Analisis Kinerja Wireless Intrusion Detection System (WIDS) terhadap Serangan Man in the Middle (MitM) di Jaringan WLAN
Artikel Ilmiah Diajukan kepada Fakultas Teknologi Informasi untuk Memperoleh Gelar Sarjana Komputer
Peneliti: Glory Hibaltyd Yeieldin Pattiasina (672011245) Indrastanti Ratna Widiasari, M.T.
Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Salatiga September 2016
i
ii
iii
iv
Analisis Kinerja Wireless Intrusion Detection System (WIDS) terhadap Serangan Man in the Middle (MitM) di Jaringan WLAN 1)
Glory Hibaltyd Yeieldin Pattiasina, 2) Indrastanti Ratna Widiasari
Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Jl. Diponegoro 52-60, Salatiga 50711, Indonesia Email: 1)
[email protected], 2)
[email protected] Abstract Man in the middle attack (MitM) is an attack aims to obtain important data of victims, such as username and password, MitM is the type of attack that occurs when someone hacked communication between people or systems. therefore needed a system that can detect MitM or anomalies in the Wireless Local Area network (WLAN). Analysis of Man in the middle attacks using Wireless Intrusion Detection System (WIDS) conducted to determine the performance of WIDS to detect MitM attack. Based on the results achieved, WIDS can detect a MitM attack well, but the performance of the detection of the attack depends on the signal distance between the WIDS and attacker. Keywords : Wireless Intrusion Detection System, Man in the middle, Wireless Local Area Network.
Abstrak Serangan Man in the middle (MitM) merupakan serangan yang bertujuan mengambil data-data penting dari korban, seperti username dan password, MitM adalah jenis serangan yang terjadi ketika seseorang menyusup diantara komunikasi orang atau sistem. Untuk itu diperlukan sebuah sistem yang dapat mendeteksi serangan MitM atau anomali yang terjadi di dalam jaringan Wireless Local Area Network (WLAN). Analisis serangan MitM dengan menggunakan Wireless Intrusion Detection System (WIDS) dilakukan untuk mengetahui kinerja WIDS dalam mendeteksi serangan MitM. Berdasarkan hasil yang dicapai, sistem WIDS dapat mendeteksi adanya serangan MitM dengan baik, akan tetapi performa pendeteksian serangan tergantung pada jarak sinyal antara WIDS dan penyerang. Kata kunci : Wireless Intrusion Detection System, Man in the middle, Wireless Local Area Network.
1)
2)
Mahasiswa Fakultas Teknologi Informasi Program Studi Teknik Informatika, Universitas Kristen Satya Wacana Salatiga. Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga.
1
1.
Pendahuluan
Perkembangan jaringan wireless yang begitu pesat membuatnya rentan terhadap serangan di dalam jaringan Wireless Local Area Network (WLAN), salah satu ancamannya adalah adanya serangan Man in the Middle (MitM). Konsep dasar dari serangan ini adalah penyerang berada diantara dua komputer yang sedang berkomunikasi. Salah satu cara penyerang menjebak korban adalah dengan menggunakan access point palsu (Fake access point), dengan menggunakan tipe serangan Evil twin, yaitu penyerang mengkloning SSID ataupun MAC address dari access point yang asli (legitimate). Korban dari serangan ini biasanya dapat dengan mudah tertipu dengan adanya access point palsu tersebut. Dari faktor diatas, maka diperlukan sebuah sistem yang dapat memantau dan mendeteksi adanya intrusi pada suatu jaringan wireless, yaitu dengan membangun wireless intrusion detection system (WIDS) untuk melakukan pemantauan pada jaringan.Tujuan utama dari WIDS adalah memberikan alert, yang dapat memberikan peringatan apabila terdapat anomali di dalam jaringan. Pada penelitian ini dilakukan untuk menguji dan menganalisis kinerja Wireless intrusion detection system terhadap serangan Man in the middle, dalam melakukan analisa kinerja WIDS dilakukan dengan menggunakan dua skenario pendekatan yaitu wired dan wireless, yang di dalamnya dilakukan analisa functionality test yang bertujuan untuk menganalisa kehandalan akurasi WIDS dalam mendeteksi serangan yang terjadi. Pada analisa functionality test WIDS dilakukan dengan menggunakan beberapa parameter pengujian yang berbeda dalam melakukan analisa. Diharapkan dalam penelitian ini WIDS yang dibangun dapat mendeteksi adanya anomali yang terjadi di dalam jaringan serta dengan melakukan analisis kinerja WIDS dapat diketahui performa WIDS dalam mendeteksi adanya anomali di dalam jaringan WLAN. 2.
