IMPLEMENTASI INTRUSION PREVENTION SYSTEM(IPS) PADA JARINGAN KOMPUTER KAMPUS B UNIVERSITAS BINA DARMA Tamsir Ariyadi1, Yesi Novaria Kunang2 , Rusmala Santi3 Dosen Universitas Bina Darma 2,3, Mahasiswa Universitas Bina Darma 1 Jalan Jenderal Ahmad Yani No.12 Palembang Pos-el:
[email protected],
[email protected],
[email protected] ABSTRACT: The development of computer network technology as a medium for data communications to this increase. Intrusion Detection System (IDS) is an intrusion detection system is a software application or hardware device that works automatically to monitor events on a computer network and analyze network security issues. IDS is the first signaling intruder if someone tries to break into computer security systems. In general, infiltration could mean an attack or a threat to the security and integrity of data, as well as measures or attempts to pass through the security system made by someone from the internet or from within the system. Intrusion Prevention System (IPS) is an application that works to monitor network traffic, detect suspicious activity, and early prevention against intrusion or events that can create a network to run not like as it should. It could be because of an attack from the outside, and so on. IPS In this proposal will be implemented on the university campus computer network Bina Darma B are connected using a LAN cable. By utilizing IDS as detection and monitoring networks and IP Tables as the antidote to the attack. Keywords: IDS, IPS, IPTables, Computer Networking Technology ABSTRAK: Perkembangan teknologi jaringan komputer sebagai media komunikasi data hingga saat ini semakin meningkat. Intrusion Detection System (IDS) adalah sistem pendeteksi gangguan yaitu sebuah aplikasi perangkat lunak atau perangkat keras yang bekerja secara otomatis untuk memonitor kejadian pada jaringan komputer dan menganalisis masalah keamanan jaringan. IDS adalah pemberi sinyal pertama jika seseorang penyusup mencoba membobol sistem keamanan komputer. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sistem keamanan yang dilakukan oleh seseorang dari internet maupun dari dalam sistem. Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk memonitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Dalam proposal ini IPS akan diimplementasikan pada jaringan komputer kampus B universitas bina darma yang terhubung menggunakan kabel LAN. Dengan memanfaatkan IDS sebagai pendeteksi dan memonitor jaringan serta IPTables sebagai penangkal serangan. Kata kunci:IDS, IPS, IPTables, Teknologi Jaringan Komputer.
I.
PENDAHULUAN
evolusi jaringan komputer secara global. Secara
1.1
Latar Belakang
umum, yang disebut jaringan komputer adalah
Keadaan seperti saat ini yang tidak lepas
beberapa komputer yang saling berhubungan dan
dari internet dimana teknologi jaringan komputer
melakukan komunikasi satu dengan yang lain
yang dinamis merupakan suatu kebutuhan yang
menggunakan perangkat keras jaringan (ethernet
sangat penting untuk memperlancar segala
card, token ring, bridge, modem, dan lainnya).
aktivitas dalam segala bidang. Perkembangan ini
Komputer yang berada dalam suatu jaringan
telah berhasil meningkatkan cara interaksi sosial,
dapat melakukan tukar-menukar informasi/data
komersial, politik, agama dan pribadi mengikuti
dengan komputer lain yang berada dalam
Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B Universitas Bina Darma(Tamsir Ariyadi)
jaringan tersebut. Pengguna suatu komputer dapat
melihat
pada
salah satu instansi yang aktivitasnya didukung
komputer lain dalam jaringan apabila dilakukan
oleh layanan jaringan internet, mulai dari
file sharing.
mengolah data yang ada, diantaranya sistem
Pada
dan
saat
mengakses
jaringan
data
Universitas Bina Darma merupakan
internet
sudah
KRS online, mail server dan web portal di tiap
digunakan orang di berbagai belahan bumi.
