SKRIPSI
Oleh:
YONI SUDARMAN
1610530151
SKRIPSI
Oleh:
YONI SUDARMAN
1610530151
i
kritik dan saran yang membangun dari pembaca untuk kesempurnaan skripsi ini.
Akhirnya penulis berharap semoga tulisan ini bermanfaat bagi semua pihak.
Penulis,
ii
iii
IZIN PENGGUNAAN
Skripsi ini merupakan syarat kelulusan pada Program Studi S1 Ilmu Komputer
Universitas Bumigora, dengan ini penulis setuju jika skripsi ini digandakan
(diduplikasi) baik sebagian maupun seluruhnya, ataupun dikembangkan untuk
kepentingan akademis yang disetujui oleh pembimbing penulis, Ketua Program
Studi, Dekan Fakultas Teknik dan Desain.
Untuk dimaklumi, bahwa menduplikasi, mempublikasikan atau menggunakan
skripsi ini, maupun bagian-bagiannya dengan tujuan komersial / keuntungan
finansial, tidak diizinkan tanpa adanya izin tertulis dari Universitas Bumigora. Jika
hal ini dilanggar maka Universitas Bumigora akan memberikan sanksi sesuai
dengan hukum yang berlaku.
Penghargaan akademis terkait isi dari skripsi ini adalah pada penulis dan
Universitas Bumigora.
Permintaan izin untuk menduplikasi atau menggunakan materi dari skripsi ini baik
sebagian maupun seluruhnya harus ditujukan pada:
iv
ABSTRAK
Survei yang dilakukan oleh Sdxcentral pada tahun 2015 menunjukan bahwa
94% responden yang berasal dari kalangan perusahaan telah mengadopsi teknologi
container. Docker merupakan sebuah aplikasi platform virtualisasi container yang
bersifat open source, adopsi pemakaian Docker yang semakin meningkat membuat
para pengguna mulai berfokus pada sisi keamanan sehingga ketersediaan layanan
tetap terjaga. Penelitian sebelumnya hanya berfokus pada analisa kerentanan
keamanan dan performansi container ketika menghadapi serangan. Namun belum
ada yang mengarah kepada tindakan preventif sebelum terjadinya serangan.
Salah satu metode yang bisa digunakan yaitu dengan menerapkan Intrusion
Prevention System (IPS). Penerapan IPS menggunakan Snort yang diintegrasikan
dengan IPTables dapat membantu mengatasi permasalahan keamanan pada
container Docker. Snort memiliki fitur untuk mendeteksi dan mencegah serangan
paket-paket berbahaya dalam jaringan serta memberikan laporan berupa log kepada
administrator tentang aktivitas dan kondisi jaringan secara real-time.
Metodologi yang digunakan pada penelitian ini adalah Network
Development Life Cycle (NDLC). Terdapat 3 (tiga) tahapan yang digunakan yaitu
Analysis, Design, dan Simulation Prototyping. Pada tahap analysis dilakukan
pengumpulan data dan analisa data. Pada tahap desain dilakukan rancangan
jaringan ujicoba, pengalamatan IP, perancangan alur kerja system dan kebutuhan
perangkat keras dan lunak. Pada tahap simulation prototyping memuat tentang
instalasi konfigurasi pada masing-masing perangkat pendukung, uji coba dan
analisa hasil. Terdapat 3 skenario uji coba serangan yang dilakukan meliputi Prot
Scanning, DDoS HTTP Flood Attack, dan Brute Force Login Form.
Adapun kesimpulan dari penelitian ini adalah penerapan IPS berbasis Snort
yang di integrasikan dengan IPTable mampu mendeteksi dan memblokir tiga
serangan yang di ujikan yang mengarah ke container Docker secara real-time dan
menyimpan informasi serangan ke dalam sebuah log.
v
DAFTAR ISI
Halaman
LEMBAR PENGESAHAN PENGUJI
vi
2.7.3.Docker Compose ................................................................................ 22
2.7.4.Dasar Jaringan Docker........................................................................ 23
2.8. Keamanan Jaringan...................................................................................... 25
2.9. Aspek Keamanan Jaringan .......................................................................... 25
2.10. Intrusion Prevention Sistem (IPS) ............................................................... 26
2.10.1. Jenis-jenis Intrusion Prevention System (IPS) ................................ 26
2.10.2. Sistem Kerja Intrusion Prevention System ...................................... 27
2.11. Snort............................................................................................................. 28
2.11.1. Metode Pengoprasian Snort ............................................................. 29
2.11.2. Komponen Snort .............................................................................. 30
2.11.3. Rule Snort ........................................................................................ 31
2.12. IPTables ....................................................................................................... 31
2.13. Jenis Serangan Yang Digunakan Dalam Penelitian .................................... 33
2.14. VirtualBox ................................................................................................... 35
2.15. Linux ............................................................................................................ 36
BAB III METODOLOGI ................................................................................... 37
3.1. Analysis ........................................................................................................ 37
3.1.1. Pengumpulan Data ............................................................................ 37
3.1.2. Analisa Data ...................................................................................... 39
3.1. Tahap Desain (Design) ................................................................................ 40
3.2.1. Rancangan Jaringan Uji Coba .......................................................... 41
3.2.2. Rancangan Pengalamatan IP............................................................. 44
3.2.3. Rancangan Alur Kerja Sistem .......................................................... 45
3.2.4. Kebutuhan Perangkat Keras Dan Perangkat Lunak.......................... 46
3.2. Tahap Simulation Prototyping ..................................................................... 48
3.3.1. Tahap Instalasi Dan Konfigurasi ...................................................... 48
3.4.2. Skenario Pengujian ........................................................................... 50
3.4.3. Analisa Uji Coba .............................................................................. 50
BAB IV HASIL DAN PEMBAHASAN............................................................. 51
4.1. Hasil Instalasi dan konfigurasi .................................................................... 51
vii
4.1.1. Hasil Instalasi dan Konfigurasi Host IPS Snort ................................. 51
4.1.2. Hasil Instalasi dan Konfigurasi Host Container Docker .................... 55
4.1.3. Hasil Instalasi dan Konfigurasi Komputer Client zombie ................. 60
4.1.4. Hasil Instalasi dan Konfigurasi Komputer Attacker (Kali Linux) ..... 64
4.1.5. Hasil Instalasi dan Konfigurasi Client Windows ............................... 66
4.2. Hasil Uji Coba ............................................................................................. 67
4.1.1. Hasil Verifikasi Konfigurasi .............................................................. 67
4.1.2. Skenario Uji Coba .............................................................................. 79
4.1.3. Hasil Analisa .................................................................................... 113
BAB V ................................................................................................................. 120
PENUTUP .......................................................................................................... 120
5.1. Kesimpulan ................................................................................................ 120
5.2. Saran .......................................................................................................... 120
DAFTAR REFERENSI
LAMPIRAN
viii
DAFTAR GAMBAR
ix
Gambar 4. 16 Hasil Konfigurasi IP Pada Komputer Zombie 2 ............................. 61
Gambar 4. 17 Hasil Konfigurasi IP Pada Komputer Zombie 3 ............................. 61
Gambar 4. 18 Hasil Verifikasi SSH Pada Komputer Zombie 1 ............................ 62
Gambar 4. 19 Hasil Verifikasi SSH Pada Komputer Zombie 2 ............................ 62
Gambar 4. 20 Hasil Verifikasi SSH Pada Komputer Zombie 3 ............................ 62
Gambar 4. 21 Hasil Instalasi Tools Torhammer Pada Komputer Zombie 1 ......... 63
Gambar 4. 22 Hasil Instalasi Tools Torhammer Pada Komputer Zombie 2 ........ 63
Gambar 4. 23 Hasil Instalasi Tools Torhammer Pada Komputer Zombie 3 ......... 63
Gambar 4. 24 Perintah Serangan Pada Torshammer ............................................ 64
Gambar 4. 25 Hasil Konfigurasi IP Pada Komputer Attacker .............................. 64
Gambar 4. 26 Hasil Konfigurasi Koneksi SSH Pada Komputer Attacker ............ 65
Gambar 4. 27 Shall Script Serangan DDoS-Attack .............................................. 65
Gambar 4. 28 Shall Script Stop Serangan DDoS-Attack ...................................... 66
Gambar 4. 29 Hasil Konfigrasi IP Client Windows .............................................. 66
Gambar 4. 30 Hasil Konfigurasi IP Pada Host IPS ............................................... 67
Gambar 4. 31 Hasil Uji Koneksi Ke Host Container Docker ............................... 68
Gambar 4. 32 Hasil Uji Koneksi Ke Komputer Zombie 1 .................................... 68
Gambar 4. 33 Hasil Uji Koneksi Ke Komputer Zombie 2 .................................... 68
Gambar 4. 34 Hasil Uji Koneksi Ke Komputer Zombie 3 .................................... 68
Gambar 4. 35 Hasil Uji Koneksi Ke Komputer Client Windows ......................... 68
Gambar 4. 36 Verifikasi Instalasi Snort ................................................................ 69
Gambar 4. 37 Hasil Ujicoba Script Snort Dengan Aturan Iptables ...................... 69
Gambar 4. 38 Hasil Konfigurasi IP Pada Host Container Docker ....................... 70
Gambar 4. 39 Hasil Verifikasi Instalasi Container Docker .................................. 70
Gambar 4. 40 Hasil Verifikasi Instalasi Docker Engine ....................................... 71
Gambar 4. 41 Hasil Pembuatan Layanan Wordpress Pada Container Docker ..... 71
Gambar 4. 42 Hasil Pembuatan Layanan Wordpress Pada Container Docker ..... 72
Gambar 4. 43 Hasil Konfigurasi IP Pada Komputer Zombie 1 ............................. 73
Gambar 4. 44 Hasil Konfigurasi IP Pada Komputer Zombie 2 ............................. 73
Gambar 4. 45 Hasil Konfigurasi IP Pada Komputer Zombie 3 ............................. 73
Gambar 4. 46 Hasil Uji Coba Koneksi Pada Komputer Zombie 1........................ 74
Gambar 4. 47 Hasil Uji Coba Koneksi Pada Komputer Zombie 2........................ 74
Gambar 4. 48 Hasil Uji Coba Koneksi Pada Komputer Zombie 3........................ 74
Gambar 4. 49 Hasil Konfigurasi IP Pada Komputer Attacker .............................. 75
Gambar 4. 50 Hasil Uji Koneksi Komputer Attacker Ke Komputer Zombie 1 .... 75
Gambar 4. 51 Hasil Uji Koneksi Komputer Attacker Ke Komputer Zombie 2 .... 76
Gambar 4. 52 Hasil Uji Koneksi Komputer Attacker Ke Komputer Zombie 3 .... 76
Gambar 4. 53 Hasil Uji Koneksi Komputer Attacker Ke Host IPS ...................... 76
Gambar 4. 54 Hasil Uji Koneksi Komputer Attacker Ke Host Container Docker 76
Gambar 4. 55 Hasil Uji Coba SSH Ke Komputer Zombie 1................................ 76
x
Gambar 4. 56 Hasil Uji Coba SSH Ke Komputer Zombie 2................................ 77
Gambar 4. 57 Hasil Uji Coba SSH Ke Komputer Zombie 3................................ 77
Gambar 4. 58 Hasil Uji Verifikasi Pengalamatan IP Pada Komputer Client....... 77
Gambar 4. 59 Uji Koneksi Dari Komputer Client Ke Host IPS ........................... 78
Gambar 4. 60 Uji Koneksi Dari Komputer Client Ke Host Container Docker .... 78
Gambar 4. 61 Hasil Verifikasi Uji Koneksi Coba Akses Layanan Wordpress..... 78
Gambar 4. 62 Uji Coba 1 Dengan Serangan Port Scanning Tanpa Mengaktifkan
IPS ......................................................................................................................... 80
Gambar 4. 63 Hasil Uji Coba 2 Dengan Serangan Port Scanning Tanpa
Mengaktifkan IPS.................................................................................................. 80
Gambar 4. 64 Hasil Uji Coba 3 Dengan Serangan Port Scanning Tanpa
Mengaktifkan IPS.................................................................................................. 81
Gambar 4. 65 Hasil Uji Coba 4 Dengan Serangan Port Scanning Tanpa
Mengaktifkan IPS.................................................................................................. 81
Gambar 4. 66 Hasil Uji Coba 5 Dengan Serangan Port Scanning Tanpa
Mengaktifkan IPS.................................................................................................. 82
Gambar 4. 67 Hasil Sniffing Pola Serangan Port Scanning .................................. 83
Gambar 4. 68 Alert Snort Pada Uji Coba 1 Port Scanning................................... 84
Gambar 4. 69 Alert Snort Pada Uji Coba 2 Port Scanning................................... 84
Gambar 4. 70 Alert Snort Pada Uji Coba 3 Port Scanning................................... 84
Gambar 4. 71 Alert Snort Pada Uji Coba 4 Port Scanning................................... 84
Gambar 4. 72 Alert Snort Pada Uji Coba 5 Port Scanning................................... 84
Gambar 4. 73 Hasil Uji Coba 1 Serangan Port Scanning Setelah IPS Diaktifkan 85
Gambar 4. 74 Hasil Uji Coba 2 Serangan Port Scanning Setelah IPS Diaktifkan 86
Gambar 4. 75 Hasil Uji Coba 3 Serangan Port Scanning Setelah IPS Diaktifkan 86
Gambar 4. 76 Hasil Uji Coba 1 Serangan Port Scanning Setelah IPS Diaktifkan 87
Gambar 4. 77 Hasil Uji Coba 1 Serangan Port Scanning Setelah IPS Diaktifkan 87
Gambar 4. 78 Pembuatan Shall Script Serangan DDoS-Attack .......................... 88
Gambar 4. 79 Peningkatan Penggunaan Memory Pada Ujicoba Pertama ............ 89
Gambar 4. 80 Peningkatan Penggunaan CPU Pada Uji Coba Pertama ................ 90
Gambar 4. 81 Peningkatan Penggunaan CPU Pada Uji Coba Pertama ................ 91
Gambar 4. 82 Peningkatan Penggunaan Memory Pada Ujicoba Kedua ............... 91
Gambar 4. 83 Peningkatan Penggunaan CPU Pada Uji Coba Kedua ................... 92
Gambar 4. 84 Peningkatan Penggunaan CPU Pada Uji Coba Kedua ................... 92
Gambar 4. 85 Peningkatan Penggunaan Memory Pada Uji Coba Ketiga ............. 93
Gambar 4. 86 Peningkatan Penggunaan CPU Pada Uji Coba Ketiga ................... 94
Gambar 4. 87 Peningkatan Penggunaan CPU Pada Uji Coba Ketiga ................... 94
Gambar 4. 88 Peningkatan Penggunaan Memory Pada Ujicoba Keempat ........... 95
Gambar 4. 89 Peningkatan Penggunaan CPU Pada Uji Coba Keempat ............... 95
Gambar 4. 90 Peningkatan Penggunaan CPU Pada Uji Coba Keempat ............... 96
xi
Gambar 4. 91 Peningkatan Penggunaan Memory Pada Ujicoba Kelima .............. 97
Gambar 4. 92 Peningkatan Penggunaan CPU Pada Uji Coba Kelima .................. 97
Gambar 4. 93 Peningkatan Penggunaan CPU Pada Uji Coba Kelima .................. 98
Gambar 4. 94 Alert Snort pada uji coba 1 serangan DDoS HTTP Flood ............. 99
Gambar 4. 95 Alert Snort pada uji coba 2 serangan DDoS HTTP Flood ............. 99
Gambar 4. 96 Alert Snort pada uji coba 3 serangan DDoS HTTP Flood ............. 99
Gambar 4. 97 Alert Snort pada uji coba 4 serangan DDoS HTTP Flood ............. 99
Gambar 4. 98 Alert Snort pada uji coba 5 serangan DDoS HTTP Flood ............. 99
Gambar 4. 100 Pengguanaan Memory Container Docker Pada Pengujian Kedua
setelah IPS di aktifkan......................................................................................... 100
Gambar 4. 101 Pengguanaan Memory Container Docker Pada Pengujian Ketiga
setelah IPS di aktifkan......................................................................................... 100
Gambar 4. 102 Pengguanaan Memory Container Docker Pada Pengujian Keempat
setelah IPS di aktifkan......................................................................................... 101
Gambar 4. 103 Pengguanaan Memory Container Docker Pada Pengujian Kelima
setelah IPS di aktifkan......................................................................................... 101
Gambar 4. 104 Pengguanaan CPU Container Docker Pada Pengujian Pertama
setelah IPS di aktifkan......................................................................................... 102
Gambar 4. 105 Pengguanaan CPU Container Docker Pada Pengujian Pertama
setelah IPS di aktifkan......................................................................................... 102
Gambar 4. 106 Pengguanaan CPU Container Docker Pada Pengujian Pertama
setelah IPS di aktifkan......................................................................................... 102
Gambar 4. 107 Pengguanaan CPU Container Docker Pada Pengujian Pertama
setelah IPS di aktifkan......................................................................................... 103
Gambar 4. 108 Pengguanaan CPU Container Docker Pada Pengujian Pertama
setelah IPS Di Aktifkan....................................................................................... 103
Gambar 4. 109 Pengguanaan Network Container Docker Pada Pengujian Pertama
setelah IPS di aktifkan......................................................................................... 104
Gambar 4. 110 Pengguanaan Network Container Docker Pada Pengujian Kedua
setelah IPS di aktifkan......................................................................................... 104
Gambar 4. 111 Pengguanaan Network Container Docker Pada Pengujian Ketiga
setelah IPS di aktifkan......................................................................................... 104
Gambar 4. 112 Pengguanaan Network Container Docker Pada Pengujian Keempat
setelah IPS di aktifkan......................................................................................... 105
Gambar 4. 113 Pengguanaan Network Container Docker Pada Pengujian Kelima
setelah IPS di aktifkan......................................................................................... 105
Gambar 4. 114 Parameter Serangan Brute Force ................................................ 106
Gambar 4. 115 Wordlist Username Brute Force ................................................. 107
Gambar 4. 116 Wordlist Password Brute Force ................................................. 107
xii
Gambar 4. 117 Hasil Uji Coba 1 Dengan Serangan Brute Force Login Tanpa
Mengaktifkan IPS................................................................................................ 108
Gambar 4. 118 Uji Coba 2 Serangan Brute Force Tanpa Mengaktifkan IPS ..... 108
Gambar 4. 119 Uji Coba 3 Serangan Brute Force Tanpa Mengaktifkan IPS ..... 108
Gambar 4. 120 Uji Coba 4 Serangan Brute Force Tanpa Mengaktifkan IPS ..... 109
Gambar 4. 121 Uji Coba 5 Serangan Brute Force Tanpa Mengaktifkan IPS ..... 109
Gambar 4. 122 Username Dan Password Pada Database Wordpress ................. 109
Gambar 4. 123 Uji Coba Login Ke Halaman Dashboard Wordpress ................. 110
Gambar 4. 124 Alert Snort Dari Serangan Brute Force ...................................... 111
Gambar 4. 125 Hasil Uji Coba 1 Serangan Brute Force Setelah IPS Diaktifkan 112
Gambar 4. 126 Hasil Uji Coba 2 Serangan Brute Force Setelah IPS Diaktifkan 112
Gambar 4. 127 Hasil Uji Coba 3 Serangan Brute Force Setelah IPS Diaktifkan 112
Gambar 4. 128 Hasil Uji Coba 4 Serangan Brute Force Setelah IPS Diaktifkan 113
Gambar 4. 129 Hasil Uji Coba 5 Serangan Brute Force Setelah IPS Diaktifkan 113
xiii
DAFTAR TABEL
xiv
DAFTAR LAMPIRAN
Halaman
xv
BAB I
PENDAHULUAN
1.1. Latar Belakang
Survei yang dilakukan oleh Sdxcentral pada tahun 2015 menunjukan
bahwa 94% responden yang berasal dari kalangan perusahaan telah
mengadopsi teknologi container. Container-Based Virtualization adalah
metode virtualisasi yang bekerja pada tingkat sistem operasi dengan berbagi
host kernel untuk membuat satu atau lebih wadah (instance) (Djomi et al.,
2018). Salah satu teknologi yang di bangun berdasarkan teknologi container
adalah Docker. Docker merupakan sebuah aplikasi platform virtualisasi
container yang bersifat open source, yang menyediakan platform terbuka
untuk developer maupun sysadmin untuk dapat membangun, mengemas, dan
menjalankan aplikasi dimanapun sebagai sebuah container yang ringan
(Fiddin et al., 2018).
