ANALISIS DAN IMPLEMENTASI SURICATA, SNORBY, DAN BARNYARD2 PADA VPS UBUNTU NASKAH PUBLIKASI

ANALISIS DAN IMPLEMENTASI SURICATA, SNORBY, DAN BARNYARD2 PADA VPS UBUNTU

NASKAH PUBLIKASI

Disusun Oleh : Alim Nuryanto Muhammad Kusban, S.T, M.T

PROGRAM STUDI INFORMATIKA FAKULTAS KOMUNIKASI DAN INFORMATIKA UNIVERSITAS MUHAMMADIYAH SURAKARTA 2015

8/3/2015

Turnitin Originality Report  Turnitin Originality Report ANALISIS DAN IMPLEMENTASI SURICATA, SNORBY, DAN BARNYARD2 PADA VPS UBUNTU by Alim Nuryanto

 

Similarity by Source

Similarity Index

From publikasi september 2015 (publikasi)

10%

Internet Sources: Publications: Student Papers:

6% 0% 6%

Processed on 03­Aug­2015 15:37 WIB ID: 559232207 Word Count: 2010

sources: 2% match (student papers from 10­Jul­2015) Class: publikasi Assignment:  Paper ID: 554918914

1

2

2% match (student papers from 06­Jul­2015)

Class: publikasi Assignment:  Paper ID: 554221324

3

1% match (student papers from 06­Feb­2014)

Class: publikasi maret 2014 Assignment:  Paper ID: 394090721

4

1% match (Internet from 23­Jun­2015) http://digilib.unpas.ac.id/files/disk1/7/jbptunpaspp­gdl­yuanharryp­331­1­bab1­­i.pdf

1% match (student papers from 23­Mar­2015) Class: publikasi Assignment:  Paper ID: 519457794

5

6

7

8

9

1% match (Internet from 09­Jun­2015) http://repository.amikom.ac.id/files/Publikasi_09.11.2743.pdf 1% match (Internet from 31­Dec­2014) http://news.palcomtech.com/wp­content/uploads/2013/03/ZAID_TE02032012.pdf 1% match (Internet from 09­Oct­2010) http://www.darknet.org.uk/tag/intrusion­detection/ 1% match (Internet from 10­Jun­2012)

http://repository.politekniktelkom.ac.id/Proyek%20Akhir/MI/PENGEMBANGAN%20MODUL%20REPORTING%20TREASURY%20PADA%20BACK

10

< 1% match (Internet from 10­Jan­2014) http://repository.amikom.ac.id/files/Publikasi%2009.12.3598.pdf

11

< 1% match (Internet from 03­Nov­2012) http://iko4x.com/tutorial.html

12

< 1% match (Internet from 19­May­2014) http://www.bcasyariah.co.id/media/2011/05/Annual­Report­BCAS­2010.pdf

paper text: ANALISIS DAN IMPLEMENTASI SURICATA, SNORBY, DAN BARNYARD2 PADA VPS UBUNTU NASKAH PUBLIKASI Disusun Oleh : Alim Nuryanto

3Muhammad Kusban, S.T, M.T PROGRAM STUDI INFORMATIKA FAKULTAS

KOMUNIKASI DAN INFORMATIKA UNIVERSITAS MUHAMMADIYAH SURAKARTA 2015 HALAMAN PENGESAHAN Publikasi ilmiah dengan judul : ANALISIS DAN

IMPLEMENTASI SURICATA, SNORBY, BARNYARD2 PADA VPS UBUNTU

2Telah disetujui pada : Hari : ....................................................... Tanggal :

........................................................ Pembimbing, (Muhammad Kusban, S.T, M.T)

https://turnitin.com/newreport_printview.asp?eq=0&eb=0&esm=0&oid=559232207&sid=0&n=0&m=0&svr=06&r=0.8793309098109603&lang=en_us

1/4

ANALISIS DAN IMPLEMENTASI SURICATA, SNORBY, DAN BARNYARD2 PADA VPS UBUNTU

Alim Nuryanto, Muhammad Kusban, S.T, M.T Informatika, Fakultas Komunikasi dan Informatika Universitas Muhammadiyah Surakarta E-mail : [email protected]

