Keamanan Sistem Informasi (Studi: Spoofing)

TUGAS Ini Diajukan sebagai salah satu syarat

Kelulusan matakuliah Pada Program Studi Sistem Informasi/Manajemen
Informatika
Fakultas Teknik dan Ilmu Komputer



Oleh
10510666 Derry Arif Rachman
10510649 M.Decky N
10510674 Galih Kazaruni



Universitas Komputer Indonesia
Bandung
2014
Spoofing
1.1 Pengertian Spoofing
Spoofing adalah Pemalsuan IP Address untuk menyerang sebuah server di
internet, kegiatan ini biasanya dilakukan oleh para hacker / cracker. IP
Spoofing ini kadang di kenal dengan nama Source Address Spoofing. Dengan kata
lain memalsukan IP Address dari attacker agar korban menganggap bahwa IP
Address itu bukan berasal dari luar jaringan. Misalkan attacker mempunyai IP
address type A 10.10.xx.xx
ketika attacker melakukan
serangan jenis ini maka
Network yang diserang akan
menganggap IP attacker
adalah bagian dari
Networknya misal
192.xx.xx.xx yaitu IP type
C.
Gambar 1.1 IP Spoofing
Dan Spoofing ini terjadi pada saat attacker mengubah pengiriman paket data ke
tujuan yang berbeda. Packet untuk routing biasanya di transmisikan secara
transparan dan jelas sehingga membuat attacker dengan mudah untuk
memodifikasi asal data ataupun tujuan dari data. Tapi bukan attacker saja yang
menggunakan teknik ini, para security profesional juga menggunakan nya untuk
tracing atau melacak jejak para attacker.
Ada salah satu titik di mana para Attacker bisa masuk dan komunikasi data bisa di
spoof (vulnerable). Titik itu adalah ICMP (Internet Control Message Protocol)
karena protokol ini dilewati oleh informasi dan pesan-pesan kesalahan diantara
dua node dalam network. Internet Group Message Protocol(IGMP) dapat
dieksploitasi dengan menggunakan serangan tipe ini karena IGMP melaporkan
kondisi kesalahan pada level user datagram, selain itu juga protokol ini
mengandung Informasi routing dan Informasi Network. (UDP) User Datagram
Protocol juga dapat diminta untuk menampilkan identitas host sasaran.

1.1.2 ARP Spoofing
Ada juga Address Resolution Protocol (ARP) spoofing, juga dikenal sebagai ARP
Poison Routing (APR), adalah suatu teknik yang digunakan untuk menyerang
Ethernet kabel atau jaringan nirkabel. ARP Spoofing dapat memungkinkan
seorang penyerang untuk mengendus frame data pada jaringan area lokal (LAN),
memodifikasi lalu lintas, atau menghentikan lalu lintas sama sekali (dikenal
sebagai denial of service attack). Serangan hanya dapat digunakan pada jaringan
yang benar-benar memanfaatkan ARP dan bukan metode lain resolusi alamat.

Prinsip ARP spoofing adalah dengan pengiriman palsu, atau "palsu", ARP pesan
ke Ethernet LAN. Pada umumnya, tujuannya adalah untuk mengasosiasikan
alamat MAC penyerang dengan alamat IP node lain (seperti default gateway).
Setiap lalu lintas yang dimaksudkan untuk alamat IP akan keliru dikirim ke
penyerang saja. Penyerang dapat kemudian memilih untuk meneruskan lalu lintas
ke default gateway sebenarnya (pasif sniffing) atau memodifikasi data sebelum
meneruskan itu (man-in-the-tengah serangan). Penyerang juga dapat melancarkan
serangan denial-of-service attack terhadap korban dengan mengasosiasikan
alamat MAC yang tidak ada ke alamat IP gateway default korban. Serangan
spoofing ARP dapat dijalankan dari host dikompromikan, atau dari mesin
penyerang yang terhubung langsung ke target segmen Ethernet.

Solusi untuk mencegah IP spoofing adalah dengan cara mengamankan packet-
packet yang ditransmisikan dan memasang screening policies. Enkripsi Point-to-
point juga dapat mencegah user yang tidak mempunyai hak untuk membaca
data/packet. Autentikasi dapat juga digunakan untuk menyaring source yang legal
dan bukan source yang sudah di spoof oleh attacker. Dalam pencegahan yang lain,
Admininistrator dapat menggunakan signature untuk paket-paket yang
berkomunikasi dalam networknya sehingga meyakinkan bahwa paket tersebut
tidak diubah dalam perjalanan.