Adopsi pemakaian Docker yang semakin meningkat membuat para
pengguna mulai berfokus pada sisi keamanan sehingga ketersediaan layanan
tetap terjaga. Hal ini terlihat dari berbagai penelitian yang di lakukan oleh
peneliti terkait keamanan pada Docker. Henriksson et.al (2017) menyatakan
bahwa hasil image yang didistribusikan melalui Docker Hub merupakan
sumber kerentanan keamanan pada Docker. Penyerang dapat
mengimplementasikan malware dalam image yang kemudian secara otomatis
dikirim ke repository. Ketika melakukan pull image dan diluncurkan sebagai
container sehingga dapat membahayakan mesin host (Henriksson & Falk,
2017). Bui (2015) menemukan masalah pada Docker terkait dengan model
jaringan standar dimana ethernet virtual bridge yang digunakan pada Docker
memiliki kerentanan terhadap serangan spoofing ARP dan MAC flooding. Hal
ini karena tidak tersedia filter apa pun pada lalu lintas jaringan yang lewat
melalui bridge (Bui, 2015). Selain itu pula telah dilakukan penelitian terhadap
performansi container Docker dalam menghadapi serangan oleh Chrisna
Fiddin et.al (2018). Hasil pengujian menunjukkan bahwa serangan Denial of
Service SYN flood memberikan dampak penurunan performansi dari sisi
1
2
overall performance dan layanan web server baik pada mesin native maupun
menggunakan virtualisasi container Docker (Fiddin et al., 2018).
Penelitian sebelumnya hanya berfokus pada analisa kerentanan,
keamanan dan performansi container ketika menghadapi serangan. Namun
belum ada yang mengarah kepada tindakan preventif sebelum terjadinya
serangan dimana salah satunya menerapkan Intrusion Prevention System
(IPS). Berdasarkan latar belakang tersebut maka mendorong penulis untuk
melakukan penelitian yang berfokus pada analisa penerapan IPS untuk
mengamankan container Docker.
Penerapan IPS menggunakan Snort dapat membantu mengatasi
permasalahan keamanan pada container Docker. Snort memiliki fitur untuk
mendeteksi dan mencegah serangan paket-paket berbahaya dalam jaringan
serta memberikan laporan berupa log kepada administrator tentang aktivitas
dan kondisi jaringan secara real-time. Pengujian IPS pada container Docker
dilakukan dengan melakukan serangan, baik sebelum dan sesudah penerapan
IPS pada container Docker. Terdapat tiga buah serangan yang digunakan
yaitu Port Scannig Attack, Distributed Denial Of Service (DDoS) HTTP
Flood Attack dan Brute Force Form Login. Sedangkan parameter yang
dianalisa terkait unjuk kerja seperti kemampuan memblokir serangan, CPU
Usage, Memory, dan Network Usage.
Dengan adanya penerapan IPS berbasis Snort diharapkan dapat
menjaga ketersediaan layanan yang terdapat pada container dan dapat
mengirimkan notifikasi ketika terjadi aktivitas yang tidak normal. Kemudian
secara reaktif melakukan pemfilteran ketika terjadi serangan pada container
Docker.
1.2. Perumusan Masalah
Rumusan masalah yg ditengahkan pada penelitian ini adalah
“Bagaiamana Menganalisa Intrusion Prevention System (IPS) Menggunakan
Snort Untuk Mengamankan Container Docker?”.
3
1. Bagi Penulis
a. Diharapkan dapat membantu dalam meningkatkan keamanan
jaringan pada container Docker dan layanan yang berjalan
diatasnya.
b. Dapat menambah wawasan, pengetahuan serta pemahaman
tentang kinerja dari Intrusion Prevention System (IPS).
c. Diharapkan dapat menjadi acuan dalam mengukur performansi
IPS dalam menangani serangan pada container Docker.
2. Bagi Masyarakat
Memberikan wawasan dan pengetahuan kepada
administrator jaringan dalam mengamankan layanan container.
3. Bagi ilmu pengetahuan
Hasil penelitian ini dapat memberi sumbangan yang
berharga pada perkembangan ilmu pendidikan, terutama bagi
mahasiswa yang mengambil konsentrasi Jaringan Komputer
sebagai model pembelajaran untuk meningkatkan hasil proses
pembelajaran.
1.5. Metodologi Penelitian
Metodologi penelitian yang penulis gunakan dalam penyusunan skripsi
ini adalah metodologi Network Development Life Cycle (NDLC). Menurut
Goldman dan Rawles (2004), NDLC merupakan model dibalik kunci
perancangan jaringan komputer. NDLC merupakan sebuah siklus proses
perancangan atau pengembangan suatu infrastruktur jaringan yang
memungkinkan terjadinya pemantauan jaringan untuk mengetahui statistik
dan kinerja jaringan. NDLC juga mempunyai elemen yang mendefinisikan
fase, tahapan, langkah atau mekanisme proses yang menggambarkan secara
keseluruhan proses dan tahapan pengembagan sistem jaringan yang
berkesinambungan. Adapun siklus dari tahapan metodologi NDLC yakni
analysis, design, simulation prototyping, implementation, monitoring dan
5
Dari enam tahapan yang ada pada metodologi NDLC penulis hanya
menggunakan tiga tahapan pertama yakni analysis, design dan simulation
prototyping sebagai berikut:
1. Analysis
Dalam tahapan analisis ini peneliti melakukan pengumpulan data dengan
cara studi literatur, baik dengan mengumpulkan jurnal, buku, skripsi dan
artikel ilmiah lainnya yang berkaitan dengan judul penelitian. Setelah
melakukan pengumpulan data maka data tersebut selanjutnya akan
dianalisa.
2. Design
Tahap ini membuat rancangan yang meliputi rancangan jaringan ujicoba,
rancangan pengalamatan IP, rancangan sistem dan kebutuhan perangkat
keras maupun perangkat lunak.
3. Simulation Prototyping
Pada tahapan ini akan membuat simulasi jaringan dengan bantuan tool
virtualisasi, melakukan instalasi dan konfigurasi pada virtual machine dan
melakukan ujicoba serangan pada layanan container.
6
7
8
menjadi suatu jaringan yang saling terkoneksi. Dan setiap macam topologi
jaringan komputer akan berbeda dari segi kecepatan pengiriman data, biaya
pembuatan, serta kemudahan dalam proses maintenancenya. Beberapa
macam topologi jaringan diantaranya yaitu:
a. Topologi Bus
Topologi Bus adalah topologi pertama kali digunakan untuk
menghubungkan komputer. Dalam topologi ini masing-masing komputer
akan terhubung ke satu kabel panjang dengan beberapa terminal, dan
pada akhir dari kabel harus diakhiri dengan satu terminator. Topologi ini
sudah sangat jarang digunakan didalam membangun jaringan komputer
karena memiliki beberapa kekurangan diantaranya kemungkinan
terjadinya tabrakan aliran data, jika salah satu perangkat putus atau
terjadi kerusakan pada satu bagian komputer maka jaringan langsung
tidak akan berfungsi sebelum kerusakan tersebut di atasi.
b. Topologi Ring
Topologi Ring merupakan topologi yang menghubungkan beberapa
komputer dengan membentuk sebuah lingkaran. Komputer yang
terhubung dalam sebuah jaringan lan terkoneksi pada 2 komputer lain.
12
c. Topologi Start
Topologi Star/Bintang merupakan bentuk topologi jaringan yang berupa
konvergensi dari node tengah ke setiap node atau pengguna. Topologi
jaringan star/bintang termasuk topologi jaringan dengan biaya
menengah.
Berikut fungsi dari masing-masing layer pada protokol TCP/IP (Riadi, 2011):
1. Network Access Layer
Layer network access merupakan gabungan antara dua layer yaitu
network interface layer dan physical layer, network interface layer
berfungsi untuk mengirim data ke physical layer melalui device jaringan
kemudian dilanjutkan oleh physical layer yang merupakan sistem kabel
yang digunakan untuk proses mengirim dan menerima data.
2. Internet Layer
Pada lapisan internet terjadi proses pengambilan paket dari lapisan
transport dan menambahkan informasi alamat sebelum mengirimkannya
ke lapisan network interface.
3. Transport Layer
Pada lapisan transport terdapat protokol seperti TCP dan UDP yang
berfungsi menambahkan data transport ke paket dan melewatkannya ke
lapisan Internet.
4. Application Layer
Pada lapisan application terdapat protokol seperti FTP, Telnet, SMTP,
dan NFS dilaksanakan.
17
2.4. Virtualisasi
Virtualisasi adalah teknik membuat versi abstrak atau virtual dari suatu
sumber daya, sehingga pada satu sumber daya fisik dapat dijalankan atau
disimpan beberapa sumber daya virtual sekaligus (Fiddin et al., 2018). Secara
teknik, virtualisasi dapat di aplikasikan ke beberapa infrastruktur yaitu
perangkat keras (hardware), jaringan (network), media penyimpanan
(storage), aplikasi dan sistem operasi (Djomi et al., 2018a). Berikut gambaran
sebelum dan setelah virtualisasi diterapkan :
3. Docker Registries
Merupakan komponen yang menyimpan images dari Docker. Image
Docker dapat disimpan pada repository seperti Docker Hub dan Docker
Cloud yang bersifat public sehingga dapat digunakan siapa saja.
4. Docker Images
Merupakan template dengan konsep read-only yang disertai dengan
instruksi untuk membuat sebuah Docker container.
5. Containers
Adalah sebuah komponen yang dapat dijalankan dari sebuah image.
Memungkinkan untuk membuat, menjalankan, memberhentikan,
menghapus atau memindahkan container menggunakan Docker API
maupun CLI.
2.12. IPTables
Menurut Kuswanto, 2014 IPTables adalah suatu firewall dalam sistem
operasi linux yang berfungsi sebagai alat untuk melakukan filter
(penyaringan) terhadap (trafic) lalu lintas data. IPTables memiliki tiga fungsi
utama untuk menentukan arah putaran paket data, ketiga fungsi tersebut yaitu
packet Filtering, NAT, Packet Mangling. Paket filtering digunakan untuk
memilah dan memberikan ijin ACCEPT/DROP pada suatu paket data,
sedangkan NAT digunakan untuk mengubah alamat IP sumber atau tujuan
dari suatu paket dalam jaringan, dan untuk Paket Mangling digunakan untuk
32
a. ACCEPT
Apabila ditemukan paket yang sesuai dengan aturan untuk di
ACCEPT, maka firewall akan langsung menerima untuk kemudian
meneruskan paket tersebut.
b. DROP
Apabila ditemukan paket yang sesuai dengan aturan untuk di-DROP,
maka firewall akan langsung membuang paket tersebut tanpa
mengirimkan pesan ERROR apapun ke pengirim.
c. REJECT
Apabila ditemukan paket yang sesuai dengan aturan untuk di-
REJECT, maka firewall akan langsung membuang paket tersebut
namun disertai dengan mengirimkan pesan ERROR ICMP “ port
unreachable
2.13. Jenis Serangan Yang Digunakan Dalam Penelitian
1. Distributed Denial of Service (DOS)
Distributed Denial of Service (DDOS) adalah metode serangan yang
dilakukan dengan mengirim banyak paket ke target atau melakukan
overloading resources menggunakan beberapa komputer bot/zombie,
sehingga sistem tidak dapat digunakan dan diakses oleh orang lain
(Perdana et al., 2019) . DDOS mempunyai beberapa tipe serangan. Berikut
adalah tipe-tipe serangan DoS :
1. UDP Flood Attack
UDP Flood Attack adalah serangan yang membanjiri port secara acak
dari host jarak jauh dengan paket UDP dalam jumlah yang besar. Ini
menyebabkan host berulang kali memeriksa aplikasi yang terhubung
ke port dan membalas dengan ICMP Destination Unreachable packet
ketika tidak ada aplikasi yang ditemukan. Akibatnya, host
menghabiskan cukup banyak sumber daya dan tidak sanggup
merespon.
2. Internet Control Message Protocol Flood atau ICMP Flood
34
2.14. VirtualBox
VirtualBox adalah perangkat lunak virtualisasi, yang dapat digunakan
untuk mengeksekusi sistem operasi tambahan di dalam sistem operasi
utama(Romadona et al., 2019). Sebagai contoh, jika seseorang mempunyai
sistem operasi MS Windows yang terpasang di komputernya, maka seseorang
36
tersebut dapat pula menjalankan sistem operasi lain yang diinginkan di dalam
sistem operasi Microsoft Windows.
Saat ini, VirtualBox dapat berjalan di Windows, Linux, Macintosh,
Solaris hosts serta mendukung sejumlah besar sistem operasi tamu namun
tidak terbatas pada Windows (NT 4.0, 2000, XP, Server 2003, Vista,
Windows 7), DOS/Windows 3.x, Linux (2.4 and 2.6), Solaris dan
OpenSolaris, OS/2, dan juga OpenBSD. Sampai saat ini VirtualBox telah
mencapai versi 6.0.
2.15. Linux
Menurut Shafitri, 2013 Linux adalah nama dari suatu sistem operasi
komputer bertipe Unix yang bersifat open source. Karena bersifat open
source,kode sumber Linux dapat dimodifikasi, digunakan, dan didistribusikan
kembali secara bebas oleh siapapun. Sistem operasi Unix dikembangkan dan
diimplementasikan pada tahun 1960-1n dan pertama kali dirilis pada tahun
1970. Kernel Linux yang bersifat Unix ini dibuat oleh Linus Torvalds, dibuat
sebagai versi non-komersial pengganti sistem operasi MINIX pada saat itu.
Linux melakukan konfigurasi sendiri terhadap sistemnya, sehingga tingkat
sekuritinya cenderung lebih tinggi daripada sistem operasi lainnya. Biaya
yang diperlukan untuk Linux juga lebih rendah
BAB III
METODOLOGI
Metodologi yang digunakan oleh penulis dalam penulisan skripsi ini adalah
Network Development Life Cycle (NDLC). Dari keenam tahapan pada NDLC
tersebut, penulis hanya menggunakan tiga tahapan, metode ini digunakan agar
penulis dapat memiliki urutan kerja yang efisien. Adapun tahap-tahap yang akan
dilakukan adalah sebagai berikut:
1. Analysis
2. Design
3. Simulation Prototyping
3.1. Analysis
37
38
pada saat kondisi normal dan mendapatkan serangan DoS SYN flood.
Secara umum dampak dari setiap serangan yang dilancarkan terhadap
overall performance tidak cukup besar, ini dikarenakan kapasitas
jaringan dalam hal ini lebar bandwidth yang terbatas, serta kecepatan
pemrosesan baik pada node server maupun client yang cukup cepat.
5. Jurnal ilmiah kelima membahas tenatang analisa dan perbandingan
performansi dalam pengukuran CPU usage dari beberapa jenis teknik
virtualisasi yaitu Docker, dan virtual machine (Virtualbox dan KVM)
dengan membebankan server dengan menggunakan serangan DDOS
sebagai pembangkit trafik. Selanjutnya hasil performansi antara Docker
dan virtual machine tersebut akan dilihat apakah ada perbedaan
performansi dalam kinerja CPU, yang selanjutnya akan dilakukan
perbandingan untuk pemilihan jenis virtualisasi yang lebih baik.
Berdasarkan hasil penelusuran artikel jurnal ilmiah yang terkait, maka
dapat diketahui bahwa belum terdapat penelitian yang membahas tentang
Analisa Penerapan Intrusion Prevention System (IPS) Menggunakan Snort
Untuk Mengamankan Container Docker. Penelitian sebelumnya hanya
berfokus pada analisa kerentanan, keamanan dan performansi container
ketika menghadapi serangan. Namun belum ada yang mengarah kepada
tindakan preventif sebelum terjadinya serangan pada container Docker. Dari
artikel tersebut juga, diperoleh penerapan IPS merupakan metode yang
sangat efektif untuk mengamankan jaringan komputer seperti
server,jaringan LAN, arsitektur SDN dan layanan Cloud Computing dari
serangan-serangan yang dapat merusak sistem jaringan. Oleh karena itu
pada penelitian ini, penulis akan berfokus pada analisa penerapan IPS untuk
mengamankan container Docker.
3.1. Tahap Desain (Design)
Pada tahapan perancangan ini meliputi rancangan topologi alur kerja
sistem yang akan digunakan dalam melakukan percobaan serangan dan
pendeteksian adanya intrusi pada container Docker, pengalamatan IP
Address pada host dan node container Docker, IPS Snort, client Windows,
41
Berdasarkan gambar 3.3 diatas dapat dijelaskan bahwa setiap ada request
dari ketiga VM zombie menuju container Docker, akan di verifikasi oleh
IPS Snort terlebih dahulu, apakah request tersebut termasuk dalam kategori
serangan DDoS HTTP Flood akan dilakukan pengecekan terhadap rule
Snort yang sudah di buat, apabila request yang masuk memiliki kecocokan
dengan aturan pada rule yang sudah dibuat maka request tersebut akan
langsung di drop dan di simpan dalam direktori log.
3. Rancangan Topologi Uji Coba Serangan Brute Force Form Login
Sensor mencocokkan
Mulai Paket diterima
paket dengan rule
YA
notifikasi serangan
Blokir serangan
menggunakan
IPTables
Menyimpan
log file
Selesai
Diagram alir pada gambar 3.2 diatas merupakan, alur proses kerja
Snort yang akan dibuat. Setiap request yang dikirim oleh attacker akan
disaring oleh Snort sebelum diteruskan ke container Docker. Apabila rule
Snort tidak mendeksi adanya serangan maka Snort mengizinkan paket
tersebut untuk lewat dan diteruskan ke container Docker, tetapi apabila pada
paket yang di kirim cocok dengan rule Snort dan terdeteksi adanya
serangan, maka Snort akan mengirimkan notifikasi dan IPTables akan
langsung membelokir serangan yang masuk, selanjutnya Snort akan
menyimpan history dari aktivitas serangan tersebut ke dalam direktori log.
Adapun beberapa proses kerja dalam sistem ini adalah sebagai
berikut:
1. Administrator akan memasukkan parameter apa saja yang ingin
digunakan sesuai dengan rule yang ingin dibuat dan serangan jenis apa
yang akan di blokir.
46
Bab ini memuat tentang pembahasan dari hasil instalasi dan konfigurasi
pada setiap perangkat, uji coba dan analisa terhadap hasil uji coba yang telah
dilakukan.
4.1. Hasil Instalasi dan konfigurasi
Hasil instalasi dan konfigurasi terdiri dari lima bagian yaitu hasil
instalasi konfigurasi pada host IPS Snort, host container Docker, komputer
attacker, komputer zombie dan komputer client.
4.1.1. Hasil Instalasi dan Konfigurasi Host IPS Snort
Terdapat 5 (lima) tahapan instalasi dan konfigurasi yang di lakukan
pada host IPS yaitu instalasi Linux Debian 8 sebagai sistem operasi,
konfigurasi pengalamatan IP dan routing jaringan, instalasi dan konfigurasi
paket Data Acquisition Library (DAQ), paket Snort dan pembuatan shall
script untuk menjalankan dan mematikan Snort.