ABSTRAK Server merupakan perangkat yang telah ter-integrasi dengan spesifikasi hardware tertentu, dan software yang memiliki fungsi tertentu seperti ftp, ssh, web server. Layanan tersebut rentan akan serangan yang dapat menimbulkan kerugian. Oleh karena itu diperlukan sistem pendukung yang mampu mendeteksi sebuah aktifitas jaringan. Suricata adalah IDS yang mambu mendeteksi sebuah aktifitas jaringan dan mengidentifikasi ancaman serangan dibantu dengan rules yang ter-intergasi. Suricata memindai setiap datagram yang dikirim pada sesi TCP dan mengubah menjadi informasi dan dikirim pada pada aplikasi Snorby untuk diolah. Rules pada suricata berperan dalam mengidentifikasi serangan yang terjadi pada sebuah host. Kata kunci : Server, Suricata, Snorby, Rules, IDS

1. PENDAHULUAN

Network IDS, IPS dan Network Security

Perkembangan teknologi informasi

Monitoring engine. Suricata merupakan

saat ini khususnya pada sistem jaringan

software

komputer

dikembangkan oleh organisasi non-profit

sangatlah

cepat.

Bahkan

Source

dari

komunikasi data bisa dilakukan dengan

Foundation

sistem jaringan yang telah ter-integrasi.

Barnyard2 adalah software yang dapat

Berkembangnya

jaringan

digunakan untuk melakukan remote pada

komputer bukan berarti tanpa kelemahan.

sebuah server yang telah terpasang IDS,

Server merupakan perangkat yang telah

IPS dan NSM. Penggunaan VPS dapat

ter-integrasi dengan spesifikasi hardware

menggantikan dedicated server untuk

tertentu, dan software yang memiliki

penelitian dengan spesifikasi lebih rendah

fungsi tertentu seperti web server, dns

serta hemat biaya.

server, proxy server, dll. Oleh karena itu,

2. TINJAUAN PUSTAKA

perlu para administrator untuk lebih

Network

Information

yang

sekarang semua komunikasi terutama

sistem

Open

Open

(OISF).

Security

Snorby

Information

dan

Detection

berhati – hati dalam mengelola server.

System (NIDS) biasa disebut dengan

Jika dalam pengawasan sistem jaringan

sensor keamanan. NIDS adalah teknologi

terutama pada server terjadi gangguan

hardware ataupun software yang telah

lalu lintas data seperti, lalu lintas data

terintegrasi

penuh yang dapat menimbulkan masalah

Detection System. Dalam sebuah analogy,

pada sistem jaringan itu sendiri.

NIDS ditunjukkan untuk mendengarkan

dan

berfungsi

sebagai

Suricata merupakan software yang

sebuah frase kunci dari sebuah paggilan

bisa digunakan untuk melakukan kegiatan

daripada melaporkan statistik panggilan

itu sendiri. (Network Security Monitoring

binary output files. Memiliki fungsi

1st edition, 2009, Hal 101-102).

utama untuk menulis pada disk dengan

Suricata engine merupakan open

efektif dan meninggalkan parsing dalam

source next generation intrusion detection

berbagai format data biner dengan proses

and

yang terpisah tanpa meyebabkan Snort

prevention

merupakan

engine.

Suricata

yang

memiliki

engine

kehilangan

network

traffic.erusahaan.

kemampuan Multi threaded. Hal ini dapat

supporting vendors.

diartikan

3. METODE PENELITIAN

kita

dapat

menjalankannya

secara instan dan mengaturnya secara

Metode penelitian yang digunakan

seimbang dalam setiap pemrosesan sensor

oleh peneliti adalah metode penelitian

Suricata

eksperimental yaitu teknik penelitian

yang

telah

terkonfigurasi

(Suricata-ids, 2015:1).

yang digunakan untuk mengetahui suatu

Snorby adalah web aplikasi network security

monitoring

antarmuka

yang

kondisi

sebuah

diimplementasi

sistem

setelah

mendapakan

populer dengan instrusi detection system

pengujian yang berbeda - beda.

(Snort, Suricata, dan Sagan). Konsep

3.1 Waktu dan Tempat

dasar pada snorby adalah sederhana,

Waktu

yang

yang

digunakan

dalam

organisasi, dan kekuatan. Tujuan besar

penelitian ini adalah sekitar 6 bulan yakni

dari pembuatan snorby adalah membuat

bulan Februari 2015 sampai dengan Juli

aplikasi

sangant

2015 yang dilakukan pada indekost

komprehentif untuk monitoring jaringan

Najma yang terletak di area Universitas

yang dapat digunakan untuk pribadi

Muhammadiyah Surakarta.

maupun pBarnyard2 adalah software open

3.2 Peralatan Utama dan Pendukung

open

source

dan

source interpreter untuk snort unified2

Peralatan Utama

c) Apache Web Server,

Notebook dengan spesifikasi sebagai

d) MySQL Databases,

berikut :

e) Suricata,

1) Hardware :

f) Barnyard2,

a) Processor Intel® Core™ i3 , 2.2 Ghz,

g) Snorby.

b) Harddisk 465 GB.

