76
BAB III ANALISIS DAN PERANCANGAN SYSTEM
3.1. Perancangan Intrusion Prevention System (IPS) Dalam melakukan rancangan dan analisa dari sistem yang akan dibangun ini, Intrusion Prevention System yang Open Source, baik dalam aplikasi ataupun perkembangannya. Metode yang akan dilakukan didalam penelitian ini terdiri dari langkah-langkah berikut : Melakukan studi kepustakaan terhadap berbagai referensi yang berkaitan dengan penelitian yang dilakukan, topik-topik yang dikaji meliputi : IPS (Intrusion Prevention System) yang free dan Open Source, pengenalan berbagai jenis exploitasi serangan didalam jaringan komputer dan analisis log yang berbasis web. Menyiapkan komputer ataupun laptop bersistem operasi Windows 7 yang dilengkapi fitur wifi dan difungsikan sebagai attacker untuk menguji server yang menggunakan sistem operasi linux Debian yang telah dipasang IPS Merancang sistem IPS yang terintegrasi dan open source kemudian mengimplementasikanya. 3.2. Analisa System dan Kebutuhan 3.2.1. Analisa jenis Serangan Seiring
perkembangan
teknologi
jaringan
komputer
yang
berkembang pesat maka semakin banyak orang yang menguasai dan tertarik
77
pada bidang ini. Oleh karena itu semakin tidak aman pula jaringan yang kita miliki karena banyak sekali ancaman-ancaman yang datang baik dari dalam maupun dari luar jaringan kita. Dan jenis teknik serangan yang menggangu jaringan komputer beraneka ragam, maka Analisa ini dianggap perlu dilakukan untuk mengetahui serangan terhadap sistem secara garis besar. Dapat dilihat pada gambar berikut :
Gambar 3.1 Garis Besar Serangan komputer(Network Security - Josua M. Sinambela) Salah satu problem network security yang paling penting, adalah menentukan kebijakan (security policy)dalam network security. Kebanyakan orang menginginkan solusi teknis untuk setiap masalah, berupa program yang dapat memperbaiki masalah-masalah network security. Padahal, perencanaan keamanan yang matang berdasarkan prosedur dan kebijakan dalam network security akan membantu menentukan apa-apa yang harus
78
dilindungi,
berapa
melindunginya,
dan
langkah-langkah
besar siapa
yang
biaya yang
diperlukan
yang
harus
bertanggungjawab untuk
ditanamkan untuk
melindungi
dalam
menjalankan
bagian
tersebut.
beberapa ancaman yang biasa dilakukan sebagai berikut : a. Pemalsu Paket (spoofing) Berikut adalah skema dari jenis serangan spoofing (pemalsu paket) Switch Port 1 = 00:50:56:C0:00:08 Port 2 = 11:55:66:C0:00:90 Port 3 = 00:50:56:C0:00:01
Sunber IP : 10.165.103.66 Mac : 00:50:56:C0:00:08
Hacket IP: 10.165.103.99 Mac : 11: 55:66:C0:00:90 Tujuan IP: 10.165.103.111 Mac: 00:50:56:C0:00:01
Gambar 3.2 : ARP replay palsu untuk meracuni cache ARP korban Sekema di atas menggambarkan bahwa attacker mengirim paket data palsu dengan terus menerus sehingga akan membanjiri akses yang menuju jaringan target, sehingga membuat akses menjadi penuh dan membuat trafik dari jaringan tersebut sibuk.
