library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab2DOC/2013-1... · Web viewPengertian...
Transcript of library.binus.ac.idlibrary.binus.ac.id/eColls/eThesisdoc/Bab2DOC/2013-1... · Web viewPengertian...
BAB 2
TINJAUAN PUSTAKA
Bab ini akan menjelaskan teori – teori dasar dan teori – teori khusus yang
digunakan di dalam skripsi ini. Teori – teori dasar diantaranya adalah definisi dan
pengertian jaringan, perangkat jaringan, dan arsitektur jaringan. Arstitektur jaringan
mencakup model OSI (Open System Interconnection) dan model TCP (Transmission
Control Protocol).
Sedangkan teori – teori khusus akan membahas tentang definisi dari keamanan
Informasi, penjelasan dan contoh – contoh ancaman dan serangan pada jaringan
nirkabel serta pengertian dan contoh dari Intrusion Detection System (IDS). Teori –
teori yang dicantumkan di dalam skripsi ini digunakan sebagai landasan analisis dan
penerapan guna mendukung jalannya sistem Intrusion Detection System di
Government Security Incident Response Team (Gov-CSIRT) yang dikelola oleh
Direktorat Keamanan Informasi di Kementrian Komunikasi dan Informatika
Republik Indonesia (KEMKOMINFO) Republik Indonesia.
Bab ini kemudian diakhiri dengan perbandingan sistem IDS keamanan jaringan
yang diimplementasikan dengan sistem IDS keamanan jaringan serupa dan
mengevaluasi kelemahan dan keunggulan dari sistem monitoring kemanan jaringan
yang diterapkan.
2.1 Teori Dasar
2.1.1 Pengertian Jaringan Komputer
Pengabungan sistem komputer dengan sistem komunikasi telah
memberi pengaruh yang kuat ke mana arah sistem komputer akan
berkembang. Konsep tentang sistem komputer yang selalu terpusat di
dalam suatu ruangan dengan komputer-komputer yang berukuran besar
yang user gunakan untuk memproses suatu data menjadi hal yang usang.
Model lama dimana satu komputer melayani semua kebutuhan komputasi
suatu organisasi telah digantikan dengan model baru dengan komputer
dalam jumlah besar yang terpisah namun terhubung satu sama lain.
Sistem inilah yang kini dikenal dengan jaringan komputer. (Tanenbaum,
2011: 2).
8
9
2.1.2 Klasifikasi Jaringan Komputer
2.1.2.1 Berdasarkan Luas Cakupan
Menurut Tanenbaum (2011: 18-28) berdasarkan luas cakupan,
jaringan dapat dibagi menjadi 5 yaitu:
1. Personal Area Network (PAN)
PAN memungkinkan suatu perangkat agar dapat
berkomunikasi dengan perangkat lainnya yang masih berada di
dalam jangkuan seseorang. Contoh sederhananya adalah sebuah
jaringan wireless dengan bluetooth yang menghubungkan
komputer dengan perangkat – perangkat pendukungnya. Bila
jaringan wireless tidak tersedia maka saluran kabel digunakan.
Contoh, komputer yang terhubung dengan layar monitor,
keyboard, dan mouse.
Gambar 2.1 Contoh Personal Area Networks
(http://www.rfidc.com/images/technology_intros/
introductiontowireless_standards_clip_image004.jpg)
2. Local Area Networks (LAN)
LAN adalah jaringan yang dikelola secara privat dan dapat
beroperasi hingga jarak beberapa kilometer. Namun LAN lebih
umum digunakan di dalam satu bangunan seperti rumah, kantor
atau pabrik. LAN banyak digunakan untuk menghubungkan dua
atau lebih komputer untuk saling bertukar informasi.
10
3. Metropolitan Area Networks (MAN)
Sebuah jaringan MAN (Metropolitan Area Network) dapat
mencakup satu kota. (Tanenbaum, 2011: 23) Salah satu contoh
dari MAN adalah kabel jaringan telepon lokal dan televisi yang
tersedia di banyak kota. Sistem ini berkembang dari sistem antena
yang digunakan di beberapa daerah untuk menangkap siaran
televisi. Setelah permintaan yang meningkat, kini jaringan MAN
banyak digunakan untuk koneksi internet yang cepat dan saluran
televisi berbayar.
4. Wide Area Networks
Sebuah jaringan WAN (Wide Area Network) dapat
menjangkau area geografis yang sangat luas, jangkauan WAN
dapat mencakup satu negara atau bahkan satu benua. Salah satu
contoh penggunaan dari WAN adalah suatu perusahaan yang ingin
terhubung dengan kantor – kantor cabang mereka yang tersebar di
banyak kota. Jaringan WAN dapat terhubung baik dengan media
kabel atau wired WAN atau dapat juga menggunakan media
internet dengan menggunakan virtual private network.
Gambar 2.2 Contoh Wide Area Networks
(http://www.computernetworks.com/Images/WAN.jpg)
5. Internetworks
Banyak jaringan yang telah terbentuk di seluruh dunia, dan
dengan perangkat keras (hardware) dan perangkat lunak
(software) yang berbeda pula. Banyak orang yang telah terhubung
11
di dalam satu jaringan, ingin dapat berkomunikasi dengan orang
yang berada di jaringan lainnya. Kumpulan jaringan – jaringan
yang saling terhubung ini disebut internetwork atau lebih dikenal
dengan internet.
2.1.2.2 Berdasarkan Topologi Jaringan
Topologi jaringan adalah hal yang menjelaskan hubungan
geometris antara unsur-unsur dasar penyusun jaringan, yaitu
node, link, dan station.