Hasil instalasi sistem operasi Linux Debian 8 pada VM yang
difungsikan sebagai host IPS, seperti terlihat pada gambar 4.1.
51
52
Terlihat interface eth0 dan eth1 telah berhasil di konfigurasi secara static
mengguanakn alamat IP 192.168.10.254 dengan subnet mask 255.255.255.0
pada interface eth0 dan alamat IP 192.168.10.254 dengan subnet mask
255.255.255.0 pada interface eth1.
Untuk menghubungkan semua VM di jaringan pengujian dan
meneruskan paket data dari zone-outside ke zone-inside, maka perlu di
lakukan routing dengan cara mengaktifkan IP forwarding pada host IPS
Snort, untuk mengaktifkan IP forwarding yaitu dengan mengubah
konfigurasi IP forwarding yang awalnya bernilai 0 menjadi bernilai 1 seperti
terlihat pada gambar 4.3 berikut:
Terlihat paket DAQ sudah berhasil terinstal, setalah paket DAQ berhasil
terinstal, maka tahap selanjutnya adalah instalsi paket Snort, hasil dari
instalasi paket Snort bisa dilihat pada gambar 4.5.
Terlihat paket Snort sudah berhasil terinstal, pada paket Snort akan di
lakukan konfigurasi terkait jaringan yang akan di amankan, pembuatan
local rule sebagai acuan untuk deteksi serangan dan mengaktifkan Snort
mode inline, sehingga Snort dapat perkomunikasi dengan IPTables untuk
memblokir serangan. Hasil verifikasi dari konfigurasi pada paket Snort
terlihat pada gambar 4.6.
Terlihat bahwa konfigurasi Snort yang telah berhasil di verifikasi dan dapat
berjalan dengan baik.
Berikutnya yaitu pebuatan script shall snort-start.sh yang akan
difungsikan untuk menjalankan Snort pada mode inline NFQ dan dapat
berkomunikasi dan bekerja sama dengan IPTables untuk memblokir
serangan, seperti yang terlihat pada gambar 4.7.
Terlihat bahwa Portainer sudah berhasil terinstal dan dan dapat di akses
melalui browser dengan alamat 192.168.10.1 dan port 9000.
Terlihat semua service SSH server pada komputer zombie sudah aktif dan
berjalan dengan baik. Berikutnya yaitu melakukan instalasai Tools DDoS
yg di gunakan oleh ketiga komputer host zombie/slaves untuk melakukan
penyerangan, tools DDoS yang digunakan saat ini adalah Torhammer.
Berikut adalah hasil instalasi tools Torhammer pada masing-masing
komputer zombie.
63
Hasil verifikasi koneksi yang dilakukan oleh host IPS pada tiga
komputer zombie, terlihat seperti pada gambar berikut.
Terlihat bahwa uji koneksi dari host IPS Snort ke IP tiga komputer zombie
sudah berhasil tersambung. Selanjutnya hasil verifikasi instalasi Snort pada
host IPS dapat dilihat pada gambar 4.36.
69
Terlihat bahwa script Snort dengan mode inline NFQ sudah berhasil di
jalankan dan dapat berkomunikasi dengan aturan IPTables untuk memblokir
serangan yang masuk ke container Docker.
2. Hasil Verifikasi Konfigurasi Host Container Docker
Terdapat tiga verifikasi konfigurasi yang dilakukan pada host
container Docker meliputi pengalamatan IP, hasil verifikasi instalasi
container Docker, hasil verifikasi pembuatan dan uji coba menjalankan
layanan Wordpress pada container Docker serta verifikasi hasil instalasi
Portainer.
70
Terlihat bahwa Docker dengan versi 19.03.5 sudah berhasil terinstal. untuk
ujicoba menjalankan Docker Engine dapat dengan menggunakan images
hello-world yang berada dalam Dockerhub, images tersebut dapat diunduh
dan di jalankan seperti terlihat pada gambar 4.40.
71
Terlihat bahwa uji koneksi dari ketiga komputer zombie ke ke alamat IP host
IPS Snort, komputer attacker dan host container Docker sudah berhasil
tersambung.
4. Hasil Verifikasi Konfigurasi Komputer Attacker
Terdapat empat verifikasi konfigurasi yang dilakukan pada ketiga
komputer zombie meliputi pengalamatan IP, uji coba koneksi dan SSH ke
semua komputer zombie, uji coba koneksi ke host IPS Snort dan host
container Docker.
Hasil verifikasi pengalamatan IP pada komputer Attacker dapat dilihat
pada gambar 4.49.
Gambar 4. 55 Hasil Uji Coba SSH Dari Komputer Attacker Ke Komputer Zombie 1
77
Gambar 4. 56 Hasil Uji Coba SSH Dari Komputer Attacker Ke Komputer Zombie 2
Gambar 4. 57 Hasil Uji Coba SSH Dari Komputer Attacker Ke Komputer Zombie 3
Hasil verifikasi uji koneksi dari komputer client ke host IPS Snort
dapat dilihat pada gambar 4.59.
Gambar 4. 59 Hasil Verifikasi Uji Koneksi Dari Komputer Client Ke Host IPS Snort
Terlihat bahwa uji koneksi pada komputer client Windows ke IP host IPS
Snort yaitu 192.168.20.254 sudah berhasil tersambung.
Hasil verifikasi uji koneksi dari komputer client ke IP host container
Docker dapat dilihat pada gambar 4.60.
Gambar 4. 60 Hasil Verifikasi Uji Koneksi Dari Komputer Client Ke Host Container
Docker
Dari kelima uji coba serangan Port Scanner yang di lakukan ke host
container Docker pada jam 00:18, 00:32, 00:37, 00:40 dan 00:44, secara
berturut-turut di dapatkan hasil yang sama berupa informasi port-port yang
masih terbukan pada port 21, 22, 80, 8080 dan 9000. Dari hasil scan juga di
dapatkan informasi terkait service dan layanan aplikasi Wordpress yang di
jalankan pada container Docker, dengan memanfaatkan informasi tersebut
maka attacker dapat melakukan serangan jenis lain yang mengarah
langsung ke container Docker.
b. Port Scanning pada Host Container Docker Sesudah Diaktifkan
IPS
Untuk mendapatkan informasi dan pola serangan dari port scanning,
maka dilakukan sniffing menggunakan tools wireshark seperti terlihat pada
gambar 4.67.
83
Adapaun informasi yang di dapat dari notifikasi atau Alert Snort pada
gambar uji coba satu sampai uji coba lima adalah:
08/08-01:02:59.612542 yaitu waktu terjadinya serangan
[Drop] yaitu tindakan yang di lakukan Snort dengan membelokir atau
membuang paket yang berasal dari attacker.
[1:10000001:35] yaitu ID Snort atau pengenal unik untuk aturan serangan
port scanning.
Port Scanning Attack Terdeteksi yaitu jenis serangan yang terdeteksi.
classtype:misc-attack yaitu klasifikasi jenis serangan port scanning.
85
Gambar 4. 73 Hasil Uji Coba 1 Dengan Serangan Port Scanning Setelah IPS
Diaktifkan
86
Gambar 4. 74 Hasil Uji Coba 2 Dengan Serangan Port Scanning Setelah IPS
Diaktifkan
Gambar 4. 75 Hasil Uji Coba 3 Dengan Serangan Port Scanning Setelah IPS
Diaktifkan
87
Gambar 4. 76 Hasil Uji Coba 1 Dengan Serangan Port Scanning Setelah IPS
Diaktifkan
Gambar 4. 77 Hasil Uji Coba 1 Dengan Serangan Port Scanning Setelah IPS
Diaktifkan
Terlihat hasil dari serangan brute force pada uji coba pertama sampai
dengan ujicoba kelima pada jam 00:47, 18:53, 00:57, 01:00 dan 01:02 secara
88
memory dan 27.9 MB cache dari total jumlah alokasi memory sebesar
1.946 MB.
5. Hasil Penggunaan CPU container Docker pada uji coba serangan
pertama terlihat pada gambar 4.80.
Terlihat hasil penggunaan CPU pada uji coba pertama serangan DDoS,
terlihat pada menit 18:37:24 sampai dengan menit 18:41:00 terjadi
peningkatan penggunaan CPU pada container Docker mencapai 76%
dari kondisi sebelum terjadinya serangan.
91
Gambar 4. 94 Alert Snort pada uji coba 1 serangan DDoS HTTP Flood
Gambar 4. 95 Alert Snort pada uji coba 2 serangan DDoS HTTP Flood
Gambar 4. 96 Alert Snort pada uji coba 3 serangan DDoS HTTP Flood
Gambar 4. 97 Alert Snort pada uji coba 4 serangan DDoS HTTP Flood
Gambar 4. 98 Alert Snort pada uji coba 5 serangan DDoS HTTP Flood
Terlihat pada gambar 4.94 sampai dengan gambar 4.98 IPS Snort
berhasil mendeteksi dan membelokir serangan DDoS HTTP Flood uji coba
1 pada jam 18:40:49, uji coba 2 pada jam 19:38:01, uji coba 3 pada jam
19:57:50, uji coba 4 paa jam 20:13:04 dan serangan uji coba 5 pada jam
20:27:39. Berikut adalah hasil Pengguanaan memory,CPU dan Network
pada kelima uji coba serangan DDoS HTTP Flood setelah rule Snort
berhasil mendeteksi serangan yang masuk.
Hasil Pengguanaan memory container Docker setelah IPS di aktifkan
dengan lima kali pengujian serangan terlihat seperti pada gambar 4.99
sampai dengan gambar 4.103
100
Dari lima kali uji coba serangan DDoS ke container Docker setelah
IPS di aktifkan di dapatkan hasil berturut-turut yaitu penurunan jumlah
penggunaan memory dan cache ke kondisi normal, seperti sebelum
terjadinya serangan.
Hasil Pengguanaan CPU container Docker setelah IPS di aktifkan
pada kelima uji coba serangan terlihat seperti pada gambar 4.104 sampai
dengan gambar 4.108.
102
Terlihat dari lima kali uji coba serangan DDoS ke container Docker setelah
IPS di aktifkan di dapatkan hasil berturut-turut yaitu penurunan jumlah
penggunaan CPU ke kondisi normal, seperti sebelum terjadinya serangan.
Hasil Traffic Network container Docker setelah IPS di aktifkan pada
kelima uji coba serangan terlihat seperti pada gambar 4.109 sampai dengan
gambar 4. 113.
104
Terlihat hasil traffic network setelah di lakukan lima kali uji coba serangan
DDoS ke container Docker setelah IPS di aktifkan dan di dapatkan hasil
traffic network kembali normal dan tidak terjadi peningktan jumlah RX
(data masuk) dan TX (data keluar) network secara tidak normal, seperti
ketika terjadi serangan.
3. Brute Force Wordpress Login
Brute force adalah teknik login paksa menggunakan list password
yang telah di buat dengan kombinasi huruf, angka, karakter khusus, huruf
kecil dan kapital dengan cara otomatis untuk mendapatkan akses ke
komputer target. Jenis serangan ini memiliki probabilitas keberhasilan yang
tinggi, tetapi membutuhkan banyak waktu untuk memproses semua
kombinasi.
106
Pada uji coba ini akan di lakukan serangan brute force untuk
mendapatkan ases login kedalam layanan container Wordpress dengan
menggunakan tools Metasploit. Metasploit merupakan software security
yang sering digunakan untuk menguji coba ketahanan suatu sistem dengan
cara mengeksploitasi kelemahan software suatu sistem. Berikut adalah
penjelasan dari parameter yang digunakan dalam uji coba serangan brute
force mengguankan Metasploit.
Pada gambar 4.115 dan gambar 4.116 terlihat wordlist file username
dan file password yang telah disiapkan dan akan digunakan untuk
melakukan serangan brute force pada form login Wordpress. Uji Coba
serangan brute force dilakukan sebanyak 5 kali tanpa mengaktifkan IPS
108
Snort. Hasil dari uji coba pertama sampai dengan uji coba kelima coba
serangan brute force form login pada aplikasi Wordpress terlihat pada
gambar 4 sampai dengan gambar 4.
Gambar 4. 1157 Hasil Uji Coba 1 Dengan Serangan Brute Force Login Tanpa
Mengaktifkan IPS
Gambar 4. 1168 Hasil Uji Coba 2 Dengan Serangan Brute Force Login Tanpa
Mengaktifkan IPS
Gambar 4. 1179 Hasil Uji Coba 3 Dengan Serangan Brute Force Form Tanpa
Mengaktifkan IPS
109
Gambar 4. 120 Hasil Uji Coba 4 Dengan Serangan Brute Force Tanpa
Mengaktifkan IPS
Gambar 4. 1181 Hasil Uji Coba 5 Dengan Serangan Brute Force Tanpa
Mengaktifkan IPS
Hasil dari uji coba serangan pertama sampai dengan uji coba kelima pada
jam 17:47:32, 17:50:39, 17:52:37, 17:54:13 dan jam 17:55:46 secara
berturut-turut di dapatkan hasil yang sama yaitu serangan brute force
berhasil login menggunakan username “admin” dan password “toor” sesuai
dengan yang tersimpan di database Wordpress seperti pada gambar 4.122.
Terlihat username dan password yang digunakan berhasil login dan masuk
ke dashboard aplikasi Wordpress.
b. Brute Force Pada Wordpress Setelah Diaktifkan IPS
Berdasarkan hasil serangan brute force yang di lakukan oleh komputer
attacker, maka diperoleh pola pembuatan rule Snort yang akan ditambahkan
ke dalam file rule. Berikut ini adalah rule yang akan ditambahkan pada Snort
yang akan digunakan untuk menangkap paket dan mengidentifikasinya
sebagai sebuah serangan ketika ada aktifitas brute force ke halaman login
aplikasi Wordpress.
Gambar 4. 1225 Hasil Uji Coba 1 Dengan Serangan Brute Force Setelah IPS
Diaktifkan
Gambar 4. 1236 Hasil Uji Coba 2 Dengan Serangan Brute Force Setelah IPS
Diaktifkan
Gambar 4. 1247 Hasil Uji Coba 3 Dengan Serangan Brute Force Setelah IPS
Diaktifkan
113
Gambar 4. 1258 Hasil Uji Coba 4 Dengan Serangan Brute Force Setelah IPS
Diaktifkan
Gambar 4. 1269 Hasil Uji Coba 5 Dengan Serangan Brute Force Setelah IPS
Diaktifkan
Terlihat hasil serangan brute force pada uji coba pertama sampai
dengan ujicoba kelima pada jam 18:04:24, 18:06:40, 18:08:5, 18:10:49 dan
18:12:38 secara berturut-turut di dapatkan hasil yang sama, yaitu serangan
brute force tidak dapat menemukan username dan password yang cocok
untuk login kedalam dashboard Wordpress karena IPS Snort telah
memblokir serangan dan menolak semua akses dari komputer attacker.
4.1.3. Hasil Analisa
Berdasarkan uji coba yang telah dilakukan maka dapat diperoleh hasil
analisa sebagai berikut:
1. Serangan menggunakan teknik Port Scanning yang dilakukan pada host
container Docker sebelum mengaktifkan IPS menunjukkan bahwa
114
1. Scanning Port 1
sebelum 2 Port 21,22,80, 8080,9000
mengaktifkan 3
Open
IPS 4
5
2. Scanning Port 1
sesudah 2 All Port Closed
mengaktifkan 3
IPS 4
5
Terlihat pada tabel 4.1 setelah dilakukan serangan Port Scanning dari 5
kali percobaan, didapatkan hasil bahwa host container Docker sebelum
mengaktifkan IPS dapat menyebabkan serangan Port Scanning berhasil
dilakukan dan ditemukan informasi terkait port-port yang sedang
terbuka serta layanan-layanan yang sedang digunakan seperti port
21=FTP, 22=SSH, 80=http, 8080=http-proxy 9000=portainer.
Sedangkan host container yang telah diaktifkan IPS dapat
menyebabkan serangan Port Scanning gagal dilakukan dan mampu
menutup informasi port-port serta servis dan layanan container Docker
yang terhubung dengan host.
2. Berdasarkan hasil skenario pengujian serangan DDoS HTTP Flood ke
container Docker sebelum diaktifkan IPS, di dapatkan hasil
115
HTTP attack
sebelum
3 menit 529.7 67 78.5 106.6
mengaktifkan
IPS
2
HTTP attack
setelah
3 menit 42.9 0.9 78.5 106.6
mengaktifkan
IPS
HTTP attack
sebelum
3 menit 525,5 68 75.4 101.8
mengaktifkan
IPS
3
HTTP attack
setelah
3 menit 42.8 1 74.4 101.8
mengaktifkan
IPS
116
HTTP attack
sebelum
3 menit 525.8 73 79.9 101.2
mengaktifkan
IPS
4
HTTP attack
setelah
3 menit 42.8 1 75 101.7
mengaktifkan
IPS
HTTP attack
sebelum
3 menit 518.3 65 74.9 101.2
mengaktifkan
IPS
5
HTTP attack
setelah
3 menit 42.9 0.8 74.9 101.2
mengaktifkan
IPS
Terlihat pada tabel 4.2 setelah dilakukan serangan DDoS HTTP Flood
dari 5 kali percobaan dengan durasi serangan 3 menit pada setiap
percobaan, dimana didapatkan hasil bahwa sebelum diaktifkannya IPS
serangan DDoS menyebabkan peningkatan penggunaan memory, CPU
dan network, peningkatan penggunaan memory rata-rata sebesar 525,65
MB, peningkatan penggunaan CPU rata-rata sebesar 69.8% dan
peningkatan traffic network untuk RX (data masuk) rata-rata sebesar
78.72 MB dan TX (data keluar) dengan rata-rata peningkatan sebesar
105.24 MB. Sedangkan setelah IPS di aktifkan di dapatkan hasil rata-
rata penggunaan Memory sebesar 42.88 MB, CPU sebesar 0.92 %,
network RX sebesar 77.54 dan network TX sebesar 105.34, terlihat
bahwa dengan di aktifkannya IPS dapat membelokir serangan DDoS
yang masuk sehingga container Docker terhindar overloading
resources.
3. Serangan menggunakan teknik Bruteforce Form Login Wordpress yang
dilakukan pada container Docker sebelum mengaktifkan IPS
menunjukkan bahwa serangan berhasil dilakukan, termasuk username
dan password yang cocok untuk mengakses dan login kedalam
dashboard Wordpress. Sebaliknya setelah IPS diaktifkan maka aktifitas
117
sesudah di
diaktifkan IPS lakukan.
Brute Force Serangan admin toor
Form Login 17:55:46 berhasil di
sebelum WITA lakukan.
5 diaktifkan IPS
Bruteforce Serangan Username Password
Form Login 18:12:38 gagal Filed Filed
sesudah WITA di
diaktifkan IPS lakukan.
Terlihat pada tabel 4.3 setelah dilakukan serangan Bruteforce Form
Login Wordpress dari 5 kali percobaan, didapatkan hasil bahwa
sebelum mengaktifkan IPS serangan Brute Force berhasil dilakukan
dan ditemukan kecocokan username dan password dari wordlist file
username dan password yang sudah dibuat untuk mengakses Form
Login Wordpress dengan menggunakan username: admin dan
password: toor. Sedangkan setelah diaktifkan IPS dapat serangan Brute
Force gagal dilakukan dan tidak satupun username dan password dari
wordlist yang ditemukan untuk mengakses dan masuk ke dashboard
form login Wordpress.
4. Sebelum rules diterapkan sistem tidak dapat mendeteksi serangan yang
masuk, sebaliknya serangan dapat terdeteksi setelah rules diterapkan
seperti terlihat pada tabel 4.4.
