HALAMAN JUDUL
ANALISIS DAN PENGEMBANGAN SISTEM DETEKSI PENYUSUP DALAM JARINGAN PEER TO PEER DENGAN OS LINUX
COVER Naskah Publikasi
diajukan oleh Budi Tiar Saputra 07.11.1824
kepada JURUSAN TEKNIK INFORMATIKA SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER AMIKOM YOGYAKARTA 2011
ii
ANALYSIS AND DEVELOPMENT INTRUSION DETECTION SYSTEM IN PEER TO PEER NETWORK WITH LINUX OS ANALISIS DAN PENGEMBANGAN SISTEM DETEKSI PENYUSUP DALAM JARINGAN PEER TO PEER DENGAN OS LINUX Budi Tiar Saputra Jurusan Teknik Informatika STMIK AMIKOM YOGYAKARTA ABSTRACT Implementation of networked computer this time has been so widely. This is because the internet using and computer on a network has become a needs. But it is so unfortunately if the security of computer on that network (the client) was not growth as rapidly the growth of computer network. This computer, require additional security system that is guarantees of the comfort to using the internet network facility when the operating system used. This research carried out by conducting experiments, ie starting from the operating system installation Mandriva 2010.2 (Henry_Farman) as an operating system where the system will be built, integration and installation of systems that are designed, then penetration testing intrusion detection systems that have been built in the operating system with software that used to penetrating the network. The results of penetration testing is documented, so as to give an idea of this system capabilities later. The results of this study concluded that a firewall can be used as intrusion detection, but this system is only able to detect a pattern of attacks echo request only. To integrate this system on the operating system Mandriva 2010.2 (Henry_Farman), an additional configuration is needed, such as the installer configuration. Keywords: security, network computers client, security application, linux, intruder detection
1.
Pendahuluan Penggunaan komputer pada saat ini telah menjadi kebutuhan primer, terutama
untuk kepentingan koneksi ke jaringan internet. Sedemikian meningkatnya kebutuhan jaringan internet dewasa ini, memicu banyak pihak untuk memberi fasilitas atau layanan jaringan komputer pada area-area publik. Baik itu berbayar, maupun gratis. Ada yang berupa kabel, ada pula yang berupa nirkabel (wifi). Pemanfaatan jaringan komputer pada tempat-tempat publik ini, terkadang memang memberikan daya tarik tersendiri, terutama layanan nirkabel gratis (free hotspot). Namun, dalam proses pemanfaatan dan pengembangannya hingga saat ini, masih banyak sekali layanan tersebut yang tidak bisa memberikan kenyamanan penggunanya terhadap ancaman penyusup. Penyusup yang mencoba memanfaatkan jaringan publik untuk melakukan penetrasi pada client dalam jaringan ini bisa saja termotivasi oleh kesempatan, yaitu adanya celah kelemahan yang memungkinkan penyusup melakukan penetrasi, atau juga karena keinginan untuk menguji kemampuan atau pengetahuan tentang sebuah celah keamanan. Penyusup yang berusaha melakukan penetrasi pada client dalam jaringan, akan dideteksi dengan adanya sebuah sistem yang dibuat ini. Sistem ini bertujuan untuk mendeteksi penyusup yang mencoba melakukan penetrasi pada komputer client yang diserang. Implementasi dari sistem ini kemudian akan diuji, agar dapat mengetahui seberapa besar kemampuan sistem ini mampu mendeteksi penyusup. Sehingga, dapat dilakukan tindakan pencegahan lanjutan nantinya. 2.
Landasan Teori
2.1 Tinjauan Pustaka Keamanan pengguna layanan jaringan, khususnya jaringan publik sudah sejak lama menjadi perhatian para pakar. Sehingga banyak muncul metode-metode pengamanan yang berkembang dari dulu hingga saat ini. Namun, berkembangnya metode-metode pengamanan itu belum bisa benar-benar menjamin kenyamanan para penggunanya. Berdasarkan survey tentang target penyerangan, respon kejadian, dan dampak penyerangan (CSI, 2010), terjadi pelanggaran terhadap informasi pribadi sebesar 15,9 % dari 45,6 % koresponden yang mengaku pernah mengalami serangan pada tahun lalu. Hal ini membuktikan bahwa serangan pada komputer personal atau client masih menjadi incaran para penyerang. Sehingga dibutuhkan sistem keamanan khusus yang diterapkan pada client.