Menurut Anderson dan Benedetti (2009: 470) Berdasarkan
topologi jaringan, jaringan komputer dapat dibedakan menjadi
beberapa bagian, antara lain:
Topologi Bus
Topologi bus menggunakan “single backbone
segment” sebagai penghubung semua komputer yang ada pada
jaringan. Semua komputer langsung terhubung dengan
komputer tersebut.
Gambar 2.3 Contoh topologi Bus
(http://www.edrawsoft.com/images/network/Bus-Network-
Topology.png)
12
Topologi bintang (Star)
Topologi bintang menghubungkan semua workstation
ke satu buah titik pusat. Titik pusat ini biasanya berupa hub
atau switch sehingga seolah-olah komputer yang terhubung
berbentuk seperti bintang.
Gambar 2.4 Contoh topologi bintang
(http://www.edrawsoft.com/images/network/Star-Network-
Topology.png)
Topologi extended star
Topologi extended star menggabungkan beberapa
topologi bintang (star) menjadi satu topologi. Hub dan switch
digunakan untuk menghubungkan masing – masing topologi
star.
13
Gambar 2.5 Contoh topologi extended star
(http://4.bp.blogspot.com/-tPCT9PjzA00/T3H4nPTipQI/
AAAAAAAAAE4/4F7Nudnnz58/s1600/20090526092338!
Extended_star_topology.png)
Topologi cincin (ring)
Topologi cincin berbentuk rangkaian workstation yang
masing – masing terhubung ke dua workstation lainnya,
sedemikian rupa sehingga membentuk jalur melingkar
membentuk cincin. Pada topologi cincin, komunikasi data
dapat terganggu jika satu titik mengalami gangguan.
Gambar 2.6 Contoh topologi cincin
(http://www.edrawsoft.com/images/network/Ring-
Topology.png)
Topologi mesh
Topologi mesh adalah suatu bentuk hubungan antar
perangkat dimana setiap perangkat terhubung secara langsung
ke perangkat lainnya yang ada di dalam jaringan. Akibatnya,
dalam topologi mesh setiap perangkat dapat berkomunikasi
langsung dengan perangkat yang dituju (dedicated links).
Topologi mesh digunakan ketika dibutuhkan jaringan yang
tidak boleh melakukan kesalahan sedikitpun dalam
14
komunkasi, contohnya sistem kontrol pembangkit tenaga
nuklir.
Gambar 2.7 Contoh topologi mesh
(http://www.edrawsoft.com/images/network/Mesh-Network-
Topology.png)
Topologi pohon (tree)
Topologi jaringan ini disebut juga sebagai topologi
jaringan bertingkat. Topologi ini biasanya digunakan untuk
interkoneksi antar sentral dengan hirarki yang berbeda. Untuk
hirarki yang lebih rendah digambarkan pada lokasi yang
rendah dan semakin keatas mempunyai hirarki yang semakin
tinggi. Topologi jaringan jenis ini cock digunakan pada sistem
jaringan komputer.
Gambar 2.8 Contoh topologi tree
15
(http://www.edrawsoft.com/images/network/Tree-Network-
Topology.png)
Topologi hybrid
Topologi hybrid adalah gabungan antara dua bentuk
topologi. Topologi ini dapat terbentuk ketika dua topologi
dasar yang berbeda terhubung satu sama lain.
Gambar 2.9 Contoh topologi hybrid
(http://www.buzzle.com/img/articleImages/553702-30619-
21.jpg)
2.1.3 Port
Menurut Dong dan Jaelin (2007:338) port di suatu perangkat
komputer berfungsi sebagai sistem antarmuka antara komputer dan
jaringan. Di dalam jaringan komputer, port memiliki nomor khusus yang
bertujuan untuk melambangkan proses atau layanan (service) yang sedang
berjalan. Beberapa nomor port yang umum diketahui antara lain.
16
Tabel 2.1 Nomor port dan kegunaannya
Port Kegunaan
1434 Port ini digunakan untuk layanan aplikasi Microsoft SQL
53 Port ini dugunakan untuk layanan Domain Name System
Server
1433 Port ini digunakan untuk layanan aplikasi Microsoft SQL
Monitoring
80 Port ini digunakan untuk layanan World Wide Web HTTP
34354 Port ini merupakan port yang tidak terdaftar, namun port
ini digunakan untuk menjalankan aplikasi di Windows
25700 Port ini merupakan port yang tidak terdaftar, namun port
ini digunakan untuk menjalankan aplikasi di Windows
21810 Port ini merupakan port yang tidak terdaftar, namun port
ini digunakan untuk menjalankan aplikasi di Windows
3306 Port ini digunakan untuk menjalankan layanan Database
MySQL
4500 Protokol NAT
32015 Port ini merupakan port yang tidak terdaftar, namun port
ini digunakan untuk menjalankan aplikasi di Windows
16465 Port ini biasanya digunakan untuk aktivitas sharing P2P
contoh: video streaming, file sharing, tetapi bisa juga
digunakan untuk komunikasi: Botnet
14471 Port ini biasanya digunakan untuk aktivitas sharing P2P
contoh: video streaming, file sharing, tetapi bisa juga
digunakan untuk komunikasi: Botnet
691 Port ini digunakan untuk layanan LDAP over Secure
Sockets Layer (SSL)
443 Port ini digunakan untuk HTTPS (Hypertext Transfer
Protocol over SSL/TLS)
16470 Port ini biasanya digunakan untuk aktivitas sharing P2P
contoh: video streaming, file sharing, tetapi bisa juga
digunakan untuk komunikasi: Botnet
16464 Port ini biasanya digunakan untuk aktivitas sharing P2P
17
contoh: video streaming, file sharing, tetapi bisa juga
digunakan untuk komunikasi: Botnet
16471 Port ini biasanya digunakan untuk aktivitas sharing P2P
contoh: video streaming, file sharing, tetapi bisa juga
digunakan untuk komunikasi: Botnet
445 Port ini digunakan untuk HTTP/S proxy
3145 Port ini digunakan untuk berkomunikasi (kirim/terima)
data tetapi aplikasi yang menggunakan/melakukan
komunikasi tersebut bisa apa saja.
