IMPLEMENTASI SNORT IDS MENGGUNAKAN ANDROID SEBAGAI MEDIA NOTIFIKASI

Seminar Nasional Teknologi Informasi dan Komunikasi 2017 (SENTIKA 2017) Yogyakarta, 17-18 Maret 2017

ISSN: 2089-9815

IMPLEMENTASI SNORT IDS MENGGUNAKAN ANDROID SEBAGAI MEDIA NOTIFIKASI Bekti Maryuni Susanto1, Agung Tri Guritno2 Program Studi Teknik Komputer, Jurusan Teknologi Informasi, Politeknik Negeri Jember Jl. Mastrip Kotak Pos 164 Jember, Jawa Timur 68101 Telp. (0331) 333532 2 Program Studi Teknik Komputer, Jurusan Teknologi Informasi, Politeknik Negeri Jember Jl. Mastrip Kotak Pos 164 Jember, Jawa Timur 68101 E-mail: [email protected], [email protected] 1

ABSTRAKS Internet yang meningkat secara eksponensial meningkatkan juga gangguan atau serangan yang dilakukan oleh cracker mengeksploitasi kelemahan pada protokol internet, sistem operasi dan software aplikasi. Gangguan atau serangan terhadap jaringan komputer khususnya internet mengalami peningkatan dari tahun ke tahun. Intrusion detection adalah proses memonitor kejadian pada sistem komputer atau jaringan dan menganalisanya untuk memberikan tanda insiden yang mungkin, yang mana yang merupakan pelanggaran atau mendekati penlanggaran sebuah kebijakan keamanan komputer, kebijakan penggunaan yang disetujui atau praktik keamanan standar. Penelitian ini mengimplementasikan intrussion detection system berbasis snort dalam mendeteksi serangan yang terjadi pada sebuah komputer server. Selanjutnya komputer server akan mengirimkan notifikasi melalui perangkat mobile pengguna. Sehingga pengguna akan langsung bisa mengetahui jika terjadi serangan pada komputer server. Berdasarkan hasil penelitian menunjukkan bahwa Implementasi Snort IDS Menggunakan Android Sebagai Media Notifikasi Pada Server Ubuntu dapat memberikan notifikasi secara real time. Kata Kunci: snort, ids, firebase cloud messaging (fcm) 1.

PENDAHULUAN Internet yang meningkat secara eksponensial meningkatkan juga gangguan atau serangan yang dilakukan oleh cracker mengeksploitasi kelemahan pada protokol internet, sistem operasi dan software aplikasi. Gangguan atau serangan terhadap jaringan komputer khususnya internet mengalami peningkatan dari tahun ke tahun. Berdasarkan laporan dari Kaspersky Lab jumlah serangan melalui browser internet sejumlah 23.680.646 pada tahun 2007, meningkat menjadi 73.619.767 pada tahun 2009 dan meningkat lagi menjadi 580.371.937 pada tahun 2010. Internet browser menjadi alat utama dalam menyebarkan program-program malicious diantara sebagian besar pengguna komputer pada tahun 2010. Algoritma Kaspersky Security Network (KSN) hanya mampu mendeteksi serangan web sebesar 60 % (Gostev & Namestnikov, 2011). Intrusion detection adalah proses memonitor kejadian pada sistem komputer atau jaringan dan menganalisanya untuk memberikan tanda insiden yang mungkin, yang mana yang merupakan pelanggaran atau mendekati penlanggaran sebuah kebijakan keamanan komputer, kebijakan penggunaan yang disetujui atau praktik keamanan standar. Intrusion prevention adalah proses untuk menampilkan intrusion detection dan berusaha untuk menghentikan kejadian yang mungkin dideteksi. Intrusion detection dan prevention system adalah perhatian utama dalam mengidentifikasi kejadian, mencatat informasinya, berusaha untuk menghentikanya dan melaporkanya kepada administrator keamanan. Sebagai tambahan organisasi menggunakan intrusion detection dan prevention system (IDPS) untuk tujuan lain, seperti mengidentifikasi permasalahan kebijakan keamanan, mendokumentasikan perlakuan yang ada, dan menghambat individu dalam melakukan pelanggaran kebijakan keamanan. IDPS menjadi tambahan yang perlu terhadap infrastruktur keamanan bagi setiap organisasi (Scarfone & Mell, Februari, 2007). Sebuah Intrusion Detection System adalah aplikasi yang digunakan untuk memantau jaringan dan melindunginya dari penyusup (Vijayarani dan Sylviaa, 2015). Dengan kemajuan teknologi berbasis internet yang pesat, area aplikasi baru untuk jaringan komputer telah muncul. Dalam berbagai kasus, bidang-bidang seperti sektor usaha, keuangan, industri, keamanan dan kesehatan, aplikasi LAN dan WAN telah berkembang. Semua area aplikasi ini membuat jaringan menjadi target yang menarik untuk penyalahgunaan dan kerentanan besar bagi masyarakat. pengguna jahat atau hacker menggunakan sistem internal organisasi untuk mengumpulkan informasi dan penyebab kerentanan seperti bug Software, Selang dalam administrasi, meninggalkan sistem ke konfigurasi default. Perkembangan internet dalam masyarakat, barang baru seperti virus dan worm diimpor ke dalam sistem. Begitu ganas, pengguna menggunakan teknik yang berbeda seperti retak password, mendeteksi teks terenkripsi digunakan untuk menyebabkan kerentanan pada sistem. Oleh karena itu, keamanan diperlukan bagi pengguna untuk mengamankan sistem mereka dari penyusup. Teknik Firewall adalah salah satu teknik

