TESTING PENETRASI SERVER PROXY PADA WARNET GALERI INFORMATIKA KECAMATAN SEMIN

KABUPATEN GUNUGKIDUL

NASKAH PUBLIKASI

diajukan oleh Adam Ghifari Nuskara

09.11.2670

kepada JURUSAN TEKNIK INFORMATIKA

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER AMIKOM YOGYAKARTA

YOGYAKARTA 2014

PROXY SERVER PENETRATION TESTING OF WARNET GALERI INFORMATIKA IN KECAMATAN SEMIN

GUNUNGKIDUL REGENCY

TESTING PENETRASI SERVER PROXY PADA WARNET GALERI INFORMATIKA KECMATAN SEMIN

KABUPATEN GUNUNGKIDUL

Adam Ghifari Nuskara Melwin Syafrizal

Jurusan Teknik Infomatika STMIK AMIKOM Yogyakarta

ABSTRACT

In the world of computer networks, a proxy server is required for bandwidth savings also bandwith management. Proxy has the ability to create a data cache, so the request is not always served to the main server. So, users in the network feel faster access. From the users side, it is likely actions a user performs experiments infiltrate or damage a system by exploiting security holes. Network administrator, in this case the Warnet Galeri Informatika, has been aware of the party who intends to destroy the system. He never found the existence of the proxy server login attempts. This paper discusses the security analysis on the proxy server. Vulnerability scanning is performed to determine the vulnerability of the system. Then do the verification results of the vulnerability analysis by means of the penetration test. In conclusion, the recommendation would be to follow up the results presented proof. Keywords: computer networking, vulnerability, security, penetration test

1. Pendahuluan 1.1 Latar Belakang

Warnet Galeri Informatika terletak di dusun Karangasem, desa Bulurejo,

Kecamatan Semin, Kabupaten Gunungkidul. Warnet ini memiliki sembilan komputer

client. Tidak hanya melayani keperluan browsing, namun juga game online. Galeri

Informatika adalah warnet kedelapan di kecamatan Semin, sekaligus menjadi yang

terakhir berdiri hingga saat ini.

Muncul usaha yang diduga sengaja dilakukan untuk merugikan Warnet Galeri

Informatika dalam persaingan ini. Menurut pengakuan administrator, pernah ada

percobaan login terhadap server proxy oleh orang yang tidak diketahui.

Mengetahui permasalahan berupa ancaman keamanan tersebut, penulis

melakukan penelitian dengan objek server proxy Warnet Galeri Informatika. Dari

penelitian ini, penulis ingin mengetahui kelemahan pada objek dan bagaimana cara

menanggulanginya, kemudian memberikan rekomendasi kepada administrator jaringan di

lokasi objek.

1.2 Metode Penelitian Penyusunan laporan penelitian ini menggunakan metode-metode sebagai

berikut.

1. Metode Penetration Testing Execution Standard (PTES)

a. Pre-engagement interactions; aspek persetujuan dengan klien.

b. Intellegence gathering; pengumpulan informasi tentang target.

c. Vulnerability analysis; melakukan analisa kerentanan.

d. Threat modelling; menyusun rencana pembuktian.

e. Exploitation; implementasi rancangan pembuktian.

f. Post exploitation; memanfaatkan kerentanan lebih lanjut.

g. Reporting; menyampaikan laporan analisis dan pembuktian.

2. Metode Wawancara

Wawancara terhadap administrator jaringan Warnet Galeri Informatika

untuk mengetahui topologi jaringan, manajemen jaringan dan konfigurasi

jaringan.

3. Metode Kepustakaan

Mempelajari materi dari sumber buku yang valid dan jelas.

2. Landasan Teori 2.1 Penetration Test Penetration testing atau uji penetrasi adalah cara untuk mensimulasikan metode

yang mungkin digunakan seorang penyerang untuk menghindari kontrol keamanan dan

mendapatkan akses ke organisasi sistem1.