3372 Port digunakan untuk MS DTC atau Microsoft Distributed
Transaction Coordinator.
2.1.4 Wireless LAN (WLAN)
Wireless LAN (WLAN) menyediakan koneksi jaringan antar
komputer yang berada dalam jangkauan jarak dekat menggunakan sinyal
radio atau infra merah dibandingkan metode tradisional menggunakan
kabel. Institute of Electrical and Electronics Engineers (IEEE) telah
memberikan standar bagi wireless LAN dengan standar IEEE 802.11
yang mencakup lapisan physical dan data link. Standar 802.11 membagi
WLAN menjadi tiga spesifikasi. (Forouzan dan Behrouz, 2007: 432).
Tabel 2.2 Spesifikasi WLAN standar 802.11
IEEETeknik
ModulasiPita (band)
Data Rate
(Mbps)
802.11a OFDM 5,725 GHz 6 – 54
802.11b DSSS 2,4 GHz 5.5 dan 11
802.11g OFDM, DSSS 2,4 GHz 22 dan 54
802.11a
Menggunakan teknik modulasi OFDM dan berjalan
pada frekuensi 5.725 GHz dengan kecepatan transfer data 6
Mbps hingga 54 Mbps. Kelebihan dari standar ini adalah
kecepatan transfer data yang lebih tinggin dan lebih kecil
18
potensi terjadinya interferensi dari perangkat nirkabel lainnya
karena frekuensi ini jarang digunakan. Kelemahannya antara
lain membutuhkan biaya yang lebih besar, jarak jangkuan
lebih pendek karena frekuensi tinggi dan juga dapat
menyebabkan sinyal mudah diserap oleh benda penghalang
seperti dinding atau tembok.
802.11b
Menggunakan teknik modulasi DSSS dan berjalan
pada frekuensi 2,4 GHz dengan kecepatan transfer data 5,5
Mbps dan dapat mencapai 11 Mbps. Kelebihan dari standar ini
adalah biaya implementasi yang lebih sedikit dan jarak
jangkau yang lebih baik. Kelemahannya adalah transfer data
yang lebih lambat dan rentan terhadap interferensi karena
frekuensi 2,4 GHz banyak digunakan oleh perangkat lainnya.
802.11g
Menggunakan teknik modulasi OFDM dan DSSS
sehingga memiliki karakteristik dari kedua standar
sebelumnya. Standar ini bekerja pada frekuensi 2,4 GHz
dengan kecepatan transfer data 22 Mbps dan dapat mencapai
54 Mbps tergantung dari jenis modulasi yang digunakan.
Kelebihan dari standar ini adalah kecepatan transfer data yang
tinggi (menyamai standar 802.11a), jarak jangkuan yang
cukup jauh dan lebih tahan terhadap penyerapan oleh material
tertentu karena bekerja pada frekuensi 2,4 GHz. Kelemahan
dari 802.11g adalah rentan terhadap interferensi dari perangkat
nirkabel lainnya.
Mobillitas masyarakat yang tinggi membuat semakin banyak
jaringan nirkabel yang terbentuk agar dapat menghubungkan
perangkat mobile seperti laptop dan smartphone dengan internet
ataupun LAN. Tren ini tentu mengundang ancaman – ancaman
19
serangan, terutama sifat transmisi jaringan nirkabel yang broadcast,
ini mempermudah laptop atau komputer terdekat menerima paket
informasi yang tidak diperuntukkan untuk mereka. Untuk mencegah
hal ini terjadi. Standar 802.11 telah memasukkan beberapa skema
enkripsi untuk melakukan pengamanan. Teknik – teknik enkripsi
untuk mencegah ancaman – ancaman serangan tersebut melalui antara
lain (Stallings, 2011: 529) :
Wired Equivalent Privacy (WEP)
WEP merupakan standar keamanan & enkripsi pertama
yang digunakan pada jaringan nirkabel, WEP (Wired
Equivalent Privacy) adalah suatu metoda pengamanan
jaringan nirkabel, disebut juga dengan shared key
authentication. Shared key authentication adalah metoda
otentikasi yang membutuhkan penggunaan WEP. Enkripsi
WEP menggunakan kunci yang dimasukkan (oleh
administrator) ke client maupun access point. Kunci ini harus
cocok dari yang diberikan access point ke client, dengan yang
dimasukkan client untuk authentikasi menuju access point,
dan WEP mempunyai standar 802.11b.
Wi-Fi Protected Access (WPA)
WAP sebagai tindak lanjut atas kelemahan WEP
dengan menggunakan algoritma enkripsi baru seperti kunci
yang dinamis dan dapat berubah sesuai periodik. Ada dua jenis
teknik WPA, yaitu TKIP (Temporal Key Integrity Protocol)
uang dibuat sebagai pengganti WEP dengan menggunakan
kunci sepanjang 128 bit dan berubah setiap frame yang di
kirimkan serta AES (Advanced Encryption Standard) yang
menggunakan algoritma Rine Dale yang kuat dan
membutuhkan sumber daya yang lebih besar.
WPA digolongkan menjadi dua jenis, yaitu WPA
Personal menggunakan Pre-Shared Key (PSK) dan WPA
20
Enterprise. WPA PSK biasanya digunakan untuk perumahan
atau kantor kecil yang tidak menggunakan server otentikasi
yang rumit. Sedangkan WPA enterprise digunakan oleh
perusahaan yang menggunakan server dengan otentikasi
sendiri seperti RADIUS (Remote Authentication Dial-In User
Device). Pengguaan EAP (Extensible Authentication Protocol)
memungkinkan client mengirimkan paket ke server otentikasi
yang akan menutup semua jalur lalu lintas data yang menuju
ke server samapi terbukti bahwa penguna adalah pemakai
yang sah.
