O l e h:
Ahlanda Putra
1901082024
I. LATAR BELAKANG
Keamanan sistem informasi diera sekarang ini merupakan hal yang wajib
untuk diperhatikan oleh semua orang. Dengan meningkatnya pertumbuhan
penggunaan internet di dunia, membuat kurangnya kompleksitas sistem yang telah
dibuat. Dengan pertumbuhan penduduk saja jumlah penggunaan internet di
Indonesia sangat signifikan.
III. TUJUAN
Tujuan dari pembuatan proposal tugas akhir ini adalah sebagai berikut:
V. LANDASAN TEORI
V.1Jaringan Komputer
Pada Zaman sekarang, Internet dan World Wide Web (WWW) sangat populer
di seluruh dunia. Banyak masyarakat yang memerlukan aplikasi yang berdasarkan
pada Internet, seperti E-Mail dan akses Web. Sehingga makin banyak aplikasi
bisnis yang berkembang berjalan di atas internet. Transmission Control
Protocol/Internet Protocol (TCP/IP) ialah aturan yang melandasi sebuah internet
dan jaringan dunia. Seperti pada software, TCP/IP dibuat dalam beberapa lapisan
(layer). Dengan dibentuk dalam lapisan layer, akan mempermudah dalam
pengembangan dan pelaksanaannya. Pada protocol TCP/IP dibagi menjadi 4 layer
yaitu (Arianto, 2020) :
1. Layer Aplikasi
2. Layer Transport
3. Layer Internetwork
Layer Internetwork biasa disebut juga layer internet atau layer network,
dimana memberikan “vitual network” pada internet. Internet Protocol (IP) adalah
protokol yang paling penting. IP memberikan fungsi routing pada jaringan dalam
pengiriman data. Protokol lainnya antara lain : IP, ICMP, IGMP, ARP, RARP.
Layer network interface disebut juga layer link atau layer datalink, yang
merupakan perangkat keras pada jaringan. Contoh : IEEE802.2, X.25, ATM,
FDDI, dan SNA.
1. Virus
SPAM adalah email sampah. Jumlah spam kini telah mencapai 90 miliar
pesan per hari. Alamat email dikumpulkan dari situs web, chat room, newsgroup
dan oleh Trojan yang pengguna bisa menambahkan buku alamat. SPIM adalah
spam yang dikirim melalui system pesan instan seperti Yahoo Messenger atau
MSN Messenger. SPIT adalah Spam over Internet Telephony. Ini adalah yang
tidak diinginkan, secara otomatis-keluar, pra-rekaman panggilan telepon
menggunakan Voice over Internet Protocol (VoIP).
3. Spoofing
4. Sniffing
5. Phising
Phising adalah bentuk umum dari spoofing dimana halaman web palsu
dibikin seolah – olah terlihat seperti halaman web yang benar. Halaman palsu
diletakkan di server yang berada di bawah kendali sang penjahat.
6. Pharming
mengarahkan sebuah situs web ke situs yang palsu dengan cara mengubah host
file di komputer korban atau dengan eksploitasi kerentanan dalam perangkat lunak
DNS server.
7. Spyware
Spyware adalah perangkat lunak yang di install secara diam – diam pada
komputer user tanpa persetujuan user. Program ini akan memonitor aktivitas user
atau mengganggu jalannya komputer.
9. Botnet (DDoS)
Botnet adalah kumpulan robot perangkat lunak, atau biasa disebut Bots,
yang menjalankan serangkaian instruksi otomatis melalui internet. Botnet sering
digunakan untuk meluncurkan serangan Distributed Deniel-of-Service (DDoS)
terhadap sebuah situs yang secara otomatis dapat membuat server tersebut down.
10. Worm
Dalam banyak kasus sebagai audit IT atau pentester, harus mengetahui kriteria
atau aspek – aspek yang harus tetap terjaga. Yang biasanya disebut CIA triad,
yaitu (Team, 2021) :
1. Confidentiality
2. Integrity
3. Avaibility
Menjamin setiap pihak yang berwenang dapat mengakses data, objek dan
sumber daya. Kontrol yang diperlukan dalam menjaga prinsip ini adalah untuk
menjamin penanganan cepat ketika terjadi kegagalan system, menyediakan
redundancy, memelihara backup, mencegah data hilang atau rusak.
Dalam proses pengamanan jaringan komputer, ada beberapa tahap yang perlu
dilakukan, diantaranya (ELLIS, 2021).
1. Persiapan (Preparation)
a. Persiapan Personal
b. Persiapan Alat
2. Tahap Identifikasi
Menyelidiki dan memahami sifat terhadap suatu serangan dan target dari
serangan tersebut adalah hal yang wajib dilakukan untuk proses lebih lanjut
terhadap tahap pengamanan.
