ANALISA PERBANDINGAN PERFORMA INTRUSION DETECTION SYSTEM SNORT, LOW INTERACTION HONEYPOT DAN HIGH INTERACTION HONEYPOT
Naskah Publikasi
Program Studi Teknik Informatika Fakultas Komunikasi dan Informatika
Diajukan Oleh : Fuadielah Danok Eka Putra Fajar Suryawan, S.T., M.Eng. Sc. Ph.D. Ir. Jatmiko, M.T.
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS KOMUNIKASI DAN INFORMATIKA UNIVERSITAS MUHAMMADIYAH SURAKARTA 2014
ANALISA PERBANDINGAN PERFORMA INTRUSION DETECTION SYSTEM SNORT, LOW INTERACTION HONEYPOT DAN HIGH INTERACTION HONEYPOT
Fuadielah Danok Eka Putra, Fajar Suryawan, Jatmiko Jurusan Teknik Informatika, Fakultas Komunikasi dan Informatika Universitas Muhammadiyah Surakarta Email :
[email protected]
Abstrak Intrusion Detection System (IDS) snort merupakan sebuah aplikasi berbasis open source yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Selain itu pemanfaatan honeypot dapat menambah kualitas dari suatu keamanaan jaringan. Perancangan sistem dilakukan pada lingkungan Ubuntu yang diletakkan pada jaringan PT. Citra Media Solusindo, sistem akan diteliti dan dianalisa dengan membandingkan kinerja sistem saat dilakukan ujicoba serangan, perbandingan ini dilihat dari fungsi sistem mampukah sistem menangkap serangan dengan baik, kinerja server (CPU, memori, dan bandwitch) saat terjadi serangan dengan berbagai intensitas serangan dan bagaimana respon time sistem terhadap serangan. Hasil dari penelitian didapatkan bahwa kinerja server pada level serangan tertinggi menujukan hasil prosesor snort berjalan mencapai 78,6 %, honeyd mencapai 46,6%, dan honeynet mencapai 82%. Memori yang terpakai pada snort 32,4%, honeyd 30,7% dan honeynet 33% dan bandwitch yang terpakai pada snort 40,65 Mbps, honeyd 27 Mbps dan honeynet 97,5 Mbps, respon time server saat diserang secara bersamaan menunjukkan angka 0,40344 second/paket. Kata Kunci : Intrusion Detection System, Keamanan Jaringan Komputer, Snort IDS, High Interaction Honeypot, Low Interaction Honeypot. Abstrack Inrusion Detection System (IDS) snort is a open source software that can detect suspicious activity in a system or network. In a addition use of honeypot can give a good performance of a network security. The design of the system is on Ubuntu and environment placed on network in PT. Citra Media Solusindo, system will be investigation and analyzed by 1
comparing the performance of the system when a attacking tests, is seen from the comparison fungsional system properly capture system attack, performance server (CPU, memory, and bandwitch) occurs when the intensity of attack with various attack and how the reapon time system against attacks. The result of the experiment showed that the performance of the server at highest level of attack attributed of the result snort processor running on 78,6%, honeyd on 46,6% and honeynet on 82%. Memory used to snort 32,4%, on honeyd 30,7% and on honeynet 33% and is used bandwitch on snort 40,65 Mbps, 27 Mbps on honeyd and honeynet 97,5 Mbps, and for respon time when attacking show on 0,40433 second/package. Network
Pendahuluan
security
harus
Jaringan komputer merupakan
mampu mencegah berbagai potensi
sebuah kumpulan beberapa komputer
serangan atau intrusi. Serangan atau
yang terhubung satu sama lainnya
intrusi ini dapat diartikan sebagai
yang dihubungkan melalui media
“the act of thrusting in. or of entering
perantara. [1]
a placeor state whiteout invitation. komputer
Right or welcome, this unauthorized
memerlukan suatu keamanan untuk
access, or intrusion, is an attempt to
melindungi data-data yang ada dalam
compromise, or otherwise, to other
jaringan tersebut, keamanan jaringan
network device.[3]
atau network security merupakan
Sedangkan
segala aktifitas pengamanan suatu
dijelaskan sebagai berikut : [4]
jaringan atau network. Tujuan dari
(1) Interruption,
Suatu
jaringan
potensi
perangkat
serangan
sistem
keamanan jaringan ini untuk menjaga
menjadi rusak, serangan ditujukan
usability, reliability, integrity, dan
kepada ketersediaan (availability)
safty dari suatu serangan. Selain
dari sistem, (2) Intercaption,
empat hal di atas, masih ada dua
pihak
tidak
aspek lain yang juga sering dibahas
berwenang berhasil mengakses
dalam kaitannya dengan electronic
aset atau informasi,
commerce, yaitu access control dan
(3) Modification,
non-repudiation.[2]
pihak
tidak
berwenang berhasis mengubah aset atau informasi, 2
(4) Fabrication,
pihak
berwenang
menjelaskan
menyisipkan objek palsu. Salah
satu
bahwa
sebaiknya honeypot
pengunaan
pemanfaatan
diimplementasikan pada tempat yang
keamanan jaringan komputer dapat
rawan terhadap aktifitars penyadapan.
