Publikasi 10.11.4546 PDF
Publikasi 10.11.4546 PDF
NASKAH PUBLIKASI
diajukan oleh
kepada
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
AMIKOM YOGYAKARTA
YOGYAKARTA
2014
ii
ABSTRACT
The security of a network is often interrupted by the threat of intruders from within
and outside the network. The condition of the existing network infrastructure in Jogja
Digital Valley vulnerable to hacker attacks or crackers through open ports that can be
used with the aim to destroy the computer network connected to the Internet or steal
important information on cloud servers.
This research was conducted to establish monitoring and intruder detection
systems (IDS) on the cloud servers to reduce the threat or damage arising from hacking
activity. IDS using Snort, these sensors will sniff the traffic to the server and issue alerts if
there is an intruder in the form of logs. The results of the log will be saved and displayed
using a web -based Snorby.
Once the research is carried out, it was found that the Snort sensor is able to
detect any attempt DoS attacks and port scanning. Additional monitoring system using
Snorby would be for the administrator to do the documentation and analyzes to make
decisions based on the information obtained.
Keywords
Intrusion
Detection
System
(IDS),
Snort,
Network
Security
1.
Pendahuluan
Jaringan komputer terus mengalami kemajuan dan perkembangan yang pesat. Hal
ini memerlukan pengelolaan jaringan yang baik agar dapat menjamin ketersediaan
jaringan yang selalu tinggi. Tugas pengelolaan jaringan yang dilakukan oleh seorang
administrator memliki beberapa permasalahan, diantaranya berkaitan dengan keamanan
jaringan komputer. Semakin bertambahnya pengguna didalam sebuah jaringan semakin
besar pula resiko terjadinya kerusakan, kehilangan atau penyalahgunaan baik dari faktor
internal maupun pihak eksternal yang tidak diinginkan.
Menurut laporan terbaru dari Akamai Technologies pada kuartal pertama 2013
hingga akhir kuartal kedua 2013, tercatat jumlah serangan cyber terbesar berasal dari
Indonesia, meningkat hingga dua kali lipat dari periode sebelumnya. Berdasarkan
laporan keamanan tersebut, Indonesia menempati posisi teratas dengan prosentase
38%, naik 17% dari periode sebelumnya, disusul China dengan prosentase 33%.
Jogja Digital Valley (JDV) merupakan co-working space dan digital startup incubator
yang dikembangkan oleh Telkom di kota Yogyakarta tahun 2013. Sebagai co-working
space berbasis IT akan dikembangkan sebuah server sebagai cloud computing berbasis
layanan Software as a Service (SaaS) untuk melayani kebutuhan pengunjung atau
member. Seiring dengan meningkatnya jumlah member yang terdaftar dan rata-rata
pengunjung 35-50 per harinya serta keterbatasan administrator dalam monitoring
menjadi kendala untuk mengawasi aktifitas jaringannya jika muncul adanya penyusup
(intruder) atau ancaman. Belum adanya sistem yang mampu mengcapture atau merekam
segala aktivitas yang terjadi di server mengakibatkan integritas
sistem
bergantung
Landasan Teori
jadikan bahan sebagai tinjuan pustaka adalah jurnal ilmiah yang disusun oleh Bayu
Wicaksono, Periyadi,ST, Mohamad Idham Iskandar,SH dengan judul Perancangan dan
Implementasi IPS (Intrusion Prevention System) Berbasis Web Menggunakan Snort dan
Iptables yang diambil dari http://openjurnal.politekniktelkom.ac.id.
2.2. Konsep Dasar Keamanan Jaringan
Konsep dasar keamanan jaringan menjelaskan lebih banyak mengenai keterjaminan
(security) dari sebuah sistem jaringan komputer yang terhubung ke internet terhadap
ancaman dan gangguan yang ditujukan kepada sistem tersebut. (Jufriadif NaAm, 2003)
2.
Integrity (integritas). Keaslian data atau informasi yang dikirm melalui jaringan dari
sumber ke penerima secara lengkap, tanpa ada modifikasi atau manipulasi oleh
pihak yang tidak berwenang.
3.
Perencanaan keamanan yang baik dapat membantu menentukan apa yang harus
dilindungi, seberapa besar nilai atau biayanya, dan siapa yang bertanggung jawab
terhadap data maupun aset-aset lain dalam jaringan komputer. Secara umum terdapat
tiga hal yang harus diperhatikan dalam perencanaan kebijakan keamanan jaringan
komputer:
1.
2.
Ancaman (threat)
Menyatakan sebuah ancaman yang datang dari seseorang yang mempunyai
keinginan untuk memperoleh akses illegal ke dalam suatu jaringan komputer seolaholah mempunyai otoritas terhadap jaringan tersebut.
