DALAM IDS (INTRUSION DETECTION SYSTEM) Wahyu S Aji Program Studi Teknik Elektro Universitah Ahmad Dahlan dan Penggiat TeRC (TeUAD Research Centre)

MEDIA ELEKTRIK, Volume 2 Nomor 2, Desember 2007

dan cenderung membentukSERVICE) kurva eksponesial. PEMANFAATAN NOTIFIKASI SMS (SHORT MESSAGE DALAM IDS (INTRUSION DETECTION SYSTEM)

Wahyu S Aji Program Studi Teknik Elektro Universitah Ahmad Dahlan dan Penggiat TeRC (TeUAD Research Centre)

ABSTRAK Penelitian ini mengakaji SMS (Short Message Service) sebagai alat notifikasi dari sebuah IDS (Intrusion Detection System). Dalam penelitian dibuat sebuah SMS gateway. Tujuan SMS Gateway untuk mengirimi administrator jaringan apabila terjadi kejadian yang dianggap bagian dari aktivitas intrusi. SMS gateway juga memberi kemampuan adminitrator jaringan untuk mengambil tindakan secara remote. Hasil peelitian ini menunjukkan bahwa SMS gateway telah berhasil dibuat. Waktu rerata yang dibutuhan oleh SMS gateway memberikan informasi kepada administrator jaringan adalah 1.6 menit. Dalam pengujian sistem, administrator juga dapat memberikan tindakan terhadap server secara remote menggunakan SMS. Tindakan yang disimulasikan adalah mematkan server, mengunci server, serta mereboot server.

Kata kunci: IDS, network security, SMS, administrator , internet ,incident, intrusion, notification, remote

Sejak kemunculannya dalam Internet World Expo ditahun 1996, internet mendapat sambutan luas dan mengalami pertumbuhan yang sangat pesat dari tahun ke tahun. Kekuatannya dalam menyampaikan informasi dan kemampuannya menjembatani komunikasi teks, suara, bahkan visual, menjadikan internet sebagai salah satu media informasi dan komunikasi yang sangat penting sekarang ini. Akan tetapi dengan kondisi internet yang terbuka, berarti menyimpan kemungkinan ancaman atau bahaya bagi sistem yang terhubung ke internet. Hal tersebut sangat disadari oleh pengguna internet. Banyak usaha dilakukan untuk mencegah ancaman tadi menjadi kenyataan. Sebuah kajian tentang keamanan jaringan [Yegeneswaran,2003] memperkirakan usaha serangan instrusi di internet pad tahun 2003 adalah berkisar pada angka 25 milyar usaha serangan per harinya dan cenderung terus meningkat. Menurut catatan CERT/CC (Cert.Org, 2003) menunjukan hal serupa dimana insiden serangan atau ancaman yang dilaporkan dari tahun 1988 sampai tahun 2002 naik dengan cepat

METODE 1. Subyek Penelitian Dalam penelitian ini, subyek penelitian berupa simulasi jaringan dengan piranti keamanan IDS SNORT dan dilengkapi dengan piranti notifikasi berupa pesawat telepon genggam. Komponen dalam penelitian dapat ditampilkan dalam tabel sebagai berikut:

Tabel 1 . Spesifikasi Komponen Sistem Notifikasi IDS No.

Komponen

1.

WebServer

2.

Komputer Penyerang

3.

Hub

4.

Telepon Genggam

5.

Kartu Jaringan

Spesifikasi IP Celeron 4, 240 MB, 60 GB IP 2, 120 MB, 40 B 16 Port, 100Mbs Full Duplex Handphone GSM, Nokia 3310 Etehernet Card, Mendukung 100Mbs

42

Wahyu S Aji, Pemanfaatan Notifikasi SMS dalam IDS (Intrusion Detection System)

2.

Instrumen Penelitian Untuk mewujudkan rancangan Sistem Integrasi Notofikasi SMS dalam IDS, diperlukan alat bantu utama dan alat-alat penguji antara lain : a. PC (Personal Computer) Pentium IV dengan frekuensi detak sebesar 2100 MHz, Kapasitas RAM 240 MB. Alat bantu ini digunakan untuk menulis program dalam bahasa Delphi. b. Bahasa pemrograman Delphi, bahasa pemrograman ini digunakan untuk membuat program dalam penelitian. Versi yang digunakan dalam penelitian adalah Borland Delphi Versi 7 ditambah dengan piranti VCL dari Scibit untuk menghubungkan database MySQL dengan program. c. Piranti lunak WinPcap. Piranti lunak Winpcap digunakan untuk menangkap data dalam jaringan. d. Piranti lunak WinSnort. Winsnort merupakan piranti lunak IDS . e. Piranti lunak IIS 5.1. Piranti IIS 5.1 atau Internet Information Service 5.1 digunakan sebagai web server. f. Mysql. Piranti lunak Mysql digunakan sebagai pengelola database yang dibangkitkan oleh WinSNort. g. Interbase. Interbase digunakan untuk pengelolaan database SMS manager. h. PHP. Piranti lunak PHP digunakan untuk pembuatan script web. i. ToxygenSMS. ToxygenSMS merupakan komponen VCL yang menjebatani komunikasi antara pesawat telepon genggam dengan komputer. Pemilihan ToxyenSMS disebabkan karena kestabilan yang sudah teruji. Pelaksanaan Penelitian Tahap perancangan perangkat keras Tahap perancangan perangkat merupakan kegiatan pembuatan jaringan komputer untuk pengujian . Skema jaringan yang dipergunakan dapat dilihat dalam gambar 1. Jaringan yang digunakan dalam percobaan merupakan jaringan lokal intranet. Media konektor jaringan menggunakan kabel UTP dan dengan kartu Ethernet sebagai kartu adapter jaringan. Dalam skema diatas, Snort yang diinstal difungsikan sebagai pemonitor lalu lintas data menuju server.

Penelitian ini melibatkan beberapa software, gambar 1 menampilkan konfigurasi software dalam diagram blok.

IDS (Snort)

WinP cap

Tabel Refresher

My SQL

Alert Limiter

SMS gateway

Administrator Jaringan

Modul Respons

WinAPI

Gambar 1. Skema jaringan dalam penelitian

Hub

Mesin IDS

Server 169.254.4.129

Mesin Penyerang

3. a.

b.

Perancangan sistem

1)

Konfigurasi perangkat lunak

Gambar 2. Diagram blok sistem Garis besar kerja dari sistem di atas adalah bahwa data yang ditangkap oleh WinPcap akan diolah oleh Snort sesuai dengan rule yang telah ditentukan. Alert yang dibangkitkan oleh Snort akan disimpan di dalam database dengan menggunakan server database MySQL. Oleh subprogram alert limiter, database alert yang tersimpan dalam snort difilter, hasil filter ini ditampung ke dalam tabel yang diberi nama tabel warning, sehingga diharapkan tidak terjadi sms


flooding ke administrator. Setelah terjadi pembaharuan tabel warning maka SMS gateway akan membaca tabel warning kemudian mengirimkannya ke administrator. Disebabkan karena kemungkinan adanya pembengkakkan memori yang diperlukan untuk menyimpan isi tabel-tabel ini, maka isi tabel di atas akan dihapus setelah 24 jam. Tindakan ini perlu dilakukan mengingat kapasitas memori pada mesin yang terbatas yaitu sekitar 6 Gbyte. Sub program ini diberi nama tabel refresher. Modul respons merupakan modul program yang berfungsi melakukan aksi sebagai berikut: a. Mematikan server b. Mereboot server c. Memutus hubungan ke internet d. Menyambung hubungan ke internet e. Mengunci server Aksi yang dijalankan dilakukan berdasarkan instruksi dari pesawat telepon genggam administrator sistem.

signature saat serangan terakhir atau saat cID dari tabel event memiliki harga maksimal. Untuk mengurangi jumlah alert yang akan dikirimkan ke SMS maka sebelum pengiriman dilakukan dengan mengecek skala prioritas dari serangan. Dalam penelitian ini SMS akan dikirimkan apabila skala prioritas serangan adalah memiliki skala 1 atau 2. Untuk mendapatkan posisi terakhir dari record dipakai fungsi recordcount, atau pakai fungsi last lalu diuji dengan eof.

