implementasi proses information gathering sebagai … · 2019. 8. 20. · scanning menggunakan...
TRANSCRIPT
PROYEK AKHIR
IMPLEMENTASI PROSES INFORMATION GATHERING
SEBAGAI BAGIAN DARI PENETRATION TESTING
TERHADAP JARINGAN STMIK AKAKOM YOGYAKARTA
Oleh :
Rindha Fajirulhabshah
163310021
PROGRAM STUDI TEKNIK KOMPUTER
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN
KOMPUTER AKAKOM
YOGYAKARTA
2019
i
PROYEK AKHIR
IMPLEMENTASI PROSES INFORMATION GATHERING
SEBAGAI BAGIAN DARI PENETRATION TESTING
TERHADAP JARINGAN STMIK AKAKOM YOGYAKARTA
Karya Tulis Diajukan Sebagai Salah Satu Syarat
untuk Memperoleh Gelar Ahli Madya Komputer
Program Studi Teknik Komputer
Oleh :
Rindha Fajirulhabshah
163310021
PROGRAM STUDI TEKNIK KOMPUTER
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN
KOMPUTER AKAKOM
YOGYAKARTA
2019
ii
iii
iv
HALAMAN PERSEMBAHAN
Halaman persembahan ini penulis persembahkan kepada orang-orang yang
ada dan/atau pernah di kehidupan penulis.
Terima kasih penulis kepada orang-orang yang telah melahirkan penulis,
yang memberi dukungan penulis, yang merawat penulis, yang menjaga penulis,
yang membantu ketika penulis terjepit, yang mengingatkan ketika penulis salah,
yang sabar menghadapi penulis, yang menerima penulis apa adanya, yang memberi
fasilitas, yang pergi lalu kembali lagi, yang telah pergi ke pangkuan Sang Khalik,
yang membantu membuka pikiran maupun hati, dan yang pernah menggoreskan
luka di hati.
Tak lupa, penulis juga berterima kasih kepada Tuhan Yang Maha Esa
karena jika tidak ada campur tangan-Nya, penulis tidak bisa berdiri tegak di bumi-
Nya. Dia Yang Maha Kaya, Dia Yang Memiliki Alam Semesta, Dia Yang Pemilik
Segala-gala-Nya. Sehingga lewat tulisan ini penulis juga berpesan bahwa jadilah
orang yang selalu menginjakkan kaki di bumi. Karena jika Dia berkehendak, maka
alam melakukan tugasnya. Terima kasih.
v
INTISARI
IMPLEMENTASI PROSES INFORMATION GATHERING
SEBAGAI BAGIAN DARI PENETRATION TESTING
TERHADAP JARINGAN STMIK AKAKOM YOGYAKARTA
Oleh
Rindha Fajirulhabshah
163310021
Program Studi Teknik Komputer
Sekolah Tinggi Manajemen Informatika dan Komputer Akakom Yogyakarta
Setiap perseorangan maupun intansi memiliki informasi yang dimilikinya, baik
informasi yang berada di dunia nyata maupun dunia maya. Proses Information Gathering
yang merupakan bagian dari penetration testing dapat digunakan untuk mengumpulkan
informasi terkait perseorangan atau instansi yang menjadi target. Informasi tersebut dapat
berupa data dari perseorangan atau instansi tersebut yang ada kaitannya dengan internet.
Target dalam penelitian ini adalah domain STMIK AKAKOM Yogyakarta, akakom.ac.id.
Untuk bisa mendapatkan informasi yang dimaksud, harus melalui beberapa tahap
didalamnya antara lain menentukan target, menentukan lingkup target, melakukan
scanning menggunakan tools, melakukan analisa hasil dan pendokumentasian. Selain hal
tersebut, didalam proses information gathering juga terdapat teknik pengujiannya yaitu
teknik secara pasif dan teknik secara aktif. Teknik yang diterapkan pada penelitian ini
adalah teknik secara pasif. Dengan melalui proses tersebut dapat dikatakan telah melakukan
proses information gathering.
