah hasil report oleh Nessus dari port-port yang terbuka :

PLUGIN ID# # PLUGIN NAME SEVERITY

33850 1 Unsupported Unix Operating System High Severity problem(s)

found

51192 3 SSL Certificate signed with an unknown Certificate Authority Medium Severity problem(s)

found

15901 3 SSL Certificate Expiry Medium Severity problem(s)

Page 9: Security Networking

H a l a m a n | 8 dari 59

found

45411 2 SSL Certificate with Wrong Hostname Medium Severity problem(s)

found

33821 2 .svn/entries Disclosed via Web Server Medium Severity problem(s)

found

26928 2 SSL Weak Cipher Suites Supported Medium Severity problem(s)

found

20007 2 SSL Version 2 (v2) Protocol Detection Medium Severity problem(s)

found

11213 2 HTTP TRACE / TRACK Methods Allowed Medium Severity problem(s)

found

42873 1 SSL Medium Strength Cipher Suites Supported Medium Severity problem(s)

found

10723 1 LDAP Server NULL Bind Connection Information Disclosure Medium Severity problem(s)

found

22964 17 Service Detection Low Severity problem(s)

found

14674 12 identd Service UID Association Low Severity problem(s)

found

10107 5 HTTP Server Type and Version Low Severity problem(s)

found

24260 4 HyperText Transfer Protocol (HTTP) Information Low Severity problem(s)

found

21643 3 SSL Cipher Suites Supported Low Severity problem(s)

found

45410 2 SSL Certificate commonName Mismatch Low Severity problem(s)

found

39521 2 Backported Security Patch Detection (WWW) Low Severity problem(s)

found

11424 2 WebDAV Detection Low Severity problem(s)

found

11414 2 IMAP Service Banner Retrieval Low Severity problem(s)

found

11040 2 HTTP Reverse Proxy Detection Low Severity problem(s)

found

10863 2 SSL Certificate Information Low Severity problem(s)

found

46180 1 Additional DNS Hostnames Low Severity problem(s)

found

45590 1 Common Platform Enumeration (CPE) Low Severity problem(s)

found

43067 1 Web Application Tests Disabled Low Severity problem(s)

found

42880 1 SSL / TLS Renegotiation Handshakes MiTM Plaintext Data Injection Low Severity problem(s)

Page 10: Security Networking

H a l a m a n | 9 dari 59

found

42085 1 IMAP Service STARTTLS Command Support Low Severity problem(s)

found

39520 1 Backported Security Patch Detection (SSH) Low Severity problem(s)

found

25701 1 LDAP Crafted Search Request Server Information Disclosure Low Severity problem(s)

found

25220 1 TCP/IP Timestamps Supported Low Severity problem(s)

found

20870 1 LDAP Server Detection Low Severity problem(s)

found

19506 1 Nessus Scan Information Low Severity problem(s)

found

18261 1 Apache Banner Linux Distribution Disclosure Low Severity problem(s)

found

12053 1 Host Fully Qualified Domain Name (FQDN) Resolution Low Severity problem(s)

found

11936 1 OS Identification Low Severity problem(s)

found

10919 1 Open Port Re-check Low Severity problem(s)

found

10881 1 SSH Protocol Versions Supported Low Severity problem(s)

found

10757 1 Webmin Detection Low Severity problem(s)

found

10287 1 Traceroute Information Low Severity problem(s)

found

10267 1 SSH Server Type and Version Information Low Severity problem(s)

found

10263 1 SMTP Server Detection Low Severity problem(s)

found

10185 1 POP Server Detection Low Severity problem(s)

found

10021 1 Identd Service Detection Low Severity problem(s)

found

Berikut adalah beberapa informasi singkat tentang kemungkinan terjadinya penyerangan

terhadap port-port tersebut :

PORT LDAP (389/TCP)

LDAP Crafted Search Request Server Information Disclosure

- It is possible to discover information about the remote LDAP server.

Page 11: Security Networking

H a l a m a n | 10 dari 59

- By sending a search request with a filter set to 'objectClass=*', it is possible to

extract information about the remote LDAP server.

Risk Factor : None

PORT WWW (8080/TCP)

HTTP Reverse Proxy Detection

- A transparent or reverse HTTP proxy is running on this port.

- This web server is reachable through a reverse HTTP proxy.

Risk Factor : None

PORT WWW (3128/TCP)

HTTP Reverse Proxy Detection

- A transparent or reverse HTTP proxy is running on this port.

- This web server is reachable through a reverse HTTP proxy.

Risk Factor : None

PORT WWW (10000/TCP)

identd Service UID Association

- identd reveals that this service is running as user/uid root

Risk Factor : None

PORT WWW (443/TCP)

.svn/entries Disclosed via Web Server

- The remote web server discloses information due to a

configuration\weakness.

- The web server on the remote host allows read access to '.svn/entries' files.

This exposes all file names in your svn module on your website. This flaw can

also be used to download the source code of the scripts (PHP, JSP, etc...)

hosted on the remote server.

Page 12: Security Networking

H a l a m a n | 11 dari 59

Risk Factor

Medium/ CVSS Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N)

Solution

Configure permissions for the affected web server to deny access to the

'.svn' directory.

HTTP Server Type and Version

- The remote web server type is :

Apache/2.2.3 (Debian) DAV/2 SVN/1.4.2 mod_ldap_userdir/1.1.11

mod_python/3.2.10 Python/2.4.4 PHP/5.2.9-0.dotdeb.1 with Suhosin-Patch

proxy_html/2.5 mod_ssl/2.2.3 OpenSSL/0.9.8c

Solution

- You can set the directive 'ServerTokens Prod' to limit the information

emanating from the server in its response headers.

HTTP TRACE / TRACK Methods Allowed

- Debugging functions are enabled on the remote web server.

- The remote webserver supports the TRACE and/or TRACK methods. TRACE

and TRACK are HTTP methods that are used to debug web server

connections.

Solution

Disable these methods. Refer to the plugin output for more information.

Risk Factor

Medium/ CVSS Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N)

CVSS Temporal Score: 3.9(CVSS2#E:F/RL:W/RC:C)

SSL Medium Strength Cipher Suites Supported

Page 13: Security Networking

H a l a m a n | 12 dari 59

- The remote service supports the use of medium strength SSL ciphers.

- strength encryption, which we currently regard as those with key lengths at

least 56 bits and less than 112 bits.

- Note: This is considerably easier to exploit if the attacker is on the same

physical network.

Solution

Reconfigure the affected application if possible to avoid use of medium

strength ciphers.

Risk Factor

Medium/ CVSS Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N)

SSL / TLS Renegotiation Handshakes MiTM Plaintext Data Injection

- The remote service allows renegotiation of TLS / SSL connections

- The remote service encrypts traffic using TLS / SSL but allows a client to

renegotiate the connection after the initial handshake. An unauthenticated

remote attacker may be able to leverage this issue to inject an arbitrary

amount of plaintext into the beginning of the application protocol stream,

which could facilitate man-in-the-middle attacks if the service assumes that

the sessions before and after renegotiation are from the same 'client' and

merges them at the application layer.

Solution

- Contact the vendor for specific patch information.

Risk Factor

- Low/ CVSS Base Score: 2.6 (CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N) CVSS

Temporal Score: 2.1(CVSS2#E:F/RL:OF/RC:C)

PORT LDAP (389/TCP)

Page 14: Security Networking

H a l a m a n | 13 dari 59

LDAP Server Detection

- The remote host is running a Lightweight Directory Access Protocol, or LDAP,

server. LDAP is a protocol for providing access to directory services over

TCP/IP.

Risk Factor : None

PORT WWW (80/TCP)

WebDAV Detection

- WebDAV is an industry standard extension to the HTTP specification. It adds

a capability for authorized users to remotely add and manage the content of a

web server. If you do not use this extension, you should disable it.

Solution : http://support.microsoft.com/default.aspx?kbid=241520

PORT (0/TCP)

Open Port Re-check

- One of several ports that were previously open are now closed or

unresponsive. There are numerous possible causes for this failure :

- The scan may have caused a service to freeze or stop running. An

administrator may have stopped a particular service during the scanning

process. This might be an availability problem related to the following

reasons :

o A network outage has been experienced during the scan, and the

remote network cannot be reached from the Vulnerability Scanner any

more.

o This Vulnerability Scanner has been blacklisted by the system

administrator or by automatic intrusion detection/prevention systems

which have detected the vulnerability assessment.

o The remote host is now down, either because a user turned it off

during the scan or because a select denial of service was effective.

