Jurnal Ilmiah ESAI Volume 8, No.1, Januari 2014 ISSN No. 1978-6034 Effectiveness of Instrusion Detection System in Proxy Server XYZ to prevent Port Scanning action by Hacker Efektivitas Instrusion Detection System Pada Proxy Server Mencegah Scanning Port oleh Hacker
XYZ dalam
Imam Asrowadi1), Eko Subiyantoro2)
1,2)
Dosen pada Program Studi Manajemen Informatika Politeknik Negeri Lampung Jl. Soekarno – Hatta Bandar Lampung
Abstract
Due to its crucial role, a proxy server needs to be well maintained to ensure its appropriate functions. One of the causes of failure access in proxy server is data manipulation done by irresponsible users that work by scanning, gaining access, maintaining access and covering track. The scanning process appears as an important step as it exposes the types of applications and services utilized in the server. The step is to manipulate four vulnerable points of proxy server related to the operating system, applications, program modules and configurations. In order to prevent the scanning process, it is important to utilize a mechanism which is able to detect and report any indications of intruding access in the proxy server aka intrusion detection system. This research is aimed at producing an application operated in the proxy server to report any indication of access intrusion. The research uses System Development Life Cycle (SDLC) method by applying analyzing, designing, implementing and assessing. Key words: proxy, server, ids, scanning.
Pendahuluan Proxy
serverXYZ
berfungsi
caching,
bandwidth
menangani
dapat terus
bekerja
sesuai
dengan
fungsinya. Kegagalan pada proxy server
management dan manajemen akses dari
ini
jaringan
seluruh layanan koneksi internet dari
(internet).
lokal
ke
Begitu
jaringan
publik
pentingnya
peran
proxy server tersebut, maka berbagai macam
metode
mempertahankan
digunakan agar
proxy
berdampak
pada
terganggunya
jaringan lokal menuju jaringan publik. Kegagalan menjalankan fungsi
untuk
secara umum dapat terjadi karena
server
hilangnya
kemampuan
pembangkit
listrik memasok sumber daya kepada
penyusup melanjutkan pada tahapan-
proxy
tahapan
server
(pemadaman
listrik),
kegagalan hardware, kegagalan sistem
Kegagalan
sehingga
proxy
server dapat dikuasai sepenuhnya.
operasi, serta kegagalan konfigurasi pada sistem aplikasi.
berikutnya
Berdasarkan
tahapan-tahapan
tersebut, tahapan pertama memegang konfigurasi
pada
peranan penting. Pada tahapan tersebut
sistem aplikasi dapat disebabkan oleh
proses scanning berbagai aplikasi servis
kesalahan konfigurasi ketika melakukan
(port scanning) yang dijalankan di proxy
proses
server
pembaharuan
sistem
oleh
dapat
diketahui.
Tujuannya
administrator atau unsur kesengajaan
adalah memanfaatkan empat macam
memanipulasi sumber daya yang ada
lubang kerawanan yang dimiliki oleh
pada proxyserver oleh pihak-pihak yang
proxy server terkait dengan sistem
tidak bertanggung jawab (penyusup)
operasi, aplikasi, modul
program, dan
dengan menggunakan akses yang tidak
konfigurasi
sah (Id.Wikipedia, 2011; Ali, dan
mencegah terjadinya proses scanning
Heriyanto, 2011).
yang dilakukan pada tahapan ke dua
Penyusup yang
tidak
menggunakan sah
tersebut
akses dengan
maka
(Indrajit,
2011).
Upaya
diperlukan sebuah mekanisme
yang dapat digunakan untuk mengetahui
memanfaatkan tahapan scaning, gaining
dan
access, maintaining acces dan covering
terjadinya pelanggaran akses pada proxy
tracks (Sto, 2009).
serverXYZ
Pada tahapan
pertama (reconncaisance), oleh
penyusup
system).
adanya
(instrusion
Intrusion
indikasi
detection
detection
system
mendapatkan
dibangun dengan memanfaatkan log
berbagai informasi mengenai target
yang tardapat pada syslog proxy server.
seperti nama domain,
ip address,
Harapannya, instrusion detection system
teknologi, kontak dan berbagai macam
dapat digunakan untuk memonitor dan
informasi lain yang bermanfaat oleh
mencegah
penyusup. Tahapan kedua (scaning)
penyusup (Gandhi dan Srivatsa, 2008;
digunakan
Rebecca, B., dan Petter, M., 2002;
oleh
untuk
digunakan
melaporkan
penyusup
untuk
melakukan probbing atau penyelidikan
terjadinya
serangan
oleh
Kumar, 2011; Hampton, 2011)
terhadap korban untuk mencari lubang
Penelitian ini difokuskan pada
keamanan yang dapat dieksploitasi atau
pembuatan mekanisme dalam bentuk
sebagai pintu masuk ke sistem target.
