LAPORAN PENELITIAN DOSEN

Transkripsi

1 Teknik LAPORAN PENELITIAN DOSEN MODEL PENGUJIAN KEAMANAN JARINGAN WLAN MELALUI PENETRATION TESTING METHODS GUNA PENINGKATAN PENGAMANAN SISTEM JARINGAN DARI TINDAKAN HACKING Oleh : Bambang Pujiarto, S.Kom NIS Fakultas Teknik Nuryanto, ST., M.Kom. NIS Fakultas Teknik Dibiayai Fakultas Teknik Universitas Muhammadiyah Magelang Tahun Anggaran 2012/2013 UNIVERSITAS MUHAMMADIYAH MAGELANG JULI, 2013

2 ii

3 RINGKASAN WirelessLocal Area Network (WLAN) merupakan bentuk jaringan komputer lokal yang menggunakan media transmisi wireless atau nirkabel. WLAN banyak dijumpai diberbagai tempat umum yang menyediakan akses informasi. Saat ini layanan akses informasi semakin dipermudah dengan banyaknya produk-produk alat komunikasi yang menyediakan fitur Wi-Fi. Infrastruktur jaringan WLAN (Wireless LAN) sudah distandarkan dengan nama IEEE Meskipun memiliki kelebihan dalam fleksibilitas namun jaringan ini sangat rentan terhadap serangan penyusup atau tindakan hacking. Apabila sudah terkena serangan tersebut, maka jaringan akan menjadi lemah yang kemungkinan dapat mengakibatkan sistem jaringan mati atau tidak berfungsi. Kemungkinan lain apabila jaringan ini terhubung dengan sistem informasi dan database maka dapat membahayakan data-data penting dalam sistem tersebut. Di Universitas Muhammadiyah Magelang, WLAN digunakan untuk kebutuhan akses internet atau layanan hotspot bagi mahasiswa, dosen dan karyawan. Namun dalam operasionalnya sering muncul beberapa keluhan seperti akses internet yang lambat, jaringan mengalami penurunan kinerja (down) sampai adanya serangan malware pada komputer pengguna. Sampai saat ini, keluhan-keluhan tersebut belum dapat teratasi karena belum diketahui dengan pasti penyebabnya. Sehubungan dengan hal tersebut, maka akan dilakukan evaluasi untuk mengetahui kondisi WLAN yang ada di Universitas Muhammadiyah Magelang. Evaluasi dilakukan dengan menggunakan metode penetration testing yaitu dengan mensimulasikan bentuk serangan terhadap sistem jaringan. Tindakan penetrasi terhadap jaringan di sebuah institusi perlu adanya jaminan hukum terhadap pelaku dan pihak target penetrasi. Metode penelitian ini menggunakan tiga fase yang terdiri preparation, assessment dan reporting. Tahap pertama yaitu fase preparation mencakup perihal yang harus dipersiapkan sebelum melakukan pengujian kemudian dilanjutkan tahap assessment yaitu tahap pengumpulan informasi dan analisis hingga tindakan serangan terhadap sistem. Tahap terakhir yaitu fase reporting dengan membuat laporan evaluasi secara formal. Pengujian yang dilakukan akan menghasilkan dokumen evaluasi yang berguna bagi pihak pengelola jaringan di Universitas Muhammadiyah Magelang. Selain menghasilkan dokumen evaluasi juga akan menghasilkan cetak biru penetration testing untuk institusi. iii

4 KATA PENGANTAR Alhamdulillah puji syukur kehadirat Allah SWT, dengan limpahan rahmat dan karunia-nya dapat terselesaikan penelitian yang berjudul Model Pengujian Keamanan Jaringan WLAN Melalui Penetration Testing Methods Guna Peningkatan Pengamanan Sistem Jaringan dari Tindakan Hacking Tidak lupa diucapkan pada pihak-pihak yang telah berperan dalam manedukung keberhasilan penelitian ini diantaranya : 1. Rektor Universitas Muhammadiyah Magelang 2. Ketua LP3M Universitas Muhammadiyah Magelang 3. Dekan Fakultas Teknik Universitas Muhammadiyah Magelang 4. Kepala Biro TIK Universitas Muhammadiyah Magelang Semoga hasil penelitian ini bermanfaat bagi semua pihak yang terkait. Magelang, Juli 2013 iv

5 DAFTAR ISI HALAMAN SAMPUL... HALAMAN PENGESAHAN... RINGKASAN... KATA PENGANTAR... DAFTAR ISI... BAB 1 PENDAHULUAN... A. Latar Belakang... B. Rumusan Masalah... C. Tujuan Penelitian... D. Target Luaran... E. Kontribusi terhadap Ilmu Pengetahuan... BAB 2 TINJAUAN PUSTAKA... A. Penelitian Relevan... B. WLAN/ C. Protokol D. Keamanan Jaringan WLAN... E. Penetration Testing... F. Vulnerability level... G. Wlan Security Assessment... H. Action Research... I. Metode Mile dan Huberman... J. Undang-Undang ITE... i ii iii iv v BAB 3 METODE PENELITIAN... A. Jenis Penelitian... B. Waktu dan Tempat Penelitian... C. Variabel dan Definisi Operasional Variabel Penelitian... D. Instrumen Penelitian v

6 E. Pengumpulan Data... F. Pengolahan Data BAB 4 HASIL DAN PEMBAHASAN... A. Gamabaran Umum... B. Analisis dan Rancangan Sistem... C. Implementasi... D. Analisis Hasil BAB 5 PENUTUP... A. Kesimpulan... B. Saran DAFTAR PUSTAKA LAMPIRAN vi

