ANALISIS DAN IMPLEMENTASI INTRUSION DETECTION SYSTEM DIREKTORAT KEAMANAN INFORMASI KEMENTERIAN KOMUNIKASI DAN INFORMATIKA

ANALISIS DAN IMPLEMENTASI INTRUSION DETECTION SYSTEM DIREKTORAT KEAMANAN INFORMASI KEMENTERIAN KOMUNIKASI DAN INFORMATIKA Aditya Gagat Hanggara Bukit Pamulang Indah blok B no 13 Tangerang Selatan, No Telp: 081314550820, [email protected].

Ir. Rusdianto Roestam, M.Sc, Ph.D. Abstrak Tujuan dari penulisan penelitian ini adalah menganalisis dan mengimplementasi sistem Intrusion Detection System (IDS) berbasis Snort pada layanan GovCSIRT (Government Computer Security Incident Response Team) jaringan Direktorat Keamanan Informasi di Kementerian Komunikasi dan Informatika Republik Indonesia, sehingga administrator jaringan dapat memonitor dan mendeteksi adanya ancaman serangan. Dengan adanya sistem IDS ini diharapkan administrator jaringan dapat memberikan respon yang cepat ketika terjadinya serangan tanpa harus menunggu efek yang lebih berat. Metode penelitian yang digunakan meliputi metode analisis dengan pendekatan top-down approach, survei sistem yang sedang berjalan dan studi pustaka. Untuk metode perancangan meliputi rencana penempatan IDS di topologi jaringan, mekanisme, instalasi dan konfigurasi dari Snort. Hasil dari penulisan penelitian ini adalah implementasi Intrusion Detection System berbasis Snort di situs/portal GovCSIRT yang dikelola Direktorat Keamanan Informasi. Dilakukan pengujian untuk memastikan sistem yang diimplementasikan berjalan baik dengan melakukan simulasi penyerangan Denial of Service (DOS). Simpulan dari penelitian ini adalah, diimplementasikan Intrusion Detection System pada situs – situs milik pemerintah khususnya pemerintah daerah, diharapkan para administrator jaringan milik pemerintah (daerah) dapat mendeteksi ancaman serangan lebih cepat dan tepat. Kata kunci: Intrusion Detection System, Snort, Layanan GovCSIRT, Denial of Service

Abstract The purpose of this research is to analyse and implements a Snort based Intrusion Detection Systems (IDS) for GovCSIRT (Government Computer Security Incident Response Team) services at the network of Directorate of Information Security for Republic of Indonesia, so the network administrator could monitor the network and detect any threats of attack. With the implemented IDS, it is expected the network adminstrator could give a quick respond when the attack occurs and without having to wait for more severe effects. The methods of research that is used involves an analytic methods with the top-down approach, surveying the existing system, and literature study. For the design methods, it involves the planning of the location for the implemented Intrusion Detection System, mechanism, installation and configuration of Snort. The result of this research is the implementation of Snort based Intrusion Detection System on GovCSIRT’s portal/site that administered by the Directorate of Information Security. A testing was done to ensure the systems that has been implemented is running well, this is achieved by doing a simulation of a DoS (Denial of Service) Attack. With the conclusion of this research, the implemetation of Intrusion Detection System on websites that run by government, particularly local governments could give the ability the network administrator of the sites to detect a threats more quickly and more accurately. Keywords: Intrusion Detection System, Snort, GovCSIRT Service, Denial of Service

PENDAHULUAN Internet pada abad 21 telah menjadi bagian penting dari gaya hidup masyarakat di seluruh dunia. internet telah merambah ke hampir semua aspek kehidupan, dari sebagai penunjang pekerjaan, hiburan, edukasi dan lain – lain. Pengguna internet pun tiap tahunnya terus meningkat, situs APJII (Asosiasi Penyelenggara Jasa Internet Indonesia) mencatat 82 juta orang telah menggunakan jasa internet, dan diproyeksikan angka tersebut akan meningkat menjadi 107 juta orang dan 139 juta orang pada tahun 2014 dan 2015.