unit kerja. Administrator jaringan komputer
Selain membawa dampak positif, internet juga
Universitas Bina Darma membangun sistem
mempunyai dampak negatif, yang menimbulkan
keamanan jaringan dengan menerapkan sistem
masalah baru yang sangat mengancam yaitu
firewall dan proxy server pada tiap unit server
masalah keamanan jaringan. Ancaman keamanan
termasuk server yang ada di kampus B.
ini banyak sekali ditemukan oleh user seperti
Keamanan yang menggunakan sistem
virus, Malicious, Trojan, Worm, DoS, Hacker,
firewall dan proxy server ini tidak semuanya
Spoofing, Sniffing, Spamming, Crackers dan
dapat terkendali, terkadang masih ada cela bagi
lainnya, yang membuat tidak nyaman serta
hackers, virus, dan sebagainya bisa di firewall.
mengancam sistem dan data pada saat kejadian
Teknologi yang canggih yang bisa menggunakan
ini menyerang jaringan. Semakin besar suatu
berbagai tools untuk bisa melewati firewall yang
jaringan
dibangun.
maka
akan
semakin
kompleks
administrasi dari jaringan itu, oleh karena.
Oleh
karena
itu,
penerapan
IPS
Menurut Iwan Sofana (2009) menjelaskan bahwa
(Intrusion Prevention System) diusulkan sebagai
Keamanan jaringan komputer sebagai bagian
salah satu solusi yang dapat digunakan untuk
dari sebuah sistem informasi adalah sangat
membantu pengaturan jaringan dalam memantau
penting untuk menjaga validitas dan integritas
kondisi jaringan, menganalisa paket-paket serta
data serta menjamin ketersediaan layanan bagi
mencegah segala hal yang dapat membahayakan
penggunanya. Sistem harus dilindungi dari
jaringan tersebut, hal ini bertujuan untuk
segala
mengatasi
ancaman seperti
hacker,
penyusupan oleh pihak yang tidak berhak.
cracker dan user yang tidak dikenal.
Sistem
Sistem keamanan komputer, dalam beberapa
pencegahan penyusupan dengan menggunakan
tahun ini telah menjadi fokus utama dalam dunia
Snort IDS dan IPTables Firewall, bekerja
jaringan komputer, hal ini disebabkan tingginya
dengan
ancaman yang mencurigakan (Suspicious Threat)
membaca parameter IP asal penyerang pada
dan serangan dari internet. Keamanan komputer
tampilan alert yang memerintahkan firewall
(Security) merupakan salah satu kunci yang
untuk memblok akses dari IP penyerang tersebut.
dapat
macam
serangan
mempengaruhi
dan
tingkat
usaha-usaha
segala
membangun
sebuah
mesin
yang
Reliability
(keandalan) termasuk performance (kinerja) dan Availability (tersedia) suatu internetwork.
Pada
penelitian
mengimplementasikan
ini
penulis
Intrusion
akan
Prevention
System(IPS) pada jaringan komputer kampus B Univeritas Bina Darma sebagai solusi untuk Jurnal Ilmiah Teknik Informatika Ilmu Komputer Vol. 14 No.2 September 2012: 1-14
keamanan
jaringan.
Dimana
penulis
mengimplementasikan
Intrusion
System(IPS)
menggunakan
dengan
akan
Prevention snort
Intrusion Detection System(IDS) dan IPTables
jaringan komputer kampus B Universitas Bina Darma
serta
mengevaluasi
secara
singkat
dampak dari implementasi. 1.4.2
Firewall. Berdasarkan latar belakang diatas,
Manfaat Adapun manfaat dari penelitian ini
penulis akan melakukan penelitian dengan judul
adalah sebagai berikut:
“Implementasi Intrusion Prevention System(IPS)
1.
Membantu
dalam
meningkatkan
Pada Jaringan Komputer Kampus B Universitas
keamanan jaringan pada Universitas
Bina Darma”.
Bina 2.
Sebagai pendeteksi dan pencegahan segala
1.2
Perumusan Masalah
merumuskan
penelitian
ini
mengimplementasikan
ancaman-ancaman
terhadap
jaringan komputer.
