IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS

Download 15 Nov 2014 ... menuntut meningkatnya kualitas keamanan jaringan. Terutama ... dengan menganalisa alert dan log yang dihasilkan dan memanfa...

0 downloads 559 Views 562KB Size
Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 Yogyakarta, 15 November 2014

ISSN: 1979-911X

IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS) MENGGUNAKAN JEJARING SOSIAL SEBAGAI MEDIA NOTIFIKASI Sahid Aris Budiman1, Catur Iswahyudi2, Muhammad Sholeh3 1, 2, 3 Jurusan Teknik Informatika, FTI, IST AKPRIND 1 [email protected], 2 [email protected], 3 [email protected] ABSTRACT Intrusion Detection System (IDS) is a software that can detect suspicious activity in a system or network . IDS can inspect inbound and outbound traffic in a system or network, analyzing and searching for evidence of trial intrusion. Implementation of IDS on the server using social media (i.e: facebook, twitter, and whatsapp) as notification media made administrators easy to identify the infiltration attempt by intruder. Social networking plan to provide notifications to administrators as soon as possible when an attack occurred on the server. A message sent contains the IP address of hosts detected by the system. Client’s attacked by IDS snort stored into a MySQL database , at the same time in automatic trigger will run iptables already defined and send notifications to social networks based on the type of attack that performed by the intruder. Based on the test, the system is capable to processing output data from Snort IDS and it can also recognize all activities conducted an intruder in attempt to infiltrate into the system by using the ping flood, syn attack, port scanner, the SSH and FTP based on rules has been applied. Then do the blocking of IP addresses that were considered as intruder after that the system will provide a report to the administrator through social media and web monitoring system. Keywords: IDS, snort, social networking PENDAHULUAN Perkembangan website yang semakin cepat dengan berbagai macam fungsi dan kebutuhan, menuntut meningkatnya kualitas keamanan jaringan. Terutama dengan semakin terbukanya pengetahuan hacking dan cracking, didukung dengan banyaknya tools yang tersedia dengan mudah dan gratis, semakin mempermudah para intruder dan attacker untuk melakukan aksi penyusupan ataupun serangan. Pencegahaan yang paling sering dilakukan untuk masalah ini adalah dengan menempatkan seorang administrator, yang bertugas untuk mengawasi dan melakukan tindakan preventif ketika terjadi aksi penyusupan dan serangan. Masalah akan timbul ketika administrator sedang tidak berada pada kondisi yang memungkinkan untuk memantau lalu lintas jaringan. Berdasar permasalahan tersebut, administrator membutuhkan suatu sistem yang dapat membantu mengawasi jaringan, menginformasikan serangan, dan mengambil tindakan tepat untuk pencegahan yang akan membantu mengautomatisasi fungsi kerja dasar administrator. Penelitian ini bertujuan untuk mengimplementasikan sebuah aplikasi IDS yang dapat mendeteksi adanya serangan pada server dengan menganalisa alert dan log yang dihasilkan dan memanfaatkan jejaring sosial sebagai media notifikasi. IDS dapat didefinisikan sebagai tool, metode, sumber daya yang memberikan bantuan untuk melakukan identifikasi, memberikan laporan terhadap aktifitas jaringan komputer. IDS secara khusus berfungsi sebagai proteksi secara keseluruhan dari system yang telah diinstall IDS (Ariyus, 2007). IDS memberikan pertahanan pertama yang sangat penting dalam menghadapi penyusupan. Jika penyusup berusaha masuk ke server jaringan, mungkin dapat ditemukan bukti dalam sistem log, meskipun hacker pintar akan menghapus files log. Host sistem deteksi intrusi mengamati aktivitas yang tidak layak pada setiap sistem. Jika penyusup berusaha mengganggu server yang sama menggunakan serangan fragmentasi, mungkin dapat diketahui apa yang terjadi dengan melihat log. Menurut Simarmata (2006), serangan pada suatu data dalam jaringan dapat dikategorikan menjadi 2, yaitu 1. Serangan pasif dan Serangan aktif. Serangan pasif adalah serangan pada sistem autentikasi yang tidak menyisipkan data pada aliran data (Data Stream),tetapi hanya mengamati atau memonitor pengiriman informasi ke tujuan. Serangan pasif yang mengambil suatu unit data dan kemudian A-255

Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 Yogyakarta, 15 November 2014

