1. Celah Keamanan Komputer (ARP Spoofing)
ARP (Address Resolution
Protocol) adalah sebuah protokol dalamTCP/IP Protocol Suite yang bertanggung
jawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control
(MACAddress). ARP didefinisikan di dalam RFC 826. Ketika sebuah aplikasi yang
mendukung teknologi protocol jaringan TCP/IP mencoba untuk mengakses sebuah
host TCP/IPdengan menggunakan alamat IP, maka alamat IP yang dimiliki oleh host
yang dituju harus diterjemahkan terlebih dahulu ke dalam MAC Address agar
frame-frame data dapat diteruskan ke tujuan dan diletakkan di atas media
transmisi (kabel, radio, atau cahaya),setelah diproses terlebih dahulu oleh
Network Interface Card(NIC). Hal ini dikarenakan NIC beroperasi dalam lapisan
fisik dan lapisan data-link pada tujuh lapis model referensi OSI dan
menggunakan alamat fisik daripada menggunakan alamat logis(seperti halnya
alamat IP atau nama NetBIOS) untuk melakukan komunikasi data dalam jaringan.ARP
akan melakukan broadcast terhadap sebuah ARP Request Packet yang berisi
seolah-olah "Siapa yang memiliki alamat IPwww.xxx.yyy.zzz??".
Broadcast ini akan melakukan request terhadap MAC address dari komputer yang
dituju. Host tujuan kemudian merespons dengan menggunakan ARP Reply Packet yang
mengandung alamat MAC yang dimilikinya. Host yang melakukan request selanjutnya
menyimpan pemetaan alamat IP ke dalam MAC Address di dalam Local ARP Cache
secara sementara, siapa tahu nantinya akan diakses lagi di lain waktu. Jika
memang alamat yang dituju berada di luar jaringan lokal, maka ARP akan mencoba
untuk mendapatkan MAC address dari antar muka router lokal yang menghubungkan
jaringan lokal ke luar jaringan (di mana komputer yang dituju berada).
2. Isi MateriARP Spoofing memiliki kemampuan memalsukan MAC
Address router / proxy sehingga seluruh komputer intranet yang terhubung ke
internet melalui proxy akan dikelabui untuk melewati computer yang terinfeksi
virus dan celakanya komputer yang terinfeksi virusini akan meneruskan akses
router ini (transparent proxy) sambil "menitipkan" satu link download
yang berisi virus. Praktis pengakses internet dalam jaringan akan mendapatkan
kiriman virus setiap kali membuka browser. Karena yang “dikerjai” adalah
router, maka link berisi virus ini tidak akan pandang bulu dikirimkan ke
seluruh komputer dalam jaringan, tidak perduli apa merek browser yang dipakai,
baik IE, Firefox atau Safari sekalipun tetap mendapatkan kiriman virus. Menurut
pengetesan Vaksincom, selain Windows XP yang menjadi sasaran tembak virus,
ternyata OS Windows Vista dan Linux sekalipun akan tetap mendapatkan kiriman
virus ini setiap kali melakukan browsing. Hanya saja virus yang dikirim saat
ini bisa berjalan di platform Windows XP. Tetapi setidaknya hal ini menunjukkan
proof of concept bahwa secara teknis platform apapun dapat dicapai oleh virus.
Kembali ke analogi Demam Berdarah di atas, menurut pengamatan Vaksincom korban
virus ini cukup banyak, khususnya menyerang jaringan intranet yang tidak
terlindung oleh antivirus dengan "sempurna"**. Dan kebanyakan
korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya
sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali
menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger,
MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka
akan mendapatkan pesan error. Yang dimaksudkan dengan perlindungan antivirus
yang sempurna adalah SEMUA komputer dalam jaringan (khususnya WindowsXP) sudah
terlindung dengan antivirus yang terupdate. Disini dikatakan semua karena virus
ini hanya membutuhkan satu saja komputer di dalam jaringan intranet terinfeksi
virus ini dan dalam waktu singkat ia akan mengambil alih Gateway internet dan
menyebarkan dirinya ke seluruh komputer dalam jaringan intranet(dengan catatan
jaringan / switch belum dilengkapi dengan perlindungan anti ARP Spoofing atau
lebih dikenal dengan nama DHCP Snooping).
3. Gejala jaringan terinfeksi virus Jika koneksi internet di
kantor anda tahu-tahu mengalami kelambatan yang signifikan padahal koneksi
internet dari ISP tidak ada masalah di tambah komputer dalam jaringan
“berulang-ulang” mendapatkan insiden virus atau ketika menjalankan Yahoo Messenger
anda mendapatkan pesan “An error has occured in thescript on this page”. Jika
anda menggunakan Norman VirusControl setiap kali menjalankan Yahoo Messenger /
MSNMessenger atau menjalankan browser terdeteksi virus dengan nama
W32/Agent.FUVR.Aksi virus ini pada beberapa OS adalah sebagai berikut :
• Windows XP tanpa antivirus / antivirus tidak terupdate. Tidak
ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus PC yang terinfeksi
akan menjadi host virus di dalam jaringan yang kemudian akan memalsukan MAC
Address Gateway. • Windows XP dengan antivirus terupdate dan mampu mendeteksi
virus ini. “Setiap kali” menjalankan aplikasi yang mengakses fitur browser
seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login
MSN Messenger akan mendapatkan pesan bahwa ada virus terdeteksi di sistem
Windows.
• Windows Vista “Setiap kali” menjalankan aplikasi yang mengakses
fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo
Messenger, login MSN Messenger akan mendapatkan pesan download error script
dari site :
Analisis
Ada celah di
ip (alamat internet) keamanan di jaringan kita yang dapat di masukin orang tanpa seijin
kita, ketika kita terkena ARP snoofing koneksi menjelajah internet kita menjadi
lama, tapi kalau kita memasang anti ARP snoofign atau di kenal DHCP Snooping jaringan
kita tidak akan terkena dampaknya.
Tidak ada komentar:
Posting Komentar