ANALISIS DAN PERACANGAN SISTEM MONITORING JARINGAN DENGAN MEMANFAATKAN OSSIM ALIENVAULT PADA PT.METALOGIX INFOLINK PERSADA

ANALISIS DAN PERACANGAN SISTEM MONITORING JARINGAN DENGAN MEMANFAATKAN OSSIM ALIENVAULT PADA PT.METALOGIX INFOLINK PERSADA

Nama Penulis: Vendy Djunaidi Rifqy Supriomanto Wijaya Nama Dosen Pembimbing: Ir. Rusdianto Roestam, M.Sc, Ph.D. PT. Metalogix Infolink Persada Multivision Tower Lt.7 Jl. Kuningan Mulia Lot 9B, Jakarta 12980, Telp:021-2938-0123, [email protected]

ABSTRAK

Tujuan skripsi ini adalah Menganalisis dan Merancang Network Monitoring dengan menggunakan OSSIM (open source security information management) AlienVault Pada PT.Metalogix Infolink Persada. Metode penelitian yang digunakan adalah metode Top Down Approach dimana Top-Down Approach menggambarkan bagaimana kebutuhan antar layer dimana solusi-solusi yang menjawab kebutuhan layer dibawah dijawab oleh layer yang diatasnya. Jika relasi antar layer tersebut tersusun dengan baik dan benar, maka layer yang paling bawah akan dapat memenuhi kebutuhan awal yang terdapat di layer paling atas. OSSIM (open source security information management) berfungsi menyediakan informasi yang terkait dengan keamanan jaringan secara terpusat dan juga berfungsi untuk mengumpulkan log-log dan alert yang dihasilkan oleh peralatan keamanan dan dapat langsung mengirimkan notifikasi alert melalui e-mail dan bekerja secara real time selama 24/7, sehingga seorang admin dapat dengan

mudah dan mengetahui lebih cepat kondisi jaringan dalam 24 jam mengenai apa saja yang terjadi pada server melalui notifikasi e-mail.

Kata Kunci :OSSIM,Network, Monitoring,Notifikasi,e-mail

PENDAHULUAN

Dewasa ini server menjadi kebutuhan primer bagi hampir semua perusahaan maupun para pengguna pada umumnya. Akan tetapi server yang merupakan sebuah mesin yang terhubung ke jaringan tidaklah selalu berjalan dengan baik tanpa terjadinya gangguan, baik gangguan terhadap hardware maupun software. Dalam sebuah proses bisnis gangguan sekecil apapun terhadap server akan mempengaruhi kinerja secara keseluruhan. Tidak terkecuali PT .Metalogix Infolink Persada, keefektifan kinerja kerja pada PT .Metalogix Infolink Persada menjadi terganggu, oleh karena itu organisasi atau perusahaan memerlukan sistem monitoring jaringan yang dapat memantau jaringan dan data dalam 24 jam, agar data dapat terjamin dengan aman. Sistem monitoring antar jaringan adalah salah satu dari sekian banyak sistem yang ada di setiap perusahaan-perusahaan di dunia. Sistem monitoring bisa dibilang bagian yang cukup vital di banyak perusahaan, begitu juga di PT.Metalogix Infolink Persada. Banyak aktifitas yang terjadi antar jaringan yang dilakukan di banyak perusahaan. Aktifitas yang mungkin terjadi antara jaringan yakni cybercrime, seperti pencurian data maupun password account dari sebuah server di perusahaan . Namun hal ini dianggap menjadi hal yang tidak diperhatikan bagi banyak perusahaan. Monitoring sistem jaringan sangat dibutuhkan di setiap perusahaan, karena dengan sistem monitoring melingkupi juga segi keamanan dan kualitas jaringan. Khusus dalam hal memonitor server tentunya seorang administrator tidak dapat bekerja 24 jam di depan komputernya sehingga selalu mengetahui apabila terjadi gangguan pada server. Oleh karena itu diperlukan sebuah fasilitas pendukung yaitu sistem monitoring agar administrator dapat memonitor server meskipun tidak berada di depan komputer secara langsung,sehingga perusahaan ini membutuhkan suatu sistem monitoring yang dapat memantau server mereka selama 24 jam dan mendapat notifikasi langsung kepada adminnya. Dengan menggunakan OSSIM sebagai sistem monitoring , OSSIM (open source security information management) berfungsi menyediakan informasi yang terkait dengan keamanan jaringan secara terpusat dan juga berfungsi untuk mengumpulkan log-log dan alert yang dihasilkan oleh peralatan keamanan dan dapat langsung mengirimkan notifikasi alert melalui e-mail dan bekerja secara real time selama 24/7, sehingga seorang admin dapat dengan mudah dan mengetahui lebih cepat kondisi jaringan dalam 24 jam yang terjadi pada server.