7 BAB I PENDAHULUAN A. Latar Belakang WLAN merupakan alternatif dalam mengatasi masalah pengkabelan dalam suatu jaringan lokal. Dengan tidak menggunakan kabel sebagai media transmisi, maka lebih mudah untuk menghubungkan beberapa komputer dalam jaringan yang memiliki tata ruang lebih kompleks. Gambaran ini dapat dilihat di area kampus yang memiliki beberapa ruang dan tempat untuk mengakses jaringan hotspot. Kelebihan penggunaan jaringan WLAN juga banyak dimanfaatkan pelaku bisnis dalam menyediakan layanan akses internet kepada pengguna umum seperti tempat hiburan, perbelanjaan, rumah makan, kafe, bandara dan tempat-tempat umum lainnya. WLAN lebih fleksibel digunakan untuk jaringan yang diakses secara umum dibandingkan dengan jaringan kabel. Dengan mudahnya pengguna umum terhubung dengan jaringan WLAN tentunya masalah keamanan perlu diperhatikan, apalagi di dalam sebuah korporasi atau sebuah lembaga yang peduli dengan keamanan data. WLAN merupakan jaringan wireless yang menggunakan gelombang radio sebagai media transmisi, sehingga akan lebih mudah dimasuki oleh penyusup dan serangan yang berasal dari semua arah (Thomas, 2005), sehingga sistem jaringan akan rentan terhadap berbagai bentuk tindakan hacking. Dalam hal ini perlu adanya aturan terhadap sistem jaringan untuk menjaga availibility dan reliability jaringan WLAN. Universitas Muhammadiyah Magelang merupakan salah satu instansi yang menerapkan WLAN untuk kebutuhan akses internet di lingkungan kampus. Namun dalam operasionalnya sering dijumpai masalah seperti akses internet yang lambat, jaringan mengalami penurunan kinerja (down) sampai adanya serangan malware pada komputer pengguna. Sampai saat ini permasalahan tersebut belum dapat teratasi, meskipun jaringan WLAN yang ada di Universitas Muhammadiyah Magelang dikelola oleh sejumlah tenaga administrasi jaringan di bawah Manajemen Biro Teknologi Informasi dan Komunikasi (TIK). 1

8 2 Guna mengatasi permasalahan tersebut, maka perlu dilakukan suatu evaluasi terlebih dahulu untuk mengetahui kelayakan sistem WLAN. Salah satu metode yang digunakan untuk mengevaluasi sistem WLAN tersebut adalah tindakan penetrasi secara legal atau dengan metode penetration testing. Metode penetration testing dilakukan dengan cara mensimulasikan bentuk-bentuk serangan terhadap jaringan komputer. Menurut Chow (2011) dalam penelitiannya yang berjudul Ethical Hacking & Penetration Testing menyimpulkan bahwa ethical hacking dan penetration testing dianggap sebagai cara yang efisien dan efektif dalam mengatasi celah keamanan. B. Rumusan Masalah Berdasarkan latar belakang masalah di atas, maka permasalahan yang akan dibahas dalam penelitian ini dirumuskan sebagai berikut. 1. Bagaimana melakukan tindakan evaluasi terhadap keamanan jaringan WLAN di Universitas Muhammadiyah Magelang dengan metode penetration testing? 2. Bagaimana membuat sebuah framework untuk penetration testing jaringan WLAN? C. Tujuan Penelitian Penelitian ini memiliki tujuan sebagai berikut. 1. Melakukan tindakan evaluasi terhadap keamanan jaringan WLAN di Universitas Muhammadiyah Magelang dengan menggunakan metode penetration testing. 2. Membuat framework untuk penetration testing jaringan WLAN di Universitas Muhammadiyah Magelang. D. Target Luaran Target luaran penelitian ini adalah : 1. Dapat dijadikan metode evaluasi keamanan jaringan sehingga memudahkan pengelola jaringan untuk meningkatkan keamanan jaringan.

9 3 2. Menjadi acuan bagi penanggung jawab dan pengelola jaringan WLAN di Universitas Muhammadiyah Magelang untuk menentukan kebijakan dalam mengamankan sistem jaringan. 3. Dapat dijadikan cetak biru penetration testing untuk sebuah institusi. E. Kontribusi Ilmu Pengetahuan Kontribusi hasil penelitian bagi ilmu pengetahuan adalah sebagai bahan pembelajaran bagi para mahasiswa tentang keamanan jaringan wireless khususnya penerapan penetration testing.

10 BAB II TINJAUAN PUSTAKA A. Penelitin Relevan Penelitian ini akan mengacu pada beberapa penelitian yang pernah dilakukan berkaitan dengan keamanan jaringan wireless dan metode penetration testing, antara lain: 1. Emily Chow (2011) dalam judul Ethical Hacking & Penetration Testing, menyimpulkan bahwa ethical hacking dan penetration testing dianggap sebagai cara yang efisien dan efektif dalam mengatasi celah keamanan dan kelemahannya sebelum adanya tindakan eksploitasi dari hacker jahat. 2. Aileen G. Bacudio (2011) dalam judul An Overview Of Penetration Testing, menyimpulkan tentang metode penetration testing merupakan metode yang komprehensif untuk mengidentikifasi kerentanan sistem. 3. Reza Jalaluddin Al-Haroh (2012) Wardriving Dan Testing Penetrasi Wi- Fi Lanjut Di Wilayah Kota Yogyakarta, menerapkan konsep penetration testing dapat digunakan dalam menganalisis keamanan jaringan wireless. B. WLAN/ WLAN ditetapkan dengan standar oleh IEEE. Menurut Roshan (2003) jaringan nirkabel memiliki jenis topologi : 1. Independent Basic Service Sets (IBSSs) Bentuk jaringan ini terdiri dari beberapa station yang saling berkomunikasi secara langsung disebut juga jaringan ad-hoc. A B C Gambar 2.1. Topologi IBSS 4