Kajian Pustaka
Pada penelitian sebelumnya dilakukan sebuah penelitian tentang pecegahan serangan man in the middle attack di jaringan wireless berdasarkan rogue access point, dengan menggunakan metode two-way dynamic authentication technology (TDAT) dengan menggunakan metode ini serangan MitM di dalam jaringan yang dapat menjebak pengguna dapat diminimalisir dikarenakan metode ini menggunakan autentikasi dinamis dua arah yaitu antara pengguna dan sistem[1]. Penelitian lainnya membahas tentang perbandingan kinerja Intrusion Detection System (IDS) Snort-Wireless dan Genetic Programming (GP) berdasarkan detektor intrusi dari data link layer dalam mendeteksi serangan dalam jaringan menggunakan serangan deauthentication, namun dalam penelitian tersebut hanya menggunakan satu jenis skenario penyerangan dalam membandingkan kemampuan IDS dan GP [2]. Maka dalam penelitian ini dilakukan analisis kinerja WIDS terhadap serangan man in the middle (MitM) di dalam jaringan WLAN dengan menggunakan variasi-variasi skenario dalam mengetahui kinerja WIDS dalam mendeteksi serangan atau anomali di dalam jaringan. Wireless Intrusion Detection System adalah sebuah sistem yang melakukan monitoring kejadian-kejadian yang berlangsung di dalam jaringan dan melakukan analisis untuk mendeteksi adanya intrusi atau anomali, ketika WIDS mendeteksi adanya intrusi atau anomali di dalam jaringan maka WIDS akan memberikan alert atau peringatan [3], akan tetapi alert yang 2
dihasilkan oleh WIDS ataupun IDS bisa menghasilkan alert palsu/false alarm dikarenakan WIDS juga mempunyai kelemahan dalam aspek false alarm yang dihasilkan oleh WIDS, false alarm dibagi menjadi dua yaitu false positive dan false negative. False positive adalah peringantan yang dihasilkan oleh WIDS dikarenakan adanya serangan yang terdeteksi dalam jaringan, tetapi serangan tersebut bukanlah sebuah serangan melainkan paket normal yang melintas dalam jaringan namun dianggap sebagai serangan oleh WIDS. False negative adalah ketika suatu serangan terjadi dalam jaringan namun WIDS tidak menghasilkan peringatan apapun atas serangan yang terjadi. WIDS tidak mendeteksi serangan tersebut karena tidak dikenali oleh WIDS. Dalam mendeteksi serangan atau anomali dalam jaringan, WIDS memiliki tiga pendekatan yaitu : 1). Signature Based Detection : mengamati aktivitas yang memiliki pola-pola serangan yang telah diketahui dan sering terjadi di dalam jaringan; 2). Anomaly/Statistical Detection : mengamati aktivitas lalu lintas yang sedang dipantau dengan lalu lintas trafik normal yang biasa terjadi, keunggulan metode ini dibandingkan metode signature yakni metode ini dapat mendeteksi bentuk serangan baru dan yang belum terdapat pada database metode signature, kekurangan dari pendekatan ini adalah banyaknya peringatan false positive yang dikirimkan oleh pengguna ketika suatu access point banyak menerima authentication dari pengguna dan kinerja sistem bekerja dengan cepat, maka sistem akan melaporkannya sebagai serangan [4] ;3). Integrity verification : metode ini bekerja dengan membuat checksum untuk setiap berkas yang ada dalam sebuah sistem, dan dengan teratur melakukan perbandingan dengan checksum dengan berkas yang asli untuk memastikan tidak adanya perubahan yang terjadi, jika sebuah berkas berubah dengan tidak adanya otentikasi maka akan muncul alert atau peringatan dari IDS [5]. Secara umum Intrusion Detection System diklasifikasikan dalam dua kategori, yaitu Host Based Intrusion Detection (HIDS) dan Network Based Intrusion Detection (NIDS). Host Based IDS terletak dalam suatu mesin dan memonitor mesin