service yang dapat digunakan untuk
Jika pada tahapan ke dua berhasil maka
mendeteksi adanya indikasi terjadinya
yang
pelanggaran akses yang terjadi pada
hacker.
proxyserverXYZ (instrusion detection
mungkin
dilakukan
2. Desain. Pada tahapan ini yang akan
system), yaitu dengan cara memotong
dilakukan adalah:
tahapan-tahapan yang digunakan oleh
-
penyusup untuk menguasai sumber daya yang
dimiliki
oleh
proxy
server.
Penelitian ini sangat penting karena
oleh
Membuat desain arsitetktur IDS dan
-
Membuat desain flowchatsystem IDS
memberikan manfaat proxy server bagi
Ouput pada tahapan ini adalah
seluruh civitas akademika XYZ. Secara
dokumentasi yang berisi desain
khusus penelitian ini bertujuan untuk: 1)
arsitektur dan desain flowchat sytem
Membangun sebuah mekanisme untuk
yang akan digunakan pada tahapan
mengingat
pernah
implementasi.
terkoneksi dengan proxy serverXYZ. 2)
3. Implementasi.
mesin
Membangun
yang
mekanisme
pelaporan
yang
Pada tahapan ini
akan
dilakukan
adalah
pelanggaran atau indikasi pelanggaran
mengimplementasikan
melalui syslog. 3) Memutus tahapan uji
arsitektur
coba pengambil alihan proxy serverXYZ
system.
pada tahapan scaning.
Output pada tahapan ini adalah
dan
desain
desain flowchat
proxy server yang sudah memiliki pengamanan dari serangan hacker.
Metode Pelaksanaan Penelitian
ini
dilakukan
4. Pengujian
dilakukan
dengan
menggunakan pendekatan konsep SDCL
tahapan:
(System Development Life Cycle) yang
a. Percobaan menemukan service
meliputi tahapan:
yang
1. Analisis.
server(scanning) dilakukan dari
akan
Pada tahapan ini yang
dilakukan
kondisi
adalah
existingcara
menguji membuat
aktif
dalam
proxy
sisi public area maupun local area.
sebuah skenario penyerangan dari
b. Memeriksa apakah proxy server
sisi internal maupun external system.
telah mampu menangkap usaha
Output pada tahapan ini adalah
percobaan penyusupan ke dalam
dokumentasi yang berisi kerentanan
proxy
yang
melihat syslog yang dihasilkan.
dimiliki
serverterhadap
oleh
proxy
serangan-serangan
server
dengan
cara
c. Memeriksa apakah proxy server telah
mampu
maka mekanisme IDS telah
memasukkan
berjalan dengan baik.
source addressyang digunakan oleh penyusup dan dan waktu percobaan ke dalam black list
Hasil Dan Pembahasan
address
Analisis
kemudian
menguncinya.
a. Desain Arsitektur jaringan komputer
d. Percobaan 1 dilakukan kembali
XYZ
jika penyusup tidak mampu
Secara garis besar desain jaringan di
melakukan tindakan scanning
XYZ dapat dilihat pada Gambar 1.
webserver
lpse Repositori Proxy
UserManager
R R G. Analisis G. Ekbis
R G. S
R. R. Teknologi G. Uppm
R G. A
Gambar 1. Desain jaringan Berdasarkan
Gambar
1,
Proxy
melakukan proses scanning untuk
server memiliki dua interface. Satu
mengetahui port-port yang terbuka
interface menuju jaringan local area
kemudian berlanjut pada proses
network (LAN) dan satu interface
serangan berikutnya.
menghadap ke jaringan public. Ke dua interface tersebut merupakan
b. Desain Pengujian Tanpa IDS
gerbang keluar masuknya data dari
Pengujian dilakukan dari dua sisi
jaringan local area network menuju
yaitu, sisi internal (LAN) dan sisi
ke jaringan public begitu juga
external (jaringan public). Hal ini
sebaliknya. Selain berfungsi sebagai
didasarkan
media penyimpanan cache, proxy
bahwa
server
sebagai
penyusupan ke proxy server dapat
Melalui ke dua
terjadi baik dari sisi jaringan local
juga
berfungsi
internet gateway.