11 5 Gambar diatas menggambarkan tiga buah perangkat yang saling terhubung secara langsung melalui interface jaringan. 2. Basic Service Sets (BSSs) Topologi BSS membutuhkan sebuah station sebagai pusat komunikasi beberapa kelompok station. Perangkat yang digunakan sebagai pusat komunikasi dan sebagai perantara disebut dengan access point(ap). Gambar 2.2. Topologi BSS 3. Extended Service Sets (ESSs) Jaringan yang terbentuk pada BSS dapat digabungkan dengan BSS lainnya sehingga membentuk topologi ESS. Topologi ini terdiri dari beberapa access point yang saling terhubung melalui distribution system (DS). Gambar 2.3. Topologi ESS

12 6 C. Protokol Menurut Flickenger dkk (2005) keluarga protokol yang banyak diimplementasikan pada peralatan wireless memiliki beberapa jenis protokol diantaranya: a Perangkat dengan standar ini memiliki kecepatan maximum data 54 Mbps dengan throughputsampai setinggi 27 Mbps. Peralatan ini beroperasi di ISM band antara GHz dan 5.805GHz b Kecepatan maximum dari standar ini adalah 11 Mbps sementara kecepatan sebenarnya mencapai 5 Mbps. Band yang digunakan adalah GHz hingga GHz g Kecepatan maximum mencapai 54 Mbps dan troughput mencapai 22 Mbps. Kecepatan bisa turun 11 Mbps sesuai dengan b dan band yang digunakan sama dengan b. D. Keamanan jaringan WLAN Jaringan nirkabel merupakan jaringan yang menggunakan medium secara bersama, sehingga memungkinkan pengguna dapat melihat trafik pengguna lainnya. Menurut Rathore dkk (2006) ancaman didalam jaringan WLAN dapat dikategorikan menjadi dua yaitu serangan pasif dan aktif. 1. Ancaman Pasif Bentuk ancaman ini dengan cara menyusup dan melakukan monitoring terhadap trafik jaringan sehingga penyusup dapat mempelajari karakteristik jaringan. Informasi yang dijadikan target seperti nama SSID yang digunakan, MAC address pengguna jaringan, IP address dan sebagainya. Apabila tidak ada enkripsi memungkinkan informasi seperti password dan data penting lainnya dapat juga dijadikan target oleh penyusup. Untuk mendeteksi ancaman ini sulit dilakukan. 2. Ancaman Aktif

13 7 Ancaman ini dilakukan oleh penyerang setelah mendapatkan informasi yang cukup dengan cara pasif. Serangan yang dilakukan dengan tujuan mendapatkan akses lebih lanjut terhadap jaringan seperti mendapatkan informasi lebih banyak lagi dan memanfaatkan sumber daya untuk melakukan spamming. Beberapa jenis serangan aktif antara lain : 1) Denial of service. 2) Hijacking / Modification of traffic. 3) Injection of traffic. E. Penetration Testing Menurut Whitaker (2005) penetration tester adalah ethical hacker yang dipekerjakan untuk melakuakan percobaan yang membahayakan terhadap jaringan komputer di perusahaan dengan tujuan untuk menilai keamanan data. Emily Chow (2011) dalam judul penelitiannya Ethical Hacking & Penetration Testing, menyimpulkan bahwa ethical hacking dan penetration testing dianggap sebagai cara yang efisien dan efektif dalam mengatasi celah keamanan dan kelemahannya sebelum adanya tindakan eksploitasi dari hacker jahat. F. Vulnerability level Kerentanan merupakan berbagai kelemahan sistem baik kelemahan proses maupun kelemahan teknologi yang dapat mendatangkan ancaman. Didalam ISSAF tingkat kerentanan ditunjukkan dengan skala seperti tabel berikut. Tabel 2.1 ISSAF Vulnerability level

14 8 G. Wlan Security Assessment Salah satu pengujian sistem dengan metode penetration testing didalam ISSAF adalah untuk melakukan penilaian keamanan WLAN. Metodologi yang digunakan seperti gambar 2.5. Gambar 2.5 WLAN Security Assessment Methodology Map ( Rathore dkk, 2006) Tahap-tahap dilakukan mulai dari pengumpulan data kemudian dilakukan analisis untuk menentukan jenis serangan yang dilakukan. ISSAF membagi beberapa jenis serangan sebagai berikut: a. Identifying WEP keys b. Bypassing MAC filtering c. MITM Attack

15 9 H. Action Research Acction research atau penelitian tindakan adalah metode penelitian yang digunakan dalam ilmu sosial dan medis pada pertengahan abad dua puluh dan mulai populer digunakan jenis penelitian sistem informasi. Action research merupakan sebuah metode penelitian, didirikan atas asumsi bahwa teori dan praktik dapat secara tertutup diintegrasikan dengan pembelajaran dari hasil intervensi yang direncanakan setelah diagnosis yang rinci terhadap konteks masalahnya (Davison dkk, 2004). Action research model terdiri dari beberapa tahap penelitian yaitu (Susman & Evered, 1978 dalam Davison dkk, 2004): 1. Diagnosis Peneliti memulai proses dengan mediagnosis seluruh situasi organisasi. Meskipun klien dapat mengidentifikasi masalah namun peneliti memiliki tanggung jawab untuk melakukan diagnosis secara independen tidak hanya mengkonfirmasi sifat dari permasalahan tetapi juga dapat menentukan penyebab permasalahan. Mempelajari secara detil dilakukan tidak hanya mempelajari permasalahan tetapi juga mempelajari lingkungan sekitar, ini merupakan prasyarat untuk menentukan intervensi yang tepat. 2. Action planning Hasil dari diagnosis memberikan informasi terhadap perencanaan tindakan. 3. Intervention Melaksanakan rencana yang sudah di susun.. Peneliti dan klien dapat berbagi tanggung jawab untuk mengumpulkan data, dengan peran masingmasing. 4. Evaluation Melakukan evaluasi terhadap tindakan yang sudah diambil. Setelah tindakan-tindakan yang direncanakan selesai, intervensi perlu dievaluasi dengan hasil yang dibandingkan dengan tujuan dan harapan proyek. Jika sudah ditemukan nilai kinerja yang lebih hal ini dapat dijadikan pertimbangan