tertentu dalam masalah intrusi dan melakukan evaluasi informasi yang ditemukan dari satu host atau beberapa host, HIDS juga bisa digunakan untuk memverifikasi sebuah integritas file, sehingga apabila ada file yang telah berubah akan diketahui. HIDS juga mempunyai kemampuan dalam memonitoring komponen khusus dalam sebuah host, yang tidak aman apabila dimonitoring oleh NIDS, kekurangan dari HIDS adalah HIDS tidak dapat memonitoring dan mendeteksi serangan yang terjadi di dalam host yang tidak terinstall dalam HIDS [6]. Network Based IDS bertugas memonitor informasi trafik pada jaringan yang dilalui atau yang dilewati host tertentu kemudian melakukan analisis aliran paket yang melewati suatu jaringan, apabila terdapat anomali ataupun serangan man in the middle pada jaringan maka NIDS akan memberikan peringatan [7]. NIDS juga dapat ditempatkan dilokasi yang strategis dalam jaringan, seperti penempatan sensor NIDS yang berupa switch, router, atau host. Serangan Man in the Middle (MitM) adalah serangan pihak ketiga yang berada ditengah dua pihak yang sedang saling berkomunikasi, sehingga secara teknis penyerang dapat melihat, megubah ataupun mengontrol pengiriman data yang dikirim [8].
3
Gambar 1. Alur Serangan Man in the Middle
Penyerang yang melakukan serangan MitM secara fisik tidak harus berada diantara dua komputer korban yang sedang berkomunikasi seperti pada Gambar 1, tetapi rute perjalanan antara komputer yang saling berkomunikasi yang akan selalu menjadi mesin penyerang, ada beberapa tipe serangan MitM yaitu Sidejacking, Evil Twin, dan Sniffing. 3.
Metode Penelitian
Metode penelitian yang digunakan dalam penelitian ini adalah metode PPDIOO (Prepare, Plan, Design, Implement, Operate, Optimize) metode ini merupakan rekomendasi dari CISCO untuk merancang suatu jaringan [9]. Metode ini terdiri dari enam tahap. Tahap-tahap dari metode PPDIOO dijelaskan sebagai berikut.
Gambar 2. Metode PPDIOO
4
Pada tahap prepare dan plan merupakan tahap dimana rencana kerja dalam penelitian disusun agar penelitian dapat berjalan dengan teratur dan baik, dimulai dari persiapan kebutuhan jaringan, agar dapat melakukan analisis untuk proses penyerangan di dalam jaringan wireless dengan menggunakan WIDS, dan untuk mendukung sistem WIDS agar berjalan dengan baik maka dibutuhkan perangkat keras yang terdiri atas satu unit komputer, dua unit laptop, switch, dua unit access point serta satu unit usb wireless. Adapun kebutuhan untuk perangkat lunak yang digunakan dalam penelitian ini yaitu sistem operasi kali linux yang di-install pada tiap laptop dan komputer, WIDS berbasis phyton pada komputer dan satu unit laptop yang bertindak sebagai penyerang, Aircrack yang digunakan oleh penyerang untuk melakukan penyerangan dalam jaringan, serta wireshark yang digunakan untuk melakukan proses capture data dan analisis dalam jaringan. Tahap Design merupakan tahap dimana dibuat suatu topologi jaringan wireless untuk melakukan analisis terhadap serangan di dalam jaringan, serta melakukan konfigurasi yang dilakukan pada masing-masing perangkat yang digunakan. Perancangan analisa kinerja dari WIDS akan dilakukan dengan menggunakan functionality test dan response time. Pada functionality test digunakan untuk menguji dan menganalisis kinerja WIDS dalam mendeteksi serangan yang terjadi [10], dan untuk mengukur functionality test WIDS maka digunakan dua pendekatan yaitu pendekatan wireless dan pendekatan wired [11], kemudian dirancang skenario topologi untuk perancangan pengukuran functionality test WIDS dengan menggunakan dua skenario pendekatan wireless dan wired.