In any case, the audit of the remote host might be incomplete and may need

to be done again

Page 15: Security Networking

H a l a m a n | 14 dari 59

Solution

- increase checks_read_timeout and/or reduce max_checks

- disable your IPS during the Nessus scan

Unsupported Unix Operating System

- The remote host is running an obsolete operating system. According to its

version, the remote Unix operating system is obsolete and no longer

maintained by its vendor or provider.

- Lack of support implies that no new security patches will be released for it.

Solution

- Upgrade to a newer version.

-

Risk Factor

- Critical/ CVSS Base Score: 10.0 (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)

PORT IMAP (143/TCP)

MAP Service STARTTLS Command Support

- The remote mail service supports encrypting traffic.

- The remote IMAP service supports the use of the 'STARTTLS' command to

switch from a plaintext to an encrypted communications channel.

Here is the IMAP server's SSL certificate that Nessus was able to

collect after sending a 'STARTTLS' command :

------------------------------ snip ------------------------------

Subject Name:

Organization: University of Washington IMAP daemon

Organization Unit: newelectron

Common Name: newelectron.ee.ui.ac.id

Email Address: [email protected]

Issuer Name:

Page 16: Security Networking

H a l a m a n | 15 dari 59

Organization: University of Washington IMAP daemon

Organization Unit: newelectron

Common Name: newelectron.ee.ui.ac.id

Email Address: [email protected]

Serial Number: 00 A5 D9 07 58 41 E3 68 C0

Version: 3

Signature Algorithm: SHA-1 With RSA Encryption

Not Valid Before: Nov 18 11:26:36 2008 GMT

Not Valid After: Nov 18 11:26:36 2009 GMT

Public Key Info:

Algorithm: RSA Encryption

Public Key: 00 A8 FE DE 01 DE 3C 0D 81 DB 93 87 E4 A6 AD 9F 0D B0 48 58

88 5F 68 8E 46 C7 70 8C 67 1F 96 11 7C 77 B1 DF 02 4F 12 4E

0E F1 17 FC 45 22 CE 1E 7D 88 40 2B D6 A4 8A DD DA F9 75 9F

45 F2 4E 08 22 FD F1 AD 9A 1D 91 3B EE 32 45 18 2C 09 EE F8

14 14 40 C2 A9 B9 38 A7 67 E8 9F 27 EB 34 50 45 71 4F 3F 02

81 B6 93 5B 4F 76 2A 28 31 AB 12 CE 67 E4 70 CE 37 E1 7A 1C

03 DC 91 6F 09 19 91 14 1B

Exponent: 01 00 01

Signature: 00 7F E2 79 DF 15 E5 86 9F 1E 0C 65 16 14 35 25 1B 0A C9 8A

5F EC C1 B3 35 DC 45 54 8F 22 2E FF 74 CB 92 37 40 72 61 DF

9A 3C 15 6A 3F 03 C0 3D ED 9D 64 58 65 00 16 AB F9 9D FB 1B

27 88 03 BC 02 7A F2 69 5B 18 C9 07 44 4E 27 73 4B 40 AF 70

A9 1D 88 F1 A6 39 99 96 AF F7 D7 64 6E 7B 8D E1 6A EC F3 D9

8E 76 7D C8 3E A9 C8 2C 88 B6 78 B5 61 B8 0E 57 1F CF 53 44

B7 93 FF 17 B6 C2 85 1F 93

Extension: Subject Key Identifier (2.5.29.14)

Critical: 0

Subject Key Identifier: FD C9 DE 4B C9 3E A9 AF C9 F3 60 BB 43 B6 88 04 2F 63 88 EE

Extension: Authority Key Identifier (2.5.29.35)

Critical: 0

Page 17: Security Networking

H a l a m a n | 16 dari 59

Extension: Basic Constraints (2.5.29.19)

Critical: 0

Data: 30 03 01 01 FF

------------------------------ snip ------------------------------

SSL Certificate commonName Mismatch

- The SSL certificate commonName does not match the host name.

- The host name known by Nessus is : www.ee.ui.ac.id

- The CommonName of the certificate is : newelectron.ee.ui.ac.id.

- This service presents an SSL certificate for which the 'commonName' (CN)

does not match the host name on which the service listens.

Solution

If the machine has several names, make sure that users connect to the service

through the DNS host name that matches the common name in the certificate.

Risk Factor : None

PORT AUTH (113/TCP)

Identd Service Detection

- The remote host is running an ident (also known as 'auth') daemon. The

'ident' service provides sensitive information to potential attackers. It is

designed to say which accounts are running which services. This helps

attackers to focus on valuable services (those owned by root or other

privileged accounts). If you do not use this service, and software you run

does not require it, disable it.

Solution

- If you do not use this service and software you run does not require it, disable

it.

PORT LDAP (389/TCP)

LDAP Server NULL Bind Connection Information Disclosure

Page 18: Security Networking

H a l a m a n | 17 dari 59

- The LDAP server on the remote host is currently configured such that a user

can connect to it without authentication - via a 'NULL BIND' - and query it for

information. Although the queries that are allowed are likely to be fairly

restricted, this may result in disclosure of information that an attacker could

find useful.

- Note that version 3 of the LDAP protocol requires that a server allow

anonymous access -- a 'NULL BIND' -- to the root DSA-Specific Entry (DSE)

even though it may still require authentication to perform other queries. As

such, this finding may be a false-positive.

Solution

Unless the remote LDAP server supports LDAP v3, configure it to disallow

NULL BINDs.

Risk Factor

Medium/ CVSS Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N)

PORT IMAP (993,443,143/TCP)

SSL Certificate Expiry

- The remote server's SSL certificate has already expired

- The SSL certificate of the remote service expired Nov 18 11:26:36 2009 GMT!

- This script checks expiry dates of certificates associated with SSL- enabled

services on the target and reports whether any have already expired.

Solution

- Purchase or generate a new SSL certificate to replace the existing one.

Risk Factor

- Medium/ CVSS Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N)

PORT IMAP (993/TCP)

- The remote service encrypts traffic using a protocol with known\weaknesses.

Page 19: Security Networking

H a l a m a n | 18 dari 59

- The remote service accepts connections encrypted using SSL 2.0, which

reportedly suffers from several cryptographic flaws and has been deprecated

for several years. An attacker may be able to exploit these issues to conduct

man-in-the-middle attacks or decrypt communications between the affected

service and clients.

Solution

Consult the application's documentation to disable SSL 2.0 and use SSL 3.0

or TLS 1.0 instead.

Risk Factor : Medium/ CVSS Base Score: 5.0

PORT WWW (10000/TCP)

- The remote server is running Webmin, a web-based interface for system

administration for Unix.

Solution

- Stop the Webmin service if not needed or ensure access is limited to

authorized hosts. See the menu items '[Webmin Configuration][IP Access

Control]' and/or '[Webmin Configuration][Port and Address]'.

www.ee.ui.ac.id

Scan Time

Start time: Sat Jan 01 14:33:28 2011

End time: Sat Jan 01 14:45:52 2011

Number of vulnerabilities

High 1

Medium 18

Low 74

Remote Host Information

Operating System: Linux Kernel 2.6 on Debian 4.0 (etch)

DNS name: www.ee.ui.ac.id

IP address: 152.118.101.8

Page 20: Security Networking

H a l a m a n | 19 dari 59

Sebenarnya masih terdapat banyak lagi penjelasan keamanan terhadap port-port yang

terbuka pada server tersebut, namun untuk kali ini akan saya berikan dalam bentuk lampiran diluar

file ini.

Saya menggunakan acunetix untuk mendapatkan informasi lebih terhadap server tersebut.