Berdasarkan latar belakang diatas, maka penulis
Darma.
permasalahan
3.
dalam
yaitu:
Bagaimana
Intrusion
Prevention
Meningkatkan pengetahuan
dan bagi
mengembangkan penulis
tentang
keamanan jaringan komputer. 4.
System dengan memanfaatkan Router Cisco
Diharapkan
dapat
mengoptimalkan
kinerja jaringan komputer kampus B
1700 series dan Switch Catalyst 2950 pada ruang
Universitas Bina Darma.
VLAN server kampus B Universitas Bina Darma?.
1.3
Batasan Masalah
II.
METODOLOGI PENELITIAN
2.1
Metode Pengumpulan Data Dalam melakukan pengumpulan data,
Dalam penelitian ini penulis membatasi permasalahan agar tetap terarah dan tidak menyimpang dari apa yang sudah direncanakan
penulis menggunakan beberapa cara yaitu: 1.
snort
dengan objek yang akan diteliti. 2.
penyusupan. Memanfaatkan
diperoleh
perpustakaan serta buku yang sesuai
IDS(Intrusion
Detection System) sebagai pendeteksi
2.
Data
mencari bahan dari internet, jurnal dan
penelitian ini adalah: Menggunakan
kepustakaan,
melalui studi kepustakaan yaitu dengan
sebelumnya. Adapun batasan masalah dalam
1.
Studi
IPTables
Pengamatan, Data dikumpulkan dengan melihat secara langsung dari objek yang
Firewall
diteliti
sebagai pencegahan.
pada VLAN server kampus B
Universitas Bina Darma. 1.4
Tujuan dan Manfaat
1.4.1
Tujuan Dapat memonitor dan mencegah serta
meminimalisir segala ancaman-ancaman pada
3.
Wawancara, Data dikumpulkan dengan cara melakukan diskusi dengan pihak yang terkait dengan sistem IT yang ada di Universitas
Bina
Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B Universitas Bina Darma(Tamsir Ariyadi)
Darma
untuk memperoleh
informasi
Untuk
mengaktifkan
mode
sistem
deteksi
penyusup jaringan(Network Intrusion Detection
langsung dari sumbernya.
System). Dimana snort.conf adalah nama file 2.2
tempat rule-rule Intrusion Detection System
Metode Penelitian Metode
penelitian
yang
digunakan
disimpan.
Rule-rule
yang
telah
tersimpan
dalam penelitian ini menggunakan metode
tersebut dapat memutuskan tindakan apa yang
penelitian
akan dilakukan terhadap setiap paket yang
tindakan
atau
action
research.
Menurut Guritno, Sudaryono, dan Raharja
ditemukan
sesuai
rule-rule
yang
telah
(2011:46) Action Research merupakan bentuk
ditetapkan. Berikut merupakan ouput snort
penelitian
tahapan(applied
bertujuan
mencari
research)
yang
dengan network intrusion detection pada gambar
efektif
yang
3.1:
cara
menghasilkan perubahan disengaja dalam suatu lingkungan
yang
sebagian
dikendalikan
(dikontrol). Action
research
menurut
Davison,
Martinsons dan Knock(2004) yaitu penelitian tindakan yang mendeskripsikan, menginterpretasi dan menjelaskan suatu situasi sosial atau pada waktu bersamaan dengan melakukan perubahan atau intervensi dengan tujuan perbaikan atau partisipasi. Adapun tahapan penelitian yang merupakan bagian dari action research ini, yaitu:
Gambar 3.1 Output network intrusion detection Berikutnya menampilkan jenis serangan
1.
Melakukan diagnose(Diagnosing)
port 22 pada komputer server yang terjadi di
2.
Membuat
aplikasi base seperti tampak pada gambar 3.2:
rencana
tindakan(Action
Planning) 3.
Melakukan tindakan(Action Taking)
4.
Melakukan evaluasi(Evaluating)
5.
Pembelajaran(Learning)
III.