Gambar 3. Topologi Skenario pertama dengan Pendekatan Wired
Pada Gambar 3 merupakan topologi skenario pertama jaringan wireless yang dibangun dalam penelitian ini, dimana penyerang terkoneksi secara langsung dengan access point legal melalui jaringan kabel sehingga sehingga penyerang mendapatkan koneksi internet langsung dari access point yang legal, kemudian penyerang akan melakukan penyerangan evil twin yang akan disebarkan melalui hotspot ilegal menggunakan wireless router.
5
Gambar 4. Topologi Skenario kedua dengan Pendekatan Wireless
Gambar 4 merupakan skenario kedua dalam penelitian ini, dimana penyerang terkoneksi secara tidak langsung dengan access point legal, dalam skenario ini penyerang mendapat koneksi jaringan internet melalui wireless dari access point yang legal, kemudian penyerang melakukan penyerangan evil twin menggunakan fake access point yang disebarkan melalui hostpot ilegal menggunakan usb wireless laptop. Tahap selanjutnya digunakan pengujian false alarm positive pada WIDS untuk mengukur performa WIDS yang telah dibangun, pada pengujian false alarm positive WIDS digunakan skenario kepadatan trafik dan delay pada jaringan wireless. Kepadatan trafik dalam jaringan dapat menyebabkan pendeteksian serangan akan lebih sulit dideteksi WIDS dan dapat menyebabkan WIDS mengeluarkan false alarm. dikarenakan padatnya antrian paket dan beban kerja access point yang tinggi dalam memproses paket yang keluar dan masuk. Dalam pengujian ini dilakukan dengan skenario kepadatan trafik dan pemberian delay dengan cara melakukan perpindahan jarak antara WIDS dan access point untuk menguji hubungan antara delay yang diberikan dengan pengaruh false alarm positive yang dikeluarkan oleh WIDS
Gambar 5. Topologi Pengujian False Alarm
Gambar 5 merupakan topologi yang digunakan untuk melakukan pengujian false alarm dalam jaringan WLAN yang telah dibuat, untuk mengukur false alarm, perlu diketahui kapan serangan dimulai penyerang dan kapan WIDS mendeteksi serangan. Maka pada sisi penyerang juga dijalankan WIDS untuk mengetahui kapan penyerang melakukan penyerangan, dikarenakan 6
WIDS yang dibangun menyimpan hasil capture file pcap, yang digunakan untuk melihat hasil capture paket yang telah tersimpan. Tahap Implement merupakan tahap dimana akan diterapkannya semua yang telah direcanankan dan di design. Tahap ini merupakan tahapan dimana implementasi WIDS telah diintegrasikan kedalam jaringan yang akan dianalisis. Tahapan Operate merupakan tahapan pengoperasian, setelah implementasi perangkat dalam topologi jaringan yang telah dibuat, langkah selanjutnya adalah proses pengoperasian dengan melakukan konfigurasi yang telah dirancang dalam tahap proses design sebelumnya. Tahap Optimize merupakan tahap optimisasi yang dilakukan dengan menganalisis kinerja WIDS di dalam jaringan yang telah dibuat apakah sudah berjalan dengan baik. 4.
Hasil dan Pembahasan
Pada analisa functionality test dilakukan pengujian dengan menggunakan tipe serangan evil twin dengan cara mengkloning SSID atau nama akses point yang legitimate, kemudian dalam melakukan analisa kinerja WIDS digunakan parameter MAC address yang sama dan MAC address yang berbeda untuk menguji kinerja WIDS dalam mendeteksi serangan. Berdasarkan Gambar 6 dapat diketahui SSID atau nama access point yang sama dengan MAC address yang berbeda berhasil terdeteksi dengan baik oleh WIDS.
