Pengantar Teknologi Informasi

Gerbang IT

Melindungi dan mengatasi “worm” Internet

Posted by fitriansyah76 on September 25, 2008

BULAN Agustus kemarin menjadi bulan “peperangan” bagi administrator jaringan komputer di seluruh dunia. Ini diakibatkan munculnya worm Internet yang menghabiskan resource komputer di dalam jaringan, mengakibatkan banyak komputer melakukan restart sendiri, menerima e-mail dengan jumlah dan ukuran yang besar, serta menghabiskan bandwidth jaringan lokal serta Internet.

Administrator jaringan terpaksa bekerja keras berjam-jam, menghabiskan waktu mereka mendeteksi, menghalangi, serta menghapus worm tersebut dari komputer di jaringan. Tulisan ini bermaksud untuk membagi pengalaman sebagai administrator jaringan komputer di Kampus ITB Ganesha dalam menangani permasalahan ini. Sewaktu tulisan ini dibuat, “peperangan” masih berlanjut, dan kebijakan penanganan yang kami rasakan tepat ini akan membuat “peperangan” melawan worm ini berakhir sesegera mungkin.

Jaringan komputer Kampus ITB Ganesha menjadi studi kasus yang cukup menarik dalam penanganan worm Internet ini, karena jaringan komputer ini memiliki tidak kurang dari 4.000 komputer client dan server yang tersebar di lebih dari 100 unit kerja, meliputi fakultas, departemen, laboratorium, kelompok penelitian, serta unit pelaksana teknis (UPT). Kesatuan unit-unit ini dihubungkan melalui backbone fiber optik Gigabit Ethernet dengan 3 Cisco Catalyst 6500 sebagai router utama bagi tiga area utama di Kampus Ganesha.

Istilah worm dipakai untuk menunjukkan sebuah virus komputer yang dikirimkan melalui jaringan komputer, yang tidak merusak data yang terdapat di komputer. Namun, memanfaatkan kelemahan pemrograman pada komputer sasaran untuk mereplikasi diri, menyebarkan dirinya ke komputer lain, serta memberi efek samping yang signifikan kepada jaringan komputer, misalnya menghabiskan bandwidth jaringan komputer dan Internet.

Worm yang berkeliaran di Internet pada saat ini ada dua macam, yaitu worm Blaster beserta variannya, bernama worm Welchia/Nachi, dan worm SoBig.F beserta variannya. Worm Blaster dan Welchia ini melakukan penyebarannya dengan memanfaatkan kelemahan pemrograman DCOM RPC pada Microsoft Windows 2000 dan Windows XP.

Komputer yang terkena worm ini akan mengirimkan trafik pada port tertentu yang membebani jaringan komputer. Sementara itu, worm SoBig.F menginfeksi komputer dengan sistem operasi Microsoft Windows yang akan mengirimkan e-mail dengan alamat palsu dan attachment berukuran besar. Sebenarnya ada beberapa worm yang aktif di Internet, namun pada saat ini efeknya tidak sebesar dua worm yang sedang aktif ini.

Metode penanganan

Jaringan komputer di ITB memiliki sistem keamanan jaringan yang cukup moderat, dengan tujuan mengamankan jaringan komputer dari serangan, tapi cukup memberi kebebasan bagi penggunanya untuk menjalankan berbagai aplikasi Internet.

Firewall pada pintu gerbang jaringan kampus dikonfigurasi menutup seluruh layanan, kecuali layanan Internet yang diinginkan, seperti WWW dan e-mail. Mail server pusat dikonfigurasi untuk tidak menerima attachment yang dikenal sebagai penyebar virus, misalnya file yang memiliki extension ganda seperti “txt.scr” atau “doc.pif”.

Ketika muncul berita tentang penyebaran worm ini di jaringan komputer ITB, administrator jaringan komputer ITB segera melihat analisa karakteristik worm pada situs antivirus seperti Symantec, dan segera memutuskan untuk melakukan filtering paket worm pada ketiga Cisco Catalyst 6500 di dalam kampus.

Filtering ini diperlukan untuk menghalangi penyebaran worm agar tidak leluasa berkeliaran menulari komputer lainnya, serta melihat komputer mana di jaringan yang terinfeksi. Keberadaan Cisco Catalyst 6500 ini ternyata sangat membantu administrator jaringan dalam mendeteksi keberadaan komputer yang terinfeksi worm dengan cepat, serta membantu menghambat penyebaran worm ini.

