IMPLEMENTASI PENGAMANAN JARINGAN MENGGUNAKAN INTRUSION DETECTION SYSTEM (IDS) DAN IP TABLES BERBASIS LINUX DI LAB POLITEKNIK TELKOM
Lukman Budi Prasetio
[email protected]
Henry Rossi Andrian
Setia July Irzal Ismail
[email protected]
[email protected]
ProgramStudiTeknikKomputer Politeknik TelkomBandung 2011
ABSTRAK Intrusion Detection System (IDS) adalah sistem pendeteksi gangguan yaitu sebuah aplikasi perangkat lunak atau perangkat keras yang bekerja secara otomatis untuk memonitor kejadian pada jaringan komputer dan menganalisis masalah keamanan jaringan. IDS adalah pemberi sinyal pertama jika seseorang penyusup mencoba membobol sistem keamanan komputer. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sistem keamanan yang dilakukan oleh seseorang dari internet maupun dari dalam sistem. Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk memonitoring traffic jaringan, mendeteksi akitivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Dalam proyek akhir ini IDS diimplementasikan di dalam gedung Politeknik Telkom Bandung yaitu Laboratorium lantai 3 yang terhubung menggunakan kabel LAN. Kemudian dilakukan pengujian penyerangan dengan menggunakan serangan Denial of Service (DOS) untuk mengetahui apakah IDS dapat memonitor jaringan yang ada di lab Politeknik Telkom dan IPS dalam hal ini Ip Tables dapat menangkal serangan secara otomatis. Kata Kunci: IDS,IPS,Denial of Service.
1 PENDAHULUAN
1.1
Tabel 1.1 Jadwal Pengerjaan
Latar Belakang Serangan komputer
yang
dapat
terjadi
diketahui
pada
setelah
jaringan kejadian
mencurigakan muncul pada jaringan tersebut. Kebanyakan administrator atau pengatur jaringan tidak mengetahui dengan pasti serangan apa yang terjadi, untuk itu administrator akan membutuhkan waktu yang cukup lama untuk mengaudit sistem
2
TINJAUANPUSTAKA
2.1
mencari permasalahan yang telah terjadi. Namun kebanyakan dari cara kerja dari IDS dan Ip Tables adalah manual. 1.2
2.2.
Perumusan masalah Perumusan masalah proyek akhir ini adalah: 1.
Service
(DOS)
secara
otomatis
setelah
2.3. 2.3.1.
Mengimplementasikan IDS dalam mendeteksi serangan pada sistem jaringan komputer di lab
Metropolitan Area Network (MAN)
3.
Wide Area Network (WAN).
Keamanan Jaringan Keamanan
jaringan
ialah
sistem
IPS (Intrusion Prevention System) Jenis-jenis Intrusion Prevention System 1. Host-based Intrusion Prevention System (HIPS) 2 Network-based Intrusion Prevention System
Tujuan Penulisan Tujuan penulisan proyek akhir ini adalah: 1.
2.
yang dapat mengancam validitas dan integritas data.
terdeteksi IDS 1.3
Local Area Network (LAN)
aplikasinya dari serangan-serangan atau kegiatan
Politeknik Telkom. Bagaimana mencegah serangan Denial of
1.
perlindungan terhadap jaringan serta aplikasi-
Bagaimana implementasi IDS dalam mendeteksi serangan pada sistem jaringan komputer di lab
2.
Jaringan jaringan dibagi menjadi 3 yaitu:
(NIPS) 2.4.
IDS (Intrusion Detection System) Bagian-bagian pada IDS dijelaskan berikut ini :
Politeknik Telkom. 2.
Mengimplementasikan cara pencegahan Denial of Service (DOS) secara otomatis setelah terdeteksi di IDS dengan Ip Tables
1.4
Batasan masalah Ruang lingkup dalam pembahasan proyek ini adalah sebagai berikut: 1.
Menggunakan Snort IDS (Intrusion Detection
Gambar 2.1. Bagian Bagian IDS
2.4.1.
Jenis-jenis Intrusion Detection System 1.
Network-based IDS(NIDS)
System). 2.
Melakukan penyerangan dengan Denial of Service (DOS).
1.5 Jadwal Kegiatan Gambar 2.2. Struktur Network based IDS (NIDS)
2.
Host-based IDS(HIDS)
# snort –d –h 192.168.1.1/24 -1 ./log –c
snort.conf .
# snort –c snort.conf -1 ./log –s –h
192.168.1.1/24
# snort –c snort.conf –s –h 192.168.1.1/24
/usr/local/bin/snort –d –h 192.168.1.1/24 -
c /root/snort/snort.conf –A full –s –D Gambar 2.3. Struktur Host Hibrid IDSbased IDS (HIDS) Hibrid IDS adalah gabungan dari Host based dan
Atau
3.
/usr/local/bin/snort
–d
-c
/root/snort/snort.conf –A full –s –D
Network based IDS. 2.4.2.
Cara kerja IDS 1.
Knowledge-based atau misuse detection
2.6.
Snort Rules Snort Rules adalah sebuah folder yang
2.
Behavior-based atau anomaly based
berisikan tentang berbagai aturan-aturan yang dibuat.