Gambar 6. Hasil Pendeteksian WIDS Tabel 1. Pengujian Functionality Test
Parameter Fake Access Point
Functionality test Skenario 1 Skenario 2
MAC address sama
-
Tidak Terdeteksi
MAC address berbeda
Terdeteksi
Terdeteksi 7
Pada Tabel 1 dapat dilihat bahwa pada skenario satu dengan parameter fake access point yang mempunyai MAC address yang berbeda dapat terdeteksi oleh WIDS, pada skenario dua dengan parameter MAC yang berbeda dapat terdeteksi dengan baik oleh WIDS karena pada skenario dua dapat dengan mudah penyerang mengganti MAC address menggunakan command MAC changger yang sudah tersedia pada sistem operasi linux, sedangkan pada skenario satu dengan parameter MAC address yang sama tidak dapat dilakukan pengujian dikarenakan wireless router yang dipakai dalam pengujian ini secara default untuk pengaturan MAC address tidak dapat diganti ataupun dikloning dikarenakan MAC address dari wireless router sudah ditetapkan oleh Network Interface Card (NIC) dan sudah dimasukan ke dalam ROM hardware. Pada skenario dua dengan parameter MAC address sama, WIDS tidak dapat mendeteksi serangan yang terjadi, hal ini merupakan false alarm negative yang merupakan kelemahan dari WIDS karena WIDS tidak dapat mendeteksi adanya serangan. Berdasarkan hasil dari functionality test yang telah dilakukan, bahwa kinerja WIDS dalam mendeteksi fake access point dengan parameter MAC address yang berbeda dapat berjalan dengan baik, akan tetapi false alarm negative terjadi ketika pada pengujian dengan menggunakan parameter MAC address sama WIDS tidak dapat mendeteksi adanya serangan. Pada pengujian false alarm positive dilakukan dengan menggunakan skenario kepadatan trafik request dari client dan delay dari sinyal yang berbeda, pengujian ini dilakukan untuk mengetahui akurasi WIDS pada tiga kondisi trafik dan sinyal yang berbeda yaitu sinyal baik, menengah, dan kurang. Berdasarkan Gambar 8 dapat dilihat hasil pendeteksian false alarm oleh WIDS pada kekuatan sinyal baik (Good).
Gambar 7. Hasil Pendeteksian False Alarm WIDS
Pada pengujian false alarm positive dilakukan 10 kali pengulangan pengujian dengan tiga kondisi trafik tersebut, hasil rata-rata pengujian dapat dilihat pada Tabel 5. Tabel 5. Rata-rata False Alarm Positive dari 10 Percobaan
Parameter Pengujian False Alarm
Rata-rata False Alarm Positive
Sinyal Baik
9
Sinyal Menengah
6
Sinyal Kurang
2
persamaan yang digunakan untuk menghitung persentase false alarm positive sebagai berikut [14] : 8
FPR = Jumlah persentase false positive rate frame association/authentication client yang dianggap sebagai intrusi oleh sistem. FP = Rata-rata False Positive TN = True Negative
Gambar 8. Grafik False Positive terhadap Kekuatan Sinyal
Hasil Perhitungan persentase false positive berdasarkan nilai rata-rata percobaan authentication/association yang dilakukan sebanyak 10 kali dengan parameter kekuatan sinyal yang berbeda dan kepadatan trafik request ditunjukkan pada Tabel 5 dan untuk mengetahui persentase perbandingan gambaran yang lebih jelas tentang pengujian false positive yang dihasilkan dapat dilihat pada Gambar 8. Hasil yang didapatkan menunjukkan semakin besar kekuatan sinyal atau semakin dekat jarak antara WIDS dengan fake access point maka semakin besar false positive yang didapatkan, hal ini terjadi karena pendeknya jarak antara fake access point dan WIDS yang menyebabkan jalur pengirim data dan penerima data menjadi pendek, dengan jarak tempuh pengiriman data yang pendek maka ketika data dikirimkan secara serentak oleh client, data yang dikirim akan masuk secara cepat dan menyebabkan beban kerja access point yang tinggi dalam memproses data yang keluar dan masuk, hal ini dapat disalahartikan oleh WIDS sebagai serangan dan menyebabkan WIDS mengeluarkan alert, akan tetapi ketika jarak antara WIDS dan fake access point semakin jauh maka delay yang dihasilkan semakin besar dan dapat mengakibatkan penurunan false positive, hal ini disebabkan karena jarak antara WIDS dan fake access point yang jauh mengakibatkan jalur pengirim dan penerima menjadi panjang, dengan jarak tempuh yang jauh maka dapat menyebabkan penerimaan data menjadi lama, dengan adanya delay maka data yang masuk akan ditahan sementara waktu untuk menunggu giliran masuk, karena adanya delay maka paket akan masuk secara perlahan dan kinerja sistem dalam memonitor paket keluar dan masuk akan rendah, hal ini dapat meminimalkan false alarm positive yang terdeteksi oleh WIDS. 5.