Penelitian ini menghasilkan informasi mengenai domain akakom.ac.id baik berupa
alamat IP, nama DNS, teknologi yang digunakan, aplikasi yang ada dan lain sebagainya.
Tidak hanya itu saja, hasil dari information gathering ini dapat digunakan sebagai poin
pemetaan dalam melakukan pola serangan yang akan dilakukan pada sistem yang akan
diuji saat melakukan penetration testing, selain itu juga apabila informasi yang didapat
berupa informasi perseorangan yang bersifat data pribadi, dapat digunakan untuk pola
serangan yang memanfaatkan celah pada kewaspadaan orang terhadap keamanan informasi
atau biasa disebut dengan social engineering attack dan dengan melakukan information
gathering dapat menemukan kelemahan pada suatu sistem. Informasi-informasi tersebut
nantinya dianalisa dan dilaporkan agar dapat digunakan dikemudian hari.
Kata kunci : Information Gathering, Penetration Testing
vi
ABSTRACT
IMPLEMENTATION OF INFORMATION GATHERING PROCESS
AS PART OF THE PENETRATION TESTING
TO NETWORK OF STMIK AKAKOM YOGYAKARTA
By
Rindha Fajirulhabshah
163310021
Computer Engineering Study Program
Sekolah Tinggi Manajemen Informatika dan Komputer Akakom Yogyakarta
Every person or company have the information which they have, both
information that is in the real world and cyberspace. Information gathering process as a
part of penetration testing can be used to collect the information about personal or
company related to the internet. Target of this research is STMIK AKAKOM Yogyakarta’s
domain, akakom.ac.id.
In this research to get the information in question, must go through several
stages in it among others specify the target, specify the scope of target, scan using tools,
analyze results and documentation. On than that, in the process of Information Gathering
there is a testing techniques that are passive technique and active technique. Through this
process it can be said that process of Information Gathering has occurred.
Results of this research is to get information about STMIK AKAKOM
Yogyakarta’s domain like IP Address, DNS Name, technologies used, existing applications,
etc. Not only that, the results of this information gathering can be used as a mapping point
in the pattern of attacks that will be carried out on the system that will be tested when
performing penetration testing, in addition, if the information obtained in the form of
personal information is personal attack patterns that take advantage of gaps in people's
awareness of information security or commonly referred to as social engineering attacks
and conducting information gathering can also find vulnerability in a system. The
information will be analyzed and reported to be used in the future.
Keywords: Information Gathering, Penetration Testing
vii
KATA PENGANTAR
Puji syukur kami panjatkan kepada Allah yang telah memberikan
kesempatan untuk menyelesaikan laporan Proyek Akhir yang berjudul
“Implementasi Proses Information Gathering Sebagai Bagian dari Penetration
Testing Terhadap Jaringan STMIK AKAKOM Yogyakarta”.