HASIL Setelah
lakukan
tahap
dalam
demi
tahap
Implementasi
peneliti Intrusion
Prevention System(IPS) pada jaringan komputer
Gambar 3.2 Informasi serangan melalui port 22
dengan snort IDS sebagai pendeteksi dan iptables firewall sebagai pencegah penyusupan. Jurnal Ilmiah Teknik Informatika Ilmu Komputer Vol. 14 No.2 September 2012: 1-14
Jenis serangan yang sedang mengakses
DOS attack(Denial of Service), adapun proses
web server snort yang ditandai pada bagian
penyerangan
signature yaitu someone is watching your
command prompt melalui komputer client lalu
website by port 22 melalui port 22 membanjiri
mengetikan perintah ping 172.168.10.3 –l 10000
layanan jaringan
–t. b.
Gambar 3.3 Informasi serangan melalui port 80
3.1
Pengujian
Intrusion
dengan
membuka
UDP flood
Gambar 3.5 Pengiriman paket UDP flood UDP flood mengaitkan dua sistem tanpa
Prevention
disadari. Dengan cara spoofing, UDP flood
System(IPS) Untuk menguji sistem yang telah dibuat, terlebih melakukan uji coba terhadap server yang dibuat, beberapa percobaan serangan antara lain
attack akan menempel pada servis UDP, untuk keperluan
“percobaan”
akan
mengirimkan
sekelompok karakter ke mesin lain, yang diprogram untuk meng-echo setiap kiriman
sebagai sebagai berikut: a.
dimulai
karakter yang diterima melalui servis chargen.
ICMP flood
Pada
gambar
4.14
diatas
penyerang
mengirimkan paket UDP flood menggunakan UDP Test Tool 3.0 ke server dengan melakukan pengiriman setiap detik. c.
Port Scanning
Gambar.3.4 Pengiriman paket ICMP flood Melakukan
percobaan
penyerangan
terhadap server yang telah dibangun dengan melancarkan
pengirimkan paket ICMP dalam
Gambar 3.6 Scanning port scan
ukuran besar sehingga dikategorikan sebagai Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B Universitas Bina Darma(Tamsir Ariyadi)
Scanning
terhadap
server
untuk
mendapatkan letak kelemahan sistem jaringan dan mengetahui tentang port-port yang terbuka pada
server.
Percobaan
dilakukan
dengan
menggunakan NetTools 5. d.
SYN Flood DoS
Gambar 3.8 Tampilan Aplikasi Base Selanjutnya adalah mengamati bentukbentuk serangan yang sudah terekam pada database aplikasi base seperti serangan melalui protocol TCP, UDP, ICMP dan Raw IP, bentuk
Gambar 3.7 SYN Flood DoS 1 Penyerang akan mengirimkan paketpaket SYN ke dalam port-port yang
sedang
serangan yang terjadi dapat dilihat pada gambargambar 3.7 dibawah ini:
berada dalam keadaan listening yang berada dalam host target. Pada percobaan pada gambar diatas target www.binadarma.ac.id dan port 80.
3.2
Setelah Pengujian Server di VLAN Server Setelah melakukan pengujian terhadap
server Intrusion Prevention System(IPS) dengan melakukan
beberapa
serangan.
Pengujian
dilakukan di VLAN server dengan meletakan server
Intrusion
Prevention
System
(IPS).
Langkah pertama yang harus dilakukan adalah meletakan PC network sensor yang terhubung
Gambar 3.9 Serangan melalui protocol TCP
Switch di VLAN server, Kemudian melalui PC Serangan melalui protocol TCP akan
Client melakukan monitoring terhadap serangan yang
terjadi
dengan
membuka
http://172.168.10.3/base base gambar dibawah ini:
alamat
seperti pada
tampak seperti gambar diatas yang terlihat pada bagian
Layer
4
Protocol
yang
bisa
memperlambat dan menggangu kinerja jaringan.
