IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS) DI JARINGAN UNIVERSITAS BINA DARMA Maria Ulfa Dosen Universitas Bina Darma Jalan Jenderal Ahmad Yani No.12, Palembang Pos-el:
[email protected] Abstract: Computer Security systems, in recent years has become a major focus in the world of computer networks, this is due to the high threat of suspicious (Suspicious Threat) and attacks from the internet. Bina Darma University is one of the agencies which activities using the internet network services, ranging from the processing of existing data, including the KRS online system, mail server and web portal in each unit and others. Bina Darma University network manager for this building system is a network Security by implementing a firewall and proxy server on each server in the network unit. To further optimize the network Security system at the University of Bina Darma, the author will implement a network Intrusion Detection System at the Bina Darma University as network Security solutions for both the intranet and internet network of Bina Darma University, where the author will build an IDS (Intrusion Detection System) using a snort. Keywords: Networking Security, Firewall, Proxy Server, IDS (Intrusion Detection System), Snort. Abstrak: Sistem keamanan komputer, dalam beberapa tahun ini telah menjadi fokus utama dalam dunia Jaringan Komputer, hal ini disebabkan tingginya ancaman yang mencurigakan (Suspicious Threat) dan serangan dari Internet. Universitas Bina Darma merupakan salah satu instansi yang aktivitasnya menggunakan layanan jaringan internet, mulai dari mengolah data yang ada, diantaranya adalah sistem KRS online, mail server dan web portal di tiap unit dan lain-lain. Pengelolah jaringan Universitas Bina Darma selama ini membangun sistem keamanan jaringan dengan menerapkan sistem firewall dan proxy sever pada tiap unit server di jaringannya. Untuk lebih mengoptimalkan sistem keamanan jaringan di universitas Bina Darma maka Pada penelitian ini penulis akan mengimplementasikan Intrusion Detection System pada jaringan Universitas Bina Darma sebagai solusi untuk keamanan jaringan baik pada jaringan Intranet maupun jaringan Internet Universitas Bina Darma. Dimana penulis akan membangun sebuah IDS (Intrusion Detection System) dengan menggunakan snort. Kata kunci: keamanan jaringan, Firewall, Proxy Server, IDS (Intrusion Detection System), Snort.
1.
Komputer, hal ini disebabkan tingginya ancaman
PENDAHULUAN
yang mencurigakan (Suspicious Threat) dan Keamanan jaringan komputer sebagai
serangan dari Internet. Keamanan Komputer
bagian dari sebuah sistem informasi adalah
(Security) merupakan salah satu kunci yang
sangat penting untuk menjaga validitas dan
dapat
integritas data serta menjamin ketersediaan
(keandalan) termasuk Performance (kinerja) dan
layanan
Availability (tersedianya) suatu Internetwork.
bagi
penggunanya.
Sistem
harus
mempengaruhi
Kerusakan
dilindungi dari segala macam serangan dan
yang
tingkat
terjadi
Reliability
pada
suatu
usaha-usaha penyusupan oleh pihak yang tidak
jaringan akan mengakibatkan pertukaran data
berhak.
yang
Menurut
Stiawan
(2009)
Sistem
terjadi
pada jaringan
tersebut
akan
keamanan komputer, dalam beberapa tahun ini
melambat atau bahkan akan merusak suatu
telah menjadi fokus utama dalam dunia Jaringan
sistem jaringan. Insiden keamanan jaringan adalah suatu aktivitas terhadap suatu jaringan
Implementasi Intrusion Detection System (IDS) …… (Maria Ulfa)
27
komputer yang memberikan dampak terhadap
dibutuhkan sebuah sistem yang dapat melakukan
keamanan sistem yang secara langsung atau
deteksi terhadap traffic yang membahayakan dan
tidak bertentangan dengan Security policy sistem
berpotensi menjadi sebuah serangan.
tersebut (Wiharjito, Tony. 2006).
Oleh karena itu, Penerapan IDS (Intrusion
Universitas Bina Darma merupakan salah
Detection System) diusulkan sebagai salah satu
satu instansi yang aktivitasnya didukung oleh
solusi yang dapat digunakan untuk membantu
layanan jaringan internet, mulai dari mengolah
pengaturan jaringan dalam memantau kondisi
data yang ada, diantaranya adalah sistem KRS
jaringan dan menganalisa paket-paket berbahaya
online, mail server dan web portal di tiap unit
yang terdapat dalam jaringan tersebut, hal ini
dan lain-lain. Pengelolah jaringan Universitas
bertujuan untuk mencegah adanya penyusup
Bina Darma selama ini membangun sistem
yang memasuki sistem tanpa otorisasi (misal :
keamanan jaringan dengan menerapkan sistem
cracker) atau seorang user yang sah tetapi
firewall dan proxy sever pada tiap unit server di
menyalahgunakan privilege sumber daya sistem.
jaringannya.