Anti Spoofing rules(peraturan anti spoof) yang pada dasarnya memberitahukan
server untuk menolak packet yang datangnya dari luar yang terlihat datangnya
dari dalam, umumnya hal ini akan mematahkan setiap serangan spoofing.

1.2 Macam-macam spoofing
1.2.1 IP Spoofing

IP Spoofing adalah serangan teknis yang rumit yang terdiri dari beberapa
komponen. Ini adalah eksploitasi keamanan yang bekerja dengan menipu
komputer, seolah-olah yang menggunakan komputer tersebut adalah orang lain .
sejumlah serangan yang menggunakan perubahan sumber IP Address.
Atau pemalsuan IP attacker sehingga sasaran menganggap alamat IP attacker
adalah alamat IP dari host yang asli bukan dari luar network.


Gambar 1.2 Penyerangan dengan IP Spoofing

I. SMURF Attack
Suatu Broadcast ping yang terkirim dan sumber IP dari ping terlihat sama
dengan IP address korban. Dalam kasus ini sejmlah besar komputer akan
merespon balik dan mengirim suatu Ping reply ke korban. Kejadiannya
terus berulang-kali, hingga mesin korban atau link mengalami overload
dan dalam kondisi Denial of Service.


II. Prediksi jumlah rangkaian TCP
Suatu koneksi TCP yang ditandai dengan suatu jumlah rangkaian client
dan server. Jika jumlah rangkaian tersebut dapat ditebak, para hacker
dapat membuat packet dengan memalsukan IP address dan menebak
urutan jumlah untuk melakukan hijack koneksi TCP.
III. Prediksi rangkaian melalui pemalsuan DNS
Server DNS biasanya mengquery server DNS lain untuk mengetahui nama
host yang lain. Seorang hacker akan mengirimkan suatu request ke server
DNS target seolah-olah seperti respon ke server yang sama. Dengan cara
ini para hacker dapat membuat client yang mengakses, misalnya situs
www.hotmail.com ke server milik sang hacker.
Contoh Kasus IP Spoofing . :

1. Kasus Scam (Penipuan) mengatasnamakan institusi pemerintah
ID-CERT menerima laporan dari sebuah kelompok anti fraud di Eropa
yang menyampaikan keluhan tentang adanya dugaan email scam yang
beredar di Eropa mengatasnamakan institusi pemerintah Indonesia dan
meminta bantuan ID-CERT melakukan investigasi lebih jauh tentang hal
ini.
Merespon hal ini, ID-CERT menyatakan bahwa untuk masalah teknis
dihimbau kepada ISP, NAP dan operator telekomunikasi untuk membantu
menginformasikan kepada pelanggan mereka tentang adanya
kemungkinan kelemahan pada sistem mereka yang mungkin saja
dimanfaatkan oleh pihak lainnya.

2. Sedangkan untuk masalah investigasinya, ID-CERT menyerahkan
masalah ini kepada sejumlah pihak terkait untuk menelusurinya lebih jauh
karena ID-CERT tidak memiliki kewenangan apapun untuk melakukan
hal tersebut.
Situs web pemerintah disusupi phishing Terdapat sejumlah kasus
spoofing/phishing berkombinasi dengan malware yang menimpa
sejumlah situs web pemerintah (.go.id) dan peristiwa ini kerap berulang
dalam beberapa minggu setelah diperbaiki.
Adapula yang kontaknya tidak merespons dan setelah ditelusuri, ternyata
kontak admin dari institusi pemerintah tersebut diberikan kepada
vendor/pihak ketiga/non-pegawai institusi yang bersangkutan.
3. IP Address pemerintah yang digunakan untuk melakukan Network
Incident ke luar/dalam negeri, seperti melakukan DDOS Attack, Probing
bahkan hingga Flooding Laporan terbanyak untuk sektor pemerintah ini
justru datang dari IP Address dan situs web yang digunakan oleh
kalangan pendidikan di bawah kemdiknas. Untuk Situs web, banyak
laporan tentang adanya situs web .sch.id dan ac.id yang mengalami
serangan cyber.