menerapkan sisitem deteksi penyusup
Selain itu dapat digunakan untuk
atau intrusion detection system.
memonitor jaringan dan menjebak
Intrusion
detection
system
penyusup yang akan masuk ke dalam sebuah jaringan.[6]
adalah “Detecting unauthorized use of attack upon system or network. An
Dalam
penelitian
yang
IDS designed and used to detect such
berjudul
attack or unauthorized use of system,
Impelementasi IDS berbasis Snort,
network, andrelated then in many to
Honeypot Honeyd dan Honeypot
[5]
deflect or deter them if possible”
Honeynet di PT. X di Surabaya”
Perancanga suatu keamanan jaringan
komputer
tidak
menjelaskan
bahwaimplementasian
intrusion detection system snort dan
harus
honeypot
memakan biaya yang besar, dengan
yang
dijalankan
pada
dan
lingkungan windows secara virtual
honeypot dapat dijadikan solusi untuk
lebih memakan biaya yang rendah
menghemat biaya, karen sisten snort
karena dapat menghemat penggunaan
menggunakan
dan
honeypot
IDS
snort
Performansi
“Analisa
merupakan
hardware. Snort yang dikonfigurasi
sistem
berbasis open source.
digunakan
Tinjauan Pustaka
memonitor
Dalam berjudul
penelitian
“Implementasi
yang
sebagai
sensor
jaringan,
untuk
sedangkan
honeypot yang diinstall secara virtual dapat dikonfigurasi dengan beberapa
Honeypot
host yang berbeda-beda.[7] Sebagai
Alat
Bantu
Deteksi
Landasan Teori
Keamanan Jaringan Pada Kantor
Keamanan jaringan komputer didefinisikan oleh beberapa poin
Pengawasan dan Pelayanan Bea dan
sebagai berikut:[8] Cukai Tipe A2 Palembang”.
(1) Confidentiality 3
(cables, wirelless) and match them to
Mensyaratkan pengolahan informasi
hanya bisa
a database of signature. Depending
diakses
upon whether a packet is matched
pihak berwenang, (2) Integrity
with an intruder signature, an alert is
Mensyaratkan pengolahan
generated or the packet is logged to a
informasi tersedia untuk pihak
file or database. One major use of
berwenang,
snort is a NIDS”[9]
(3) Availabality
Snort dan Snort Rules
Mensyaratkan pengolahan
“Snort® is an upon source
informasi hanya dapat diubah
network intrusion prevention and
oleh pihak berwenang,
detection system (IDS/IPS) developed
(4) Authentication
by Sourcefire. Combining the benefits of signature, protocol, and anomaly-
Mensyaratkan pengolahan dapat
based inspection, snort is the most
diidentifikasikan dengan benar
widely deployed IDS/IPS technology
dan ada jaminan identitas yang
wordwide”[10]
informasi
hanya
diperoleh tidak palsu, (5) Access Control Aspek ini berhubungan dengan
cara
pengatur
akses
kepada informasi, (6) Nonrepudiation Mensyaratkan bahwa baik pengirim
maupun
penerima
informasi tidak dapat menyangkal
Gambar 1 Topologi jaringan snort [11]
pengiriman dan penerimaan pesan.