Pada
Pada dasarnya, menurut Arief (2010)
penelitian
mengimplementasikan
ini
penulis
Intrusion
akan
Detection
firewall adalah titik pertama dalam garis
System pada jaringan Universitas Bina Darma
pertahanan sebuah sistem jaringan komputer.
sebagai solusi untuk keamanan jaringan baik
Seharusnya firewall diatur agar melakukan
pada jaringan intranet maupun jaringan internet
penolakan (deny) terhadap semua traffic yang
Universitas Bina Darma. Dimana penulis akan
masuk kedalam sistem dan kemudian membuka
membangun sebuah IDS (Intrusion Detection
lubang-lubang yang perlu saja. Jadi tidak semua
System) dengan menggunakan snort, karena
lubang
snort merupakan IDS open source dan dinilai
dibuka
ketika
sistem
melakukan
hubungan ke jaringan luar. Idealnya firewall diatur
dengan
Beberapa
port
konfigurasi yang
seperti
harus
dibuka
cukup bagus kinerjanya.
diatas. untuk
melakukan hubungan keluar adalah port 80
2.
METODOLOGI PENELITIAN
untuk mengakses internet atau port 21 untuk FTP file server. Tiap-tiap port ini mungkin
Metode penelitian yang di gunakan adalah
penting untuk tetap dibuka tetapi lubang-lubang
penelitian tindakan atau action research menurut
ini juga merupakan potensi kelemahan atas
Davison, Martinsons dan Kock (2004, dalam
terjadinya serangan yang akan masuk kedalam
Chandrax 2008). Penelitian tindakan atau action
jaringan.
research
Firewall
tidak
dapat
melakukan
yaitu
mendeskripsikan,
pemblokiran terhadap jenis serangan ini karena
menginterpretasi dan menjelaskan suatu situasi
administrator sistem telah melakukan konfigurasi
atau keadaan pada jaringan VLAN server di
terhadap firewall untuk membuka kedua port
Universitas Bina Darma dan melakukan analisis
tersebut. Untuk tetap dapat memantau traffic
terhadap penerapan Intrusion Detection System.
yang terjadi di kedua port yang terbuka tersebut
28
Jurnal Imiah MATRIK Vol.1. No.1, April 2012: 27 - 42
Pada
penerapan
Detection
Darma. Evaluasi ini dilakukan untuk mengetahui
System yaitu dengan menggunakan beberapa
kelebihan dan kekurangan Intrusion Detection
komponen Intrusion Detection System yang
System yang sudah diterapkan pada jaringan
terdiri dari snort engine, Rule database, dan
VLAN server Universitas Bina Darma dalam
Alert dengan menggunakan software atau modul
meningkatkan
tambahan seperti webmin dan program BASE
Pembelajaran yaitu mengulas tahapan yang telah
(Basic Analysis and Security Engine) atau ACID
dilakukan
dan
(Analisys Console for Intrusion Databases) serta
Intrusion
Detection
sistem operasi linux ubuntu 10.04 server.
memperbaiki
Metodologi
Intrusion
yang
digunakan
dalam
penelitian ini menggunakan metode penelitian
keamanan
jaringan;
mempelajari
prinsip
kerja
serta
untuk
System
kelemahan
(5)
dari
penerapan
Intrusion Detection System pada jaringan VLAN server Universitas Bina Darma.
tindakan atau action research. Adapun tahapan penelitian yang merupakan siklus dari action
2.1
Lokasi Penelitian
research ini yaitu: (1) Melakukan diagnosa dengan melakukan identifikasi masalah pokok
Penelitian ini dilakukan pada Jaringan
yang ada pada objek penelitian. Dimana pada
Universitas Binadarma Khususnya pada Unit
penelitian ini penulis melakukan diagnosa
Pelayanan Terpadu atau MIS Universitas Bina
terhadap jaringan VLAN server Universitas Bina
Darma Palembang yang terletak di Jl. Jend A.
Darma yaitu dengan mengenal dan mempelajari
Yani No.12.
jenis-jenis serangan yang sering terjadi dalam jaringan; (2) Membuat rencana tindakan yaitu
2.2
Kerangka Penelitian
memahami pokok masalah yang ditemukan dan menyusun rencana tindakan yang tepat. Pada
Dalam penelitian ini dapat dilihat alur
tahapan ini penulis melakukan rencana tindakan
perancangan sistem Intrusion Detection System
yang akan dilakukan pada jaringan dengan
(IDS) pada jaringan VLAN server Universitas
membuat perancangan dan penerapan Intrusion
Bina Darma, penelitian yang dilakukan dengan
Detection System pada jaringan VLAN server
menggunakan beberapa komponen IDS seperti
Universitas
Rule Snort, Snort Engine dan Alert yang akan
Bina
Darma;
(3)
Melakukan
tindakan disertai dengan implementasi rencana
diterapkan
yang telah dibuat dan mengamati kinerja
Universitas Bina Darma.
pada
jaringan
VLAN
server
Intrusion Detection System pada jaringan VLAN server Universitas Bina Darma yang telah dibangun; (4) Melakukan evaluasi hasil temuan setelah proses implementasi, pada tahapan evaluasi penelitian yang dilakukan adalah hasil implementasi
Intrusion
Detection
System
terhadap jaringan VLAN server Universitas Bina Implementasi Intrusion Detection System (IDS) …… (Maria Ulfa)
29
mereka
untuk
memperkuat
keamanan
jaringan. 2)
Host-Based Intrusion Detection System (HIDS):
HIDS
pemantauan
pada
hanya
melakukan
perangkat
komputer
tertentu dalam jaringan. HIDS biasanya akan memantau kejadian seperti kesalahan login
berkali-kali
dan
melakukan
pengecekan pada file. Dilihat dari cara kerja dalam menganalisa Gambar 1. Kerangka Penelitian
apakah paket data dianggap sebagai penyusupan atau bukan, IDS dibagi menjadi 2:
2.3
Landasan Teori
Knowledge-based atau misuse detection 1)
IDS adalah sebuah aplikasi perangkat
adanya penyusupan dengan cara menyadap
lunak atau perangkat keras yang bekerja secara
paket data kemudian membandingkannya
otomatis untuk memonitor kejadian pada jarigan
dengan
komputer dan menganalisis masalah keamanan
dianggap sebagai serangan, dan demikian
serangan (penyusupan) dan bahkan menyediakan
juga sebaliknya, jika paket data tersebut
informasi untuk menelusuri penyerang. Pada
sama sekali tidak mempunyai pola yang
umumnya ada dua bentuk dasar IDS yang
sama dengan pola di dataBASE Rule IDS,
digunakan yaitu (Thomas, 2005):
keluar maupun traffic di antara host atau di antara
segmen
jaringan
lokal.