Gambar 1.9 Acuntix Web Vulneberality

Page 21: Security Networking

H a l a m a n | 20 dari 59

Gambar 1.10 Pada jam pertama Acunetix di jalankan

Acunetix adalah sebuah tools dalam menentukan kelemahan pada server. Saya melakukan scanning

selama 5 Jam dan mendapatkan hasil yang mencengangkan. Menurut software ini, apakah itu false

positive atau bukan, server www.ee.ui.ac.id memiliki level 3 security alert, dimana termasuk

tertinggi dalam peringkatnya. Berikut adalah screenshotnya.

Page 22: Security Networking

H a l a m a n | 21 dari 59

Gambar 1.11 Acunetix pada saat mendekati 97% scanning progress.

Gambar 1.12 Acunetix menunjukkan Threat level 3 pada situs www.ee.ui.ac.id

Gambar 1.13 Acunetix memberikan report Alert dan Site Structure pada www.ee.ui.ac.id port 80

Page 23: Security Networking

H a l a m a n | 22 dari 59

Saya menemukan beberapa celah keamanan pada server pada DNS, LDAP,POP3 dan beberapa add-

on php yang salah. Untuk hal ini, sangat di anjurkan bagi sang admin untuk melakukan patching

terhadap software dan server yang dia miliki.

2. Dalam menentukan apakah email yang kita terima itu asli atau bukan, cara termudahnya

adalah dengan melihat header dari email tersebut. Karena di headernya terdapat IP Address

dari sang pengirim serta beberapa SMTP Server yang diperlukan.

Pada kali ini saya menggunakan webmail gratis dari Universitas Indonesia yaitu pada situs

http://webmail.ui.ac.id . Pada kronologis kali ini saya akan mencoba membuat 2 peran, si

hacker dan si korban. Disini, si hacker akan mencoba menipu si korban dengan berpura-pura

menjadi admin UI dan memintanya mengirimkan username dan password.

---- Hacker Angle ----

Saya akan menjelaskan bagaimana cara berpura-pura mengirimkan email dengan nama

sender yang lain.

- Saya menggunakan mozilla thunder bird sebagai email client.

Gambar 1.14 Tampilan Awal Mozilla Thunderbird

- Saya memasukkan smtp dan pop3, untuk hal ini saya menggunakan server UI,

dengan username dan password salah satu account mahasiswa.

Page 24: Security Networking

H a l a m a n | 23 dari 59

Gambar 1.15 Pengaturan pada account setting

- Sang hacker akan mengirimkan email yang berisikan perintah untuk memberikan

informasi account kepada dirinya

Page 25: Security Networking

H a l a m a n | 24 dari 59

Gambar 1.16 Tampilan Isi pada email yang akan dikirimkan

- Maka ketika sang hacker mengirimkan message tersebut, maka di inbox sang korban

akan tampil sebuah message baru yang bertuliskan from [email protected]

Gambar 1.17 Tampilan Inbox pada user yang menerima

- Isinya akan tampil sebagai berikut

Page 26: Security Networking

H a l a m a n | 25 dari 59

Gambar 1.18 Isi email dari hacker yang diterima user

---- User Angle ----

Nah, kali ini pada user angle, dia akan melihat seperti pada gambar 1.18, ketika view

full header ternyata si user tidak memastikan apakah itu berasal langsung dari admin

atau bukan :P.. sepertinya saya salah membuat perumpamaan…. XD… ya… kita

rekonstruksi lagi, sekarang sang hacker menggunakan nama samaran

[email protected] yang dikirimkan ke salah satu pengguna gmail yang berisikan

menyuruh si user untuk secepatnya mengirimkan biodata dirinya dan nilai IPK

terakhirnya dikarenakan adanya kesalahan sistem.

Gambar 1.19 Tampilan User yang mendapatkan email palsu

Page 27: Security Networking

H a l a m a n | 26 dari 59

Gambar 1.20 Tampilan email palsu yang diterima user

Langkah yang baik untuk men-check dari mana email itu berasal adalah dengan

melihat header penuh dari email tersebut.

Berikut adalah isi header fullnya :

Delivered-To: [email protected]

Received: by 10.231.16.131 with SMTP id o3cs420818iba;

Mon, 3 Jan 2011 04:41:09 -0800 (PST)

Received: by 10.42.220.69 with SMTP id hx5mr18778468icb.336.1294058469616;

Mon, 03 Jan 2011 04:41:09 -0800 (PST)

Return-Path: <[email protected]>

Received: from gharial.ui.ac.id (gharial.ui.ac.id [152.118.24.49])

by mx.google.com with ESMTP id h14si50254683icb.80.2011.01.03.04.41.08;

Mon, 03 Jan 2011 04:41:08 -0800 (PST)

Received-SPF: neutral (google.com: 152.118.24.49 is neither permitted nor denied

by domain of [email protected]) client-ip=152.118.24.49;

Authentication-Results: mx.google.com; spf=neutral (google.com: 152.118.24.49 is

neither permitted nor denied by domain of [email protected])

[email protected]; dkim=pass (test mode) [email protected]

Received: from localhost (unknown [152.118.24.147])

by gharial.ui.ac.id (Postfix) with ESMTP id 8343C1CA019

for <[email protected]>; Mon, 3 Jan 2011 19:34:13 +0700 (WIT)

X-Virus-Scanned: Debian amavisd-new at kadal.ui.ac.id

Received: from gharial.ui.ac.id ([152.118.24.49])

by localhost (kadal.ui.ac.id [152.118.24.147]) (amavisd-new, port 10024)

with ESMTP id NPPSSeoKGaWt for <[email protected]>;

Mon, 3 Jan 2011 19:41:07 +0700 (WIT)

Page 28: Security Networking

H a l a m a n | 27 dari 59

Received: from smtp.ui.ac.id (localhost [127.0.0.1])

by gharial.ui.ac.id (Postfix) with ESMTP id 6A07C1CA012

for <[email protected]>; Mon, 3 Jan 2011 19:34:08 +0700 (WIT)

Received: from smtp.ui.ac.id ([152.118.24.129] helo=smtp.ui.ac.id) by

gharial.ui.ac.id; 3 Jan 2011 19:34:08 +0700

Received: from smtp.ui.ac.id (localhost [127.0.0.1])

by smtp.ui.ac.id (Postfix) with ESMTP id 6CD5DB7CA

for <[email protected]>; Mon, 3 Jan 2011 19:40:50 +0700 (WIT)

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=ui.ac.id; h=message-id

:date:from:mime-version:to:subject:content-type:

content-transfer-encoding; s=mail; bh=TvfJ56E3HxPItGU4weALMx9tSj

o=; b=2yeVZSbIGQ275Yf0xhLHpoFLgalWCxqsoFmVgrO3tEJfAaf21b3u/jqQxH

krrB5oR1b5w2dg/Zv0UukoE+M71mDOBznbfHcrHu/onZEUpj0wn5dBlONDX8

Qzxt

DbbiIG8YhsWSeB5oagAmxjLBCYzkoGma5qEXx+5143kLfkd5U=

Received: from [192.168.102.35] (unknown [152.118.101.6])

(using TLSv1 with cipher AES256-SHA (256/256 bits))

(No client certificate requested)

(Authenticated sender: ferdiansyah92)

by smtp.ui.ac.id (Postfix) with ESMTPSA id 667C594D3

for <[email protected]>; Mon, 3 Jan 2011 19:40:50 +0700 (WIT)

Message-ID: <[email protected]>

Date: Mon, 03 Jan 2011 19:40:29 +0700

From: "[email protected]" <[email protected]>

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13)

Gecko/20101207 Thunderbird/3.1.7

MIME-Version: 1.0

To: [email protected]

Subject: recheck account ITB

Dari hasil header tersebut didapatkan gharial.ui.ac.id (gharial.ui.ac.id

[152.118.24.49]) merupakan si pengirim dan jelas bukan dari itb.ac.id, dan kita juga

mendapatkan IP Address Email Server yang mengirim yaitu 152.118.24.49 yang

dapat kita trace lokasi servernya.

Demikian penjelasan singkat saya tentang cara men-cek email palsu yang

Page 29: Security Networking

H a l a m a n | 28 dari 59

didapatkan, dan serangan ini termasuk dalam serangan phising.

3. Trace Route pada internet merupakan perintah untuk menunjukkan rute yang dilewati paket

untuk mencapai tujuan. Ini dilakukan dengan mengirim pesan Internet Control Message

Protocol (ICMP) Echo Request Ke tujuan dengan nilai Time to Live yang semakin meningkat.