2) Pembentukan komponen sistem a). Pembentukan tabel Dalam penelitian ini server database yang dipilih adalah MySQL, Untuk koneksi database server dengan program digunakan driver My ODBC. Setelah terkoneksi dengan driver MyODBC koneksi selanjutnya menggunakan komponen ADO yang sudah tersedia dalam pallete Delphi . Tabel yang dibentuk dalam MySQL diletakkan database bernama Snort. b).

Konfigurasi tabel. Konfigurasi tabel dalam penelitian dapat digambarkan dalam diagram E-R (EntityRelationship) seperti ditunjukkan pada gambar 3. Alert Limiter Usaha untuk membatasi alert yang dibangkitkan oleh snort sudah dimulai dari file konfigurasi snort. File konfigurasi snort, pada bagian unit diatur untuk membangkitkan alert dengan mengikuti ambang tertentu. Selain memanfaatkan unit treshold dalam Snort, untuk membatasi pesan serangan yang dikirim, dilakukan pembentukan tabel warning. Tabel warning ini berisikan alert serangan dengan prioritas maksimal. Flow chart untuk updating dari isi tabel warning ditunjukkan pada gambar 4. Guna mendapatkan nama signature dari serangan terakhir dilakukan operasi query terhadap tabel signature dengan parameter bahwa sig_id dari tabel signature adalah sama dengan

Gambar 3. Diagram E-R tabel snort

c)

d)

SMS Manager SMS Manager berfungsi mengatur fitur – fitur yang terdapat dalam program yaitu pengaturan buku telepon, pengaturan pesan masuk dan pengaturan pesan keluar. Diagram DFD dalam SMS Manager ini dapat dilihat dalam gambar 5. e)

IDS Manager Bagian IDS manager merupakan bagian yang berfungsi untuk melakukan aktivasi IDS. DFD dari bagian IDS manager diperlihatkan pada gambar 6.

44


Dalam gambar 6 seorang admin melakukan aktivasi sistem serta melakukan pengeditan terhadap tabel buku telepon. Setelah aktivasi sistem, maka akan terjadi pembaruan tabel Start

Baca alert ID

Adakah alert baru? Baca Sig_ID dalam Event

ID termasuk skala 1?

Baca_Sig Name di Tabel Signature

menjalankan IIS 5.0 sebagai web server. Selain berfungsi sebagai web server, server korban juga menyediakan layanan SQL server dengan menjalankan program MySQL. Dalam penelitian ini MySQL menjalankan database Situsku yang di dalamnya terdapat sebuah tabel bernama tabel anggota. Tujuan pembentukan tabel anggota adalah untuk melakukan simulasi serangan SQL attack. Struktur tabel anggota memiliki 4 kolom yaitu kolom nomer, nama, alamat dan nomor telepon. Dalam web server korban juga disediakan halaman PHP yang bertugas untuk melakukan query ke database Situsku. g)

Pembentukan host penyerang Host penyerang berfungsi untuk menjalankan serangan ke server korban. Dalam penelitan ini digunakan dua buah komputer penyerang yang masing-masing bernama http:\\laptop\ dengan alamat ip 169.254.44.92 danhttp:\\teuad2\ dengan alamat ip 169.254.11.94 h)

Baca_CiD diTabel Event

Baca Timestamp di Tabel Event

Update tabel warning

End

Gambar 4. Flow chart pembaruan isi tabel warning warning dalam selang waktu yang telah ditentukan. Apabila terjadi penambahahan tabel warning dan setelah dilakukan pengujian terhadap SiG dan ternyata merupakan serangan baru maka dilakukan pengiriman SMS ke administrator. Modul respons berfungsi untuk melakukan aksi tertentu. Aksi ini dikirimkan oleh administrator melewati pesawat telepon genggam admin. f) Pembentukan server victim Jaringan yang dibentuk dalam percobaan ini merupakan jaringan intranet lokal dengan sebuah server korban dan 2 buah server penyerang. Server korban ini memiliki alamat http:\\ victim\ dengan alamat IP 169.254.11.93. Sistem operasi dari server korban adalah Windows XP SP1 dan

Konfigurasi Snort h.1 Konfigurasi preprocesor Dalam penelitian ini konfigurasi preposesor yang digunakan adalah sebagai berikut: · Preprocessor Frag3. Konfigurasi preprocesor frag3 bertujuan untuk defragmentasi IP oleh Snort. · Preprocessor Stream4. Preprossesor ini digunakan untuk penyusunan ulang aliran paket data TCP. · Preprocesor sfPortscan. Preprossesor ini digunakan untuk mendeteksi usaha yang berupa scanning port dari korban. h.2 Konfigurasi output plug in Snort dikonfigurasi agar mendukung operasi plug-in ke dalam database MySQL. Sintak untuk konfiguasri plugin adalah sebagai berikut: output database: log, mysql, user=snort password=logger dbname=snort host=localhost port=3306 Tipe output adalah log, hal ini berarti informasi yang didapat Snort akan dimasukkan ke dalam tabel. Database yang digunakan adalah database yang diberi nama Snort. Selain menggunakan database, output plug in dari snort juga dikonfigurasi untuk menggunakan file log, dengan sintak konfigurasi sebagai berikut:


output ALERT_FAST: alert.ids

Gambar 6. Diagram DFD IDS Mana

Alert_fast menunjukkan tipe informasi yang dipilih, sedangkan alert.ids merupakan nama file log tempat menyimpan data. Posisi file log ditentukan dalam perintah saat menjalankan Snort.

Untuk menjalankan Snort dalam mode IDS dijalankan perintah: Snort –i2 –c D:\winids\snort\etc\snort.conf –l D:\winids\snort\mysql\data\snort

Tabel Buku Telepon

No telepon tersimpan

Penyimpanan no. Telepon

No telepon terpilih

Teks inbox tersimpan

Form no telepon Penyimpanan Inbox Text in box terpilih

Admin

Text smsm kirim

Tabel Inbox

Text smsm kirim tersimpan

Tabel outbox

Penyimpanan text outbox Text sms kirim

Text sms datang terpilih Text sms terkirim

Text sms terkirim

No telepon Perintah kirim Text

Pesawat HP

Pesawat HP Admin

Pengiriman SMS

no telepon Text sms

Gambar 5. Diagram DFD SMS Manager

Admin

Data aktivasi snort

Snort

Validated TimeStamp

Tabel BukuTelpo

Penyegaran Serangan

Tabel warning

Validated CiD

TimeStamp

Valodated SiG Name

SiG Name Tabel Signature

SiG Name

SiG ID

No Tlp Modul Respons

Databases Snort

SMS Gateway Data aktivasi respons

CiD

Sig Name, TimeStamp

Teks SMS Data aktivasi respons Hp server

Tabel Event

TimeStamp

Teks SMS Hp Admin

46


Serangan ini dapat ditangkap oleh IDS manager . Gambar 7 menampilkan tampilan IDS manager saat menangkap usaha probing dalam simulasi ini. i). SMS Gateway Komponen SMS gateway ini berfungsi sebagai pengirim pesan peringatan ke handphone admin. Tabel yang digunakan dalam komponen SMS gateway meliputi tabel : · Tabel phone book · Tabel warning Kedua tabel di atas tidak memiliki hubungan E-R sehingga masing-masing berdiri sendiri.