Dengan permasalahan yang sedang di alami oleh PT. Metalogix infolink Persada, maka penulis mengangkat topik “Analisis dan Perancangan Sistem Monitoring Jaringan Dengan Memanfaatkan OSSIM AlienVault pada PT. Metalogix infolink Persada “.

Kasus permasalahan yang ada pada perusahaan adalah: 1.

Kesulitan administrator dalam melakukan pemantauan jaringan secara keseluruhan selama 24 jam.

2.

Tidak tersedianya alert notifikasi dari sistem jaringan secara real time untuk dilaporkan kepada administrator apabila terjadi permasalahan krusial pada sistem jaringan.

Sistem security monitoring merupakan bagian yang penting dalam sebuah perusahaan, terutama pada PT. Metalgoix Infolink Persada. Pada penulisan skripsi ini dibatasi oleh hal-hal berikut: •

Skripsi ini membahas permasalahan dan solusi terhadap monitoring jaringan PT.Metalogix Infloink Persada di Jakarta.

•

Sistem monitoring yang diimplementasikan hanya bertugas untuk mengawasi status dari jaringan server PT.Metalogix Infolink Persada

yang ditampilkan

sebagai alert dan dikirim dalam bentuk notifikasi ke e-mail •

Langkah-langkah yang akan diambil dalam menindaklanjuti status dari notifikasi tidak ditangani.

•

Monitoring Jaringan hanya dilakukan pada daerah DMZ

Adapun tujuan dari penelitian skripsi ini adalah: 1. Merancang network monitoring pada server baru. 2. Menggunakan software OSSIM AlienVault pada server yang dirancang. 3. Dapat notifikasi menggunakan email pada network monitoring.

Adapun Manfaat dari penelitian skripsi ini adalah : 1. Membantu network administrator dalam memonitoring jaringan dengan melihat status dari host yang dimonitoring. 2. Membantu network administrator dalam mengambil keputusan terhadap informasi notifikasi yang didapat dari software OSSIM AlienVault

METODOLOGI PENELITIAN

Metode yang akan dipakai tim penulis dalam proses pengumpulan data adalah Top-down approach,Top-down approach cocok untuk analisis dan desain jaringan yang dilakukan dengan memastikan bahwa desain jaringan yang diimplementasikan memenuhi kebutuhan bisnis dan tujuan bisnis.

Top-Down Approach merupakan metodelogi yang tepat karena mencakup keseluruhan proses dalam menganalisis, merancang

ataupun mengembangkan sistem jaringan.Secara umum, Top-Down

Approach menggambarkan bagaimana kebutuhan antar layer dimana solusi-solusi yang menjawab kebutuhan layer dibawah dijawab oleh layer yang diatasnya.Jika relasi antar layer tersebut tersusun dengan baik dan benar,maka layer yang paling bawah akan dapat memenuhi kebutuhan awal yang terdapat di layer paling atas .Berikut adalah proses yang dikerjakan masing-masing layer pada Top-Down Aprroach: 1.Bussines Layer: Pada tahap ini dilakukan indentifikasi mengenai proses bisnis dan fungsi utama bisnis pada perusahaan. 2.Application Layer :Pada tahap ini dilakukan indentifikasi mengenai aplikasi yang diperlukan untuk menjalankan proses bisnis yang ingin dilakukan dan identifikasi informasi apa saja yang dibutuhkan. 3.Data Layer : Pada tahap ini, dari aplikasi yang dipakai akan diidentifikasikan data yang diperlukan oleh aplikasi yang dipakai, alur data,distribusi data, serta pengumpulan data

yang berhubungan dengan

kebutuhan informasi.

4.Netwok Layer : Pada tahap ini dilakukan analisis dan desain jaringan , serta perencanaan implementasi jaringan ,manajemen jairngan dan monitoring hasil. 5.Technology Layer : Pada tahap ini dilakukan analisis teknologi apa saja yang dignakan (hardware dan software), serta desain dan implementasi physical network .

