BAB 4 IMPLEMENTASI DAN UJICOBA SISTEM PADA JARINGAN
4.1 Spesifikasi System
4.1.1 Perangkat Keras (Hardware) Persyaratan hardware AlienVault pada dasarnya akan tergantung pada jumlah kejadian per detik dan throughput jaringan yang
ingin untuk
mengamankan .Sebagai persyaratan minimum selalu dianjurkan untuk memiliki minimal 4GB ram . Adapun spesifikasi perangkat yang digunakan dalam membangun server OSSIM ini adalah sebuah komputer rak server dari platform HP yaitu DL 380 G7 633408-371 HP Server Proliant seperti pada gambar 4.1.
Gambar 4.1 DL 380 G7 633408-371 HP Server Proliant Spesifikasi server : •
IntelR XeonR Processor E5606(2.13GHz/4-core/8MB/80W,DDR3-1066)
•
Memory 4GB (2x2GB) PC3-10600R (DDR3-1333) RDIMMs
•
Hard Drive: 500 GB x 2 buah
67
68
•
NC382i Dual Port Multifunction Gigabit Server Adapters
4.1.2 Perangkat Lunak (Software) Aplikasi – aplikasi yang akan digunakan dalam menjalankan sistem network monitoring ini adalah sebagai berikut: 1. OSSIM AlienVault 2. Modul OSSEC
4.2 Implementasi OSSIM 4.2.1 Installasi OSSIM Installasi OSSIM dibagi dalam beberapa tahapan, proses Instalasi OSSIM
Gambar 4.2 Installasi OSSIM
69
Konfigurasi Bahasa Pemilihan Bahasa yang akan dipakai pada proses installasi OSSIM.
Gambar 4.3 Pemilihan Bahasa
Konfigurasi Negara Pemilihan Negara
Gambar 4.4 Pemilihan Negara
70
Konfigurasi Keymap Pemilihan Keymap untuk keyboard Laybout
Gambar 4.5 pemilihan Keymap Konfigurasi Network
Gambar 4.6 Konfigurasi IP Address Pada bagian ini,akan dilakukan konfigurasi IP jaringan yang akan dipakai didalam management interface OSSIM.Masukkan alamat IP dan klik “Continue”.
71
Gambar 4.7 Konfigurasi NetMask Konfigurasi alamat Netmask yang akan dipakai dalam jaringan. Masukkan Alamat netmask dan klik “Continue”.
Gambar 4.8 Konfigurasi Gateway
IP address dari gateway sistem jaringan yang ada. Masukkan alamat IP address gateway dan klik “Continue”.
72
Gambar 4.9 Konfigurasi Name server
Name server yang digunakan . Masukkan Name server yang digunakan dan klik “Continue”.
73
Partisi disk
Gambar 4.10 Konfigurasi partisi disk Proses dari partisi harddisk yang akan digunakan akan menghilangkan semua data yang sebelumnya ada di dalam harddisk. Pilih “Guide:use entire disk” dan klik “continue”. Jika komputer memiliki beberapa disk , pilih disk yang akan diisntal OSSIM AlienVault dan klik “Continue”
74
Konfigurasi user dan passwords
Gambar 4.11 Konfigurasi root user password Setelah sistem dasar telah terinstall , installer akan meminta untuk mengkonfigurasi “root ” account , account yang lain daapt dibuat setelah proses installasi telah selesai. Setiap passwords yang akan dibuat minimal karakter adalah 6 karakter dan harus berisi huruf besar dan huruf kecil .
75
Gambar 4.12 Finish Installation Pada bagian akhir proses installasi akan ditanyakan apakah mau dijalankan atau tidak. Klik “yes” untuk proses update. Setelah Proses Update selesai ,maka akan diminta untuk login.
Gambar 4.13 login OSSIM
76
4.2.2 Konfigurasi OSSIM Konfigurasi OSSIm dapat dilakukan di web GUI OSSIM , dan kita login sebagai administrator pada web GUI OSSIM yang dapat di akses melalui local host yaitu IP address dari Server OSSIM .