Tabel 4. 4 Tabel Bukti Sebelum Dan Sesudah Penerapan Rules
NO Jenis Status Serangan Bukti Penerapan
Seranagn Sebelum Sesudah
1 Port Serangan Serangan drop tcp
Scanning tidak dapat dapat $EXTERNAL_NET any
terdeteksi terdeteksi -> $HOME_NET any
oleh Snort. dan diblokir (msg:"Port Scanning
oleh Snort. Attack Terdeteksi";
sid:10000001; rev:35;
classtype:misc-attack;
priority:1;)
119
Terlihat pada tabel 4.3 setelah rules diterapkan pada Snort. Snort dapat
mendeteksi dan membedakan semua jenis serangan dengan melihat
nilai dari pola serangan yang sudah dilakukan oleh attacker, nilai dari
pola serangan dilihat dari protokol yang dituju oleh attacker, sumber IP
dari attacker, sumber port yang digunakan attacker, tujuan IP dari
attacker, dan tujuan port yang digunakan attacker. Rules pada Snort
diterapkan sebagai acuan IPTables untuk mengambil keputusan dalam
memproses paket yang lewat atau masuk.
BAB V
PENUTUP
5.1. Kesimpulan
Adapun kesimpulan yang dapat diambil berdasarkan hasil uji coba yang
telah dilakukan adalah sebagai berikut:
1. Sistem IPS berbasis Snort diintegrasikan dengan IPTables berhasil
mengamankan container Docker dari ketiga jenis serangan yang diujikan
yaitu Port Scanning, DDoS HTTP Flood Attack dan Brute Force Form
Login.
2. Ketiga rules yang di buat berhasil mendeteksi dan memblokir serangan
Port Scanning, DDoS HTTP Flood Attack dan Bruteforce Form Login.
3. Administrator sistem dapat mengetahui serangan yang terjadi pada host
IPS, host container Docker yang memuat informasi jenis serangan dan
kapan terjadinya serangan melalui log Snort.
5.2. Saran
Adapun saran-saran untuk pengembangan skripsi ini lebih lanjut adalah
sebagai berikut:
1. Menguji coba penerapan IPS pada container Docker yang sudah di
cluster.
2. Menguji coba serangan lain pada sistem IPS Snort.
3. Mengembangkan sistem agar dapat membuat atau memperbaharui rules
Snort secara otomatis.
4. Menganalisa penerapan dan performansi container Snort.
120
DAFTAR REFERENSI
Aldila, M. A., Mulyana, A., & Munadi, R. (2013). Desain Dan Implementasi
Captive Portal Dan Intrusion Prevention System Pada Jaringan Redundan
Load Balancing. 1–10.
Djomi, M. I., Munadi, I. R., & Negara, R. M. (2018a). Analisis Performansi
Network Function Virtualization Pada Containers Mengunakan Docker
Performance Analysis Of Network Function Virtualization On Containers
Using Docker. E-Proceeding Of Engineering, 5(2), 1974–1981.
Djomi, M. I., Munadi, I. R., & Negara, R. M. (2018b). Analisis Performansi
Network Function Virtualization Pada Containers Mengunakan Docker
Performance Analysis Of Network Function Virtualization On Containers
Using Docker Universitas Telkom | 2. 5(2), 1974–1981.
Fathoni, W., Fitriyani, & Nurkahfi, G. N. (2016). Deteksi Penyusupan Pada
Jaringan Komputer Menggunakan Ids Snort. E-Proceeding Of Engineering,
3(1), 1169–1172.
Https://Openlibrary.Telkomuniversity.Ac.Id/Pustaka/Files/114823/Persemba
han/Deteksi-Penyusupan-Pada-Jaringan-Komputer-Menggunana-Ids-
Snort.Pdf
Fiddin, C., Mayasari, R., & Munadi, R. (2018). Analisis Performansi Virtualisasi
Container Menggunakan Docker Dibawah Serangan Networked Denial Of
Service. E-Proceeding Of Engineering, 5(1), 281–290.
Kusuma, T. P., Munadi, R., & Sanjoyo, D. D. (2017). Implementasi Dan Analisis
Computer Clustering System Dengan Menggunakan Virtualisasi Docker. E-
Proceeding Of Engineering, 4(3), 1–6.
Https://Libraryeproceeding.Telkomuniversity.Ac.Id/Index.Php/Engineering/
Article/Download/4963/4930
Kuswanto, D. (2014). Unjuk Kerja Intrusion Prevention Sistem ( Ips ) Berbasis
Suricata Pada Jaringan Lokal Area Network. Jurnal Ilmiah Nero, 1(2), 73–81.
Ontoseno, R. D. H., Haqqi, M. N., & Hatta, M. (2017). Limitasi Pengguna Akses
Internet Berdasarkan Kuota Waktu Dan Data Menggunakan Pc Router Os
Mikrotik. Teknika : Engineering And Sains Journal, 1(2), 125–130.
Https://Doi.Org/10.5281/Zenodo.1116499
Pakpahan, S., Juli Irzal, S., & Gunawan, T. (2017). Implementasi Firewall Dan
Intrusion Prevention System (Ips) Dengan Sistem Operasi Ipfire. 1–3.
Http://Www.Duniakomputers.Com/2016/04/5-Open-Source-Firewall-
Perdana, F. B., Munadi, I. R., & Irawan, A. I. (2019). Implementasi Sistem
Keamanan Jaringan Menggunakan Suricata Dan Ntopng Implementation Of
Network Security System Using Suricata And Ntopng. 6(2), 4076–4083.
Riadi, I. (2011). Optimalisasi Keamanan Jaringan Menggunakan Pemfilteran
Aplikasi Berbasis Mikrotik Pendahuluan Landasan Teori. Jusi, Universitas
Ahmad Dahlan Yogyakarta, 1(1), 71–80.
Risyad, E., Data, M., & Pramukantoro, E. S. (2018). Perbandingan Performa
Intrusion Detection System ( Ids ) Snort Dan Suricata Dalam Mendeteksi
Serangan Tcp Syn Flood. Jurnal Pengembangan Teknologi Informasi Dan
Ilmu Komputer, 2(9), 2615–2624.
Romadona, R. T., Perdana, D., & Mayasari, R. (2019). Performansi Computer
Clustering Pada Virtual Machine Dan Docker Container Dengan Metode
Ddos Attack Performance Of Computer Clustering On Virtual Machine And
Docker Container With Ddos Attack Method. 1–8.
Shafitri, I. V. (2013). Analisis Dan Implementasi Intrusion Detection System (Ids)
Untuk Pemberitahuan Serangan Pada Keamanan Sistem Jaringan Komputer
Melalui Email. E-Proceeding Of Engineering.
Sinsuw, A. E. (2014). Analisa Performansi Algoritma Routing Di Jaringan
Komputer Unsrat. E-Journal Teknik Elektro Dan Komputer, 3(4), 28–39.
Https://Doi.Org/10.35793/Jtek.3.4.2014.5910
Sitanggang, R. (2019). Sistem Informasi Laporan Penjualan Komputer Berbasis
Lan. Mahajana Informasi, 4(1).
Suryadinata, I. M. D., Nasution, S. M., & Paryasto, M. W. (2017). Analisis
Perbandingan Bro Dan Snort Pada Server Intrusion Prevention System (Ips)
Berdasarkan Security Metric.
Toni, & Putra, A. (2019). Rancang Bangun Pembelajaran Jaringan Server Dengan
Sistem Server Cloud Virtual ( Hypervisor ). 17(1), 1–9.
Wahyudinata, T. (2013). Jaringan Komputer Osi Layer Dan Tcp / Ip.
Wardoyo, S., Ryadi, T., & Fahrizal, R. (2014). Analisis Performa File Transport
Protocol Pada Perbandingan Metode Ipv4 Murni, Ipv6 Murni Dan Tunneling
6to4 Berbasis Router Mikrotik. Jurnal Nasional Teknik Elektro, 3(2), 106.
Https://Doi.Org/10.25077/Jnte.V3n2.74.2014
LAMPIRAN A
JURNAL
A
IMPLEMENTASI KEAMANAN JARINGAN BERBASIS CLOUD COMPUTING
MENGGUNAKAN INTRUSION PREVENTION SYSTEM (IPS) DAN AUTENTIKASI
KERBEROS
IMPLEMENTATION OF NETWORK SECURITY BASED ON CLOUD
COMPUTING USING INTRUSION PREVENTION SYSTEM (IPS) AND
KERBEROS AUTHENTICATION
I Gusti Ngurah Pandu Wibisana A1, Nina Hendrarini2, Devie Ryana Suchendra 3 1,2,3Prodi D3
Teknik Komputer, Fakultas Ilmu Terapan, Universitas Telkom
1
panduwantara@student.telkomuniversity.ac.id, 2ninahendrarini@tass.telkomuniversity.ac.id,
3
deviersuchendra@tass.telkomuniversity.ac.id
Abstrak
Cloud computing yang ada saat ini banyak membantu karena banyak terhubung satu dengan lainnya menbuat
pengguna dimudahkan dalam mengakses layanan yang terdapat di dalam cloud computing tanpa harus khawatir oleh
jarak dan waktu. Namun ketika sebuah layanan cloud computing terhubung satu dengan lainnya muncul masalah
terkait keamanan cloud computing yang meliputi aspek confidentiality, integrity dan availability (CIA). Ketika aspek
tersebut menjadi topik yang berpengaruh karena ketika sistem cloud computing mengalami kebocoran data atau
terganggunya kinerja server maka akan mengganggu client atau user ketika memakai layanan cloud computing.
Untuk mengatasi permalahan tersebut maka dibangunlah sebuah sistem keamanan yang mengatasi ketiga
permasalahan tersebut. Sistem keamanan yang pertama yaitu sebuah autentifikasi jaringan menggunakanan
Kerberos yang akan dihubungkan dengan server cloudcomputing. Client yang ingin mengakses layanan cloud
computing diharuskan menggunakan aplikasi Kerberos agar bisa masuk kedalam cloud computing nya. Sistem
selanjutnya yaitu sebuah Intrusion Prevention System (IPS). Sebuah sistem yang bekerja dengan cara membaca paket-
paket yang dikirimkan ke cloud untuk membaca serangan dari luar.
Pada hasil pengujian baik sistem Kerberos maupun IPS bekerja dengan baik. Setelah melakukan pengujian berupa
serangan paket Flooding menggunakan ICMP, kemudian IPS memblok hasil paket dan menampilkan hasil log dengan
baik. Sana dengan Kerberos yang dapat menolak atau memutus koneksi yang bukan dari client Kerberos Kata kunci:
smartwatch, sensor detak jantung, aplikasi android, kategori kesehatan pasien.
Abstrack
Cloud computing that exists today helps a lot because it is connected between each other user will be facilitated in
accessing the services contained within the cloud computing without having to worry about by distance and time. But
when a cloud computing service connected one with the other security-related problems emerging cloud computing
which includes aspects of confidentiality, integrity and availability (CIA). When the aspect becomes an influential
topic because when the system is cloud computing experience a leak of data or disruption of the server performance
then it would interfere with client or user when wearing a cloud computing service. To overcome these problems then
woke a third security system cope with these problems. The first security system a network authentication credentials
using Kerberos will be linked with server cloud computing. Clients who want to access cloud computing services are
required to use Kerberos applications to get into cloud computing. The next system which is an Intrusion Prevention
System (IPS). A system that works by reading the packages sent to the cloud to read the attacks from the outside. On
the results of testing either the Kerberos or IPS system works well. After doing a test
A.1
in the form of an attack using ICMP DOS Flooding packets, then the IPS to block the results of the package and showing
the log properly. Similarly with Kerberos can refuse or disconnect connections that are not from the Kerberos client's.
1. Pendahuluan
Semakin berkembangnya teknologi di masa ini khususnya di bidang informasi membuat semua aspek kehidupan
sehari-hari perlahan berubah menjadi era digital yang membantu manusia dalam beraktifitas. Penggunaan teknologi
informasi menuntut aksesbilitas yang praktis dan mudah agar bisa diakses dimana saja dan kapan saja melalui
perangkat yang berbeda-beda pula.
Namun semua sistem pasti memiliki kekurangan termaksud cloud computing. Masalah yang sering muncul
terkait dengan keamanan jaringan meliputi aspek confidentiality, integrity dan availability (CIA). Ketiga aspek tersebut
menjadi topik utama mengingat sistem cloud yang terintegrasi berbagai layanan sehingga apabila terjadi suatu
kebocoran data atau privasi dan bahkan terganggunya kinerja server yang ada maka akan sangat mengganggu layanan
yang diberikan.
Oleh sebab itu dibuatlah sistem keamanan menggunakan Intrusion Prevention System (IPS) yang mengatur
jalur antara pengguna dan server cloud computing. Fungsi utama memonitor seluruh jaringan untuk lalu lintas yang
mencurigakan dengan menganalisis aktivitas jalur.
1.1. Flooding
Salah satu jenis serangan Denial of Service (DoS) yang mempunyai kerja memenuhi jaringan dengan paket
layaknya sebuah banjir. Dalam serangan itu, penyerang akan mengirimkan paket IP yang berjumlah besar
ke jaringaan korban. Oleh Karena itu bandwidth akan habis karena menerima paket tersebut. [2]
1.3. Kerberos
Kerberos merupakan sebuah protokol autentikasi yang dikembangkan oleh Massachusetts Institute of
Technology (MIT). Kerberos menggunakan enkripsi kunci rahasia/kunci simetris dengan algoritma kunci yang kuat
sehingga klien dapat membuktikan identitas mereka kepada server dan juga menjamin privasi dan integritas
komunikasi mereka dengan server. Kerberos memiliki 3 subprotokol ketika proses dijalankan yaitu :
a. Authentication Service (AS) Exchange: yang digunakan oleh Key Distribution Center (KDC) untuk menyediakan Ticket-
Granting Ticket (TGT) kepada klien dan membuat kunci sesi logon.
b. Ticket-Granting Service (TGS) Exchange: yang digunakan oleh KDC untuk mendistribusikan kunci sesi layanan dan tiket
yang diasosiasikan dengannya.
c. Client/Server (CS) Exchange: yang digunakan oleh klien untuk mengirimkan sebuah tiket sebagai pendaftaran kepada
sebuah layanan. [6]
A.3
1.4. Topologi Sistem Usulan
Semua PC User yang terhubung di jaringan dapat menggunakan cloud computing tersebut sesuai hak akses yang
diberikan oleh admin (NOC) melalui Kerberos server. Selanjutnya jika client ingin menggunakan cloud storage tersebut,
pengguna harus melakukan login terlebih dahulu. Kemudian Kerberos Server akan memberikan berupa aktivasi
berupa kode, setelah pengguna telah memasukkan kode aktivasi yang diberikan maka pengguna bisa memakai akun
cloud computing. Fasilitas yang pengguna bisa pakai adalah memasukkan data, menghapus data, mengedit data di dalam
cloud storage. Yang kemudian data tersebut akan disimpan di server cloud computing..
2. Pembahasan
2.1. Interface Sistem
Gambar 4 merupakan tampilan ketika user mendapat tiket. Dengan mendapat tiket user bisa mengakses layanan cloud
computing.
Berikut ini adalah cara kerja sistem yang akan dibuat dalam proyek akhir ini:
1. Admin akan menambahkan principal user kedalam serer kerberos, yaitu sebuah nama user dan hak
aksesnya.
sudo kadmin.local
Authenticating as principal
root/admin@CLOUDCOMPUTING.COM with password.
kadmin.local: addprinc testuser/user
WARNING: no policy specified for
testuser/user@CLOUDCOMPUTING.COM; defaulting to no
policy
Enter password for principal
"testuser/user@CLOUDCOMPUTING.COM": Re-enter password
for principal "testuser/user@CLOUDCOMPUTING.COM":
Principal "testuser/user@CLOUDCOMPUTING.COM" created.
Gambar 5 konfigurasi principal untuk menambhakan user
kadmin.local: quit
2. Ketika user sudah didaftarkan kedalam kerberos selanjutnya user sudah bisa mendapat tiketnya.
3. Setelah itu jika ingin melihat batas waktu tiket yang telah didapat dengan cara mengetikkan perintah klist. Disana
terdapat valid starting yaitu ketika user mendapat sekitar waktu sekian sampai yang telah ditentukan.
Gambar 7 Gambar test ping dengan iptables memakai paket yang besar
3. Kesimpulan
1. Kerberos mengatasi masalah confidentiality dan intergrity karena melakukan tiga kali proses
authentifikasi untuk menjalankan sebuah layanan cloud computing.
2. Sistem IPS yang menggunakan layanan snort mampu mengatasi serangan flooding yang bisa membuat
kinerja dari server cloudcomputing itu menjadi terganggu.
3. Semua sistem yang dibangun tidak sepenuhnya sempurna, terutama sistem Kerberos yang harus
sinkronisasi terhadap zona waktu yang akan mempengaruhi permintaan tiket
A.5
Daftar Pustaka
[2] D. Setiawan, Intrusion Prevention System (IPS) dan Tantangan dalam Pengembangannya,” Fakultas Ilmu Komputer
UNSRI, Palembang, 2009.
[3] Fattahi, Jaouhar dan Mejri, Mohamed, “Formal reasoning on authentication in security protocol” IEEE Conference
Publications, 09 February 2015.
[4] Cloud Indonesia. (2015) Apa yang Dimaksud Cloud Storage [Online]. Available:
http://cloudindonesia.com/apa-yang-di-maksud-cloud-storage/. [Accessed 4 Desember 2016]
[5] M. Erza Aminanto, “Menangani Serangan Intrusi Menggunakan IDS Dan IPS” Sekolah Teknik Elektro dan Informatika
ITB, Bandung, 2012.
[6] MIT, “Kerberos : The Internet Authentication Protocol“, 2012. [Online]. Available : http://web.mit.edu/kerberos/#what_Is.
[Accessed 4 February 2017]
A.6
7
A.7
otomatis. Untuk mengetahui suatu paket merupakan paket yang III. RISET TERKAIT
berbahaya atau tidak, terdapat dua metode yang umum yaitu Pada [7] dilakukan penelitian bahwa SDN dapat menjadi
anomaly-based dan signature-based [11]. solusi dari meningkatnya kebutuhan jaringan yang menuntut
akses internet yang nyaman, bandwith lebih besar, dan
A. Signature-based
penyediaan layanan yang dinamis.
IPS yang menggunakan teknik ini bekerja dengan cara Sedangkan pada [8] dan [9] membahas penerapan sistem
menganalisis tiap paket yang keluar-masuk di jaringan dan keamanan Intrusion Detection and Prevention System pada
membandingkannya dengan basis data yang berisi signature jaringan. Paper [8] membahas penerapan solusi baru bernama
atau rules dari atribut paket yang berbahaya. IPS yang SDNIPS (Software-Defined Networking based Intrusion
menggunakan teknik ini memiliki tingkat adaptasi yang rendah, Prevention System) pada jaringan awan dengan menggunakan
yang berarti hanya bisa mendeteksi tipe-tipe serangan yang controller POX. SDNIPS yang dibuat berbasis Snort-IDS dan
telah diketahui (terdapat di basis data). OVS (Open vSwitch) di mana OVS tersebut adalah
B. Anomaly-based implementasi dari protokol OpenFlow. Implementasinya
dilakukan menggunakan sebuah server dengan OVS di
Jika pada signature-based IPS membandingkannya dengan
dalamnya dengan 4 buah CPU virtual. SDNIPS menggunakan
rules yang telah dimiliki, maka pada anomaly-based IPS akan
Snort sebagai aplikasi untuk pendeteksian. Pada [9] membahas
membandingkan tiap paket dengan base station yang berlaku.
tentang pengamanan data yang ada di jaringan dari penyerang
Base station akan mendefinisikan semua parameter yang
yang akan merusak sistem untuk mencuri data seperti dokumen
digunakan, mulai dari port, protokol, dan bandwidth. Jika
penting dan sandi pengguna. Setelah menyadari pentingnya
terdapat lalu lintas yang berbeda dari yang telah didefinisikan,
keamanan di dalam sistem, mereka menggabungkan antara IDS
maka IPS akan memberikan peringatan ke administrator.
dan IPS menjadi IDPS. Hasil paper [8] didapat bahwa SDNIPS
dikatakan layak dan lebih efisien karena merupakan
Salah satu contoh IPS yaitu Snort. Snort merupakan salah
pengembangan dari IPS tradisional. Sedangkan hasil dari [9]
satu perangkat lunak network-based IPS open-source yang
didapat bahwa dengan menerapkan IDPS di dalam keamanan
memiliki kemampuan untuk menganalisis lalu lintas data secara
jaringan dapat membantu mengamankan informasi yang ada di
real-time dengan menggunakan teknik signature-based [5].
dalamnya. IDPS dapat mendeteksi dan mencegah serangan dari
Snort dapat menangani berbagai jenis serangan, beberapa
banyak host. IDPS juga dapat mengurangi kerusakan yang
diantaranya yaitu denial of service, port scanning, ARP
diakibatkan oleh serangan dengan membuat jaringan tahan
spoofing, dan sebagainya. Karena Snort bekerja dengan teknik
terhadap serangan.
signature-based, terdapat rules user-defined yang digunakan
Terdapat sebuah gagasan seperti yang telah dilakukan pada
Snort untuk menentukan suatu paket berbahaya atau tidak.