79
b. Denial of Service (Dos/DDoS) Serangan
Dos/DDos
dapat
dilakukan
secara
sengaja
ataupun tidak sengaja serangan secara sengaja biasanya dilakukan oleh user yang tidak berhak terhadap suatu sistem. Berikut sekema dari serangan Dos/DDos
Gambar 3.3 : Skenario Distribution Denial of Service (DdoS) Sekema di atas menggambarkan bahwa attacker membuat zombie (penyerang buatan) yang akan bekerja sama untuk mengirim paket secara bersamaan dan dengan kuota yang bersar serta secara trus menerus sampai server yang di tuju tidak dapat diakses c. UDP (User Datagram Protocol) dan ICMP (Internet Control Message Protocol) Flooding UDP dan ICMP flooding mempunyai sekenario ekploitasi sistem terhadap korban dengan tujuan untuk membuat komputer korban menjadi hang, yang disebabkan oleh pengiriman sejumlah
80
paket yang besar ke arah target host. eksplotasi system ini dilakukan
dengan
mengirimkan
suatu
paket
dengan
tujuan
broadcast atau multicast dimana si pengirim dibuat seolah – olah adalah target host. Semua pesan balasan dikembalikan ke target host. hal inilah yang membuat target host menjadi hang dan menurunkan kinerja jaringan.
Gambar 3.4 Skenario UDP dan TCP Flooding 3.2.2. Analisa Kebutuhan Pemanfaatan IPS yang dibutuhkan untuk penelitian adalah
sebagai
salah satu metode sistem keamanan jaringan komputer. Kebutuhan ini berhubungan dengan pemanfaatan dan kelayakan IPS, dari tahap ini didefinisikan kebutuhan yang harus dipenuhi dalam perancangan IPS diantaranya :
81
Kebutuhan akan Server IPS sebagai pengamanan pada jaringan internet yang akan dipakai untuk mencegah ancaman IPS Open Source diharapkan dapat menekan biaya keamanan yang sangat mahal Mampu meyediakan informasi yang akurat terhadap gangguan serangan secara langsung dan penanggulangan untuk diagnosis cybercrime. 3.2.3. Analisa IPS Berbayar (non open source) Keamanan jaringan secara umum adalah komputer yang terhubung ke dalam network, dikarenakan mempunyai ancaman yang lebih besar dibandingkan dengan komputer standalone. Secara umum IPS bekerja melakukan pengawasan terhadap trafiic jaringan dan terhadap kegiatan – kegiatan yang mencurigakan di dalam suatu sistem jaringan. Jika ditemukan kegiatan yang mencurigakan maka IPS akan memberikan peringatan kepada system untuk penanganan secara langsung serta memudahkan terhadap administrator jaringan. Coba lihat gambar jaringan ini dimana suatu perusahaan yang memasang sistem Intrusion Prevention System
82
Gambar 3.5 IPS berbayar pada jaringan Enterprise(Hero Yudho M –IDS) Dalam sekala perusahaan menengah ke atas keamanan data merupakan sesuatu yang sangat penting dan privasi serta tidak bisa terpisahkan dari sistem. Tetapi dengan metode dan konsep yang teliti resiko tersebut
dapat
dikurangi.