4. Kasus spoofing/phishing ke bank di Indonesia dan Malaysia

Kasus terbanyak yang dilaporkan ke ID-CERT dalam masalah
spoofing/phishing ini adalah situs web perbankan di Indonesia yang
dipalsukan serta dibuat mirip dengan aslinya.
Umumnya situs yang dipalsukan adalah dengan nama domain generik
(.com, dan .net). Sedangkan untuk bank dengan nama domain .co.id,
hampir belum pernah ada laporan yang masuk.
Selain bank di Indonesia, hal yang sama juga menimpa situs perbankan di
Malaysia dan Eropa yang justru dipalsukan dan ditempeli disitus web
maupun IP Address organisasi di Indonesia.
"Kesulitan ID-CERT adalah dalam hal menghubungi pihak perbankan di
Indonesia yang menjadi korban agar ada awareness dari pihak perbankan
yang bersangkutan untuk bisa memberikan himbauan antisipasi kepada
nasabah mereka," kata Ahmad Alkazimy, dari ID-CERT.
"Sedangkan dari luar negeri, justru ID-CERT banyak menerima laporan
dari CERT Perbankan Brazil dan HSBC Amerika Serikat selain juga
tentunya dari CMC Malaysia dan Anti Fraud Comand Center (AFCC)
yang banyak menginformasikan tentang adanya situs perbankan mereka
yang dipalsukan menggunakan nama domain maupun IP Address
Indonesia," pungkasnya.

1.2.2 DNS Spoofing
DNS Spoofing adalah salah satu metode hacking Man In The Middle
Attack (MITM). Hampir sama konsepnya dengan ARP Spoofing, tapi yang
membedakan adalah Attacker akan memalsukan alamat IP dari sebuah domain.
DNS adalah Domain Name Server, yaitu server yang digunakan untuk
mengetahui IP Address suatu host lewat host name-nya. Dalam dunia internet,
komputer berkomunikasi satu sama lain dengan mengenali IP Address-nya.
Namun bagi manusia tidak mungkin menghafalkan IP address tersebut, manusia
lebih mudah menghapalkan kata-kata seperti www.yahoo.com, www.google.com,
atau www.facebook.com. DNS berfungsi untuk mengkonversi nama yang bisa
terbaca oleh manusia ke dalam IP addresshost yang bersangkutan untuk
dihubungi.
Jadi ketika target melakukan request terhadap sebuah alamat domain dengan
alamat IP A, dengan DNS Spoofing, oleh gateway request user tersebut akan di
forward ke alamat IP palsu dari attacker.


Gambar 1.3 DNS Spoofing
1.2.3 Identity SPOOFING

Spoofing terjadi ketika penyerang menentukan dan menggunakan alamat IP dari
jaringan, komputer, atau jaringan komponen tanpa wewenang untuk
melakukannya. Sebuah serangan yang sukses memungkinkan penyerang untuk
beroperasi sebagai jika penyerang adalah entitas biasanya diidentifikasi oleh
alamat IP. Dalam konteks Office Communications Server 2007 R2, situasi ini
datang ke dalam bermain hanya jika administrator telah melakukan kedua hal
berikut:
Koneksi dikonfigurasi yang hanya mendukung Transmission Control Protocol
(TCP) (yang tidak dianjurkan, karena komunikasi TCP tidak terenkripsi).
Harus menandai alamat IP dari koneksi tersebut sebagai host yang terpercaya. Ini
adalah kurang dari masalah untuk Transport Layer Security (TLS) koneksi, yang
secara definisi dienkripsi.
Tindakan pencegahan ini dapat mencegahnya untuk melakukan spoofing alamat
IP pada koneksi tertentu (misalnya, hubungan timbal balik TLS). Tapi penyerang
masih bisa spoof alamat server DNS yang menggunakan Office Communications
Server. Meskipun spoofing ini merupakan ancaman bagi Office Communications
Server, tidak ada server dapat lakukan untuk mencegahnya. Mencegah serangan
ini membutuhkan TI-infrastruktur dan mitigasi jaringan tingkat.

1.3 Langkah-langkah pencegahan Teknik Spoofing
1.3.1 Pencegahan DNS Spoofing
Anda dapat mencoba dengan mendisable recursive query ke nameserver dengan
membuat split DNS yaitu membuat dua nameserver. Nameserver utama di
gunakan untuk menangani domain name dari public domain. sedangkan
nameserver kedua di yang berada di internal network bertugas sebagai cache
nameserver yang bertugas menjawab query dari user yang merequest domain
tersebut sehingga kalau pun di serang dengan ribuan query hal ini tidak akan
meracuni informasi public domain karena sudah di tangani oleh nameserver
pertama yang di lengkapi juga dengan firewall.
1.3.2 Pencegahan ARP Spoofing
Lakukan pengecekan MAC Address dengan menggunakan tools, kami
menggunakan Colasoft MAC Scanner Scan network kemudian lihat hasil yang
didapat, jika terdapat 2 buah IP Address dengan nilai MAC Address yang sama
dengan Gateway
Putus client tersebut dari jaringan, kemudian scan virus dengan menggunakan
antivirus yang up-to-date virus databasenya
Setelah dilakukan virus scanning, lakukan langkah penutup ini: buka Command
Prompt lalu ketik: arp s ip_address_gateway mac_address_gateway lalu
tekan tombol Enter, selesai.
1.3.3 Pencegahan IP Spoofing
Enkripsi dan Authentifikasi
kita juga dapat mengatasi IP spoofing dengan mengimplementasi kan
authentifikasi dan enkripsi data. Kedua fitur ini sudah digunakan pada Ipv6.
Selanjutnya kita harus mengeliminasi semua authentikasi berdasarkan host, yang
di gunakan pada komputer dengan subnet yang sama.