Dengan selesainya penulisan laporan Proyek Akhir ini tidak terlepas dari
berbagai pihak yang telah membantu baik secara ilmu maupun dukungan serta
mengingatkan akhirat, oleh karena itu melalui kesempatan ini penulis mengucapkan
terima kasih kepada:
1. Orang tua, kedua kakakku dan keluarga besar penulis
2. Kementerian Riset, Teknologi, dan Perguruan Tinggi Republik Indonesia
yang telah membiayai perkuliahan saya selama di jenjang Diploma III (D-
3) STMIK AKAKOM Yogyakarta melalui beasiswa Bidikmisi
3. Lembaga Layanan Pendidikan Tinggi Wilayah V Daerah Istimewa
Yogyakarta yang telah melancarkan proses administrasi perkuliahan selama
penulis menjadi mahasiswa Bidikmisi
4. Bapak Ir. Totok Suprawoto, M.M., M.T., selaku Ketua Sekolah Tinggi
Manajemen Informatika dan Komputer Akakom Yogyakarta
5. Bapak Ir. M. Guntara, M.T., selaku Wakil Ketua I Sekolah Tinggi
Manajemen Informatika dan Komputer Akakom Yogyakarta
6. Bapak Adi Kusjani, S.T., M.Eng., selaku Ketua Program Studi Teknik
Komputer, Sekolah Tinggi Manajemen Informatika dan Komputer Akakom
Yogyakarta dan juga sebagai dosen pembimbing
7. Bapak Totok Budioko, S.T., M.T., selaku dosen wali selama di STMIK
AKAKOM dan para dosen Program Studi Teknik Komputer yang tidak bisa
penulis sebutkan satu persatu
8. Ibu Dra. Syamsu Windarti, M.T.,Apt., Ibu Sri Redjeki, S.Si, M.Kom.,
Bapak Kuindra Iriyanta, S,Kom., dan Ibu Indra Yatini, S.Kom., M.Kom.,
viii
serta Bapak Edi Iskandar, S.T., M.Cs. selaku dosen-dosen pembimbing
beasiswa Bidikmisi STMIK AKAKOM Yogyakarta
9. Seluruh Dosen dan Staff Karyawan yang ada di lingkungan STMIK
AKAKOM yang memberikan ilmu yang bermanfaat selama penulis
mengenyam pendidikan di STMIK AKAKOM Yogyakarta
10. Guru-guru penulis dari TK IT Ibnu ‘Abbas Sidomoyo, TK ABA
Purwodiningratan Yogyakarta, SD Muhammadiyah Purwodiningratan
Yogyakarta, SMP Negeri 2 Godean dan SMA Negeri 1 Gamping. Juga
teman-teman seangkatan di instansi tersebut.
11. Bapak Mada Rambu Perdhana selaku CTO Authscure Sdn Bhd dan tim
(Bapak Ryan Endika Chandra, Bapak Gde Ardhi Satria, Bapak Yusmad
Saad dan Bapak Mabrur Habib serta Bahtiyar Istiyarno) yang telah
memberikan ilmu tentang keamanan informasi dan membantu selama satu
tahun masa perkuliahan saya,
12. Terima kasih saya juga ucapkan kepada Vicky Pamela Kusuma Rahardja,
Luhsita Gading, Listiyana, Ayu Widya Inggit, Eko Nur Jayadi, Ikram
Hendra Saputro, Ashar Sugeng Rinakit, Qorie Aini, Nurrohmah, Heribertus
Anang Nugroho, serta teman-teman yang tidak bisa saya sebutkan satu
persatu.
13. Para alumni STMIK AKAKOM yang telah membagi ilmunya kepada saya.
14. Keluarga besar Forum Komunikasi Pengurus OSIS Kabupaten Sleman
angkatan 1 hingga sekarang.
15. Teman-teman seperjuangan jurusan Teknik Komputer 2016 dan teman-
teman mahasiswa Bidikmisi angkatan 2016,
16. Keluarga besar Himpunan Mahasiswa Jurusan Teknik Komputer
17. Rekan-rekan Himpunan Mahasiswa Bidikmisi Kopertis Wilayah V
Yogyakarta 2017/2018 dan 2018/2019.
18. Semua pihak yang tidak dapat disebutkan satu persatu,
19. Almh. Latifa Silvia Erpriliani dan orang-orang yang telah dipanggil
olehNya, dan
20. Rindha Fajirulhabshah selaku penulis.
ix
Semoga karya tulis ini dapat memberikan manfaat khususnya bagi penulis
dan umumnya bagi pembaca.
Yogyakarta, Juni 2019
Rindha Fajirulhabshah
163310021
x
DAFTAR ISI
Hal.