HASIL DAN PEMBAHASAN

OSSIM yang telah diinstall memiliki banyak fitur-fitur dalam melakukan monitoring terhadap jaringan. Namun keseluruhan fitur tersebut tidak kami jabarkan sepenuhnya dan hanya fokus kepada beberapa prosedur yaitu monitoring SIEM melalui modul OSSEC pengiriman notifikasi dan pengiriman notifikasi lewat email. Percobaan dengan mematikan proxy server pada PT.Metalogix infolink persada sehingga dapat dilihat apakah terdeteksi secara langsung oleh HIDS OSSEC yang telah terinstall dan melaporkan ke OSSIM dan notifikasinya dapat di akses pada menu analysis=> Security Event (SIEM) dan dapat melihat notifikasi yang tentang status apa yang terjadi pada agent OSSEC, dan dapat di lihat bahwa server unavailable.OSSEC dapat mengidentifikasi error yang terjadi dikarenakan OSSEC memiliki rules – rules yang mengatur itu semua dan ditampilkan pada OSSIM yang memiliki modul OSSEC.

Status server unavailable

Karena Resiko tersebut hanya 0 maka alarm tidak terpicu dan notifikasi e-mail tidak dilakukan karena action tidak terpicu untuk menjalankan perintah . Alarm adalah suatu peristiwa yang memiliki Resiko lebih tinggi dari 1. Alarm adalah jenis khusus dari event karena mungkin lebih dari satu kelompok peristiwa ketika event memicu alarm berdasarkan correlation directives. Perhitungan Nilai Resiko : RISK = (Asset Value*Priority*Reliability)/25 Asset Value =2 Priority = 1 Reliability = 1 Risk = (2*1*1)/25 Risk = 0

Pada pengujian selanjutnya yang dilakukan adalah melakukan testing serangan Bruteforce pada mail server zimbra yang terdapat di PT.Metalogix Infolink Persada untuk menguji bagaimana fungsionalitas notifikasi dan pengiriman notifikasi ke e-mail.Pengujian di lakukan pada tanggal 09-01-2014 di PT.Metalogix Infloink Persada . OSSEC dapat mengidentifikasi error yang terjadi dikarenakan OSSEC memiliki rules – rules yang mengatur itu semua dan ditampilkan pada OSSIM yang memiliki modul OSSEC. Dari data tersebut membuktikan bahwa OSSIM mendeteksi adanya skenario serangan yang dibuat oleh penulis dan OSSIM dapat menampilkan laporan kejadian serangan secara real time. Selain itu melalui skenario serangan yang dilakukan penulis, OSSIM juga mendeteksi adanya alarm yang berarti resiko yang ada apada event lebih besar atau sama dengan 1. Perhitungan Nilai Resiko : RISK = (Asset Value*Priority*Reliability)/25 Nilai Asset = 2 Nilai Priority = 5 Nilai Reliability =3 Risk = (2*5*3)/25

Risk =1 Pada saat terjadi serangan maka saat terdeteksi oleh sensor yang ada maka akan di cek apakah sesuai dengan policy yang diatur dan action apa yang akan di berjalan, pada saat itu semua notifikasi alarm akan muncul dan dapat di lihat pada bagian incidents => alarm

Alarm Panel Alarm menunjukkan semua alarm yang dihasilkan di OSSIM. Setiap pengguna hanya akan melihat alarm milik host .

kolum

isi

Alarm

Nama Alarm : Nama alarm sesuai dengan nama peristiwa yang menghasilkan alarm.

Risk

Nilai resiko mulai dari 0 sampai dengan 10.

Sensor

Sensor yang menggumpulkan peristiwa yang menghasilkan alarm.

First Event

Waktu peristiwa pertama yang diterima sensor alarm.

Last Event

Waktu peristiwa terkahir yang diterima sensor alarm.

Source

Sumber IP address yang menghasilkan alarm .

Destination

Tujuan IP address yang menghasilkan alarm.

Status

Status dari alarm closed or Open. Penjelasan isi alarm

Dari status alarm yang terjadi bisa dengan manual membuat ticket. Tiket baru dapat dibuka dari konsol Alarm (Insiden → Alarm), dari Metrik Risiko panel (Dashboard → Risiko (Risk Metrik)) dan dari panel anomali (Analysis → SIEM (Anomali)). Informasi yang secara otomatis akan ditambahkan ke tiket baru ketika diakses dari panel ini. Sistem ticketing ini memungkinkan pengguna di AlienVault untuk bekerja pada masalah yang terdeteksi dengan menggunakan OSSIM. Tiket dapat dibuka secara manual setiap saat, tetapi juga, beberapa komponen di AlienVault dapat membuka tiket otomatis Tic ket

Isi Ticket

Notifikasi yang dikirim kan ke e-mail, notifikasi dapat terikirim ke e-mail karena pada konfigurasi action saat ada event yang memicu alarm dan terdeteksi berdasarkan policy dan Correlation Directive maka pada bagian action akan mengklasifikasikan bagian mana dan action apa yang akan diambil sesaui dengan yang di konfigurasi yaitu notifikasi pengiriman e-mail.