NIDS
biasanya dikembangkan di depan dan di belakang firewall dan VPN gateway untuk mengukur keefektifan peranti - peranti keamanan tersebut dan berinteraksi dengan
30
maka paket data tersebut dianggap bukan
Network‐based Intrusion Detection System
yang efektif untuk melihat traffic masuk /
(berisi
dataBASE Rule IDS, maka paket tersebut
yang tidak sesuai, serangan atau menghentikan
melewati jaringan. NIDS merupakan strategi
IDS
dengan (setidaknya) salah satu pola di
mendeteksi perilaku yang tidak lazim, kegiatan
jaringan dan melihat semua aliran yang
Rule
paket data mempunyai pola yang sama
(IDS) adalah memonitoring aset jaringan untuk
(NIDS): Menempati secara langsung pada
dataBASE
signature-signature paket serangan). Jika
jaringan. Sasaran Intrusion Detection System
1)
Knowledge-based: IDS dapat mengenali
serangan. 2)
Behavior based (anomaly): IDS jenis ini dapat
mendeteksi
adanya
penyusupan
dengan mengamati adanya kejanggalankejanggalan pada sistem, atau adanya penyimpangan-penyimpangan dari kondisi normal, sebagai contoh ada penggunaan memori
yang
melonjak
secara
terus
menerus atau ada koneksi parallel dari 1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi-kondisi Jurnal Imiah MATRIK Vol.1. No.1, April 2012: 27 - 42
diatas dianggap kejanggalan yang kemudian
yang bisa diprediksi.
Tahapan pertama
oleh IDS jenis anomaly based dianggap
adalah probing, atau eksploitasi pencarian
sebagai serangan.
titik masuk.
Pada sistem tanpa IDS ,
penyusup
memiliki
kebebasan
melakukannya dengan resiko kepergok lebih
2.3.1 Tujuan Penggunaan IDS IDS merupakan software atau hardware
kecil.
IDS yang mendapati probing, bisa
yang melakukan otomatisasi proses monitoring
melakukan blok akses dan memberitahukan
kejadian yang muncul di sistem komputer atau
tenaga
jaringan,
mengambil tindakan lebih lanjut.
menganalisanya untuk menemukan
keamanan
yang
selanjutnya
permasalahan keamanan (Bace and Mell, 2005).
3) Untuk mendeteksi usaha yang berkaitan
IDS adalah pemberi sinyal pertama jika seorang
dengan serangan misal probing dan aktivitas
penyusup mencoba membobol sistem keamanan
dorknob rattling.
komputer kita. Secara umum penyusupan bisa berarti
serangan
atau
ancaman
terhadap
4) Untuk mendokumentasikan ancaman yang ada ke dalam suatu organisasi.
IDS akan
keamanan dan integritas data, serta tindakan atau
mampu menggolongkan ancaman baik dari
percobaan
dalam
untuk
melewati
sebuah
sistem
maupun
dari
luar
organisasi.
keamanan yang dilakukan oleh seseorang dari
Sehingga membantu pembuatan keputusan
internet maupun dari dalam sistem.
untuk
IDS tidak dibuat untuk menggantikan fungsi firewall karena kegunaanya berbeda.
alokasi
sumber
daya
keamanan
jaringan. 5) Untuk bertindak sebagai pengendali kualitas
Sebuah sistem firewall tidak bisa mengetahui
pada
apakah sebuah serangan sedang terjadi atau
keamanan, khususnya pada organisasi yang
tidak.
Dengan
besar dan kompleks. Saat ini IDS dijalankan
meningkatnya jumlah serangan pada jaringan,
dalam waktu tertentu, pola dari pemakaian
IDS merupakan sesuatu yang diperlukan pada
sistem dan masalah yang ditemui bisa
infrastruktur
nampak.
IDS
mengetahuinya.
keamanan
di
kebanyakan
organisasi.
peringatan kepada administrator atas serangan terjadi
dan
Sehingga
perancangan
akan
membantu
pengelolaan keamanan dan memperbaiki
Secara singkat, fungsi IDS adalah pemberi
yang
administrasi
pada
sistem
kita.
Alasan
kekurangan sebelum menyebabkan insiden. 6) Untuk memberikan informasi yang berguna mengenai
penyusupan diagnosa,
yang
terjadi,
mempergunakan IDS (Bace and Mell, 2005),
peningkatan
(Balasubramaniyan dkk, 2008):
perbaikan dari faktor penyebab. Meski jika
1) Untuk mencegah resiko timbulnya masalah.