3. Tahap Penahanan
4. Tahap Eradiction
Tahap ini adalah tahap analisis yang lebih dalam. Dimana pada tahap ini
akan melakukan analisis dari berbagai informasi yang telah didapatkan. Kualitas
dari analisis akan semakin baik apabila kualitas dan kuantitas dari barang bukti
semakin banyak dan akurat.
5. Tahap recovery
Pada tahap ini berlangsung proses pelaporan atas serangan yang telah
terjadi serta penanganannya dan tahapan dari penanganan tersebut, pembelajaran
atas apa yang telah terjadi, peningkatan terhadap system untuk mencegah hal yang
sama tidak terulang kembali
1. Interruption
2. Interception
3. Modification
4. Fabrication
Merupakan ancaman terhadap integritas. Orang yang tidak berhak
berhasil meniru (memalsukan) suatu informasi yang ada sehingga orang yang
menerima informasi tersebut menyangka informasi tersebut berasal dari orang
yang dikehendaki oleh si penerima informasi tersebut
1. Autentikasi
2. Account Locking
Seorang user yang melakukan login beberapa kali melebihi dengan apa
yang sudah ditentukan, maka server secara langsung akan melakukan locking
terhadap account tersebut. Administrator akan menentukan jumlah dari batas
percobaan kesalahan dalam melakukan login, dan lamanya account akan di-
locking. Tetapi, administrator juga dapat melakukan locking terhadap account
tertentu secara langsung.
5. Otorisasi
6. Enkripsi
7. Firewall
V.3Kali Linux
Jika melihat banyak referensi, terdapat langkah atau cara yang berbeda –
beda dalam penetration testing. Dari masalah ini muncul sebuah website The
Penetration Testing Execution Standard (PTES) yang memberikan informasi
tentang standar dalam penetration testing dan tools yang berada pada Kali Linux
sudah sesuai dengan standar PTES. PTES terbagi dalam 7 kategori mencakup
semua hal yang berhubungan dengan penetration testing. Dimulai dari
pengumpulan informasi hingga proses eksploitasi pada system. Berikut adalah 7
kategori PTES sebagai berikut(pentest-standard.org, 2014):
2. Intelligence Gathering
perlindungan apa yang terdapat pada target dengan perlahan – lahan dan berhati –
hati dalam menyelidiki system tersebut.
3. Threat Modeling
4. Vulnerability Analysis
5. Exploitation
6. Post Exploitation
Tujuan dari tahapan ini untuk medapatkan informasi lebih lanjut tentang
systemyang berhasil di exploit. Dari hasil ini bisa mencari cara untuk
mendapatkan akses ke internal. Dan dalam Post Exploitation ini bisa menilai
seberapa amankah system yang telah dilakukan pentets ini.
7. Reporting
Reporting merupakan tahapan terakhir dalam melakukan Penetration
Testing. Pada tahapan ini akan melakukan pembuatan laporan untuk semua
aktivitas yang telah dilakukan selama Penetration Testing berlangsung.
1. Sparta
SPARTA adalah sebuah aplikasi berbasis GUI yang dibuat dengan bahasa
pemograman python yang berfungsi untuk membantu dalam proses penetration
testing dalam fase scanning dan enumeration. Dengan menggunakan aplikasi ini
seorang pentester akan lebih menghemat waktu nya dalam pencarian sebuah
kelemahan yang ada pada sebuah server yang dituju dan juga aplikasi ini akan
menampilkan semua output yang lebih mudah dipahami oleh seorang pentester
Nmap adalah salah satu tools open source yang digunakan oleh seorang
audit keamanan jaringan. Nmap berfungsi untuk melakukan scanning seperti
pencarian port yang terbuka, tipe OS yang dipakai oleh server, pencarian service
yang dipakai dan lain sebagainya. Nmap memiliki 2 versi yaitu dalam tampilan
GUI yaitu bernama Zenmap dan yang bertampilan dalam bentuk command line
yaitu Nmap. Nmap berjalan pada semua jenis sitem operasi seperti Linux,
windows dan Mac OS.
3. Metasploit
4. Metaspoitable 2
6. Virtual Box
7. Wireshark
8. Hydra
Hydra adalah tool yang digunakan untuk melakukan cracker sebuah login
yang mendukung banyak protocol untuk melakukan penyerangan. Tool ini dalam
melakukan penyerangan sangat cepat dan mudah untuk digunakan. Oleh karna itu
para audit keamanan akan mendapatkan akses dengan mudah ke sistem maupun
dari jarak yang jauh.