Gambar 1 Data Pengguna Internet di Indonesia (sumber: apjii.or.id)

Peningkatan jumlah pengguna jasa internet menunjukkan semakin banyak lapisan masyarakat Indonesia yang menikmati dampak positif dari layanan internet, namun tentunya hal ini menuntut langkah pengamanan yang lebih baik untuk menghadapi ancaman serangan yang datang baik dari dalam maupun luar negeri. Pada saat ini di Indonesia terjadi lebih dari ratusan ribu serangan (intrusi) setiap harinya terhadap keamanan internet seperti tindakan menyadap transmisi yang terjadi antara satu pihak dengan pihak yang lain, tindakan yang mengakibatkan terjadinya pemutusan komunikasi antara dua pihak yang seharusnya berinteraksi, dan tindakan lain yang berpotensi untuk menghancurkan informasi yang berjalan di atas infrastruktur internet. Kasus-kasus terkait insiden terhadap keamanan internet telah marak terjadi di Indonesia dan mengancam langsung pada infrastruktur strategis di Indonesia. Data dari Id-SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure) mencatat pada kurun waktu bulan Januari – September 2013, total serangan intrusi mencapai 42 juta serangan dimana yang tertinggi terjadi pada tanggal 5 April 2013 yaitu sebesar 517 ribu serangan intrusi.

Tabel 1 Total Jumlah Serangan (Intrusi) di Indonesia dalam jutaan (sumber: Id-SIRTII) Jan

Feb

Mar

Apr

Mei

Jun

Jul

Ags

Sep

2.4

1.9

10.7

9.9

5.8

3.1

3.8

2

2.4

Oleh karena itu, perlu diimplementasikannya sistem Intrusion Detection System (IDS)

pada

situs-situs

milik

pemerintah

daerah

yang

diunduh

dari

situs

www.govcsirt.kominfo.go.id. Dengan IDS dapat dilakukan deteksi ancaman dan jenis serangan lebih awal sehingga dalam pelaporan insiden pada situs GovCSIRT (Government Computer Security Incident Response Team), detail dan jenis serangan dapat diberikan yang kemudian bisa dilakukan prosedur penanganan insiden yang lebih cepat dan akurat. IDS yang akan diimplementasikan berbasis Snort karena sistem ini berbasis open source software yang menurut Scott, Wolfe, Hayes (2004:12) memiliki keunggulan yaitu dapat dikonfigurasi, dapat dimodifikasi, gratis, dan diupdate secara

berkala. IDS sendiri menurut Rehman (2003:5) adalah kumpulan teknik dan metode yang digunakan untuk mendeteksi kegiatan yang mencurigakan di level jaringan dan host.

Dengan demikian tujuan yang ingin dicapai dari penelitian ini adalah: -

Menggantikan sistem pelaporan lama yang menggunakan call center dengan sistem pelaporan baru yang berbasis IDS di situs GovCSIRT

-

Mewujudkan sistem IDS yang akurat dalam memonitor dan menganalisa jaringan untuk ditempatkan disitus GovCSIRT Direktorat Keamanan Informasi yang akan diunduh oleh masing - masing pemda, sehingga situs - situs milik pemda bisa mendeteksi jenis serangan dengan cepat dan akurat serta alamat IP penyerang.

Manfaat yang diharapkan dari penelitian adalah: -

Administrator jaringan dapat mengetahui jenis insiden yang dilaporkan

-

Administrator jaringan dapat mengambil tindakan lebih lanjut dengan cepat.

-

Tindakan yang telah diambil Administrator jaringan lebih akurat dan tepat sasaran.

METODOLOGI Metode yang digunakan untuk menyelesaikan penelitian ini antara lain:

1. Metode Analisis •

Analisis

menggunakan

pendekatan

top-down

approach.

