ARP Poisoning dan Pencegahannya

Jika kita artikan lebih sederhana,ARP poisoning ini adalah suatu teknik menyerang pada jaringan komputer lokal baik dengan media kabel atau wireless, yang memungkinkan penyerang  bisa mengendus frames data pada jaringan lokal dan atau melakukan modifikasi traffic atau bahkan menghentikan traffic.

Prinsipnya serangan ARP poisoning ini memanfaatkan kelemahan pada teknologi jaringan komputer itu sendiri yang menggunakan arp broadcast.

ARP berada pada layer 2, dimana alamat pada layer dua adalah MAC address.  Misalnya sebuah host (contoh: PC) yang terhubung pada sebuah LAN ingin menghubungi host lain pada LAN tersebut, maka dia membutuhkan inforamsi MAC address dari host tujuan.

 

Misal : HOST 1 , IP address : 192.168.101.10 , MAC address : 00:14:5E:47:6A:F4

HOST tujuan IP adderss : 192.168.101.1 (gateway),

Kira kira tabel arp pada host 1 sbb :

Internet Address      Physical Address      Type
(kosong)

Dari tabel tersebut tidak ada record yang berisi MAC address (MAC address ini kadang di sebut Phisical Address atau kadang juga disebut Burn In Address).

Di layer 2, HOST 1 mula mula akan melihat cache arp di host 1 (cara melihat cache arp di windows adalah dengan perintah arp -a). Nah Host yang memiliki IP tersebut akan menjawab dengan memberikan info MAC addressnya.

ARP Spoofing atau ARP Poisoning ini memanfaatkan kelemahan tersebut, yang secara sederhana bisa digambarkan bahwa komputer penyerang akan memberikan reply dengan jawaban yang palsu.

Full routing adalah kondisi yang terjadi ketika pada arp table host 1, record IP address host 2 di isi oleh MAC address Host penyerang. dan begitu juga pada arp table host 2, record IP address host 1 di isi oleh MAC address Host penyerang.

Pada HOST 1 (192.168.101.10)

Internet Address      Physical Address      Type
172.20.21.1           00-19-56-ed-87-c2     dynamic

Pada HOST 2 (192.168.101.11)

Internet Address      Physical Address      Type

172.20.21.136           00-19-56-ed-87-c2 dynamic

Dimana 00-19-56-ed-87-c adalah MAC address penyerang. Akibatnya semua komunikasi antara HOST 1 dan HOST 2 harus melewati dulu host penyerang.

Jika paket data yang dilewatkan dalam format clear text, maka penyerang dapat dengan mudah melihat apa pun yang dikirimkan, bisa username dan password dll.

Tools yang bisa digunakan untuk melakukan arp poisoning ini salah satunya adalah CAIN yang bisa berjalan di windows maupun linux. Software lainnya adalah Ettercap.

Saya melakukan experiment dengan cain dan hasilnya memang sangat mudah sekali melakukan arp poisoning ini. Dengan mudah saya bisa melihat atau mendapatkan username dan password beberapa orang yang saya jadikan experiment.

Bahkan karena dengan cain bisa dicapai FULL routing, maka koneksi https pun (artinya paket datanya di encrypt), bisa dengan mudah terlihat. Hal ini tentu saja jika user ketika mendapatkan warning di browsernya bahwa certificate web site yang dia kunjungi tidak valid, dia tetap klik “yes, continue”, atau “add exeption”.

Kejadian di kantor saya beberapa hari lalu agak mengejutkan saya, ternyata masih ada yang mencoba untuk mengendus username dan password dengan memanfaatkan celah arp. Suatu hal yang menurut saya “terlalu berani” untuk diendus. Kenapa sang “attacker” tidak mencoba di “lab” sendiri. Kan ga sebanding dengan resiko yang bakal ditanggung jika ketahuan sama “adminnya admin”. Buat kasus yang kali ini..si “attacker” kena banned and revoke.

Nah…kira-kira bagaimana toh solusi mencegah arp poisoning ini.

Dari sisi anda pengguna jaringan ada beberapa saran yang perlu di perhatikan :

  1. Untuk aplikasi kritis seperti internet banking, email gmail atau lainnya, Password : gunakan password yang aman  dan tidak menggunakan kata kata yang umum (ada dalam kamus)
  2. Jika tersedia, selalu pilih https dari pada http. Misal di Gmail ada pilihan mau pakai https atau http. (pada https, paket data pada komunikasi jaringan di encrypt, sehingga ketika terendus pun masih sulit untuk dibaca)
  3. Pada saat menggunakan https dan browser anda mengeluarkan warning atau peringatan bahwa certificate tersebut tidak valid atau dikeluarkan oleh CA yang tidak termasuk dalam trust anchor, maka anda harus waspada!
  4. Jangan menggunakan public area computer atau warnet untuk melakukan transaksi financial spt internet banking dll.

Dari sisi anda admin jaringan ada beberapa saran yang perlu di perhatikan :

  1. Jika anda menggunakan cisco, gunakan feature yang telah ada disana untuk memfilter mac-address yang terdaftar, dan revoke/disable jika ada violation pada masing-masing device
  2. Aktifkan logging pada setiap device, dan monitor secara berkala di logging server

Semoga membantu …

Salam
 

Advertisements
ARP Poisoning dan Pencegahannya

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s