interface tersebut, penyusup dapat
pada
pertimbangan
kemungkinan
terjadinya
area
network
maupun
jaringan
Gambar 2. Pada Gambar 2
public. -
disimulasikan penyusup yang
Desain
pengujian
dari
sisi
berasal dari jaringan internal
internal Desain
XYZ. pengujian
dari
sisi
jaringan LAN ditunjukkan pada
webserver
lpse
Proxy
LAN
penyusup
Gambar 2. Desain Pengujian pada Jaringan LAN
-
Desain pengujian dari sisi
jaringan externalXYZ yang
external
menggunakan
Desain pengujian dari sisi
internat yang berasal dari
jaringan public ditunjukkan
Internet Service Provider
pada
baik
Gambar
Gambar
3
3.
Pada
disimulasikan
penyusup yang berasal dari
yang
koneksi
berada
di
Indonesia maupun negara lain.
webserver
lpse
Proxy
Public Network
Penyusup
Gambar 3. Desain Pengujian pada Jaringan Public
c. Hasil Pengujian Tanpa IDS Berdasarkan
hasil
proses
pengujian
scanning
port
yang
dilakukan oleh penyusup baik
menggunakan aplikasi nmap pada
yang
sisi internal maupun sisi external
internal maupun external. Hal
maka dapat disimpulkan bahwa:
tersebut
-
Penyusup yang berasal dari
terjadinya
tahapan-tahapan
jaringan internal XYZ mampu
berikutnya
pada
melakukan
exploitasi sistem oleh penyusup.
proses
secanningport
-
dengan
dilakukan
pada
sisi
memungkinkan
proses
baik,
tanpa ada proses penolakan pada
Desain
sisi server.
a. Desain Arsitektur Jaringan XYZ
Penyusup yang berasal dari
dengan IDS
jaringan external XYZ juga
Desain arsitektur jaringan XYZ
mampu
dengan
melakukan
secanningport
proses
dengan
IDS
ditunjukkan
pada
baik,
Gambar 5. Berdasarkan pada desain
tanpa ada proses penolakan pada
arsitektur jaringan XYZ (Gambar 1),
sisi server.
maka
usulan
arsitektur
desain
jaringan
jaringan
XYZ
Berdasarkan hasil analisis yang
dikembangkan
dilakukan maka secara umum
menambahkan komponen baru pada
proxy
belum
arsitektur jaringan tersebut, yaitu
mekanisme
IDS. IDS pada arsitektur baru
server
memiliki atau
sebuah
aturan
digunakan
XYZ
yang untuk
dapat menolak
dengan
tersebut (Gambar 4) berfungsi untuk menolak
scanning
port
yang
dilakukan oleh penyusup (hacker) baik
melalui
jaringan
mapun jaringan public.
internal
Proxy
webserver
lpse Repositori
UserManager
R R G. Analisis G. Ekbis
R G. S
R. R. Teknologi G. Uppm
R G. A
Gambar 4. Desain jaringan dengan IDS
b. Desain Flowchat IDS
Desain flowchat IDS ditunjukkan pada Gambar 5.
Mulai
PortScanning Ada di daftar abai?
T
IP Source, waktu
IP Tables
TCP Wrapper
SysLog
Y Souce Address
Informasi Port
Selesai
Gambar 5. Flowchat IDS Sebagaimana pada Gambar 5,
dibandingkan
sistem
yang
IDS
akan
membaca
dengan
alamat
pada
daftar
terdapat
kegiatan scanning port yang
sumber alamat yang diberi hak
dilakukan
untuk
oleh
penyusup.
Sistem akan memeriksa sumber
scanning
alamat
alamat
yang
kemudian
melakukan port. tidak
kegiatan
Jika terdapat
sumber pada
daftar,
maka
sistem
akan
Implementasi
mengaktifkan tcp wrapper dan
Implementasi
iptables
memperhatikan
serangan
untuk
memblokir
yang
kemudian
sebelumnya
dilakukan
dengan
pada
tahapan
(desain).
mendokumentasikan di dalam
dilakukan dengan tahapan:
syslog
1. Instalasi
sistem.
Sistem
akan
Implementasi
menyimpan sumber alamat yang
Instalasi dilakukan dengan tahapan-
akan dijadikan sebagai acuan
tahapan sebagaimana ditunjukkan
untuk mencegah aktivitas lain
pada Gambar 6.
yang diinginkan terhadap server.