ISSN: 1979-911X

menggunakannya untuk memasuki sesi autentikasi dengan berpura-pura menjadi user yang autentik/asli disebut dengan replay attack. Sedangkan serangan aktif adalah serangan yang mencoba memodifikasi data, mencoba mendapatkan autentikasi, atau mendapatkan autentikasi dengan mengirimkan paket-paket data yang salah ke data stream atau dengan memodifikasi paket-paket yang melewati data stream Beberapa penelitian terdahulu yang meneliti tentang cara mendeteksi adanya penyusup ke dalam jaringan komputer antara lain Kimin (2010) yang meneliti Sistem keamanan jaringan komputer dengan menggabungkan fungsi Snort IDS dan IPTables firewall sebagai sistem pencegahan penyusup dengan menggunakan Webmin dan ACID (Analysis Console for Intrusion Databases) sebagai aplikasi front-end. Sistem ini dirancang memberikan blocking pada alamat IP yang diketahui mengirimkan paket penyusup, namun dari sisi admin hanya bisa melakukan monitoring melalui antar muka web. Penelitian yang dilakukan oleh Kurniawan (2010) menunjukkan penerapan sistem deteksi penyusup menggunakan base dan snort tanpa memfokuskan pada jenis serangan. Sistem yang dibangun pada penelitian tersebut belum dilengkapi dengan adanya notifikasi seperti pemberitahuan melalui sms gateway atau media jejaring sosial. Pemberitahuan hanya dilakukan pada web menggunakan base. Implementasi IDS pada wireless dengan menggunakan Snort, ACID, dan Ntop juga pernah dilakukan oleh Putri (2011). Dalam penelitian ini, administrator hanya dapat melakukan monitoring jaringan melalui antarmuka web ACID tanpa ada pemberitahuan melalui suatu media lain. Penelitian selanjutnya dilakukan oleh Ratnaningsih (2012), yang juga meneliti sistem keamanan jaringan komputer menggunakan IDS yang digabungkan dengan pesan singkat (SMS) sebagai media notifikasi adanya tindakan ilegal dalam jaringan komputer. IDS akan melakukan pemberitahuan melalui SMS gateway saat mendeteksi sesuatu yang dianggap mencurigakan atau tindakan ilegal di dalam jaringan. METODE PENELITIAN Langkah penelitian yang dilakukan dalam implementasi IDS pada server debian adalah sebagai berikut: 1. Merancang jaringan dan melakukan penginstalan serta mengkonfigurasi snort dan aplikasi pendukung lainnya yang dibutuhkan. 2. Mengkonfigurasi situs jejaring sosial sehingga dapat terhubung dengan IDS. 3. Melakukan pengujian terhadap komputer server apakah sistem sudah berjalan sesuai dengan keinginan. 4. Melakukan pengujian serangan terhadap server di dalam jaringan untuk menguji IDS yang telah dikonfigurasi. 5. Melakukan analisis laporan atau log yang dihasilkan oleh IDS snort. Alat dan bahan yang digunakan dalam penelitian ini adalah seperangkat komputer yang digunakan sebagai intruder dan sebuah server dengan sistem operasi Debian Squeeze. Sedangkan perangkat lunak yang digunakan adalah: 1. IDS menggunakan Snort, sebagai tool pendeteksi intrusi (penyusup) dalam jaringan. 2. Libpcap, libdnet, daq, adodb sebagai software pendukung aplikasi IDS snort. 3. MySQL sebagai database, Apache2 sebagai webserver. 4. BASE (Basic Analysis and Security) sebagai web monitoring. 5. PHP sebagai bahasa pemrograman yang digunakan. 6. Jejaring sosial facebook, twitter dan whatsapp sebagai media notifikasi. 7. Nmap, ping, hping3, hydra sebagai alat penguji aplikasi IDS. Adapun tahapan dalam penelitian ini adalah sebagai berikut :

A-256

Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 Yogyakarta, 15 November 2014

Persiapan

Pengujian Sistem terhadap serangan

Perancangan dan Konfigurasi Sistem

ISSN: 1979-911X

Analisis laporan (log)

Gambar 1. Alur Tahapan Penelitian PEMBAHASAN Pengujian dilakukan untuk membuktikan apakah IDS dapat melakukan notifikasi ke jejaring sosial atau tidak. Skenario proses penyerangan yang dilakukan dengan mengkoneksikan kedua komputer ke dalam jaringan, dimana komputer client sebagai penyerang (intruder) dan komputer satunya sebagai server. Komputer client akan mencoba melakukan serangan ke komputer server yang telah terintegrasi dengan IDS snort dan Base. IDS tersebut telah didukung oleh firewall yang berfungsi untuk mengatasi serangan yang terjadi berupa pemblokiran IP address penyerang. Selain itu IDS juga akan memberikan pemicu/inputan yang selanjutnya akan memberikan laporan mengenai serangan tersebut berupa notifikasi yang dikirim ke media jejaring sosial sehingga administrator dapat mengetahui jika terjadi serangan seperti tampak pada Gambar 1.