Dalam penggunaannya snort
IDS (Intrusion Detection System)
menggunakan
rules-rules
untuk
“IDS are intrusion detection
mengklasifisikasikan aktifitas pada
system that capture data packets
jaringan. Rules snort terdiri atas dua
traveling on the network media
bagian utama yaitu: 4
1) Rules header
are installed in order to emulate operating system and service.[14]
Merupakan bagian rules di mana aksi rules diidentifikasikan.
Dari peryataan di atas low
2) Rules option
interaction
Merupakan bagian rules di mana
pesan
peringatan
layanan sistem operasi seperti network stack, walaupun terbatas sistem
Honeypot Honeypot
is
security
attacked,
ini
bermanffaat
untuk
memperoleh informasi mengenai
resource whose value lies in being probed,
hanya
mensimulasikan sejumlah bagian
diidentifikasikan.
“A
honeypot
probing jaringan.
or
2) High Interaction Honeypot
compromised.”[12]
Perancangan
Honeynet
mensimulasikan semua aspek dari sistem operasi, hal ini akan membutuhkan
waktu
dan
konfigurasi yang lama, beberapa teknologi yang berbeda seperti firewall dan intrusion detection system harus disesuaikan dengan seksama.
Gambar 2 Contoh konfigurasi
Web Interface
honeypot terintegrasi
Alert snort yang ditampilkan
Honeypot diklasifikasikan menjadi 2 yaitu:
pada terminal hanya berupa script
1) Low Interaction Honeypot
pada
Menurut
peneliti
command
mempermudah
yang
prompt,
dalam
untuk
pemahaman
tergabng dalam WASET (Word
alert tersebut maka dirancan sebuah
Academy
aplikasi alreting berbasis web. Web
Science,
Engenering
and Tecnology), “low interaction
interface
honeypot is no operating system
menggunakan PHP dan HTML.
an attacker can operate on. Tools 5
akan
dirancang
Data di web interface ini
(3) Penyerangan akan dilakukan dari
didasarkan pada kode dari konsol database
analissi
intrusion
beberapa
yang
komputer
menggunakan IP
beberapa scanning,
ditangkap. Aplikasi ini menyediakan
seperti
web front-end untuk query dan
sccaning, dan flooding,
menganalisa alert yang berasal dari
dengan tools port
(4) Setelah itu dilihat mampukah IDS
sistem IDS.
snort memberikan peringatan dan
Sekilas Tentang PHP dan MYSQL
honeypot sebagai server bayangan
PHP adalah bahasa server-
mampu bekerja dengan baik,
side scripting yang menyatu dengan
(5) Sebagai tambahan alert yang
hypertext markup language (HTML)
ditangkap tadi akan ditampilkan
untuk membuat halaman web yang
dalam halaman web interface
dinamis. Pada penelitian ini PHP
yang telah dirancang sebelumnya.
digunakan
untuk
membangun
Skenario Penyerangan
Graphic User Interface (GUI). MySQL
adalah
Skenario pengujian serangan
database
akan digambarkan dan dijelaskan
multiuser yang menggunakan bahasa
dalam skenario dibawah ini
structured query language (SQL). MySQL
dalam
client-server
melibatkan server daemond MySQL disisi server dan berbagai macam program serta library yang berjalan di sisi client. Requirement Analysis (1) Jaringan di-setup PT. Citra Media Solusindo, (2) Software pendeteksian IDS snort dan honeypot diistall di komputer server
dengan
IP
address Gambar 3 Diagram alir sistem
192.168.19.128, 6
Skenario pengujian didasarkan
Dari komputer dengan IP
terhadap dua hai, yaitu mampukah
192.168.19.129/24
sistem
memberi
dilakukan exploitasi server, hal
peringatan saat terjadi serangan dan
ini bertujuan melihat informasi
waktu yang dibutuhkan sistem untuk
yang
merespon serangan, berikut skenario
membuat server menjadi hang
yang dilakukan :
atau
merespon
dan
(1) IP Scanning
rusak,
dilakukan
Langkah pengujian
awal
akan
scanning
ada
range
akan
server
dan TCP
dan
juga
akan
dan
UDP
flooding.
dari
dilakukan
dari
pada
juga
Setup Jaringan dan Sistem
IP
Sistem diinstal pada server
192.168.19.10-150, scanning ini
dengan sistem operasi Ubuntu 12.04 di
digunakan untuk mencari IP yang
jaringan PT. Citra Media Solusindo
aktif,
dengan IP address 192.168.19.128/24.