[6] yaitu Snort yang diintegrasikan dengan logika fuzzy. Tujuan
Terdapat dua bagian di tiap rules, yaitu rules header dan rules
dari penelitian ini yaitu mengurangi jumlah dari false alarm
option. Adapun rules header terbagi lagi menjadi beberapa
yang dihasilkan oleh Snort dalam menangani serangan port
bagian yang lebih kecil. Ilustrasi di bawah ini menggambarkan
scanning. Penyerang biasanya mencoba menyambungkan ke
cara kerja Snort secara umum [5].
host lain dan mulai memindai port yang akan berlanjut ke jenis
serangan lain. Dengan menggunakan teknik ini, penyerang
mencoba untuk mengidentifikasikan keberadaan dari host
tersebut di jaringan dan menentukan jenis layanan apa yang
sedang digunakan. Pada implementasinya, paper tersebut
menggunakan tiga parameter yang merupakan keluaran dari
hasil analisis Snort yang kemudian menjadi masukan bagi
fuzzy. Masing-masing dari parameter ini memiliki tiga
tingkatan berbeda mengenai frekuensi serangan port scanning.
Keluaran akhir dari sistem fuzzy tersebut yaitu persentase
mengenail serangan port scanning.
Adapun tiga parameter (variabel linguistik) yang menjadi
masukan bagi logika fuzzy tersebut yaitu:
▪ ART (Average Time): Waktu rata-rata paket yang diterima
oleh host tujuan/korban.
▪ NSP (Number of Sent Packet): Jumlah paket yang terkirim oleh
host asal.
▪ NRP (Number of Received Packet): Jumlah paket yang
diterima oleh host tujuan/korban.
Ilustrasi Fig.2 menjelaskan arsitektur Snort menggunakan
algoritma fuzzy.
A.8
9
Hanya dibutuhkan sebuah PC untuk membangun sistem
keamanan ini, termasuk seluruh komponen utama yang
diperlukan, mulai dari instalasi Snort, Ryu, hingga Mininet.
Simulator Mininet dibutuhkan untuk membuat jaringan SDN
dan menjalankan device virtual berupa tiga client dan satu
server.
A. Alur Kerja Sistem
Pada Fig.3 menggambarkan komponen-komponen yang
dirancang serta alur prosesnya. Dimulai dari berkas log.csv
yang merupakan keluaran dari Snort yang berisi timestamp,
alamat IP asal, alamat IP tujuan, protokol, dan pesan. Oleh
Fig. 2. Arsitektur Snort menggunakan algoritma fuzzy hostInspector.sh akan mengambil baris terakhir dari log dan
mencari selisih waktu antara serangan terakhir dan serangan
Berdasarkan deskripsi di atas, dapat disimpulkan bahwa sebelumnya dari sebuah host. Berkas fuzzy.py hanya akan
penggunaan IPS pada jaringan akan memiliki banyak dieksekusi jika selisih waktu (interval) penyerangan lebih kecil
keuntungan karena meningkatnya keamanan dari berbagai atau sama dengan dari 10 menit. Keluaran dari fuzzy.py adalah
serangan cyber. Jika diaplikasikan pada SDN, IPS akan menjadi durasi waktu blokir dalam satuan detik yang nantinya akan
lebih efisien karena proses instalasi hanya di satu tempat di berfungsi untuk menjeda proses. Berkas block.sh berfungsi
jaringan saja, yaitu di control plane. untuk mengirimkan flow entry pemblokiran ke Ryu via REST
API. Berkas unblock.sh akan dieksekusi setelah durasi telah
IV. IMPLEMENTASI mencapai 0 detik dan akan menghapus flow entry pemblokiran.
Secara garis besar, sistem yang akan dibangun adalah sebuah
sistem keamanan yang diimplementasikan pada arsitektur
jaringan SDN. Tools keamanan yang digunakan yaitu Snort,
sebuah network-based IPS dengan jenis signature-based yang
berfungsi untuk menganalisa dan menangani tiap paket jaringan
yang melewatinya. SDN adalah arsitektur jaringan dengan
logika terpusat, sehingga Snort tidak perlu diinstalasi di banyak
titik di jaringan yang dianggap penting, namun hanya perlu
diinstalasi di sisi yang berdekatan dengan pusat logika, yang
disebut sebagai controller. Controller yang digunakan yaitu
Ryu.
Dengan menggunakan SDN, tiap paket yang ada di seluruh
jaringan akan diproses terlebih dahulu oleh Ryu lalu oleh Snort
akan menganalisa dan menentukan apakah paket tersebut
berbahaya atau tidak berdasarkan rules yang telah dibuat. Jika
paket tersebut tidak terindikasi berbahaya, maka Snort akan
meneruskan paket tersebut ke Ryu untuk selanjutnya dikirim ke
tujuan. Namun jika berbahaya, maka serangkaian proses akan
dijalankan. Adapun prosesnya yaitu membangkitkan peringatan
serta memblokir setelah mengatur lamanya waktu pemblokiran.
Proses-proses ini akan mengakibatkan paket tersebut tidak akan
sampai ke host tujuan serta host pengirim akan diblokir selama
kurun waktu yang berbanding lurus dengan frekuensi serangan
yang diberikan. Fig. 3. Alur proses sistem
Sistem yang dibangun ini mengaplikasikan logika fuzzy
sebagai penentu durasi waktu blokir. Jika penyerang melakukan Pemberian nilai 10 menit terhadap durasi awal blokir
tindakan berbahaya untuk pertama kalinya (tidak dalam berdasarkan pada Fail2ban, salah satu tools keamanan populer
keadaan diblokir) dan paket yang dikirim cocok dengan rules di sistem operasi berbasis Linux yang dapat memblokir dengan
Snort yang telah dibuat, maka host tersebut akan diblokir cara meng-alter konfigurasi firewall iptables berdasarkan
selama kurun waktu 10 menit. Namun jika dalam 10 menit jumlah login yang gagal [13]. Pada berkas konfigurasinya, 10
berikutnya tetap melakukan serangan, maka akan ada menit merupakan nilai default untuk durasi blokir.
pemberian waktu blokir yang durasinya bergantung pada Sedangkan nilai 10 menit pada batas maksimal interval
frekuensi serangan dan jenis serangan yang diberikan. Jenis penyerangan yang dapat ditangani fuzzy berdasarkan pada
serangan yang digunakan adalah host discovery (scanning) dan alasan efisiensi. Pada paragraf sebelumnya dijelaskan bahwa
penyerangan Denial of Service (DoS). durasi awal 10 menit, yang berarti jika terdapat serangan
A.9
berikutnya yang lebih besar dari 10 menit, maka sudah tidak rancangan mana yang paling tepat untuk digunakan pada sistem
efisien bagi sitem untuk tetap mengeksekusi fuzzy. ini. Adapun rancangan yang digunakan dari 10 percobaan
tersebut adalah sebagai berikut.
B. Rancangan Topologi
Sistem ini menggunakan software emulator Mininet untuk
membangkitkan satu virtual switch yang telah mendukung
protokol OpenFlow versi 1.3 dan dari switch tersebut terhubung
ke empat host dengan rincian tiga client dan satu server.
Adapun rancangan arsitektur jaringan SDN yang dibangun
adalah sebagai berikut.
A.10
11
A. Skenario 1 (Host Discovery)
Pada skenario 1 ini dilakukan pengujian rules Snort terhadap
aktivitas host discovery dengan jenis ping scan terhadap seluruh
host yang terhubung di satu subnet yang sama dengan
penyerang. Pengujian menggunakan logika fuzzy dilakukan
sebanyak sepuluh kali. Dimulai dari interval penyerangan sama
dengan 0 menit hingga 10 menit. Berikut ini merupakan hasil
pengujian yang telah dilakukan.
A.11
adaptive IPS memiliki kemampuan untuk mendeteksi
serangan cyber dan juga dapat memblokir host penyerang
dengan durasi yang sesuai dengan frekuensi serta jenis
serangan yang telah dilakukan. Hasil akhir yang diperoleh
membuat jaringan SDN menjadi lebih aman.
REFERENCES
[1] G. Garg dan R. Garg, “Review On Architecture & Security Issues of SDN,”
International Journal of Innovative Research in Computer and
Communication Engineering, vol. 2, pp. 6519-6524, 2014.USA: Abbrev.
of Publisher, year, ch. x, sec. x, pp. xxx–xxx.
[2] Dyn, “Dyn Statement on 10/21/2016 DDoS Attack,” [Online]. Available:
http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/. [Diakses 4
Fig. 11. Durasi blokir untuk skenario DoS November 2016].
[3] X. Tianyi, H. Dijiang dan X. Le, “SnortFlow: A OpenFlow-based
Pada Fig 11 dapat dilihat bahwa terdapat penurunan durasi Intrusion Prevention,” GENI Research and Educational Experiment
Workshop, pp. 89-92, 2013.
yang berbanding terbalik dengan interval penyerangan. Untuk [4] “Informit,” [Online]. Available:
interval sama dengan 0 hingga 7, terdapat penurunan yang http://www.informit.com/articles/article.aspx? p=21778&seqNum=6.
cukup drastis yang setelah itu penurunan waktu durasi blokir [Diakses 17 Oktober 2016].
[5] P. Maheshwari dan A. Garg, “Performance Analysis of Snort-based
akan lebih stagnan. Sedangkan Fig 12 menjelaskan Intrusion,” International Conference on Advanced Computing and
perbandingan bandwidth dan delay rata-rata sebelum dan Communication Systems, 2016.
sesudah menggunakan logika fuzzy untuk skenario [6] W. El-Hajj, F. Aloul dan Z. Trabelsi, “On Detecting Port Scanning using
Fuzzy Based Intrusion Detection System”.
penyerangan 2. Perbedaan dapat terlihat sangat kontras antara
[7] W. Xia, Y. Wen dan C. H. Foh, “A Survey on Software-Defined
sebelum dan sesudah dilakukannya serangan DoS, baik untuk Networking,” IEEE Communication Surveys & Tutorials, vol. 17, pp. 27-
parameter delay dan bandwidth. 51, 2015.
[8] D. Huang, T. Xing dan Z. Xiong, “SDNIPS: Enabling Software-Defined
Networking Based Intrusion Prevention System in Clouds,” CNSM and
Workshop, pp. 308-311, 2014.
[9] A. Sharifi, A. Noorollahi dan F. Farokhmanesh, “Intrusion Detection and
Prevention Systems (IDPS) and Security Issues,” International Journal of
Computer Science and Network Security, vol. 14, pp. 80-84, 2014.
[10] Vijayarani dan M. Sylviaa, “Intrusion Detection System - A Study,”
International Journal of Security, Privacy and Trus Management, vol. 4, pp.
31-44, 2015.
[11] S. Soniya dan M. C. Vigila, “Intrusion detection system - Classification and
techniques,” International Conference on Circuit, Power and Computing
Technologies, 2016.
Fig. 12. Delay dan bandwidth sebelum dan sesudah serangan skenario 2 [12] Suyanto, Slide Presentasi Kuliah Kecerdasan Buatan: Lesson 2 Reasoning
Semester VI 2016.
[13] DigitalOcean, “How To Protect SSH with Fail2Ban on Ubuntu 14.04,”
VI. CONCLUSION [Online]. Available:
https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-
Berdasarkan analisa yang telah dilakukan terhadap lima with-fail2ban-on-ubuntu-14-04. [Diakses 27 Agustus 2017].
skenario pengujian keamanan sistem yang telah dibangun [14] NexusGuard,” [Online]. Available: https://news.nexusguard.com/2017q1-
dalam mencegah penyerangan maka dapat diambil beberapa ddos-threat-report-press-release. [Diakses 22 Agustus 2017].
kesimpulan sebagai berikut [15] “Linux User's Manual,” [Online]. Available: http://man7.org/linux/man-
pages/man1/time.1.html. [Diakses 29 Agustus 2017].
A.12
Ririn A,Iskandar F,Novi DN Jurnal Informatika, Vol.18, No. 1, juni
2018
IMPLEMENTASI METODE INTRUSION DETECTION
SYSTEMS (IDS) DAN INTRUSION PREVENTION SYSTEM
(IPS) BERBASIS SNORT SERVER UNTUK KEAMANAN
JARINGAN LAN
Ririn Agustin1, Iskandar Fitri2, Novi Dian Nathasia3
1, 2, 3
Informatika, Fakultas Teknologi Komunikasi dan Informatika, Universitas Nasional Jl.
Sawo Manila No 61, Pejaten Pasar Minggu, Jakarta Selatan 12520
Telp 021-7806700 – 7806462
e-mail: agustinririn22@gmail.com, iskandar.fitri@civitas.unas.ac.id, novidian@civitas.unas.ac.id
ABSTRACT
Currently in the world of network is being focused on computer network system, the dangerous and
dangerous things from within the network itself. It requires techniques to secure the resources
available in computer networks by using Intrusion Detection Systems (IDS) or intrusion detection
systems, using an intruder detection system that enables preventive network and information
systems (IPS) or backharming systems that will prevent intruder. In this research applied Intrusion
Detection System (IDS) and Intrusion Prevention Systems (IPS) as detection and prevention system
when intruders on computer network server, using Snort as rule based as alert to do security on
computer network. Intrusion Detection Systems (IDS) implemented on Linux operating systems and
Intrusion Prevention Systems (IPS) will be implemented with firewalls or iptables. From this
research, Intrusion Detection System (IDS) system testing and response time analysis with 3 models
of TCP flood attack, UDP Flood, and ICMP Flood. Results issued by the IDS system with 1 client
and 2 clients simultaneously perform an attack that produces the same alert accuracy value with
an average value of 99.98%. The average value of response time obtained from credit with 1 client
is 0.53 seconds and when using 2 clients get an average value of 0.32 seconds. So in conclusion
when an intruder detection system (IDS) is shared with 1 client or 2 client performs an attack, the
system is able to detect well and produce the same performance in detecting attacks from 1 or more
clients. And the results of the intruder deterrent testing system (IPS) is able to block Internet
Protocol (IP) by filtering the attacker IP well.
Keywords - Computer Network Security, Intrusion Detection Systems (IDS), Intrusion Prevention
Systems (IPS), Snort, IP Tables.
ABSTRAK
Saat ini dalam dunia jaringan sedang fokus pada sistem keamanan jaringan komputer, hal ini
disebabkan tingginya ancaman yang mencurigakan dan serangan dari dalam jaringan itu sendiri atau
serangan dari jaringan internet. Maka dibutuhkan teknik untuk mengamankan sumber daya yang
ada dalam jaringan komputer yaitu menggunakan metode Intrusion Detection Systems (IDS) atau
sistem deteksi penyusup, dengan adanya sistem deteksi penyusup maka aktivitas jaringan yang
mencurigakan dapat segera diketahui dan Intrusion Prevention Systems (IPS) atau sistem
pencengah penyusup yang akan mencegah adanya
A.13
penyusup. Pada penelitian ini menerapkan Intrusion Detection Systems (IDS) dan Intrusion
Prevention Systems (IPS) sebagai sistem deteksi dan pencegah adanya penyusup pada server
jaringan komputer, dengan menggunakan Snort sebagai rule based sebagai alert untuk melakukan
pengamanan pada jaringan komputer. Intrusion Detection Systems (IDS) diimplementasikan pada
sistem operasi berbasis Linux dan Intrusion Prevention Systems (IPS) akan diimplementasikan
dengan firewall atau iptables. Dari penelitian ini dilakukan pengujian sistem Intrusion Detection
System (IDS) dan analisa response time dengan 3 model serangan TCP flood, UDP Flood, dan ICMP
Flood. Hasil pengujian sistem IDS dengan 1 client dan 2 client secara bersamaan melakukan
serangan menghasilkan nilai akurasi alert yang sama yaitu dengan nilai rata-rata 99.98%. Nilai rata-
rata response time yang diperoleh dari pengujian dengan 1 client yaitu 0.53 second dan saat
menggunakan 2 client mendapatkan nilai rata-rata 0.32 second. Jadi kesimpulannya saat sistem
deteksi penyusup (IDS) diuji dengan 1 client atau 2 client melakukan serangan , sistem mampu
mendeteksi serangan dengan baik dan menghasilkan akurasi kinerja yang sama dalam mendeteksi
serangan dari 1 client atau lebih. Dan hasil pengujian sistem pencegah penyusup (IPS) mampu
melakukan blocking Internet Protocol (IP) dengan mem- filtered IP penyerang dengan baik.