16 10 sejauh mana peningkatan yang ada, melalui mekanisme apa dan faktor apa saja yang menyebabkan peningkatan. 5. Reflection Setelah tahap evaluasi peneliti merefleksikan secara eksplisit mengenai kegiatan dan hasil dari proyek sejauh ini. Hasilnya dikomunikasikan dengan klien dan meminta ditinjau ulang sebelum peliti keluar dari proyek. I. Metode Mile dan Huberman Metode Mile dan Huberman merupakan metode pengumpulan data dalam penelitian kualitatif. Mile dan Huberman seperti yang dikutip oleh Salim (2006: 20-24), menyebutkan ada tiga langkah pengolahan data kualitatif, yakni reduksi data (data reduction), penyajian data (data display), dan penarikan kesimpulan (conclusion drawing and verification). 1. Reduksi data (data reduction), dalam tahap ini peneliti melakukan pemilihan, dan pemusatan perhatian untuk penyederhanaan, abstraksi, dan transformasi data kasar yang diperoleh. 2. Penyajian data (data display). Peneliti mengembangkan sebuah deskripsi informasi tersusun untuk menarik kesimpulan dan pengambilan tindakan. Display data atau penyajian data yang lazim digunakan pada langkah ini adalah dalam bentuk teks naratif. 3. Penarikan kesimpulan dan verifikasi (conclusion drawing and verification). Peneliti berusaha menarik kesimpulan dan melakukan verifikasi dengan mencari makna setiap gejala yang diperolehnya dari lapangan, mencatat keteraturan dan konfigurasi yang mungkin ada, alur kausalitas dari fenomena, dan proposisi.

17 11 J. Undang-Undang ITE Undang-Undang Republik Indonesia nomor 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) telah menjelaskan beberapa hal tentang tindakan-tindakan yang termasuk dilarang antara lain: I. Pasal Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun. 2. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik. 3. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan. II. Pasal Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan intersepsi atau penyadapan atas Informasi Elektronik dan/atau Dokumen Elektronik dalam suatu Komputer dan/atau Sistem Elektronik tertentu milik Orang lain. 2. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan intersepsi atas transmisi Informasi Elektronik dan/atau

18 12 Dokumen Elektronik yang tidak bersifat publik dari, ke, dan di dalam suatu Komputer dan/ atau Sistem Elektronik tertentu milik Orang lain, baik yang tidak menyebabkan perubahan apa pun maupun yang menyebabkan adanya perubahan, penghilangan, dan/atau penghentian Informasi Elektronik dan/atau Dokumen Elektronik yang sedang ditransmisikan III. Pasal Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik. 2. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak. 3. Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana mestinya. IV. Pasal 33

19 13 Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan tindakan apa pun yang berakibat terganggunya Sistem Elektronik dan/atau mengakibatkan Sistem Elektronik menjadi tidak bekerja sebagaimana mestinya.

20 BAB III METODE PENELITIAN A. Jenis Penelitian Jenis penelitian ini merupakan penelitian evaluasi terhadap sitem keamanan jaringan WLAN yang sudah diterapkan di Universitas Muhammadiyah Magelang. Penelitian ini juga akan menghasilkan model pengujian keamanan jaringan WLAN. Pengujian dilakukan dengan membuat simulasi tindakan hacking sehingga dapat diketahui gejala-gejala kelemahan sistem pada jaringan WLAN. Penelitian ini menggunakan metode penetration testing untuk jaringan wireless. Langkah-langkah yang dilakukan dalam melakukan penelitian terdiri dari tiga fase yaitu: 1. Planning and Preparation Fase pertama dilakukan perencanaan dan persiapan yang dibutuhkan dalam penelitian. Permasalahan yang akan diangkat adalah evaluasi terhadap jaringan WLAN dengan menggunakan metode Penetration Testing. Tahap ini mencakup kegiatan sebagai berikut: a. Mengidentifikasi pelaku penetrasi beserta orang dari pihak lembaga yang bertanggung jawab terhadap sistem jaringan di Universitas Muhammadiyah Magelang. b. Konfirmasi dengan pihak manajemen berkaitan dengan ruang lingkup pengujian serta pendekatan dan metodologi pengujian yang akan digunakan. c. Membuat semacam perjanjian dan kesepakatan secara formal yang dapat memberi jaminan hukum terhadap pelaku penetrasi dan pihak institusi yang dijadikan target penetrasi dalam hal ini adalah Universitas Muhammadiyah Magelang. 2. Assessment Fase yang kedua dengan melakukan kegiatan penilaian terhadap keaman jaringan WLAN dengan menerapkan metode penetration testing. Tahap ini merupakan tahap utama dalam penelitian dimana metode yang 14

21 15 digunakan dimulai dengan pengumpulan data kemudian dilakukan analisis terhadap data dan menentukan tools yang akan digunakan dilanjutkan dengan kegiatan eksploitasi dan serangan terhadap jaringan. 3. Reporting Fase yang terakhir membuat laporan terhadap hasil yang sudah didapat dari fase sebelumnya.tahap ini perlu dilakukan sebagai bentuk pertanggung jawaban terhadap kegiatan yang dilakukan oleh pelaku pengujian sistem jaringan. Kegiatan pada tahap ini adalah sebagai berikut: a. Menyusun laporan kegiatan assessment yang meliputi : 1) tahap-tahap assessment termasuk tools yang digunakan 2) ruang lingkup kerja 3) waktu pelaksanaan 4) output setiap pengujian 5) temuan-temuan ancaman 6) saran dan rekomendasi b. Mempresentasikan hasil pengujian kepada pihak manajemen. c. Mengesahkan dokumen evaluasi dan menyerahkan kepada pihak manajemen. Alur keseluruhan tentang kegiatan penelitian dijelaskan pada Gambar 3.1.

22 16 Gambar 3.1 Alur Kegiatan Penelitian B. Waktu dan Tempat Penelitian Penelitian ini akan dimulai pada bulan April sampai September tahun 2013 dan lokasi penelitian berada di Kampus Universitas Muhammadiyah Magelang jl. Bambang Soegeng KM 5 Magelang. C. Variabel dan Definisi Operasional Variabel Penelitian 1. Variabel Bebas, yaitu penetration testing method. Penetration testing method didalam penelitian ini diartikan sebagai metode yang digunakan dalam melakukan pengujian sistem jaringan yaitu dengan cara melakukan simulasi serangan dan eksploitasi terhadap jaringan WLAN. Bentuk serangan yang dilakukan berhubungan dengan sistem keamanan di jaringan komputer. Cara melakukannya dibutuhkan software sebagai tools yang digunakan untuk hacking. 2. Variabel Terikat, yaitu keamanan jaringan WLAN.

23 17 Yang dimaksud keamanan jaringan WLAN didalam penelitian ini adalah bagaimana kondisi suatu jaringan WLAN terhindar dari gangguan atau tindakan yang bersifat merusak oleh pihak lain yang tidak bertanggung jawab terhadap sistem jaringan tersebut. D. Instrumen Penelitian Instrumen penelitian terdiri dari: 1. Observasi dengan checklist Mengamati kondisi fisik dari objek penelitian yang berkaitan dengan topologi jaringan WLAN. 2. Wawancara daftar pertanyaan Untuk mendapatkan informasi dari pengelola jaringan WLAN tentang data administrasi dan data teknis. 3. Assesment dengan perangkat wifi dan komputer. Melakukan pengujian dan penilaian secara langsung terhadap jaringan WLAN. E. Pengumpulan Data Data yang digunakan dalam penelitian ini dibagi menjadi data primer dan data sekunder. Untuk mendapatkan data-data yang digunakan dilakukan dengan cara: 1. Data Primer a. Observasi dan mempelajari kondisi objek penelitian. Data yang dibutuhkan berupa data fisik maupun nonfisik berkaitan dengan kondisi jaringan WLAN objek penelitian. b. Wawancara dengan pihak penanggung jawab atau narasumber untuk mendapatkan data-data yang lebih kongkret. Data yang dibutuhkan berupa data-data utama yang akan digunakan bahan penelitian. 2. Data Sekunder

24 18 Data yang dibutuhkan berupa dokumen-dokumen yang berhubungan dengan tema penelitian dengan cara mengajukan permohonan kepada pihak yang berwenang secara resmi di objek penelitian. F. Pengolahan Data Pengolahan data didalam penelitian ini meliputi : 1. Pengelompokan data Data yang sudah didapat dari berbagai sumber dikelompokkan sesuai dengan kategori data preparation, data assesment dan data reporting. 2. Penyajian data Data yang diperoleh dideskripsikan dan disajikan dalam bentuk teks naratif 3. Penarikan Kesimpulan Membuat kesimpulan dari masing-masing kategori hingga menarik kesimpulan dari keseluruhan penelitian.

25 BAB IV HASIL DAN PEMBAHASAN A. Gamabaran Umum Gambar 3.1 Topologi jaringan WLAN di Universitas Muhammadiyah Magelang Topologi yang digunakan di Universitas Muhammadiyah Magelang adalah jenis topologi BSS ( Basic Service Sets) dimana jaringan menggunakan access point sebagai pusat jalur koneksi untuk para pengguna wi-fi. Jaringan WLAN yang ada lebih diimplementasikan sebagai jaringan hotspot untuk layanan akses internet. Perangkat yang digunakan dalam jaringan WLAN antara lain : 1. Router Fungsi router disini adalah untuk menghubungkan dan membuat jalur routing antar network yaitu network yang digunakan untuk 19

26 20 pengguna hotspot dan jaringan luar atau internet. Router yang terpasang ada 4 buah router masing-masing adalah: 1. R1, router yang menghubungkan jaringan lokal dengan internet. 2. R2, router yang digunakan untuk AP1, AP3, dan AP Omni. 3. R3, router yang digunakan untuk AP2 4. R4, router yang digunakan untuk AP4 2. Proxy Server Server yang digunakan untuk membuat firewall bagi jaringan lokal dan internet. Adanya proxy pada jaringan dapat membantu administrator mengontrol penggunaan internet. 3. Access Point (AP) Merupakan perangkat wireless yang difungsikan sebagai hotspot pada beberapa area dilingkungan kampus. Acces Point (AP) yang digunakan ada 5 buah masing-masing diberi nama: 1. AP1, untuk menjangkau area Lantai 1 Gedung 1 2. AP3, untuk menjangkau area Lantai 3 Gedung 1 3. AP Omni, untuk menjangkau area sekitar halaman kampus 4. AP2, untuk menjangkau area Gedung 2 5. AP4, untuk menjangkau area Gedung 3