(2) DoS attack
Dan untuk honeypot dikonfigurasi
Kemudian dengan intruder
dengan beberapa server bayangan
yang sama akan dilakukan DoS
sebagai berikut :
attack terhadap server dengan IP
Sistem operasi Windows XP SP 1
address 192.168.19.128/24 dan
IP address 192.168.19.10
server
bayangan
honeypot
Port terbuka 80, 22, 113, dan 1 TCP reset
192.168.19.10/24, (3) Port scanning
Router Cisco 7206 IOS 11.1(24) IP address 192.168.19.124
Dari komputer lain dengan IP
address
192.168.19.129
dilakukan port scanning terhadap serverdengan 192.168.19.128
IP
Allopen 1
address
dan
NetBSD 1.5.2 running on commodore
server
honeypot 192.168.19.10/24,
Amiga
(4) Exploit attack
IP address 192.168.19.20/24 Port terbuka 80,133 dan 1 TCP reset 7
Template Firewall-1.4.0 SP-5 port terbuka 80 dan 22 port block 23 Selain
itu
terdapat
dua
intruder, yaitu computer X dengan IP address
192.168.19.129
Gambar 4 Install dan konfigurasi
dan
snort sukses
computer Y dengan IP address 192.168.19.135.
Installasi
Konfigurasi Snort dan Snort Rules
Honeypot
dan
Konfigurasi
Penginstallan honeyd dapat
Snort bukanlah program kecil,
menggunakan perintah,
fitur manajemen dan fitur lainnya senantiasa berubah (dibuang atau
# apt-get install honeyd-common
ditambah) pada setiaprilisnya. [15]
Honeyd
perlu
suatu
berhasil
konfigurasi dalam membuat host-host
akan
virtual, semuanya diletakan dalam
menampilkan pemberitahuaan seperti
subdirectory script yang terletak pada
di bawah ini.
folder /etc/honeypot/honeyd.conf.
snort
Jika dikonfigurasi
maka
Sedangkan untuk arsitektur honeypot honeyd akan dijelaskan
Gambar 3 Installasi dan konfigurasi
pada gambar berikut ini,
snort sukses Snort rules berfungsi sebagai pengoptimal dan mengkondinisikan alert rules
serangan yang terjadi, snort diletakkan
di
folder
/etc/snort/rules. Gambar 5 Arsitektur honeyd [16]
8
Gambar 4 menjelaskan ketika
Perancangan Database
daemon honeypot honeyd menerima
Database
MySQL
yang
paket, dispatcher akan merespon
digunakan untuk menyimpan semua
Daemon
serangan yang terdeteksi snort dan
paket
yang
diminta.
honeypot honeyd hanya mengetahui
honeypot
tiga protocol yaitu ICMP, TCP dan
mengunakan
UDP.
relationship diagram seperti berikut Dispatcer
query
database
akan
disimulasikan skema
entity
ini.
akan menampilkan informasi honeyd yang
telah
dikonfigurasi
sesuai
dengan alamat IP kepada intruder. Kemudian
paket
akan
diproses oleh personality engine, hal ini bertujuan menyesuaikan isi paket sehingga tampaknya berasal dari server yang sesungguhnya. Perancangan Honeynet honeynet
Arsitektur membuat
suatu
terkontrol,
dan
dapat
mengamati
aktifitas
yang
terjadi
semua
dalamnya,
akses
ini
berikut
jaringan
di
Gambar 7 Entity relationship
perancangan
diagram
honeynet :
Membuat Database Langkah
awal
dalam
pembuatan database snort masuk ke direktori MySQL dengan perintah mysql –u root –h localhost –p, kemudian membuat user dan table dalam database snort dalam MySQL, Gambar 6 Contoh perancangan
seperti gambar di bawah ini,
honeynet[17] 9
ditangkap
dan
disimpan
dalam
database diperlukan sebuah table untuk
menampilkan
dalan
web
interface yang dirancang, berikut table yang perlu dibuat, Gambar 8 Membuat user database
Gambar 11 Database tabel snort
Gambar 9 Membuat database snort database
dibuat
Perancagan
penghubung
untuk
Interface
Setelah diperlukan
Antar
Muka/Web
dengan
Untuk mempermudah dalam
MySQL, konfigurasinya terletak di
pembacaan pola serangan yang terjadi
folder /etc/snort/snort.conf
maka dirancang sebuah
snort
mengkoneksikan
program
berbasis web. Rancangan tampilan utama
dari
web
interface
ini
ditunjukkan pada gambar berikut,
Gambar 12 Perancangan halaman Gambar 10 Konfigurasi database
utama web interface
snort
Pada gambar 10 diperlihatkan bagian gambar dengan nomor 1 adalah identitas dari web interface, nomor 2
Kemudian menampilkan
alert
untuk yang
telah 10
adalah judul dari web interface, nomor 3 adalah informasi tentang basisdata snort, nomor 4 merupakan profil serangan berdasarkan waktu dan nomor 5 merupakan footer dari web interface.