IDS tidak melakukan block serangan, tetapi
2) Untuk mendeteksi serangan dan pelanggaran
masih bisa mengumpulkan informasi yang serangan,
dan
keamanan lainnya yang tidak dicegah oleh
relevan
perangkat keamanan lainnya.
membantu penanganan insiden dan recovery.
Biasanya
mengenai
recovery,
sehingga
penyusupan berlangsung dalam tahapan Implementasi Intrusion Detection System (IDS) …… (Maria Ulfa)
31
Hal itu akan membantu konfigurasi atau kebijakan organisasi.
7) Memungkinkan
konfigurasi
dinamis,
khususnya bila pemantauan dilakukan pada sejumlah besar host. 8) Berjalan secara kontinu dengan supervisi
2.3.2 Respon IDS Respon yang diberikan oleh suatu IDS biasanya dikelompokkan dalam tiga kategori :
minimal dari manusia. 9) Mampu mendeteksi serangan: (a)
Tidak
pemberitahuan (notification), storage, dan active
salah menandai aktivitas yang legitimate
response. Contoh respon yang ada (Internet
(false positive); (b) Tidak gagal mendeteksi
Security Systems, www.iss.net.net):
serangan sesungguhnya (false negative); (c)
Tabel 1. Respon IDS
Segera melakukan pelaporan penyusupan
Notification
Storage
Aktif
NIDS Alarm ke console E-mail SNMP trap Melihat session yang aktif Laporan log Data log mentah Memutuskan koneksi (TCP reset) Konfigurasi ulang firewall
HIDS Alarm ke console E-mail SNMP trap
yang terjadi; (d) Cukup general untuk berbagai tipe serangan. 10) Mampu fault tolerant dalam arti: (a) Bisa melakukan recover dari sistem yang crash
Laporan log
baik secara insidental atau karena aktivitas tertentu; (b) Setelah itu bisa melanjutkan
Menghentikan login User Melakukan disable Account user
state
sebelumnya
tanpa
mempengaruhi
operasinya. 11) Mampu menolak usaha pengubahan: (a) Adanya kesulitan yang tinggi bila penyerang mencoba memodifikasinya; (b)
2.3.3 Karaktristik IDS
Mampu
memonitor dirinya sendiri dan mendeteksi
Berikut adalah beberapa kriteria yang diinginkan untuk suatu IDS yang ideal yaitu :
bila dirinya telah dirubah oleh penyerang. Kebanyakan IDS memiliki permasalahan
(Balasubramaniyan dkk, 2008), Bambang (2011)
sebagai
1) Meminimalkan overhead sistem untuk tidak
(Balasubramaniyan dkk, 2008): (a) Tingkat
mengganggu operasi normal. 2) Mudah
dikonfigurasi
untuk disesuaikan
dengan kebijakan keamanan sistem.
berikut:
sentralisasi.
Eugene
Kebanyakan
deteksi
(2008),
dilakukan
secara terpusat; (b) Konsumsi sumberdaya. Karena
sentralisasi
tersebut
maka
terjadi
3) Mudah diinstalasi (deploy).
kebutuhan sumberdaya pemrosesan yang besar;
4) Mudah beradaptasi dengan perubahan sistem
(c) Batasan skalabilitas; (d) Masalah keamanan,
dan perilaku user, misal aplikasi atau
misalnya single point failure; (e) Kesulitan untuk
resource baru.
melakukan konfigurasi ulang atau penambahan
5) Mampu memonitor sejumlah host dengan
kemampuan
tetap memberikan hasil yang cepat dan tepat. 6) Dampak negatif yang minimal.
32
Jurnal Imiah MATRIK Vol.1. No.1, April 2012: 27 - 42
lainnya), sekaligus juga melakukan pencegahan.
2.3.4 Pemilihan IDS IDS
paling
baik
diimplementasikan
Istilah populernya, snort merupakan salah satu
dengan mengkombinasikan penggunaan solusi
tool Network Intrusion Prevention System (IPS)
berbasis host dan network. Tahapan evaluasi
dan Network Intrusion Detection System (NIDS).
umumnya
(Rafiudin, 2010)
terdiri
dari
tiga
fase
yaitu
:
(www.infolinux.web.id ) Fase 1: Penentuan kebutuhan IDS: untuk mencakup aset penting dan kelengkapan dengan kebijakan keamanan. Tingkatan keamanan ini bisa mencakup perlindungan perimeter, aplikasi, e-business,
server
kunci,
kebijakan
dan
perlindungan hukum. Hal ini harus diurutkan sesuai prioritas.