Namun
network
security
pada umumnya
bertentangan dengan network acces yaitu berbanding terbalik, dimana jika network acces semakin mudah maka network security semakin rawan, dan sebaliknya jika network security semakin baik maka network acces semakin tidak nyaman. Suatu system network di desain sebagai komunikasi data dengan tujuan meningkatkan akses ke system komputer, sementara security didesain untuk mengontrol akses ke system komputer, penyedian security adalah sebagai penyeimbanbang antara open acces dengan security. Dan masalah ini merupakan peluang untuk beberapa perusahaan besar untuk
83
membuat perangkat IPS dengan harga yang tidak murah. Berikut salah-satu perangkat IPS yang dijual di buat oleh salah-satu vendo yaitu Cisco IPS 4200 Series Sensors yaitu suatu produk yang di fungsikan sebagai perangkat untuk pengaman jaringan komputer, produk tersebut memiliki keunggula diantaranya yaitu :
Intelligent Detection Memiliki keakuratan dalam menganalisis, pendeteksian, pemutusan dari sebuah trafik dan paket data yang dianggap tidak normal atau mencurigakan sebelum meng-infeksi terhadap jaringan
Precision Response Memiliki respon yang cepat terhadap suatu serangan jika terdapat suatu paket atau trafik yang dianggap tidak normal Tabel 3.1 Poduk Cisco IPS
Performance
Cisco IPS 4240
Cisco IPS 4255
Cisco IPS 4260
Cisco IPS 4270
Media-rich Transactional Standard monitoring interface
300 Mbps 250 Mbps Four 10/100/1000B ASE-TX
600 Mbps 500 Mbps Four 10/100/1000BASETX
2Gbps 1 Gbps Four 10/100/1000BAS E-TX
Redundant power supply Autoswitching
No
No
Optional
4 Gbps 2 Gbps Four 10/100/1000BA SE-TX orfour 1000BASE-SX Yes
100 to 240 VAC
100 to 240 VAC
100 to 240 VAC
100 to 240 VAC
Dari beberapa perangkat yang terjual dipasaran tersebut, secara fungsi adalah sama dimana IPS sebagai monitoring traffic yang dianggap illegal dan berpotensi membahayakan system serta teknik firewall sebagai aksi terhadap suatu serangan tersebut.
84
3.2.4. Analisa Sistem Intusion Prevention System (IPS) Open Source Suatu Intrusion Prevention System (IPS) dapat didefinisakan sebagai tool,metode,ataupun sumber daya yang dapat membantu administrator jaringan untuk melakukan identifikasi dan memberikan laporan terhadap aktifitas illegal yang ada di dalam suatu system jaringan. Tetapi sangant disayangkan system IPS yang ada memerlukan dana yang tidak sedikit untuk membangunya. Disini penulis mencoba menigintegrasikan beberapa tools dan aplikasi yang mendukung IPS secara free dan open source . IPS berbasis open source ini merupakan suatu metode kemanan jaringan yang bertujuan
untuk
membentuk
suatu
arsitektur
sistem keamanan
yang
terintegrasi antara Intrusion Detection System (IDS) , Firewall System, Database System dan Monitoring System secara free dan open source. Sistem keamanan ini
bertujuan
melindungi jaringan dengan kemampuan
merespon sesuai dengan kebijakan keamanan. Intrusion Prevention System (IPS) pada implementasi tugas akhir ini tediri dari komponen komponen : Sensor, Analyzer, Management server, Database system, console
Gambar 3.6 Diagram Sistem IPS Opensource
85
Sensor atau agent. Yang memonitor dan menganalisa aktivitas. Sensor diistilahkan untuk IPS yang memonitor jaringan (networkbased, wireless, network behaviour analysis). Sedangkan agen diperuntukan bagi host-based IPS. Management server/Analyzer. Perangkat terpusat yang menerima informasi dari sensor dan agen lalu mengelolanya serta berfungsi untuk
analisa paket yang lewat pada jaringan. Informasi dari
analyzer yang akan menjadi input bagi sistem lainnya. Pada perancangan sistem keamanan ini
digunakan snort
alasan snort mempunyai kemampuan
dengan
menjadi sensor dan
analyzer serta sesuai untuk diterapkan pada rancangan sistem keamanan. Database server. Sebuah gudang inforasi peristiwa-peristiwa yang direkam sensor/agent. Kebanyakan IPS telah menyediakan dukungan database server. Console. Program yang menyediakan antarmuka bagi pengguna IPS dan administratornya. Untuk sistem deteksi dan analisis paket digunakan snort yang menempatkan rule-rule nya pada sebuah list (daftar) dengan metode pengolahan paket. Misalnya ada paket yang ditemukan sesuai dengan salah satu rule yang ditetapkan maka sistem akan masuk ke salah satu mode (mis:alert,log), jika tidak maka paket tersebut disesuaikan dengan rule lain
86
yang ada pada daftar
rule. Berikut adalah contoh hirarki analisis yang
dilakukan pada sebuah rule beserta diagramnya if (packet_ethernet (p)) {EvalPacket(tree->ethernet->RuleList, rule->mode, p)); if (packet_IP (p)) {EvalPacket(tree->ethernet->IP->RuleList, rule->mode, p)); if (packet_tcp (p)) {EvalPacket(tree->ethernet->IP->TCP->RuleList, rule->mode, p)); if (packet_HTTP (p)){ do_http_stuff}}}} Sistem keamanan ini menggunakan prinsip sentralisasi database untuk menyimpan semua alert yang berasal dari sensor maupun
log dari
firewall. Informasi yang tersimpan pada database ini juga merupakan input untuk pengawasan keamanan jaringan yang dilakukan oleh firewall system dan monitoring system. 3.3. Perancangan Implementasi Sistem Dalam tahap perancangan implementasi, hal yang harus diperhatikan adalah rancangan arsitektur, karena IPS yang akan dibuat adalah integrasi dari beberapa software Open Source, kelayakan pengimplementasian dan kebutuhan terhadap segala yang mendukung perancangan secara nonteknis berupa perancangan konfigurasi.