Rute yang ditampilkan adalah daftar interface router (yang paling dekat dengan host) yang

terdapat pada jalur antara host dan tujuan.

Tools yang saya gunakan adalah Neotrace. Neotrace dapat memberikan lokasi dari IP

Address, bentuk grafis dan geografis lokasi router. Saya melakukan traceroute dengan

menggunakan modem telkomflash menuju situs www.ui.ac.id. Berikut adalah penjelasan

dan screenshot dari tracing site yang saya lakukan :

Gambar 3.1 Hasil Trace dengan Tampilan MAP

Gambar 3.2 Urutan Trace pada www.ui.ac.id dengan tampilan delay (m/s)

Page 30: Security Networking

H a l a m a n | 29 dari 59

Gambar 3.3 Tampilan Node untuk Hasil Trace

Gambar 3.4 Hasil Hop IP pada tracing hingga ke tujuan

Dari gambar 3.4, didapatkan nilai IP Address dengan perjalanan tracing dari IP Address

Telkomsel hingga ke http://hamster.ui.ac.id.

Mekanisme routing pada Internet itu sangat kompleks. Setiap LAN akan dihubungkan

menjadi WAN, dan tiap ujung LAN akan diwakili oleh sebuah Router. Ketika kita melakukan

tracing maka setiap lompatan router akan dicetak atau dikenali, seperti gambar 3.4, maka

kita akan melihat, dari telkomsel, kita mendapatkan 13 lompatan router untuk mencapai

Page 31: Security Networking

H a l a m a n | 30 dari 59

www.ui.ac.id. Setiap ICMP request yang dikirimkan memiliki TTL (Time-to-Live) sehingga

setiap satu router berhasil dilompati TTL akan dikurangi satu dan begitu seterusnya.

4. a. Menyembunyikan file/folder adalah salah satu teknik steganography di dalam dunia

hacking. Teknik ini banyak digunakan oleh virus maupun spyware untuk menyembunyikan

keberadaannya agar kegiatan mereka tidak diketahui dalam waktu lama. Ada beberapa

teknik dalam menyembunyikan file/folder tersebut, saya akan menjabarkannya satu

persatu:

- Berlindung dibalik atribut

Teknik ini sangat mudah dilakukan bahkan oleh orang awam sekalipun, namun

teknik ini juga termasuk yang paling mudah untuk ditemukan. Setiap file atau folder

memiliki atribut yang memberikan status dari file atau folder tersebut, seperti read-

only termasuk hiddden. Sebagai contoh pada OS UNIX, penggunaan nama file yang

dimulai dengan tanda titik “.”, menyatakan bahwa file tersebut akan disembunyikan

(hidden).

Sistem Operasi Windows juga demikian, memiliki opsi hidden pada atribut filenya.

Caranya sangat mudah, cukup membuka Windows Explorer, lalu pada file klik kanan

pada file, dan pilih Properties, lalu pada tabulasi General, terdapat atribut file yang

ada.

Page 32: Security Networking

H a l a m a n | 31 dari 59

Gambar 4.1 Klik kanan -> Properties

Gambar 4.2 Klik tabulasi Hidden

Page 33: Security Networking

H a l a m a n | 32 dari 59

Gambar 4.3 File telah di sembunyikan dengan Attribut hidden

Yap, file telah disembunyikan, akan tetapi itu hanya berlaku jika pada folder

options, pilihan Show hidden files, folders, or drivers tidak dipilih.

Page 34: Security Networking

H a l a m a n | 33 dari 59

Gambar 4.4 Pemilihan Don’t show hidden files, folders or drives

Nah, ternyata eh ternyata, pada sistem operasi windows ini dikenal juga satu

lagi attribut yang biasanya digunakan untuk menyembunyikan file-file yang penting

yang berhubungan dengan sistem operasinya, yaitu attribut super hidden. Nah,

untuk attribut ini, windows explorer tidak dapat memperlihatkannya, kecuali

attribut super hidden filenya di hilangkan. Ini adalah teknik terbaik dalam

steganography tanpa menggunakan satupun software. Penggunaannya di mulai

dengan membuka cmd.exe pada run.

Page 35: Security Networking

H a l a m a n | 34 dari 59

Gambar 4.5 Membuka cmd.exe

Setelah berhasil membuka cmd.exe, lalu arahkan ke folder dimana file yang

akan di superhidden-kan.

Gambar 4.6 Mengarahkan ke folder file yang diinginkan

Ketikkan attrib +s +h file/folder.

Page 36: Security Networking

H a l a m a n | 35 dari 59

Gambar 4.7 Pemberian attribut superhidden pada file

Nah, dengan begitu file tersebut akan “menghilang” meskipun udah memilih opsi

Show hidden files, folders, or drives.

- Berlindung dibalik ADS (Alternate Data Stream)

ADS atau Alternate Data Stream telah ada sejak Windows NT 3.1 melalui file NTFS-

nya. Ceritanya bermula ketika dukungan microsoft terhadapat file system HFS

(Hierarchical File System) yang digunakan oleh Machintosh. HFS menyimpan file

dalam dua bagian dan bagian keterangan yang menerangkan tentang bagaimana

menggunakan bagian data.

Akibat perbedaan ini, micrsoft menawarkan dengan apa yang dinamakan dengan

ADS pada file systemnya, NTFS. Dengan ADS, Microsoft bisa menyimpan sebuah file

dalam dua bagian juga dimana salah satu bagiannya tersembunyi dan tidak kelihatan

oleh user.

--- Menyembunyikan File dibelakang File ---

Berkat HFS ini hacker bisa menggunakannya sebagai teknik penyembunyian file-nya.

Langsung ke prakteknya, pertama kali adalah saya akan menggunakan program

notepad untuk membuat file dan menyembunyikannya file text dibalik file. Kali ini

sebuah file mp3 dengan nama “filemp3.mp3” akan kita gunakan sebagai file didepan

file yang akan disembunyikan. Pertama kali, buka cmd.exe lalu ketikkan :

H:\notepad filemp3.mp3:rahasiaku.text

Page 37: Security Networking

H a l a m a n | 36 dari 59

Gambar 4.8 Menyembunyikan File Txt dibalik File MP3

Ketika di enter, maka file text akan dibuat, dan jendela baru akan terbuka, dan

menanyakan apakah akan disave atau tidak file text tersebut.

Gambar 4.9 Notepad akan membuat file text baru

Klik Yes, lalu ketikkan apapun, dan save. Ketika kita lihat kembali windows explorer,

file text tersebut sudah tersembunyi namun sebenarnya ada.

--- Menyembunyikan File dibalik Folder ---

Nah, kali ini kita akan menyembunyikan file dibalik folder, syntax yang digunakan

adalah sebagai berikut :

echo [isi text] >:[namafile]

Sebagai contoh :

H:\-belajar\asmirandah>echo mudah-mudahan surat cintaku ini gak ketahuan

>:asmirandah.txt

Page 38: Security Networking

H a l a m a n | 37 dari 59

Gambar 4.10 Menciptakan file teks tersembunyi di folder

Nah, pertanyaannya sekarang, bagaimana cara membukanya, hmm.. yap, cara

terbaiknya adalah dengan menggunakan notepad.

Syntaxnya adalah sebagai berikut :

notepad [lokasifolder]:[namafile]

sebagai contoh kali ini :

H:\-belajar\asmirandah\notepad H:\-belajar\asmirandah:asmirandah.txt

Lalu, akan terbuka notepad baru dengan berisikan hasil echo yang telah kita buat

tadinya.

Gambar 4.11 Hasil text tadi dapat dibuka dengan notepad

--- Menyembunyikan Program dibalik File dan Folder ---

Menyembunyikan File text kelihatannya tidak berbahaya bagi sistem operasi namun

seorang hacker dapat menyembunyikan program berbahaya yang dapat merusak

sistem operasi anda. Berikut adalah syntax yang akan digunakan :

Type [programnya]>[textnya]:[nama_programnya]

Pada contoh kali, kita akan menyembunyikan file calculator.exe pada sebuah file

text.