Gambar 1. Skema perancangan sistem Konfigurasi Jejaring Sosial Untuk mendapatkan akses ke jejaring sosial (Whatsapp, Facebook, Twitter) melalui API, beberapa langkah yang perlu dilakukan adalah (1) Registrasi ke jejaring sosial (Twitter, Whatsapp, Facebook) agar mendapatkan user dan password yang dapat digunakan untuk mengirimkan notifikasi. (2) Download API Twitter di https://github.com/abraham/twitteroauth, (3) Download API Whatsapp di https://github.com/tgalal/yowsup/archive, (4) Download API Facebook di https://github.com/facebook/facebook-php-sdk, (5) Buat script PHP untuk menjalankan notifikasi ke jejaring sosial, dan (6) Konfigurasi API jejaring sosial untuk agar terintegrasi dengan sistem. Potongan kode program (script) pada Gambar 2 digunakan untuk mengirim notifikasi ke Facebook saat terjadi serangan pada server dengan mengambil data yang ada di dalam database snort. Script ini akan dijalankan secara otomatis oleh trigger saat ada perubahan pada database snort.. Sama halnya dengan script notifikasi pada Facebook, script pada Gambar 3 digunakan untuk mengirim notifikasi ke Whatsapp saat terjadi serangan pada server dengan mengambil data yang ada di dalam database snort. Script ini akan dijalankan secara otomatis oleh trigger saat ada perubahan pada database snort. Yang membedakan script tersebut hanya cara koneksi melalui API.

A-257

Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 Yogyakarta, 15 November 2014

ISSN: 1979-911X

Gambar 2. Kode program notifikasi melalui facebook

Gambar 3. Kode program notifikasi melalui whatsapp Untuk script notifikasi pada Twitter tidak jauh berbeda dengan script Facebook dan Whatsapp, yang membedakan hanya cara koneksi melalui API untuk mengirimkan notifikasi.

Gambar4. Kode program notifikasi melalui Twitter A-258

Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 Yogyakarta, 15 November 2014

ISSN: 1979-911X

Pengujian Serangan Untuk mengetahui kinerja sistem keamanan komputer yang telah dirancang, maka dilakukan pengujian dengan beberapa teknik berikut ini: Denial of Service Attack (DoS) DoS merupakan serangan yang dilancarkan melalui paket-paket tertentu. Bentuk serangan yang digunakan dalam pengujian adalah ping attack dan syn attack. Ping Attack Untuk melakukan serangan ini, penyerang menggunakan command promp/cmd atau terminal, kemudian melakukan ping ke IP server dengan mengirim paket yang ukurannya besar. Ketikkan ping -f -s 56500 202.91.10.211. Setelah mendapat informasi dari alert snort mengenai DoS, IDS secara otomatis akan memanggil fungsi firewall dan akan memberikan notifikasi melalui jejaring sosial. Serangan ping attack dapat dilihat pada Gambar 5.

Gambar 5. Serangan ping attack Gambar 6 menunjukkan notifikasi yang dikirim oleh IDS ke jejaring sosial Twitter setelah terjadi serangan ping attack pada server.

Gambar 6. Notifikasi melalui twitter Syn Attack Jalankan aplikasi hping3, kemudian masukkan alamat IP target. Dalam penelitian ini digunakan IP address 202.91.10.211, setelah itu masukkan alamat port yang terbuka 21 22 80 111 10000, IDS secara otomatis akan memanggil fungsi firewall dan akan memberikan notifikasi melalui jejaring sosial. Ketikkan hping3 -p 80 -S --flood 202.91.10.211. Hasil pengujian diperlihatkan pada Gambar 7.

Gambar 7. Serangan syn attack Gambar 8 menunjukkan notifikasi yang dikirim ke jejaring sosial Facebook saat terjadi serangan syn attack pada server.

Gambar 8. Notifikasi syn attack melalui facebook A-259

Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 Yogyakarta, 15 November 2014

ISSN: 1979-911X

Port scanner Jalankan aplikasi Nmap untuk melakukan port scanner. Ketikkan alamat IP server pada tools port scanning, misalnya 202.91.10.211 kemudian lakukan scanning port. Kita dapat melihat hasil dari proses scanning dengan mendapatkan informasi mengenai port-port yang terbuka di server. Ketikkan nmap -PS 202.91.10.211 pada terminal. Hasil pengujian diperlihatkan pada Gambar 9.

Gambar 9. Port scanner menggunakan nmap Apabila terjadi penyusupan, maka sistem IDS akan mengirimkan notofikasi melalui Twitter sebagaimana diperlihatkan oleh Gambar 10.

Gambar 10. Notifikasi port scanner melalui twitter Serangan melalui port SSH Melakukan SSH pada server adalah suatu cara melakukan remote komputer server dari komputer client. SSH merupakan jalur yang secure yang berjalan pada port 22. Untuk melakukan serangan SSH pada penelitian digunakan tools hydra untuk melakukan serangan dengan cara mencocokkan username dan password yang digunakan untuk login seperti tampak pada Gambar 11.