Gambar Notifikasi e-mail

Isi notifikasi E-mail

Waktu dan tanggal pada e-mail menunjukkan waktu dan tanggal saat OSSIM mengitimkan notifikasi, yaitu saat terjadinya serangan pada server.Apabila terjadi delay pengiriman akibat gangguan SMTP dari ISP, tidak berpengaruh terhadap waktu dan tanggal pengiriman notifikasi oleh OSSIM. Waktu dan Tanggal sesuai dengan saat pengiriman meskipun diterima pada waktu yang berbeda. Pada email notifikasi terdapat informasi mengenai kejadian apa yang terjadi pada host. E-mail dapat dibuka pada telepon genggam atau laptop yang dapat diterima kapan saja dimana saja oleh network administrator tanpa harus selalu berada di depan komputer.

SIMPULAN DAN SARAN

Berdasarkan pembahasan pada bab-bab sebelumnya maka dapat disimpulkan bahwa :

1.

Dengan adanya OSSIM mempermudah network administrator melakukan monitoring jaringan pada banyak host dan perangkat jaringan dalam satu interface yaitu pada menu SIEM menggunakan modul OSSEC.

2.

Dengan adanya notifikasi pada sistem monitoring dengan menggunakan email membuat network administrator dapat mengetahui kejadian krusial apa yang terjadi pada host. krusial dalam arti resiko lebih dari atau sama dengan 1 berdasarkan perhitungan nilai resiko menggunakan nilai asset,nilai priority dan nilai reliability yang ditetapkan .

Setelah melakukan analisis dan perancangan sistem network monitoring, ada beberapa saran yang dapat digunakan sebagai acuan untuk mengembangkan sistem ini, antara lain :

1.

Membuat server backup untuk server monitoring sehingga ketika server monitoring utama mengalami kerusakan maka tugas monitoring dapat digantikan dengan server backup.

2.

Melakukan pengembangan pada sistem network monitoring dengan menambahkan fitur – fitur berupa notifikasi melalui SMS.

REFERENSI

Amperiyanto, Tri. (2003). Bermain-main Dengan Internet. 1st Edition. Jakarta: Elex Media Komputindo. Clemm, A . (2007). Network Management Fundamentals. Cisco Press.Indiana Polish : USA. Forouzan, B. A. (2007). Data Communications and Networking. New York: McGraw- Hill. Goldman, J.E., & Rawles, P. T., (2004). Applied data communications: A business Oriented Approach (4th ed) https://www.alienvault.com/wiki//doku.php?id=user_manual:introduction (Diakses pada tanggal 20 desember 2013) ISO 17799: Standar Sistem Manajemen Keamanan Informasi Penulis: Melwin Syafrizal, S.Kom Kaushik, A.(2010). (IJCSE) International Journal on Computer Science and Engineering .Use Of Open Source Technologies For Enterprise Server Monitoring Using SNMP. International Journal, Vol. 02, No. 07, 2246-2252 Milne, Kelvin. 2 September 2004. Open Source Security Information Manager. User manual. Norton, P., & Kearns, D. (1999). Peter Norton's Complete Guide to Networking.California: Sams Publishing. Sofana, I. (2012). CISCO CCNA & Jaringan Komputer Edisi Revisi, Bandung :Informatika Tanembaum, A. S., & Wetherall, D. J. (2011). Computer Networks. Boston: Pearson Education, Inc. Team AlientVault.26 November 2003.OSSIM General description.(Version: 0.18). Team Alienvault. 2010 .OSSIM Installation Guide (Version : 1,40) Wagito. (2007). Teori dan Implementasi Berbasis Linux. 1st Edition. Yogyakarta:GAVA MEDIA. Wirija, Sudantha. (2005). Microsoft Windows Server 2003. 1st Edition. Jakarta: Elex Media Komputindo.

RIWAYAT PENULIS

Nama Penulis 1

: Vendy Djunaidi

Tempat & Tanggal Lahir : Pontianak, 31 Agustus 1992 Penulis menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika pada 2014. Nama Penulis 2

: Rifqy

Tempat & Tanggal Lahir : Pontianak, 25 Juni 1992

Penulis menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika pada 2014. Nama Penulis 3

: Supriomanto Wijaya

Tempat & Tanggal Lahir : Pontianak, 11 Juni1991 Penulis menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika pada 2014.