                                                            1 David Kennedy,et.al, Metasploit The Penetration Tester Guide, hal.1

1

 

Penetration testing dinilai perlu dilakukan sebagai upaya uji keamanan sistem

teknologi informasi bagi organisasi atau perusahaan, seperti yang diperjelas oleh kutipan

berikut ini.

Penilaian keamanan merupakan langkah awal yang bagus bagi sebuah organisasi yang sangat mempertimbangkan pentingngya pemahaman keamanan pada jaringan mereka. Praktek yang sangat direkomendasikan adalah individu-individu di luar organisasi Anda menjalankan penilaian keamanan setiap tahunnya. Karena itu, ada evaluasi yang objektif dan transparan pada keamanan Anda, dan karena kerentanan selalu ditemukan, maka jaringan Anda akan sering dievaluasi untuk mengetahui efektivitasnya. (Thomas, 2005: 419)

2.2 Legalitas Penetration Test Tindakan yang termasuk dalam kegiatan penetration testing, aspek hukumnya

telah diatur pada bab VII Perbuatan yang Dilarang, dalam pasal 30 Undang-undang

Republik Indonesia Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik

(UU ITE).

(1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.

(2) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.

(3) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.

Kegiatan ini sah dan tidak melawan hukum karena penulis dan pengelola sistem

membuat kesepakatan secara tertulis tentang poin-poin kegiatan penetration testing yang

akan dilakukan.

2.3 Perangkat Penetration Test a. Nessus

Nessus adalah aplikasi pemindai kerentanan sistem dari Tenable Security

(http://www.tenable.com/products/nessus). Dapat digunakan untuk mengaudit

keamanan sistem seperti menemukan vulnerability, mengetahui konfigurasi yang

salah dan security patch yang belum diaplikasikan. b. Kali Linux

Kali Linux adalah sistem operasi yang merupakan salah satu distro Linux, dan

dikembangkan untuk penetration testing. Sistem operasi ini merupakan kelanjutan

dari BackTrack Linux yang terakhir, yaitu versi 5R3.

c. Metasploit

Metasploit adalah perangkat lunak yang digunakan untuk menguji coba keamanan

suatu sistem dengan cara mengeksploitasi kerentanan. Bukan hanya alat,

2

 

Metasploit merupakan framework yang menyediakan infrastruktur untuk keperluan

yang kompleks dalam hal penetrasi keamanan2.

d. Paragon Hard Disk Manager

Paragon HD Manager adalah aplikasi manjemen hard disk (http://www.paragon-

software.com). Salah satu fungsinya untuk membuat salinan dari sebuah partisi hard

disk, bahkan dapat menyalin isi satu hard disk utuh sama persis, atau yang sering

disebut cloning.

e. Oracle VM Virtual Box

Virtual Box adalah aplikasi free yang dapat menjalankan komputer virtual di dalam

komputer sesungguhnya. Pengguna dapat menjalankan lebih dari satu komputer

virtual, dan antarkomputer tersebut dapat berhubungan karena mendukung LAN

virtual. Penulis menggunakan aplikasi ini untuk melakukan simulasi penetration

testing.

f. Nmap

Nmap (Network Mapper) adalah perangkat lunak bersifat open source untuk

eksplorasi dan audit keamanan jaringan. Melalui aplikasi ini, pengguna dapat

mengetahui host yang tersedia dalam jaringan dan layanan yang tersedia3.

2.4 Proxy Di dalam konteks jaringan komputer, server merupakan sistem komputer yang

menyediakan jenis layanan tertentu dalam jaringan. Server menjalankan perangkat lunak

administratif yang mengontrol akses terhadap jaringan dan sumber daya yang terdapat di

dalamnya.