9. Brup Suite
10. SQLMap
11. Weevely
Weevely adalah sebuah tool yang dapat membuat sebuah web shell
layaknya seperti backdoor. Tool ini digunakan sebagai akses pintu belakang jika
pintu utama tidak bisa di akses kembali. Dengan adanya tool ini maka masih tetap
bisa mengakses server dan melakukan perubahan pada isi server tanpa
sepengetahuan administrator server nya.
OWASP Top 10 adalah dokumen yang dibuat oleh OWASP tentang risiko
keamanan sebuah aplikasi web. Dalam pembuatan project ini diikutsertakan
berbagai pakar keamanan dari seluruh dunia untuk menghasilkan daftar dari
OWASP Top 10 ini. OWASP Top 10 ini bisa dijadikan sebagai langkah awal
yang paling efektif dalam memastikan bahwasanya aplikasi yang dibuat tersebut
aman. Berikut daftar Top 10 OWASP yang bersumber dari (owasp.org, 2017).
1. Injection
Cara mengatasi :
Batasi panjang dari input box dengan cara membatasinya pada kode
program. Dengan begitu para cracker akan kebingungan dalam melakukan
inject dengan perintah yang panjang dikarenakan sudah dibatasi oleh pihak
developer.
Dan cara selain dari diatas yaitu dengan menggunakan fungsi di PHP yaitu
mysql_real_escape_string(). Dengan menggunakan fungsi ini maka akan
memberikan perlindungan \ (Back Slash) pada setiap string yang diberikan
oleh seorang attacker dalam melakukan pengujian sql injection.
2. Broken Authentication
Cara mengatasi :
Banyak nya sebuah aplikasi web yang tidak melindungi data sensitive
dengan benar seperti data keuangan, layanan kesehatan dan lain-lain. Penyerang
dapat melakukan pencurian sebuah dan melakukan perubahan sebuah data yang
disebabkan lemahnya perlindungan pada sebuah data.
Cara mengatasi :
Jangan menyimpan data yang sensitive agar tidak dapat dicuri oleh
seseorang penyerang.
Jangan lakukan penyimpanan data yang sensitive di cookies agar tidak
diambil oleh seorang penyerang untuk dilakukan analisis sehingga data
tersebut bisa diambil oleh seorang penyerang. Dan jika pun ingin
menyimpan data di cookie harus pastikan data tersebut terenkripsi dengan
baik.
Matikan fitur autocomplete pada sebuah browser agar data dari username
dan password tidak bisa diambil oleh seorang penyerang.
Cara mengatasi :
Cara mengatasinya :
6. Security Misconfiguration
Cara mengatasinya :
Cara mengatasinya :
8. Insecure Deserialization
Cara mengatasinya :
Salah satu cara yang paling efektif yaitu tidak menerima data dari sumber
yang tidak dikenal dengan cara memasang seperti WAF (Web Application
Firewall) dan IDS/IPS agar data akan di filter sebelum dieksekusi ke web
server.
Cara mengatasinya :
Lakukan penghapusan sesuatu yang tidak perlu seperti komponen, file dan
dokumen.
Lakukan pengecekan secara berkelanjutan baik dari sisi aplikasi maupun
dari sisi server untuk melakukan pathcing ke versi yang terbaru untuk
menghindari adanya bug baru dari versi yang lama. Atau bisa juga
melakukan pengecekan bug baru di CVE (Common Vulnerabilities and
Exposures) dan NVD (National Vulnerability Database).
Cara mengatasinya :
1. Studi Litelatur
2. Observasi
Mencari informasi mengenai target yang akan diuji yaitu web dan
server dari taget yang telah ditentukan. Informasi yang nantiknya
diperoleh adalah mengenai spesifikasi dan perangkat lunak yang
digunakan. Dengan menemukan berbagai kelemahan, diharapkan dapat
memberikan hasil yang lebih baik untuk mengurangi celah dari keamanan
aplikasi web yang dituju.
3. Analisis Sistem
5. Implementasi
Kegiatan Bulan ke
1 2 3 4
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
Studi Literatur
Observasi
Analisis Sistem
Perencanaan Uji
Kelemahan
Implementasi
VIII. DAFTAR PUSTAKA
Arianto. (2020). Memahami Pengertian,Fungsi Dan Cara Kerja TCP/IP.
Www.Tembolok.Id. https://www.tembolok.id/pengertian-tcp-
ip/#:~:text=Berdasar standar TCP%2FIP dibagi menjadi 4 Layer
utama,Application Layer%2CTransport Layer%2CInternet Layer
%2FNetwork layer%2CNetwork interface Layer%2Fpsical layer.