Kata kunci—Keamanan Jaringan Komputer, Intrusion Detection Systems (IDS), Intrusion
Prevention Systems (IPS), Snort, IP Tables.
sumber daya serta layanan yang ada pada jaringan terjadi masalah meningkatnya aktivitas dan
trafik jaringan yang sangat cepat tanpa
komputer ialah Intrusion Detection dan
Prevention Systems (IDPS). diketahui dan terdeteksi dengan jelas apa
penyebabnya. Maka dibutuhkan sistem yang
dapat melindungi dan memberi
A.14
keamanan pada setiap trafik data yang ada pada keamanan sumber daya jaringan komputer
jaringan komputer. Ada beberapa tools yang dapat yang ada pada KPDE Provinsi Jambi dengan
digunakan untuk sistem monitoring jaringan yang hasil kinerja sistem melakukan pencegahan
berdampak serangan pada komputer salah satunya mencapai 96% [6]. Snort menghasilkan alert
ialah Snort berbasis IDS. Akan tetapi yang dapat mendeteksi adanya serangan
pengkonfigurasikan dan perancangan jurnal seperti Ping Of Death dan Port Scan dengan
sebelumnya Snort IDS hanya digunakan untuk penggunaan Pfsense sebagai penindak lanjut
memantau dan mendeteksi serangan atau dari alert yang akan melakukan blocking
penyusup yang ada pada jaringan, dengan network adanya penyalahgunaan jaringan[7]. Pada
forensic sebagai metode untuk memberikan report jaringan LAN dilakukan penerapan IDS
adanya serangan [1]. Pada penelitian ini sebagai pendekteksi sesuai dengan rule,
menggunakan metode IDS Snort dan IDS Suricata kemudian IPS dengan firewall yang akan
untuk mengetahui hasil perbandingan dari melakukan blocking terhadap serangan yang
pengukuran akurasi, kecepatan deteksi dan ada namun tidak dilakukan analisa kinerja
konsumsi sumber daya dengan hasil Snort IDS mencapai berapa persenkah sistem dalam
akurasi deteksi sebesar 99% pada trafik normal Penerapan Snort IDS dengan dilakukan
[3]. Dilakukan impelementasi Snort IPS pada pengujian penyerang melakukan DoS dengan
sekolah SMK Kristen 1 Salatiga kemudian mengirim paket ICMP saja dan hasil blocking
dilakukan analisa kursioner atau responden belum terlihat hasil yang maksimal[9]. Dari
dengan hasil 48% yang berarti cukup setuju penelitian sebelumnya perlu dikembangkan
bahwa layanan yang dibangun dapat membantu sistem Intrusion Prevention Systems (IPS)
pengamatan trafik jaringan [4]. Penelitian kelima yang baik agar dapat memaksimalkan kinerja
mampu menahan serangan terhadap 4 port (ICMP, Penulis membatasi permasalahan yang akan
FTP, SSH, dan TELNET)[5]. Implementasi dibahas dalam penelitian ini hanya pada
Intrusion Detection Systems (IDS) dan Intrusion konfigurasi metode IDS dengan Snort dan
Prevention Systems (IPS) dengan metode rule metode IPS dengan IPTables atau Firewall,
based untuk meningkatkan Snort server diimplementasikan pada sistem
operasi Linux Ubuntu dan BASE snort
sebagai web monitoring
A.15
serangan. Pengujian dilakukan oleh komputer
Client 1 dan 2 dengan melakukan serangan
bervariasi seperti flooding dengan protokol TCP,
ICMP, dan UDP terhadap server. Kemudian
analisa response time hasil pengujian deteksi
serangan. pengujian block Internet Protocol (IP)
atau pencegahan penyusup secara manual
Gambar 1. Fungsi komponen dalam
menggunakan iptables. Snort
Tujuan yang ingin dicapai dari penelitian ini
Snort ialah perangkat lunak yang berfungsi
ialah terwujudnya jaringan komputer pada
mengamati aktivitas dalam suatu jaringan,
jaringan LAN yang baik dan memiliki sistem
yang bersifat opensoure dan gratis. Pada
keamanan jaringan yang dapat mendeteksi dan
gambar 1 menjelaskan Snort merupakan
melakukan pencegahan terhadap serangan atau
paket sniffing dengan memanfaatkan
penyusup yang ada. Kemudian mengetahui
tcpdump untuk mengambil gambar paket
akurasi snort server dalam memberikan alert
data, kemudian oleh libcap akan dipisahkan
serangan yang terdeteksi oleh sistem IDS berbasis
untuk diteruskan ke proses Packet Decoder,
Snort Rule dan sistem Intrusion Prevention
Paket Decoder akan memisahkan paket dari
System (IPS) dengan iptables sebagai firewall
protokol IP, jenis paket yang digunakan.
dapat melakukan blocking IP penyerang sehingga
Kemudian preprocessor akan menganalisa
client penyerang tidak dapat melakukan
atau seleksi paket apakah paket yang ada itu
penyerangan.
utuh atau tidak. Pada Detection Engine
II. METODELOGI PENELITIAN sebagai pusat deteksi paket akan disesuaikan
A. Sistem Deteksi Penyusup (IDS) Snort dengan rule signature jika sesuai maka akan
sampai pada Output Stage yang akan
Flowchart ini menjelaskan prinsip kerja dari Snort.
disimpan pada database MySql hasilnya
Snort sebagai Network Intrusion Detection
berupa report atau alert.
Systems (NIDS) yaitu jaringan sistem deteksi
penyusup yang berskala ringan. B. Prinsip Kerja IP Tables
A.16
START
Paket
Forward Paket
Masuk Keputusan
Keluar
Filter
Mengambil Sistem Deteksi
Paket Data Snort Rules Based
Input Proses
Output
Server Apakah Ya
Filter
terdeteksi?
masuk proses input, jika bukan tujuan IP untuk mencurigakan atau adanya penyusup.
firewall akan diteruskan ke proses forward. Dengan mengambil paket data yang ada pada
tabel policy yang dipunyai firewall apakah di deteksi dengan Snort Rules Based, jika
A.17
dapat mendeteksi adanya aktivitas yang E. Topologi perancangan sistem keamanan
mencurigakan dan mencegah aktivitas tersebut. jaringan dengan IDPS berbasis Snort Server.
STA
RT
Topologi ini dibuat sebagai gambaran dari
perancangan sistem keamanan IDS dengan
Sistem
Deteksi Snort
Rules Based Snort dan IPS dengan IP Tables yang
Paket
Membuat
Peringatan
Menyimpan data
peringatan di Web
Tida Snort Server (IDS)
k (snort.event) dan
IP Tables (IPS)
Block Paket Jaringan di
Iptable
A.18
Pada implementasi ini penulis melakukan fungsional sistem pendeteksi penyusup sudah
pengujian dengan perangkat keras dan perangkat mampu mendeteksi serangan dengan
lunak dengan spesifikasi hardware : Laptop memberikan alert dengan total 72 alert.
ASUS X441U, Processor : Intel ® Core i3, CPU : A. Pengujian Sistem Deteksi Serangan
6006U @2.0GHz, RAM : 8.00 GB, VGA : Intel (IDS) pada Snort Server dengan 1 Client.
®
Pengujian dilakukan oleh client 1 saja yang
HD Graphics 520, software : Oracle VM
bertindak sebagai penyerang. Client 1
VirtualBox 5.2.8, Linux Ubuntu Dekstop
melakukan serangan terhadap server dengan
16.04 LTS untuk OS Server Snort, Linux Ubuntu
variasi serangan yaitu flooding atau
14.04 32bit untuk OS Client1 dan Client 2,
membanjiri IP atau Port dengan
Windows 10 sistem operasi pada laptop, dan
menggunakan 3 Port/Protokol.yaitu 22/TCP
Whireshark v2.4.4 sebagai network analyzer
flood, 68/UDP flood dan ICMP flood.
untuk analisa kinerja jaringan yang dibangun.
Tabel 1 menjelaskan rancangan pengujian
III. HASIL DAN PEMBAHASAN sistem IDS. Pada pengujian ini dilakukan
Pengujian dilakukan dengan menguji fungsi dari pada tanggal 22/05/2018 mulai pukul
sistem deteksi serangan (IDS) yang telah 08:47:27 WIB sampai dengan pukul 12:28:07
dibangun. WIB.
A.19
Pada model serangan port 68/UDP dilakukan B. Analisa Response Time Pengujian
sebesar 2500 paket dan 1 paket data dari port UDP Analisa response time ini ialah analisa waktu
terdapat 2 serangan, hasil alert yang terdeteksi respon server oleh rules snort terhadap
pada web BASE snort untuk port UDP sebesar adanya paket serangan yang dilakukan oleh 1
4997 alert, maka pengujian pada model UDP client penyerang secara bersamaan dengan 3
mencapai hasil 99,94%. model serangan yaitu TCP Flood, UDP
Dan model serangan Ping/ICMP dilakukan Flood, dan ICP Flood seperti pada tabel 2.
flooding IP dengan memberikan paket data Tabel 2. Response Time Rules Snort
sebesar 5000 paket dan 1 paket ICMP terdapat 2 Model Time Total Paket Response
Attack Span Diterma Time
serangan, hasil alert yang terdeteksi pada web TCP
1040.335 s 1270 0.82 s/paket
flood
UDP
BASE snort sebesar 10000, maka pengujian pada flood
2561.886 s 5778 0.44 s/paket
ICMP
model UDP flood mencapai hasil 100%. flood
5395.634 s 15869 0.34 s/paket
A.20
Pada gambar 7 dapat dilihat response time dengan ICMP
5000 2 20000 100%
flood
hasil terbesar pada model serangan TCP flood
Dengan mengirimkan paket data sebesar
dengan hasil 0.82 s / paket. Hal ini disebabkan
1000 paket dan 1 paket data berisi 1 serangan,
karena paket data yang dikirim lebih kecil.
hasil alert yang terdeteksi pada web BASE
Sehingga dapat disimpulkan response time server snort sebesar 2000 alert, maka pengujian ini
dalam mendeteksi adanya serangan memiliki rata- mencapai hasil 100%.
rata kurang dari 1 second / paket yaitu 0.53 Pada model serangan port 68/UDP
s/paket. dilakukan 2 client secara bersamaan
C. Pengujian Sistem Deteksi Serangan (IDS) melakukan serangan flooding port dengan
Jumla Jumla
Model h Paket h Jumla Hasil
Seranga Client dikiri seran h Akur
n Penye m gan/p Alert asi
rang aket
TCP Grafik 2. Diagram hasil pengujian
1000 1 2000 100%
flood
2
akurasi alert
UDP 99,94
flood 2500 2 9997 %
A.21
Pada Grafik 2 dapat diambil kesimpulan dari span 2961.172 s / total paket 11128 = 0.26
pengujian dilakukan oleh 2 client secara s/paket, dan ICMP Flood menghasilkan time
bersamaan memiliki hasil akurasi yang sama span 7291.117 s / total paket 28522 =
1 client yaitu saat dilakukan model serangan UDP Response Time (s)
Flood sistem IDS mengalami error sebesar 0.06%
0.6 0.45 s Keterangan :
dan hanya mencapai hasil 99.94 %. Dan untuk
0.4 0.26 s 0.25 Pengujian
model serangan TCP Flood dan ICMP Flood dengan 2 client
0.2 penyerang
mampu mencapai hasil 100%. Model Attack
TCP UDP ICMP
Flood Flood Flood
D. Analisa Response Time pengujian oleh 2 Gambar 8. Response Time Rules Snort
client penyerang. oleh 2 Client Penyerang
Analisa response time ini ialah analisa waktu
Pada gambar 8 dapat dilihat response time
respon server oleh rules snort terhadap adanya
dengan hasil terbesar pada model serangan
paket serangan yang dilakukan oleh 2 client
TCP flood dengan hasil 0.45 s / paket. Dari
penyerang secara bersamaan dengan 3 model
diagram diatas rata-rata response time yang
serangan yaitu TCP Flood, UDP Flood, dan
dihasilkan mencapai kurang dari 1
ICMP flood seperti pada tabel 4.
detik/paket yaitu 0.32 s/paket.
Tabel 4. Response Time Rules Snort Sehingga dapat disimpulkan perbedaan rules
Model Time Total Paket
Attack Span Diterima Response Time snort dan model serangan yang berbeda akan
TCP
1104.295 s 2439 0.45 s/paket mempengaruhi kecepatan pendeteksian
Flood
UDP
2961.172 s 11128 0.26 s/paket
Flood serangan. Jadi ketika paket data yang
ICMP
7291.117 s 28522 0.25 s/paket
Flood dimasukkan itu semakin besar maka
Pada tabel 4 menggambarkan tabel hasil analisa kecepatan pendeteksian akan semakin
response time server oleh rules snort dalam meningkat dan lebih cepat.
mendeteksi ketika ada paket serangan yang E. Pengujian Sistem Pencegah Serangan
diberikan oleh 2 client penyerang secara (IPS) pada iptables.
A.22
dan ICMP dengan IP Address
192.168.43.96 seperti pada gambar 9.
penyerang yaitu protokol TCP, UDP, dan ICMP Gambar 12 menunjukkan client 2 tidak
dengan IP Address client 2 yaitu 192.168.43.25. dapat melakukan serangan karena sudah
dilakukan blocking / filtered oleh sistem IPS
iptables. Hasil blocking IP ialah keterangan
state “filtered”. State filtered ini
menunjukkan bahwa Internet Protocol (IP)
penyerang telah berhasil di blok oleh sistem
Intrusion Prevention System (IPS).
Sehingga dapat ditarik kesimpulan bahwa
Gambar 11. Tampilan pada Client 1 saat sistem Intrusion Prevention System (IPS)
di Block atau sistem pencegah penyusup secara
Gambar 11 menunjukkan client 1 tidak dapat fungsional dapat melakukan blocking IP
melakukan serangan karena sudah dilakukan dengan baik sehingga client penyerang tidak
blocking / filtered oleh sistem IPS iptables. Hasil dapat lagi melakukan serangan terhadap
blocking IP ialah keterangan state “filtered”. server.
State filtered ini menunjukkan bahwa Internet IV. KESIMPULAN
Protocol (IP) penyerang telah berhasil di blok Implementasi sistem keamanan jaringan
oleh sistem Intrusion Prevention System (IPS) pada LAN nantinya mampu terintegrasi
dengan baik dan dapat dilakukan pengujian
dengan baik.
A.23
2. Sistem IDS dengan Snort yang DAFTAR ACUAN
diimplementasikan dapat melakukan deteksi [1] Ervin Kusuma Dewi, Patmi Kasih, 2017,
serangan dengan hasil rata-rata nilai akurasi “Analisis Log Snort Menggunakan
Network Forensic”, Jurnal Ilmiah
yang sama yaitu 99.98% pada pengujian
dengan 1 client dan 2 client dan menghasilkan Penelitian dan Pembelajaran Informatika
(JIPI), Vol.02, No.02, pp : 72-79,
rata-rata nilai response time server oleh rules
snort yang baik yaitu kurang dari 1 second Desember.
[2] Dwi Kuswanto, 2017, “Studi Analisis
membaca paket data yang ada, pada saat
pengujian dengan 1 client yaitu 0.53 second dan Host Based Intrusion Detection System
Berbasis Snort”, Seminar Nasional
dengan 2 client yaitu 0.32 second.
Teknologi Informasi dan Komunikasi
3. Sistem IDS mampu mendeteksi serangan
(SEMANTIKOM), Fakultas Teknik
dengan baik dan memiliki kemampuan kinerja
Universitas Trunojoyo, Bangakalan,.
yang sama dalam melakukan deteksi serangan
[3] Emir Risyad, Mahendra Data, Eko Sakti
dengan jumlah 1 client atau lebih banyak client.
Pramukantoro, 2017,
4. Sistem IPS dengan IP Tables mampu “Perbandingan Performa Intrusion
melakukan blocking IP serangan atau penyusup Detection System (IDS) Dan Suricata
dengan baik. Dalam Mendeteksi Serangan TCP SYN
A.24
Dengan Layanan Realtime [10] C.Seelammal, K. Vimala Devi, 2016,
Vol. 3, No.2, pp.39-48, Juli – Detection System for Snort log using
Media SISFO, Vol.10, No.2, p-ISSN : 1978- Vidal, 2015, “Anomaly-Based Network
[7] Sutarti, Adi Putranto Pnacaro, Fembi Isnanto American Transactions, Vol.13, No.3,
Detection System) pada Sistem Keamanan [12] Salamn Niksefat, Babak Sadeghiyan,
[8] Didit Suhartono, Andi Dwi Riyanto, Yogi Two-Party Computation Protocols”,
No.1 , e- ISSN : 2442-4528, Februari. [13] Alessio Merlo, Elena Spadacini, Mauro
[9] Budi Sudradjat, 2017, “Sistem Pendeteksian Migliardi, 2016, “IPS-based reduction of
Management, Accouting and Research [14] Eva Charismanty “Tutorial Snort untuk
November. http://andiwre.itmaranatha.org/tipsntrik/
linux/SNORT%20untuk%20IDS%20-
%20EvaCharismanty.pdf.
[15] Hengky Bintara “Mengenal Snort
sebagai Network Intrusion Detection
A.25
ANALISIS PERFORMANSI VIRTUALISASI CONTAINER MENGGUNAKAN DOCKER
DIBAWAH SERANGAN NETWORKED DENIAL OF SERVICE
Chrisna Fiddin1, Dr. Rendy Munadi, Ir.,M.T. 2, Ratna Mayasari, S.T, M.T.3
1,2,3
Prodi S1 Teknik Telekomunikasi, Fakultas Teknik Elektro, Universitas Telkom chrisnafc@gmail.com1 ,
rendymunadi@telkomuniversity.ac.id2 , ratnamayasari@telkomuniversity.ac.id3
Abstrak
Penggunaan teknologi virtualisasi dalam menyediakan infrastruktur komputasi meningkat cukup
tinggi seiring berkembangnya dunia industri IT. Penerapan teknologi virtualisasi dan container merupakan bagian
yang sangat penting dalam penerapan cloud computing, karena sangat berpengaruh pada efisiensi pengelolaan
sumber daya infrastruktur cloud computing. Pada konsep virtualisasi, dibutuhkan sebuah sistem yang dapat
menyediakan teknik virtualisasi yang mampu menyediakan sebuah sistem dengan peformansi mendekati atau sama
dengan native. salah satu faktor yang memperngaruhi performansi sebuah teknik virtualisasi yaitu dari sisi
keamanannya. Terdapat banyak jenis serangan terhadap sistem computer, yaitu salah satunya Denial of service,
jenis serangan ini senantiasa berkembang dalam berbagai bentuk.
Pada tugas akhir ini akan dilakukan penelitian mengenai performansi container menggunakan platform
Docker pada saat mengalami serangan DoS TCP SYN. Penelitian ini bertujuan untuk menganalisa kinerja mesin
dari sisi overall performance, dan layanan web server, yang dijalankan di atas container pada saat keadaan normal
dan mendapatkan serangan. Hasil pengujian akan dianalisa performansinya dengan membandingkan mesin native.
Dari hasil pengujian didapat bahwa serangan Denial of service memberikan dampak penurunan
performansi dari sisi overall performance dan layanan web server, baik mesin native maupun menggunakan teknik
virtualisasi container Docker. Pada serangan yang relatif ringan didapatkan hasil bahwa pada parameter request
per second menyebabkan penurunan performansi sebesar 40,22% pada native dan 37,65% pada Docker,
sedangkan pada parameter response time web server, serangan DoS menyebabkan peningkatan response time pada
server native sebesar 40,80%, sedangkan pada Docker sebesar 38,38.
Abstract
The application of virtualization technology in providing computing infrastructure has increased considerablyin line with the
development of the IT industry. Implementation of virtualization and container technology is very influential on the
efficiency of cloud computing infrastructure resource management. On the concept of virtualization, a system that can
provide a virtualization technique that is capable of providing a system with performance close to or equal to the native is
required. One of the factors that affect the performance of a virtualization technique is security. There are many types of
attacks on computer systems, one of them is Denial of service, this type of attack is constantly evolving in various forms.
In this final project, a research will be conducted on container performance using Docker platform under DoS
SYN flood attack. This study aims to analyze the performance of machines in terms of overall performance, and web
services performance, which run on top of the container during normal state and under attack. The test results will be
analyzed by comparing the performance native machine.
From the test results discovered that Denial of service attacks have the impact of performance degradation on
overall performance and web services, both native machines and using Docker container virtualization techniques. In
the relatively light attack, the results show that the request per second parameter resulted in a decrease in performance
of 40,22% in native and 37,65% in the Docker, whereas in the response time parameter of the web server, DoS attacks
resulted in increased response time on the native server by 40,80%, while at the Docker by 38,38%.
A.26
ISSN : 2355- e-Proceeding of Engineering : Vol.5, No.1 Maret 2018 |
9365 Page 27
1. Pendahuluan
Teknologi virtualisasi pada komputasi sekarang menjadi topik yang cukup ramai dalam pembahasan riset teknologi
cloud. Virtualisasi dan container merupakan bagian yang sangat penting dalam penerapan cloud computing, karena sangat
berpengaruh pada efisiensi pengelolaan sumber daya infrastruktur cloud computing. Hasil survey dari sdxcentral yang
dilakukan pada tahun 2015 menunjukan bahwa 94% responden yang berasal dari kalangan perusahaan telah mengadopsi
teknologi container sejak 12 bulan terakhir[1]. Dalam implementasinya saat ini, beberapa teknologi virtualisasi masih
memerlukan penelitian maupun percobaan lebih lanjut karena beberapa teknologinya masih tergolong baru. Salah satu
aspek penelitian yang banyak dikaji adalah mengenai jalannya aplikasi di atas teknologi virtualisasi serta aspek keamanan
jaringan. Di antara berbagai serangan DDOS, seranga flood TCP SYN adalah yang paling umum dan dikenal sebagai salah
satu metode DoS yang paling kuat. Jenis serangan ini masih mendominasi serangan DDOS berdasarkan laporan Kaspersky
tahun 2016 [2].