Setelah didapatkan data komputer mana saja yang terinfeksi, kami mengumumkan data ini melalui mailing list administrator jaringan ITB, dan mengimbau administrator komputer yang bersangkutan untuk segera membersihkannya.

Jaringan komputer yang cukup besar seperti di ITB dengan berpuluh-puluh departemen yang berbeda membutuhkan koordinasi yang baik dengan administrator jaringan di masing-masing departemen. Peranan mailing list administrator sangat membantu untuk berkoordinasi dengan administrator mengenai penyebaran worm di jaringan departemen, komputer departemen mana yang terinfeksi, serta metode pembersihannya.

Penggunaan perangkat pemantauan (monitoring) jaringan seperti MRTG serta RRDTools untuk memantau kondisi bandwidth juga memudahkan deteksi worm SoBig.F yang menginfeksi beberapa client dari mail server internal di unit kerja. Network sniffer segera dipakai untuk mengidentifikasi komputer yang terinfeksi. Nama komputer yang terinfeksi segera diberitahukan di mailing list administrator.

Rutin

Setelah mendapatkan kabar tersebut, administrator jaringan departemen dapat segera membersihkan komputer yang terinfeksi worm. Pembersihan komputer dari worm harus dilakukan tanpa tersambung ke jaringan untuk menghindari penularan dari komputer lain sewaktu pembersihan.

Kemudian komputer yang terinfeksi worm Blaster/Welchia terlebih dahulu harus di-install update dari Microsoft yang akan memperbaiki kelemahan pemrograman DCOM RPC, karena update ini akan membuat komputer yang sudah dibersihkan tidak akan tertulari worm kembali. Setelah update selesai diberikan, barulah komputer dibersihkan dari worm dengan removal tool yang sesuai.

Dua buah removal tool yang kami pergunakan dapat diambil di situs Symantec. com (http://securityresponse.symantec. com/) dan Bitdefender.com (http: //www. bitdefender.com/bd/site/ downloads. php? menu_id=20). Dengan langkah-langkah di atas, sebuah komputer dapat terbebas dari ancaman kedua worm tersebut.

Kami menjumpai komputer-komputer yang menjadi sasaran worm ini, namun komputer yang tidak terinfeksi adalah komputer yang sering sekali melakukan update rutin ke situs Windows Update milik Microsoft (http://windowsupdate.mi crosoft.com) sebelum munculnya worm ini. Pengguna yang memasang aplikasi firewall personal di komputer mereka juga tidak berhasil terinfeksi.

Aplikasi firewall personal yang dapat dipakai bermacam-macam, mulai dari yang terdapat built-in di Windows XP dengan nama Internet Connection Firewall (ICF), atau produk dari vendor lainnya, seperti BlackIce (http://blackice.iss.net), ZoneA larm Pro (http: //www.zonelabs.com), Mc Afee Personal Firewall (http://www.nai. com) dan Norton Personal Firewall (http://www.symantec.com).

Pencegahan

Berdasarkan pengalaman di atas, kami menyimpulkan bahwa penyebaran worm Internet dapat diredam secara signifikan dengan melakukan tiga langkah berikut, menggunakan firewall di jaringan komputer dan firewall personal di komputer untuk memperbolehkan servis Internet yang diperbolehkan masuk dan memblok sisanya. Kedua, selalu meng-update sistem operasi komputer, di mana pengguna Windows dapat memanfaatkan situs Windows Update dari Microsoft.

Dan ketiga, menggunakan antivirus populer serta meng-update database antivirus itu secara rutin. Penggunaan perangkat jaringan seperti firewall, aplikasi pemantauan jaringan, serta sniffer terbukti sangat membantu untuk melakukan deteksi serta penanganan dengan cepat, dengan dampak sesedikit mungkin bagi pengguna lainnya.

Worm Internet memang akan selalu bertambah sejalan dengan perkembangan teknologi komputer, sistem operasi, serta aplikasi dan jaringan komputer. Berbekal pengalaman, kita dapat mempersiapkan payung sebelum hujan, dengan beberapa panduan singkat namun tepat seperti yang saya tuliskan di atas.

(sumber Affan Basalamah, saat ini bekerja sebagai network administrator Jaringan Backbone Kampus ITB dan Internet AI3-ITB)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: