ANALISA DAN IDENTIFIKASI POLA SERANGAN DI JARINGAN INTERNET MENGGUNAKAN SISTEM HONEYPOT DI LINGKUNGAN STMIK AMIKOM
Naskah Publikasi
diajukan oleh Bondan Wahyutomo 05.11.0741
kepada SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER AMIKOM YOGYAKARTA 2010
ANALYZE AND IDENTIFICATION PATTERN ON INTERNET USING HONEYPOT SYSTEM AT STMIK AMIKOM INFRASTRUCTURE ANALISA DAN IDENTIFIKASI POLA SERANGAN DI JARINGAN INTERNET MENGGUNAKAN SISTEM HONEYPOT DI LINGKUNGAN STMIK AMIKOM Bondan Wahyutomo Jurusan Teknik Informatika STMIK AMIKOM YOGYAKARTA Abstract Today internet users is increasing all over the world especially in Indonesia, the internet has become something that is vital in everyday life. The need is very high on the internet make the higher value. For that, many people who want to take advantage of the internet in a negative way. Analysis and identification patterns of attacks in Indonesia are expected to increase security awareness in the community. Security in the computer world is extremely important to protect the Confidentiality, Integrity, and Availability of data. This science is also expected to increase interest and motivation toward the computer security field that is often overlooked in the development of information technology today, growing rapidly in Indonesia. The main objective of the thesis is to study the pattern of attacks that occur, where they come from, in order to be anticipated so as to avoid or minimize the impact the attacks had happened, and to increase awareness of safety in performing the activities associated with the Internet. Keyword : HoneyPot, Nepenthes, Hacking
1. Pendahuluan Perkembangan teknologi informasi di dunia yang semakin pesat mempermudah manusia untuk melakukan banyak hal hanya dengan internet, membuat orang dengan mudah melakukan banyak hal dalam satu waktu, seperti berbelanja, berhubungan dengan orang-orang terdekatnya, memantau keadaan lalu lintas menuju tempat yang akan dituju, mengecek surat elektronik, dan lain-lain. Tidak ada yang sempurna di dunia ini, hal itu juga berlaku dalam sistem teknologi informasi manapun yang paling mahal dan canggih sekalipun. Oleh karena itu pengetahuan akan kelemahan sebuah sistem menjadi bahan dasar yang wajib dipelajari untuk mencegah serangan-serangan dalam jaringan internet. Untuk melakukan pencegahan terhadap serangan hacker dan cracker banyak hal yang dapat dilakukan, misalnya menutup celah keamanan suatu sistem atau menggunakan firewall. Dengan meningkatnya jumlah serangan-serangan yang terjadi di dunia internet, solusi dengan menggunakan Honeypot ini dapat menjadi pilihan untuk mempelajari dan mengatasi serangan yang terjadi di Indonesia. Skripsi ini ditujukan untuk mempelajari dan menganalisa pola serangan yang terjadi di jaringan internet untuk dapat diantisipasi ke depannya. 2. Landasan Teori 2.1 Jaringan Komputer Jaringan komputer adalah sebuah kumpulan komputer, printer dan peralatan lainnya yang terhubung dan saling berhubungan antara yang satu dengan yang lain untuk melakukan tugas-tugasnya. 2.2 Kemanan Internet Sejalan dengan kemajuan teknologi komunikasi dan informasi, semakin kompleks
pula
diperkenalkan
jenis
serangan
istilah hacker dan
yang
terjadi
di
dunia
maya.
cracker yang menunjuk pada
Jika
dahulu
individu dengan
kemampuan dan aktivitas khusus memasuki sistem komputer lain untuk beraneka ragam tujuan, maka saat ini sudah banyak diciptakan mesin atau sistem yang dapat bekerja sendiri secara intelijen untuk melakukan teknik‐teknik penyusupan dan perusakan sistem. Intinya adalah bahwa serangan terhadap sistem keamanan teknologi informasi organisasi telah masuk
pada kategori kriminal, baik
yang
bersifat pidana maupun perdata. Walaupun kebanyakan jenis tindakan kriminal
tersebut berkaitan erat dengan urusan finansial, tidak jarang akibat serangan tersebut, sejumlah nyawa manusia melayang, karena menimpa sistem yang sangat vital bagi kehidupan manusia. Ilustrasi berikut memperlihatkan begitu banyaknya jenis tindakan atau serangan yang mengarah pada kriminalisasi dari tahun ke tahun. 2.3 HoneyPot Honeypot adalah jebakan untuk mendeteksi, mengalihkan atau di lain sisi untuk berinteraksi dengan percobaan penggunaan suatu system yang tidak terautorisasi. Secara umum terdiri dari beberapa komputer yang terlihat seperti bagian dari sebuah jaringan computer, tapi sebenarnya terisolasi, (tidak) terproteksi,diawasi, dan terlihat seperti menyimpan informasi atau sumber daya yang berharga bagi penyerang. 3. Analisis 3.1 Konsep Nepenthes Sebuah sistem honeypot yang berada di tingkat low-medium interaction yang bersifat open-source dan banyak digunakan oleh peneliti di dunia keamanan internet yang sekarang mencapai update 0.2.2 yang berisi modul-modul emulasi terbaru dari kelemahan dalam layanan-layanan yang umum di internet, seperti IIS, MySQL, DNS, dan lain-lain. Untuk menjalankan fungsinya nepenthes membutuhkan sumber data yang akan diolah menjadi sebuah informasi
3.2 Alat dan Bahan Penelitian 3.2.1 Hardware Dalam penelitian ini penulis mengunakan server dengan spesifikasi: Prosesor
: Amd Athlon XP 2000++
Memori
: DDRAM 512 MB
Harddisk
: 20 GB
Grafis
: Ati Radeon 128 MB
Monitor, keyboard, dan mouse. Server tersebut dilengkapi dengan onboard lan card untuk menghubungkan dengan jaringan internet. 3.2.2 Sofware Perangkat lunak yang digunakan ada pada tabel berikut Perangkat
Spesifikasi
Keterangan
Linux Server Edition
Kernel 2.6.26
Sistem Operasi
Nepenthes
Nepenthes 2.0
Sistem Honeypot
SSHTools
OpenSSH
Remote Access
Putty
Release 0.60
Remote access
3.3 Proses Instalasi dan Konfigurasi Proses
instalasi
yang
dimaksud
adalah
bagaimana
mengimplementasi
nepenthes kepada sistem yang ada. Penulis menggunakan sistem operasi Linux Ubuntu 10.04 Lucid Lynx. Instal paket nepenthes menggunakan installer aptitude.
Setelah paket terinstall, lakukan konfigurasi “nepenthes.conf” pada direktori /etc/nepenthes/nepenthes.conf. Yang perlu diperhatikan dalam konfigurasi nepenthes adalah menghilangkan tanda komentar “//” pada pilihan berikut: -
Submitfile.so
“submit-file.conf”
-
Submitnorman.so
“submit-norman.conf”
-
Logdownload.so
“log-download.conf”
Dan mengganti opsi “replace_local_ips” menjadi 0
Kemudian jalankan nepenthes secara daemon dengan mengetikan perintah “sudo nepenthes –D” 3.4 Metode Penelitian Teknik analisa yang penulis lakukan adalah mencari dan menjumlahkan interaksi yang dicatat oleh nepenthes. Log file nepenthes dibuat sedemikian rupa untuk memudahkan pembacaan. Struktur log file yang akan dianalisa adalah sebagai berikut: 1. Interaksi Port Scanning Pada log file akan terlihat struktur seperti berikut ini: DialogueFactory Watch Factory create Watch Dialogues could Accept a Connection [08102010 17:05:49 spam net handler]