Belum ada literatur khusus yang membahas tentang penggunaan software pengamanan jaringan berupa sistem deteksi penyusupan yang diterapkan pada client. Hingga saat ini, metode yang diterapkan hanya pada tahap Hostbased Intrusion Detection System (HIDS). Menurut Dyer, dkk (2009, h.5) HIDS adalah : “Host-based intrusion detection systems use information originating on the host to detect misuse. Different information sources can be used, such as system and application event logs, account usage statistics, critical data access and modification, etc”.1 Pemanfaatan HIDS ini, tetap membutuhkan server sebagai induk dari sistem deteksi penyusupan. Host hanya menjadi ujung tombak yang mengumpulkan informasi tentang serangan-serangan yang mungkin terjadi saja. Berkembangnya pengetahuan teknologi komputer dewasa ini, memungkinkan perkembangan metode keamanan jaringan berupa IDS untuk diterapkan pada client, sebagai pengamanan pribadi pada client tersebut. 2.2 Keamanan Jaringan Keamanan pada jaringan yang digunakan dibutuhkan oleh siapapun. Tiap komputer
yang
tersambung
dalam
sebuah
jaringan
sebenarnya
memiliki
pengamanannya sendiri, yaitu firewall. Namun demikian, firewall tidak memberikan report atas serangan-serangan yang dilakukan penyusup, sehingga berkembang metode pengamanan baru, yaitu sistem deteksi penyusupan (Intrusion Detection System).
2.3 Firewall dan Sistem Deteksi Penyusupan 2.3.1 Firewall Firewall atau tembok-api adalah sebuah sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas jaringan yang tidak aman. Sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. 2.3.2 Sistem Deteksi Penyusupan Sistem Deteksi Penyusupan atau yang lebih dikenal dengan Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat
1 Joan Dyer,et.al Personal Firewall and Intrusion Detection System, hal 5
melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan). Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir beberapa alamat IP. Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan. Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive (yaitu suatu kejadian ketika ada sinyal IDS untuk memberikan alarm atau notifikasi ketika tidak ada serangan yang terjadi). Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
2.3.3 Perbedaan Firewall dan Sistem Deteksi Penyusupan Meskipun kedua sistem pengamanan ini berhubungan dengan keamanan jaringan, sistem deteksi penyusupan (IDS) berbeda dengan firewall. Firewall mendeteksi penyusupan dari luar dalam rangka menghentikan mereka agar tidak terjadi. Firewall membatasi akses antara jaringan untuk mencegah penyusupan dan tidak mensinyalir sebuah serangan berasal dari dalam jaringan. IDS mengevaluasi sebuah penyusupan setelah diduga telah terjadi dan memberikan notifikasi atau peringatan. IDS juga mengamati serangan yang berasal dari dalam sistem. Hal ini biasanya dicapai dengan memeriksa komunikasi jaringan, mengidentifikasi heuristik dan pola-pola (sering dikenal sebagai signature) serangan komputer secara umum, dan mengambil
tindakan untuk memperingatkan operator. Sebuah sistem yang mengakhiri sambungan disebut sistem pencegahan penyusupan, dan merupakan bentuk lain dari sebuah firewall pada lapisan aplikasi. 3.