Dalam penelitian ini, penulis membahas proxy dengan mesin Squid. Karena

server proxy pada objek penelitian menggunakan Squid yang berdiri di atas sistem

operasi Ubuntu Server 12.04. 2.5 Jenis Serangan Banyak macam serangan terhadap jaringan komputer. Namun serangan-

serangan yang ada dapat dikelompokkan menjadi tiga kategori; intrusion, Denial of

Service (DoS), dan information theft.

Intrusion adalah usaha untuk masuk dan atau menyalahgunakan sistem yang

ada. Penyerang mempunyai berbagai macam cara untuk mendapatkan akses ke suatu

sistem komputer, salah satunya dengan identifikasi pengguna yang memiliki akses

terhadap suatu sistem.

Serangan Denial of Services (DoS) adalah salah satu contoh jenis serangan

yang dapat mengganggu infrastruktur dari jaringan komputer, serangan jenis ini memiliki

suatu pola khas, dimana dalam setiap serangannya akan mengirimkan sejumlah paket

                                                            2 David Kennedy,et.al, Metasploit The Penetration Tester Guide, hal. xxii 3 http://nmap.org/man/id/index.html#man-description, diakses pada 6 Juni 2013

3

 

data secara terus-menerus kepada target serangannya. Macam-macam serangan DoS

adalah Ping of Death, SYN Attack, dan Smurf Attack

3. Analisis dan Perancangan Sistem 3.1 Pre-engagement Interactions Manager Warnet Galeri Informatika telah menyetujui rencana proyek penetration

testing di Warnetnya setelah diadakan pembicaraan. Persetujuan tersebut tertera dalam

Dokumen Perjanjian Kerjasama Penelitian Mahasiswa terlampir.

Berdasarkan hasil wawancara, penulis mendapat beberapa informasi. Yang

pertama adalah topologi LAN. Detailnya dapat dilihat pada gambar berikut ini.

Gambar 3.1 Topologi LAN Warnet Galeri Informatika

3.2 Intellegence Gathering Dari gambar di bawah ini dapat diketahui jumlah komputer klien yang aktif dalam

LAN warnet Galeri Informatika sebanyak tujuh host. Host beralamat 192.168.99.15

adalah laptop milik penulis yang digunakan untuk scanning. Host beralamat 192.168.99.1

adalah router Mikrotik. Host beralamat 192.168.99.254 adalah komputer operator. Selain

ketiga host yang disebut, semuanya adalah komputer klien.

Gambar 3.2 Nmap terhadap LAN Warnet

Dalam metode penetration testing, langkah mengetahui sistem operasi target

atau OS footprinting termasuk dalam bagian intelligence gathering.

4

 

Berdasarkan scanning yang dilakukan dengan Zenmap, server proxy diketahui

menggunakan sistem operasi Linux dengan kernel versi 2.6.32. Jika ditambah

keterangan dari administrator, diketahui sistem operasinya adalah Ubuntu Server 12.04.

Dapat diketahui bahwa server proxy dengan IP address 192.168.89.2

mempunyai 4 port aktif saat dilakukan scan. Maka dapat diketahui layanan yang tersedia

pada server ini adalah sebagai berikut.

1. File Transfer Protocol (FTP) pada port 21, digunakan untuk transfer data.

2. Secure Shell (SSH) pada port 22, digunakan untuk remote server dari

perangkat lain.

3. HTTP pada port 80 dan 3128, sebagai layanan proxy web-cache.

Gambar 3.3 Port yang terbuka pada server proxy

3.3 Vulnerability Analysis Penulis menggunakan perangkat lunak Nessus untuk melakukan pemindaian.

Langkah pertama adalah mengaktifkan layanan Nessus pada Kali Linux dengan perintah

“/etc/init.d/nessusd start”, kemudian remote Nessus dari web browser.

Policy scan adalah setting parameter untuk pencarian kerentanan. Setting

disesuaikan dengan target yang akan diperiksa dan sesuai kebutuhan. Pada bagian

Scan, opsi Safe Checks diaktifkan untuk menghindari lumpuhnya target saat proses

scanning. Meskipun menurut persetujuan dimana scanning dilakukan saat Warnet sepi

pengunjung, antisipasi terhadap kerusakan target perlu dilakukan.