Mulai
Apt-get install portsentry
Periksa koneksi
Ambil Paket dari Repository
Y
Instalasi Paket
Gagal?
Y
Tampilkan Pesan
Selesai
T
Baik?
Pesan Instalasi Selesai
T
Gambar 6. Flowchat Instalasi IDS 2. Konfigurasi
Konfigurasi file IDS dilakukan sebagaimana ditunjukkan pada Gambar
7.
Mulai
Konfigurasi /etc/ portsentry/ portsentry.conf
Y
Compile?
T
Selesai
Gambar 7. Flowchat Konfigurasi File IDS.
dengan baik, dengan adanya proses
Pengujian Beradasarkan hasil pengujian menggunakan aplikasi nmap pada proxy
penolakan pada sisi server. -
Penyusup yang berasal dari jaringan
server yang telah diimplementasikan
publicXYZ tidak mampu melakukan
IDS baik sisi internal maupun sisi
proses scanningport dengan baik,
external
dengan adanya proses penolakan
maka
dapat
disimpulkan
bahwa: -
pada sisi server.
Penyusup yang berasal dari jaringan internal
XYZ
melakukan
tidak
proses
mampu
Perbandingan hasil pengujian sebelum
scanningport
dan sesudah penerapan IDS dapat di lihat pada Tabel 1.
Tabel 1. Perbadingan hasil pengujian sebelum dan sesudah penerapan IDS
Layanan No 1 2 3 4
PING NMAP Dictionary Attack SSH
Sebelum IDS Internal External V V V V V V V V
Sesudah IDS Internal External X X X X X X X X
Simpulan dan Saran Beradasarkan pengujian
yang
pada dilakukan
hasil
1. Implementasi sistem IDS sangat
maka
efektif untuk mencegah scanning
kesimpulan yang dapat diambil adalah:
port oleh penyusup. Harapannya,
a. Proxy server XYZ belum memiliki
sistem
IDS
dapat
sebuah aturan yang dapat digunakan
tahapan-tahapan
untuk menolak aktivitas scanning
oleh penyusup dalam menguasai
port yang dilakukan oleh penyusup
sumber daya yang dimiliki oleh
baik sisi internal maupun external.
proxy server.
b. Setelah diimplementasikan sistem
Penelitian
yang
memotong digunakan
berikutnya
dapat
IDS maka proxy server XYZ telah
dikembangkan pada pembuatan sistem
memiliki sebuah mekanisme atau
peringatan dini berbasis email, web atau
aturan yang dapat digunakan untuk
sms.
menolak proses scanning port yang
administrator sistem tidak harus melihat
dilakukan oleh penyusup baik yang
log sistem ketika terjadi proses scanning
dilakukan pada sisi internal maupun
port pada sistem.
external.
Hal
ini
penting,
karena
Daftar Pustaka
Ali, Shakeel, dan Heriyanto, Tedi. 2011. BackTrack 4: Assuring Security by Penetration Testing- Master the art of penetration testing with BackTrack. Packt Publishing. Birmingham – Mumbai Gandhi, Meera, dan Srivatsa S.K.2008. Detecting and preventing attacks using network intrusion detection systems.International Journal of Computer Science and Security, Volume 2,Issue 1 : Page 49-60. ISSN (Online): 1.985-1.553. CSC Journal (http://www.cscjournals.org). Kuala Lumpur-Malaysia.
diakses tanggal 13 November 2012. Indrajit, Eko. 2011. Meneropong Isu Keamanan Internet Aspek Teknis, Bisnis, dan Sosial. http://idsirtii.or.id/cyber-6/ diakses tanggal 17 November 2012. Id.wikipedia. 2011. Serangan brutal. http://id.wikipedia.org/wiki/Sera ngan_brutal. diakses tanggal 17 November 2012. Sto.
2009. CEH Certified Ectical Hacker 100% Illegal. Penerbit Jasakom. Jakarta.
Hampton,Tavis J. 2011. 9 Server Security Threats You Should Definitely Know. http://www.webmasterview.com /2011/03/server-securitythreats/akses 9 November2012 .
Kumar, Neeraj. 2011. Investigations in Brute Force Attack on Cellular Security Based on Des and Aes .IJCEM International Journal of Computational Engineering & Management, Vol. 14, October 2011 ISSN (Online): 2230-7893
Indrajit, Eko. 2011. Empat Domain kerawanan system. http://idsirtii.or.id/cyber-6/
Rebecca, B., dan Petter, M., 2002, “Intrusion Detection System”, NIST Special Publication on IDS, USA.