Sebelumnya telah dilakukan penelitian oleh Ryan Shea, Jiangchuan Liu dan dipublikasi pada IEEE SYSTEMS
JOURNAL dengan judul “Performance of Virtual Machines Under Networked Denial of Service Attacks: Experiments and
Analysis” , hasil dari parameter connection time diketahui bahwa performa hypervisor ketika mendapatkan serangan DoS
terjadi penurunan yang cukup besar, persentase perbandingannya yaitu diatas 400%, sedangkan pada container Open Vz
terdapat penurunan performa hanya sebesar 12%. Dari hasil penelitian tersebut disimpulkan bahwa, ada kemungkinan
dengan menggunakan teknologi container serangan DoS tidak membuat performa mesin menurun secara signifikan. Karena
pada konsep virtualisasi dibutuhkan sebuah sistem yang dapat menyediakan teknik virtualisasi dengan performa mendekati
atau sama dengan native [7].
Pada penelitian yang lainnya mengenai analisis performansi antara virtual machine dan container pada penelitian
yang telah dilakukan oleh Rabindra K. Barik, Rakesh K. Lenka, K. Rahul Rao, Devam Ghose dalam paper yang berjudul
“Performance Analysis of Virtual Machines and Containers in Cloud Computing” [5] mendapatkan kesimpulan bahwa
performansi virtualisasi container menggunakan Docker sedikit lebih unggul jika dibandingkan dengan teknik virtualisasi
lainnya.
Berdasar latar belakang yang sudah dijabarkan dan kesimpulan yang didapat dari penelitian terkait sebelumnya, maka
akan dilakukan penelitian pada performansi teknik virtualisasi container, dengan tujuan untuk menganalisa dan mengetahui
dampak yang ditimbulkan oleh serangan Denial of Service (DoS) SYN attack terhadap overall performance dan layanan
web yang dijalankan menggunakan teknik virtualisasi container dengan menggunakan platform Docker.
2. DASAR TEORI
A.27
2.4 DASAR JARINGAN DOCKER
Container menggunakan kemampuan partisi Linux yang disebut Cgroups dan namespaces. Proses Container diatur
oleh Docker engine sehingga proses didalam container dapat dipetakan ke dalam jaringan, sistem penyimpanan dan
namespaces lainnya. Di sisi jaringan, namespace memiliki hubungan jaringan sendiri dengan interface jaringan host, tabel
routing, soket dan aturan IPTABLE. Arsitektur jaringan Docker dibangun di atas satu set antarmuka yang disebut Container
Networking Model (CNM).
Fokus pengujian pada penelitian ini yaitu hanya pada bagian mesin yang menjalankan virtualisasi container, didalam
mesin tersebut nantinya akan dijalankan service ubuntu server native dan dengan Container, kemudian diuji performanya
dari sisi overall performance dan layanan web server ketika normal dan mendapatkan serangan dari mesin attack emulator.
Fungsi dari attacker dalam sistem ini yaitu untuk melakukan generate paket serangan SYN, diasumsikan trafik paket yang
dihasilkan sebesar 100Mb/s. Gateway berfungsi untuk melakukan drop paket serangan yang dihasilkan oleh mesin yang
diuji, serta sebagai gerbang akses ke internet untuk melakukan request installasi paket Docker image.
A.28
ISSN : 2355- e-Proceeding of Engineering : Vol.5, No.1 Maret 2018 |
9365 Page 29
A – Nilai Minimum A
𝐴′ = * (D-C)+C (4.1)
Nilai Maksimum A − Nilai minimum A
Dimana, A’ berisi data Normalisasi Min-Max dengan rentang batas yang ditentukan adalah [C, D].
• CPU
Hasil pengukuran performansi CPU menggunakan 7-Zip berupa satuan MIPS, pengukuran ini bertujuan untuk
mendapatkan hasil berapa besar kemampuan CPU dalam menjalankan instruksi dalam satu detiknya.
3000,000
2000,000
1000,000
0,000
Native Docker
A.29
HASIL PENGUJIAN THROUGHPUT MEMORY
MEMORY TROUGHPUT
8000
7431 7432,3
7242,4 7221,1 7274,4 7276,6
(MB/s)
7500
7000
6500
6000
5500
5000
Native Docker
Dari hasil pengujian tersebut jika semakin besar nilainya maka semakin bagus performansinya. Terlihat
terdapat penurunan performansi di sistem Native dan Docker, pada skenario serangan tanpa keamanan SYN
cookies, besar persentase penurunannya yaitu 2.54% pada Native dan 1.95% pada Docker, penurunan ini
diakibatkan oleh serangan SYN yang dianggap oleh server ingin mencoba membangun koneksi, kemudian server
membalas dengan mengirim SYN-ACK, serta mengalokasikan resource memory untuk menunggu datangnya
balasan ACK dari client yang melakukan request. Pada saat skenario serangan dengan SYN cookies diaktifkan juga
terlihat terdapat penurunan performansi, tetapi penurunan performansi pada skenario ini tidak sebesar ketika tidak
menggunakan keamanan SYN cookies, ini diakibatkan oleh aktifnya fungsi algoritma SYN cookies dalam kernel
Linux sehingga sistem akan mengabaikan serangan SYN flood yang masuk, dengan keamanan ini memungkinkan
server untuk menghentikan koneksi menggantung saat telah mencapai batas pada buffer, oleh sebab itu alokasi
memory untuk koneksi tidak sebanyak pada saat skenario tidak menggunakan keamanan SYN cookies
• Iozone Read dan Iozone Write
Hasil pengujian terakhir untuk parameter overall performance adalah untuk uji Iozone read dan write,
diberikan pada Gambar 4.3 dan Gambar 4.4.
IOZONE READ
Native
Vanila
A.30
ISSN : 2355- e-Proceeding of Engineering : Vol.5, No.1 Maret 2018 |
9365 Page 31
Untuk pengujian Iozone read dan write , semakin besar hasilnya maka semakin bagus performansinya.
Hasil pengujian pada parameter ini tidak terlalu terdampak performansinya oleh serangan DoS, ini dikarenakan
serangan DoS yang digunakan menggunakan paket berukuran sangat kecil, hanya terdapat header paket dan
payload tidak disi data sama sekali, sehingga pada sisi read dan write data tidak terdapat penurunan yang besar
pada semua skenario dibawah serangan DoS, adanya penurunan yang relatif kecil diakibatkan pada saat sistem
mendapatkan serangan, sistem IO bekerja dalam melayani packet serangan yang masuk dan juga melakukan
pembuatan paket ACK balasan yang juga melibatkan IO read dan write.
Pada saat SYN cookies diaktifkan penurunan performansi didapat lebih kecil jika dibandingkan tidak
diaktifkan, ini karena pada saat SYN cookies diaktifkan server membatasi untuk membangun koneksi yang
menggantung (SYN_RECV) sehingga dalam pembacaan paket yang masuk akan dibatasi, sehingga didapat
performa sedikit lebih tinggi jika dibandingkan dengan SYN cookeis dimatikan. Selisih performansi antara docker
pada saat diserang maupun kondisi normal tidak terdapat perbedaan yang jauh, terlihat di semua skenario selisih
performansi tidak ada yang melebihi 1%. Hasil dari parameter pengujian ini didapat standar deviasi yang cukup
kecil, pada semua skenario nilainya tidak ada yang melebihi 1%, ini menandakan bahwa performa write file sistem
cukup stabil, tidak ada penurunan ataupun peningkatan yang signifikan pada setiap pengujian.
Skor
Skor
Nilai
0,5
Nilai
0,5
0 0
NATIVE BASE DOCKER BASE
NATIVE ATTACK DOCKER ATTACK
0,4
0,2
0
NATIVE SYN COOKIES DOCKER SYN
ENABLED COOKIES ENABLED
Dari seluruh skenario untuk metrik overall performance tidak ada perbedan nilai performansi yang signifikan diantara
Docker dan Native, semua skor performansi Docker hasilnya mendekati satu (pendekatan dua angka di belakang koma)
maka dari hasil tersebut membuktikan bahwa dengan menggunakan teknik virtualisasi container menggunakan Docker
perfomansinya yang sangat mendekati mesin native, baik pada saat keadaan normal maupun mendapatkan serangan TCP
SYN flood. Pada container Docker didapat performansi sedikit lebih unggul, ini sebab virtualisasi container mengurangi
jumlah sumber daya yang terbuang selama komputasi dengan hanya menjalankan dan menyediakan kebutuhan binary
atau library yang sesuai dengan aplikasi atau
A.31
layanan yang dijalankan.mendekati mesin native, baik pada saat keadaan normal maupun mendapatkan serangan TCP SYN
flood.
4.2. PENGUJIAN NETWORK
Hasil Pengujian Iperf dapat dilihat di Table 4.8. Pengukuran Iperf bertujuan untuk mengukur seberapa besar kecepatan
transfer maksimum diantara dua host.
0,000
Base Attack Attack SYN Cookies
Enabled
Native Docker
Pada pengukuran performansi base hampir tidak ada perbedaan performa, selisih diantara Native dan Docker hanya
sebesar 0,003MB/s, semakin besar nilai throughput maka akan semakin bagus. Overhead pada sisi jaringan docker didapat
sangat kecil sekali, diduga ini disebabkan oleh penggunaan driver Macvlan sebagai mode jaringan container, dengan driver
Macvlan container dapat langsung terhubung dengan mesin client yang bertindak sebagai user pada layer 2, tanpa harus
melalui jaringan mesin Ubuntu host, dan implementasi driver Macvlan sangatlah ringan di linux, driver tersebut hanya
menerapkan pemisahan antara jaringan container dan koneksi fisik jaringan host [10].
Pengujian skenario serangan tanpa keamanan SYN cookies terdapat penurunan performa pada sistem Native sebesar
37,38% dan Docker 36,83%, pada sistem Docker penurunan performansi sedikit lebih kecil nilainya jika dibandingkan
dengan Native, diduga dengan penggunaan driver Macvlan pada jaringan Docker,
Pada skenario SYN cookies diaktifkan terlihat pada kedua sistem terdapat penurunan performansi pada Docker sebesar
38.22 dan Native 39.79, selisih penurunan performa kedua sistem sangatlah kecil yaitu hanya sebesar 1,57%, pada skenario
ini tetap ada penurunan performansi walaupun keamanan SYN cookies diaktifkan, dikarenakan pada saat pengujian jalur
pengiriman paket data untuk pengujian terbagi oleh paket yang dibuat oleh algoritma SYN cookies , yaitu dengan paket
balasan SYN-ACK cookies untuk meresponse setiap paket SYN yang dihasilkan oleh serangan DoS [20], oleh sebab itu
bandwidth akan terbagi oleh paket cookies SYN-ACK yang dikirim oleh server dan paket serangan yang dikirim oleh
attacker, sehingga pada saat SYN cookies diaktifkan terjadi penurunan throughput sedikit lebih besar jika dibandingkan
dengan serangan tanpa SYN cookies.
A.32
ISSN : 2355- e-Proceeding of Engineering : Vol.5, No.1 Maret 2018 |
9365 Page 33
(REQUEST/s)
REQUEST PER 1500,000
SECOND 1144,606 1150,275
1000,000 717,235
684,214
500,000
0,000
Base Attack SYN Cookies Enabled
Native Docker
Pada pengukuran parameter ini semakin besar nilai request maka akan semakin bagus. Dapat dilihat pada Gambar
4.9, performansi Native dan Docker tidak memiliki perbedaan yang signifikan, pada saat mendapatkan serangan
performansi Native dan Docker hanya memiliki selisih penurunan sebesar 2,57%. Performa sistem Docker pada saat
skenario serangan DoS sedikit lebih unggul, ini karena berbanding lurus dengan hasil pengujian throughput jaringan
sebelumnya. Penurunan performansi pada saat mendapatkan serangan DoS diakibatkan oleh trafik data yang terbagi
oleh paket serangan SYN yang masuk kedalam server, dan juga adanya SYN-ACK cookies yang dikirimkan oleh
server membuat jalur pengiriman data dan kapasitas jaringan menurun karena trafik data terbagi, sehingga
mengakibatkan jumlah request per second mengalami penurunan sebesar 40,22% pada Native dan 37,65% pada
Docker.
b. Response Time
Selanjutnya, akan diuji rata-rata waktu yang dibutuhkan untuk membangun koneksi HTTP ke server web.
Pengukuran menggunakan aplikasi ab-apache, dari pengujian akan diukur waktu yang dibutuhkan dalam menjalankan
tiap request ke server, dan akan dihitung nilai rata-rata dari semua request yang telah berhasil dijalankan.
20,000
Response Time
8,741 8,709
(ms)
Native
A.33
SYN yang masuk dan harus diproses oleh server, kemudian komputer server juga harus menangani proses request
layanan dari client bersamaan dengan proses penanganan paket SYN yang dikirim oleh penyerang, sehingga
terjadilah kenaikan waktu response time. Tetapi dari perbandingan kedua sistem tidak terdapat perbedaan yang
cukup jauh, selisih response time dari kedua sistem pada saat mendapatkan serangan hanya sebesar 0,62ms, dan
hasil pengujian ini berbanding terbalik terhadap pengujian performansi CPU, semakin besar nilai CPU maka nilai
response time akan semakin kecil.
Daftar Pustaka
[1] [Online]. Available : https://www.sdxcentral.com/articles/news/survey-container-adoption-is-
skyrocketing/2015/06/.[Accessed 5 April 2017]
[2] [Online]. Available : https://securelist.com/analysis/quarterly-malware-reports/74550/kaspersky-
ddos-intelligence-report-for-q1-2016/.[Accessed 10 Januari 2018]
[3] Wesley M. Eddy.Defenses Against TCP SYN Flooding Attacks - The Internet Protocol Journal -
Volume 9, Number 4
[4] Deshane, T., Shepherd, Z., Matthews, J., Ben-Yehuda, M., Shah, A. and Rao, B., 2008.
Quantitative comparison of Xen and KVM. Xen Summit, Boston, MA, USA, pp.1-2.
[5] Rabindra K. Barik, Rakesh K. Lenka, K. Rahul Rao, and Devam Ghose, “Performance Analysis of
Virtual Machines and Containers in Cloud Computing”, in International Conference on
Computing, Communication and Automation (ICCCA2016)
[6] Casalicchio, Emiliano & Perciballi, Vanessa. (2017). Measuring Docker Performance: What a
Mess!!!. . 10.1145/3053600.3053605.Conference: ACM ICPE ’17 Companion
A.34
ISSN : 2355- e-Proceeding of Engineering : Vol.5, No.1 Maret 2018 |
9365 Page 35
[7] Ryan Shea, “Performance of Virtual Machines Under Networked Denial of Service Attacks:
Experiments and Analysis”,in 2013 IEEE SYESTEM JOUNAL, VOL 7. NO. 2
[8] TCP SYN Flooding and IP Spoofing Attacks, 1996 Advisory, Software Engineering Institute,
Carnegie-Mellon University
[9] W. Richard Stevens. TCP/IP Illustrated, Volume 1: The Protocols.
[10] Fabrizio Soppelsa, Chanwit Kaewkasi, “Native Docker Clustering with Swarm”.
[11] PATRO, S GOPAL & Kumar Sahu, Kishore. (2015). Normalization: A Preprocessing Stage.
IARJSET.10.17148/IARJSET.2015.2305.
[12] Stallings (2005). Operating Systems, Internals and Design Principles. Pearson: Prentice Hall. p. 6.
[13] [Online]. Available : Avram, Abel (2013-03-27). "Docker: Automated and Consistent Software
Deployments". InfoQ.[Accessed 5 April 2017]
[14] [Online]. Available : "One home for all your apps". dotcloud.com. Archived from the original on
2014-05-17.[Accessed 5 April 2017]
[15] [Online]. Available : https://docs.Docker.com/engine/Docker-overview/.[Accessed 5 April 2017]
[16] Bogdanoski, Mitko & Shuminoski, Tomislav & Risteski, Aleksandar. (2013). Analysis of the SYN
flood DoS attack. International Journal of Computer Network and Information Security. 5. 1-11.
10.5815/ijcnis.2013.08.01.
[17] [Online]. Available : https://success.docker.com/article/Docker_Reference_Architecture-
_Designing_Scalable,_Portable_Docker_Container_Networks/.[Accessed 5 April 2017]
[18] Rajdeep Dua, A Reddy Raja, and Dharmesh Kakadia, “Virtualization vs Containerization to
support PaaS”, in 2014 IEEE International Conference on Cloud Engineering
[19] Hung, Ling-Hong & Kristiyanto, Daniel & Bong Lee, Sung & Yeung, Ka Yee. (2016). GUIdock:
Using Docker Containers with a Common Graphics User Interface to Address the Reproducibility
of Research. PloS one. 11. e0152686. 10.1371/journal.pone.0152686.
[20] Wesley M. Eddy, “Defenses Against TCP SYN Flooding Attacks” , in 2006 The Internet Protocol
Journal - Volume 9, Number 4 ,
[21] STREAM: Sustainable Memory Bandwidth in High Performance Computers
John D. McCalpin, Ph.D.john@mccalpin.com"Dr. Bandwidth"
A.35
PERFORMANSI COMPUTER CLUSTERING PADA VIRTUAL MACHINE DAN
DOCKER CONTAINER DENGAN METODE DDOS ATTACK
PERFORMANCE OF COMPUTER CLUSTERING ON VIRTUAL MACHINE AND DOCKER
CONTAINER WITH DDOS ATTACK METHOD
Riki Tanzila Romadona1, Doan Perdana2, Ratna Mayasari3
1,2,3
Prodi S1 Teknik Telekomunikasi, Fakultas Teknik Elektro, Universitas Telkom
rikitanzila.student.telkomuniversity.ac.id1, doanperdana@telkomuniversity.ac.id2,
ratnamayasari@telkomuniversity.ac.id3
ABSTRAK
Docker Container dan virtual machine merupakan jenis teknik virtualisasi yang ada pada saat ini, kedua
jenis teknik virtualisasi tersebut pada saat ini sudah banyak diterapkan pada layanan cloud. Teknik virtualisasi juga
dapat dilakukan computer clustering untuk menambahkan performansi agar dapat melayani jumlah permintaan
user yang lebih tinggi terhadap suatu server. Namun meskipun computer clustering telah diimplementasikan
kedalam jenis teknik virtualisasi tersebut terkadang kinerja sistem secara tiba - tiba menjadi sangat lambat karena
kelebihan beban (overload) atau bahkan hingga webserver tidak bisa diakses karena adanya user yang sengaja
melakukan serangan DDoS terhadap server. Permasalahan tersebut kerap terjadi dan dapat membuat rugi pada
pihak yang membuat server tersebut karena server tidak dapat diakses oleh user.
Untuk melihat performansi dari teknik virtualisasi yang dilakukan computer clustering, maka pada
penelitian kali ini dilakukan implementasi clustering pada teknik virtualisasi Docker Container dan virtual machine
(Virtualbox dan KVM), yang selanjutnya dilakukan penyerangan DDoS yang berfungsi untuk membebani server.
Tujuan perbandingan ini dilakukan untuk melihat performansi dari masing masing jenis virtualisasi.