203


ISSN: 2089-9815

perlindungan yang populer dan digunakan untuk melindungi jaringan pribadi dari jaringan publik. IDS digunakan dalam kegiatan jaringan yang terkait, aplikasi medis, penipuan kartu kredit, agen asuransi.

Gambar 1. Perkembangan skill yang dibutuhkan dalam melakukan serangan (Al-Hoby, 2011) Gambar 1 menunjukkan perkembangan skil yang dibutuhkan dalam melakukan tindakan serangan pada jaringan komputer. Pada awalnya dibutuhkan skill yang tinggi untuk melakukan serangan jaringan komputer yang ringan. Namun, seiring dengan semakin berkembangnya tool untuk melakukan serangan jaringan komputer, hanya dibutuhkan skill yang rendah untuk melakukan serangan jaringan komputer dengan resiko yang sangat tinggi. Intrusion detection system menjadi aliran utama di dalam keamanan informasi. Tujuan utama intrusion detection system adalah membantu sistem komputer untuk menangani serangan. Ada dua tipe intrusion detection system berdasarkan tipe operasi yang digunakan untuk mendeteksi gangguan, anomaly detection system dan misuse detection. Anomaly detection system membuat database tingkah laku normal dan penyimpanganya dari tingkah laku normal yang terjadi, sebuah peringatan dipicu oleh sebuah adanya gangguan. Misuse detection system menyimpan pola serangan yang telah terdefinisi sebelumnya di dalam sebuah database jika situasi dan data yang mirip terjadi diklasifikasi sebagai serangan. Berdasarkan sumber data IDS diklasifikasi menjadi IDS host based dan network based. IDS netwok based menganalisa paket secara individual yang melalui jaringan. IDS host based menganalisa aktivitas pada sebuah komputer tunggal atau host (Neethu, 2012). Penelitian ini mengimplementasikan intrussion detection system berbasis snort dalam mendeteksi serangan yang terjadi pada sebuah komputer server. Selanjutnya komputer server akan mengirimkan notifikasi melalui perangkat mobile pengguna. Sehingga pengguna akan langsung bisa mengetahui jika terjadi serangan pada komputer server. Setiap serangan dari luar yang menuju server, maka secara otomatis akan terdeteksi dan mengirimkan notifikasi kepada user. 1.1

Tinjauan Pustaka

Gagasan untuk mendeteksi intrusi atau penyalahgunaan sistem dengan melihat beberapa pola berbahaya baik dalam jaringan atau pengguna kegiatan awalnya digagas oleh James Anderson dalam laporannya berjudul "Computer Security Threat Monitoring and Surveillance" untuk Angkatan Udara AS pada tahun 1980 (Anderson, 1980). Pada tahun 1984, prototipe pertama dari Intrusion Detection System yang memonitor aktivitas pengguna, bernama "Intrusion Detection Expert System" (IDES) dikembangkan. Pada tahun 1988, "Haystack" menjadi IDS pertama yang menggunakan pola dan analisis statistik untuk mendeteksi kegiatan berbahaya, tetapi tidak memiliki kemampuan analisis real time. Sementara itu, ada kemajuan yang signifikan lainnya terjadi di University of California Davis 'Lawrence Livermore Laboratories. Pada tahun 1989, mereka membangun sebuah IDS disebut "Network System Monitor" (NSM) untuk menganalisis lalu lintas jaringan. Proyek ini kemudian dikembangkan menjadi IDS bernama "Distributed Intrusion Detection System" (DIDs). "Stalker" berdasarkan