2.1.5 Internet Protocol Suite
Menurut Miller (2009: 22) internet protocol suite adalah suatu model
jaringan dan kumpulan protokol komunikasi yang dibutuhkan untuk
membangun internet. Beberapa implementasi dari internet protocol suite
antara lain IP, ARP, ICMP, UDP dan TCP.
1. Internet Protocol (IP)
Internet Protocol (IP) atau protokol internet adalah protokol
komunikasi utama di internet protocol suite yang bertugas untuk
menyampaikan data di suatu jaringan. Routing dari protokol
internet memungkinkan terciptanya koneksi antar internet atau
yang lebih dikenal dengan internet. Protokol internet yang
banyak digunakan saat ini adalah protokol internet versi empat
(IPv4). Menurut Miller (2009:97) IPv4 memiliki fitur – fitur
khusus yaitu:
Type of Service – Fitur ini digunakan untuk
menentukan QoS (Quality of Service) tertentu
Time-to-Live – Saat kondisi routing, terdapat
kemungkinan terjadinya looping ketika suatu datagram
tidak dapat dikirimkan. Time-to-live mempunyai timer
untuk membuang datagram tersebut.
21
Options – IPv4 menyediakan beberapa option atau
pilihan yang meskipun terkadang tidak diperlukan di
beberapa kasus tertentu digunakan untuk memberikan
kontrol fungsi
Header Checksum – Untuk memastikan informasi yang
ada di datagram IPv4 sampai di tujuan dalam kondisi
utuh, IP melakukan pengecekan informasi yang ada di
dalam datagram tersebut dengan checksum yang telah
dibuat.
Error Reporting – Fitur ini umumnya dianggap bagian
yang vital di IP karena tanpa fitur ini, IP tidak akan
mempunyai mekanisme pelaporan error.
2. Address Resolution Protocol (ARP)
Address Resolution Protocol adalah protokol tingkat rendah
yang menggunakan layanan MAC (lapisan data link), dan
sebagaimana dengan protokol lainnya, protokol ARP
dienkapsulasi di kerangka fisik jaringan.
3. Internet Control Message Protocol (ICMP)
Protokol ICMP digunakan oleh perangkat jaringan seperti
router untuk mengirimkan informasi tentang status dari sebuah
jaringan. ICMP berfungsi untuk melaporkan:
Error atau kesalahan yang ada di aplikasi jaringan
Ketersediaan remote host
Kepadatan trafik jaringan
Penggunaan paling umum dari protokol ICMP adalah saat
melakukan ping yang menggunakan ICMP sebagai peraba remote
host untuk mengecek daya tanggap dan waktu tempuh dari pesan
yang dikirimkan saat melakukan ping.
4. User Datagram Protocol (UDP)
22
User Datagram Protocol didesain untuk memberi kemampuan
melakukan transfer data dari satu proses aplikasi ke aplikasi
lainnya tanpa mengeluarkan sumber daya tambahan (Miller,
2009:189). Karena UDP yang bersifat connectionless yang tidak
memerlukan sumber daya yang banyak, protokol ini menjadi
pilihan ideal untuk aplikasi seperti Simple Network Management
Protocol (SNMP), Domain Name System (DNS) dan juga
beberapa protokol routing.
5. Transmission Control Protocol (TCP)
Menurut Miller (2009:169) Transmission Control Protocol
adalah protokol yang bersifat connection oriented, end-to-end
dan dapat diandalkan. Protokol ini tidak didesain untuk berantar
muka dengan pokok dari teknologi jaringan, protokol TCP
didesain secara spesifik untuk memberikan koneksi yang dapat
diandalkan antara proses aplikasi yang berada di mesin yang
berbeda.
2.1.6 Arsitektur Jaringan
2.1.6.1 Model OSI 7 Layer
Model Open System Interconnection (OSI) diciptakan oleh
International Organization for Standardization (ISO) pada tahun
1977 yang diperkenalkan pada tahun 1984. Model OSI
menyediakan kerangka logika terstruktur bagaimana proses
komunikasi data berinteraksi melalui jaringan. Standard ini
dikembangkan agar komputer dapat berkomunikasi pada jaringan
yang berbeda secara efisien.
23
Gambar 2.10 7 layer model OSI
(http://www.bpsharma.in/eLearning/Networking/images/
osigroupedlayers.gif)
Pada model OSI terdapat 7 buah layer yang setiap layer-nya
mengilustrasikan fungsi-fungsi jaringan. Pembagian fungsi-fungsi
jaringan ini disebut layering. Menurut Tanenbaum (2011: 41-45),
masing - masing layer tersebut memiliki fungsi sebagai berikut
(diurut dari layer paling bawah ke layer paling atas)
1. Physical Layer (Layer 1)
Physical layer berhubungan dengan transmisi bit-bit di
dalam kanal komunikasi. Desain dari lapisan ini bertugas
untuk memastikan ketika satu pihak mengirim 1 bit, pihak
yang menerima juga harus menerima kiriman tersebut
sebagai 1 bit, bukan 0 bit. Lapisan ini didesain untuk
menangani aspek mekanik, elektrik, dan timing interfaces
serta medium untuk transmisi fisik.
2. Data Link Layer (Layer 2)
Tugas utama dari data link layer adalah untuk mengubah
sebuah transmisi mentah menjadi sebuah barisan data yang
bebas dari transmission error yang tidak terdeteksi. Ini
dapat dilakukan dengan menutupi atau menyembunyikan
error sebenarnya sehingga network layer tidak
mengetahuinya.