2.4
Perancangan Sistem Detection System (IDS)
Intrusion
Perancangan sistem yang akan digunakan untuk membangun Intrusion Detection System, terlebih
dahulu
yang
dilakukan
adalah
mengumpulkan komponen yang akan digunakan sebagai IDS. Intrusion Detection System (IDS)
Fase 2: Evaluasi solusi IDS: (a) Memilih produk yang tepat untuk memenuhi kebutuhan; (b) Pemahaman bagaimana tiap IDS mendeteksi penyusupan dalam jaringan; (c) Pemahaman bagaimana tiap produk menempatkan prioritas dan menjelaskan penyusupan pada jaringan, termasuk false positif yang dihasilkan; (d) Pemahaman kemampuan pelaporan dari tiap produk, kelengkapan, fleksibilitas dan penerapan teknisnya.
yang akan dibangun adalah IDS yang bisa menyimpan Alert dalam dataBASE dan setup otomatis jika komputer di hidupkan. Untuk mendapatkan IDS yang seperti itu dalam penelitian ini menggunakan beberapa komponen tambahan
yang
memudahkan
user
dalam
menggunakan IDS. Komponen-komponen yang digunakan adalah: Snort, Libpcap 0.8-dev, Adodb, JpGraph, php5 dan mysql-server, Phppear, apache2, BASE (program ACID)
Fase 3: Deployment IDS : penempatan solusi dalam organisasi secara efektif Fleksibilitas IDS sendiri bisa didasarkan pada (Bace and Mell, 2005): (a) Kustomisasi: adaptasi IDS pada kebijakan tertentu dari organisasi; (b) Deployment: penempatan pada jaringan
yang
heterogen;
(c)
Skalabilitas
manajemen
2.3.5 Snort Snort tidak lain sebuah aplikasi atau tool sekuriti yang berfungsi untuk mendeteksi intrusiintrusi
jaringan
(penyusupan,
Gambar 2. Architecture Intrusion Detection System
penyerangan,
pemindaian dan beragam bentuk ancaman Implementasi Intrusion Detection System (IDS) …… (Maria Ulfa)
33
Pengembang lebih lanjut dari sistem Intrusion
Detection
System,
memerlukan
berbagai tool tambahan, sehingga IDS lebih user
biasanya terinstall pada lokasi berikut (Ariyus : 2007): 1) Antara
Router
dan
Firewall:
Untuk
friendly sehingga Alert lebih terorganisir dan
melindungi jaringan dari serangan eksternal,
mudah untuk dimengerti. Libpcap mengirim
fungsi sensor network sangat penting. Yang
packet capture ke snort untuk dianalisis oleh
pertama dilakukan adalah menginstalasi
system
akan
sensor network diantara router dengan
mengirim Alert ke dataBASE yang mana variable
firewall. Sensor ini akan memberikan akses
dari dataBASE telah didefinisikan pada snort
untuk mengontrol semua lalu lintas jaringan,
config. File log dan Alert akan disimpan di
termasuk lalu lintas pada
dalam
Zone. (Ariyus : 2007).
engine,
output
dataBASE
plugin
snort
pengimplementasian
menggunakan BASE, tapi terlebih dahulu harus
2) Pada
“Demilitarized
Demilitarized
Zone”
(DMZ)
ada penghubung antara dataBASE dengan web
Penempatan sensor pada lokasi ini untuk
server yaitu Adodb. Untuk melihat Alert pada
melindungi Demilitarized Zone (DMZ) yang
BASE
sebagai
meliputi Web, FTP dan SMTP server,
penghubung ke Basic Analysis Security Engine
external DNS server dan host yang diakses
(BASE).
oleh external user. Sensor IDS network tidak
console
dibutuhkan
php
akan menganalisis lalu-lintas jaringan jika
2.5
Perancangan Penempatan Intrusion Detection System (IDS) Intrusion Detection System (IDS)
pada
tidak melewati zona yang dikontrol oleh suatu IDS, karena IDS juga mempunyai keterbatasan. (Ariyus : 2007)
suatu jaringan akan dapat bekerja dengan baik, tergantung pada peletakannya. Secara prinsip pemahaman penempatan komponen
Intrusion
Detection System (IDS) akan menghasilkan IDS yang
benar-benar
mudah
untuk
dikontrol
sehingga pengamanan jaringan dari serangan menjadi lebih efisien (Ariyus : 2007).
2.5.1 Penempatan Sensor Jaringan UPT-SIM
Network
di
Sensor merupakan suatu komponen yang sangat penting dari suatu Intrusion Detection
Gambar 3. Penempatan Sensor Network antara Firewall dan Router
System (IDS). Oleh karena itu penempatannya benar-benar harus diperhatikan. Sensor network untuk
34
Intrusion Detection System (IDS) Jurnal Imiah MATRIK Vol.1. No.1, April 2012: 27 - 42
2.5.2 Analisis Kinerja Intrusion Detection System Pada penelitian ini penulis melakukan analisis dari kinerja yang dilakukan Intrusion Detection
System
(IDS)
yaitu
untuk
meningkatkan keamanan pada sistem seperti, merekam
aktivitas
digunakan
untuk
yang
tidak
keperluan
sah
untuk
forensik
atau
criminal prosecution (tuntunan pidana) dari serangan
penyusup.
Banyak
kemungkinan
Gambar 4. Penempatan Sensor Network pada Demilitarized Zone (DMZ)
analisis data untuk analisis engine dan dalam
3) Di belakang firewall: Sensor network bisa
data
rangka memahami proses yang terjadi, ketika dikumpulkan
dari
sensor
Intrusion
diletakkan di belakang firewall, bersebelahan
Detection
dengan LAN. Keuntungan dari penempatan
diklasifikasikan dalam beberapa bentuk dimana
ini adalah bahwa semua lalu-lintas jaringan
tergantung pada skema analisis yang digunakan.
biasanya melintasi firewall. Administrator
Seperti jika Rule-based detection atau misuse
harus mengkonfigurasikan sensor network
detection yang digunakan maka klasifikasi akan
dan firewall dengan benar sehingga bisa
melibatkan aturan dan pattern (pola) dan jika
melindungi
maksimal.