87
Internet
Gateway IPS Server
Firewall IPS
IPS
Switch
Protected DMZ Local Network
Gambar 3.7 Gambaran Topologi IPS Gambar di atas menggambarkan bahwa IPS di posisikan satu level dengan firewall, dengan demikian bahwa dimana jika terjadi suatu penyusupan terhadap jaringan komputer kita maka aka terfilterisasi terlebih dahulu sebelum masuk ke dalam jaringan.
88
3.4.1. Perancangan Integrasi IPS Sistem keamanan ini bertujuan untuk mencegah dan melindungi jaringan dengan kemampuan merespon serta aksi terhadap suatu intrusi sesuai
dengan
kebijakan
keamanan.
Perancangan
arsitektur
untuk
mewujudkan metode ini perlu di rancang komponen-komponen sistem keamanan jaringan berupa: 1. Intrusion Detection System (IDS) a. Snort Engine b. Rule Snort 2. Database System 3. IPS Engine 4. IPTables 5. Monitoring Sistem
89
Paket Data Snort Engine
Alert User
Rules Database
Mysql + web base ( History )
Mysql + web interface
IPS Engine
IPTables Firewall Gambar 3.8 Blok diagram System Keamanan IPS open source
90
Dari diagram pada gambar 3.8 IPS yang akan dipakai merupakan integrasi dari beberapa aplikasi open source dimana ada beberapa modul yang akan digunakan didalamnya diantaranya sebagai berikut : 1. Snort Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membandingkannya dengan rule Snort. Dalam sistem Linux, untuk mendeteksi apakah snort engine dalam keadaan aktif atau tidak dengan melihat prosesnya seperti contoh di bawah ini. [root@localhost rules]# ps aux | grep snort
Contoh diatas menunjukkan bahwa snort engine dalam keadaan aktif dengan proses ID 3060 dan dijalankan oleh user ”root” Cara kerja snort akan digambarkan pada flowchart berikut
91
Network Traffic
Decoder Engine
Preprocessor
Detection Engine
Output Engine
Log File
Response
Gambar 3.9: Flowchart Snort Engine Network traffic yang berisi paket data, akan di ambil oleh snort decoder. Snort decoder men-decode paket ke dalam data stukrtur snort untuk di analisa. Kemudian paket data diteruskan ke preprocessor untuk dilihat paket header-nya dan informasi didalamnya. Kemudian paket data diteruskan menuju detection engine.