HASIL DAN PEMBAHASAN 1. Pengujian Sistem Pengujian sistem dilakukan dengan cara melakukan simulasi serangan atau aktifitas yang nantinya akan dideteksi oleh sensor dan sistem menanggapinya dengan mengirim pesan ke administrator. 2. Menjalankan Snort Dalam percobaan interface jaringan yang digunakan adalah berupa ethernet. Snort dijalankan dengan mode IDS dan mode output logging ke database Mysql yang diberi nama Snort. Untuk menjalankan mode tersebut sintak command prompt dari adalah sebagai berikut:

Gambar 7. Tampilan IDS Manager saat menangkap usaha probing Dalam Gambar 7 nomor pesawat telepon genggam dalam simulasi adalah 081802727866. Serangan ini tertangkap dengan nama serangan WEB PHP test_php accses dengan waktu saat terjadinya serangan adalah tanggal 14/06/2007 pada pukul 09:49:00 AM. IDS manager berhasil mengirimkan informasi adanya upaya probing ke pesawat telepon genggam administrator, hal ini ditunjukkan dalam gambar 8.

Snort –i2 –iv –c D:/winids/snort/etc/snort.conf –l D:/winids/snort/log/alert. 3. Probing PHP test Aktifitas probing dengan tujuan untuk mendapatkan informasi tertentu dari web korban, biasanya merupakan awal dari kegiatan untuk melakukan kompromisasi web korban. Dalam simulasi ini dibuat dengan skenario pemberian perintah test.php untuk memanfaatkan fungsi phpnfo() oleh penyerang terhadap web server korban. Guna mendeteksi serangan diatas aturan snort yang digunakan dalam percobaan adalah sebagai berikut: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-PHP test.php access"; flow:to_server,established; uricontent:"/test.php"; reference:nessus,11617; classtype:web-applicationactivity; sid:2152; rev:1;)

Gambar 8. Tampilan pesan di pesawat Admin Dalam gambar 8, pesan diterima oleh admin pada tanggal 14/06/2007 dan pada pukul 09:51: 16 dengan signature serangan test php acces. 4. Serangan SQL Injection Simulasi serangan SQL injection dilakukan dengan cara mesin penyerang memberikan perintah URL ke server korban dengan sintak sebagai berikut (: http:\\victim\nama.php? nama=joni;or 1=1 http:\\victim\nama.php? nama=joni; ”or 1=1


http:\\victim\nama.php? nama=joni; ”1=1— http:\\victim\nama.php? nama=joni; ‘or’a=’a http:\\victim\nama.php? nama=joni; ”or”a=”a http:\\victim\nama.php? nama=joni; ”or 0=0-http:\\victim\nama.php? nama=joni; or 0=0 http:\\victim\nama.php? nama=joni; ”or 0=0# http:\\victim\nama.php? nama=joni; or 0=0 # http:\\victim\nama.php? nama=joni; or 0=0 # Dalam serangan ini, server htpp:\victim\ memiliki tabel anggota dengan salah satu nama kolomnya adalah ‘nama’. Sidik untuk mendeteksi serangan ini adalah dengan cara mengenali karakter khusus yang disebut sebagai SQL meta-charackter. Karakter ini tergantung dari server database yang digunakan. Sidik dari serangn SQL ini yang dicobakan dalam penelitian ini adalah sebagai berikut: a. /((\%3D)|(=))[^\n]*((\%27)|(\') |(\-\-)|(\%3B)|(;))/i Sidik ini pertamakali mencari adanya karakter = baik dalam bentuk aslinya atau dalam bentuk ekuivalen hexadecimal (%3D) kemudian mengecek adanya karakter single quote , double dash ataupun karakter semi-colon. Sidik ini untuk mengenali serangan SQL yang memanfaatkan karakter single quote untuk memanipulasi query asli sehingga selalu menghasilkan nilai kebenaran yang selalu benar. b. /\w*((\%27)|(\'))((\%6F)|o|(\%4 F))((\%72)|r|(\%52))/ix Sidik serangan ini merupakan perbaikan dari sidik sebelumnya, yaitu dengan menambahkan pengecekan kata ‘or’ baik dalam versi aslinya maupun dalam versi hexadesimal, yaitu dengan memasukkan statemen (\%6F)|o|(\%4F))((\%72)|r|(\%52). c. /((\%27)|(\'))union/ix(\%27)|(\') Sidik ini digunakan untuk mendeteksi usaha serangan SQL dengan menggunakan perintah query ‘union’ d. /exec(\s|\+)+(s|x)p\w+/ix Sidik ini digunakan untuk mendeteksi usaha serangan SQL terhdap sistem yang

menggunakan MSSQL sebagai server database serta Windows XP sebagai sistem operasinya dan penyerang berusaha untuk melakukan eksekusi prosedur yang berbahaya. Guna mendeteksi ancaman di atas, disusun aturan dalam Snort sebagai berikut: #------------------------------------# RULE SIMULASI SERANGAN SQL INJECTION #------------------------------------alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Paranoid"; flow:to_server,established;uricon tent:".php";pcre:"/(\%27)|(\')|(\ -\-)|(%23)|(#)/i"; classtype:Webapplication-attack; sid:9099; rev:5;) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN OR 1=1"; flow:to_server,established; uricontent:"or 1=1"; nocase; classtype:webapplication-activity; sid:1) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN OR 1=1--"; flow:to_server,established; uricontent:"or 1=1--"; nocase; classtype:webapplication-activity; sid:2) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN “OR 1=1"; flow:to_server,established; uricontent:" “or 1=1"; nocase; classtype:webapplication-activity; sid:3) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN “OR 0=0--"; flow:to_server,established; uricontent:"or 1=1"; nocase; classtype:web-application-activity; sid:1) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN OR 0=0#"; flow:to_server,established; uricontent:"or 1=1"; nocase; classtype:webapplication-activity; sid:1) Dalam aturan diatas alamat IP 169.254.223.99 merupakan alamat penyerang sedangkan alamat IP 169.254.11.93 merupakan alamat IP korban , yang dalam hal ini memiliki

48


URL http:\victim. Kata kunci yang digunakan dalam mendeteksi ini adalah kata kunci uricontent, kata kunci ini bertugas mengenali penggunaan sintak query yang tidak umum seperti di atas. IDS manager berhasil menangkap serangan ini dan mengirimkan informasinya ke dalam pesawat telepon genggam admin. Gambar 9 menunjukkan tampilan pesawat telepon genggam setelah menerima pesan adanya usaha untuk melakukan serangan SQL Injection. Hasil pengujian serangan terhadap sistem menghasilkan data yang ditampilkan dalam tabel 2.

Dalam hasil pengujian ini, terbukti sistem telah berhasil dalam mengirimkan pesan peringatan ke administrator saat sensor IDS mendeteksi adanya serangan. Rentang waktu yang terbentang antara saat terjadinya serangan dengan pengiriman SMS tentunya merupakan fungsi dari lalu lintas data operator seluler yang bersangkutan.

a

c

b

d

e

f

Gambar 9. Tampilan pesan pada pesawat telepon genggam saat simulasi serangan SQL injection Tabel 2. Hasil uji sistem terhadap simulasi serangan SQL Injection Nama Serangan SQl attack 1 SQl attack 2 SQl attack 3 SQl attack 4 SQl attack 4 SQl attack 5 SQl attack 6 SQl attack 7 SQl attack 8 SQl attack 9 SQl attack 10 SQl attack 11

Jam Serangan 12.01 12.07 12.11 12.19 12.27 12.35 12.45 12.57 13.05 13.18 13.32 13.50

Jam Kirim SMS 12.02 12.08 12.12 12.21 12.28 12.36 12.47 12.58 13.07 13.20 13.33 13.51

Timeliness 1 menit 1 menit 1 menit 2 menit 1 menit 1 menit 2 menit 1 menit 2 menit 2 menit 1 menit 1 menit