Jurnal Ilmiah Teknik Informatika Ilmu Komputer Vol. 14 No.2 September 2012: 1-14
sehingga
dikategorikan
sebagai
DOS
attack(denial of service). Dengan mengetikan perintah ping 10.237.3.91 –l 10000 –t. Berikut pengujian yang dilakukan client terhadap Server:
Gambar 3.10 Serangan melalui protocol ICMP Jenis serangan melalui protocol ICMP yang akan membanjiri suatu jaringan serta memperlambat jaringan dengan mengirimkan pesan yaitu Community SIP TCP/IP Message flooding directed SIP Proxy. Gambar 3.12 Output ICMP Flood
Untuk mencari kejadian-kejadian pada jaringan dengan menggunakan
BASE baik
menurut jam, hari, 15 alert terbaru, source dan
b.
Membatasi UDP Flood
destination port terakhir, frekuensi 15 address terakhir dan sebagainya telah tersedia oleh BASE console dengan snapshot view pada main page dari BASE. Seperti pada gambar 3.8 dibawah ini:
Gambar 3.13 Output UDP Test Tool Pembatasan flood UDP dilakukan dengan memasukan IP target, maka tampil pengiriman Gambar 3.11 Traffic Sensor
pada aplikasi UDP Test Tool 3.0 diterima setiap
3.3
Pembahasan
10 detik. Adapun perintah di iptables : # iptables
a.
Membatasi flood ICMP
–A INPUT –p –m limit –limit 10/s –j ACCEPT.
Untuk menguji firewall dengan cara
Apabila terjadi UDP flood maka firewall akan
melancarkan paket serangan ke sistem yang
merespon dan membatasinya seperti terlihat pada
dilindungi
gambar 4.31 diatas, rentang waktunya melambat.
oleh
IPS.
Pada
pengujian
ini
dikirimkan paket ICMP dalam ukuran besar Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B Universitas Bina Darma(Tamsir Ariyadi)
c.
Port Scan
#iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP #iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP #iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
harus ditolak hak aksesnya karena bisa menganggu keamanan sistem jaringan.
Tabel 3.1 Perintah iptables firewall port scaning
d.
SYN Flood DoS Setelah
dialokasikan
melakukan oleh
sistem
percobaan
yang
penerima
dapat
mengalami “kepenuhan” dan target merespon
3.14 Output port scaning penyerangan
koneksi yang datang hingga paket SYN yang
terhadap server, port scanner akan mengalami
sebelumnya akan masuk ke server. Perintah pada
perubahan
tidak
iptables firewall : #IPTABLES -A INPUT -p tcp
diterapkan
--syn -m limit --limit 3/s -j ACCEPT, Terlihat
perintah di iptables. Pada aplikasi Net Tools 5
pada gambar 4.33 bahwa nmap yang dilakukan
terlihat
akan
Setelah
sebagaimana
melakukan
rentang
waktunya
mestinya
scanning
dan
sebelum
melambat
tidak
seperti
direspon
oleh
firewall,
sehingga
biasanya, itu karena firewall sudah merespon
membatasi setiap 3 detik oleh server jika
atau membatasi akses ke server. Adapun rule
terdapat serangan SYN flood.
port scan di iptables firewall sebagai berikut: Perintah
Keterangan
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP #iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP #iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP #iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP #iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP #iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
Karena port scanning berfungsi melakukan pendeteksian portport yang terbuka, maka pada rule iptables firewall diatas bahwa protocol tcp SYN, ACK SYN, ACK, Fin SYN, Fin, RST SYN, RST, URG dan PSH akan ditolak. Iptables firewall akan melakukan respon terhadap scanning, scan yang dilakukan terhadap port jadi
d.
SYN Flood DoS
Gambar 3.15 Output SYN Flood DoS Setelah dialokasikan
melakukan
oleh
sistem
percobaan
yang
penerima
dapat
mengalami “kepenuhan” dan target merespon Jurnal Ilmiah Teknik Informatika Ilmu Komputer Vol. 14 No.2 September 2012: 1-14
koneksi yang datang hingga paket SYN yang
pemrograman aplikasi berbasis web-bukan
sebelumnya akan masuk ke server. Perintah pada
di webmin.
iptables firewall: #IPTABLES -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT, Terlihat pada gambar 4.33 bahwa nmap yang dilakukan akan
direspon
oleh
firewall,
sehingga
membatasi setiap 3 detik oleh server jika terdapat serangan SYN flood.