Gambar 4.14 OSSIM alienVault Login
4.2.2.1 Konfigurasi Host Konfigurasi host dilakukan pada menu Assets->Assets->Host.. Host tersebut akan didaftarkan kedalam OSSIM untuk memudahkan administrator dalam melakukan pemantauan dan pengelolaan.pada saat mendaftarkan host ,nilai asset dari host perlu didefinisikan,karena nilai dari asset akan menentukan resiko.semakin rentannya host terhadap serangan maka makin tinggi juga nilai asset pada host tersebut.
77
Gambar 4.15 Konfigurasi Host
Setiap host di AlienVault memiliki properti berikut: •
Hostname: Label ditugaskan untuk perangkat (Ex: Web server)
•
IP: Alamat IP dalam format IPv4 (Ex: 192.168.1.1)
•
FQDN / Alias: nama domain berkualifikasi lengkap (FQDN). Sebuah host dapat memiliki lebih dari satu alias dipisahkan dengan koma.
•
Description: penjelasan singkat, misalnya, peran host dalam jaringan.
•
Nilai Aset: Nilai yang diberikan kepada host dalam jaringan.
•
Sensor: AlienVault Sensor memantau jaringan milik host
•
Pilihan Scan: Aktifkan / Nonaktifkan monitoring Ketersediaan dari host
•
RRD Profil: Profil untuk digunakan dengan Plugin Perilaku menyimpang RRD (Anomali berdasarkan informasi yang diberikan byNtop)
•
Ambang C: ambang batas Kompromi
78
•
Ambang A: ambang batas Serangan
•
OS: Sistem Operasi
•
Mac Alamat: identifier unik ditugaskan untuk antarmuka jaringan
•
Mac Penyedia: produsen Kartu jaringan
Gambar 4.16 Penambahan Host.
Beberapa properti dari Jaringan harus memenuhi persyaratan khusus: •
Nama: karakter alfanumerik dengan tanpa spasi. Beberapa simbol seperti "-" "_" juga dapat digunakan dalam bidang Hostname.
•
CIDR: alamat IP dan ukuran awalan, yang terakhir merupakan jumlah terkemuka 1 bit routing prefix. Alamat IP sesuai dengan standar IPv4. Hal ini diikuti oleh karakter pemisah, yang garis miring (/) karakter, dan ukuran awalan dinyatakan sebagai angka desimal. (Misalnya: 192.168.100.1/24)
•
Description: karakter alfanumerik dan spasi. Beberapa simbol seperti "-" "_" juga dapat digunakan.
•
Nilai Aktiva: nilai numerik (0-5)
•
Threshold C: nilai Integer
•
Threshold A: nilai Integer
79
4.2.2.2 Konfigurasi Network Konfigurasi Jaringan dilakukan pada menu Assets->Assets>Network bertujuan untuk menentukan jaringan mana saja yang akan dikelola. Proses konfigurasi jaringan perlu mendefinisikan nilai asset .
Gambar 4.17 Konfigurasi Network.
Jaringan di AlienVault memiliki properti berikut: •
Nama: Label ditugaskan untuk Jaringan.
•
CIDRS: Rentang Alamat IP yang mendefinisikan jaringan.
•
Description: penjelasan singkat, misalnya, peran bagian host Grup ini.
•
Nilai Aset: Nilai yang diberikan ke jaringan dalam perusahaan itu
•
Sensor: AlienVault Sensor memantau host yang milik Grup Host.
•
Pilihan Scan: Aktifkan / Nonaktifkan monitoring Ketersediaan Grup host (Nagios). Hal ini harus diaktifkan di setiap host termasuk dalam Grup Host.
•
RRD Profil: Profil untuk digunakan dengan Plugin Perilaku menyimpang
RRD
(Anomali
berdasarkan
diberikan oleh Ntop) •
Ambang C: ambang batas Kompromi
informasi
yang
80
•
Ambang A: ambang batas Serangan
Gambar 4.18 Penambahan Network.