Gambar 11. Serangan SSH Gambar 12 memperlihatkan notifikasi yang dikirim IDS snort ke jejaring sosial Facebook setelah ada yang mencoba login SSH ke server. A-260

Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 Yogyakarta, 15 November 2014

ISSN: 1979-911X

Gambar 12. Notifikasi SSH melalui facebook Serangan melalui port FTP Pengujian dilakukan dengan melakukan koneksi FTP pada server secara remote menggunakan tools hydra untuk melakukan serangan dengan cara mencocokkan username dan password yang digunakan untuk login sebagaimana tampak pada Gambar 13.

Gambar 13. Serangan FTP Gambar 14 memperlihatkan notifikasi yang dikirim IDS snort ke jejaring sosial Whatsapp yang menjelaskan bahwa ada yang mencoba login FTP ke server.

Gambar 14. Notifikasi FTP melalui whatsapp Berdasarkan hasil pengujian yang dilakukan dapat diketahui kemampuan dari sistem yang dibuat mampu untuk mengolah data output dari IDS snort serta dapat mengenali segala aktifitas yang dilakukan intruder dalam usaha untuk menyusup ke dalam sistem dengan menggunakan ping flood, syn attack, port scanner, SSH dan FTP berdasarkan rule yang telah diterapkan. Proses selanjutnya adalah dilakukan blocking terhadap IP address yang dianggap sebagai intruder dan sistem akan memberikan laporan kepada administrator melalui media jejaring sosial dan web monitoring mengenai adanya intruder yang mencoba masuk ke dalam sistem. Tabel 1 menunjukkan kemampuan dari sistem untuk mengelola hasil output dari snort untuk mengenali terjadinya serangan sampai terjadinya proses blocking menggunakan iptables dari beberapa sampel yang telah diujicobakan Tabel 1. Selisih waktu yang dibutuhkan untuk blocking NO 1 2 3 4 5 6 7 8

IP ADDRESS 202.91.10.214 202.67.40.13 10.15.74.157 114.79.19.46 202.67.40.12 202.67.40.6 202.67.40.11 114.79.19.76

WAKTU SERANGAN 08:36:24 22:30:54 18:08:37 09:10:18 23:34:24 12.15.35 14:14:35 07:51:39 A-261

WAKTU BLOCKING 08:36:30 22:30:59 18:08:44 09:10:27 23:34:31 12.15.31 14:14:39 07:52:45

SELISIH (DETIK) 3 detik 5 detik 7 detik 5 detik 7 detik 4 detik 4 detik 6 detik

Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 Yogyakarta, 15 November 2014

ISSN: 1979-911X

KESIMPULAN Hasil pengujian menunjukkan bahwa setiap ada serangan yang datang dari luar menuju host atau server yang didalamnya terdapat IDS yang sedang berjalan, maka secara otomatis akan mendeteksi dan memberitahukan kepada administrator berupa notifikasi yang dikirim melalui jejaring sosial Facebook, Twitter, dan Whatsapp dengan rentang waktu yang relatif cepat, sehingga administrator dapat melakukan tindak lanjut terhadap jenis serangan yang dilakukan oleh intruder. Untuk pengembangan selanjutnya, dapat dibahas mengenai pembuatan aplikasi mobile pada Facebook untuk memantau jaringan pada server agar administrator lebih mudah dalam mengaudit data secara langsung tanpa harus melalui server, perlu adanya pengujian serangan dengan skala yang lebih besar agar dapat diperoleh kinerja dari sistem secara maksimal, selain itu perlu pembuatan penjadwalan untuk menghapus log snort. DAFTAR PUSTAKA Ariyus, D., 2007, Intrusion Detection System, Andi, Yogyakarta. Kimin, V. H., 2010, Perancangan Sistem Keamanan Jaringan Komputer Berbasis Snort Intrusion Detection System dan IPTables Firewall, Skripsi, Universitas Sumatera Utara. Kurniawan, I. N., 2010, Sistem Deteksi dan Penanganan Intrusi Menggunakan Snort dan Base, Skripsi, IST AKPRIND, Yogyakarta. Putri, L., 2011, Implementasi Intrusion Detection System (IDS) menggunakan Snort pada Jaringan Wireless, Skripsi, UIN Syarif Hidayatullah, Jakarta. Ratnaningsih, I., 2012, Sistem Keamanan Jaringan Komputer menggunakan Intrusion Detection System (IDS) pada Linux, Skripsi, IST AKPRIND, Yogyakarta. Simarmata, J., 2006, Pengamanan Sistem Komputer, Andi, Yogyakarta.

A-262