Page 39: Security Networking

H a l a m a n | 38 dari 59

Gambar 4.12 Menyembunyikan program calc.exe dibalik file text.

Untuk dapat menjalankan program yang tersembunyi tersebut, informasi path juga

harus dimasukkan sehingga perintah selengkapnya adalah :

H:\-belajar\asmirandah> start H:\-belajar\asmirandah\pesanku.txt:kalkulator.exe

Gambar 4.13 Kalkulator.exe yang disembunyikan dapat dibuka

Nah, sekarang, pertanyaan berikutnya, setelah berhasil menyembunyikan file

tersebut, gimana caranya agar kita dapat mengetahui apakah terdapat file atau

folder yang disembunyikan dibalik ADS? Cara nya sangat mudah, yaitu dengan

mengetikkan dir /r pada cmd, dan semuanya akan terlihat dengan jelas.

Page 40: Security Networking

H a l a m a n | 39 dari 59

- Berlindung dibalik Rootkit

Kata root kit berasal dari dua suku kata, yaitu root dan kit. Bila anda adalah

pengguna linux, kata root tentunya bukan suatu kata yang asing. Root setara dengan

administrator di windows dengan hak akses user tertinggi dalam sebuah sistem. Kata

kit sendiri bisa diterjemahkan sebagai peralatan.

Jadi kata rootkit bisadiartikan sebagai program atau peralatan yang memungkinkan

anda mendapatkan atau mempertahankan hak akses root. Pada awalnya rootkit

hanya dikenal di kalangan unix, namun seiring waktu rootkit mulai merambah ke

lingkungan windows.

- Berlindung dibalik Steganography

b. File yang akan dikirimkan melalui jaringan

Saya memiliki beberapa cara untuk memberikan pengamanan pada file yang akan

dikirimkan melalui jaringan komputer yaitu :

1. Gunakan IPSec

Kelihatannya sangat berlebihan, tapi tidak akan berlebihan kalau ternyata file

yang akan kita kirimkan memiliki tingkat kepentingan yang sangat tinggi. IPSec

adalah VPN. Dengan menggunakan VPN, koneksi menjadi lebih private dan

secure dikarenakan adanya enkripsi dan tunnelling yang beberapa VPN method

gunakan. Instruksi berikut adalah cara-cara dalam membuat proses L2TP/IPsec

VPN :

Buka Network Connection

Lalu Klik “Network and Internet” control panel

Page 41: Security Networking

H a l a m a n | 40 dari 59

Selanjutnya, klik pada “View network status dan tasks”

Page 42: Security Networking

H a l a m a n | 41 dari 59

Jendela Set up a connection or a network akan tampil. Klik pada Connect to

a workplace. Lalu klik Next .

Lalu, klik Use my Internet connection (VPN).

On this screen, type the name or the IP address of a HideIpVPN server. You

have to check the email you have received when you have paid for the

HideIpVPN account. You will find there the available servers.

In the Destination name: field, type in what you want to call the network. A

good name for this is HideIPVPN. Then click Next. Pada

Page 43: Security Networking

H a l a m a n | 42 dari 59

Next, type in your HideIPVPN username and password. Check the

Remember this password box.

Click Connect. If you see the message You are connected it means that you

have suucesfully setup the HideIPVPN conection.

You should see this screen next. Click the “Close” button to return to the

“Network and Internet” screen.

Page 44: Security Networking

H a l a m a n | 43 dari 59

In the Connect to a network screen, you should see the HideIpVPN

connection that you have just set up.

Page 45: Security Networking

H a l a m a n | 44 dari 59

Right–click on the HideIpVPN connection document, and choose Properties

from the menu

In the HideIpVPN Properties, click on the Type of VPN pop–up menu

(hilighted in red) and select L2TP/IPsec.

Page 46: Security Networking

H a l a m a n | 45 dari 59

Next, click on the Advanced Settings… button (hilighted in red).

In the IPsec Settings dialog, click the radio button labelled Use preshared key

for authentication (hilighted in green). Then type hideipvpn into the textbox

labelled Key (hilighted in blue). Then click the OK button (hilighted in red).

You’re finished! Click the OK button to save your settings.

Connect To HideIPVPN

When you want to connect to HideIPVPN.com, just double–click on the

connection and click the Connect button. Enter your username and

password (if you didn’t save it), and you’ll connect!

2. Ubah FTP menjadi SFTP

Untuk biasanya kita menggunakan FTP Server, maka sudah saatnya kita

menyadari keamanan ketika kita melakukan transfer file yang sangat penting,

keamanan terbaik adalah dengan menggubah FTP tersebut menjadi SFTP.

Perubahan tersebut dilakukan pada bagian server dan tidak dapat dilakukan di

Page 47: Security Networking

H a l a m a n | 46 dari 59

bagian client. Sehingga hanya server yang bisa mengubah protokol FTP menjadi

SFTP, selanjutnya di client diharuskan menggunakan port 22 (sftp) dan bukan

21(ftp). SFTP memberikan enkripsi terhadap setiap koneksi yang diberikan.

3. Memberikan password dan enkripsi kepada File atau Folder

Pemberian password dan enkripsi pada file akan menambah keamanan

terhadap transaksi yang dilakukan. Setelah keadaan diatas dilakukan, dengan

memberikan keamanan di bagian Network (IPSec), Protokol (SFTP) dan kini pada

file kita akan memberikan password pada file tersebut dan meng-enkripsinya.

Software seperti Winrar, sebenarnya sudah dapat memberikan password dan

setidaknya lebih aman, dan susah untuk dicrack, biasanya hacker hanya dapat

memberikan serangan bruteforce terhadap winrar file yang di password-kan.

Akan tetapi software seperti PGP Desktop juga dapat menjadi alternative yang

sangat bagus, dikarenakan dekripsi file hanya dapat dilakukan hanya jika

terdapat public key dan private key yang sudah disepakati oleh si pengirim dan si

penerima. Selain itu, metode gabungan kedua software tersebut dapat juga

terjadi,dengan melakukan compress file dan pemberian password pada winrar,

lalu dilakukan enkripsi dengan PGP desktop dapat memberikan double secure

terhadap file.

4. Split menjadi beberapa part.

Setelah enkripsi file dan pemberian password, memisahnya menjadi beberapa

part akan membuat sang hacker menjadi bingung dengan urutan file tersebut,

jika terjadi Tamper File. Split tersebut dapat juga diberikan sebuah kode rahasia

untuk dapat melakukan Join kembali. Software seperti HJSplit adalah alternative

yang baik.

5. Multi Layer Security Approach adalah sebuah pendekatan terhadap keamanan pada tiap

layer yang ada.

Untuk kali ini, saya akan menggunakan OSI Layer, dikarenakan menurut saya OSI lebih

lengkap.

Layer 1 – Physical Layer

Terkadang physical layer dilupakan oleh para administrator jaringan, akan tetapi

faktanya dengan tidak adanya keamanan terhadap physical layer, keamanan jaringan

tersebut menjadi NOL.

Berikut adalah kemungkinan yang akan terjadi pada keamanan physical layer :

Page 48: Security Networking

H a l a m a n | 47 dari 59

a. Akses ke Ruangan

Sebuah policy untuk membatasi masuknya para pekerja ke ruang yang di anggap

penting seperti ruangan Server dan Data, sangatlah penting untuk di terapkan.

Penerapan sebuah sistem pendeteksian berdasarkan retina mata atau bagian

wajah atau sidik jari sangat wajib diberikan. Akses keruangan mungkin saja

dapat di bypass, nah, oleh karena itu beberapa poin lagi akan di terangkan

dibawah ini.

b. Podslurping

Mungkin saja, akses ke ruangan tidak dapat dimiliki semua orang, namun coba

fikirkan tentang para pekerja lainnya yang mungkin tidak di sangka memiliki

kemungkinan melakukan penyerangan. Para pekerja seperti Officeboy ataupun

Cleaning Service, mungkin saja membawa IPod ataupun MP3player, nah,

kedengarannya sangat aneh dan mengada-ada, namun coba fikirkan tentang

kemungkinan podslurping. Podslurping adalah cara mencari semua directory

pada sebuah system dengan program yang ada pada IPod. Abe Usher

menuliskan program yang kontroversial ini, dan menunjukkan betapa bahayanya

sebuah storage device dapat terjadi.