Dengan
menggunakan
rule,
detection
engine
membandingkan antara paket data dan rule dan memutuskan apakah paket data bisa lewat atau akan di drop. Output engine memberikan hasil dari detection engine dalam format terpisah seperti log file atau database. Dan berdasarkan hasil dari
92
detection engine, Snort bisa mengambil tindakan lebih lanjut untuk merespon paket tersebut. 2. Rule Snort Modul ini menyediakan rule-rule berupa pattern jenis serangan. Rule ini berupa file text yang disusun dengan aturan tertentu. Rule Snort merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort ini, harus di update secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. alert tcp $EXTERNAL NET alert tcp $EXTERNAL NET any -> $HTTP SERVERS $HTTP PORTS (msg:"WEB-IIS unicode directory traversal attempt"; flow:to server, established; content:¨/..%c0%af../"; nocase; classtype:web-application-attack; reference:cve, CVE-2000-0884; sid:981; rev:6;) Rule di atas terdiri dari 2 bagian: header dan option. Bagian ”alert” adalah header dan selebihnya merupakan option. 3. Alert Alert merupakan catatan serangan pada deteksi penyusupan. Jika snort engine menghukumi paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai modul tambahan pada Snort. Contoh alert sebagai berikut:
93
[**] [1:499:3] ICMP Large ICMP Packet [**] [Classification: Potentially Bad Traffic] [Priority: 2] 05/09-20:15:14. 895348 10.1.4.113 -> 10.1.3.126 ICMP TTL:128 TOS:0x0 ID:6316 IpLen:20 DgmLen:65528 Type:8 Code:0 ID:512 Seq:3072 ECHO [Xref => http://www.whitehats.com/info/IDS246]
Contoh alert di atas merupakan alert ketika terdapat paket data dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang dianggap sebagai serangan oleh Snort karena pola paket data tersebut terdapat dalam rule Snort. Hubungan ketiga komponen IDS dijelaskan dalam gambar berikut:
Paket Data Snort Engine
Alert
Rule Database
Gambar 3.10 Komponen Alert Snort 4. IPTables Firewall digunakan untuk membuka dan menutup akses sesuai dengan rule yang dibuat, dalam hal ini rule akan dinamis sesuai dengan kondisi yang dideteksi oleh IDS.
Firewall yang
digunakan
Iptables
dalam
eksperimen
merupakan firewall bawaan Linux
ini
adalah
yang
94
NETWORK
PREROUTING
POSTROUTING
NAT, Mangle
NAT, Mangle FORWARD Filter, Mangle
INPUT
PREROUTING
Filter, Mangle
Filter, NAT, Mangle
Local Service Www, ftp, mail
Keterangan
Chain INPUT
Gambar 3.11 Sekema filterisasi PREROUTING Dimana kita bisa memanipulasi paket network sebelum dia memasuki keputusan routing, apakah ia akan masuk ke dalam Linux kita atau hanya sekedar lewat. INPUT Dimana kita bisa melakukan pemeriksaan terhadap paket network yang akan masuk ke dalam Linux kita FORWARD Pemeriksaan terhadap paket network yang hannya numpang melintas pada Linux kita.