nepenthes::TCPSocket::acceptConnection()> [08102010 17:05:49 spam net handler] Socket TCP (accept) 218.211.189.230:46421 -> 202.91.9.45:25 Terlihat bahwa IP 218.211.189.230 melakukan aktifitas port scanning menuju sistem honeypot di 202.91.9.45 ke port 25. Dari struktur tersebut dapat terlihat bahwa jika ada aktifitas port scanning akan ditandai dengan adanya kata-kata “Watch Dialogues”. 2. Interaksi Port Attack Pada log file akan terlihat struktur seperti berikut ini: [08102010 17:05:49 debug net mgr] Accepted Connection Socket TCP (accept) 218.211.189.230:46421 -> 202.91.9.45:25 31 Sockets in list [08102010 17:05:49 spam net handler]
[08102010 17:05:49 spam mgr event] [08102010 17:05:49 spam net handler] doRecv() 0 [08102010 17:05:49 debug net handler] Dialogue WatchDialogue inactive, returned CL_DROP Di contoh interaksi port attack tersebut dapat dilihat bahwa struktur yang ada bahwa interaksi diawali dengan “Accepted Connection Socket TCP (accept)” diikuti dengan IP penyerang menuju IP honeypot dan port yang diserang, dalam hal ini port 25. 4. Hasil Penelitian dan Pembahasan 4.1 Pengujian Sistem Honeypot Pengujian dilakukan dengan melihat apakah sistem error ketika dijalankan, dan dilakukan nya tes ping, tracepath, dan scanning menggunakan Nmap. 4.2 Hasil dan pembahasan Rentang waktu yang digunakan untuk penelitian ini adalah dari sisten honeypot publish ke internet tanggal 6 Oktober 2010 sampai dengan 5 November 2010. Dalam rentang waktu tersebut penulis telah mengumpulkan log file sebesar 6,62MB atau setara dengan 2438 halaman dokumen.
1. Jumlah Total Interaksi
250 200 Jumlah Koneksi
150
Port Scanning
100 50 0
Total
Jumlah Koneksi
192
Port Scanning
8
2. Jumlah Serangan Nama Layanan
Port
Jumlah Serangan
FTP
21
32
SMTP
25
6
Name Server
42
0
HTTP
80
116
POP3
110
2
MS-RPC
135
0
NetBios-SSN
139
0
IMAP
143
0
HTTPS
443
2
Microsoft-DS
445
34
SMTPS
465
0
IMAPS
993
0
POP3S
995
0
NVC
1023
0
NFS-IIS
1025
0
ZEPHYR-CLT
2103
0
Eklogin
2105
0
MS-DTC
3372
0
UPNP
5000
0
Snet-Sensor-Management
10000
0
116
120 100 80 60 40
34
32
20
6
2
2
110
443
0 21
25
80
445
3. Lima IP teraktif NO
IP
Jumlah serangan
Asal Negara
1
93.92.128.167
99
Germany
2
202.91.9.8
34
Indonesia
3
122.115.33.55
17
China
4
218.108.83.210
6
China
5
114.59.113.156
4
Indonesia
4. Lima Negara Teraktif No
Negara
Jumlah
1
China
8
2
USA
6
3
Taiwan
4
4
Rusia
3
5
Korea
2
Indonesia
2
Malaysia
2
5. Kesimpulan Setelah selesai tahap-tahap pembahasan, pembuatan dan pengujian sistem pada skripsi ini dapat ditarik kesimpulan sebagai berikut: 1. Berdasar hasil pengujian, sistem honeypot dapat bekerja dengan baik sesuai dengan perancangan. 2. Dengan sistem ini dapat dilihat gambaran umum
pola serangan di jaringan
internet, asal serangan, tujuan serangan yang tertangkap didalam sistem ini. 3. Pola serangan di internet cenderung mengarah ke port 80 dan 445 yang merupakan layanan HTTP dan Microsoft-DS. 4. Sistem ini membantu untuk meningkatkan keamanan dalam sistem produksi yang dimiliki dan meningkatkan kesadaran akan keamanan dalam berinternet. 6. Daftar Pustaka Ardiyansah, Dian, “Teknologi Jaringan Komputer”, IlmuKomputer.com, 2004 Blasco, Jaime, “An Approach to Malware Collection Log Visualization”, Aitsec, Madrid Spain. Prihanto, Harry,”Membangun Jaringan Komputer: Mengenal Hardware dan Topologi Jaringan”, IlmuKomputer.com, 2006 Provos, Niels dan Holz, Thorsten, “Virtual Honeypots: From Botnet tracking to Intrusion Detection”, Pearson Education Inc, 2008.
Yuhefizar, “Tutorial Komputer dan Jaringan”, IlmuKomputer.com, 2003