2.5.
2.5.1.
Snort IDS Snort diopersikan dalam tiga mode,yaitu: Sniffer Mode.
2.7.
Linux Ubuntu Linux Ubuntu adalah Linux distribusi yang
Paket Logger Model.
ditemukan sekitar tahun 2004 dan fokus pada
NIDS.
kebutuhan pengguna. 2.8.
Sniffer mode Untuk menjalankan Snort pada Sniffer Mode tidaklah
Apache Beberapa paket nya adalah: APACHE
sulit, berikut beberapa contoh perintahnya:
PHP5
# snort –v
MySQL
# snort –vd # snort –vde
2.9.
PHP PHP(Hypertext PreProcessor) merupakan
# snort –v –d –e
script yang membuat sebuah halaman web menjadi 2.5.2.
Packet Logger Mode
lebih dinamis.
Berikut beberapa yang dapat digunakan untuk
2.9
MySQL
mencatat paket yang ada: # snort –vde –h 192.168.1.1/24
Alert IDS akan disimpan pada database ./log
mysql. MySQL dapat di download pada situs
# snort -1 /var/log/snort/snortlog -b
http://mysql.com.
# snort -1 ./log –b
2.5.3.
# snort –vder packet.log
# snort –dvr packet.log icmp
2.10.
BASE BASE (Basic Analysis and Security Engine) adalah kode yang berdasarkan pada ACID (Analysis
Intrusion Detection Mode
Console for Intrusion Database). BASE juga disebut
sebagai web interface untuk menjalankan aplikasi
# snort –dev -1 ./log –h 192.168.1.1/24 –c
snort.conf
Snort berbasis web.
2.11.
IPTables
Denial of Service (DOS) Denial of Service (DOS) adalah jenis serangan terhadap sebuah komputer atau server di
3.3
dalam jaringan internet dengan cara menghabiskan
NetTools (intruder)
Kebutuhan Fungsional Melakukan serangan Denial of Service
sumber (resource) yang dimiliki. 3.
(DOS). Memberikan teknik mengatasi serangan
METODE PENGERJAAN PROYEK
Denial of Service.
3.1 Metodologi Penelitian 3.1.1 Studi Literatur 3.1.2
Wawancara
Analisa Kebutuhan Sistem Proyek akhir ini bertujuan untuk
3.1.3
Prinsip Kerja Sistem
mengamankan jaringan dengan menggunakan snort
Dalam
3.4
implementasi
sistem
intrusion detection system (IDS) dalam menangkal
keamanan jaringan proyek akhir ini akan
serangan.
digunakan 3 buah laptop yang dihubungkan dengan kabel LAN, pada laptop yang
3.5
pertama akan sebagai ftp server. Laptop
Denial of Service (DOS) Serangan yang dilakukan meliputi: Http flooder.
yang kedua akan di install Sebagai Intrusion Detection System-Network based (NIDS).
3.6
Sedangkan laptop yang ketiga sebagai
admin yang isinya berupa paket TCP, IP server, IP
pengacau (intruder). 3.2
Teknik menangani serangan Denial of Service (DOS) Snort mengirimkan alert Http flooder ke
intruder yang diklasifikasikan sebagai serangan Denial of Service (DOS). Setelah mendapat informasi,
Perancangan Sistem
ip tables akan melakukan blocking otomatis. Berikut ini spesifikasinya: 3.7
Rancangan pengujian sistem
4.
IMPELEMENTASI DAN PENGUJIAN
Hardware:
1 buah laptop (RAM 1 GB, HDD 80 GB, 1.8 Ghz)
1 buah laptop (RAM 1 GB, HDD 80 GB, 1.8 Ghz)
1 buah laptop (RAM 1 GB, HDD 80 GB, 1.8 Ghz) Software:
Gambar 3.1 Topologi
OS Linux ubuntu (server)
OS windows xp (intruder)
Snort
4.1 Instalasi Sistem
MySQL
4.1.1. Instalasi Linux Ubuntu 10.4
LibPCAP
Setelah instalasi selesai, login sesuai dengan
LibPCRE
username dan password yang telah dibuat
LibPHP
sebelumnya.