204


ISSN: 2089-9815

DIDs menjadi IDS pertama yang tersedia secara komersial dan mempengaruhi pertumbuhan dan kecenderungan IDS masa depan. Pada pertengahan 90-an, SAIC mengembangkan "Computer Misuse Detection System" (cmds), sebuah host berbasis IDS. Pusat dukungan kriptografi Angkatan Udara AS mengembangkan "Automated Security Incident Measurement" (ASIM), yang membahas isu-isu seperti skalabilitas dan portabilitas. Pasar deteksi intrusi mulai mendapatkan popularitas dan benar-benar menghasilkan pendapatan sekitar tahun 1997. Pada tahun itu, pemimpin pasar keamanan, ISS, mengembangkan sistem deteksi intrusi jaringan disebut "Real Secure". Setahun kemudian, Cisco mengakui pentingnya deteksi intrusi jaringan dan dibeli Grup Wheel, mencapai solusi keamanan yang mereka bisa berikan kepada pelanggan mereka. Demikian pula, perusahaan yang pertama terlihat dalam deteksi intrusi berbasis host, Centrax Corporation, muncul sebagai hasil merger dari staf pengembangan Haystack Labs dan tim cmds dari SAIC. Dari sana, IDS dunia komersial diperluas berbasis pasar dan perusahaan start-up, merger, dan akuisisi terjadi. Martin Roesch, pada tahun 1998 meluncurkan open source IDS Jaringan ringan bernama "Snort" (Roesch, 1998), yang sejak itu mendapatkan banyak popularitas. Pada tahun 1999 Okena Sistem bekerja pertama kali sebagai Intrusion Prevention System (IPS) dengan nama "Storm Watch". IPS adalah sistem yang tidak hanya mendeteksi intrusi tetapi juga dapat bereaksi pada situasi yang mengkhawatirkan. Sistem ini dapat bekerja sama dengan firewall tanpa aplikasi perantara (Dinakara, 2008). Berdasarkan tingat analisis IDS dibagi menjadi dua tipe utama (Dinakara, 2008), Network based IDS (NIDS) dan Hoost based IDS (HIDS). NIDS melakukan Monitor dan menganalisa paket individu yang lewat di sekitar jaringan untuk mendeteksi serangan atau kegiatan berbahaya terjadi di jaringan yang dirancang untuk diabaikan oleh aturan penyaringan firewall sederhana. HIDS meneliti aktivitas di komputer individu atau host di mana IDS diinstal. Kegiatan mencakup upaya login, jadwal proses, file sistem integritas memeriksa system call tracing dll Kadang-kadang dua jenis IDS digabungkan bersama untuk membentuk sebuah IDS Hybrid. Secara umum IDS mempunyai dua komponen utama, Central Administration Module dan IDS sensors. Central Administration menyediakan fasilitas terpusat untuk mengelola dan pemantauan semua instalasi dari Intrusion Detection System dan cara karenanya terpusat menganalisis dan mendeteksi intrusi. Ini memiliki tampilan yang lengkap dari berbagai kegiatan dan peristiwa yang terjadi di segmen yang berbeda dari jaringan organisasi. Selain itu pengaturan kebijakan, tindakan yang harus dipicu, patch / signature updation, fine tuning dari sensor dapat dicapai dengan modul ini. IDS Sensor melakukan analisis lalu lintas jaringan dan mengidentifikasi serangan dan pelanggaran keamanan, yang berlangsung dengan memanfaatkan teknologi implementasi jaringan, melaporkan peringatan ke modul Manajemen dan melakukan tindakan yang telah ditetapkan. Agen IDS lebih otonom dalam fungsi mereka dibandingkan dengan Sensor. Penggunaan jejaring sosial sebagai media notifikasi serangan telah dilakukan dalam Budiman dkk (2014). Jejaring sosial yang digunakan sebagai media notifikasi tersebut adalah facebook, twitter dan whats app. Pengujian dilakukan untuk membuktikan apakah IDS dapat melakukan notifikasi ke jejaring sosial atau tidak. Skenario proses penyerangan yang dilakukan dengan mengkoneksikan kedua komputer ke dalam jaringan, dimana komputer client sebagai penyerang (intruder) dan komputer satunya sebagai server. Komputer client akan mencoba melakukan serangan ke komputer server yang telah terintegrasi dengan IDS snort dan Base. IDS tersebut telah didukung oleh firewall yang berfungsi untuk mengatasi serangan yang terjadi berupa pemblokiran IP address penyerang. Selain itu IDS juga akan memberikan pemicu/inputan yang selanjutnya akan memberikan laporan mengenai serangan tersebut berupa notifikasi yang dikirim ke media jejaring sosial.