95
OUTPUT Dimana kita melakukan pemeriksaan terhadap paket network yang dihasilkan oleh Linux kita keluar sebelum routing POSTROUTING Titik dimana kita bisa melakukan manipulasi terhadap paket yang akan keluar dari Linux kita. TABEL FILTER Tempat rule-rule yang berkaitan dengan boleh atau tidaknya suatu paket network melewati sebuah CHAIN di atas. TABEL NAT Singkatan dari Network Address Translation, yaitu tabel tempat rule-rule yang berkaitan dengan manipulasi suatu paket network ketika melewati CHAIN PREROUTING, POSTROUTING, dan OUTPUT. TABEL MANGLE Tempat rule-rule yang berkaitan dengan manipulasi suatu paket network untuk keperluan advance, seperti QOS (quality of service), packet marking 5. IPS Engine IPS
engine merupakan sistem yang akan membaca alert
kemudian memerintahkan firewall untuk menutup akses paket data dari penyerang. Cara kerja IPS engine digambarkan dalam flowchart berikut ini:
96
Start
Baca Alert Mysql T Ada Alert ? Y
Database Mysql
Update Rule IPTable
Block IP INtruder
End
Gambar 3.12 Flowchart IPS Engine IPS engine akan memerintahkan iptables untuk menutup akses bagi penyerang ketika aktivitas tersebut terdeteksi oleh snort. Dalam eksperimen ini, proses pembacaan alert dan update rule pada firewall dilakukan secara otomatis dengan meletakkan program IPS engine (yang ditulis dalam bahasa PERL) di crontab (scheduling task). Jadi, ketika terjadi usaha penyusupan dan terdeteksi oleh IDS, maka IPS engine akan memerintahkan firewall untuk menutup akses dari IP address penyerang, adapun
97
jika pada waktu yang lain pengelola IPS akan membuka IP address. IP address yang telah melakukan penyerangan, hal ini dapat dilakukan dengan menghapus isi alert pada serangan dari IP yang dimaksud pada database ACID. Start
Setup Configuration Snort
Scan ARP
Search
Snort Processing
Home
Detec Intrusion
Process Output
Alert
End
Gambar 3.13 Flowchart Sistem Administrasi IPS Flowchart diatas merupakan langkah script menjalankan Snort Inline. Pertama kali menjalankan proses Setup Snort yang akan digunakan untuk mengisi alamat alamat IP LAN, subnet dari IP
98
LAN dan alamat IP dari DNS. Setelah itu script menjalankan scanning ARP dan kemudian Snort dijalankan, dimana saat sebelum menjalankan Snort, iptables dan bridge akan diperiksa apakah sudah aktif atau belum, apabila belum aktif maka program
akan
mengaktifkannya.
Ketika
sistem
berhasil
mendeteksi adanya serangan, maka akan menghasilkan output alert. Proses cek-IPS digunakan untuk memastikan apakah sistem IPS sedang berjalan, apabila sedang berjalan maka pengguna dapat menentukan untuk mematikan sistem IPS. Sedangkan pada proses search, digunakan untuk melihat berapa paket data tidak normal yang telah di kirim oleh penyerang. 3.4.2.
Perancangan Arsitektur Anomaly Detection Penyusupan didefinisikan sebagai kegiatan yang bersifat anomaly,
incorrect atau inappropriate yang terjadi dijaringan atau host. Ada beberapa pendekatan yang dilakukan. Diantaranya : •
Knowledgebased atau missu detection. Mengenali adanya penyusup dengan cara menyadap paket data kemudian membandingkanya dengan database rule (berisi signature-signature serangan) jika paket data mempunyai pola yang sama atau setidaknya salah satu polanya terdapat di database rule, maka akan dianggap sebagai adanya serangan.
•
Behavior based atu anomaly based, pendekatan ini mengenali adanya
penyusup
dengan
mengamati
adanya
kejanggalan-
99
kejanggalan pada sistem atau adanya peyimpangan-penyimpangan dari
kondisi normal,
diantaranya
penggunaan
memory
yang
melonjak secara terus menerus atau koneksi parallel dari 1 port IP dalam jumlah banyak dan dalam waktu yang bersamaan.