27 21 B. Analisis dan Rancangan Sistem Sistem yang dibuat dalam penelitian ini merupakan sistem penilaian terhadap kemanan jaringan WLAN. Sebelum merancang perlu dilakukan analisis sehingga akan menentukan rancangan yang sesuai dengan tujuan. 1. Analisis sistem pengujian Setelah melakukan observasi pada objek penelitian dan wawancara dengan pihak pengelola jaringan WLAN di Universitas Muhammadiyah Magelang didapatkan hasil identifikasi sebagai berikut: a. Pengelola dan pihak yang bertanggung jawab terhadap jaringan sepenuhnya dibawah biro TIK (Teknologi Informasi dan Komunikasi). b. Jaringan WLAN menggunakan model BSS. c. Jaringan WLAN digunakan untuk layanan akses internet. d. Perangkat wireless yang digunakan b dan g. e. Penggunaan jaringan dibatasi untuk civitas akademika. Berdasarkan identifikasi tersebut maka untuk menilai tingkat keamanan jaringan WLAN dibutuhkan sistem pengujian terhadap jaringan menggunakan metode penetration testing untuk WLAN. Pengujian ini dilakukan dengan melakukan penetrasi terhadap masing-masing perangkat access point yang terpasang di objek penelitian. Access point merupakan device yang berhubungan langsung dengan pengguna luar sehingga kemanan sistem jaringan ditentukan juga oleh tingkat kerentanan acces point yang dimiliki. Sistem pengujian dengan metode penetraion testing akan mensimulasikan pelaku pengujian sebagai attacker terhadap perangkat WLAN, sehingga akan diketahui seberapa rentan perangkat

28 22 yang digunakan terhadap serangan yang dilakukan oleh pengguna jaringan. 2. Analisis kebutuhan Sistem penilaian keamanan jaringan menggunakan penetration testing untuk kebutuhannya dapat dibedakan menjadai kebutuhan fungsional dan non fungsional. a) Kebutuhan fungsional Kebutuhan sistem ini menunjang proses peniliain dan evaluasi keamanan jaringan WLAN yang dilakukan oleh pelaku penetrasi yang sudah memiliki pengetahuan dan keahlian dalam bidang penetration testing jaringan wireless untuk melakukan kegiatan sebagai berikut : a. Scanning, untuk mendapatkan informasi tentang perangkat dan konfigurasi jaringan. b. Penetrasi terhadap perangkat jaringan WLAN untuk penilaian sistem keamanan. c. Melaporkan hasil penetrasi sebagai hasil evaluasi. b) Kebutuhan nonfungsional Seperti pendapat Whitaker (2006) bahwa pelaku penetration testing adalah ethical hacker yang dipekerjakan untuk melakuakan percobaan yang membahayakan terhadap jaringan komputer di perusahaan, maka perlu dibutuhkan jaminan terhadap pelaku maupun target penetrasi antara lain : 1. Jaminan hukum pelaku penetration testing berupa legalitas yang dibuat oleh pihak target penetrasi.

29 23 2. Jaminan atas resiko terhadap tindakan penetration testing dengan membuat kesepakatan bersama antara pihak pelaku dan target penetrasi. 3. Jaminan kemanan data sistem jaringan dari pihak pelaku terhadap pihak target penetrasi. 4. Pertanggung jawaban segala kegiatan penetration testing dari pelaku dengan membuat dokumen kegiatan dan hasil kegiatan untuk diserahkan kepada pihak lembaga pengelola jaringan. 3. Rancangan Proses Proses keseluruhan sistem evaluasi dibagi menjadi 3 bagian fase utama yaitu planning and preparation, assessmet, dan reporting. Gambaran proses seperti pada gambar 3.3. Gambar 3.2 Proses Evaluasi

30 24 C. Implementasi Hasil analisis dan perancangan diimplementasikan sesuai dengan pembagian fase seperti yang dirancang sebelumnya. 1. Planning and Preparation Sebelum dilakukan kegiatan pengujian keamanan di objek penelitian perlu dilakukan perencanaan dan persiapan supaya sesuai dengan tujuan. Kegiatan pada tahap ini antara lain : 1. Membuat form identitas Tahap ini membuat form identitas pelaku assessment dan penanggung jawab objek pengujian dari pihak institusi. Untuk penelitian ini yang bertindak sebagai pelaku pengujian dilakukan dari lembaga internal yang merupakan bagian dari lembaga Universitas Muhammadiyah Magelang yaitu Fakultas Teknik. Form yang dibuat seperti pada Lampiran Membuat surat perjanjian Perjanjian antara pihak pelaku dan pihak objek pentration testing dibuat secara formal dalam bentuk surat perjanjian. Pihak pertama adalah Kepala Biro TIK Universitas Muhammadiyah Magelang selaku penanggung jawab lembaga yang mengelola jaringan WLAN dan pihak kedua adalah pelaku pentration testing. Isi dari surat perjanjian seperti pada Lampiran Assessment Dalam melakukan pengujian dan penilaian keamanan jaringan WLAN, penguji melakukan tahap-tahap yang sudah disepakati dan sesuai