Gambar 3.4 Membuat policy scan di Nessus

5

 

Meninjau kembali pada sub-bab sebelumnya, temuan masalah pada tahap

intelligence gathering akan digabung bersama keempat poin kerentanan yang

mempunyai faktor resiko. Himpunan informasi yang berasal dari information gathering

dan vulnerability assesment ini selanjutnya disebut sebagai variabel kerentanan.

Tabel 3.1 Variabel Kerentanan

No Variabel Referensi Sifat Deskripsi 1 Kemungkinan

penyusup di LAN Tabel 3.3 Fisik Pengunjung Warnet

dapat membawa laptop untuk sabotase LAN. Kabel UTP mudah dipindahkan ke laptop pengunjung.

2 Kemungkinan eksploitasi celah keamanan FTP

CVE-1999-0497

Sistem Login FTP oleh anonymous diizinkan. Risk factor: medium.

3 Kemungkinan eksploitasi SSH dari identifikasi tipe dan versi layanan

Plugin Nessus nomor 10267, sub-bab 3.4.3, hasil scan nmap

Sistem Tipe dan versi server SSH dapat diidentifikasi . Risk factor: low

4 Kemungkinan eksploitasi port 80 web server; Apache

Sub-bab 3.4.3, hasil scan nmap

Sistem Layanan Apache 2.2 dapat dimanfaatkan untuk mengeksploitasi server

5 Kemungkinan eksploitasi port 3128; squid proxy

CVE-2007-3008

Sistem layanan transparent proxy squid dapat dimanfaatkan untuk mengeksploitasi server

3.4 Threat Modelling Langkah selanjutnya adalah merancang cara untuk membuktikan kebenaran dari

hipotesis. Pembuktian hipotesis bersifat percobaan langsung terhadap target.

Tabel 3.7 Perancangan Pembuktian / Threat Modeling

No Variabel Cara Pembuktian

Deskripsi Indikator

1 Kemungkinan penyusup di LAN

Serangan fisik a. Penulis bertindak sebagai pengunjung membawa laptop,

b. memindahkan kabel UTP ke laptop,

c. berusaha bergabung ke LAN

a. dapat bergabung dalam LAN

b. mendapat akses internet tanpa diketahui operator

2 Kemungkinan eksploitasi celah keamanan FTP

Metasploit Menggunakan modul “exploit/unix/ftp/vsftpd_234_backdoor”

Command shell didapatkan

3 Kemungkinan eksploitasi SSH dari identifikasi

Metasploit Menggunakan modul “exploit/unix/ssh/tec

Command shell didapatkan

6

 

tipe dan versi layanan

tia_passwd_changereq”

4 Kemungkinan eksploitasi port 80 seb server; Apache

Metasploit Menggunakan modul “exploit/multi/http/phpmyadmin_3522_backdoor”

Command shell didapatkan

5 Kemungkinan eksploitasi port 3128; squid proxy

Metasploit Menggunakan modul “exploit/linux/proxy/squid_authenticate_ntlm”

Command shell didapatkan

4. Implementasi dan Pembahasan 4.1 Eksploitasi Fisik Sebagai pembuktian threat modelling pada poin pertama, penulis akan mencoba

eksploitasi terhadap kerentanan secara fisik. Langkah-langkahnya sebagai berikut.

1. Penulis datang ke Warnet Galeri Informatika sebagai user di komputer klien

nomor 5.

2. Kabel UTP pada komputer klien nomor 5 dipindahkan ke laptop milik

penulis. Konfigurasi diatur hingga laptop dapat terkoneksi dengan LAN.

3. Jika berhasil, artinya penulis mendapat peluang mengeksploitasi jaringan

dari dalam LAN, khususnya server proxy.