Gambar 3.14 : Proses Sistem Deteksi Anomali Rule dan signature hanya berisi pola serangan yang selalu di update secara rutin karena ada serangan baru setiap hari. Proses deteksi anomaly tidak menggunakan rule ataupun signature hanya mengamati kondisi
100
normal dari sistem jaringan, jika suatu waktu kondisi jaringan tidak normal hal ini dianggap sebagai suatu serangan. Keunggulan dari sistem ini bisa mengenali serangan baru yang polanya tidak ada pada rule dan signature. IPS yang dibangun menggunakan dua sistem deteksi ini untuk mengatasi masalah serangan yang terjadi. Jika suatu pola serangan tidak ada pada rule dan signature maka sistem deteksi anomaly berfungsi untuk mencari pola serangan baru. Arsitekture dari sistem ini dalam mendeteksi suatu paket atau event mempunyai setidaknya tiga proses, yaitu detection anomaly, missue detection, dan diagnosis feedback. Hal ini memungkinkan IPS Open source yang dibangun mengenali jenis serangan yang baru, seperti pola arsitektur berikut ini
101
Gambar 3.15 : Arsitektur proses Anomaly detection dan Missue Detection Untuk membangun suatu Intrusion Prevention System yang Open Source diperlukan berbagai informasi yang relevan dengan berbagai rumusan, ide pokok pemecahan masalah dan model sistem yang akan dibangun. Dari analisis yang ada pada Intrusion Prevention Sistem khususnya Aplikasi Open Source yang akan dirancang khusus untuk memonitor jaringan secara real time. 3.5. Perancangan Konfigurasi Sistem Pada perancangan ini dibagi menjadi dua tahap yaitu perancangan pada sisi server yang akan digunakan IPS dan pada sisi client sebagai attacker.
102
3.5.1. Perancangan Pada Server Intrusion Prevention System yang dibangun bersifat Open source menggunakan sistem operasi Linux. Penggunaan linux disini menggunakan distributor (distro) Debian 6 yang dirancang khusus untuk digunakan dalam keamanan jaringan komputer. Jenis distro ini dipilih karena banyaknya aplikasi keamanan yang mendukung untuk mengimplentasikan IPS yang open source. Penempatan server pada topologi seperti gambar dibawah ini :
Internet
DMZ Server IPS Engine
Server IPS Engine Intranet Gambar 3.16 : Topologi Jaringan IPS
103
Proses perancangan pada sisi server ada beberapa tahap. Tahaptahap perancangan pada sis server bisa dilihat pada gambar berikut ini. Mulai
Persiapan Hardware
Instalasi Debian 6
Configurasi IP Address
Instalasi Snort , BlockIT, IPTable Database Signature
Configurasi Snort, BlockIT, IPTable
Selesai
Gambar 3.17 : Diagram Alir perancangan di sisi Server Proses pertama dalam perancangan server adalah instalasi Debian 6 pada PC yang akan dikhususkan untuk server IPS. Kemudian dilakukan update agar sistem operasi bekerja lebih stabil.
104
Kebutuhan perangkat lunak yang digunakan pada server adalah sistem operasi Debian
beserta
paket
instalasinya
dengan dukungan
perangkat keras yang memadai. 3.5.2. Perancangan pada Client (Attacker) Perancangan pada sisi client dengan menyiapkan PC agar mampu melakukan
penetrasi
terhadap
server.
Tahap-tahap
perancangan
ini
dilakukan dengan melakukan instalasi nmap untuk dapat mengekploitasi server IPS. Tahap–tahap perancangan pada sisi client dapat dilihat pada gambar berikut ini
Gambar 3.18 : Diagram alir perancangan di sisi Klien Adapun kebutuhan perangkat lunak yang digunakan adalah Nmap Network Security scanning dan beberapa add ons seperti NSE (Nmap Script Engine) untuk melakukan penetrasi dan ekplotasi ke mesin IPS
105
3.5.3. Perancangan Pengujian Sistem Pengujian sangat diperlukan sebagai tahap awal sebelum tahap implementasi dengan mengukur penggunaan IPS dan kestabilan aplikasi yang dijalankan. pengujian ini akan dilakukan pada jaringan internal dengan kebutuhan perangkat satu buah server dan client sebagai attacker. Gambaran topologi untuk simulasi pengujian IPS sebagai berikut : Server IPS
Attacker
Attacker
Gambar 3.19 : Topologi jaringan pengujian IPS Adapun prosedur dari pengujian tersebut adalah : 1. Tiap klien (attacker) terkoneksi dengan server IPS. 2. Attacker akan melakukan penetrasi ke mesin server dengan beberapa exploit, seperti Ddos, port scanning, bug sistem operasi dan sebagainya. 3. Setelah itu server akan menjalankan aplikasi Snort yang berjalan secara daemon untuk mengidentifikasi pola serangan yang ada.