3.
atau aktivitas sebuah host apakah terjadi percobaan serangan atau penyusupan dalam
jaringan atau tidak.
2.4.2. Metode Analisis Event IDS
2.4.2.1. Signature Based
Signature based menggunakan pendekatan dengan cara pencocokan kejadian
(event) dengan jenis serangan yang telah dikenal pada database IDS. Teknik ini sangat
efektif dan merupakan metode utama yang digunakan pada beberapa perangkat atau
produk IDS untuk mendeteksi serangan.
2.4.2.2. Anomaly Based
Anomaly based menggunakan pendekatan dengan cara mengidentifikasi perilaku
atau aktivitas yang tidak biasa yang terjadi pada suatu host atau jaringan. Anomaly
based membentuk perilaku dasar pada sebuah kondisi jaringan normal dengan profil
pengguna tertentu kemudian mengukur dan membandingkannya ketika aktivitas jaringan
berjalan tidak normal.
2.4.3. Cara Kerja IDS/IPS
IDS dapat berupa perangkat lunak atau perangkat keras yang melakukan
otomatisasi proses monitoring kejadian yang terjadi pada sebuah jaringan. IDS dibuat
bukan untuk menggantikan fungsi firewall karena memiliki tugas yang berbeda. IDS
adalah pemberi sinyal pertama jika terjadi serangan atau adanya penysup dalam
jaringan. Kombinasi keduanya membentuk sebuah teknik Instrusion Prevention System
(IPS).
2.5. Perangkat Lunak Yang Digunakan
2.5.1. Snort
Snort (www.snort.org) adalah salah satu tool atau aplikasi open source Intrusion
Detection System (IDS) terbaik yang tersedia dan dikembangkan hingga saat ini. Snort
dirancang untuk beroperasi berbasis command line dan telah diintegrasikan ke beberapa
aplikasi pihak ketiga dan mendukung cross platform. Snort menganalisis semua lalu
lintas jaringan untuk mengendus (sniff) dan mencari beberapa jenis penyusupan dalam
sebuah jaringan.
Snort dapat berjalan pada tiga (3) mode antara lain:
1.
2.
Logger mode, untuk mencatat (log) semua paket yang lewat dijaringan untuk di
analisa dikemudian hari.
3.
Intrusion Detection Mode, pada mode ini snort akan berfungsi untuk mendeteksi
serangan yang dilakukan melalui jaringan komputer. (Ellysabeth Januar C., Moch.
Zen Samsono Hadi, Entin Martiana K., 2011)
yang
terdiri
atas
Linux,
Apache
HTTPD
Server,
MySQL,
serta
PHP/Python/Perl. Paket yang terdapat pada LAMP dapat bervariasi, sehingga compiler
PHP dapat juga diintegrasikan dengan Python atau Perl sesuai dengan kebutuhan. (Nur
Arifin Akbar, Maman Somantri, dan R. Rizal Isnanto, 2013)
2.5.3. Barnyard2
Barnyard2 adalah tool open source sebagai penerjemah alert unified dan log dari
Snort. Barnyard2 dapat meningkatkan efisiensi Snort dengan cara mengurangi beban
pada sensor deteksi. Barnyard2 bekerja dengan membaca Snort's unified logging output
files dan memasukannya kedalam database. Jika database tidak tersedia maka
Barnyard2 akan memasukan semua data ketika database tersedia kembali sehingga
tidak ada alert atau log yang hilang.
Barnyard2 dapat berjalan pada tiga (3) mode antara lain:
1.
Batch (or one-shot), Barnyard2 akan memproses secara eksplisit file yang telah
ditentukan.
2.
Continual, Barnyard2 akan mulai memproses dari lokasi file dan file tertentu dan
terus memproses data baru (new spool file).
3.
2.5.4. Snorby
Snorby adalah salah satu aplikasi web (front-end) berbasis ruby on rails untuk
memantau sistem keamanan jaringan komputer dengan tampilan antarmuka berbasis
GUI (Graphical User Interface). Snorby telah terintegrasi dengan beberapa aplikasi IDS,
seperti Snort, Suricata, dan Sagan. Beberapa fitur dan kelebihan snorby antara lain:
1.
Metrics dan Reports. Menampilkan data-data dan kejadian (event) IDS dengan
tampilan grafis dan relevan.
2.
Christine E.J. 2011, Aplikasi Hierarchical Clustering pada Intrusion Detection System Berbasis
Snort, ITS, Surabaya, hal 2
4
Akbar, N.A. Somantri, M. Isnanto, R. Rizal. 2013. Implementasi Penutupan Celah Keamanan
pada Aplikasi Web Berbasis Joomla 1.5.5 Serta Server Berbasis Ubuntu 8.04 dengan Kernel
2.6.24. Universitas Diponegoro Semarang. Semarang. hal 2
3.