Podslurping sangat berbahaya, karena dengan mencolokkan sebuah IPod dan

menjalankan program tersebut, maka 8 GB storage yang ada pada IPod dapat

diisi dengan data-data konfidensial dari perusahaan. Seorang Officeboy atau

Cleaning Service yang sedang bekerja pada malam hari, ketika tidak ada satupun

orang yang ada diperusahaan, proses podslurping atau pencurian data dapat

saja terjadi.

Cara yang terbaik untuk mengatasi permasalahan ini adalah dengan

menerapkan peraturan tidak diperbolehkan membawa storage device ataupun

IPod untuk memasuki ruangan server ataupun ruangan datafarm. Pengecekan

dapat dilakukan oleh satpam atau device lainnya.

c. Password Insertion

Mungkin umumnya para administrator jaringan khususnya yang menggunakan

windows server telah memastikan bahwa servernya aman dengan menggunakan

Username dan Password yang telah di kunci dengan panjang password yang

berlebihan, terkadang login formnya gak ada. Pemikiran ini sangat berbahaya,

karena sistem operasi windows, sangat mudah untuk dilakukan Password

Insertion, yaitu metode pengubahan password dengan menggunakan sistem

Page 49: Security Networking

H a l a m a n | 48 dari 59

operasi lainnya. Hacker tinggal mencolokkan USB-nya ke server atau komputer

dengan data yang penting, lalu booting dengan USB-nya, maka dengan begitu,

hanya dengan beberapa langkah, password dari username Administrator dapat

diubah dengan mudah.

Cara menangkalnya paling ampuh adalah dengan menerapkan enkripsi terhadap

username yang ada pada windows tersebut. Setidaknya dengan begitu, hacker

akan kesulitan untuk mencari account Administrator, akan tetapi hal tersebut

masih dapat di pecahkan dengan password extraction.

d. Password Extraction

Password Injection memberikan kemudahan bagi hacker untuk me-reset

password, namun password extraction memberikan cara bagi hacker untuk

meng-ekstrak password dan meng-crack password tersebut sehingga dia dapat

akses terhadap komputer target. Apa yang dibutuhkan oleh hacker adalah

sebuah OS Linux yang Live CD/BOOTABLE. Distro seperti Knoppix STD atau

Backtrack dapat dijadikan pilihan yang tepat.

Hacker dengan mudah dapat boot ke system denga Knoppix CD dan

mengekstrak Security Accounts Manager (SAM) yang mana memegang versi

enkripsi dari username dan password pada sistem Windows. Lalu, dengan

beberapa program pilihan untuk meng-crack tersebut, salah satunya SAMInside,

hacker dapat dengan mudah bypass Syskey dan mengekstrak password

tersebut. Setelah selesai, hacker dapat men-load hasilnya ke dalam password

recovery program seperti LCP.

Salah satu solusi yang terbaik adalah dengan tidak menggunakan sistem operasi

Windows, karena SAM sangat rentan untuk di crack, Redhat atau Debian dapat

menjadi alternatif pilihan yang baik.

e. Port USB dan I/O lainnya

Penggunaan I/O port yang ada pada server tampaknya sangat rentan kalau sang

hack memiliki akses physical ke ruang server/data. Hal-hal yang dapat terjadi

telah dijelaskan pada point sebelumnya. Point-point sebelumnya tidak akan

terjadi bila I/O port yang ada tidak dipasang pada server dan komputer data

yang lainnya, jika memang tidak terlalu diperlukan. Alangkah lucunya ketika

seorang hacker yang sangat canggih berhasil menembus pertahanan

pendeteksian dan memasuki ruangan, namun ketika dia menemukan server

tersebut, dia tidak menemukan port USB atau I/O lainnya, hari itu akan menjadi

Page 50: Security Networking

H a l a m a n | 49 dari 59

hari yang sangat sial bagi sang hacker. :P

Layer 2 - Datalink Layer

Layer 2 dari OSI Layer model adalah dimana kita menemukan Datalink Layer, yang

menyediakna mekanisme data yang mana ditransfer dari satu komputer ke komputer yang

lainnya dalam jaringan komputer. Apa yang membuat layer ini sangat penting adalah

penggunaan fram dalam transmisi data. Terdapat banyak celah keamanan pada Layer Data

Link, namun satu yang sangat berbahaya adalah proses ARP atau Address Resolution

Protocol.

ARP di desain untuk kondisi pengiriman yang lebih terpercaya. ARP digunakan untuk

nge-resolve IP Address ke MAC Address. Ketika memproses packet dan meneruskannya ke

stack terbawah, Data Link Layer bertanggungjawab dalam framing packet. Ketika Network

Layer telah memberikan IP Address maka Data Link Layer akan memberikan Physical

Address, Itulah tugas ARP. ARP harus menghubungkan physical address ketika dua host akan

berkomunikasi. Jika tujuannya bukan di daerah local (LAN) maka ARP akan resolve MAC

Address dari gateway sehingga frame dapat di alamatkan dengan benar.

Nah, Sekarang apa yang menjadi perhatian kalau ternyata ARP adalah protokol yang

terpercaya. Ketika masih era-nya HUB, para hacker pada era tersebut tidak terlalu

memperhatikan ARP, karena dengan hanya menggunakan Wireshark atau sniffer lainnya,

maka para hacker dapatkan account dan data-data lainnya dengan sangat mudah. Hal ini di

kenal dengan passive sniffing. Hub akan meneruskan paket ke semua portnya, jadi hacker

cukup terkoneksi pada salah satu port tersebut dan menerapkan mode promiscuous yang

mana akan menangkap semua paket yang terkirim dan diterima oleh komputer untuk

mendapatkan informasi yang penting.

Switch telah mengubah pola serangan tersebut karena pada era sekarang ,

kebanyakan penggunaan Hub telah di gantikan dengan Switch. Passive sniffing hanya

memberikan informasi yang sedikit. Satu-satunya trafik yang didapatkan hanya unicast yang

di ciptakan hanya untuk komputernya. Ini berarti hacker harus mampu memanipulasi proses

ARP jika ingin mendapatkan trafik antara user, hal ini dikenal dengan nama active sniffing.

Active sniffing adalah metode dengan menginjeksikan packet ke jaringan sehingga arus data

akan berubah aliran.

Page 51: Security Networking

H a l a m a n | 50 dari 59

Terdapat banyak cara yang dilakukan oleh hacker untuk active sniffing. Pertama

adalah ARP Poisoning. ARP Poisoning adalah metode me-‘racuni’ CAM(Content Addressable

Memory) dan ARP Cache pada Switch dengan mengirimkan ARP reply yang salah. Biasanya

yang menjadi target adalah gateway. Dengan begitu, hacker dapat melakukan routing ulang

terhadap aliran data menuju dirinya lalu akan diteruskan ke gateway. Yang lebih stealh lagi

kalau host yang diinginkan hanya satu diantara banyak host yang ada. Beberapa tool yang

gratis untuk melakukannya adalah sebagai berikut :

* Cain

* Ettercap

* WinARPAttacker

Hal kedua yang akan terjadi untuk dapat mem-bypass fungsi switch tersebut adalah

dengan nge-flood ARP, yang akan menghasilkan jumlah paket yang banyak, dan tiap paket

telah di-set dengan MAC Address yang berbeda. Idenya adalah untuk membanjiri CAM pada

Switch. Ketika Switch telah overload, maka fungsi dari switch tersebut tidak lebih seperti

HUB.

Solusi dari masalah ini wajib di fikirkan oleh para Network Engineer, Enkripsi, Secure

Protokol dan proaktif monitoring terhadap network sangat penting untuk diterapkan. Ada

juga hal yang dapat dilakukan oleh Switch itu sendiri, seperti teknologi DAI (Dynamic ARP

Inspection) dimana teknologi ini dapat meng-inspeksi ARP packet dan memastikan bahwa

paket tersebut valid. DAI dapat juga memberikan log dan menghapus paket yang tidak valid

dan memiliki MAC Address yang tidak valid. Dengan begitu pengurangan terhadap serangan

tersebut dapat di atasi dengan baik.