31 25 dengan isi perjanjian. Assessment dilakukan pada perangkat Access Point (AP) yang sudah terpasang dibeberapa titik di area kampus Universitas Muhammadiyah Magelang seperti pada gambar 3.1. Kegiatan assessment menggunakan form yang sudah dibuat dan masing-masing kegiatan dijelaskan sebagai berikut: a) Scanning Sebelum melakukan tindakan pengujian dibutuhkan data-data access point yang terpasang di objek pengujian seperti network, ESSID, channel, MAC address dan IP address dalam jaringan WLAN. Masingmasing scanning pada perangkat AP adalah sebagai berikut: Tabel 3.1 Hasil scanning pada access point AP1 AP2 AP3 AP4 AP Omni Network x.x/ x.x/ x.x/ x.x/ x.x/24 SSID umm2ap1 umm2ap2 umm2ap3 umm2ap4 umm2omni1 Channels IP x.x x.x x.x 1.2.x.x x.x Address MAC 00:02:xx:xx:xx:xx 00:02:xx:xx:xx:xx 00:02:xx:xx:xx:xx 00:02:xx:xx:xx:xx 00:0c:xx:xx:xx:xx Address Security mode Open Open Open Open Open b) Exploit and Attack Format pengujian dilakukan sesuai dengan rancangan form yang sudah dibuat sebelumnya. Secara teknis tahap ini dibagi menjadi 4 jenis tindakan seperti pada tabel 3.2.

32 26 Tabel 3.2 Tindakan Exploit and Attack 1 Cracking the encryption Deskripsi: Pengujian ini bertujuan mengetahui apakah semua access point dilindungi dengan sistem keamanan enkripsi seperti WEP dan WPA. Penguji melakukan scanning terhadap masing-masing AP kemudian menentukan target untuk dilakukan cracking terhadap key yang digunakan sebagai pengamanan. Tools: Aplikasi Android WifiExplorer dan Backtrack 5 Kesimpulan: Dari hasil scanning semua access point tidak menggunakan pengamanan enkripsi atau tipe pengamanannya terbuka (open key). 2 Bypassing WLAN Authentication Deskripsi: Penguji melakukan scanning terhadap masing-masing AP kemudian menentukan target untuk dilakukan cracking terhadap key yang digunakan sebagai pengamanapengujian dilakukan untuk mengetahui apakah sistem keamanan menggunakan metode pembatasan hak akses berdasar MAC address. Apabila untuk mendapat akses ke semua AP ada proses autentikasi berdasarkan MAC address maka akan dicoba dengan melakukan spoofing terhadap sistem keamanan. Tools: Backtrack 5 (airodump-ng, aireply-ng, Wireshark) Kesimpulan: Semua access point tidak menggunakan sistem MAC filtering untuk aksess ke jaringan tetapi menggunakan jenis captive portal yaitu client harus melakukan autentikasi dengan memasukkan username dan password pada web browser. Sistem ini juga bisa dilemahkan dengan melakukan spoofing MAC address dan IP address. 3 Attacking the Infrastructure Deskripsi: Serangan untuk barbagai layanan wireless untuk client sehingga dapat mempengaruhi kinerja jaringan. Bentuk serangan ini adalah DoS attack yang bertujuan melumpuhkan jaringan. Tools: Backtrack 5 (airodump-ng, aireply-ng, Wireshark) Kesimpulan: Pengguna jaringan WLAN dapat melumpuhkan koneksi jaringan sehingga menyebabkan terputusnya hubungan access point dengan pengguna lain. 4 MITM Attack Deskripsi: Melakukan serangan terhadap pengguna jaringan dengan melakukan penyadapan paket data dan merubah isi paket data kemudian mengirim ke tujuan

33 27 Tools: Backtrack 5 (airodump-ng, aireply-ng, Wireshark) Kesimpulan: Dari percobaan dengan menggunakan simulasi user client dapat dilakukan serangan MITM pada jaringan WLAN sehingga ada kemungkinan pengguna jaringan dapat melakukan dari semua access point. 3. Reporting Pembuatan laporan dilakukan sebagai pertanggung jawaban pelaku pengujian kepada pihak pengelola jaringan WLAN di Universitas Muhammadiyah Magelang. Laporan dilakukan dengan menyusun beberapa form kemudian dijadikan sebuah dokumen evaluasi. Isi dari dokumen adalah: 1. Surat Perjanjian 2. Form identiatas 3. Schedule Form 4. Assessment Form 5. Laporan Kegiatan Evaluasi D. Analisis Hasil Penilaian dalam kegiatan evaluasi ini dilakukan berdasarkan tingkat kerentanan dengan menggunakan nilai seperti yang ditentukan dalam ISSAF. Parameter yang digunakan dalam memberikan nilai tingkat kerentanan dijelaskan dalam tabel 3.3.

34 28 Tabel 3.3 Nilai tingkat kerentanan (ISSAF rating method) Vulnerability Level Assigned Value Extremely Vulnerable 1 Highly Vulnerable 0.8 Average 0.6 Low 0.4 Extremely Low 0.2 Berdasarkan nilai tersebut dapat dibuat uraian untuk kategori tingkat kerentanan seperti berikut: a. Extremely Vulnerable Tingkat kerentanan pada objek yang sangat tinggi disebabkan kelemahan pada proses dan atau kelemahan pada sistem teknologi. Untuk melakukan serangan sangat mudah dilakukan tidak membutuhkan lebih dari satu lapisan proses atau tahap tindakan. b. Highly Vulnerable Tingkat kerentanan pada objek yang tinggi disebabkan kelemahan pada proses dan atau kelemahan pada sistem teknologi. Untuk melakukan serangan membutuhkan antara 2 sampai 3 lapisan proses atau tahap tindakan. c. Average Tingkat kerentanan pada objek yang rata-rata atau menengah disebabkan kelemahan pada proses dan atau kelemahan pada sistem teknologi. Untuk melakukan serangan mudah dilakukan membutuhkan antara 4 sampai 6 lapisan proses atau tahap tindakan.