Pada Docker Container didapatkan hasil performansi cpu sebesar 36,8% - 77,2% dan 20,4% - 46,2%
dengan menggunakan cluster, pada Virtualbox didapatkan hasil performansi cpu sebesar 39,2% - 82,6% dan 5,5%
- 27,5% dengan menggunakan cluster, pada KVM didapatkan hasil performansi cpu sebesar 14,8% - 38% dan 8,4%
- 28% dengan menggunakan cluster. Dari semua hasil performansi dapat disimpulkan penggunaan cpu terendah
didapatkan dengan menggunakan KVM, namun dalam menangani serangan DDoS Slow Post-HTTP Request Docker
Container lebih unggul dan dapat menangani serangan DDoS dengan besar paket 400 pada Host dan dapat
mengangani semua serangan DDoS pada cluster.
Kata Kunci : Performance, Docker Container, Virtual Machine, Computer clustering, DDoS.
ABSTRACT
Docker Containers and virtual machines are the type of virtualization techniques currently present, both of
these types of virtualization techniques are already widely applied to cloud services. Virtualization techniques can also
be done by computer clustering to add performance in order to serve a higher number of user requests to a server. But
even though computer clustering has been implemented into these types of virtualization techniques sometimes system
performance suddenly becomes very slow due to overload or even until the webserver cannot be accessed because A user
who accidentally performs a DDoS attack against the server. These problems often occur and can make a loss on the
party that makes the server because the server is not accessible by the user.
In order to see the performance of the virtualization technique done by computer clustering, this research is
implemented clustering implementation of the virtualization technique of Docker Container and virtual machine
(Virtualbox and KVM), hereinafter A DDoS attack that serves to overload the server. The purpose of this comparison
is to see the performance of each type of virtualization.
Based on In Docker Container obtained results of CPU performance of 36.8% - 77.2% and 20.4% - 46.2% by
using clusters, in Virtualbox obtained the result of CPU performance of 39.2% - 82.6% and 5.5% - 27.5% using clusters,
in KVM obtained CPU performance of 14.8%-38% and 8.4% - 28% by using clusters. Of all performance results can be
deduced the lowest CPU usage obtained using KVM, but in handling the Slow Post-HTTP Request DDoS attack a
Docker Container is superior and can handle DDoS attacks with a large 400 package on Host and can have all DDoS
attacks on the cluster.
1. Pendahuluan
Teknik virtualisasi adalah pembuatan versi maya (virtual) dari suatu sumber daya (resource), sehingga dengan
menggunakan satu sumber daya fisik dapat diciptakan beberapa versi maya yang fungsinya sama dari sumber daya fisik
tersebut. Hingga saat ini terdapat banyak sumber daya yang dapat divirtualisasikan baik pada perangkat keras (hardware)
dan perangkat lunak (software). Teknik virtualisasi itu sendiri dapat diterapka
A.36
Dalam realisasinya kedua jenis teknik virtualisasi ini diterapkan pada layanan cloud sebagai server yang menangani
banyaknya permintaan request terhadap suatu service dalam satu waktu. Agar server dapat mengoptimalkan kinerja sistem
dalam mengatur pembagian beban kerja maka dibutuhkan penerapan computer cluster, dengan jenis cluster yaitu load
balancing. Load balancing ini dilakukan untuk menangani kelebihan beban pada aplikasi dengan membagi-bagi beban
kepada komputer lain. Load balancing diterapkan baik pada Docker maupun virtual machine (Virtualbox dan KVM).
Namun meskipun load balancing telah diimplementasikan kedalam jenis teknik virtualisasi tersebut terkadang
kinerja sistem secara tiba - tiba menjadi sangat lambat karena kelebihan beban (overload) atau bahkan hingga webserver
tidak bisa diakses karena adanya user yang sengaja melakukan serangan DDoS terhadap server. Pada tugas akhir ini
dilakukan analisa dan membandingkan performansi dalam pengukuran CPU usage dari beberapa jenis teknik virtualisasi
yaitu Docker, dan virtual machine (Virtualbox dan KVM) dengan membebankan server dengan menggunakan serangan
DDOS sebagai pembangkit trafik. Selanjutnya hasil performansi antara Docker dan virtual machine tersebut akan dilihat
apakah ada perbedaan performansi dalam kinerja CPU yang
selanjutnya akan dilakukan perbandingan untuk pemilihan jenis virtualisasi yang lebih baik.
2. Dasar Teori
2.1. Docker Container
Docker adalah suatu daemon yang menyediakan kemampuan untuk mengelola Container Linux sebagai image
tersendiri. Docker memanfaatkan LXC untuk implementasi Container dan menambahkan kemampuan manajemen image
dan Union File System ke dalamnya. Docker menggunakan arsitektur berbasis client-server. Dalam hal ini, Docker client
mengirimkan permintaan berupa sebuah perintah kepada Docker daemon untuk membangun, mendistribusikan, dan
menjalankan Container Docker. [1]
2.2. Virtual Machine
Virtual Machine (VM) adalah sebuah mesin yang mempunyai dasar logika yang menggunakan pendekatan lapisan-
lapisan (layers) dari sistem komputer. Sehingga sistem komputer dengan tersendiri dibangun atas lapisan- lapisan tersebut.
Kernel yang berada pada lapisan kedua ini, menggunakan instruksi perangkat keras untuk menciptakan seperangkat system
call yang dapat digunakan oleh komponen-komponen pada level sistem program. Sistem program kemudian dapat
menggunakan system call dan perangkat keras lainnya seolah-olah pada level yang sama. [2]
2.3. Virtualbox
Virtualbox adalah perangkat lunak virtualisasi, yang dapat digunakan untuk mengeksekusi sistem operasi “tambahan”
di dalam sistem operasi “utama”. Sebagai contoh, jika seseorang mempunyai sistem operasi MS Windows yang terpasang
di komputernya, maka seseorang tersebut dapat pula menjalankan sistem operasi lain yang diinginkan di dalam sistem
operasi MS Windows. [3]
2.4. Kernel Virtual Machine (KVM)
Kernel-Based Virtual Machine (KVM) adalah salah satu teknologi virtualisasi (hypervisor) yang dikembangkan oleh
Linux. KVM merupakan sebuah solusi untuk melakukan virtualisasi pada Linux dengan perangkat keras type x86 (64-bit).
[4]
2.5. Load Balancing
Load balance adalah gabungan dari beberapa server untuk menyelesaikan permasalahan keseimbangan beban dari
suatu proses komputing. Load balance menggunakan sejumlah node-node yang akan dibagi secara merata. Di dalam
penerapan load balance tersebut diperlukan beberapa hardware dan software sebagai pendukung. [5]
2.6. Distributed Denial of Service (DDoS)
Serangan DDoS adalah serangan DoS yang memanfaatkan beberapa sumber daya serangan yang terdistribusi. Biasanya,
para penyerang menggunakan sejumlah besar bots yang dikendalikan (komputer inang/daemon, juga disebut sebagai
zombie) dan terdistribusi di beberapa lokasi yang berbeda untuk melancarkankan sejumlah besar serangan DoS terhadap
target tunggal atau beberapa target. Seiring dengan perkembangan pesat dari botnet (jaringan bot) dalam beberapa tahun
terakhir, skala lalu lintas serangan yang disebabkan oleh serangan DDoS telah meningkat, dengan targetnya tidak hanya
server untuk keperluan bisnis, tetapi juga infrastruktur internet seperti firewall, router dan sistem DNS serta bandwidth
jaringan.[6]
A.37
Pada Bab ini menjelaskan mengenai tahapan penelitian yang dilakukan meliputi pemodelan diagram alir atau flow chart,
topologi jaringan, perangkat yang digunakan, instalasi dan konfigurasi pada masing masing sistem.
3.1 Metode Penelitian
Berikut merupakan diagram alir metode penelitian
Berikut adalah penjelasan pada Gambar 1 Diagram Alir Pada Sisi Server:
1. Tahapan pertama dalam diagram alir adalah Penentuan Software dilakukan agar tidak salah memilih software
yang digunakan untuk melakukan instalasi jenis teknik virtulaisasi dan pembuatan computer clustering dari jenis
teknik virtualisasi tersebut, dan dan hardware dilakukan agar memiliki hardware yang support dengan software
yang akan di install.
2. Selanjutnya pada Penentuan Topologi Jaringan, pada topologi jaringan dibuat dengan menyesuaikan banyaknya
Host dari masing masing teknik virtualisasi yang dibuat.
3. Pada Instalasi Ketiga Jenis Teknik Virtualisasi yaitu Docker, Virtualbox, dan KVM dalam proses ini akan
dilakukan instalasi hingga proses instalasi itu berhasil dan dapat digunakan.
4. Selanjutnya masuk ke tahapan Pembuatan Host Pada Docker dan Virtual Machine, pada tahapan ini pembuatan
Host akan disesuaikan dengan topologi yang akan dibuat. Host yang dibuat merupakan Host operating system
yang berjalan diatas masing masing teknik virtualisasi, operating system yang diinstall pada masing masing Host
merupakan ubuntu server versi 16.04.
5. Pada Instalasi dan Konfigurasi Load Balancing dibagi menjadi 3 bagian, yaitu instalasi dan konfigurasi load
balancing pada Docker, instalasi dan konfigurasi load balancing pada Virtualbox, instalasi dan konfigurasi load
balancing pada KVM.
6. Tahapan terakhir pada diagram alir selanjutnya adalah Instalasi Webserver Pada Docker dan Virtual Machine,
instalasi webserver akan dilakukan kepada masing masing Host yang telah dibuat pada tahapan sebelumnya.
A.38
Gambar 2 Diagram Alir Pada Sisi Attacker
Berikut merupakan penjelasan pada Gambar 2 Diagram Alir Pada Sisi Attacker :
1. Tahapan pertama dalam diagram alir adalah Instalasi Virtualbox.
2. Selanjutnya masuk ke tahapan Pembuatan Host, sama dengan pembuatan Host pada sisi server pada tahapan
pembuatan Host ini akan disesuaikan dengan topologi yang akan dibuat.
3. Pada tahapan selanjutnya yaitu Instalasi Torshammer Pada Host Virtualbox Attacker.
4. Selanjutnya merupakan Penyerangan Skenario DDoS, dan dilakukan analisa terhadap hasil.
3.2 Penentuan Software dan Hardware.
Pada blok sistem yang telah dijelaskan pada point sebelumnya pada tugas akhir ini menggunakan dua jenis perangkat, yaitu
perangkat keras dan perangkat lunak.
3.2.1. Perangkat Keras (Hardware)
Berikut adalah perangkat keras (Hardware) yang akan digunakan untuk menyusun Tugas Akhir ini:
1. 1 buah laptop untuk membangun cluster pada Docker dan virtual machine
Tabel 3.1 Spesifikasi Laptop Pada Sisi Server
Operating System Ubuntu Dekstop 16.04
Processor intel i5 4200HQ 4 Core
Ram 8 Gb ddr3
Vga Nvidia Gt 720m + Intel
Lan Slot 100Mbps / Fast Ethernet
A.39
3.2.2. Perangkat Lunak (Software)
Berikut adalah perangkat lunak (softwre) yang akan digunakan untuk menyusun Tugas Akhir ini:
1. Ubuntu Dekstop 16.04 sebagai sistem operasi pada sisi server.
2. Docker untuk membangun virtualisasi server Container.
3. Docker Machine untuk membangun virtualisasi Docker pada server.
4. Docker Swarm untuk membangun swarm pada Docker.
5. Virtualbox untuk membangun virtualisasi server.
6. KVM untuk membangun virtualisasi server.
7. Bridge utils untuk membangun port bridge virtual untuk membangun koneksi bridge pada KVM.
8. NGINX sebagai webserver pada masing masing virtualisasi server.
9. Haproxy sebagai load balancer pada masing masing virtualisasi server.
10. Open ssh server untuk membangun koneksi ssh.
11. Windows 10 Education untuk sistem operasi pada sisi attacker.
12. Virtualbox pada sisi attacker untuk membangun jenis serangan DDoS.
13. Apache JMeter sebagai aplikasi penyerangan DDoS digunakan dengan menggunakan sistem operasi windows.
14. Torshammer sebagai aplikasi penyerangan DDoS digunakan dengan menggunakan sistem operasi linux.
15. htop untuk pengecekan performance pada masing masing virtualisasi server.
16. Web Browser Chrome dan Mozilla untuk mengakses webserver.
17. Wireshark untuk melakukan pengecekan throughput pada jaringan.
3.3 Topologi Jaringan
Topologi jaringan pada tugas akhir ini dapat digambarkan sebagai berikut.
A.40
paket yang kecil, dan terus meningkat hingga pengiriman paket yang besar.
4. Hasil dan Analisis
4.1. Docker Cluster Virtualization
4.1.1. Pengukuran Performansi Cpu Usage dan Memory
Pengukuran ini bertujuan untuk mengetahui performance cluster Docker virtualization yang telah dibangun pada kali
ini akan dilakukan uji coba pengukuran dengan skenario membebankan service webserver menggunakan penyerangan
DDoS dengan interval waktu tertentu dan besar paket yang bervariasi.
4.1.1.1. Sistematika Pengukuran Performance
Pada pengukuran performance kali ini akan dilakukan penyerangan DDoS terhadap Host yang terinstall virtualisasi
Docker Container, dimana akan dilakukan dua jenis penyerangan DDoS yaitu DDoS slow rate HTTP- POST dan DDoS
traffic flooding attacks.
4.1.2. Hasil dan Analisa Performansi Pada Docker Container
Untuk pengujian pertama dilakukan penyerangan DDoS traffic flooding attacks terhadap load balancer pada suatu
cluster, untuk penyerangan DDoS akan dilakukan dengan menggunakan aplikasi Apache JMeter.
Gambar 4 Performansi Cluster Docker Container Dengan Serangan DDoS Traffic Flooding Attacks.
Untuk pengujian kedua dilakukan penyerangan DDoS slow rate HTTP-POST terhadap load balancer pada suatu
cluster, untuk penyerangan DDoS akan dilakukan dengan menggunakan aplikasi Torshammer.
Gambar 5 Performansi Cluster Docker Container Dengan Serangan DDoS Slow Rate HTTP Post.
A.41
Gambar 6 Performansi Cluster Virtualbox Dengan Serangan DDoS Traffic Flooding Attacks.
Untuk pengujian kedua dilakukan penyerangan DDoS slow rate HTTP-POST terhadap load balancer pada suatu
cluster, untuk penyerangan DDoS akan dilakukan dengan menggunakan aplikasi Torshammer.
Gambar 7 Performansi Cluster Docker Container Dengan Serangan DDoS Slow Rate HTTP Post.
4.3. KVM Cluster Virtualization
4.3.1. Pengukuran Performansi Cpu Usage dan Memory
Pengukuran ini bertujuan untuk mengetahui performance cluster kernel virtual machine yang telah dibangun, pada kali
ini akan dilakukan uji coba pengukuran dengan skenario membebankan service webserver menggunakan penyerangan
DDoS dengan interval waktu tertentu dan besar paket yang bervariasi.
4.3.1.1. Sistematika Pengukuran Performance
Pada pengukuran performance kali ini akan dilakukan penyerangan DDoS terhadap masing masing Host KVM,
dimana akan dilakukan dua jenis penyerangan DDoS yaitu DDoS slow rate HTTP-POST dan DDoS traffic flooding attacks.
4.3.2. Hasil dan Analisa Performansi Pada KVM
Untuk pengujian pertama dilakukan penyerangan DDoS traffic flooding attacks terhadap load balancer pada suatu
cluster, untuk penyerangan DDoS akan dilakukan dengan menggunakan aplikasi Apache JMeter.
Gambar 8 Performansi Cluster KVM Dengan Serangan DDoS Traffic Flooding Attacks.
Untuk pengujian pertama dilakukan penyerangan DDoS traffic flooding attacks terhadap load balancer pada suatu
cluster, untuk penyerangan DDoS akan dilakukan dengan menggunakan aplikasi Apache JMeter.
A.42
Gambar 9 Performansi Cluster KVM Dengan Serangan DDoS Slow Rate HTTP Post.
4.4. Performansi Masing-Masing Cluster Dengan Menggunakan Firewall
Dengan menggunakan firewall pada masing masing virtualisasi yang telah dibuat tidak adanya terjadi perubahan
perfomansi baik dengan menggunakan serangan DoS ataupun DDoS dikarenakan alamat ip yang mengirim paket yang telah
melewati limit yang ditentukan akan diblokir dan tidak dapat mengakses webserver dari cluster yang telah dibuat.
5. Kesimpulan dan Saran
Kesimpulan pada Tugas Akhir ini adalah:
1. Pengukuran performansi dari ketiga jenis virtualisasi dapat dijalankan sesuai dengan yang direncanakan.
2. Dengan menggunakan teknik virtualisasi Docker Container performansi cpu dan memory yang didapatkan lebih
besar, namun lebih unggul dalam menangani serangan DoS / DDoS Slow rate HTTP- POST yang datang baik
dengan menggunakan cluster atau tidak menggunakan cluster.
3. Dengan menggunakan teknik virtualisasi Virtualbox didapatkan performansi cpu dan memory yang lebih rendah
jika dibandingkan dengan teknik virtualisasi Docker Container namun teknik virtualisasi ini tidak mampu
menangani serangan DoS / DDoS Slow rate HTTP-POST yang datang, dalam hal ini Host Virtualbox hanya mampu
bertahan dari serangan DoS dengan besar paket 400, dan cluster Virtualbox hanya mampu bertahan hingga
serangan DDoS dengan besar paket 400 tiap masing masing DoS.
4. Dengan menggunakan teknik virtualisasi kernel virtual machine didapatkan hasil performansi cpu terendah
didapatkan dengan menggunakan teknik virtualisasi kernel virtual machine jika dibandingkan dengan kedua
teknik virtualisasi yang dibangun (Docker Container dan Virtualbox). Namun seperti halnya Virtualbox teknik
virtualisasi ini tidak mampu mampu menangani serangan DoS / DDoS Slow rate HTTP-POST yang datang, dalam
hal ini Host Virtualbox hanya mampu bertahan dari serangan DoS dengan besar paket 400, dan cluster Virtualbox
hanya mampu bertahan hingga serangan DDoS dengan besar paket 600 tiap masing masing DoS.
Saran untuk penelitian berikutnya adalah sebagai berikut:
1. Melakukan penambahan jenis virtualisasi untuk perbandingan pengukuran performansi.
2. Melakukan penambahan spesifikasi pada setiap Host virtualisasi.
3. Melakukan perubahan topologi pada clustering atau penggunaan jenis clustering yang lain sebagai pembanding
performansi dari masing masing teknik virtualisasi.
Daftar Pustaka
[1] Adiputra, Firmansyah. 2015. CONTAINER DAN DOCKER: TEKNIK VIRTUALISASI DALAM
PENGELOLAAN BANYAK APLIKASI WEB. Bangkalan: Vol. 4. No.3. (Juli 2015).
[2] Wibowo, Chorul Aldi. 2016. Virtual Machine. Unversitas Gunadarma (November 2016).
[3] Haerani, Arnis. 2014. Pengertian Dan Fungsi Virtual Box. Tangerang. (2014).
[4] Rahma, Fayruz. Juli 2012. Apa sih Kernel-based Virtual Machine (KVM).
https://fayruzrahma.wordpress.com/2012/07/25/apa-sih-kernel-based-virtual-machine-KVM/. Diakses pada 22
Februari 2018.
[5] Arta, Yudhi. 2016. IMPLEMENTASI COMPUTER CLUSTER BERBASIS OPEN SOURCE UNTUK
PENYEIMBANG BEBAN SISTEM DAN JARINGAN KOMPUTER. Riau: Jurnal Teknik Informatika dan
Sistem Informasi, Vol.2, No.1. (1 April 2016).
[6] Koopman, P. et al. Comparing Operating Systems Using Robustness Benchmarks. Proceedings of
SRDS”97: 16th IEEE Symposium on Reliable Distributed Systems (1997): n. pag.
A.43