3. Network Layer (Layer 3)
Network layer mengatur pengoperasion dari subnet. Desain
kunci dari lapisan ini adalah menentukan bagaimana paket-
paket dikirimkan dari sumber ke tujuan. Penanganan
kongesti juga menjadi tanggung jawab dari network layer.
4. Transport Layer (Layer 4)
24
Fungsi dasar dari transport layer adalah menerima data
dari atas, memecah data tersebut menjadi potongan-
potongan yang lebih kecil, dan mengirimkannya ke
network layer, dan memastikan semua potongan-potongan
yang dikirimkan, diterima dengan benar di tujuan akhir.
5. Session Layer (Layer 5)
Session layer memungkinkan user di perangkat-perangkat
yang berbeda membuat sessions diantara mereka. Sessions
memberikan beberapa layanan, termasuk dialog control,
token management dan synchronization.
6. Presentation Layer (Layer 6)
Berbeda dengan lapisan-lapisan bawah, yang sebagian
besar berhubungan dengan perpindahan bit. Presentation
layer lebih banyak berhubungan dengan aspek sintaks dan
semantik dari informasi yang ditransmisikan.
7. Application Layer (Layer 7)
Application layer mengandung berbagai protokol yang
umumnya dibutuhkan oleh users. Salah satu yang banyak
digunakan adalah HTTP (HyperText Transfer Protocol),
yang menjadi dasar dari World Wide Web. Ketika browser
meminta halaman web, browser mengirim nama dari
halaman yang diinginkan kepada server yang menjadi host
dari halaman tersebut menggunakan HTTP. Server
kemudian mengirimkan kembali halaman yang diminta.
Protokol-protokol aplikasi lainnya yang cukup banyak
digunakan adalah file transfer dan electronic mail.
2.1.6.2 Model Protokol TCP/IP
Protokol TCP/IP dikembangkan setelah model OSI. Oleh
karena itu, tidak semua lapisan – lapisan dari protokol TCP/IP
sama dengan lapisan – lapisan yang ada di model OSI. Menurut
25
Forouzan dan Fagan (2007: 42) Protokol TCP/IP memiliki lima
lapisan, yaitu
Physical Layer
Data Link Layer
Internetwork (Internet) Layer
Transport Layer
Application Layer
Empat layer pertama melakukan fungsi – fungsi physical,
network interfaces, internetworking, dan transport yang
berhubungan dengan empat layer pertama dari model OSI.
Sedangankan 3 layer teratas dari model OSI, direpresentasikan
oleh layer aplikasi di protokol TCP/IP.
2.2 Teori Khusus
2.2.1 Keamanan Informasi
Terdapat tiga konsep yang dikenal dengan CIA Triad mengenai
keamanan jaringan maupun informasi (Stallings,2011: 11).
Confidentiality
Menjaga otorisasi dan kerahasiaan informasi untuk
mencegah kebocoran ke pihak-pihak yang tidak mempunyai
hak untuk mengakses informasi tersebut. Salah satu upaya
untuk menjaga confidentiality adalah penggunaan enkripsi
untuk informasi – informasi tertentu yang hanya bisa dilihat
atau diakses oleh pihak – pihak yang memiliki “kunci”.
Integrity
Integrity bertujuan untuk menjaga informasi dari
perubahan konten informasi yang tidak berizin dan menjamin
keaslian informasi yang tidak dapat disangkal. Hilangnya
integrity dari suatu informasi merupakan pengrusakan
informasi. Beberapa upaya menjaga integrity adalah
penggunaan antispam, antimalware dan antivirus.
26
Availability
Availability memastikan akses informasi yang dapat
diandalkan. Hilangnya availability dari suatu informasi
merupakan gangguan akses informasi. Denial of Service
merupakan salah satu contoh serangan terhadap aspek ini.
Meskipun konsep CIA Triad dinilai telah mapan, banyak yang
pihak – pihak yang bergerak di bidang keamanan informasi
beranggapan dibutuhkannya dua konsep tambahan. Dua konsep
tersebut adalah:
Authenticity
Authenticity memastikan keaslian informasi sehingga
informasi dan sumber informasi dapat dipercaya. Authenticity
juga menjaga keabsahan konten-konten yang terdapat di dalam
informasi tersebut.
Accountability
Aspek ini menjadi suatu ketentuan etika agar setiap
perbuatan dari suatu pihak dapat dilacak. Ini bertujuan agar
setiap informasi yang keluar dapat dipertanggungjawabkan.
Terdapat banyak jenis ancaman terhadap keamanan jaringan
komputer di seluruh dunia. Beberapa diantaranya cukup berbahaya,
dan ada pula yang tidak namun cukup menggangu. Ancaman-
ancaman tersebut antara lain (Indrajit, 2011: 80-86).
Phising
Phising Merupakan sebuah proses “pra-serangan” atau kerap
dikatakan sebagai “soft attack” dimana sang penyerang
berusaha mendapatkan informasi rahasia dari target dengan
cara menyamar menjadi pihak yang dapat dipercaya atau
27
seolah-olah merupakan pihak yang sesungguhnya. Serangan
phishing ini kerap dikategorikan sebagai usaha “social
engineering”, yaitu memanfaatkan pendekatan sosial dalam
usahanya untuk mendapatkan informasi rahasia sebagai alat
untuk melakukan penyerangan dikemudian hari.
Port Scanning
Penyerang melakukan port scan untuk melihat port-
port apa saja yang terbuka. Penyerang melakukan cara ini
untuk mencari layanan atau services apa saja yang sedang
digunakan dan mengetahui sistem operasi apa yang target
miliki. Menurut laporan dari ID-SIRTII (Indonesia Security
Incident Response Team on Internet Infrastructure) pada
kurun waktu Januari - September 2013, port yang paling
banyak menjadi sumber serangan adalah port 1434 dimana
port ini digunakan untuk layanan aplikasi Microsoft SQL
.