Operator Seluler Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl


5. Serangan Cross Site Scripting (XSS) Fase awal serangan Cross Site Scripting umumnya adalah usaha penyerang untuk melakukan pengecekkan sebuah website memiliki lubang terhadap serangan XSS. Usaha test ini untuk mendapatkan pesan tertentu saat webserver mendapat karakter serangan. Teks untuk probing ini dapat berupa script yang bersifat coba-coba seperti <script>alert (‘document.cookie’) atau menggunakan tag HTML seperti , atau . Bagi penyerang, umumnya untuk menghindari usaha pelacakan terhadap serangan yang dilakukannya, mereka akan menggganti teks tadi dalam bentuk heksadesimal sehingga teks <script> akan berbentuk %3C%73%63%72%69%70%74%3E. Sidik untuk mengenali serangan XSS adalah: /((\%3C)|<)((\%2F)|\/)*[a-z09\%]+((\%3E)|>)/ix Karakter ((\%3C)|<) dalam sidik di atas adalah karakter untuk mengenali kurung buka dalam bentuk ASCII atau dalam bentuk hexadesimal. Karakter ((\%2F)|\/)* dalam sidik di atas adalah untuk mengenali karakter miring muka (forward slash) yang ada, dipakai closing tag serta ekuivalen heksadesimalnya. Teks [a-z09\%]+ - untuk memeriksa alphanumeric string didalam tag atau ekuivalen heksadesimalnya. Karakter ((\%3E)|>) digunakan untuk mengecek untuk mengenali kurung tutup atau ekuivalen hexadesimalnya. Selain dengan sidik di atas, serangan XSS dapat juga menggunakan teknik Untuk mengenali serangan XSS dengan teknik ini, dalam percobaan digunakan sidik sebagai berikut: /((\%3C)|<)((\%69)|i|(\%49))((\%6 D)|m|(\%4D))((\%67)|g|(\%47))[^\n ]+((\%3E)|>) Teks (\%3C)|<) digunakan untuk mengenali karakter kurung buka. Teks (\%69)|i| (\%49))((\%6D)|m|(\%4D))((\%67)|g|(\%47) digunakan untuk mengenali teks ‘img’ dalam aneka kombinasi ASCII. Teks [^\n]+ untuk mengenali adanya sembarang karakter yang mengikuti ) untuk mengenali karakter kurung tutup. Dalam percobaan aturan Snort untuk mengenali serangan XSS adalah sebagai berikut:

Rule Snort untuk serangan XSS =================================== alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"NII Cross-site scripting attempt"; flow:to_server,established; pcre:"/((\%3C)|<)((\%2F)|\/)*[a-z09\%]+((\%3E)|>)/i"; classtype:Web-applicationattack; sid:9000; rev:5;) alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"NII Cross-site scripting attempt"; flow:to_server,established; pcre:" /((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))(( \%67)|g|(\%47))[^\n]+((\%3E)|>)"; classtype:Web-application-attack; sid:9000; rev:5;) Simulasi serangan XSS ini dilakukan dengan car webclient memberikan permintaan sebagai berikut: a.http:\\victim\nama.php?nama= ‘Test’ b.http:\\victim\nama.php?nama=< script>alert(‘tes XSS’) c.http:\\victim\nama.php?nama=alert(‘tes XSS’) Perintah :\\victim\nama.php?nama= ‘Test’ digunakan untuk menguji serangan XSS yang menggunakan teks HTML, sedangkan perintah simulasi http:\\victim\nama.php?nama= <script>alert(‘tes XSS’) digunakan untuk serangan XSS yang menggunakan perintah script. Perintah http:\\victim\nama.php?nama= alert(‘tes XSS’) digunakan untuk simulasi serangan dengan menggunakan teknik . Sistem pengirim informasi serangan telah berhasil mengirimkan pesan peringatan ke pesawat telepon genggam administrator dalam bentuk pesan , data hasil uji system dapat dilihat dalam tabel 3. Tabel 3. Hasil uji coba sistem terhadap simulasi serangan XSS Nama Serangan XSS attack 1 XSS attack 2 XSS

Jam Serangan

Jam Kirim SMS

Timelines

Operator Seluler

11.00

11.02

2 menit

Pro Xl

11.05

11.07

2 menit

Pro Xl

11.09

11.10

1 menit

Pro Xl

50


attack 3

Dalam hasil pengujian ini, terbukti sistem telah berhasil dalam mengirimkan pesan peringatan ke administrator saat sensor IDS mendeteksi adanya serangan. Rentang waktu yang terbentang antara saat terjadinya serangan dengan pengiriman SMS tentunya merupakan fungsi dari lalu lintas data operator seluler yang bersangkutan. 6. Pelanggaran kebijakan Simulasi pelanggaran kebijakan dalam penelitian ini adalah adanya usaha untuk mengakses web site yang menyajikan informasi untuk pria/wanita dewasa. Dalam mailing list bugtraq, usaha akses situs dewasa ini dapat dikenal dengan adanya data yang mengandung kata-kata seperti hardcore, fetish , young teen, tinygirl, dan ungkapan yang sejenis. Guna mendeteksi usaha pengaksesan situs dewasa ini disusun aturan sebagai berikut: #-------------------------------------#ATURAN DETEKSI USAHA AKSES SITUS DEWASA #--------------------------------------alert tcp 169.254.223.99 $HTTP_PORT -> HOME_NET ANY (msg:"TES USAHA SITUS PORNO 1"; flow:to_client,established; content:"HARDCORE”; nocase; 1.1 classtype:kickass-porn; ) alert tcp 169.254.223.99 $HTTP_PORT -> HOME_NET ANY (msg:"TES USAHA SITUS PORNO 2"; flow:to_client,established; content:"young teen”; nocase; classtype:kickassporn; ) alert tcp 169.254.223.99 $HTTP_PORT -> HOME_NET ANY (msg:"TES USAHA SITUS PORNO 3"; flow:to_client,established; content:"fetish”; nocase; classtype:kickass-porn; )

Pengujian modul respon bertujuan untuk mengetahui unjuk kerja modul respon. Modul respon merupakan modul yang bekerja berdasarkan perintah SMS dari administrator yang telah didefenisikan terlebih dahulu. Perintah tersebut tercantum dalam table 3.4. Dalam pengujian dilakukan simulasi serangan berupa usaha probing phpinfo(), dan admin melakukan perintah untuk mematikan server, mereboot, mengunci, memutus dan menghubungkan server ke jaringan. Hasil pengujian ditampilkan dalam tabel 3.5. Hasil dalam table 3.5 menunjukkan bahwa modul respon telah bekerja dengan baik. Tabel 4. Hasil uji coba sistem terhadap pelanggaran kebijakan Nama Pelanggaran

Jam Pelanggaran

Jam Kirim SMS

Timeliness

Operator Seluler

10.00

10.04

4 menit

Pro Xl

10.10

10.13

3 menit

Pro Xl

10.14

10.16

2 menit

Pro Xl

Akses web dewasa 1 Akses web dewasa 2 Akses web dewasa 3

Tabel 5. Daftar perintah untuk modul respon No 1. 2. 3. 4. 5.

Perintah SMS 0 1 2 3 4

Aksi Mematikan server Mereboot server Mengunci server Memutus hubungan jaringan Menghubungkan ke jaringan internet

SIMPULAN DAN SARAN Berdasarkan data hasil pengujian simulasi serangan yang dilakukan menunjukkan nilai

Tabel 3.5 Hail uji modul respon No. 1. 2. 3. 4. 5.

Jenis simulasi serangan Probing PHP Probing PHP Probing PHP Probing PHP Probing PHP

7. Pengujian modul respon

Waktu Simulasi 10.00 WIB 10.30 WIB 11.00 WIB 11.25 WIB 12.00 WIB

Jenis Perintah Mematikan Server Reboot Mengunci server Memutus koneksi Menghubungkan

Waktu pengiriman perintah 10.05 WIB 10.38 WIB 11.05 WIB 11.30 WIB 12.12 WIB

Waktu eksekusi perintah 10.13 WIB 10.43 WIB 11.12 WIB 11.34 WIB 12.18 WIB

timeliness rata-rata adalah sebesar 1.67 menit.