Beberapa properti dari Jaringan harus memenuhi persyaratan khusus: • Nama: karakter alfanumerik dengan tanpa spasi. Beberapa simbol seperti "-" "_" juga dapat digunakan dalam Hostname. • CIDR: alamat IP dan ukuran awalan, yang terakhir merupakan jumlah terkemuka 1 bit routing prefix. Alamat IP sesuai dengan standar IPv4. Hal ini diikuti oleh karakter pemisah, yang garis miring (/) karakter, dan ukuran awalan dinyatakan sebagai angka desimal. (Misalnya: 192.168.100.1/24) • Description: karakter alfanumerik dan spasi. Beberapa simbol seperti "-" "_" juga dapat digunakan. • Nilai Aktiva: nilai numerik (0-5) • Threshold C: nilai Integer • Threshold A: nilai Integer
4.2.2.3 Konfigurasi OSSEC Konfigurasi HIDS pada OSSIM menggunakan OSSEC : 1.
Install OSSEC agent di system yang akan dipantau.
2.
Setelah OSSEC agent terinstall , pada bagian web GUI OSSIM masuk ke Analysis -> Detection ->HIDS
81
3.
Masuk ke menu agent yang terdapat di bagian kanan
atas.
Gambar 4.19 Agent. 4.
Masukkan nama dan ip address dari system yang akan
dipantau kemudian klik “generate key”
Gambar 4.20 Generate Key
82
Gambar 4.21 key 5.
Key yang didapat dimasukkan ke dalam OSSEC agent yang terdapat pada system dan start OSSEC agentnya.
Gambar 4.22 OSSEC agent Manager.
6.
Jika OSSEC agent sudah berjalan di
system nya
kembali ke web GUI OSSIM dan lihat apakah agent yang tadi didaftarkan sudah berubah menjadi active
83
Gambar4.23 Agent Active.
4.2.2.4Konfigurasi Policy and Actions Konfigurasi dilakukan pada menu intelligence->Policy & Actions,
pada
bagian
tersebut
terdapat
bagian
policy
dan
actions.Policy di buat untuk mengatur bagian mana saja yang akan di monitor dan dikelola . Secara default , semua peristiwa tiba ke OSSIM Server diproses oleh SIEM dan Logger .Dalam kasus SIEM , sistem menyediakan intelijen dan data - mining kemampuan ekstra memproses peristiwa dengan melakukan tugas-tugas berikut . •
Risk assessment: risiko ditugaskan untuk setiap acara memperhitungkan jenis aktivitas dan aset yang terlibat dalam event .
•
Korelasi : Korelasi adalah proses transformasi menjadi berbagai data input ke output elemen data baru . Menggunakan korelasi AlienVault dapat mengubah dua atau lebih peristiwa input ke dalam peristiwa output yang lebih dapat diandalkan . Acara yang dihasilkan selama proses korelasi adalah re disuntikkan kembali ke AlienVault Server dan diproses dengan cara yang sama seperti jika ini sedang dikirim oleh salah satu kolektor .
84
•
Forwarding : The AlienVault Server dapat dikonfigurasi untuk mengirim peristiwa dan alarm ke Server atas ( Parent Server ) dalam penyebaran multi-level .
•
SQL Storage : Events diproses oleh SIEM disimpan dalam database SQL ( MySQL Database) .
Policy juga mendefinisikan apa fitur dari SIEM dan Logger akan diaktifkan untuk memproses peristiwa yang cocok dengan aturan kebijakan .Aturan Policy diterapkan di Urutan menurun dan ketika ada event yang
sesuai dengan Policy, sistem akan berhenti
memproses Event itu .
Gambar 4.24 Konfigurasi Policy
Gambar 4.25 adalah tabel policy yang menampilkan serangkaian tabel , setiap tabel adalah sekelompok Policy . Ini adalah kolum yang ditampilkan dengan masing-masing aturan Policy :
Status : Aturan Policy diaktifkan : / Peraturan Policy dinonaktifkan : Order: Posisi di mana aturan kebijakan ini akan dimuat Priority: Prioritas peristiwa Port Group : port tujuan dari event yang akan cocok dengan aturan Policy ini . Plugin Group : Group event yang cocok dengan aturan Policy ini .