Tabel 2.3 Top Three Port Tujuan Insiden (sumber: ID-
SIRTII)
Port % Port % Port %
Januari Februari Maret
1434 15,52% 1434 14,61% 16471 38,53%
53 13,69% 53 9,06% 16464 27,17%
1433 8,10% 1433 6,92% 80 6,44%
April Mei Juni
16471 39,84% 1434 55,25% 1434 40,28%
16464 19,64% 16464 9,02% 16471 11,64%
1434 12,24% 16471 6,36% 53 11,43%
Juli Agustus September
1434 58,16% 1434 28,89% 1434 20,77%
53 7,67% 53 14,17% 1433 19,98%
80 4,76% 16464 9,80% 16465 10,27%
28
Malware
Malware, kependekan dari “malicious software”
adalah aplikasi ganas yang dibuat dengan maksud untuk
merusak atau melumpuhkan perangkat yang digunakan oleh
target seperti perangkat-perangkat mobile, komputer atau
server. Aktivitas-aktivitas yang dilakukan malware termasuk
mengganggu operasi komputasi dan komunikasi, mencuri data
sensitif, mengakses jaringan pribadi, atau membajak sistem
untuk mengeksploitasi sumber daya dari target. ID-SIRTII
mencatat 12.5 juta serangan malware yang terjadi pada kurun
waktu Maret – September 2013.
Denial of Service (DoS)
Menurut Indrajit (2011:83) serangan yang dikenal
dengan istilah DoS atau DDoS (Distributed Denial of Service)
ini pada dasarnya merupakan suatu aktivitas dengan tujuan
utama menghentikan atau meniadakan layanan sistem atau
jaringan komputer sehingga pengguna tidak dapat menikmati
fungsionalitas dari layanan tersebut – dengan cara menggangu
ketersediaan komponen sumber daya yang terkait dengannya.
Dengan kata lain, DoS dan/atau DDoS merupakan
serangan untuk melumpuhkan suatu layanan dengan cara
menghabiskan sumber daya yang diperlukan sistem komputer
untuk melakukan kegiatan normalnya. Berikut adalah
sejumlah tipe serangan DoS/DDoS:
1. SYN-Flooding: merupakan serangan yang
memanfaatkan lubang kerawanan saat koneksi
TCP/IP terbentuk.
2. Pentium “FOOF” Bug: merupakan serangan
terhadap prosessor yang menyebabkan sistem
senantiasa melakukan “rebooting”. Hal ini tidak
29
bergantung terhadap jenis sistem operasi yang
digunakan tetapi lebih spesifik lagi terhadap
prosessor yang digunakan.
3. Ping Flooding: merupakan aktivitas “brute force””
sederhana, dilakukan oleh penyerang dengan
bandwith yang lebih baik dari korban, sehingga
mesin korban tidak dapat mengirimkan paket data
ke dalam jaringan (network). Hal ini terjadi karena
mesin korban dibanjir (flood) oleh paket – paket
ICMP.
Yang membedakan antara DDoS dengan DoS
adalah pada DDoS serangan dilakukan secara
serempak oleh beberapa komputer sekaligus, sehingga
hal ini sangat ampuh dalam membuat sistem atau
jaringan komputer tertentu lumpuh dalam waktu cepat.
2.2.2 Computer Emergency Response Team (CERT)
CERT adalah sebuah tim khusus yang siap dan sigap untuk
menghadapi berbagai insiden yang mungkin terjadi dan dapat
merugikan merugikan organisasi tersebut. Computer Security Incident
Response Team atau disingkat menjadi CSIRT menjadi pusat
kordinasi dari tim CERT yang memungkinkan para praktisi CERT
dapat bertemu secara virtual maupun fisik untuk membahas berbagai
isu terkait dengan keamanan dan pengamanan internet.
Menurut Indrajit (2011:23), dilihat dari karakteristik dan
anggotanya, ada 4 (empat) jenis CERT yang dikenal yaitu:
Sector CERT - institusi yang dibentuk mengelola keamanan
komputer/internet untuk lingkungan komunitas tertentu seperti
militer, rumah sakit, universitas, dan lain sebagainya;
Internal CERT – institusi yang dibentuk sebuah perusahaan
yang memiliki ruang linkup geografis tersebar di seluruh
nusantara sehingga dibutuhkan koordinasi dalam hal
30
mengelola keamanan komputer, seperti milik Pertamina,
LippoBank, PLN, Telkom, dan lain sebagainya;
Vendor CERT – Institusi pengelola keamanan yang dimiliki
oleh vendor teknologi untuk melindungi kepentingan pemakai
teknologi terkait, seperti Yahoo, Cisco, Microsoft, Oracle, dan
lain sebagainya; dan
Commercial CERT – institusi yang biasanya dibentuk oleh
sejumlah praktisi dan ahli keamanan komputer/internet yang
banyak menawarkan beragam produk/jasa kepada pihak lain
terkait dengan tawaran membantu proses pengamanan
teknologi informasi secara komersial.
2.2.3 Intrusion Detection System (IDS)
Menurut Rehman (2003: 5), Intrusion Detection System (IDS)
adalah kumpulan teknik dan metode yang digunakan untuk
mendeteksi kegiatan yang mencurigakan di level jaringan dan host.
Terdapat dua macam IDS yaitu:
Network-based Intrusion Detection System (NIDS)
NIDS adalah intrusion detection sistem yang
menangkap paket data yang yang bergerak di suatu media
jaringan (kabel, nirkabel) dan mencocokkan paket data
tersebut dengan signature-signature yang terletak di database.