Hasil ini merupakan perbaikan dari hasil yang ditunjukkan oleh studi sebelumnya (Fawcet,1999) yang berkisar pada angka 13 jam. Hasil pengujian modul respon, menunjukkan bahwa penggunaan notifikasi SMS tidak saja menaikkan unjuk kerja dari sudut timeliness akan tetapi juga memberikan kemampuan admin untuk melakukan tindakan yang perlu dari jarak jauh. Kemampuan ini tidak dapat diperoleh dari sistem notifikasi dengan file log atapun email. Berdasarkan kesimpulan di atas dapat diambil kesimpulan secara umum bahwa dapat dilakukan penggabungan sistem notifikasi melalui SMS ke dalam sistem IDS. Hal ini berarti secara langsung akan meningkatkan keterawasan jaringan dan secara tidak langsung meningkatkan keandalan jaringan. Berdasarkan hasil peneitian ini, maka disarankan : 1. Dalam penelitian ini belum dilakukan simulasi terhadap tipe serangan DoS atau DDoS, sehingga untuk penelitian berikutnya dapat memasukkan simulasi serangan ini. 2. Penelitian ini bersifat percobaan dimana sistem diuji pada LAN percobaan dengan beban lalu lintas data yang rendah sehingga untuk penelitian selanjutnya perlu diujicoba pada sistem yang sesungguhnya. 3. Program dibuat dalam bahasa Delphi dan dijalankan dengan mesin yang menggunakan sistem operasi Windows XP sehingga disarankan pada penelitian selanjutnya untuk menggunakan bahasa pemrograman yang dapat berjalan di mesin dengan sistem operasi yang lain, seperti Linux dan Macintosh. 4. Program ini dibuat dengan pembatasan untuk pesawat merek Nokia, sehingga disarankan untuk penelitian selanjutnya untuk menggunakan pesawat tipe lainnya .

DAFTAR PUSTAKA Anderson, John., 1980. Computer Security Treat Monitoring and Surveillance, James P. Anderson Co., Fort Washington. Baruffi, Rosy, Michela,M. and Montanari.,2002. Planning for Security Management, IEEE Security System and Their Application ,Los Alamitos,CA. Calvin Ko., 1997. Execution Monitoring of Security Critical Program in Distributed Control Sistem: A Specification Based

Approach , IEEE. CERT Statistic.,2002,Htttp:/www.CERT.Org. D.E Denning.,1987. An Intrusion Detection Model, IEEE Trans. Software Eng. David Wagner and Drew Dean .,2001, Intrusion Detection Via Static Analysis, IEEE. Dobrucki, Martin.,2002., Prioritie in the Development of Network Instrusion Detetction System, Master Thesis, Helsinki University of Technology, Fawcet, Tom and Foster Provost.,1999. Activity Monitoring: Noticing Interesting Change in Behaviour, Proceeding of the fifth ACM SIGDD International Conference of on Knowledge Discovery and Data Mining (KDD-99), New York ACM Press., San Diego. Fitriastuti, Fatsyarina.,2005. Pemanfatan Web dan Short Message Service (SMS) sebagai Remote Controller Peralatan Listrik Di Rumah, Thesis S2, UGM. Godal, John., et.Al..,2004. The Work of the Instrusion Detection Rethinking The Role of Security Analisis, Proceedings of the Tenth Americas Conferences on Information Systems, New York. Herve

Debar and Anddreas Wespi.,2003. Agregration and Corellation of Intrusion Detection Sistem. France Telecom R&D, Zurich Laboratary.

Jeremy Frank.,1994, "Artificial Intellegence and Intrusion Detection Sistem: Recent and Future Direction", Kenneth C. Pickering .,2002. Evaluation The Viability Detection of Intrusion Detection Sistem Benchmarking, University of Virginia. Kristopher Kendall.,1999. A Database of Computer Attack for The Evaluation of Intrusion Intrusion Detection Sistem", Master Thesis, MIT. Kumar J. Das, 2000. Attack Developmnet for Intrusion Detection, Master Thesis, MIT. Sandeep Kumar, 1995. Classification and Detection of Computer Intrusion, Doctoral Thesis, Purdue University. Lee Susan C and David V.Hweinbuch.,2000. Building a True Anomaly Detector for Instrusion Detection, Proceeding of

52


MILCOM 2000, 21 Century Millitary Communication Conference Los Angeles CA. NSS Group.,2002. Introduction to Intrusion and Detection System, Intrusion Detection System Group Test (Eddition 3) Product Evaluation.,ICSA Inc. Sekar et al.,1999. A high Performance Network Intrusion Detection System, Proceeding of the 6 th ACM Conference on Computer and Communication Security, Singapore , New York ACM Press. Yegeneswaran.,2003. Internet: Global Characteristic and Prevalence, Proceeding of the 2003 ACM Sigmetrics International Conference on Meus.


Data aktivasi snort Admin

snort

CiD Ip_s Ip_i Sig_ Udp Udp Icm

Validated TimeStamp Validated CiD Tabel warning TimeStamp

Tabel BukuTelpon

Penyegaran Serangan SiG Name

Valodated SiG Name

SiG ID

SiG Name No Tlp

TimeStamp Modul Respons

SMS Gateway

CiD

Data aktivasi respons Sig Name, TimeStamp Teks SMS Data aktivasi respons

Teks SMS Hp Admin

Hp server

Gambar 2.5 Diagram DFD SMS Manager

Gambar 3.6 Diagram DFD IDS Manager Dalam gambar 3.6 seorang admin melakukan aktivasi sistem serta melakukan pengeditan terhadap tabel buku telepon. Setelah aktivasi system maka akan terjadi pembaruan tabel warning dalam selang waktu yang telah

54


ditentukan . Apabila terjadi penambahahan tabel warning dan setelah dilakukan pengujian terhadap SiG dan ternyata merupakan serangan baru maka dilakukan pengiriman SMS ke Administrator. Modul responss berfungsi untuk melakukan aksi tertentu. Aksi ini dikirimkan oleh administrator melewati pesawat telepon genggam admin.

a. Pembentukan server victim Jaringan yang dibentuk dalam percobaan ini merupakan jaringan intranet local dengan sebuah server korban dan 2 buah server penyerang. Server korban ini memiliki alamat http:\\ victim\ dengan alamat IP 169.254.11.93. Sistem operasi dari server korban adalah Windows XP SP1 dan menjalankan IIS 5.0 sebagai web server. Selain berfungsi sebagai web server, server korban juga menyediakan layanan SQL server dengan menjalankan program MySQL. Dalam penelitian ini MySQL menjalankan database Situsku yang didalamnya terdapat sebuah tabel bernama tabel Anggota.