Beberapa kemungkinan celah keamanan pada layer ini adalah sebagai berikut :

o STP Manipulation Attack

o LAN Storm Attack

o VLAN Attack

Layer 3 – Network Layer

Layer 3 dari OSI Layer adalah Network Layer. Ketika data link menyediakan

komunikasi antara node, network layer menyediakan routing.Terdapat banyak servis pada

network layer, seperti Internet Control Message Protocol (ICMP), yang akan kita fokuskan.

ICMP didesain sebagai “messanger” untuk error pada logical dan diagnosanya.

Setiap device berbasis IP memiliki kemampuan untuk mengirim, menerima atau memproses

ICMP message. Desainer dari ICMP tidak pernah menyadari masalah keamanan yang telah

Page 52: Security Networking

H a l a m a n | 51 dari 59

kita hadapi pada era sekarang, tapi mereka para desainer telah memberikan peraturan dasar

pada ICMP untuk bekerja efisien :

1. Untuk memastikan ICMP message tidak flooding di Jaringan, ICMP tidak diberikan

prioritas spesial dan akan selalu di perlakukan sebagai trafik normal

2. ICMP message tidak dapat di kirim sebagai respon terhadap ICMP message lainnya.

Mekanisme ini dirancang untuk menghindari situasi dimana satu error message menciptakan

error yang lainnya, dan lainnya dan seterusnya. Hal tersebut dapat saja menjadi masalah,.

3. ICMP tidak di desain untuk dikirim sebagai balasan dari trafik multicast atau broadcast

Sebelumnya, saya telah menjelaskan bahwa ping sebagai alat penentu konektifitas. Sudah

digunakan oleh hacker untuk memastikan konektivitas sebelum dilakukan penyerangan.

Anda tidak menyerang sistem tanpa mengetahui sistem tersebut dalam keadaan hidup atau

mati. Hal ini dianggap telah diselesaikan dengan cara mem-block trafik ping, meskipun hal

tersebut merupakan langkah yang baik dalam mengamankan, tapi itu tidak menyelasaikan

semua masalah. Sebagai contohnya software Covert Tool Loki dapat membypass hal

tersebut.

Loki merupakan sebuah proof-of-concept software, diterbitkan oleh majalah Phrak pada

tahun 1996. Loki dapat menggunakan ICMP untuk menghubungi hacker yang lain diluar

network. Administrator hanya akan melihat outbound inisiasi dari trafik ping, tapi hacker

sebenarnya sedang membuat sebuah channel komunikasi tersembunyi. Mem-block kedua

inbound dan outbound ICMP pada firewall dapat melumpuhkan masalah ini.

Masalah ICMP lainnya adalah kemungkinan digunakan sebagai Denial of Service (DoS).

Contoh nyatanya dapat dilihat pada aplikasi Smurf. Smurf menggunkana paket ping untuk

menyalahgunakan ICMP. Smurf mengirim paket ICMP yang salah. Hal itu mengubah alamat

tujuan sehingga paket akan terkirim menjadi broadcast address pada jaringan. Pada jaringan

yang besar, banyak sistem yang akan me-reply broadcast ping. Hasil serangan tersebut akan

menyebabkan korban dibanjiri arus ping respon sehingga akses yang sah diblokir. Serangan

yang serupa juga dilancarkan ke DNS Core sebuah server pada tahun 2002. Administrator

dapat mencegah jaringannya dengan cara menambahkan command pada Router type Cisco-

nya yaitu : no ip directed-broadcast.

Page 53: Security Networking

H a l a m a n | 52 dari 59

ICMP dapat juga menjadi bantuan dalam mendapatkan identifikasi OS dan scanning port. Ini

dapat juga disebut fingerprinting. Sebelum melakukan penyerangan, hacker akan mencoba

mencari identifikasi system apa yang berjalan pada target, contohnya kalau yang berjalan

windows XP, maka exploit XP-lah yang akan dikirimkan, jika exploit bukan buat XP maka hal

tersebut percuma.

Jika kita ingin melakukan security multi layer approach, maka fungsi dari ICMP ini seharusnya

diblokir untuk Inbound dan Outbound pada firewall.

Layer 4 – Transport Layer

Layer 4 of the OSI model is the transport layer. The transport layer is in the middle of the OSI

model, with three layers below and three layers above. In this article, I discuss fingerprinting

and how it is related to the transport layer. Fingerprinting is the act of operating system (OS)

To better understand how fingerprinting works, we first need to review some transport layer

basics. identification. For example, is the client running MAC OS 10, BSD or Windows 2003

Server?

Pada transport layer, saya akan concern ke arah fingerprinting dan hubungannya terhadap

layer ini. Fingerprinting adalah aksi dalam mencari tahu jenis sistem operasi (OS) dan

informasi lainnya. Untuk contoh, saya akan memperlihatkan cara mengetahui apakah target

memakai MAC OS 10, BSD atau Windows Server 2003.

Dua protokol utama yang berasosiasi dengan transport layer yaitu UDP dan TCP. UDP atau

Unit Datagram Protocol adalah protocol yang connectionless. UDP tidak memberikan

mekanisme reliable karena pada dasarnya UDP di desain untuk kecepatan pengiriman. Lalu

yang kedua adalah TCP atau Tranmission Control Protocol, dimana merupaka protokol yang

connection oriented dan didesain reliable. Di TCP terdapat flow control, checksum,

sequence, dan acknoledgement number.

Kedua TCP dan UDP berfungsi sebagai penengah yang bertanggungjawab untuk melalkukan

koneksi. Fingerprinting dapat berupa active ataupun passive.

Passive fingerprinting

Page 54: Security Networking

H a l a m a n | 53 dari 59

Passive fingerprinting sangat susah untuk dideteksi. Passive fingerprinting tidak menginjeksi

trafik ke jaringan tapi bekerja sama seperti packet sniffer. Passive fingerprint tidak seakurat

active fingerprinting, tapi tidak terdeteksi.

Untuk lebih jelas lagi, kita dapat menggunakan program p0f. Software fingerprinting ini

menyimpan fingerprint ke file p0f.fp. Berikut isi dari file tersebut :

----------------- MacOS -------------------

32768:255:1:48:M*,W0,N:.:MacOS:9.0-9.2

----------------- OpenBSD -----------------

16384:64:1:64:M*,N,N,S,N,W0,N,N,T:.:OpenBSD:3.0-3.4

Active fingerprinting

Active fingerprint lebih akurat daripada passive fingerprint. Hasil dari pengiriman paket TCP

oleh Active Fingerprinting berbeda. Software yang menggunakan Active Fingerprinting salah

satunya adalah Nmap/Zenmap dan Xprobe2.

Mempertahankan jaringan dari passive fingerprinting sangatlah minim, tapi software IDS

dapat digunakan untuk mendeteksi Active fingerprinting. Snort dapat digunakan untuk

mempolakan active fingerprinting. Morph juga opsi yang baik, Morph adalah OS pengacau

active fingerprint sehingga para hacker tidak mendapatkan hasil yang akurat.

Layer 5 – Session Layer

Session layer akan mengatur, mematikan pertukaran, dan komunikasi pada sesi.

Session Hijacking terjadi ketika hacker mencoba untuk mengambil alih TCP session antara 2

komputer. Langkah dasar dari session hijacking yaitu :

1. Mencari target dengan sesi yang aktif

2. Menebak sequence number

3. Mengambil alih satu dari banyak user yang offline

4. Mengambil alih sesi.

Session hijacking bukanlah hal yang baru, Kevin Mitnick melakukannya pada 1994 dan pada

insiden tersebut kesadaran terhadap serangan ini semakin ditingkatkan. Tujuan utama dari

Page 55: Security Networking

H a l a m a n | 54 dari 59

session hijacking adalah untuk mencuri sesi dari koneksi yang terotentikasi pada satu sistem

yang aktif, dengan begitu sang hacker dapat mengirimkan command pada system tersebut.

Securing the stack series

Apa yang menyebabkan session hijacking menjadi sangat berbahaya adalah bukti yang

sangat lemah dan bahkan tidak terdeteksi sama sekali. Beberapa software yang digunakan

untuk melancarkan serangan hijacking tersebut adalah Ettercap dan Hunt.