anomaly detection yang digunakan maka akan
Dengan penempatan seperti ini administrator
selalu menggunakan algoritma yang berbeda
bisa mengontrol semua lalu-lintas network
untuk baseline dari waktu ke waktu untuk
dan outbound pada
menganalisis apapun yang berasal dari luar
jaringan
secara
Demilitarized Zone,
karena semua lalu lintas jaringan akan
(IDS)
maka
data
jaringan yang tidak dikenal.
berputar pada segment sebagai gateway jaringan. (Ariyus : 2007)
System
Dalam mengenali sebuah serangan yang dilakukan oleh cracker atau hacker dilakukan menggunakan data yang telah diperoleh. Dimana pada
penelitian
pendekatan
ini
dengan
penulis
melakukan
menggunakan
misuse
detection, detektor melakukan analisis terhadap aktivitas sistem, mencari event atau set event yang cocok dengan pola perilaku yang dikenali sebagai
serangan.
Pola
perilaku
serangan
tersebut disebut sebagai signatures, sehingga misuse
detection
banyak
dikenal
sebagai
signatures based detection. Ada empat tahap Gambar 5. Penempatan Sensor Network di Belakang Firewall
proses analisis yang ada pada misuse detector:
Implementasi Intrusion Detection System (IDS) …… (Maria Ulfa)
35
1) Preprocessing, mengumpulkan
langkah data
pertama
tentang
pola
2.6
Variabel dan Data Penelitian
dari
serangan dan meletakkannya pada skema
Dalam penelitian ini variabel dan data
klasifikasi atau pattern desciptor. Dari
yang digunakan untuk kemudian diolah menjadi
skema
sebuah acuan adalah (Ariyus : 2007): (a) Paket
klasifikasi,
suatu
model
akan
dibangun dan kemudian dimasukkan ke
sniffer:
dalam bentuk format yang umum seperti:
jaringan; (b)
(a) Signature Name : nama panggilan dari
semua paket yang lewat di jaringan untuk
suatu tandatangan.
Paket logger: untuk mencatat
dianalisis dikemudian hari; (c)
(b) Signature ID: ID yang unik. (c) Signature
untuk melihat paket yang lewat di
Description:
NIDS,
deteksi
penyusup pada network: untuk mendeteksi Deskripsi
tentang tandatangan.
serangan
yang
dilakukan
melalui jaringan
komputer.
(d) Kemungkinan deskripsi yang palsu. (e) Informasi yang berhubungan dengan Vulnerability (kerentanan): field yang berisi
semua
informasi
3.
HASIL
3.1
Install Server Intrusion Detection System (IDS)
tentang
Vulnerability. (f) User Notes: field ini mengijinkan professional
Security
untuk Pada penelitian ini tahapan pertama yang
menambahkan suatu catatan khusus
harus dilakukan adalah menginstall semua
yang berhubungan dengan jaringan. 2) Analysis,
data
dan
formatnya
akan
dibandingkan dengan pattern yang ada untuk keperluan analisis engine pattern matching.
komponen Intrusion Detection System (IDS) pada sebuah PC yang akan difungsikan sebagai Server Intrusion Detection System (IDS).
Analisis engine mencocokkan dengan pola 3.2
serangan yang sudah dikenalnya.
Konfigurasi Intrusion Detection System (IDS)
3) Response, jika ada yang match (cocok) Setelah melakukan semua proses instalasi
dengan pola serangan, analisis engine akan
komponen Intrusion Detection System (IDS),
mengirimkan alarm ke server. 4) Refinement
(perbaikan),
perbaikan
dari
maka
tahap
selanjutnya
adalah
tahap
analisis pattern-matching yang diturunkan
pengkonfigurasian, dimana pada penelitian ini
untuk
karena
sangat diperlukan untuk melakukan konfigurasi
Intrusion Detection System (IDS) hanya
terhadap beberapa file yang sangat berpengaruh
mengijinkan tandatangan yang terakhir yang
terhadap proses
di-update.
Intrusion Detection System (IDS) yang akan
memperbarui
signature,
kerja
dari
sistem
Server
dibangun.
36
Jurnal Imiah MATRIK Vol.1. No.1, April 2012: 27 - 42
3.3
Implementasi Server Detection System (IDS)
Intrusion
Pada penelitian ini Implementasi dari Intrusion
Detection
System
(IDS)
adalah
mendeteksi kemungkinan bad traffic yang melintas suatu jaringan komputer. Fungsi dasar dari Intrusion Detection System (IDS) itu sendiri mengumpulkan kode-kode dari suatu paket yang polanya dikenali dari rule dan signature yang disimpan di dalam suatu folder dalam bentuk file
Gambar 6. Perancangan Jaringan Pengujian IDS
log kemudian ditransfer ke database dengan Setelah melakukan perancangan jaringan
menggunakan fasilitas adodb. File log yang tersimpan bisa dipelajari untuk melakukan
tahapan
berikutnya
antisipasi dikemudian hari, supaya yang telah
penyerangan terhadap sensor network (IDS)
terjadi tidak terulang kembali di kemudian hari.
yang
Agar Intrusion Detection System (IDS) lebih
beberapa serangan seperti mengirimkan paket
friendly dan user interfaces maka dibutuhkan
ICMP
komponen-komonen lain yang mendukungnya
dikategorikan oleh Intrusion Detection System
seperti : PHP, PHP-pear, Apache, Mysql, BASE,
(IDS) sebagai DOS attack (Denial of Service).