Pendekatan ini menganalisis lima aspek dari suatu sistem yang sedang berjalan, yaitu business, application, data, network, dan technology. •

Melakukan wawancara dengan pihak – pihak yang terkait dalam instansi untuk melakukan pengumpulan data dan mendapatkan gambaran dari aktivitas pekerjaan dalam instansi tersebut,

aplikasi-aplikasi yang digunakan, dan kemungkinan permasalahan yang didapat dari aplikasi tersebut. •

Melakukan observasi sistem penangan insiden yang sedang berjalan di jaringan Direktorat Keamanan Informasi, Kementrian Komunikasi dan Informatika.

•

Studi literatur dari buku-buku, artikel dan internet yang berkaitan dengan sistem IDS terutama yang berkaitan dengan teknologi pendeteksian dan pengawasan insiden.

2. Metode Perancangan •

Sistem Intrusion Detection System (IDS) dibuat dengan rancangan fitur-fitur dan kemampuan sistem yang disesuaikan dengan kebutuhan pengguna. sistem dapat dikembangkan lebih lanjut sesuai dengan kebutuhan instansi dan kemudian diintegrasikan dengan jaringan Direktorat Keamanan Informasi.

•

Evaluasi, dengan melakukan percobaan serangan ke sistem yang telah dibuat.

HASIL DAN PEMBAHASAN SKENARIO PENGUJIAN Agar dapat memastikan sistem IDS yang telah diterapkan sesuai dengan kebutuhan user, maka diperlukan skenario pengujian terlebih dahulu. Skenario pengujian ini juga berfungsi sebagai parameter keberhasilan dari sistem yang telah diterapkan. Pada skenario pengujian IDS berbasis Snort ini, akan dilakukan simulasi percobaan penyerangan (attack) dengan melakukan serangan Denial of Service (DoS attack). Serangan ini pada dasarnya merupakan suatu aktivitas dengan tujuan utama menghentikan atau meniadakan layanan sistem atau jaringan komputer sehingga

pengguna tidak dapat menikmati fungsionalitas dari layanan tersebut. Contoh dari serangan denial of service yang digunakan dalam pengujian ini adalah dengan melakukan UDP (User Datagram Protocol) flooding. UDP flooding terjadi setelah jaringan “dibanjiri” dengan paket – paket UDP yang menyerang ke port – port secara random, atau menyerang ke

port tertentu yang rentan terhadap serangan. Berikut

mekanisme dari serangan UDP port

Gambar 2 Mekanisme simulasi penyerangan UDP flooding

Piranti lunak yang digunakan untuk melakukan serangan DoS attack ke komputer target adalah LOIC (Low Orbit Ion Cannon). Piranti lunak ini digunakan karena cara penggunaan yang mudah dan mempunyai pilihan untuk menyerang ke protokol TCP, UDP, atau HTTP.

PENGUJIAN Pada pengujian IDS ini digunakan 2 buah komputer. 1 komputer sebagai komputer penyerang (attacker) dan lainnya sebagai komputer target. Di komputer penyerang (dengan alamat IP 192.168.137.99) telah terinstall piranti lunak LOIC untuk melakukan DoS attack dengan melakukan UDP flooding. Di komputer target (dengan alamat IP 192.168.137.180), menjadi komputer yang akan mendeteksi serangan dari komputer penyerang menggunakan sistem IDS berbasis Snort yang telah terpasang sebelumnya. Agar Snort dapat menangkap atau mendeteksi serangan Denial of Service dari komputer penyerang, perlu dimasukkan rule yang dapat mendeteksi serangan tersebut:

alert udp 192.168.137.99 any -> 192.168.137.180 80 (msg:"SLR - LOIC DoS Tool Attack (UDP Mode)

- Behavior Rule (tracking/threshold)"; threshold: type

threshold, track by_src, count 100 , seconds 5; classtype:misc-activity; sid:1234590; rev:1;) Adapun langkah – langkah pengujian sistem IDS dengan melakukan simulasi penyerangan DoS attack adalah sebagai berikut: 1.

Di komputer target, aktifkan IDS Snort dengan memasukkan perintah “/usr/local/snort/bin snort –g

2.