ANALISIS DAN PERANCANGAN SISTEM
3.1 Perancangan Sistem Sistem deteksi penyusup yang akan dibangun nanti akan dirancang sesuai dengan diagram alir berikut :
Gambar 3.1 Diagram alir sistem deteksi penyusupan
3.2 Analisis Kebutuhan
3.2.1 Kebutuhan Perangkat Keras (Hardware) Perangkat keras yang digunakan dalam sebuah sistem sangat berpengaruh terhadap kinerja sistem yang dibangun. Sistem yang dirancang tidak memiliki penelitian khusus untuk menentukan kebutuhan minimum hardware yang digunakan, tetapi pada perancangan sistem ini menggunakan spesifikasi perangkat keras sebagai berikut :
Tabel 3.1 Spesifikasi Komputer Client No
Hardware
1
Processor
Intel(R) Core i3 2,3 GHz
2
Memory RAM
4 GigaByte
3
Harddisk
500 GigaByte
4
Ethernet Controller
Jmicron JMC250 PCI Express
5
Wireless LAN
Atheros AR9285
6
Display
AMD ATI Radeon HD 6470M / ATI 6760
3.2.2 Kebutuhan Perangkat Lunak (Software) Perangkat lunak yang dibutuhkan dalam membangun sistem ini adalah sebagai berikut : 1. Mandriva Linux 2010.2
2. Software text editor GEDIT 3. Bahasa pemrograman Perl
4. LibDrakX •
Socket
•
Mygtk2
•
Ugtk2
•
POSIX
•
Dbus_object
•
Network
•
Ifw
5. Drakfirewall 3.3 Analisis Sistem Sistem deteksi penyusup yang akan diimplementasikan pada komputer client dirancang agar berjalan pada sistem operasi Mandriva Linux 2010.2. Sistem ini dirancang untuk terus mengawasi paket-paket data yang lewat dalam proses komunikasi data komputer client. Jenis sistem deteksi penyusup yang akan dibangun bersifat pasif, yaitu hanya mendeteksi paket data yang datang saja, dan sistem ini mengidentifikasi serangan-
serangan yang terjadi sesuai dengan konfigurasi firewall dan mendeteksi adanya anomali pada komunikasi data yang sedang berlangsung. 3.3.1 Sistem yang berjalan sekarang Secara default instalasi, sistem operasi Mandriva Linux 2010.2 hanya memiliki firewall saja sebagai pengamanannya. Firewall default pada Mandriva ini memiliki konfigurasi default pula, sesuai dengan software-software dan layanan-layanan yang telah ada. 3.3.2 Sistem yang direncanakan Sistem yang akan dirancang pada client nantinya akan ditempatkan sebagai gerbang utama komunikasi data komputer dengan jaringan yang ada. Sehingga sisstem ini menjadi penentu pertama komunikasi data akan dialirkan. Setelah itu, sistem akan mengalirkan paket data menuju firewall. Paket data yang masuk tersebut diinspeksi oleh firewall. Pada tahap ini, firewall berfungsi sebagai pendeteksi signature paket data yang lewat. Setelah diinspeksi, paket data ini nantinya akan dialirkan pada layer komunikasi data selanjutnya. 4.
IMPLEMENTASI DAN PEMBAHASAN
4.1 Pembangunan Sistem Secara keseluruhan, sistem yang dibangun memiliki dua sub sistem utama. Yaitu, sistem pendeteksi penyusupan itu sendiri dan sistem pemberi notifikasi atau alert untuk penyusupan yang terdeteksi.
4.2 Analisis Implementasi Sistem 4.2.1 Uji implementasi sistem Proses pengujian yang dilakukan ialah dengan melakukan kompilasi source-code sistem yang telah dibangun dengan perintah perl. 4.2.2 Uji identifikasi serangan Sistem yang telah dibangun akan diuji dengan melakukan uji penetrasi pada sistem operasi yang digunakan. Uji penetrasi ini menggunakan sistem operasi lain yang memiliki software-software untuk penetrasi, yaitu BackTrack. Pengujian dilakukan dengan mencoba melakukan penetrasi menggunakan software-software sebagai berikut : 1. AngryIPScanner Penetrasi pemindaian
yang
dilakukan
jumlah
host
dengan AngryIPScanner pada
sebuah
jaringan.
adalah Pengujian
dengan
melakukan
dilakukan
dengan
menyambungkan komputer target dengan jaringan yang sama dengan komputer penyerang.