4.
5.
6.
2.5.5. Iptables
Iptables adalah modul di Linux, yang memberikan dukungan langsung terhadap
kernel Linux mulai versi 2.4, Untuk keamanan sistem serta beberapa keperluan jaringan
lainnya. Didalam konsep jaringan, semua service (seperti web, ftp, mail, dns, dll) berjalan
melalui jalur yang dinamakan port. Sehingga dengan firewall ini dapat dilakukan proses
penyaringan traffic network apa dan bagaimana yang diperbolehkan atau dilarang.
Iptables dapat digunakan untuk melakukan seleksi terhadap paket-paket yang
datang baik input, output maupun forward berdasarkan Ip address, identitas jaringan,
nomor port, source (asal), destination (tujuan), protokol yang digunakan bahkan
berdasarkan tipe koneksi terhadap setiap paket (data) yang dinginkan.
Konfigurasi Iptables paling sederhana setidaknya menangani 3 kumpulan aturan
yang disebut chain. Paket-paket yang diarahkan ke mesin firewall dinamakan chain
INPUT, paket-paket yang diteruskan melewati firewall dinamakan FORWARD dan paketpaket yang menuju jaringan eksternal meniggalkan mesin firewall disebut OUTPUT.
Keputusan yang diambil untuk suatu paket dapat berupa:
a.
b.
c.
d.
3. Analisis
3.1. Analisis Kelemahan Sistem
Kondisi saat ini server-server di Jogja Digital Valley dipasangkan IP public yang
menyebabkan kemungkinan terpublikasikan atau dapat diaksesnya informasi tersebut
dari Internet. Informasi yang penulis dapat dari Network Administrator bahwa terdapat 6
blok ip public yang digunakan.
5
Sujito. Roji, M.F. 2010. Sistem Keamanan Internet Dengan Menggunakan IPtables Sebagai
Firewall. STMIK Pradnya Paramita Malang. Malang. hal 67
Penulis melakukan percobaan dengan metode port scanning melalui jaringan LAN
menggunakan range ip tertentu untuk mengetahui ip mana yang up dan down.
Penulis kemudian mencoba mengirimkan sejumlah paket icmp berukuran besar
(ping flood) ke salah satu ip server dan server membalas, tetapi jika dibiarkan dalam
kondisi seperti ini lama kelamaan server pun bisa menjadi lambat (down).
Hasil uji coba port scanning pada server juga menunjukan bahwa terdapat 5 service
yang terbuka dan menggunakan default port, yaitu Domain (53), SMTP (25), SSH (22),
WWW-HTTP (80), dan POP3 (110). Sehingga mengindikasikan sistem keamanan
jaringan internet Jogja Digital Valley rentan dan vulnerable.
kebutuhan
sistem
merupakan
proses
identifikasi
dan
evaluasi
2.
3.
4.
2.
PC Server
2.
3.
4.
5.
6.
7.
8.
Tools PenTest
a.
Advanced Port Scanner dan Nmap, tools untuk melakukan scanning port
b.
Indikator
Nama Pengujian
Komputer server
Manfaat Pengujian
Pengujian
Service berjalan OK
Booting dengan
Status
Mengetahui server
Muncul halaman
login
normal
Komputer server
Menambahkan
Menjalankan Snort
Muncul status
dapat menjalankan
command D
pada terminal
daemon mode
(daemon mode)
background process
console
Komputer server
Mengetikan sudo
Mengetahui Snorby
Muncul halaman
dapat menjalankan
dan membuka
server -e production
menampilkan hasil
masuk ke
halaman utama
halaman Snorby
Tools
Jaringan
Pengujian
Hasil
yang
diharapkan
LOIC
Attacker melakukan
Advanced
peneterasi test ke
membaca trafik
cloud server
Port
Port
Scanning
Scanner
LAN
Status
Berhasil
Nmap
DoS
LOIC
WAN
Attacker melakukan
peneterasi test ke
membaca trafik
cloud server
Berhasil
LOIC
10
c.
host, service atau sistem operasi yang digunakan target. Cara paling mudah adalah
penulis memasukan ip server (cloud) pada kolom target, kemudian lakukan scan.
11
[**]
[1:28810:1]
COMMUNITY
SIP
TCP/IP
message
Keterangan :
Kolom 1 : informasi waktu dan tanggal serangan
Kolom 2 : informasi [GID:SID:RevID) Generator ID, Snort ID, dan Revision ID
Kolom 3 : informasi pesan yang ingin ditampilkan
Kolom 4 : informasi jenis klasifikasi jenis serangan
Kolom 5 : informasi prioritas jenis serangan
Kolom 6 : informasi jenis protokol yang digunakan
Kolom 7 : informasi source ip address dan port (ip attacker)
Kolom 8 : informasi destination ip address dan port (ip cloud server)
4.3.2. Tampilan Snorby GUI
12
Dari hasil Gambar 4.3 terlihat bahwa telah terjadi perubahan grafik dan peningkatan
jumlah serangan dari sebelumnya, hal ini menunjukan serangan dari dalam (local) dan
luar (internet) yang penulis lakukan dapat dideteksi oleh sensor IDS dengan baik.