Di komputer penyerang, menggunakan LOIC masukkan alamat IP, port, dan protokol dari komputer target yang akan diserang. Dalam pengujian ini alamat IP yang menjadi target adalah 192.168.137.180 dengan port 80. Untuk melakukan UDP flooding, maka piihan metode yang digunakan

adalah UDP. Gambar 3 Memasukkan alamat IP, port, dan protokol

3.

Pilih tombol “IMMA CHARGIN MAH LAZER” yang berarti LOIC memulai proses flooding

4.

Dari komputer target, IDS mendeteksi adanya serangan dari komputer penyerang, dan kemudian memicu alert tentang jenis serangan. Dalam pengujian ini Snort menangkap serangan DoS attack dengan UDP flooding yang dilakukan oleh komputer penyerang.

Gambar 4 Snort mendeteksi serangan UDP flooding

Setelah dilakukan pengujian IDS dengan melakukan simulasi penyerangan denial of service dengan cara “membajiri” jaringan dengan paket UDP, dan Snort dapat mendeteksi serangan tersebut, maka pengujian yang telah dilaksanakan dapat terbilang sukses. Berikut laporan hasil monitoring dari Snort:

Gambar 5 Laporan monitoring Snort

EVALUASI Dari hasil laporan monitoring yang dilakukan Snort selama pengujian, dapat terlihat dalam waktu yang relatif singkat total paket data yang tertangkap kurang lebih 2697946, jumlah serangan yang menuju protokol UDP sangat signifikan dengan jumlah paket data sebanyak 2684448 paket data. Jumlah ini tidak lain akibat dari serangan flooding UDP yang dilakukan di sub-bab pengujian. Pada kondisi yang sebenarnya, serangan flooding UDP dalam jangka waktu yang lama dan masif pada jaringan, dapat membuat jaringan menjadi sibuk karena traffic yang besar. Selain itu UDP flooding dapat membuat jaringan tersendat dan koneksi dari beberapa komputer yang terhubung dengan jaringan bisa terputus. Selain hasil deteksi serangan, laporan monitoring dari Snort juga menampilkan jumlah trafik – trafik yang melalui protokol seperti TCP, ICMP dan ARP. Trafik TCP (12771 paket data) dapat tercipta dari aktivitas browsing internet, trafik ICMP (269 paket data) tercipta dari aktivitas router untuk mencari informasi jaringan, sementara trafik ARP (95 paket data) tercipta dari layanan saat menggunakan MAC. Disamping dapat mendeteksi jumlah paket data serangan UDP Flooding, Snort dapat juga mendeteksi alamat IP sipenyerang yaitu IP 192.168.137.99 seperti yang tampak pada gambar 4.6 Dalam hasil uji coba ini trafik yang terdeteksi di Snort sebagian besar adalah trafik IP versi 4 dengan jumlah 2697493 paket data dibandingkan dengan trafik IP versi 6 yang masih belum banyak dengan jumlah

74 paket data. Meskipun demikian, dengan

semakin menurunnya jumlah slot untuk IP versi 4 diperkirakan trafik dengan IP versi 6 akan meningkat di masa depan. Pada sesi wawancara dengan pihak GovCSIRT dibawah dapat disimpulkan bahwa ujicoba paket data serangan UDP Flooding telah menunjukkan bahwa sistem Snort telah bisa mendeteksi serangan DoS. Q: Berdasarkan hasil laporan deteksi monitoring di atas, apakah sistem Snort yang diujicoba di dalam skripsi ini telah sesuai dengan yang diharapkan? A: Ya pada tahap uji coba awal ini boleh dikatakan sudah memadai khususnya apabila untuk serangan berupa UDP Flooding hanya masih memerlukan beberapa

penyempurnaan dan pengembangan selanjutnya, seiring dengan berkembangnya model-model serangan.