2. AnggryIPScanner, selain untuk melihat host yang aktif di dalam sebuah jaringan, juga dapat digunakan untuk mencoba mengakses fungsi-fungsi tertentu yang mungkin ada pada komputer target. Penetrasi yang dilakukan adalah dengan mencoba memanfaatkan fasilitas open trace kepada komputer target. Penetrasi ini terdeteksi oleh sistem deteksi penyusup yang telah di bangun dengan adanya alert atau notifikasi. Notifikasi atau alert yang muncul tersebut, menandakan adanya serangan pada komputer yang telah dibangun sistem deteksi penyusup. Alert yang muncul tersebut kemudian di-klik, agar penyerangan yang terjadi dapat ditindak lanjutkan. 3. Nmap Uji penetrasi selanjutnya yang dilakukan adalah dengan menggunakan software Nmap. Software ini memindai layanan atau port yang aktif pada komputer target. Hal ini merupakan sebuah tahap pertama yang dilakukan penyerang pada umumnya. Tujuannya agar bisa memanfaatkan kelemahan (vulnerability) pada port yang aktif tersebut. Penetrasi menggunakan Nmap ini dideteksi oleh sistem pada komputer yang diserang. Pada komputer yang menjadi target penyerangan, muncul notifikasi dari sistem deteksi penyusupan yang dibangun 4. TuxCut Penyerangan menggunakan Tuxcut digunakan untuk memutus koneksi komputer target dari jaringan. Tujuannya agar mendapatkan bandwith lebih banyak karena komputer target tidak dapat melakukan aktifitas jaringan. Penetrasi menggunakan TuxCut ini menyebabkan komputer target tidak dapat melakukan aktifitas pada jaringan, misalnya browsing. Penetrasi ini tidak terdeteksi oleh sistem deteksi penyusupan yang dibangun. 5. EtterCap Penetrasi menggunakan Ettercap yang dilakukan adalah dengan membanjiri komputer target dengan paket-paket tertentu. Tujuannya agar komputer target tidak dapat beraktifitas pada jaringan. Penetrasi ini, termasuk metode DDOS (Denial Distribute Of Service), namun tidak menyebabkan komputer target hang atau restart secara otomatis. Penetrasi ini juga menyebabkan komputer target tidak dapat melakukan aktifitas browsing. Uji penetrasi yang dilakukan diatas memberikan gambaran penyeranganpenyerangan yang terdeteksi oleh sistem deteksi penyusupan yang dibangun dan juga yang terdeteksi. Hal tersebut dapat dirangkum dalam bentuk tabel seperti berikut ini : Table 4.1 Rangkuman evaluasi uji penetrasi
No
Software Penetrasi
Terdeteksi oleh sistem (Ya/Tidak)
Keterangan
1 AngryIPScanner
Ya
Scanning host
2 Nmap
Ya
Scanning port
3 Tuxcut
Tidak
Spoofing Protocol
4 Ettercap
Tidak
Flooding Protocol
4.2.3 Uji pemanfaatan menu blacklist dan whitelist Uji ini dilakukan dengan melakukan penyerangan pada komputer target yang telah memiliki sistem deteksi penyusupan yang telah dibangun. Serangan yang terdeteksi akan di uji dalam keadaan bila dikategorikan menjadi blacklist atau whitelist.
1. Uji menu blacklist Pengujian menu blacklist dengan penyerangan menggunakan Nmap, agar sistem mendeteksi adanya terjadi serangan. Komputer target mendeteksi serangan. Serangan yang terdeteksi ini kemudian dimasukkan dalam kategori blacklist, yaitu dengan cara klik serangan yang terdeteksi, lalu klik tombol Blacklist. Hal selanjutnya yang kita lakukan adalah dengan kembali menguji penetrasi menggunakan Nmap, dengan perintah yang sama. Hasil pemindaian port seperti pada gambar di atas, tidak ada port yang terbuka pada komputer target. Hal ini menandakan pengujian yang di lakukan telah berhasil.
2. Uji menu whitelist Pengujian menu ini tidak jauh berbeda seperti pada saat pengujian menu blacklist. Perbedaannya adalah, serangan yang terdeteksi dikategorikan sebagai whitelist. Serangan yang terdeteksi tersebut kemudian di pilih, lalu klik tombol whitelist.