35 29 d. Low Tingkat kerentanan pada objek yang rendah disebabkan kelemahan pada proses dan atau kelemahan pada sistem teknologi. Untuk melakukan serangan dilakukan membutuhkan antara 7 sampai 8 lapisan proses atau tahap tindakan. e. Extremely Low Tingkat kerentanan pada objek yang sangat rendah disebabkan kelemahan pada proses dan atau kelemahan pada sistem teknologi. Untuk melakukan serangan dilakukan membutuhkan lebih dari 8 lapisan proses atau tahap tindakan. Hasil yang didapat dari pengujian jaringan WLAN di Universitas Muhammadiyah Magelang dapat disajikan dalam tabel 3.6 dan gambar 3.4. Tabel 3.4 Hasil Pengujian jaringan WLAN Jenis Tindakan AP1 AP2 AP3 AP4 AP Omni Cracking the encryption Bypassing WLAN Authentication Attacking the Infrastructure MITM Attack

36 30 1 0,8 0,6 0,4 0,2 0 Cracking the encryption Bypassing MAC filtering Attacking the Infrastructure MITM Attack AP1 AP2 AP3 AP4 AP Omni Extremely Vulnerable 1 Highly Vulnerable 0.8 Average 0.6 Low 0.4 Extremely Low 0.2 Gambar 3.3 Grafik Kerentanan Jaringan WLAN Hasil keseluruhan yang didapat dari empat jenis pengujian menunjukkan rata-rata tingkat kerentanannya adalah : Total nilai = 1 + 0,8 + 0,8 + 0,6 = 0,8 jumlah kategori 4 dengan kata lain secara keseluruhan jaringan WLAN di Universitas Muhammadiyah Magelang memiliki tingkat kerentanan (vulnerability) tinggi.

37 BAB V PENUTUP A. Kesimpulan Hasil dari penelitian dapat disimpulkan sebagai berikut: 1. Evaluasi keamanan jaringan menggunakan metode penetration testing dapat memberikan gambaran tentang kelemahan sistem jaringan WLAN di Universitas Muhammadiyah Magelang. 2. Hasil evaluasi memberikan nilai tingkat kerentanan sistem jaringan WLAN di Universitas Muhammadiyah Magelang tinggi. 3. Dokumen evaluasi dibuat dari proses preparation, assessmet dan reporting 4. Dalam menerapkan penetration testing pada sebuah institusi dibutuhkan jaminan hukum terhadap pelaku dan objek penetration testing. 5. Dokumen evaluasi dapat dijadikan model evaluasi dan cetak biru bagi pihak institusi. B. Saran 1. Penetration testing merupakan tindakan yang membahayakan bagi sistem maka perlu dipertimbangkan resiko dari tindakan ini. 2. Sebelum penerapan penetration testing pada institusi perlu adanya perencanaan dan persiapan yang dapat menjamin kelayakan hukum. 31

38 32 3. Nilai yang dihasilkan dari pengujian dapat dijadikan acuan dalam meningkatkan kualitas sistem. 4. Metode penetration testing dapat diterapkan untuk jenis evaluasi keamanan sistem informasi yang lainnya.

39 33 DAFTAR PUSTAKA Alisherov A., Farkhod.; Sattarova Y., Feruza, International Journal of of Grid and Distributed Computing, Methodology for Penetration Testing: Republic of Korea Al-Haroh, R.Z., 7 Oktober 2012, Wardriving dan Testing Penetrasi Wi-Fi Lanjut di Wilayah Kota Yogyakarta, Bacudio, A.G.; Yuan, X.; Chu, B.T.B.; Jones, M., 10 Desember 2012, An Overview Of Penetration Testing, Baskerville,L.R. (1999), Journal : Investigating Information System with Action Research, Association for Information Systems: Atlanta Chow, E., 1 Desember 2011, Ethical Hacking & Penetration Testing, nd%20penetrationtesting%20e%20chow.pdf Davison, R. M., Martinsons, M. G., Kock N., (2004), Journal : Information Systems Journal : Principles of Canonical Action Research 14, Flickenger, ichele, ttrich, S.; Drewett, L.M.; Drewett, L.M.; Escudero- Pascual, A.; Berthilson, L.; Fonda, C.; Forster, J.; Howard, I.; Johnston, K.; Krag, T.; Kupfermann, G.; Messer, A.; Neumann, J.; Pietrosemoli, E.; Renet, F.; Zennaro, M., 21 Desember 2012, Jaringan Wireless di Dunia Berkembang, Kang, B.; 27 November 2012, About Effective Penetration Testing Methodology, Rathore, B.; Herrera, O.; Raman, S.; Brunner, M.; Brunati, P.; Chavan, U.; Dilaj, M.; Subramaniam, R.K., 7 Oktober 2012, Information Systems Security Assessment Framework (ISSAF) draft 0.2.1A, [RI] Presiden Republik Indonesia Undang-Undang Republik Indonesia Nomor 11 Tahun 2008 Tentang Informasi Dan Transaksi Elektronik. Jakarta (ID): RI Roshan, P.; Leary, J., 1 Desember 2012, Wireless LAN Fundamentals, Salim, A., 2006, Teori dan Paradigma Penelitian Sosial, Tiara Wacana, Yogyakarta

40 34 Thomas, T., 2005, Network Security First-Step, Ed. I., ANDI, Yogyakarta Whitaker, A.; Newman, D.P., 1 Desember 2012, Penetration Testing and Network Defense,

41 LAMPIRAN