Q: Kira-kira hal – hal apa saja yang masih perlu untuk dikembangkan? A: Yang terpenting adalah perlunya pengembangan GUI (Graphic User Interface) yang lebih “user friendly” supaya mempermudah pihak pengguna untuk mempelajari apa itu sistem IDS berbasis Snort ini, khususnya pihak pengguna yang bukan dari latar belakang teknik pemrograman. Kemudian mohon juga nantinya perlu diperbanyak ujicoba-ujicoba pendeteksi serangan dengan snort ini tidak hanya berbasis deteksi penyalahgunaan tetapi juga berbasis deteksi anomali.

SIMPULAN DAN SARAN Setelah melakukan pengimplementasian dan pengujian Intrusion Detection System (IDS) di jaringan Direktorat Keamanan Informasi dapat ditarik beberapa simpulan: 1.

Setelah melakukan observasi dan analisis sistem pelaporan di Direktorat Keamanan Informasi, diketahui bahwa sistem yang lama tersebut tidak reliable karena sistem pelaporan melalui telepon, sms dan email ke Call Centre belum bisa menentukan jenis serangan dan sistem dipemerintah daerah belum dilengkapi/memiliki sistem deteksi seperti IDS untuk memberi informasi memadai tentang serangan yang sedang terjadi.

2.

Sistem IDS berbasis Snort dapat memonitor jaringan dengan jangka waktu tertentu atau secara terus menerus, hal ini memungkinkan pengawasan total terhadap aktivitas yang sedang berlangsung di Direktorat Keamanan Informasi.

3.

Dalam pengawasan pada saat pengujian, dapat diketahui paket data apa saja yang melalui jaringan di tiap – tiap protokol, sehingga memungkinkan tim teknisi Gov-CSIRT dari Direktorat Keamanan Informasi memberi respon yang tepat.

4.

Setelah dilakukan pengujian, diketahui sistem IDS berbasis Snort mempunyai kemudahan dalam penambahan atau modifikasi rule untuk mendeteksi ancaman serangan dan dengan update yang berkala, Snort dapat mendeteksi ancaman serangan terbaru yang berpeluang mengancam jaringan pemerintah daerah.

5.

Snort berhasil mendeteksi serangan Denial of Service (DOS attack) menggunakan piranti lunak “Low Orbit Ion Cannon” (LOIC) sebagai alat pengujian. Sehingga dapat diambil kesimpulan bahwa piranti lunak LOIC memenuhi tujuan dari piranti lunak tersebut sebagai alat simulasi penyerangan Denial of Service.

Adapun saran – saran yang diharapkan dapat diambil sebagai pengembangan dari sistem IDS yang telah diimplementasikan antara lain:

1.

Pengintegrasian sistem pelaporan yang ada dengan sistem IDS yang telah diimplementasikan untuk menambah kecepatan respon pada setiap laporan.

2.

Penambahan Graphical User Interface (GUI) pada situs GovCSIRT agar dapat menganalisis laporan hasil monitoring yang telah dilakukan sebelumnya. Analisis dapat berupa grafik untuk mengetahui intensitas serangan tiap bulan atau tahun, dan pie chart untuk mengetahui jumlah serangan yang diarahkan ke protokol – protokol tertentu.

3.

Melengkapi sistem IDS yang sudah ada disetiap situs milik pemda dengan Intrution Prevention System untuk mencegah paket – paket berbahaya sebelum paket – paket tersebut dapat melakukan perusakan di dalam jaringan.

REFERENSI Asosiasi Penyelenggara Jasa Internet Indonesia (APJII), Statistik Pengguna Internet di Indonesia, 2013, http://www.apjii.or.id/v2/read/page/halaman-data/9/statistik.html

Indrajit, Richardus E. (2011). Manajemen Keamanan Informasi dan Internet. (Edisi Pertama). Jakarta: Informatika.

Rehman, Rafeeq U. (2003). Intrusion Detection Systems with Snort, New Jersey: Prentice Hall.

Scott, C., Wolfe, P. and Hayes, B. (2004). Snort for Dummies, Indianapolis: Wiley Publishing.

Tanenbaum A., & Wetherall D., (2010). Computer Networks. (5th Edition). New Jersey: Prentice Hall.