3.4. Alur Penelitian

2) Software :

Alur

a) Sistem Operasi Windows 7 Ultimate

mengetahui

64-bit,

penelitian tahapan

digunakan -

tahapan

untuk dari

penelitian. Berikut ini merupakan alur

b) Putty.

penelitian berdasarkan diagram alir dan

Virtual Private Server (VPS) berjumlah 2

topologi jaringan server 1 dan server 2

dengan masing - masing spesifikasi sebagai berikut: 1) Hardware : a) Dedicated RAM

:256MB,

b) vSwap : 512MB, c) HDD : 25GB, d) Premium Bandwidth

: 500GB,

e) CPU Cores : 2 Cores, f) Public Uplink : 1000Mbps. 1) Software : a) Sistem Operasi Ubuntu Server 12.00 32-bit, b) SSH Server,

Gambar 3.1 Diagram Alir

:

disewa dari tempat yang sama. Sedangkan PC user terhubung dengan wifi yang sudah

terkoneksi

dengan

jaringan

internet. 3.4.1 Pengujian Request Packet Data Pengujian ini akan dilakukan request packet oleh PC client kepada Server 1 Gambar 3.2 Topologi Jaringan Berdasarkan

gambar

meminta

packet

data

dan

alur

dilakukan sebanyak 5 kali percobaan

peneltian adalah mengidentifikasi sebuah

dengan besar bytes yang berbeda - beda.

masalah

Berikut adalah tabel percobaan request

dan

penentuan

dilanjutkan

tujuan

Selanjutanya

3.1

dengan

dari

adalah

dengan penelitian.

installasi

dan

konfigurasi sistem delanjutkan dengan pengujian apablila mengalami kegagalan maka akan dianalisa kesalah kemudian mengulangi dari installasi dan konfigurasi sistem.

Ketika

berhasil

maka

akan

dilanjutkan dengan analisis kemudian

gambar

Tabel 3.1 Request Packet Data No

Tanggal

Waktu

Besar Paket

1

12 Juli 2015

5.10 - 5.20

1 bytes

2

12 Juli 2015

6.01 - 6.11

10 bytes

3

12 Juli 2015 18.59 - 19.09

100 bytes

4

13 Juli 2015

1000 bytes

5

13 Juli 2015 15.35 - 15.45

3.46 - 3.56

10000 bytes

3.4.2 Pengujian Menggunakan Nmap Pada tahapan pengujian ini peneliti menggunakan Nmap untuk melakukan

penyusunan laporan. Pada

packet pada server 1.

3.2

topologi

ini

scanning

pada

Server

1.

Scanning

menjelaskan bahwa Server 1 dan Server 2

dilakukan sebanyak 8 kali di dengan

berada

perintah yang berbeda.

dalam

1

Internet

Gateway

dikarenakan menggunakan VPS yang

3.4.3 Pengujian Menggunakan Tool

Hydra

untuk melakukan uji coba serangan pada

Peneliti saat ini menggunakan tool

Server 1 yang telah ter install aplikasi

hydra yang telah ada pada sistem operasi

Suricata. Exploit yang digunakan oleh

kali linux. Tools tersebut berfungsi untuk

peneliti menyarang service ftp, ssh, dan

melakukan serangan brute force untuk

web server.

mencari user name dan password yang

4. HASIL DAN PEMBAHASAN

digunakan untuk login pada service

Dari tahapan - tahapan yang telah

Server 1.

dilakukan oleh peneliti dalam rangka uji

3.4.4 Pengujian Menggunakn Sqlmap

coba yang meliputi installasi, konfigurasi,

Sqlmap adalah tool yang bekerja

dan pengujian aplikasi telah mendapatkan

menyerang sebuah layanan web server

beberapa hasil yang sesuai dengan yang

dengan

diharapkan oleh peneliti.

cara

menginjeksi

melalui

kelemahan URL pada sebuah Server.