PHP-Pear
BASE`
Langkah 4 Selanjutnya klik install
Gambar 4.1. Login Linux
4.1.2 Instalasi NetTools 5.0 Langkah 1 Instalasi NetTools 5.0
Gambar4.5 proses instalasi
Gambar 4.2. Instalasi NetTools
Langkah 2 Klik Next
Gambar 4.6 Proses instalasi NetTools
4.1.3 Instalasi software-software pendukung Langkah 1
Gambar 4.3.Informasi NetTools
Langkah 3 Pilih tempat untuk menyimpan aplikasi NetTools 5.0
Gambar 4.7. Login pada linux
Langkah 2 # apt-get install libpcre3 libpcre3-dev libpcrecpp0 libpcap0.8 libpcap0.8-dev \ mysql-server libmysqlclient15-dev libphp-adodb libgd2-xpm libgd2-xpm-dev php5-mysql \ php5-gd php-pear Gambar 4.8. Instalasi paket paket software pendukung
Langkah 3 # /etc/init.d/apache2 restart # /etc/init.d/mysql restart Gambar 4.4. Memilih partisi yang ingin dipilih
Gambar 4.9 Restart apache dan mysql
4.1.4 Instalasi Snort 2.8.5.2 Langkah 1 # cp –Rf snort-2.8.5.2.tar.gz /usr/local/src/ # cd /usr/local/src/ # tar zxvf snort-2.8.5.2.tar.gz Gambar 4.15 Snort.conf sebelum di konfigurasi Gambar 4.10 Ekstrak file snort ke /usr/local/src
Menjadi seperti dibawah ini
Langkah 2 # cd /usr/local/src/snort-2.8.5.2 # ./configure –with-mysql # make # make install
Gambar 4.11 Instalasi Snort
Gambar 4.16 Snort.conf setelah di konfigurasi Langkah 3
Langkah 3 # groupadd snort # useradd –g snort snort
Gambar 4.17 Masukan include database.conf
# mkdir /etc/snort Langkah 4
# Gambar mkdir /etc/snort/rules 4.12 Membuat user dan grup snort
# mkdir /var/log/snort
Langkah 4
# cp snortrules-snapshot-2852.tar.gz /etc/snort/ # cd /etc/snort # tar zxvf snortrules-snapshot-2852.tar.gz
Gambar 4.18 Konfigurasi di /etc/snort/database.conf
Langkah 5
Gambar 4.13 Instalasi Snort Rules
4.1.4.1. Konfigurasi Snort
Gambar 4.14 Konfigurasi di /etc/snort.conf
Langkah 2
Gambar 4.19 Database.conf 4.1.5 Konfigurasi DataBase
# mysql –u root –p Create database snort; Grant ALL on root.* to snort@localhost; Konfigurasi GrantGambar ALL on4.20 snort.* to Database snort@localhost IDENTIFIED BY ‘snort’
Langkah 2 4.1.6 Instalasi BASE Langkah 1 cp acidbase.tar.gz /etc/ cd /etc/ tar zxvf acidbase.tar.gz
mv acidbase base cd /etc/acidbase/ Gambar 4.21 Instalasi BASE Langkah 2
Gambar 4.25 Menghidupkan Firestarter Klik start the firewall
Gambar 4.22 Konfigurasi di /etc/acidbase/database.php Langkah 4 # /etc/init.d/apache2 restart # /etc/init.d/snort restart Gambar 4.23 Restart apache dan snort 4.1.7 Instalasi Firestarter Untuk detail cara penginstallan bisa dilihat
Gambar 4.26 Start firewall Langkah 3
pada lampiran. 4.2 Pengujian Pengujian ini bertujuan untuk mengetahui kinerja dari snort yang telah diinstall dan dikonfigurasi serta ip tables. 4.2.1 Prosedur pengujian. Langkah 1
Gambar 4.24 Menghidupkan snort
Gambar 4.27 Aplikasi Net Tools pada
intruder
Langkah 4
Langkah 7
Gambar 4.28 Memilih menu pada NetTools
Gambar 4.32 Tampilan BASE sebelum dilakukan serangan
Gambar 4.29 Memilih http Flooder (DOS) Langkah 5
Gambar 4.33 Tampilan BASE setelah dilakukan serangan
Langkah 8
Gambar 4.30 HTTP Flooder (DOS)
Langkah 6
Gambar 4.34 Serangan telah di block
Gambar 4.31 Paket serangan terkirim
Langkah 9 5.
PENUTUP 5.1 Kesimpulan 1.
IDS dapat mendeteksi adanya serangan pada jaringan di Lab Politeknik Telkom
2.
Serangan DOS dapat dicegah secara otomatis dengan iptables.
5.2 Saran 1.
Untuk lebih mengetahui lebih dalam mengenai kehandalan IDS (snort) dalam mendeteksi serangan sebaiknya di coba melakukan serangan dengan jenis lain.
Gambar 4.35 Tampilan BASE
Referensi 1]Ariyus, Dony.2007.Intrusion Detection System “Sistem Pendeteksi Penyusup Pada Jaringan Komputer”.Andi Yogyakarta. [2]Ardiyanto, Yudhi.2000.”Membangun Sistem Intrusion Detection System yang open source”.Universitas Muhammadiyah Yogyakarta. [3]Ryan. Russel. 2003, “Snort Intrusion 2.0 Intrusion Detection”, Syngress. [4] Scribd, “Snort: fitur, deskripsi, dan penggunaan”.[online].http://www.scribd.com, 2008 [Mei 2011 18.00]
Gambar 4.36 Tampilan alert
dari snort di BASE Tabel 4.1 Hasil Pengujian implementasi IDS Penguji
Waktu
Signat
Source
Dest.
ure
address
address
15:18:
NETBI
192.168.
192.168.
Terdete
01
OS
0.4
0.6
ksi
an 1
Hasil
SMB 2
15:17:
NETBI
192.168.
192.168.
Terdete
13
OS
0.4
0.6
ksi
SMB 3
15:13:
NETBI
192.168.
192.168.
Terdete
21
OS
0.4
0.6
ksi
SMB