85
Sensor : Sensor atau Sensor yang mengumpulkan event yang cocok dengan policy yang ada. Time Range : Jangka waktu di mana aturan policy ini akan diaktifkan . Sasaran : Server di mana aturan kebijakan ini akan dipasang ( penyebaran Multi-level ) Resend Alarm : Mengaktifkan / Menonaktifkan alarm forwarding ke server atas untuk event yang cocok dengan policy ini. Resend Events : Mengaktifkan / Menonaktifkan peristiwa forwarding ke server atas untuk event yang cocok dengan policy ini. SIEM : Mengaktifkan / Menonaktifkan SIEM untuk event yang cocok dengan policy ini.
Membuat Actions Halaman Actions memungkinkan pengguna untuk menentukan respon terhadap serangan atau masalah yang terjadi dalam jaringan. Tindakan terkait dengan aturan policy, sehingga ketika policy cocok semua actions yang terkait dengan policy yang dijalankan.
Gambar 4.25 Konfigurasi Actions
86
OSSIM
mendukung
tiga
jenis
tindakan,
mengirim
e-mail,
menjalankan perintah Linux, atau membuat tiket di OSSIM Ticketing System (Incident → Tickets).
.
Gambar 4.26 Pembuatan Actions
4.2.2.5 Konfigurasi sensor OSSIM Sensor adalah komponen yang bertugas mengumpulkan dan normalisasi peristiwa yang dihasilkan oleh sumber data . Beberapa sumber data akan memberi berita event untuk Sensor AlienVault seperti Firewall , Antivirus , AD , database , dan aplikasi lain atau perangkat yang digunakan dalam jaringan sebelum OSSIM ditempatkan. OSSIM dapat memiliki banyak Sensor yang diperlukan , jumlah Sensor pada dasarnya akan tergantung pada jumlah jaringan yang perlu dipantau dan dalam distribusi geografis dari perusahaan yang akan dipantau .
87
Configuration->alien vault components Gambar 4.27 Konfigurasi Sensor
Dibagian Configuration -> Collection -> Sensor , Aktifkan sensor yang akan dipakai .
Gambar 4.28 enable sensor
88
4.2.2.6 Konfigurasi Notifkasi E-mail Konfigurasi
dilakukan
di
bagian
menu
configuration
=>Main=>Advanced=> mail server configuration.
Gambar 4.29 Konfigurasi mail server.
4.2.2.7 Correlation Directive Bagian Correlation Directive dapat di akses melalui Intelligence => correlation Directives => Directives .Secara default ,OSSIM AlienVault telah menyediakan lebih dari 200 Correlation Directive. Correlation adalah teknik untuk mengolah secara logis sekumpulan event dan menunjukkan dengan tepat beberapa event tersebut penting .
89
Gambar 4.30 Correlation Directive
Dalam OSSIM ,Korelasi logis diimplementasikan dengan menggunakan Correlation directive atau Correlation rule. Correlation Directive menentukan kondisi yang berbeda yang akan dipenuhi oleh event yang masuk. Setiap kali event yang telah terpenuhi kondisinya , sistem akan menghasilkan event baru yang bahkan dapat memenuhi beberapa kondisi lain dalam Correlation directive yang lain.
Prioritas direktif. Prioritas akan menjadi nilai numerik dari 0 hingga 5. Semua peristiwa yang dihasilkan dalam direktif yang sama akan memiliki direktif yang sama tetapi mereka mungkin memiliki keandalan yang berbeda karena akan tergantung pada tingkat korelasi pada saat event dihasilkan
90
Jika mengatur prioritas ke 0, peristiwa yang dihasilkan dalam directive ini tidak akan pernah menjadi alarm. Jika Anda menetapkan nilai prioritas tinggi, direktif dapat menghasilkan alarm setelah pengelompokan beberapa event. Setiap kali kondisi yang ditetapkan oleh Directive rule cocok , event baru akan menghasilkan nilai realibility value baru , event ini akan memiliki nilai prioritas yang sebelumnya telah ditetapkan pada correlation directives, nilai reliabilitas didefinisikan sendiri dalam aturan korelasi,dan nilai asset host didapat dari nilai yang telah didefinisikan sebelumnya.