4.1 Hasil Pengujian

Peneliti hanya melakaukan pengujian

Dari ke 5 pengujian yang dilakukan

sebanyak 1 kali dengan menggunakan

oleh peneliti dengan menggunakan hydra,

tool ini.

cmd, sqlmap, nmap dan metasploit konsol

3.4.5

Pengujian

Menggunakan

Metasploit Konsol

menghasilkan

data

yang

didalamnya

adalah informsai mengenai IP Header dan

Peneliti menggunakan salah satu tool

TCP Header dari sebuah sesi TCP.

yang cukup terkenal yaitu Metasploit.

Berikut ini adalah contoh data yang telah

Terdapat banyak source exploit yang

dibuat menjadi diagram :

dapat dijalankan pada tool ini. Penguji menggunakan 4 exploit yang berbeda

Analisis kebutuhan fungsional

Src.Port 60000

menjelaskan

50000 Nilai

40000 FTP SSH

30000 20000

tentang

pemaparan

proses - proses terjadinya pengolahan

10000 0 1

2

3

4

5

6

7

8

9

pada sistem dan fitur - fitur apa saja

10

Data

Gambar 4.1 Pengujian Hydra Src,Port TCP Header

yang disediakan oleh sebuah sistem, serta menganalisis data apa saja yang

Dst.Port

dibutuhkan untuk pengujian pada

60000 50000 Nilai

40000 FTP SSH

30000 20000

sistem aplikasi yang diimplementasi. Sistem aplikasi yang tengah diuji ini

10000 0 1

2

3

4

5

6

7

8

9

10

memiliki

Data

Gambar 4.2 Pengujian Hydra Dst.Port TCP Header Diagram tersebut menunjukan field -

kebutuhan

fungsional

sebagai berikut : 1) Aplikasi Suricata yang

field yang ada pada TCP Header yang

terdapat pada Server 1

berhasil ditanggap keberadaannya oleh

mampu

aplikasi Suricata dan dilaporakan ke

sebuah

aktifitas

pada

aplikasi Snorby.

server

dengan

cara

4.2 Pembahasan

melakukan pemindaian

4.2.1 Analisis Kebutuhan Sistem

pada setiap fragment -

Pada

bagian

analisis

kebutuhan

sistem ini akan dibagi menjadi 2 bagian utama,

yaitu

fungsional

dan

analisis analisis

fragment data, 2) Aplikasi Suricata dapat

kebutuhan

menganalisis bagian -

kebutuhan

bagian yang ada pada

non-fungsional. a.

mendeteksi

Analisis Kebutuhan Fungsional

fragment data seperti IP Header, TCP Header,

dan ICMP Header.

yaitu :

3) Aplikasi Barnyard2 ini

Perangkat Keras

antar

Merupakan

server

event,

dan

analisis

pengiriman

untuk mengetahui kebutuhan

header

perangkat keras yang akan

ip

information, tcp header

digunakan

information, dan icmp

menjalankan

header

Perangkat

information

untuk aplikasi. keras

harus

kepada aplikasi Snorby

memiliki

yang

minimum agar aplikasi dapat

terkonfigurasi

pada Server 2,

ada

pada

memiliki

Server

2

memiliki

Perangkat keras yang digunakan

dengan

memudahkan user.

kebutuhan

Kebutuhan

Non

-

Fungsional

memiliki

processor minimal pentium 3

tampilan GUI sehingga

Analisis

spesifikasi

berjalan dengan baik.

4) Aplikasi Snorby yang

Analisis

Kebutuhan

mampu menghubungkan

melakukan

b.

1) Analisis

kebutuhan media

penyimpanan 20 Giga bytes serta dedicated RAM sebesar

Kebutuhan

non

-

fungsional merupakan bagian yang akan membantu selesainya sebuah penelitian. Pada analisis ini akan dibedakan menjadi 2 bagian penting

256 Mega bytes. 2) Analisis

Kebutuhan

Perangkat Lunak Perangkat lunak adalah program yang

digunakan

untuk

menjalankan

dan

terjadi pada sesi TCP. Semua aktifitas

memberikan perintah pada perangkat

yang terjadi pada sesi TCP dipindai dan

keras

adanya

dikelompokkan oleh suricata sebagai

perangkat lunak perangkat keras yang ada

gangguan. Hal ini terjadi karena suricata

pada sebuah komputer dapat berjalan

berhasil membuktikan bahwa dia dapat

sesuai dengan yang diinginkan. Agar

mengindikasi serangan dengan melihat

aplikasi dapat berjalan maka diperlukan

besarnya field - field dalam sesi TCP.

perangkat lunak minimal perangkat lunak

4.2.4 Analisis Pengujian Tool Hydra

komputer.