106
4. Server akan mencatat log dari beberapa percobaan eksploitasi ke dalam file log dan ditampilkan di aplikasi web . 3.5.3.1. Sekenario Pengujian dengan Dos/DDos Attack suatu serangan yang dilakukan untuk membuat komputer atau jaringan komputer tidak dapat menyediakan layanan secara normal. Pada umumnya serangan DoS menargetkan serangan pada bandwidth jaringan komputer atau koneksi jaringan (connectivity). Bandwidth attack
membanjiri jaringan dengan volume traffic yang tinggi,
sehingga semua resources yang ada, tidak dapat melayani request dari legitimate user (user yang sah).
Server Jombie
Jombie
Attacker
Gambar 3.20 : Sekenario teknik Dos/DDos Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem
107
atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut: 1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding. 2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding. 3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server. 3.5.3.2. SYN Flooding Attack SYN flooding attack adalah istilah teknologi informasi dalam bahasa Inggris yang mengacu kepada salah satu jenis serangan Denial of Service yang menggunakan paket-paket SYN. Paket-paket SYN adalah salah satu jenis paket dalam protokol Transmission Control Protocol yang dapat digunakan untuk membuat koneksi antara dua host dan dikirimkan oleh host yang
108
hendak
membuat koneksi,
sebagai langkah pertama pembuatan
koneksi dalam proses TCP Three-way Handshake.
N SY N SY YN S
Server
A AC AC C K K K
Komputer Antah berantah (Tidak ada)
Attacker
Gambar 3.21 : Sekenario teknik SYN Flooding Dalam sebuah serangan SYN Flooding, si penyerang akan mengirimkan paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan Listening yang berada dalam host target. 3.5.3.3. Port Scanning Dalam percobaan ini attacker mencoba untuk mencari celah atau bugs, dimana celah yang di dapat akan di jadikan langkah awal penyusupan atau penyerangan terhadap suatu jaringan.
Scanning Attacker
Gambar 3.21 : Sekenario teknik Scanning Port
Target
109
Metode ini sering dilakukan oleh para attacker untuk mengetahui atau mencari celah dalam arti port yang terbuka untuk menyusup terhadap jaringan yang dituju, tools yang di gunakan yaitu : Nmap Nmap
yang
merupakan singkatan dari Network
Mapper
merupakan tools para hacker yang digunakan untuk melakukan pemetaan
suatu
jaringan.
Dengan Nmap
dapat diketahui,
komputer atau host mana yang aktif dan kira-kira dapat di eksploitasi lebih lanjut. 3.5.3.4. Perangkat keras yang digunakan (hardware) Ada beberapa perangkat baik komputer untuk server maupun klien serta perangkat pendukung yang dibutuhkan dalam tahap pengujian sebagai berikut : 1. Perangkat Server
Prosesor Intel Xeon seri 3000
Motherboard Intel X38ML S3000
RAM DDR2 ECC Registered 2 x 2 GB
Hardisk SCSI Seagate Cheetah 10K (68-pin )
RAID Controler
Ethernet Card ( Dual Port )
CD-ROM Drive 56X Speed
Mouse dan Keyboard
Power Suplay ( PSU )
110
2. Perangkat Klien (attacker)
Processor Intel core i3
Matherboard
RAM 1x2GB
Hardisk 250GB
VGA Card
CD-ROM
Mouse dan keyboard.
3.5.3.5. Perangkat Lunak yang Digunakan (software) 1. Sistem Operasi 2. Pada klien ( attacker) menggubakan windows xp sp2 dan pada server menggunakan linux Backtrak. 3. Snort 9.2 + rule update 4. Mysql 5. Jpgrap 6. Apache 7. Nmap network security 8. NSE