Firebase Cloud Messaging (FCM), adalah layanan yang diberikan oleh Firebase untuk menggantikan Google Cloud Messaging (GCM). Fitur-fitur yang diberikan oleh GCM tidak terlalu jauh berbeda dengan GCM. Dengan FCM kita bisa memberikan push notification dan membuat komunikasi dua arah antara device. Teknologi yang digunakan terbagi menjadi dua yaitu, XMPP (Extensible Messaging and Presence Protocol) dan HTTP (Hypertext Transfer Protocol) (Anonim, 2017). Untuk XMPP diperlukan server XMPP terlebih dahulu, sedangkan untuk HTTP bisa menggunakan console yang disediakan oleh Firebase. Pada FCM bisa diatur push notification yang ingin kita kirim, misal hanya ingin mengirimkan notifikasi kepada segmentasi user / audience yang m ingin mengirimkan notifikasi hanya kepada user yang menggunakan aplikasi dengan versi 1.0. Terdapat fitur

1.2

Metodologi Penelitian Metode penelitian yang digunakan pada penelitian ini adalah metode eksperimen. Peneliti membangun topologi jaringan seperti ditunjukkan pada gambar 2. Topologi jaringan yang dibangun terdiri dari sebuah komputer server menggunakan sistem operasi Linux Ubuntu 12.04 yang terhubung ke access point dan komputer admin. Selanjutnya dari access point terhubung pernagkat mobile berbasis Android yang akan menerima notifikasi ketika terjadi serangan pada komputer server. Notifikasi dikirimkan melalui perantara pihak ketiga

205


ISSN: 2089-9815

yaitu firebase. Agar firebase mampu mengirimkan notifikasi ke user, pada komputer server dibuatlah cron job yang akan mengirimkan data-data serangan setiap menit.

Gambar 2. Topologi jaringan komputer yang dibangun Alur dari sistem yang dibangun ditunjukkan pada gambar 3. Dimana Snort IDS menangkap paket data yang melintas di jairngan yang melaluinya kemudian mencocokkan karakteristik paket data yang ditangkap tersebut dengan rule yang dimiliki. Snort IDS memiliki databsae rule yang menjadi basis pengetahuan bagi Snort IDS. Jika karakteristik paket data yang ditangkap oleh Sort IDS cocok dengan database rule yang dimiliki maka alert akan dibangkitkan. Pembangkitan alert dilakukan dengan menyimpan meta data serangan tersebut ke database mysql yang selanjutnya admin bisa memantaunya melalui web interface. Agar administrastor yang berada di lokasi yang berbeda dengan komputer server bisa mengetahui maka dibuatlah sebuah service yang berfungsi untuk memberikan notifikasi melalui pernagkat mobile. Notifikasi dibuat menggunakan Firebase Cloud Messaging (FCM).

Gambar 3. Alur tahapan notifikasi serangan berbasis Android 2. PEMBAHASAN 2.1 Desain Interface Android User interface pada android menampilkan list data dari serangan yang sudah terjadi dan menampilan token registrasi id dari setiap device yang sudah terinstall aplikasi. Pada user interface Android informasi yang ditampilkan adalah CID, SIG NAME dan Time Stamp. CID menunjukkan kode id rule snort, SIG NAME menunjukkan nama rule dan time stamp menunjukkan waktu terjadinya serangan. Gambar 4 menunjukkan desain interface Android apps.

206


ISSN: 2089-9815

Gambar 4 MainActivty list serangan Setiap device yang terinstal aplikasi ini mempunyai token yang bernilai unik. Token ini juga bisa dilihat pada antar muka Android seperti ditunjukkan pada gambar 5.

Gambar 5 MainActivity register id / token. 2.2

Service PHP Service php ini digunakan untuk menghubungkan pernagkat Android ke server. Android akan meminta data berupa cid. Sig name dan time stamp dari kejadian serangan untuk ditampilkan pada interface Android. Gambar 6 menunjukkan nilai paramter yang dibutuhkan untuk melakukan kensi ke database server. Gambar 7 menunjukkan proses koneksi ke database sherver dan gambar 8 menunjukkan proses query database pada server.

207


ISSN: 2089-9815

Gambar 6 Config.php.

Gambar 7 Getdata.php.

Gambar 8 Getdata.php. 2.3

Service Bash Service berikut digunakan ketika ada serangan dan mengirimkan notifikasi ke android device. Pengiriman notifikasi ke pernagkat Android memanfaatkan Firebase Cloud Messaging (FCM). Script bash ditunjukkan pada gambar 9.