Pengujian Fungsional Hasil yang telah dicapai dari penelitian ini dapat disimpilkan tiap penambahan jumlah client maka semakin bertambah pula jumlah alert yang didapatkan. Hal ini dikarenakan sistem yang saling berhubungan, dan masing-masing sistem tersebut memberikan alert terhadap serangan, lebih jelasnya dapat dilihat pada gambar berikut,
Gambar 13 Perancangan tampilan profil serangan Pada gambar 13 diperlihatkan nomor 1 adalah waktu terjadinya serangan, nomor 2 adalah jumlah serangan dan nomor 3 merupakan grafik total serangan yang ditangkap. Profil serangan yang ditunjukkan pada pada gambar 13 akan dijabarkan lebih rinci pada halaman berikutnya saat waktu serangan diklik, berikut rancangan tabel informasi serangan, Gambar 14 Perancangan tampilan informasi serangan Pada gambar 14 diperlihatkan nomor 1 merupakan ID alert, nomor
Gambar 15 Serangan yang ditangkap
2 adalah nama serangan, nomor 3
web interface
adalah waktu terjadinya serangan,
Pada gambar 15 terjadi serangan pada tanggal 22-12-2013 dan 23-12-2013, pada tanggal 22-12-2013 percobaan serangan menggunakan 1 intruder selama kurang lebih 1 jam, serangan yang ditangkap sebanyak 812 serangan, dan pada tanggal 23 menggunakan 2 intruder ditangkap 1798 serangan dalam kurun waktu kurang lebih 1 jam. Lebih jelasnya dapat dilihat pada tabel 1.
nomor 4 adalah IP sumber, nomor 5 adalah IP sasaran, dan nomor 6 adalah layer yangdiserang. Hasil dan Pembahasan Metode pengujian didasarkan pada
dua
hal
yaitu
pengujian
fungsional dan respon time saat menangapi serangan. 11
Tabel 1 Tabel jumlah alert terhadap client
Grafik :
Gambar 18 Grafik kinerja server mesindengan serangan intensitas tinggi Gambar 17 dan 18 menunjukkan sistem snort lebih besar dalam penggunaan CPU, memori dan bandwitch, yaitu kinerja CPU yang mencapai nilai tertinggi 78,6 %, memori terpakai 32,4 % dan bandwitch 40,65 Mbps, dibandingkan dengan honeyd yang hanya memakai memakai memori 46,6 % dan kinerja CPU 30,7 % dan bandwitch 27 Mbps. Hal ini dikarenakan snort mempunyai rules yang bekerja untuk mendeteksi serangan, dan rules itu harus selalu diupdate, agar signature baru dapat diperoleh untuk menangkap jenis serangan baru. Respon Time
Gambar 16 Grafik jumlah alert berdasar jumlah client Selain itu perbandingan juga dilihat seberapa besar CPU bekerja, memori yang dipakai sistem, dan bandwitch yang terpakai saat berjalan dan menangkap serangan. Tabel 2 Tabel kinerja mesin server
Grafik :
Salah
satu
parameter
kehandalan dari suatu sistem harus dapat
melayani
beberapa
client
sekaligus. Serangan ini menggunakan 2 intruder dan akan dilakukan secara Gambar 17 Grafik kinerja mesin
bersamaan. Berikut tabel dan grafik
server dengan serangan intensitas
yang menujukkan pengujian respon time :
rendah 12
Tabel 3 Tabel respon time berdasar
membanjiri request data pada jaringan, dan apabila dilakukan penyerangan secara bersamaan oleh 2 intruder, maka jaringan semakin penuh sehingga menyebabkan kemampuan sistem menjadi terganggu. Kesimpulan
jumlah client