Dengan

yang ada adalah mysql dan apache2. 4.2.2

Analisis

Pengujian

Tanda yang diidentifikasi sebagai

Request

Packet Data Pada Server 1 Suricata

dapat

serangan pada uji coba menggunakan Tool Hydra adalah besar payload pada

melakukan

setiap data yang dimasukkan pada sesi

pemindaian pada segmen - segmen ICMP

TCP.

yang terjadi pada server 1. Aktifitas

4.2.5 Analisis Pengujian Menggunakan

tersebut

Tool Sqlmap

kemudian

disaring

dan

ditentukan oleh rule yang terkonfigurasi

Tanda yang diidentifikasi sebagai

pada Server 1. Pada field Total Length IP

serangan pada uji coba menggunakan

Header ditemukan perbedaan nilai yaitu,

Tool Sqlmap adalah pada payload yang

29, 128, 1028, ini dikarenakan perbedaan

dikirim pada sesi TCP. Payload yang

permintaan paket yang dikirim oleh host

dikirim pada sesi TCP ini mengandung

ke client.

permintaan konten sebuah URL yang

4.2.3

Analisis

Pengujian

Scanning

Menggunakan Nmap Pada Server 1 Suricata menangkap setiap transmisi yang

dianggap oleh rule sebagai serangan pada Server 1.

yang 4.2.6 Analisis Pengujian Menggunakan Metasploit Konsol

3.

Konsol

suricata

Serangan diidentifikasi dengan melihat besarnya field - field

berhasil

pada TCP Header seperti field

menangkap sesi pengiriman data. Suricata mengindikasi serangan dari source exploit

untuk

mengidentifikasi,

Percobaan pengujian menggunakan Metasploit

mendukung

flags dan window, 4.

Serangan juga diidentifikasi pada

dan payload yang dikirim oleh metasploit

payload yang dikirim melalui

konsol

pengujian

sesi TCP seperti percobaan login

menggunakan Tool Sqlmap dan Tool

pada service FTP yang gagal

Hydra.

secara terus menerus.

seperti

pada

5. PENUTUP

5.

Aplikasi Snorby yang terinstall

5. 1 Kesimpulan Dari

hasil

pada Server 2 dapat memberikan data

pengujian

dan

laporan

pembahasan dapat ditarik kesimpulan bahwa : 1.

2.

yang

sesuai

dengan

keadaan Server 1, 5.2 Saran

Aplikasi Suricata yang bekerja

Dari

hasil

penulisan

skripsi

ini

pada Server 1 mengidentifikasi

pastinya memiliki beberapa kekurangan

serangan dengan membaca setiap

yang kemungkinan dapat disempurnakan

datagram yang dikirim pada sesi

pada penelitian lain. Berikut saran yang

TCP,

dapat digunakan sebagai evaluasi :

Datagram tersebut tidak dapat ditentukan

sebagai

tindakan

serangan tanpa adanya rules

1.

Melakukan

pengujian

melibatkan

serangan

DDOS

ataupun

yang seperti

memasukkan

virus, Mencoba menggunakan fungsi IPS yang terdapat

pada

aplikasi

suricata

dan

melakukan beberapa pengaturan pada rules untuk mencegah serangan.

DAFTAR PUSTAKA Kusmayadi, Ismail. 2008. “Think Smart Bahasa Indonesia”. Bandung : Grafindo Media Pratama. Javvin, 2005. Network Protocols Handbook 2nd Edition. USA : Saratoga. Snyder, Garth dkk. 2007. Linux Administration Handbook 2nd Edition. USA : Pearson Education, Inc. Wikipedia. (2014). Putty. diakses dari : http://en.wikipedia.org/wiki/PuTTY (Tanggal 18 September 2014) Fry, Chris dkk. 2009. Network Security Monitoring. USA : O’Reilly Media, Inc. OISF,

2015.

“Suricata

Documentation”.

Diakses

dari

:

https://redmine.openinfosecfoundation.org/projects/suricata/wiki (Tanggal 4 Juni 2015) Wikipedia.

(2014).

Payload

(Computing).

diakses

dari

:

https://en.wikipedia.org/wiki/Payload_(computing) (Tanggal 21 Juli 2015) Wikipedia.

(2014).

“Protokol

Internet”.

diiakses

dari

:

https://id.wikipedia.org/wiki/Protokol_Internet (Tanggal 21 Juli 2015) Wikipedia.

(2014).

Transmission

Control

Protocol.

diakses

dari

:

https://id.wikipedia.org/wiki/Transmission_Control_Protocol (Tanggal 21 Juli 2015)