Tujuan pembentukan tabel anggota adalah untuk melakukan simulasi serangan SQL attack. Struktur tabel Anggota memiliki 4 kolom yaitu kolom nomer, nama, alamat dan Nomor Telepon. Dalam web server korban juga disediakan halaman PHP yang bertugas untuk melakukan query ke database Situsku. b. Pembentukan host penyerang Host penyerang berfungsi untuk menjalankan serangan ke server korban. Dalam penelitan ini digunkan dua buah komputer penyerang yang masing-masing bernama http:\\laptop\ dengan alamat ip 169.254.44.92 danhttp:\\teuad2\ dengan alamat ip 169.254.11.94 c. Konfigurasi Snort h.3 Konfigurasi Preprossesor Dalam penelitian ini konfigurasi preposesor yang digunakan adalah sebagai berikut: 8. Preprossesor Frag3. Konfigurasi preprosesor frag3 bertujuan untuk defragmentasi IPoleh Snort. 9. Preprocessor Stream4. Preprossesor ini digunakan untuk penyusunan ulang aliran paket data TCP. 10. Preprossesor sfPortscan. Preprossesor ini digunakan untuk mendeteksi usaha yang berupa scanning port dari korban. h.4 Konfigurasi output plug in Snort dikonfigurasi agar mendukung operasi plugin ke dalam database MySQL. Sintak untuk konfiguasri plug-in adalah sebagai berikut: output database: log, mysql, user=snort password=logger dbname=snort host=localhost port=3306 Tipe output adalah log, hal ini berarti informasi yang didapat Snort akan dimasukkan ke dalam tabel.. Database yang digunakan adalah database yang diberi nama Snort. Selain menggunakan database, output plug in dari snort juga dikonfigurasi untuk menggunakan file log, sdengan sintak konfigurasi sebagai berikut: output ALERT_FAST: alert.ids Alert_fast menunjukkan tipe informasi yang dipilih, sedangkan alert.ids merupakan nama file log tempat menyimpan data. Posisi file log ditentukan dalam perintah saat menjalankan Snort. Untuk menjalankan Snort dalam mode IDS dijalankan perintah:


Snort –i2 –c D:\winids\snort\etc\snort.conf –l D:\winids\snort\mysql\data\snort d. SMS Gateway Komponen SMS gateway ini berfungsi sebagai pengirim pesan peringatan ke handphone Admin.Tabel yang digunakan dalam komponen SMS gateway meliputi tabel : · Tabel Phone Book · Tabel Warning Kedua tabel diatas tidak memiliki hubungan E-R sehingga masing-masing berdiri sendiri.

3. HASIL DAN PEMBAHASAN 11. Pengujian Sistem Pengujian sistem dilakukan dengan cara melakukan simulasi serangan atau aktifitas yang nantinya akan dideteksi oleh sensor dan sistem menanggapinya dengan mengirim pesan ke administrator. 12. .Menjalankan Snort Dalam percobaan interface jaringan yang digunakan adalah berupa Ethernet. Snort dijalankan dengan mode IDS dan mode output logging ke database Mysql yang diberi nama Snort. Untuk menjalankan mode tersebut sintak command prompt dari adalah sebagai berikut: Snort –i2 –iv –c D:/winids/snort/etc/snort.conf –l D:/winids/snort/log/alert. 13. Probing PHP Test Aktifitas probing dengan tujuan untuk mendapatkan informasi tertentu dari web korban biasanya merupakan awal dari kegiatan untuk melakukan kompromisasi web korban. Dalam simulasi ini dibuat dengan skenario pemberian perintah test.php untuk memanfaatkan fungsi phpnfo() oleh penyerang terhadap web server korban. Guna mendeteksi serangan diatas aturan snort yang digunakan dalam percobaan adalah sebagai berikut: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-PHP test.php access"; flow:to_server,established; uricontent:"/test.php"; reference:nessus,11617; classtype:web-applicationactivity; sid:2152; rev:1;)

Serangan ini dapat ditangkap oleh IDS manager . Gambar 3.1 menampilkan tampilan IDS manager saat menangkap usaha probing dalam simulasi ini.

Gambar 3.1 Tampilan IDS Manager saat menangkap usaha probing Dalam Gambar 3.1 nomor pesawat telepon genggam dalam simulasi adalah 081802727866. Serangan ini tertangkap dengan nama serangan WEB PHP test_php accses dengan waktu saat terjadinya serangan adalah tanggal 14/o6/2007 pada pukul 09:49:00 AM. IDS manager berhasil mengirimkan informasi adanya upaya probing ke pesawat telepon genggam administrator , hal ini ditunjukkan dalam gambar 3.2.

a b

56


Gambar 3.2 Tampilan pesan di pesawat Admin Dalam gambar 3.2 , pesan diterima oleh admin pada tanggal 14/06/2007 dan pada pukul 09:51: 16 dengan signature serangan test php acces. 14. Serangan SQL Injection Simulasi serangan SQL injection dilakukan dengan cara mesin penyerang memberikan perintah URL ke server korban dengan sintak sebagai berikut (: http:\\victim\nama.php? nama=joni;or 1=1 http:\\victim\nama.php? nama=joni; ”or 1=1 http:\\victim\nama.php? nama=joni; ”1=1— http:\\victim\nama.php? nama=joni; ‘or’a=’a http:\\victim\nama.php? nama=joni; ”or”a=”a http:\\victim\nama.php? nama=joni; ”or 0=0-http:\\victim\nama.php? nama=joni; or 0=0 http:\\victim\nama.php? nama=joni; ”or 0=0# http:\\victim\nama.php? nama=joni; or 0=0 # http:\\victim\nama.php? nama=joni; or 0=0 # Dalam serangan ini, server htpp:\victim\ memiliki tabel anggota dengan salah satu nama kolomnya adalah ‘nama’. Sidik untuk mendeteksi serangan ini adalah dengan cara mengenali karakter khusus yang disebut sebagai SQL meta-charackter. Karakter ini tergantung dari server database yang digunakan. Sidik dari serangn SQL ini yang dicobakan dalam penelitian ini adalah sebagai berikut: e. /((\%3D)|(=))[^\n]*((\%27)|(\' )|(\-\-)|(\%3B)|(;))/i Sidik ini pertamakali mencari adanya karakter = baik dalam bentuk aslinya atau dalam bentuk ekuivalen hexadecimal (%3D) kemudian mengecek adanya karakter single quote , double dash ataupun karakter semicolon. Sidik ini untuk mengenali serangan SQL yang memanfaatkan karakter single quote untuk memanipulasi query asli

sehingga selalu menghasilkan nilai kebenaran yang selalu benar. f. /\w*((\%27)|(\'))((\%6F)|o|(\% 4F))((\%72)|r|(\%52))/ix Sidik serangan ini merupakan perbaikan dari sidik sebelumnya , yaitu dengan menambahkan pengecekan kata ‘or’ baik dalam versi aslinya maupun dalam versi hexadecimal, yaitu dengan memasukkan statemen (\%6F)|o|(\%4F))((\%72)|r|(\%52). g. /((\%27)|(\'))union/ix(\%27)|(\') Sidik ini digunakan untuk mendeteksi usaha serangan SQL dengan menggunakan perintah query ‘union’ h. /exec(\s|\+)+(s|x)p\w+/ix Sidik ini digunakan untuk mendeteksi usaha serangan SQL terhdap sistem yang menggunakan MSSQL sebagai server database serta Windows XP sebagai sistem operasinya dan penyerang berusaha untuk melakukan eksekusi prosedur yang berbahaya. Guna mendeteksi ancaman diatas disusun aturan dalam Snort sebagai berikut: #------------------------------------# RULE SIMULASI SERANGAN SQL INJECTION #------------------------------------alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Paranoid"; flow:to_server,established;uricon tent:".php";pcre:"/(\%27)|(\')|(\ -\-)|(%23)|(#)/i"; classtype:Webapplication-attack; sid:9099; rev:5;) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN OR 1=1"; flow:to_server,established; uricontent:"or 1=1"; nocase; classtype:webapplication-activity; sid:1) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN OR 1=1--"; flow:to_server,established; uricontent:"or 1=1--"; nocase; classtype:webapplication-activity; sid:2) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN “OR 1=1"; flow:to_server,established;


uricontent:" “or 1=1"; nocase; classtype:webapplication-activity; sid:3) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN “OR 0=0--"; flow:to_server,established; uricontent:"or 1=1"; nocase; classtype:web-application-activity; sid:1) alert tcp 169.254.223.99 any -> $HTTP_SERVERS $HTTP_PORTS (msg:"PERCOBAAN SQL INJECTION DENGAN OR 0=0#"; flow:to_server,established; uricontent:"or 1=1"; nocase; classtype:webapplication-activity; sid:1)