208


ISSN: 2089-9815

Gambar 9 Script bash. 4.2 Implementasi 4.2.1 Pentest Dari Penyerang / Intruder Percobaan dari intruder yakni tedapat 2 macam serangan, yang pertama adalah tes ICMP dan yang kedua adalah Port Scan yang dilakukan menggunakan software Zenmap. Gambar 10 menunjukkan percobaan melakukan tes ICMP ke komputer server. Setelah mengirimkan paket ICMP dilanjutkan dengan melakukan port scanning pada komputer server seperti ditunjukkan pada Gambar 11.

Gambar 10 Tes ICMP

209


ISSN: 2089-9815

Gambar 11 Tes Port Scan 2.4

Monitoring Alert Dari Acidbase Dan Log Dari web panel dan log server, administrator dapat melakukan monitoring ada atau tidak serangan pada komputer server. Gambar 12 menunjukkan web interface yang menampilkan log serangan ke komputer server. Web interface dapat diakses dengan merujuk alamat pada server. .

Gambar 12 Monitoring server via web panel 2.5

Notifikasi Alert ke Android Device Setelah tejadi serangan dan alert sudah tersimpan di database, maka secara otomatis server akan seperti ditunjukkan pada gambar 13.

210


ISSN: 2089-9815

Gambar 13 Notifikasi Alert Snort Dari pengujian yang sudah dilakukan bahwa diketahui waktu delay notifikasi adalah 1 menit dengan terjadinya serangan. Tabel 1 menunjukkan jeda waktu notifikasi dengan kejadian serangan dari beberapa komputer penyerang. Tabel 1 Serangan komputer server dari beberapa klien

3.

KESIMPULAN Dengan adanya notifikasi pada server ubuntu, maka administarator dapat memantau server meskipun administrator tidak berada pada kantornya. Notifikasi secara real time dapat membantu administrator untuk menanggulangi serangan terhadap server. Notifikasi dikirimkan berdasarkan aplikasi yang terinstal pada perangkat Android user. Pengiriman notifikasi dengan memanfaatkan Firebagse Cloud Messaging (FCM). Pada pengembangan berikutnya dapat menambahkan kontrol serangan dan memberikan tindakan penanganan sesuai dengan rule snort yang digunakan. PUSTAKA Al-Hoby, M.O, (2011). Intrusion Detection Management as a Service in Cloud Computing Environments. Thesis Master in Computer Engineering, The Islamic University of Gaza, Graduate Studies Deanship, Faculty of Engineering, Computer Engineering Department Anderson, J.P, (1980). Computer Security Threat Monitoring and Surveillance. Technical Report April 1980, http://csrc.nist.gov/publications/history/ande80.pdf diakses pada tanggal 7 Februari 2017. Anonim, (2017). Firebase Cloud Messaging. https://firebase.google.com/docs/cloud-messaging/ diakses pada tanggal 4 Februari 2017.

211


ISSN: 2089-9815

Budiman, S.A, Iswahyudi, C, Sholeh, M, (2014). Implementasi Intrussion Detection System (IDS) Menggunakan Jejaring Sosial Sebagai Media Notifikasi. Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014. Dinakara, (2008). Anomaly based Network Intrusion Detection System. Thesis Master of Technology In Computer Science and Engineering, Computer Science and Engineering Indian Institute of Technology Kharagpur -721302, India Gostev, A., & Namestnikov, Y. (2011, February 17). Kaspersky Security Bulletin 2010. Statistics, 2010. Retrieved Juni 6, 2013, from Securelist: http://www.securelist.com/en/analysis/204792162/Kaspersky_Security_Bulletin_2010_Statistics_2010. Neethu, B. (2012). Classification of Intrusion Detection Dataset Using Machine Learning Approaches. International Journal of Electronics and Computer Science Engineering, Vol 1 No. 3, PP 1044-1051. Roesch, M, (1998). Snort Documentation. https://www.snort.org/documents#latest_rule_documents diakses pada tanggal 7 Februari 2017. Scarfone, K., & Mell, P. (2007). Special Publication 800-94: Guide To Intrusion Detection and Prevention Systems . Gaithersburg, Maryland: National Institute Standard and Technology. Vijayarani, S dan Sylviaa, M, (2015). INTRUSION DETECTION SYSTEM A STUDY. International Journal of Security, Privacy and Trust Management (IJSPTM) Vol 4, No 1, February 2015.

212

IMPLEMENTASI SNORT IDS MENGGUNAKAN ANDROID SEBAGAI MEDIA NOTIFIKASI

Recommend Documents