1. Kodisi Sebelum di lakukan enkripsi

Gambar 1.4 Penyrangan IP Spoofing
2. Kondisi Setelah dilakukan Enkripsi

Gambar 1.5 Pencegahan IP Spoofing dengan Enkripsi


1.4 Contoh Pencegahan ARP, DNS, DHCP Spoofing, dan SSLStrip Snifing
1. Pencegahan Arp,dns,dhcp spoofing


Mengubah Arp komputer kita dari dinamyc ke static caranya :

Untuk Windows : masuk ke menu "Run" ketik "cmd" setelah muncul
layarhitam (konsole ) ketik "getmac" untuk melihat MACADDRES Dan
"ipconfig" untuk melihat ip addres komputer anda Misalnya:
MACADDRES yang anda punya"18:f4:6a:75:de:cd" dan Ip addres anda
192.168.88.7.langakah selanjutnya Mengubah Arp Anda menjadi static
Perintahnya : "arp -s [Ip_Addres ] [MAC_Anda]"


Jadi seperti ini: "Arp -s 192.168.88.7 18:f4:6a:75:de:cd"


Untuk Linux : Buka konsole (terminal) ketik "macchanger -s wlan0" untuk
menampilkan MACADDRES yang anda miliki,ingat..!! "sesuaikan device
wireless yang anda gunakan" kalau saya "wlan0"Misalnya :MACADDRES
anda "07:f4:6a:71:de:ce" .Langkah selanjutnya Mengubah Arp anda
Menjadi Static Perintahnya:"arp -i wlan0 -s 192.168.88.7
07:f4:6a:75:de:ce"


2. Pencegahan SSLstrip
Serangan mitm dengan sslstrip ini dilakukan dengan memanfaatkan
kemalasan pengguna untuk langsung menggunakan https. Pengguna
yang malas memilih untuk menggunakan http biasa dan berharap di-
redirect ke url https otomatis atau menemukan link ke url https. Padahal
pada saat pengguna menggunakan http biasa itulah pengguna berpotensi
terkena serangan mitm. Bila pengguna langsung menggunakan https,
maka pengguna akan aman dan terbebas dari serangan mitm. Jadi mulai
sekarang biasakanlah mengetikkan https:// di URL anda bila ingin
mengakses situs yang sensitif. misalnya gmail,ymail,facebook,paypal dll


Melakukan Ping terhadap website yang anda ingin kunjungi
contoh :

root@hatuhaha:~#ping http://www.facebook.com

PING 10.0.18.76 (10.0.18.76) 56(84) bytes of data.
64 bytes from 10.0.18.76: icmp_seq=1 ttl=64 time=0.063 ms
64 bytes from 10.0.18.76: icmp_seq=2 ttl=64 time=0.051 ms
64 bytes from 10.0.18.76: icmp_seq=3 ttl=64 time=0.050 ms
64 bytes from 10.0.18.76: icmp_seq=4 ttl=64 time=0.047 ms
64 bytes from 10.0.18.76: icmp_seq=5 ttl=64 time=0.053 ms
64 bytes from 10.0.18.76: icmp_seq=6 ttl=64 time=0.050 ms

hasil ping di atas menunjukan bahwa DNS anda telah di alihkan ke Ip
10.0.18.76 yang bukan Real addres Facebook.





DAFTAR PUSTAKA

http://g0tch4.blogspot.com/2009/10/apa-sih-spoofing.html
http://ajiw-perkapalan1.blogspot.com/2013/07/apa-itu-spoofing.html
http://pacarita.com/pengertian-ip-spoofing-cara-kerja-dan-pencegahan-ip-
spoofing.html
http://ajiw-perkapalan1.blogspot.com/2013/07/apa-itu-dns-spoofing.html
http://ajiw-perkapalan1.blogspot.com/2013/07/apa-itu-ip-spoofing.html
http://paguyubanpenggunablankonmalang.blogspot.com/2013/08/mencegah-
serangan-arp-spoofingdns.html