Bila paket data cocok dengan signature dari intruder maka
peringatan (alert) akan dibuat dan paket data akan disimpan ke
sebuah file atau database.
Host Intrusion Detection System (HIDS)
Host-based intrusion detecton systems atau HIDS
ditempatkan sebagai agen dari sebuah host. Intrusion detection
systems macam ini dapat melihat ke dalam file log dari sistem
dan aplikasi untuk mendeteksi segala kegiatan intrusi.
Beberapa dari sistem ini bersifat reaktif, yang berarti HIDS
hanya melaporkan user ketika serangan telah terjadi. Tetapi
31
ada beberapa pula yang bersifat proaktif yang dapat
mengendus traffic jaringan dari host tertentu yang telah
dipasang dengan HIDS dan melakukan peringantan secara real
time.
Terdapat beberapa perbedaan antara NIDS dan HIDS,
yang akan dijabarkan di tabel berikut:
Tabel 2.4 Perbedaan NIDS dan HIDS
NIDS HIDS
Ruang linkup yang luas,
mengamati semua aktivitas
jaringan
Ruang lingkup yang terbatas,
mengamati hanya aktivitas pada
host tertentu
Lebih mudah melakukan setup Setup lebih rumit
Lebih baik untuk mendeteksi
serangan yang berasal dari luar
jaringan
Lebih baik untuk mendeteksi
serangan yang berasal dari
dalam jaringan
Lebih murah untuk
diimplementasikan
Lebih mahal untuk
diimplementasikan
Pendeteksian berdasarkan apa
yang direkam dari aktivitas
jaringan
Pedeteksian berdasarkan pada
single host yang diamati semua
aktivitasnya
Menguji packet header Packet header tidak
diperhatikan
Respon yang real time Selalu merespon setelah apa
yang terjadi
OS independent OS spesifik
Mendeteksi serangan terhadap
jaringan serta payload untuk
dianalisis
Mendeteksi serangan lokal
sebelum mereka memasuki
jaringan
Mendeteksi usaha dari serangan
yang gagal
Memverifikasi sukses atau
gagalnya suatu serangan
32
Intrusion detection systems terbagi ke dalam dua katagori
pendekatan: intrusion detection system berbasis signature dan
anomaly detection systems berbasis profil. IDS juga dapat dikatakan
sebagai pencari aturan (pattern discovery) dan pengenalan aturan
(pattern recognition) dari suatu sistem. Pattern atau rule adalah
bagian yang paling penting dari Intrusion Detection System. Proses
dan mekanisme IDS dapat digambarkan sebagai berikut.
Gambar 2.11 Mekanisme Intrusion Detection System
Gambar diatas menunjukkan bahwa IDS terlebih dahulu
melakukan audit suatu paket data dan kemudian mempelajarinya
untuk disimpan di knowledge base IDS. Dari audit atau analisis paket
data yang diambil maka IDS dapat mengetahui aturan (rule) dari
pattern (pola) dan decision (keputusan) data tersebut. Pada tahap
akhir, IDS melakukan fungsi untuk memutuskan apakah paket data
tersebut dianggap sebagai ancaman atau tidak. Paket data yang
dianggap sebagai ancaman akan memicu alarm atau alert untuk
memberi notifikasi kepada pengguna akan ancaman yang sedang
PatternExtraction
TraningAuditData
FeatureExtraction
TrainingData &
Knowledge
MachineLearning &
Datamining &Statisticsmethods
ExpertKnowledge
& Rulecollection
& Ruleabstraction
Pattern &Decision
Rule
IntrusionDetectionSystem
PatternMatching
PatternRecognition
Discriminatefunction
Real-TimeAduit data
Alarms
Pass
33
dialami. Penjelasan mengenai beberapa istilah – istilah di dalam IDS
adalah sebagai berikut:
- Signatures
Signature adalah pola yang dicari yang berada di
dalam sebuah paket data. Signature digunakan untuk
mendeteksi satu atau lebih tipe ancaman serangan. Sebagai
contoh, potongan kata atau string “scripts/iisadmin” di
dalam paket data yang berada di jaringan akan memicu
peringatan tentang aktivitas intrusi.
- Alerts
Peringatan atau alerts adalah bentuk notifikasi yang
diberikan kepada user bila terjadi kegiatan intrusi. Ketika
IDS mendeteksi seorang penyusup atau intruder, IDS harus
memberi informasi kepada user dengan alert. Alert dapat
berbentuk jendela pop-up, melakukan logging ke console,
mengirim surak elektronik dan lainnya. Alerts juga dapat
disimpan ke dalam file log atau database.
- Logs
Pesan log pada umumnya disimpan dalam bentuk file.
Secara default Snort menyimpan pesan – pesan ini ke dalam
direktori /var/log/snort. Tetapi, lokasi dari pesan log dapat
dirubah menggunakan perintah ketika mengaktifkan Snort.
File log dapat disimpan dalam format teks atau biner. File
biner dapat dilihat menggunakan Snort atau program
tcpdump.
- False Alarms
False alarms adalah peringatan yang sebenarnya tidak
memiliki indikasi aktivitas intrusi. Ini dapat terjadi ketika
host internal yang tidak terkonfigurasi dengan baik sering
34
mengeluarkan pesan broadcast yang memicu salah satu rule
dari Snort dan mengeluarkan false alarms.