4. Memastikan upaya menyusup ke LAN tidak diketahui oleh operator.

Dari percobaan di atas, dapat disimpulkan menjadi beberapa hal berikut.

1. Dengan kemudahan akses seperti ini, siapapun dapat mempunyai peluang

mengeksploitasi jaringan LAN Warnet termasuk perangkat-perangkatnya.

2. Perancang jaringan Warnet Galeri Informatika tidak memperhitungkan

kebijakan keamanan berupa penyusupan ke LAN oleh pengguna Warnet.

3. Administrator jaringan tidak menerapkan pembatasan akses user di PC

klien terhadap Command Prompt dan Control Panel.

4. Administrator jaringan tidak menerapkan MAC address filtering untuk

membatasi komputer yang hanya boleh bergabung dalam LAN.

5. Aplikasi billing server di komputer operator masih memiliki kelemahan,

yaitu tidak ada peringatan atau notifikasi sebagai peringatan kecurangan

tertentu. Akibatnya, operator tidak akan tahu jika ada klien yang off

sementara dan ternyata berbuat curang.

4.2 Eksploitasi Otomatis Yang dimaksud eksploitasi secara otomatis adalah penulis membolehkan

Metasploit untuk memilih modul-modul serangan. Dari hasil scan, Metasploit akan

memilih modul-modul serangan yang relevan atau mendekati akurat. Operasi ini

dilakukan melalui antarmuka web.

7

 

Dari hasil eksploitasi otomatis ini tidak berhasil mengambil alih server target.

Modul-modul lain yang dipilih oleh Metasploit tidak dapat bereaksi pada server target.

Gambar 4.1 Proses eksploitasi otomatis oleh Metapsloit

4.3 Reporting Dari analisa kerentanan yang sudah dilakukan pada sub bab 3.5, dapat dibuat

laporan secara otomatis. Laporan dengan format RTF ini cukup detail, sehingga

informasinya dapat dipahami dengan mudah.

Gambar 4.2 Tampilan report Nessus dalam format RTF

Demikian juga dengan Metasploit. Dari uji eksploitasi yang sudah dilakukan,

dapat dibuat laporan secara otomatis.

Gambar 4.24 Mengunduh custom report Metasploit

Dari serangkaian kegiatan penetration testing, terbukti bahwa server proxy

Warnet Galeri Informatika tidak dapat ditembus keamanannya. Hipotesis berupa variabel

kerentanan yang didapatkan dari scanning Nessus, tidak terbukti rentan bagi server.

8

 

Penulis merekomendasikan administrator jaringan untuk melakukan upaya

berikut ini.

1. Melakukan evaluasi kebijakan keamanan untuk mengurangi resiko

penyalahgunaan hak akses, seperti yang telah dibuktikan penulis pada sub

bab 4.1.1.

2. Menerapkan pembatasan akses untuk user di PC klien terhadap Command

Prompt dan Control Panel.

3. Menerapkan MAC address filtering dan IP address filtering.

4. Memilih aplikasi billing Warnet yang berkualitas dan mendukung upaya

keamanan.

5. Menerapkan syslog server untuk mendokumentasikan secara terpusat dari

log-log perangkat yang ada seperti router dan server. Hal ini dimaksudkan

agar mempermudah kontrol terhadap usaha login oleh user yang tidak

berhak

6. Menerapkan Intrusion Detection System (IDS) misalnya Snort, untuk

mengantisipasi serangan Denial of Service (DoS).

7. Menonaktifkan service yang tidak diperlukan; yaitu service FTP pada port

21.

8. Meskipun hipotesis kerentanan tidak terbukti bagi server proxy, namun

administrator perlu rutin cek celah keamanan. Ikuti informasi dari situs cve-

mitre.org, cvedetails.com, exploit-db.com dan situs informasi keamanan

lainnya. Bila diperlukan, segera lakukan update atau patch.