HALAMAN JUDUL .............................................................................................. i
HALAMAN PERSETUJUAN ............................................................................. ii
HALAMAN PENGESAHAN .............................................................................. iii
HALAMAN PERSEMBAHAN………………………………………………....iv
HALAMAN INTISARI ........................................................................................ v
HALAMAN ABSTRACT .................................................................................... vi
KATA PENGANTAR ......................................................................................... vii
DAFTAR ISI .......................................................................................................... x
DAFTAR GAMBAR ........................................................................................... xii
DAFTAR TABEL .............................................................................................. xiv
BAB I PENDAHULUAN ...................................................................................... 1
1.1. Latar Belakang Masalah…. ……………………………………………..1
1.2. Tujuan……... ……………………………………………………………..3
1.3. Rumusan Masalah... ……………………………………………………..3
1.4. Batasan Masalah….. ……………………………………………………..3
BAB II DASAR TEORI DAN TINJAUAN PUSTAKA .................................... 5
2.1. Dasar Teori… ……………………………………………………………..5
2.1.1. Information Security .............................................................................. 5
2.1.2. Penetration Testing ................................................................................ 6
2.1.3. Teknik Information Gathering............................................................... 7
2.1.4. Metode Penetration Testing .................................................................. 9
2.1.5. Scanning Tools ..................................................................................... 10
2.1.6. DNS Cluster ......................................................................................... 11
2.1.7. Jenis Pemindaian.................................................................................. 12
2.2. Tinjauan Pustaka….. ……………………………………………………12
BAB III RANCANGAN SISTEM ..................................................................... 15
3.1. Kebutuhan Perangkat Keras……... ……………………………………15
3.2. Kebutuhan Perangkat Lunak…….. ……………………………………15
3.3. Deskripsi Rancangan Sistem ……………………………………………16
xi
3.4. Alur Diagram Nmap, theHarvester dan Maltego ……………………18
3.4.1. Alur Diagram Nmap dan theHarvester ................................................ 18
3.4.2. Alur Diagram Maltego ......................................................................... 19
BAB IV IMPLEMENTASI DAN PEMBAHASAN ......................................... 21
4.1. Reconnaissance…….. ……………………………………………………22
4.2. Scanning……. ……………………………………………………………22
4.2.1. Scanning Menggunakan Nmap ............................................................ 22
4.2.2. Scanning Menggunakan theHarvester ................................................. 28
4.2.3. Scanning Menggunakan Maltego ........................................................ 32
4.3. Reporting…... ……………………………………………………………33
4.3.1. Reporting Hasil Nmap ......................................................................... 34
4.3.2. Reporting Hasil theHarvester............................................................... 41
4.3.3. Reporting Hasil Maltego ...................................................................... 45
BAB V PENUTUP ............................................................................................... 53
5.1. Kesimpulan ……………………………………………………………53
5.2. Saran ……………………………………………………………………53
DAFTAR PUSTAKA .......................................................................................... 55
LAMPIRAN-LAMPIRAN……………………………………………………..58
xii
DAFTAR GAMBAR
Hal.