telah
dibangun
dalam
adalah
dengan
ukuran
besar
melakukan
melancarkan
sehingga
Lalu kemudian DOS attack ini akan segera
JPGraph, Adodb. pada
terdeteksi oleh snort engine yang kemudian
penelitian ini yang harus dilakukan adalah
snort engine akan mengirimkan alert ke alert log
melakukan
Intrusion
dan kemudian ke MySql BASE, untuk melihat
Detection System (IDS) yang telah dibangun
hasil serangan yang terdeteksi maka user admin
dengan menggunakan sistem operasi linux 10.04
membuka aplikasi base melalui web browser
server
di
seperti mozila dengan mengetikkan alamat
implementasikan langsung ke jaringan UPT-SIM
http://10.237.3.80/base maka akan terlihat berapa
Universitas
proses
persen jenis serangan yang masuk ke aplikasi
pengujian Intrusion Detection System (IDS) ini
base tersebut, dapat dilihat pada gambar 7
dilakukan dengan cara diantaranya adalah:
dibawah ini:
Pada
tahapan
pengujian
dan
program
Bina
implementasi
terhadap
snort
Darma.
sebelum
Adapun
Melakukan perancangan jaringan yang terdiri dari komputer yang berfungsi sebagai Server
Intrusion
komputer
client
Detection yang
System
berfungsi
(IDS), sebagai
monitoring dan penyerang.
Implementasi Intrusion Detection System (IDS) …… (Maria Ulfa)
37
3.4
Pengujian Server Intrusion Detection System (IDS) di Jaringan UPT-SIM Universitas Bina Darma Setelah melakukan pengujian terhadap
Server Intrusion Detection System (IDS) dengan melakukan beberapa serangan, sekarang saatnya melakukan pengujian langsung ke jaringan VLAN Gambar 7. Bentuk Serangan DOS pada Aplikasi BASE
Universitas
Bina
Darma
dengan
meletakkan Server Intrusion Detection System (IDS) pada jaringan server di UPT-SIM, dimana
Pada
tahap
selanjutnya
untuk
sensor
network
akan
ditempatkan
pada
menganalisis jenis serangan yang terjadi user
Demilitarized Zone (DMZ) penempatan sensor
admin dapat melihat pada aplikasi base tersebut
pada lokasi ini untuk melindungi Demilitarized
dengan mengklik pada bagian persen seperti
Zone (DMZ) yang meliputi Web, FTP, SMTP
pada protokol TCP terdapat 100% serangan yang
server dan sebagainya. Langkah pertama yang
terdeteksi maka akan tampil informasi dari
harus dilakukan adalah meletakkan PC network
serangan tersebut diantaranya: (a) ID adalah
sensor di jaringan VLAN UPT-SIM pada
nomor identifikasi yang unik untuk alert yang
Demilitarized Zone (DMZ), Kemudian melalui
terdeteksi
PC
oleh
snort.;
(b)
Signature:
client
penulis
melakukan
monitoring
menunjukkan link dari signature yang merujuk
terhadap serangan yang terjadi dengan membuka
dari
alamat
jenis
serangan
yang
terdapat
pada
reference.; (c) Timestamp : waktu dan jam
http://10.237.2.69/base
seperti
pada
gambar 9 di bawah ini :
terjadinya suatu serangan.; (d) Source Address: merupakan alamat IP dari sumber serangan; (e) Destination Address : merupakan alamat IP dari tujuan serangan.; (f)
Layer
4
Protocol:
merupakan keterangan dari jenis protokol yang diserang.
Gambar 9. Bentuk Serangan Pada Jaringan UPT-SIM Selanjutnya adalah mengamati bentukbentuk serangan yang sudah
terekam pada
database aplikasi base seperti serangan melalui Gambar 8. Analisis Bentuk Serangan
38
protocol TCP, UDP ICMP dan Raw IP, bentuk Jurnal Imiah MATRIK Vol.1. No.1, April 2012: 27 - 42
serangan yang terjadi dapat dilihat pada gambargambar di bawah ini:
Gambar 13. Serangan Melalui Protocol Raw IP Gambar 10. Serangan Melalui Protocol TCP 3.5
Analisis Alert melalui BASE Console pada Server Intrusion Detection System (IDS) di Jaringan UPT-SIM Universitas Bina Darma Pada
bagian
informasi
alert
bisa
didapatkan informasi tentang unique alert dan total number of number alert. Jika angka yang terdapat pada unique alert diklik maka akan tampil semua alert yang sudah diklasifikasikan. Hal ini dapat dilihat pada gambar 14 dibawah ini: Gambar 11. Serangan Melalui Protocol UDP
Gambar 14. Unique Alert dan Number Alert Gambar 12. Serangan Melalui Protocol ICMP
Kesimpulan dari analisis alert melalui BASE console pada penelitian ini adalah serangan yang telah dikenali oleh signature dan rule pada Server Intrusion Detection System
Implementasi Intrusion Detection System (IDS) …… (Maria Ulfa)
39
(IDS) pada jaringan UPT-SIM Universitas Bina
X-MAS. (3)
Darma diantaranya :
real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan
Tabel 2. Bentuk Serangan No
No 1. 2. 3. 4. 5.