Grafik:
High interaction honeypot honeynet lebih besar dalam penggunaan sumber daya dibandingkan dengan intrusion detection system snort maupun low interaction honeypot honeyd saat dijalankan sebagai sistem tunggal, dan semakin banyak client client yang mengakses suatu jaringan maka semakin lambat respontime sistem. Sistem yang dibangun pada lingkungan Ubuntu dijalankan melalui terminal, sehingga diperlukan pihak ketiga, sebagai solusi webinterface dirancang sebagai alat untuk mempelajari serangan yang ditangkap
Gambar 19 Grafik respon time berdasar jumlah client Dari hasil pengujian dapat dilihat bahwa dengan bertambahnya jumlah client akan berpengaruh terhadap performa sistem, ini ditunjukkan dengan semakin lamanya respon time yang dihasilkan sistem, semua disebabkan karena serangan paket flooding yang dikirimkan
DAFTAR PUSTAKA [1]Sofana, Iwan, 2008, “Membangun Jaringan Komputer”, Bandung: Informatika. [2]Raharjo, 2002, “Keamanan Sistem Informasi Berbasis Internet” Bandung: PT. Insan Indonesia. [3]Stallings, William, 2005, “Intrusion Cryptography and Network Security.pdf version”, diunduh dari www.ebookily.org jam 19.00 wib, 25 juli2013. [4]Sukmaji, Anjik, S.Kom dan Rianto, S.Kom, 2008. “Jaringan Komputer”, Yogyakarta: Andi. [5]Andrew R Baker, Joe Esler dan Jay Beale, 2007, “Snort IDS and IPS Toolkid”, Syngress Publishing.
13
[6]Zulkarnaen, Disky, 2010, “Implementasi Honeypot Sebagai Alat Bantu Deteksi Keamanan Jaringan Pada Kantor Pengawasan dan Pelayanan Bea dan Cukai Tipe A”, Palembang: STIMIK PalCom Tech. [7]Prasetyo, Milano Hardi, 2011, “Analisa Performansi Implementasi IDS Berbasis Snort, Honeypot honeyd, Honeypot Honeynet di PT. X di Surabaya”, Surabaya: Institut Teknologi Surabaya. [8]Sukmaji, Anjik S. Kom dan Rianto S.Kom, 2008, “Jaringan Komputer”, Yogyakarta: Andi Offset. [9]Ur Rehman, Raffiq, 2003, “Intrusion Detection System With Snort”, Prentice Hall PTR. [10]Snort, “What Is Snort” dikutip dari www.snort.org, diakses pada tanggal 26 juli 2013, jam 20.29 wib. [11]Gullet, David, “Snort Install guide”, Symmetrix Tecnologies, diunduh dari www.symmetrixtech.com, jam 14.00 wib, tanggal 6 Agustus 2013. [12]Spitzer, Lance dan Addison Wesely, 2002, “Jurnal Honeypots, Tracking Hacker pdf version”, diunduh dari www.waet.org/journals/waset/v24/v2444.pdf, jam 14.00 wib, tanggal 6 Agustus 2013. [13]Firar, Udirartatmo, 2005, “Trik Menjebak Hacker Dengan Honeypot”, Yogyakarta: Andi, Hal 60. [14]Jurnal Internasional, “Hybrid Honeypot System For Network Security.pdf version”, diunduh dari www.waset.org/journals/waset/v24/v24-44.pdf, jsm 07.30 wib, tanggal 6 Agustus 2013. [15]Rahmat, Rafiudin, 2010, “Menganyang Hacker Dengan Snort”, Yogyakarta: Andi, Hal 37. [16]Firar, Utdirartatmo. 2005, “Trik Menjebak Hacker Dengan Honeypot”, Yogyakarta, Andi, Hal 101. [17]David, Annual Workshop, Wasten, 2011, “Over View of Recent Honeypot Research and Development”, diunduh dari http://www.ukhoneynet.org/wastonhoneynetproject.pdf, jam 08.32 wib, tanggal 7 Agustus 2013.
14
