Investigasi Web Attack Menggunakan Intrusion Detection System (IDS) dan Access Log Skripsi
Diajukan kepada Fakultas Teknologi Informasi untuk memperoleh Gelar Sarjana Komputer
Oleh: Arif Nugroho NIM: 672009187
Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Salatiga April 2014
ii
iii
Pernyataan Tugas akhir yang berikut ini: Judul
: Investigasi Web Attack Menggunakan Intrusion Detection System (IDS) dan Access Log
Pembimbing
: 1. Irwan Sembiring, S.T., M.Kom. 2. Dr. Sri Yulianto J. Prasetyo, S.Si., M.Kom.
Adalah benar hasil karya saya: Nama
: Arif Nugroho
NIM
: 672009187
Saya menyatakan tidak mengambil sebagian atau seluruhnya dari hasil karya orang lain kecuali sebagaimana yang tertulis pada daftar pustaka.
Pernyataan ini dibuat dengan sebenarnya sesuai dengan ketentuan yang berlaku dalam penulisan karya ilmiah.
Salatiga, Mei 2014
Arif Nugroho
iv
Prakata Segala puji dan syukur penulis panjatkan kepada Tuhan Yang Maha Esa, berkat rahmat dan karunia-NYA lah penulis dapat menyelesaikan proyek dan penulisan skripsi ini. Skripsi ini diajukan untuk memenuhi salah satu persyaratan guna memperoleh gelar Sarjana Komputer di Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana, Salatiga. Dalam penyelesaian skripsi ini, penulis tidak mungkin lepas dari bantuan, doa, dan dukungan dari berbagai pihak yang sangat berpengaruh, karena tanpa itu, penulisan skripsi ini tidak mungkin terselesaikan. Oleh karena itu, pada kesempatan ini penulis ingin mengucapkan terima kasih kepada: 1.
Bapak Dr. Dharmaputra T. Palekahelu, M.Pd., selaku Dekan Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga.
2.
Bapak Dr. Sri Yulianto J. Prasetyo S.Si., M.Kom., selaku Ketua Program Studi Teknik Informatika, Fakultas Teknologi Informasi,
Universitas
Kristen
Satya
Wacana
Salatiga
sekaligus pembimbing yang telah memberikan banyak penjelasan, dukungan, serta semangat kepada penulis. 3.
Bapak Irwan Sembiring S.T., M.Kom., selaku pembimbing yang memberikan banyak ilmu, inovasi dan selalu memberikan dukungan, serta semangat kepada penulis dengan sabar.
v
4.
Ibu Elizabeth Sri Lestari S.Pd., MLIS, selaku Koordinator TA, Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana, Salatiga.
5.
Seluruh dosen dan karyawan Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana, terima kasih atas bantuan dan dukungannya.
6.
Kedua orang tua penulis dan keluarga, yang selalu mendoakan, memfasilitasi, dan mendukung tanpa kenal lelah.
7.
Gellestuti Dwi Jayanti yang bisa menjadi motivasi dan banyak membantu penulis.
8.
Teman-teman dekat yang selalu mendoakan dan teman–teman kos: Dimas, Dhika, Galih, Abed, Ageng, Ronald, Wahyu, Fajar, Kushendra yang mau memberi semangat dan selalu berbagi.
9.
Seluruh teman-teman seperjuangan angkatan 2009.
10. Semua pihak yang tidak mungkin disebutkan satu per satu yang turut membantu dan memberikan kontribusi hingga skripsi ini terselesaikan. Penulis masih menyadari adanya kekurangan dalam penulisan laporan skripsi ini, oleh karena itu, kritik, dan sumbangan saran atau pemikiran sangat diharapkan untuk perbaikan di masa yang akan datang. Semoga skripsi ini bermanfaat demi kemajuan dunia teknologi informasi di Universitas Kristen Satya Wacana khususnya, dan di seluruh Indonesia umumnya Salatiga,
Arif Nugroho vi
Penulis
Daftar Isi Halaman Halaman Judul ............................................................................ i Halaman Lembar Persetujuan .................................................... . ii Halaman Lembar Pengesahan ..................................................... iii Halaman Pernyataan ................................................................... iv Prakata ........................................................................................ v Daftar Isi ..................................................................................... vii Daftar Gambar ............................................................................ ix Daftar Tabel ................................................................................ x Daftar Istilah ............................................................................... xi Abstract ....................................................................................... xii Bab 1 Pendahuluan ..................................................................... 1 1 1.1 Latar Belakang ......................................................... 1.2 Rumusan Masalah .................................................... 4 1.3 Tujuan dan Manfaat ................................................. 5 5 1.4 Batasan Masalah ....................................................... 1.5 Sistematika penulisan ............................................... 6 Bab 2 Tinjauan Pustaka ............................................................... 8 2.1 Penelitian Sebelumnya ............................................. 8 2.2 Network Forensic ..................................................... 10 2.3 Cybercrime ............................................................... 13 2.3.1 Pengertian Cybercrime ................................. 13 2.3.2 Motif Kegiatan Cybercrime ........................ 14 2.3.3 Sasaran Kejahatan Cybercrime .................... 15 2.3.4 Jenis Cybercrime .......................................... 16 2.3.5 Penanggulangan Cybercrime ........................ 17 2.4 SQL Injection ............................................................ 18 2.4.1 Pengetian SQL Injection ............................... 18 2.4.2 Karakteristik SQL Injection .......................... 19 2.5 Cross Site Scripting (XSS) ........................................ 21 2.5.1 Pengetian Cross Site Scripting (XSS) ........... 21 2.5.2 Cara Kerja XSS ............................................. 22 2.5.3 Jenis Cross Site Scripting .............................. 22 2.6 Intrusion Detection System (IDS) .............................. 23 vii
2.6.1 Tujuan Penggunaan IDS ................................ 24 2.6.2 Cara Kerja IDS ............................................... 25 2.7 Snort ........................................................................... 2.7.1 Komponen Snort ............................................. 2.8 Squid .......................................................................... 2.8.1 Access Log ...................................................... Bab 3 Metode Perancangan ........................................................... 3.1 Perencanaan Topologi Jaringan .................................. 3.1.1 Alur Kerja Snort ............................................. 3.2 Kebutuhan Sistem ....................................................... 3.2.1 Spesifikasi Sistem .......................................... 3.3 Konfigurasi Sistem ..................................................... 3.3.1 Konfigurasi IDS Snort .................................... 3.3.2 Konfigurasi Dasar Router Mikrotik ................ Bab 4 Hasil dan Pembahasan ........................................................ 4.1 Hasil Sistem Jaringan ................................................. 4.2 Pengujian Sistem Jaringan .......................................... 4.2.1 Serangan SQL Injection ................................. 4.2.2 Serangan Cross Site Scripting ........................ 4.3 Pembahasan ................................................................ 4.3.1 Investigasi SQL Injection dan XSS ................ Bab 5 Kesimpulan dan Saran ........................................................ 5.1 Kesimpulan ................................................................. 5.2 Saran ........................................................................... Daftar Pustaka ...............................................................................