Gambar 1. 1 Data Statistik Pengguna Internet di Indonesia ……………………..1
Gambar 2. 1 Triad CIA…….. ……………………………………………………..6
Gambar 2. 2 Fase Penetration Testing……… ……………………………………..7
Gambar 2. 3 Perbedaan Metode Penetration Testing ……………………………10
Gambar 3. 1 Rancangan Sistem……. ……………………………………………16
Gambar 3. 2 Rancangan Sistem……. ……………………………………………17
Gambar 3. 3 Alur Diagram Nmap dan theHarvester ……………………………18
Gambar 3. 4 Alur Digram Maltego… ……………………………………………19
Gambar 4. 1 Perintah Untuk Memindai Port, Status dan Layanan… ……………22
Gambar 4. 2 Perintah dengan Menggunakan Fungsi –Pn….. ……………………23
Gambar 4. 3 Proses Pemindaian Menggunakan Nmap…….. ……………………24
Gambar 4. 4 Hasil Scanning Menggunakan Nmap dengan Fungsi –Pn…… ……25
Gambar 4. 5 Hasil Scanning Menggunakan Nmap dengan Fungsi –Pn…… ……25
Gambar 4. 6 Informasi Scanning Telah Selesai……. ……………………………26
Gambar 4. 7 Perintah Tanpa Menggunakan Fungsi –Pn…... ……………………27
Gambar 4. 8 Hasil Scanning Tanpa Menggunakan Perintah –Pn….. ……………27
Gambar 4. 9 Hasil Scanning Tanpa Menggunakan Perintah –Pn….. ……………27
Gambar 4. 10 Perintah Untuk Mendapatkan Informasi Lain ……………………28
Gambar 4. 11 Mendeteksi Sistem….. ……………………………………………28
Gambar 4. 12 Perintah Scanning Menggunakan theHarverster ……………28
Gambar 4. 13 Logo theHarvester….. ……………………………………………29
Gambar 4. 14 Proses Scanning Pada theHarvester ……………………………29
Gambar 4. 15 Informasi Alamat IP dan Email yang Didapatkan ……………30
Gambar 4. 16 Informasi Hostname dan alamat IP yang Didapatkan ……………31
Gambar 4. 17 Informasi Hostname dan Alamat IP yang Didapatkan ……………31
Gambar 4. 18 Pemindaian Menggunakan Maltego… ……………………………32
Gambar 4. 19 Informasi Mengenai DNS Name, Mail Server dan NS Record
Menggunakan Maltego……... ……………………………………33
xiii
Gambar 4. 20 Hasil Scanning Maltego Tahap Satu... ………..…………………..46
Gambar 4. 21 Hasil Scanning Maltego Tahap Dua... ……………………………47
Gambar 4. 22 Hasil Scanning Maltego Tahap Tiga.. ……………………………48
xiv
DAFTAR TABEL
Hal.
Tabel 2. 1 Penelitian yang Berhubungan Dengan Penetration Testing ................. 13
Tabel 3. 1 Rencana Hasil Information Gathering yang Ingin Didapatkan… ……17
Tabel 4. 1 Informasi Target Secara Umum Menggunakan Nmap…. ……………34
Tabel 4. 2 Informasi Port Pada Target Menggunakan Nmap ……………………34
Tabel 4. 3 Informasi Target Secara Umum Menggunakan Nmap…. ……………35
Tabel 4. 4 Informasi Port Pada Target Menggunakan Nmap ……………………36
Tabel 4. 5 Informasi yang Digunakan Untuk Mengetahui Informasi Lain… ……38
Tabel 4. 6 Penjelasan Informasi Lain ……………………………………………38
Tabel 4. 7 Penjelasan Mengenai Informasi Lain…... ……………………………40
Tabel 4. 8 Alamat IP yang Ditemukan Menggunakan theHarvester. ……………42
Tabel 4. 9 Alamat Email yang Ditemukan Menggunakan theHarvester…... ……42
Tabel 4. 10 Informasi Host, Alamat IP dan Hostname…….. ……………………43
Tabel 4. 11 Informasi Mengenai Perseorangan……. ……………………………49
Tabel 4. 12 Informasi Mengenai Nomor Telephone ……………………………49
Tabel 4. 13 Informasi Mengenai Perusahaan ……………………………………49
Tabel 4. 14 Informasi Mengenai Email……. ……………………………………50
Tabel 4. 15 Informasi Mengenai Lokasi…… ……………………………………50
Tabel 4. 16 Informasi Mengenai Website….. ……………………………………50
Tabel 4. 17 Informasi Mengenai Domain….. ……………………………………50
Tabel 4. 18 Informasi Mengenai Netblock… ……………………………………51
Tabel 4. 19 Informasi Mengenai IPv4 Address……. ……………………………51
Tabel 4. 20 Informasi Mengenai DNS Name ……………………………………51
Tabel 4. 21 Informasi Mengenai NS Record ……………………………………52
Tabel 4. 22 Informasi Mengenai MX Record……… ……………………………52