Gambar 4.31 nilai reliability
Risiko event tersebut akan dihitung dengan menggunakan rumus berikut: RISK = (Asset Value*Priority*Reliability)/25 semakin tinggi nilai reliability maka akan semakin tinggi nilai yang dapat dipercaya terhadap rule tersebut. Nilai yang dipercaya disini adalah tingkat kepercayaan atau nilai dari serangan yang muncul. Apabila kita anggap sebuah serangan tertentu memilki nilai yang tinggi dalam merusak sistem jaringan maka nilai reliability juga harus tinggi. Sedangkan penentuan nilai prioritas didefinisikan pada saat melakukan konfigurasi rule pada detektor, OSSIM adalah manajemen tools dimana mengatur detektor-detektor yang ada untuk saling berkolaborasi dalam
91
mendeteksi serangan, sehingga penentuan prioritas adalah penentuan dari detektor yang ditunjuk untuk lebih dahulu dipercaya dalam menagani serangan, disamping itu penentuan prioritas juga digunakan ketika mendefinisikan policy.
4.3 Pengujian OSSIM yang telah diinstall memiliki banyak fitur-fitur dalam melakukan monitoring terhadap jaringan. Namun keseluruhan fitur tersebut tidak kami jabarkan sepenuhnya dan hanya fokus kepada beberapa prosedur yaitu monitoring SIEM melalui modul OSSEC pengiriman notifikasi dan pengiriman notifikasi lewat email.
4.3.1 Pengujian Fungsionalitas terhadap notifikasi e-mail Percobaan dilakukan pada hari minggu agar tidak menganggu aktivitas kerja kantor pada tanggal 12 january 2014. Percobaan dengan mematikan proxy server pada PT.Metalogix infolink persada sehingga dapat dilihat apakah terdeteksi
secara langsung oleh HIDS OSSEC yang telah terinstall dan
melaporkan ke OSSIM dan notifikasinya dapat di akses pada menu analysis=> Security Event (SIEM) dan dapat melihat notifikasi yang tentang status apa yang terjadi pada agent OSSEC, dan dapat di lihat bahwa server unavailable.OSSEC dapat mengidentifikasi error yang terjadi dikarenakan OSSEC memiliki rules – rules yang mengatur itu semua dan ditampilkan pada OSSIM yang memiliki modul OSSEC.
Gambar 4.32 Status server unavailable
92
Karena Resiko tersebut hanya 0 maka alarm tidak terpicu dan notifikasi e-mail tidak dilakukan karena action tidak terpicu untuk menjalankan perintah . Alarm adalah suatu peristiwa yang memiliki Resiko lebih tinggi dari 1. Alarm adalah jenis khusus dari event karena mungkin lebih dari satu kelompok peristiwa ketika event memicu alarm berdasarkan correlation directives. Perhitungan Nilai Resiko : RISK = (Asset Value*Priority*Reliability)/25 Asset Value =2 Priority = 1 Reliability = 1 Risk = (2*1*1)/25 Risk = 0
Pada pengujian selanjutnya yang dilakukan adalah melakukan testing serangan Bruteforce pada mail server zimbra yang terdapat di PT.Metalogix Infolink Persada untuk menguji bagaimana fungsionalitas notifikasi dan pengiriman notifikasi ke e-mail.Pengujian di lakukan pada tanggal 09-012014 di PT.Metalogix Infloink Persada . OSSEC dapat mengidentifikasi error yang terjadi dikarenakan OSSEC memiliki rules – rules yang mengatur itu semua dan ditampilkan pada OSSIM yang memiliki modul OSSEC. Dari data tersebut membuktikan bahwa OSSIM mendeteksi adanya skenario serangan yang dibuat oleh penulis dan OSSIM dapat menampilkan laporan kejadian serangan secara real time. Selain itu melalui skenario serangan yang dilakukan penulis, OSSIM juga mendeteksi adanya alarm yang berarti resiko yang ada apada event lebih besar atau sama dengan 1. Perhitungan Nilai Resiko : RISK = (Asset Value*Priority*Reliability)/25 Nilai Asset = 2 Nilai Priority = 5 Nilai Reliability =3 Risk = (2*5*3)/25
93
Risk =1
Pada saat terjadi serangan maka saat terdeteksi oleh sensor yang ada maka akan di cek apakah sesuai dengan policy yang diatur dan action apa yang akan di berjalan, pada saat itu semua notifikasi alarm akan muncul dan dapat di lihat pada bagian incidents => alarm
Gambar 4.33 Alarm Panel Alarm menunjukkan semua alarm yang dihasilkan di OSSIM. Setiap pengguna hanya akan melihat alarm milik host .