viii
26 28 29 30 33 35 37 38 38 40 40 41 45 45 46 49 51 53 54 66 66 66 67
Daftar Gambar Halaman Gambar 1.1 Statistik Serangan Dari Tahun ke tahun .................. 2 Gambar 1.2 Top Attack Method .................................................. 2 Gambar 2.1 Ping Normal ............................................................ 8 Gambar 2.2 Ping dengan 1001 Bytes .......................................... 9 Gambar 2.3 Rule Snort ................................................................ 28 Gambar 2.4 Hubungan Komponen Snort ................................... 29 Gambar 3.1 The Forensic Process Model .................................. 33 Gambar 3.2 Topologi Jaringan IDS ............................................ 36 Gambar 3.3 Alur Kerja IDS ........................................................ 37 Gambar 3.4 Interface List ........................................................... 41 Gambar 3.5 Address List ............................................................. 42 Gambar 3.6 Route List ................................................................ 43 Gambar 3.7 Konfigurasi NAT .................................................... 43 Gambar 3.8 Konfigurasi Port Mirroring .................................... 44 Gambar 4.1 Topologi Jaringan IDS Snort .................................. 45 Gambar 4.2 Rules Default SQL Injection ................................... 47 Gambar 4.3 Rule Pada Local.rules ............................................. 49 Gambar 4.4 Serangan SQL Injection dengan Havij ................... 50 Gambar 4.5 Alert Pada IDS Snort ............................................... 51 Gambar 4.6 Cross Site Scripting (XSS) ...................................... 52 Gambar 4.7 Cross Site Scripting (XSS) Efect ............................ 52 Gambar 4.8 Alert Cross Site Scripting (XSS) ............................. 53 Gambar 4.9 Alert Pada IDS Snort ............................................... 54 Gambar 4.10 Access Log ............................................................ 55 Gambar 4.11 Analisa File Log Berdasarkan Ip dan Port ........... 56 Gambar 4.12 File Log Serangan SQL Injection .......................... 56 Gambar 4.13 Analisa File Log Berdasarkan Ip dan Port ........... 57 Gambar 4.14 File Log Serangan XSS ......................................... 58 Gambar 4.15 Elemen Access Log ............................................... 59 Gambar 4.16 Analisa Serangan SQL Injection ........................... 60 Gambar 4.17 Analisa Serangan XSS ........................................ 61 Gambar 4.18 Hasil Konvert ke Dalam Chart ............................. 62 Gambar 4.19 Analisa Access Log Serangan SQL Injection ........ 63 Gambar 4.20 Analisa Access Log Serangan XSS ........................ 63 ix
Daftar Tabel Halaman Tabel 2.1 Format Access Log ...................................................... 30 Tabel 4.1 Hasil Analisa File Log Snort ....................................... 62 Tabel 4.2 Hasil Analisa Access Log ............................................ 64 Tabel 4.3 Hasil Akhir Investigasi Forensik ................................ 65
x
Daftar Istilah ADSL DoS DNS FTP HTML HTTP HTTPS ICMP ICAP IDS IP MAC NAT NIDS SMTP SSL SYN TCP TLS URL XSS
: : : : : : : : : : : : : : : : : : : : :
Asymetric Digital Subcriber Line Denial of Service Domain Name Server File Transfer Ptotocol Hypertext Markup Language Hypertext Transfer Ptotocol Hypertext Transfer Ptotocol Secure Internet Control Message Protocol Internet Content Adaptation Protocol Intrusion Detection System Internet Protocol Media Access Control Network Address Translation Network-based Intrusion Detection System Simple Mail Transfer Protocol Secure Socket Layer Synchronization Channel Transmission Control Protocol Transport Layer Security Uniform Resource Locator Cross Site Scripting
xi
Abstract Attack investigation process is done to find the source of an attack based on proofs taken from IDS Snort log file and access log on Squid. File access log on Squid is used to strengthen the proof of ongoing attack and handle false negative in IDS Snort. The Forensic Process Model is the metdhod being used. It is a model of forensic investigation process; consists of collection, examination, analysis and reporting. Proofs such as snort log file and access log will be examined and analized based on the method used on the research. According to the research that has been done, analized Snort log file can be used to find the source of an attack based on source address, destination address, source port and destination port. While, analized file access log can be used to strengthen the proof of network attack. Keywords: Forensic Investigation, Intrusion Detection System Snort, Access Log.
xii