V.
DAFTAR PUSTAKA
Andi. 2005. Menjadi Administrator Jaringan Komputer. Yogyakarta : Andi. Abraham N.S. Jr.,Agus H., Alexander.2009, Jurnal. Perancangan dan Impelementasi Intrusion Detection System pada
IV.
SIMPULAN Berdasarkan
pembahasan
yang
Jaringan Nirkabel BINUS University. hasil
penelitian
telah
diuraikan
dan dalam
penelitian yang berjudul Implementasi Intrusion Prevention
System
(IPS)
Pada
Jaringan
Komputer Kampus B Universitas Bina Darma maka dapat disimpulkan sebagai berikut: 1.
implementasi
Intrusion
Prevention System(IPS). 2.
tergantung pola serangan tersebut ada di dalam rule IDS atau tidak. Oleh karena itu, rutin
mengupdate rule terbaru. 3.
webmin yang ditambahkan plugin snort rule.
ditambahkan module tambahan seperti ACID.
proses bekerja secara realtime. Manajemen tersendiri,
Journal : Principles of Canonical Action Research 14, 65–86
Theory and Application of IT Research. Yogyakarta : Andi. Hartono, Puji.,(2006), Jurnal : Sistem Pencegahan Penyusupan pada Jaringan
Firewall. (JTB_Journal of Technology and Business. October 2007). 2011: 223 – 229. Rafiudin, Rahmat, 2010. “Mengganyang Hacker dengan Snort”. Yogyakarta : Andi
Update rule pada firewall seharusnya dalam bentuk daemon proses hingga
6.
Davison, R. M., Martinsons, M. G., Kock N.,
Jurnal SMARTek, Vol. 9 No. 3. Agustus
Untuk mempermudah analisis terhadap catatan-catatan IDS (security event) perlu
5.
Technology.
berbasis Snort IDS dan IPTables
Untuk mempermudah pengelolaan rule perlu user interface (front end) seperti
4.
Journal of Engineering Science and
Guritno, S, Sudaryono, dan Raharja, U. 2011.
Serangan dapat terdeteksi atau tidak
pengelola IDS harus secara
Eslam Mohsin Hassib et. al. / International
(2004), Journal : Information Systems
Serangan atau penyusupan dapat dicegah dengan
Jakarta: BINUS University.
rule dapat
Offset.
Sofana, Iwan. 2010. CISCO CCNA & JARINGAN KOMPUTER. Bandung : Informatika.
sebaiknya
dibuat
dilakukan
dengan
Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B Universitas Bina Darma(Tamsir Ariyadi)
Stiawan, Deris.,(2010), Jurnal : Intrusion Prevention System (IPS) dan Tantangan
dalam
pengembanganya.(Dosen Jurusan Sistem Komputer FASILKOM UNSRI). Tom, Thomas. 2005. “Networking Security First-Step”. Yogyakarta : Andi OFFSET. Ulfa, Maria. 2012. Implementasi Intrusion Detection System Di Jaringan Universitas
Bina Darma.
Palembang: Tidak diterbitkan. https://help.ubuntu.com/10.04/serverguide/firewa ll.html (diakses 10 Juli 2012) http://www.linuxtopia.org/online_books/linux_sy stem_administration/securing_and_optimizing_li nux/Secure-optimize.html (diakses 10 Juli 2012) http://www.cyberciti.biz/tips/linux-iptables-10how-to-block-common-attack.html (diakses 10 Juli 2012) http://tomicki.net/syn.flooding.php(diakses
27
Juli 2012)
Jurnal Ilmiah Teknik Informatika Ilmu Komputer Vol. 14 No.2 September 2012: 1-14