6. 7. 8. 9. 10.
PortSentry akan bereaksi secara
Bentuk Serangan Portscan TCP Portsweep http_inspect BARE BYTE UNICODE ENCODING http_inspect OVERSIZE REQUEST-URI DIRECTORY Portscan ICMP Sweep ICMP Destination Unreacheable Communication with Destination Network is Administratively rohibited. (portscan) TCP Portscan (portscan) TCP Filtered Portscan Community SIP TCP/IP message flooding directed to SIP Proxy Someone is watching your website Community WEB-MISC Proxy Server Access
menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.; (4) PortSentry
mempunyai
mekanisme untuk mengingat mesin / host mana yang pernah connect ke sistem. Dengan cara itu, hanya mesin/ host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir.; (5)
PortSentry
akan
melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di
Dari bentuk-bentuk serangan yang terjadi pada jaringan UPT-SIM diatas maka dapat disimpulkan beberapa persen serangan melalui
integrasikan
dengan
Logcheck
maka
administrator system akan memperoleh laporan melalui e-mail.
protocol TCP (82%), UDP (1%), ICMP (16%) dan Raw IP (1%). Untuk menghindari dari bentuk serangan
4.
SIMPULAN
diatas pada penelitian ini penulis memberikan solusi dengan cara, seperti pada bentuk serangan flooding
maka
di
setiap
server
jaringan
Universitas Bina Darma agar pada setiap server firewall melakukan proses pencegahan paket flood syn Attack dan paket ping flood attack. Kemudian untuk bentuk serangan port scaning yang
terjadi
agar
melakukan
pemblokiran
terhadap port-port yang terbuka yang sudah dimasuki oleh penyusup melalui server firewall, selain itu juga dapat menggunakan perangkat lunak seperti portsentry dimana portsentry memiliki fitur diantaranya Aulya (2011): (1) Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem.; (2) Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL,
Berdasarkan
hasil
penelitian
dan
pembahasan yang telah diuraikan pada bab –bab sebelumnya, sehingga dalam penelitian yang berjudul
Implementasi
Intrusion
Detection
System (IDS) di Jaringan Universitas Bina Darma Palembang maka didapatkanlah beberapa kesimpulan yang terdiri dari: (1) Serangan dapat terdeteksi atau tidak tergantung pola serangan tersebut ada didalam Rule IDS (Intrusion Detection System) atau tidak. Oleh karena itu pengelola Intrusion Detection System (IDS) harus secara rutin meng-update Rule terbaru.; (2) Untuk mempermudah pengelolaan Rule perlu user interface (front end) yang lebih baik seperti aplikasi webmin yang ditambahkan plugin snort
40
Jurnal Imiah MATRIK Vol.1. No.1, April 2012: 27 - 42
Rule; (3)Untuk mempermudah analisa terhadap catatan-catatan Intrusion Detection System (IDS) atau Security event perlu ditambahkan program tambahan seperti BASE (Basic Analysis and Security Engine) atau ACID (Analysis Console for Intrusion Databases).
Implementasi Intrusion Detection System (IDS) …… (Maria Ulfa)
41
DAFTAR RUJUKAN Arief.
Rudyanto. Muhammad, Penggunaan Sistem IDS (Intrusion Detection System) untuk Pengamanan Jaringan Komputer. Online. (http://rudy.amikom.ac.id, diakses 9 Oktober 2011).
Ariyus, Dony. 2007. Intrusion Detection System. Andi OFFSET. Yogyakarta. Aulya. M. O. Intrusion Detection System (Portsentry). Online. (http://www.psionic.com, diakses 20 September 2011).
Rafiudin, Rahmat. 2010. Mengganyang Hacker dengan Snort. Andi, Offset. Yogyakarta. Stiawan, Deris. 2009. Intrusion Prevention System (IPS) dan Tantangan dalam Pengembangannya. Online. (diakses 2 November 2011) Thomas, Tom. 2005. Networking Security FirstStep. Andi OFFSET. Yogyakarta. Wiharjito, Tony. 2006. Keamanan Jaringan Internet. PT. Gramedia. Jakarta.
Bace, Rebecca and Petter Mell. 2005. Intrusion Detection System. NIST Special Publication on IDS. Bambang. 2011. Kajian Aplikasi Mobile Agent untuk Deteksi Penyusupan pada Jaringan Komputer. Yogyakarta. Balasubramaniyan, Jai Sundar, Jose Omar, David Isacoff, and Diedo Samboni. 2008. An Architecture for Intrusion Detection Using Autonomous Agents”, Center for Education and Research in Information Assurance and Security. Online. Departemen of Computer Sciences Purdue University, 11 juni 2008. (Diakses 25 Oktober 2011. Davison, R. M., Martinsons, M. G., Kock N. 2005. Journal: Information Systems Journal: Principles of Canonical Action Research. Eugene Spafford. 2008. A Framework and Prototype for Distributed Intrusion Detection System. Departement od Computer Sciences Purdue University. InfoLinux, Sistem Pendeteksian Intrusi. Online. (www.infolinux.web.id, diakses 10 November 2011). Internet Security Systems. 2011. Network VS Host-based Intrusion Detection: A Guide to Intrusion Detection Technology. Online. (http://www.iss.net.net., diakses 5 November 2011).
42
Jurnal Imiah MATRIK Vol.1. No.1, April 2012: 27 - 42