5. Penutup 5.1 Kesimpulan

1. Tujuan penelitian tercapai. Kegiatan testing penetrasi menggunakan metode

Penetration Testing Execution Standard (PTES) berhasil dilakukan untuk analisis

keamanan jaringan, khususnya server proxy di Warnet Galeri Informatika.

2. Empat dari lima hipotesis tidak terbukti. Penulis dapat membuktikan hipotesis

kerentanan LAN secara fisik, namun tidak berhasil membuktikan hipotesis

kerentanan sistem pada server proxy.

3. Adapun celah keamanan terdapat pada pengelolaan LAN secara fisik. Hipotesis

kerentanan berupa penyalahgunaan hak akses pengguna, telah terbukti pada

sub bab 4.1.1.

4. Rekomendasi untuk memperbaiki kondisi yang terbukti rentan, telah disampaikan

penulis pada sub bab 4.2.4.

9

 

5.2 Saran 1. Peneliti selanjutnya dapat membuat skenario analisis kerentanan dan percobaan

serangan dari luar LAN. Hal ini berguna untuk testing kekuatan router atau

perangkat lain.

2. Peneliti selanjutnya dapat melakukan kegiatan testing penetrasi dengan metode

selain PTES, misalnya National Institute of Standard Technology (NIST)

Guideline in Network Security. Tujuannya untuk membandingkan metode yang

tepat dan efisien jika diterapkan untuk kasus serupa.

3. Untuk testing penetrasi dengan lingkup yang lebih luas, misalkan sistem

informasi manajemen, metode lain yang dapat dipakai adalah Open Web

Application Security Project (OWASP). Selain itu juga ada Offensive Web Testing

Framework (OWTF) untuk sistem berbasis web.

10

 

11

 

DAFTAR PUSTAKA

Ali, S. dan Haryanto, T. 2011. BackTrack 4: Assuring Security by Penetration Testing.

PACKT Publilshing, Birmingham

Ariyus, D. 2006. Internet Firewall. Graha Ilmu, Yogyakarta

Kennedy, D. 2011. Metasploit The Penetration Tester Guide. No Starch Press, San

Fransisco

Massandi, D. Algoritma Elgamal Dalam Pengamanan Pesan Rahasia.

http://informatika.stei.itb.ac.id/~rinaldi.munir/Matdis/2009-

2010/Makalah0910/MakalahStrukdis0910-056.pdf, diakses tanggal 6 Oktober

2013

Plummer, C. An Ethernet Address Resolution Protocol or Converting Network Protocol

Addresses. http://tools.ietf.org/html/rfc826, diakses tanggal 7 Juni 2013

Pratomo, B. dan Djanali, S. Pengalihan Paket ke Honeypot Pada Linux Virtual Server

Untuk Mengatasi Serangan Ddos.

http://si.its.ac.id/data/sisfo_data/files/7_vol4no1.pdf, diakses tanggal 6 Oktober

2013

Sofana, I. 2010. Cisco CCNA dan Jaringan Komputer. Penerbit Informatika, Bandung

Sucipta, I. dan Wirawan, I. Analisis Kinerja Anomaly-Based IDS Dalam Mendeteksi

Serangan DoS Pada Jaringan Komputer.

http://ojs.unud.ac.id/index.php/JLK/article/download/4894/3677, diakses pada 6

Oktober 2013

Syafrizal, M. 2005. Pengantar Jaringan Komputer. ANDI offset, Yogyakarta

Thomas, T. 2005. Network Security First Step. Penerbit ANDI, Yogyakarta.

Yugopuspito, P. dan Prananda M. 2012. Skenario Pengujian Identity-Based

Encryption Multisignature Proxy.

http://dspace.library.uph.edu:8080/bitstream/123456789/895/2/jiik-08-02-2012-

skenario_pengujian_identity_based-encryption.pdf, diakses tanggal 6 Oktober

2013