kolum
isi
Alarm
Nama Alarm : Nama alarm sesuai dengan nama peristiwa yang menghasilkan alarm.
Risk
Nilai resiko mulai dari 0 sampai dengan 10.
Sensor
Sensor yang menggumpulkan peristiwa yang menghasilkan alarm.
First Event
Waktu peristiwa pertama yang diterima sensor alarm.
Last Event
Waktu peristiwa terkahir yang diterima sensor alarm.
Source
Sumber IP address yang menghasilkan alarm .
Destination
Tujuan IP address yang menghasilkan alarm.
Status
Status dari alarm closed or Open. Tabel 4.1 Penjelasan isi alarm
Dari status alarm yang terjadi bisa dengan manual membuat ticket. Tiket baru dapat dibuka dari konsol Alarm (Insiden → Alarm), dari Metrik Risiko panel (Dashboard → Risiko (Risk Metrik)) dan dari panel anomali (Analysis → SIEM (Anomali)). Informasi yang secara otomatis akan ditambahkan ke tiket baru ketika diakses dari panel ini.
94
Sistem ticketing ini memungkinkan pengguna di AlienVault untuk bekerja pada masalah yang terdeteksi dengan menggunakan OSSIM. Tiket dapat dibuka secara manual setiap saat, tetapi juga, beberapa komponen di AlienVault dapat membuka tiket otomatis
Gambar 4.34 Ticket
Gambar 4.35 Isi Ticket
Notifikasi yang dikirim kan ke e-mail, notifikasi dapat terikirim ke e-mail karena pada konfigurasi action saat ada event yang memicu alarm dan terdeteksi berdasarkan policy dan Correlation Directive maka pada bagian action akan mengklasifikasikan bagian mana dan action apa yang akan diambil sesaui dengan yang di konfigurasi yaitu notifikasi pengiriman e-mail.
95
Gambar 4.36 Gambar Notifikasi e-mail
Gambar 4.37 Isi notifikasi E-mail
Waktu dan tanggal pada e-mail menunjukkan waktu dan tanggal saat OSSIM mengitimkan notifikasi, yaitu saat terjadinya serangan pada server.Apabila terjadi delay pengiriman akibat gangguan SMTP dari ISP , tidak berpengaruh terhadap waktu dan tanggal pengiriman notifikasi oleh OSSIM . Waktu dan Tanggal sesuai dengan saat pengiriman meskipun diterima pada waktu yang berbeda . Pada email notifikasi terdapat informasi mengenai kejadian apa yang terjadi pada host . E-mail dapat dibuka pada telepon genggam atau laptop yang dapat diterima kapan saja dimana saja oleh network administrator tanpa harus selalu berada di depan komputer.
96
4.4 Evaluasi Pada tanggal 9 januari 2014 dan 12 januari 2014 dilakukan pengujian terhadap OSSIM pada PT.Metalogix Infolink Persada.Hasil yang diperoleh dari implementasi tersebut adalah : 1. OSSIM dapat menotifikasi Network Administrator tentang adanya alarm tentang apa yang terjadi pada server melalui E-mail. 2. OSSIM dapat bekerja selama 24 jam untuk memonitoring server 3. OSSIM dapat melakukan perhitungan resiko untuk menentukan event mana yang penting untuk di notifikasi kepada Network Adminsitrator dalam bentuk E-mail.