Pada kolom disebelah kanan Last 5 Unique Events juga teridentifikasi beberapa
jenis serangan sesuai dengan yang penulis lakukan antara lain LOIC DoS, Protocol ICMP
PING, Scan Nmap, Indicator Shell-Code, dan Protocol SNMP request tcp.
Pada menu tab events akan menampilkan detail jenis serangan, ip source (attacker)
dan ip destination (server) dengan label merah (1), kuning (2), hijau (3) yang menunjukan
level prioritas serangan.
13
INPUT
-s 202.67.41.2
-j REJECT
14
Kemudian penulis mencoba melakukan ping flood melalui jaringan internet dengan
mengirimkan buffer size dalam jumlah besar (2000) pada target (server).
Ping 180.x.x.x l 2000
Distribusi IP Public pada infrastruktur dan jaringan cloud server JDV memberikan
kemudahan untuk diakses kapan saja dan dimana saja. Sedangkan kondisi saat ini
masih terdapat beberapa default port yang terbuka, hal inilah yang rentan
dimanfaatkan oleh attacker.
2.
Cara mengembangkan infrastruktur jaringan Jogja Digital Valley saat ini adalah
dengan membangun IDS server sehingga dapat mengirim alert berupa log ketika
terjadi serangan kepada administrator.
3.
Sistem deteksi penyusup yang digunakan adalah Snort dan dapat mendeteksi pola
serangan baik dari dalam (local) atau luar (internet) sesuai dengan rules yang telah
dibuat sebelumnya.
4.
Data dan log dari Snort disajikan dalam bentuk Graphical User Interface (GUI)
menggunakan aplikasi Snorby sebagai sistem monitoring.
5.
Secara umum Snort bekerja hanya sebagai sistem deteksi dan tidak mampu
menahan serangan, sehingga memerlukan kombinasi menggunakan Iptables
firewall sebagai tindak pencegahan serangan.
15
5.2. Saran
Pada penelitian ini tentu masih terdapat banyak kekurangan, yang mungkin dapat
dikembangkan lagi pada penelitian berikutnya, adapun saran yang dapat dipergunakan
kedepannya, antara lain :
1. Jenis IDS yang digunakan sekarang (NIDS) hendaknya dapat dikembangkan ke arah
sistem Hybrid Intrusion Detection System, yaitu penggabungan kemampuan antara
jenis NIDS dan HIDS.
2. Diharapkan dapat dikembangkan Snort untuk dapat mencegah serangan (IPS)
secara otomatis.
3. Penambahan modul lain yang mendukung kinerja IDS untuk membantu efisiensi
kerja seperti melakukan update rules Snort otomatis menggunakan pulledpork.
4. Penambahan modul seperti Phusion Passenger untuk melakukan deploy aplikasi
Ruby on Rails (Snorby).
16
Daftar Pustaka
Arief, Rudyanto. 2009. Penggunaan Sistem IDS (Intrusion Detection System) untuk
Pengamanan Jaringan dan Komputer. STMIK AMIKOM Yogyakarta.
Dwiyono, Aswin. 2008. Pengenalan Firewall dan Iptables Pada Jaringan Komputer.
Universitas Sriwijaya.
Hariwan, Panca. 2012. Pengembangan dan Analisa Kinerja Instrusion Detection
Prevention System (IDPS) pada Web Server. Universitas Indonesia.
Herrmann, D.S. 2002. Security Engineering and Information Assurance. Auerbach.
Holland, Ted. 2004. Understanding IPS and IDS: Using IPS and IDS together for Defense
in Depth. SANS Institute.
Kadir, Abdul, 2002. Penuntun Praktis Belajar SQL. Andi Publisher. Yogyakarta.
Lawton, George. 2005. LAMP Lights Enterprise Development Efforts. IEEE Computer.
Mell, Peter. 2001. Understanding Intrusion Detection System. Auerbach.
Mrdovi, S. Zajko, E. 2005. Secured Intrusion Detection System Infrastructure. University
of Sarajevo.
Roesch, Martin. 1999. Snort Lightweight Intrusion Detection for Networks. LISA.
Wicaksono, Bayu, dkk. 2010. Perancangan dan Implementasi IPS (Intrusion Prevention
System) Berbasis Web Menggunakan Snort dan Iptables. Politeknik Telkom
Bandung.
17