Langkah selanjutnya yang harus dilakukan dalam
pengujian sistem ini adalah dengan mencoba kembali menyerang komputer target. Bila serangan dikategorikan whitelist, maka serangan tetap akan bisa dilakukan. 4.3 Konfigurasi dan Implementasi Sistem 4.3.1 Konfigurasi Sistem pada Mandriva 2010.2 (Henry_Farman) Sistem deteksi penyusupan yang diimplementasikan dikonfigurasi sehingga dapat bekerja dengan optimal pada sistem operasi yang digunakan. Konfigurasi yang dilakukan adalah dengan menjalankan software sistem deteksi penyusupan secara otomatis pada
saat startup. Kemudian, sistem ini akan melakukan identifikasi terhadap paket-paket data yang lewat secara terus menerus. Identifikasi yang berjalan ini dilakukan dibelakang layar (daemon), sehingga tidak mengganggu aktifitas pengguna. 4.3.2 Implementasi Sistem Implementasi sistem deteksi penyusupan ini, mengarah pada pemanfaatan software yang telah dibangun pada komputer-komputer yang menggunakan sistem operasi
Mandriva
Linux
2010.2.
Oleh
karena
itu,
agar
software
ini
dapat
diimplementasikan dengan mudah pada komputer lain, maka dibuat satu file installer. File installer ini berisikan file ids itu sendiri, file pemberi alert, file ikon software yang dibangun, file net-applet yang telah dikonfigurasi dan sebuah file penjelasan tentang sistem yang akan terinstall. Pengguna sistem juga dapat menghapus kembali software yang telah terinstalasi. Yaitu dengan mengeksekusi file penghapus aplikasi yang juga diikut sertakan pada sistem ini. File yang diberi nama “uninstall.sh”. 5.
Kesimpulan Pembahasan
pada
bab-bab
sebelumnya
mengerucut
pada
kesimpulan-
kesimpulan, yaitu sebagai berikut : 1. Sistem deteksi penyusupan yang dibangun ini dapat bekerja sesuai perencanaan dengan memanfaatkan firewall yang ada pada sistem operasi Mandriva Linux 2010.2, yaitu dengan memanggil library “ifw”.
2. Berdasarkan rangkuman evaluasi uji penetrasi yang tampak pada tabel 4.1, dapat dilihat ternyata sistem deteksi penyusupan ini, hanya mampu mendeteksi serangan-serangan yang pada pola penyerangannya melibatkan echo request pada sistem operasi saja.
3. Sistem ini dapat diintegrasikan dengan baik pada sistem operasi Mandriva 2010.2
(Henry_Farman)
dengan
beberapa
tambahan
konfigurasi
dan
penyesuaian. Oleh karena itu, untuk pengimplementasiannya digunakan file installer seperti yang telah dijabarkan pada Bab IV penelitian ini.
DAFTAR PUSTAKA Anonim.
2010.
CSI
Computer
Crime
and
Security
Survey
2010.
http://www.gocsi.com/survey, diakses tanggal 7 Februari 2011. Brown, Martin A. 2003. Guide to IP Layer Network Administration with Linux. http://www.securepipe.com/, diakses tanggal 20 April 2011. Curtin, Matt. 1997. Introduction to Network Security. Kent Information Services, Inc. Canavan, John E. 2001. Fundamentals of Network Security. Boston, London : Artech House. Dyer, J., Perez, R., Sailer, R., dan Van Doorn, L. 2001. Personal Firewalls and Intrusion Detection Systems. IBM T. J. Watson Research Center. Murray, Peter. 2004. Network Security : The Bad, The Good, and The Quiz. California : University of Connecticut Libraries. Purbo, Onno W. dan Wiharjito, Tony. 2000. Keamanan Jaringan Internet. Jakarta: Elex Media Komputindo. Scarfone, Karen dan Mell, Peter. 2007. Guide to Intrusion Detection and Prevention Systems (IDPS). Gaithersburg : National Institute of Standards and Technology. Sweeney, Michael. 2005. Network Security using Linux. Canada : PacketPress