Simpulan
Berdasarkan pembahasan dan hasil pengujian yang telah dilakukan tentang analisis kinerja Wireless Intrusion Detection System (WIDS) terhadap serangan Man in the Middle (MitM), maka dapat diambil kesimpulan dari penelitian ini adalah pada pengujian functionality 9
test untuk mengetahui kinerja WIDS menggunakan pendekatan wired mampu mendeteksi dan memberikan peringatan dengan baik terhadap serangan atau anomali yang berupa access point (AP) yang telah dikloning dengan menggunakan SSID dan MAC address yang sama dengan akses point yang legal (legitimate access point), akan tetapi false alarm negative terjadi ketika pada pengujian dengan menggunakan parameter MAC address sama, WIDS tidak dapat mendeteksi adanya serangan. Pada pengujian false alarm positive dengan menggunakan skenario kepadatan trafik dan delay pada jaringan wireless, didapatkan hasil bahwa tingkat akurasi 90% pendeteksian false positive pada WIDS mengalami kesalahan, sedangkan pada kondisi sinyal menengah WIDS mengalami tingkat akurasi kesalahan sebesar 60%, namun pada sinyal yang kurang terjadi penurunan tingkat kesalahan pendeteksian dimana WIDS hanya mengalami 20% kesalahan pada pendeteksian false alarm positive. Akurasi pendeteksian false alarm positive pada WIDS dipengaruhi oleh banyaknya trafik dan delay pada jaringan wireless, semakin banyak delay yang terdapat antara WIDS dan access point maka semakin kecil akurasi kesalahan pendeteksian oleh WIDS. 6.
Daftar Pustaka
[1] Wu, Zendong., Cai Mengru., 2014, An Approach for Prevention of MitM Attack Based on Rogue AP in Wireless Network. Sensors&Transducers.Vol.183,No.13, http://www.sensorsportal.com/HT ML/DIGE ST/december_2014/Vol_ 183/P_2558.pdf, Oktober 2015. diakses 25 [2] Makanju, A., Patrick LaRoche, A., & Zincir-Heywood, N, A Comparison Between Signature and GP-Based IDSs for Link Layer Attacks on WiFi Networks Proc, 2007, IEEE Symposium of Computational, Honolulu: IEEE. 2007, hal 213-219. [3] Kurose F. James., Ross W. Keith., 2008, Computer Networking a TopApproach.
Down
[4] Satria A., 2011, Pengembangan Perangkat Wireless IDS Berbasis Embedded (Studi Kasus : Badan Narotika National).
System
[5] Andrew R. Baker, Caswell, Mike Poor., 2004, Snort 2.1 Intrusion Detection Edition.
Second
[6]
Rebecca B., Peter M., 2001, Intrusion Detection System, NIST Special
Publication.
[7]
Ricky M. Magalhaes., 2003, Host-Based IDS vs Network-Based IDS
(Part1).
[8]
Zee Eichel, 2013, Attacking Side with Backtrack Versi 2.
[9] Cisco System Inc. 2010, Creating Business Value And Operational With The Cisco Systems Lifecycle Services Approach.
10
Excellence
[10]
Ruef M., 2014, Functionality https://www.scip.ch/en/?labs.20140703.
testing
[11] Lanier, Watkins,. Reeham Beyah, & Cherita Corbett, A Passive Access Point Detection, USA : IEEE. 2007. [12]
a
IDS/IPS,
Approach to Rogue
V. Moraveji Hashemi, Z. Muda and W. Yassin.,2013, Improving Intrusion Detection Using Genetic Algorithm.
11