2.2.4 Snort
Snort adalah sebuah Network Based Intrusion Detection System
(NIDS) yang menggunakan deteksi berbasis signature. Snort
mengendus dan memeriksa paket data di suatu jaringan untuk
mencocokan dengan karakteristik atau ciri dari suatu ancaman
serangan. (Scott, Wolfe, Hayes, 2004,p12) Snort memiliki beberapa
keunggulan sebagai IDS, yaitu:
Dapat dikonfigurasi
Semua konfigurasi pada Snort dari file konfigurasi sampai
pada rules – rules yang menjadi dasar dari Snort sudah
tersedia dan dapat dirubah sesuai dengan keinginan user dari
IDS yang ingin diimplementasikan. Keunggulan lainnya
adalah, Snort memungkinkan user menambah atau menulis
rule sendiri bila terdapat jenis – jenis ancaman serangan yang
baru.
Gratis
Snort dirilis dengan menggunakan lisensi GNU GPL (General
Public License) yang berarti user dapat menggunakan Snort
secara bebas tanpa harus membayar biaya apapun.
Dapat berjalan pada sistem operasi yang berbeda-beda
Snort tidak hanya dapat berjalan di sistem operasi berbasis
Unix (termask Linux) tetapi juga dapat berjalan di sistem
operasi lainnya, seperti Windows.
Update secara berkala
Rules – rules yang digunakan Snort selalu diupdate dan
biasanya dirilis beberapa bulan sekali. Update tersebut
35
memperbahai rules dengan menambah signature – signature
dari ancaman serangan terbaru
2.2.5 Low Orbit Ion Cannon (LOIC)
LOIC (Low Orbit Ion Cannon) adalah salah satu alat untuk
melakukan serangan DoS yang ampuh dan tersedia secara gratis.
LOIC pada awalnya dikembangkan oleh perusahaan Praetox
Technologies sebagai alat stress testing sebelum dirilis ke publik. Alat
ini dapat melakukan serangan DoS sederhana dengan mengirim paket
data dalam jumlah banyak berupa paket UDP, TCP, atau permintaan
HTTP ke target yang diserang. Menurut Verma (2012: 1) keunggulan
dari alat LOIC, selain dapat digunakan secara gratis, cara
penggunaannya juga mudah. Namun LOIC memiliki kelemahan yaitu
mudahnya untuk mencari penyerang yang menggunakan alat ini. Ini
disebabkan karena setiap melakukan penyerangan, IP dari penyerang
tidak disamarkan dan terekspos ke pihak korban atau target.
2.3 Jurnal Ilmiah Mengenai Intrusion Detection System
A. (Gimenez, Villegas, Alvarez: An Anomaly-Based Approach for Intrusion
Detection in Web Traffic, 2010)
Sistem yang dikembangkan untuk mendeteksi serangan berbasis web
ini menggunakan pendekatan berbasis anomali, oleh karena itu serangan yang
dikenal atau belum dikenal dapat dideteksi. Sistem ini bergantung pada file
XML untuk mengklasifikasi permintaan (request) yang datang sebagai
permintaan normal atau anomali. Dengan file XML, yang dibuat dari traffic
normal, mengandung deskripsi dari perilaku dan kondisi normal dari aplikasi
web yang menjadi target. Semua permintaan yang menyimpang dari perilaku
normal akan dianggap sebagai ancaman serangan. Sistem ini telah
diaplikasikan untuk melindungi beberapa aplikasi web. Eksperimen yang
dilakukan menunjukkan ketika file XML mempunyai informasi yang cukup
untuk mencirikan perilaku normal dari aplikasi web yang menjadi target,
36
tingkat deteksi yang tinggi dapat dicapai dan jumlah notifikasi false positive
dapat ditekan.
B. (Hoque, Mukit, Bikas: An Implementation of Intrusion Detection System
Using Genetic Algorithm, 2012)
Di sistem Intrusion Detection System ini diimplementasikan
menggunakan aplikasi genetic algorithm (GA) atau algoritma genetik.
Dengan pendekatan algoritma genetik, segala ancaman serangan atau intrusi
dapat dideteksi secara efisien. Pendekatan ini adalah bentuk evolusi dari teori
evolusi informasi yang digunakan untuk menyaring traffic data sehingga
mengurangi tingkat kerumitan. Algoritma genetik adalah teknik
pemrograman dengan meniru teori evolusi biologis sebagai strategi
pemecahan masalah. Teknik yang berdasarkan teori yang dikemukakan
Charles Darwin ini mengambil prinsip evolusi dan survival of fittest dimana
yang terkuat yang dapat bertahan. GA menggunakan evolusi dan seleksi
natural yang menggunakan struktur data berbentuk seperti kromosom. Fungsi
evaluasi digunakan untuk melakukan kalkulasi seberapa baik kondisi tiap
kromosom dalam solusi - solusi yang diinginkan. Fungsi ini dikenal dengan
“fitness function”. Ketika GA digunakan untuk mendapatkan solusi dari
masalah yang ada, tiga faktor mempunyai dampak di seberapa efektif
algoritma dan aplikasi yang digunakan: fitness function, perwakilan dari
individual, dan parameter GA. Ketiga faktor tersebut yang bergantung dengan
aplikasi dan bagaimana implementasi dilakukan.
C. (Peddabachigari, Abraham, Grosan, Thomas: Modelling Intrusion
Detection System Using Hybrid Intelligent Systems, 2005)
Di dalam jurnal ini, dilakukan dua pendekatan untuk melakukan
pemodelan intrusion detection system. Decision trees (DT) dan support
vector machines (SVM) dikombinasikan sebagai model hirarki hibrida yang
pintar (DT-SVM) yang kemudian dikelompokkkan untuk menjadi suatu
pendekatan klasifikasi dasar. Melalui pendekatan ini didapatkan hasil terbaik
untuk mendeteksi serangan kelas probe dan R2U (remote to user).
37
Pendekatan ini mencapai tingkat 100% untuk keakuratan dalam mendeteksi
kelas probe dan tidak menutup kemungkinan untuk dapat meraih hasil yang
di kelas lainnya.