Dalam aturan diatas alamat IP 169.254.223.99 merupakan alamat penyerang sedangkan alamat IP 169.254.11.93 merupakan alamat IP korban , yang dalam hal ini memiliki URL http:\victim. Kata kunci yang digunakan dalam mendeteksi ini adalah kata kunci uricontent, kata kunci ini bertugas mengenali penggunaan sintak query yang tidak umum seperti diatas. IDS manager berhasil menangkap serangan ini dan mengirimkan informasinya ke dalam pesawat telepon genmggam admin. Gambar 3.3 menunjukkan tampilan pesawat telepon genggam setelah menerima pesan adanya usaha untuk melakukan serangan SQL Injection.

a

b

d

e

Gambar 3.3 Tampilan Pesan Pada Pesawat Telepon Genggam Saa

Hasil pengujian serangan terhadap sistem menghasilkan data yang ditampilkan dalam table 3.1. Tabel 3.1 Hasil uji sistem terhadap simulasi serangan SQL Injection Nama Serangan

Jam Serangan

SQl attack 1 SQl attack 2 SQl attack 3 SQl attack 4 SQl attack 4 SQl attack 5 SQl attack 6 SQl attack 7 SQl attack 8 SQl attack 9 SQl attack 10 SQl attack 11

12.01 12.07 12.11 12.19 12.27 12.35 12.45 12.57 13.05 13.18 13.32 13.50

Jam Kirim SMS 12.02 12.08 12.12 12.21 12.28 12.36 12.47 12.58 13.07 13.20 13.33 13.51

Timeliness

Operator Seluler

1 menit 1 menit 1 menit 2 menit 1 menit 1 menit 2 menit 1 menit 2 menit 2 menit 1 menit 1 menit

Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl Pro Xl

Dalam hasil pengujian ini, terbukti sistem telah berhasil dalam mengirimkan pesan peringatan ke administrator saat sensor IDS mendeteksi adanya serangan. Rentang waktu yang terbentang antara saat terjadinya serangan dengan

58


pengiriman SMS tentunya merupakan fungsi dari lalu lintas data operator seluler yang bersangkutan.

15. Serangan Cross Site Scripting (XSS) Fase awal serangan Cross Site Scripting umumnya adalah usaha penyerang untuk melakukan pengecekkan sebuah website memiliki lubang terhadap serangan XSS. Usaha test ini untuk mendapatkan pesan tertentu saat webserver mendapat karakter serangan. Teks untuk probing ini dapat berupa script yang bersifat coba-coba seperti <script>alert(‘document.cookie’) atau menggunakan tag HTML seperti , atau . Bagi penyerang, umumnya untuk menghindari usaha pelacakan terhadap serangan yang dilakukannya, mereka akan menggganti teks tadi dalam bentuk heksadesimal sehingga teks <script> akan berbentuk %3C%73%63%72%69%70%74%3E . Sidik untuk mengenali serangan XSS adalah: /((\%3C)|<)((\%2F)|\/)*[a-z09\%]+((\%3E)|>)/ix Karakter ((\%3C)|<) dalam sidik diatas adalah karakter untuk mengenali kurung buka dalam bentuk ASCII atau dalam bentuk hexadecimal. Karakter ((\%2F)|\/)* dalam sidik diatas adalah untuk mengenali karakter miring muka (forward slash) yang ada dipakai closing tag serta ekuivalen heksadesimalnya. Teks [a-z09\%]+ - untuk memeriksa alphanumeric string didalam tag atau ekuivalen heksadesimalnya. Karakter ((\%3E)|>) digunakan untuk mengecek untuk mengenali kurung tutup atau ekuivalen hexadesimalnya. Selain dengan sidik diatas, serangan XSS dapat juga menggunakan teknik Untuk mengenali serangan XSS dengan teknik ini , dalam percobaan digunakan sidik sebagai berikut: /((\%3C)|<)((\%69)|i|(\%49))((\%6 D)|m|(\%4D))((\%67)|g|(\%47))[^\n ]+((\%3E)|>) Teks (\%3C)|<) digunakan untuk mengenali karakter kurung buka.Teks (\%69)|i|(\%49))((\%6D)|m|(\%4D))((\%67)|g|(\ %47) digunakan untuk mengenali teks ‘img’ dalam aneka kombinasi ASCII. Teks [^\n]+ untuk mengenali adanya sembarang karakter yang mengikuti ) untuk mengenali karakter kurung tutup.

Dalam percobaan aturan Snort untuk mengenali serangan XSS adalah sebagai berikut: Rule Snort untuk serangan XSS =================================== ======================= alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"NII Cross-site scripting attempt"; flow:to_server,established; pcre:"/((\%3C)|<)((\%2F)|\/)*[a-z09\%]+((\%3E)|>)/i"; classtype:Web-applicationattack; sid:9000; rev:5;) alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"NII Cross-site scripting attempt"; flow:to_server,established; pcre:" /((\%3C)|<)((\%69)|i|(\%49))((\%6D)|m|(\%4D))(( \%67)|g|(\%47))[^\n]+((\%3E)|>)"; classtype:Web-application-attack; sid:9000; rev:5;) Simulasi serangan XSS ini dilakukan dengan car webclient memberikan permintaan sebagai berikut: a.http:\\victim\nama.php? nama= ‘Test’ b.http:\\victim\nama.php? nama=<script>alert(‘tes XSS’) c.http:\\victim\nama.php? nama=alert(‘tes XSS’) Perintah :\\victim\nama.php?nama= ‘Test’ digunakan untuk menguji serangan XSS yang menggunakan teks HTML, sedangan perintah simulasi http:\\victim\nama.php?nama=<script>alert(‘tes XSS’) digunakan untuk serangan XSS yang menggunakan perintah script. Perintah http:\\victim\nama.php?nama=alert(‘te s XSS’) digunakan untuk simulasi serangan dengan menggunakan teknik . Sistem pengirim informasi serangan telah berhasil mengirimkan pesan peringatan ke pesawat telepon genggam administrator dalam bentuk pesan , data hasil uji system dapat dilihat dalam table 3.2. Tabel 3.2 Hasil uji coba sistem terhadap simulasi serangan XSS Nama Serangan XSS attack 1

Jam Serangan 11.00

Jam Kirim SMS 11.02

Timeliness

Operator Seluler

2 menit

Pro Xl


XSS attack 2 XSS attack 3

11.05 11.09

11.07 11.10

2 menit 1 menit

Pro Xl Pro Xl

Dalam hasil pengujian ini, terbukti sistem telah berhasil dalam mengirimkan pesan peringatan ke Administrator saat sensor IDS mendeteksi adanya serangan. Rentang waktu yang terbentang antara saat terjadinya serangan dengan pengiriman SMS tentunya merupakan fungsi dari lalu lintas data operator seluler yang bersangkutan. 16. Pelanggaran kebijakan Simulasi pelanggaran kebijakan dalam penelitian ini adalah adanya usaha untuk mengakses web site yang menyajikan informasi untuk pria/wanita dewasa. Dalam mailing list bugtraq, usaha akses situs dewasa ini dapat dikenal dengan adanya data yang mengandung kata-kata seperti hardcore, fetish , young teen, tinygirl, dan ungkapan yang sejenis. Guna mendeteksi usaha pengaksesan situs dewasa ini disusun aturan sebagai berikut: #-------------------------------------#ATURAN DETEKSI USAHA AKSES SITUS DEWASA #--------------------------------------alert tcp 169.254.223.99 $HTTP_PORT -> HOME_NET ANY (msg:"TES USAHA SITUS PORNO 1"; flow:to_client,established; content:"HARDCORE”; nocase; classtype:kickass-porn; ) alert tcp 169.254.223.99 $HTTP_PORT -> HOME_NET ANY (msg:"TES USAHA SITUS PORNO 2"; flow:to_client,established; content:"young teen”; nocase; classtype:kickassporn; ) alert tcp 169.254.223.99 $HTTP_PORT -> HOME_NET ANY (msg:"TES USAHA SITUS PORNO 3"; flow:to_client,established; content:"fetish”; nocase; classtype:kickass-porn; )