Saya tidak akan menjelaskan bagaimana session hijacking terjadi, soalnya udah capek banget

ngetiknya.. :D

Dalam memitigasi serangan session hijacking tersebut, terdapat 2 mekanisme yaitu

prevention dan detection. Prevention memperhitungkan termasuk membatasi koneksi yang

masuk dan konfigurasi jaringan untuk menolak paket dari Internet yang menyatakan diri

sebagai local address.

Enkripsi juga dapat membantu. Jika ternyata harus juga membuka koneksi terhadap host

dari internet, pilihan jatuh kepada Kerberos atau IPsec. Gunakan protokol yang secure, FTP

dan Telnet sangat vulnerable. Secure Shell (SSH) adalah alternatif yang baik dari telnet. SSH

membangun koneksi yang terenkripsi antara local dan remote host. Detection dapat di

improvisasikan dengan menggunakan IPS atau IDS system.

Page 56: Security Networking

H a l a m a n | 55 dari 59

Layer 6 – Presentation Layer

Pada presentation layer semua file dan informasi akan direpresentasikan olehnya. Perannya

sebagai translator dan converter data dari satu format ke format yang lain. Jadi, format

seperti ASCII, EBCDIC or JPEG merupakan hasil presentasi dari layer ini. Presentation layer

juga dapat menggunakan enkripsi. Salah satu contoh dari presentation layer adalah Secure

Socket Layer (SSL). Protokol ini di develop untuk berperan sebagai solusi dari cryptografi

data pada saat pengiriman

Celah keamanan yang ada pada layer 6 ini salah satunya yang paling sering dilakukan adalah

serangan FAKE Certificate dan MITM (Man in The Middle). Fake certificate membutuhkan

sebuah sertifikat palsu yang di generate oleh hacker. Korban akan mendapatkan sebuah

pop-up dialog tentang masalah pada sertifikat. Sertifikat ini sangat mirip dengan sertifikat

yang aslinya, kecuali pada satu hal yaitu tanda tangan digital dari perusahaan yang

terpercaya. Man-in-the-middle sangat susah dilakukan karena hacker harus dapat meng-

intercept komunikasi antara client dan server.

Walaupun serangan ini terhadap SSL sangat mungkin, akan tetapi serangan terbanyak terjadi

pada perusahaan yang tidak menggunakan enkripsi apapun bahkan terkadang dalam clear

text. Salah satu cara lain dalam mempertahankan/meng-enkripsikan paket TCP dalam SSL

adalah menggunakan Stunnel.

.

Layer 7 – Application Layer

Application Layer berperan penting dalam network security. Application layer memiliki celah

terbanyak diantara semua layer. Banyak aplikasi seperti FTP, Telnet, SMTP dan DNS,

memiliki celah keamanan yang sangat banyak sejak pertama kali aplikasi tersebut di desain.

2 dari 13 DNS Core Server di serang pada 6 February 2007, DNS akan lebih dibahas diberikut

ini.

Sekilas tentang DNS, Tidak ada satupun lokasi di internet yang memegang semua

informasi tentang DNS database. Pada level root, terdapat 13 DNS Server, kebanyakannya

berlokasi di US pada satu gedung yang aman. DNS adalah database yang berdistribusi yang

memegang informasi dari pemetaan hostname ke IP Address. DNS memberikan metode

untuk query informasi yang dimiliki pada databasenya. DNS menggunakan UDP dan TCP,

tergantung pada aksi yang akan dilakukan. UDP biasanya digunakan pada query-query

Page 57: Security Networking

H a l a m a n | 56 dari 59

kecuali lookup/responnya lebih dari 512 bytes. TCP digunakan pada lookup yang sangat

besar dan pada tranfer antar zona.

Ketika kita men-cek email atau pergi ke sebuah website, sebenarnya yang terjadi adalah

translasi DNS dari hostname menjadi sebuah IP Adress. Proses ini dimulai dengan

mengirimkan request ke sebuah service pada localhost yang disebut dengan resolver.

Resolver akan pertama kali mencek local cache yang akan memegang respon dari request

terkini. Sebagai tambahan, resolver juga akan men-cek file host, dimana merupakan local file

yang memiliki peta dari hostname ke ip address. Jika ternyata tidak ada di localhost maka

resolver akan mengirimkan request ke DNS server. Untuk meningkatkan performa dan

mengurangi trafik network diakibatkan oleh DNS, name server akan caching replies dari

request yang telah dibuat.

Salah satu permasalahan dan celah keamanan dilayer ini adalah DNS exploits. Ketika DNS

server me-reply dari request, reply message akan mengandung ID transaksi dan jawaban

dari query si user. Jika DNS record tidak ada atau sudah diubah, maka user tidak akan

mampu menuju ip website tersebut, atau akan berakhir di website hacker. Hal ini sangat

mungkin terjadi karena protokol ini dapat di serang dari berbagai cara yaitu

* Exploiting zone transfers

* DNS cache poisoning

* DNS cache snooping

* Man-in-the-middle attacks

Zone transfer adalah salah satu cara untuk mendapatkan domain database dari primary DNS

server ke secondary DNS server. Jika hacker mampu untuk melakukan zone tranfer pada

primary atau secondary DNS server untuk sebuah domain, maka dia dapat melihat semua

DNS records dari domain tersebut. Hal ini dapat mengekspos informasi yang sensitif seperti

skema internal addresing. Sebagai tambahan, hacker sangat mungkin mendeterminasikan IP

Address yang mana yang digunakan oleh Webserver, Email ataupun File Transfer.

Page 58: Security Networking

H a l a m a n | 57 dari 59

DNS cache poisoning adalah teknik kedua yang akan saya paparkan. Kedua cache reply DNS

client dan server akan berada pada sebuah periode waktu dimana jika telah melewati

batasnya maka trafik jaringan akan dipotong. Jika hacker dapat spoofing sebuah respon

untuk sebuah DNS request, maka dia dapat mengkontaminasikan DNS cache dengan record

yang salah. Dengan cara meracuni DNS client dan server, seorang hacker dapat meredirect

trafik.

DNS cache snooping adalah proses dalam menentukan apakah resource record yang

diberikan telah berada pada cache. DNS cache snooping dapat juga bermanfaat dalam

menentukan situs yang mana yang akan di kunjungi, siapa kliennya, dan customernya serta

informasi lainnya yang sangat berpotensi disalahgunakan oleh hacker. Juga dapat

mengetahui software apa saja yang sedang digunakan oleh si korban/target dengan

memeriksa kehadiran dari sebuah record untuk software update.

Dan terakhir adalah man-in-the-middle (MITM), MITM terjadi ketika hacker berhasil meng-

intercept dan memodifikasi DNS message pada jaringan. Pada situasi ini, hacker akan

memperoleh source port dan ID transaksi dari hasil intercept. MITM dapat juga me-redirect

korban dari alamat yang sah ke alamat yang palsu. Hal ini akan menjadi sangat berbahaya

ketika sang hacker berhasil mengubah sebuah DNS record terhadap sebuah bank, dan

mencuri informasi personal dan informasi penting lainnya, seperti account.

Solusi : Serangan ini merupakan serangan yang sangat nyata, namun terdapat beberapa cara

dalam mempertahankan. DNS cache poisoning dapat jadi sangat sulit untuk dilakukan jika

dalam mendapatkan DNS digunakan random transaction ID dan source port. Tanpa nilai

yang benar maka tidak mungkin hacker dapat spoof sebuah reply untuk meracuni cache

server. Zone transfer merupaka masalah yang sangat berbahaya pada tahun lalu, yang mana

Windows Server 200 secara default akan membiarkan siapapun untuk mendapatkan

informasi DNS-nya. Default setting ini tidak lagi ada pada Windows Server 2003.

Selain pada DNS, serangan lain yang patut diperhitungkan dan juga sangat sulit untuk

dilakukan dengan persentase keberhasilan 100% adalah Buffer Overflow. Saya akan

menjelaskan secara singkat bagaimana buffer overflow itu terjadi dan cara pertahanannya.

Page 59: Security Networking

H a l a m a n | 58 dari 59

Daftar Referensi

http://www.wikipedia.org

http://www.google.com

Buku Internet Hacking – S’to