Tabel 3.3 Hasil uji coba sistem terhadap pelanggaran kebijakan Nama Pelanggaran Akses web dewasa 1 Akses web dewasa 2 Akses web dewasa 3

Timeline s

Operator Seluler

10.00

Jam Kirim SMS 10.04

4 menitt

Pro Xl

10.10

10.13

3 menit

Pro Xl

10.14

10.16

2 menit

Pro Xl

Jam Pelanggaran

Hasil tanggapan sistem menunjukkan bahwa sistem berhasil menangkap kegiatan pelanggaran aturan ini dan melakukan pengiriman SMS ke Administrator. Tabel lengkap disaijkan dalam tabel Hasil Simulasi Pelanggaran Kebujakan dalam tabel 3.3. 17. Pengujian modul respon Pengujian modul respon bertujuan untuk mengetahui unjuk kerja modul respon. Modul respon merupakan modul yang bekerja berdasarkan perintah SMS dari administrator yang telah didefenisikan terlebih dahulu. Perintah tersebut tercantum dalam table 3.4. Tabel 3.4 Daftar perintah untuk modul respon No 1. 2. 3. 4. 5.

Perintah SMS 0 1 2 3 4

Aksi Mematikan server Mereboot server Mengunci server Memutus hubungan jaringan Menghubungkan ke jaringan internet

Dalam pengujian dilakukan simulasi serangan berupa usaha probing phpinfo(), dan admin melakukan perintah untuk mematikan server, mereboot, mengunci, memutus dan menghubungkan server ke jaringan. Hasil pengujian ditampilkan dalam tabel 3.5. Tabel 3.5 Hail uji modul respon

N o.

1.

2.

3.

4.

5.

Jenis simul asi seran gan

Wakt u Simu lasi

Probi ng PHP Probi ng PHP Probi ng PHP Probi ng PHP Probi ng PHP

10.0 0 WIB 10.3 0 WIB 11.0 0 WIB 11.2 5 WIB 12.0 0 WIB

Jenis Perintah

Waktu pengiri man perinta h

Mematika n Server

10.05 WIB

Reboot

10.38 WIB

Mengunci server

11.05 WIB

Memutus koneksi

11.30 WIB

Menghubu ngkan

12.12 WIB

Wakt u ekse kusi perin tah 10.1 3 WIB 10.4 3 WIB 11.1 2 WIB 11.3 4 WIB 12.1 8 WIB

60


Hasil dalam table 3.5 menunjukkan bahwa modul respon telah bekerja dengan baik.

3. PENUTUP 3.1 .Kesimpulan Berdasarkan data hasil pengujian simulasi serangan yang dilakukan menunjukkan nilai timeliness rata-rata adalah sebesar 1.67 menit. Hasil ini merupakan perbaikan dari hasil yang ditunjukkan oleh studi sebelumnya[Fawcet,1999]yang berkisar pada angka 13 jam Hasil pengujian modul respon, menunjukkan bahwa penggunaan notifikasi SMS tidak saja menaikkan unjuk kerja dari sudut timeliness akan tetapi juga memberikan kemampuan admin untuk melakukan tindakan yang perlu dari jarak jauh. Kemampuan ini tidak dapat diperoleh dari sistem notifikasi dengan file log atapun email. Berdasarkan kesimpulan diatas dapat diambil kesimpulan secara umum bahwa dapat dilakukan penggabungan sistem notifikasi melalui SMS ke dalam sistem IDS. Hal ini berarti secara langsung akan meningkatkan keterawasan jaringan dan secara tidak langsung meningkatkan keandalan jaringan. 3.2 .Saran 1.Dalam percobaan belum dilakukan simulasi terhdap tipe serangan DoS atau DDoS, sehingga untuk penelitian berikutnya dapat memasukkan simulasi serangan ini . 2. Penelitian bersifat percobaan dimana sistem diuji pada LAN percobaan dengan beban lalu lintas data yang rendah sehingga untuk penelitian selanjutnya perlu diujicoba pada sistem yang sesungguhnya. 3. Program dibuat dalam bahasa Delphi dan dijalankan dengan mesin yang menggunakan sistem operasi Windows XP sehingga dapat disarankan dipenelitian selanjutnya untuk menggunakan bahasa pemrograman yang dapat berjalan di mesin dengan sistem operasi berbasis Linux. 4. Program ini dibuat dengan pembatasan untuk pesawat Nokia, sehingga dapat disarankan bagi penelitian selanjutnya untuk menggunakan pesawat tipe lainnya .

DAFTAR PUSTAKA

.Anderson, John., 1980. “Computer Security Treat Monitoring and Surveillance”, James P. Anderson Co., Fort Washington., Baruffi, Rosy, Michela,M. and Montanari.,2002, “Planning for Security Management”, IEEE Security System and Their Application ,Los Alamitos,CA. Calvin Ko., 1997,”Execution Monitoring of Security Critical Program in Distributed Control Sistem: A Specification Based Approach” , IEEE .CERT Statistic.,2002,Htttp:/www.CERT.Org. D.E Denning.,1987,” An Intrusion Detection Model,” IEEE Trans. Software Eng., David Wagner and Drew Dean .,2001,"Intrusion Detection Via Static Analysis", IEEE, Dobrucki, Martin.,2002, “Prioritie in the Development of Network Instrusion Detetction System”, Master Thesis, Helsinki University of Technology, Fawcet, Tom and Foster Provost.,1999,” Activity Monitoring: Noticing Interesting Change in Behaviour”, Proceeding of the fifith ACM SIGDD International Conference of on Knowledge Discovery and Data Mining (KDD-99) ., New York ACM Press., San Diego. Fitriastuti, Fatsyarina.,2005,”Pemanfatan Web dan Short Message Service (SMS) sebagai Remote Controller Peralatan Listrik Dirumah”, Thesis S2, UGM, Godal, John., et.Al..,2004,” The Work of the Instrusion Detection Rethinking The Role of Security Analisis”,Proceedings of the Tenth Americas Conferences on Information Systems, New York Herve Debar and Anddreas Wespi.,2003,”Agregration and Corellation of Intrusion Detection Sistem", France Telecom R&D, Zurich Laboratary Jeremy Frank.,1994, "Artificial Intellegence and Intrusion Detection Sistem: Recent and Future Direction", Kenneth C. Pickering .,2002,"Evaluation The Viability Detection of Intrusion Detection Sistem Benchmarking",,University of Virginia Kristopher Kendall.,1999,"A Database of Computer Attack for The Evaluation of Intrusion Intrusion Detection Sistem",


Master Thesis ,MIT .Kumar J. Das .,"Attack Developmnet for Intrusion Detection", 2000, Master Thesis, MIT Sandeep Kumar .,"Classification and Detection of Computer Intrusion", 1995, Doctoral Thesis, Purdue University Lee Susan C and David V.Hweinbuch.,2000, “Building a True Anomaly Detector for Instrusion Detection,” Proceeding of MILCOM 2000, 21 Century Millitary Communication Conference Los Angeles CA NSS Group.,2002,” Introduction to Intrusion and Detection System,” Intrusion Detection System Group Test (Eddition 3)Product Evaluation.,ICSA Inc Sekar et al.,1999,”A high Performance Network Intrusion Detection System “, Proceeding of the 6 th ACM Conference on Computer and Communication Security, Singapore , New York ACM Press Yegeneswaran.,2003,” Internet: Global Characteristic and Prevalence”, Proceeding of the 2003 ACM Sigmetrics International Conference on Meus.

62

DALAM IDS (INTRUSION DETECTION SYSTEM) Wahyu S Aji Program Studi Teknik Elektro Universitah Ahmad Dahlan dan Penggiat TeRC (TeUAD Research Centre)

Recommend Documents