RANCANG BANGUN INTRUSION DETECTION SYSTEM MENGGUNAKAN SURICATA PADA UBUNTU 14.10
NASKAH PUBLIKASI
diajukan oleh Rahmat Yani Hidayat 12.11.6570
kepada SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER AMIKOM YOGYAKARTA YOGYAKARTA 2015
RANCANG BANGUN INTRUSION DETECTION SYSTEM MENGGUNAKAN SURICATA PADA UBUNTU 14.10 Rahmat Yani Hidayat1), Robert Marco2), 1)
Teknik Informatika STMIK AMIKOM Yogyakarta Jl Ringroad Utara, Condongcatur, Depok, Sleman, Yogyakarta Indonesia 55283 Email :
[email protected]),
Abstract – As the information technology develop especially in computer networks make everyone can access the information from anywhere via the internet. With the growing number of devices that are connected to the internet then it will affect performance on the decline on the network and does not cover the possibility if there will be a dangerous package that goes into the network without the knowledge of the user. This can threaten the security of information. By analyzing the existing problems, then the author provides solutions to mitigate the impact of the things that can reduce the security of information that is to Implements an Intrusion Detection System using Suricata which will be implemented on the Ubuntu operating system using the 14 methods of analysis, methods of design and Evaluation System After implementingthe IDS Suricata on Ubuntu 14.10 Operating System, produced a system that can help in keeping an eye on network traffic. The system can check any package that passes as well as detect any threats to the network and then report any Logs into a form that is easily understood.
[email protected])
untuk mengatasi permasalahan tersebut diletakkanlah suatu system yaitu Intrusion Detection System yang dapat mendeteksi aktifitas yang mencurigakan didalam jaringan dengan cara mengautomatisasikan fungsi kerja dari seorang administrator. Dalam pengamatan penulis, IDS Snort paling banyak digunakan karena merupakan standar bagi IDS didunia, namun kemunculan Suricata sebagai salah satu IDS engine open source masih belum banyak digunakan sebagai riset dalam dunia pendidikan termasuk dalam lingkup Skripsi. Maka berdasarkan permasalahan diatas, penulis menitikberatkan pada penelitian bagaimana mendesain, mengimplementasikan, dan membuat sebuah system keamanan jaringan komputer untuk mencegah penyusup berbasis Suricata dan melakukan analisa traffic jaringan sehingga memudahkan administrator dalam memonitoring dan capture ketika ditemukan paket – paket berbahaya atau penyusupan didalam jaringan. 1.2 Rumusan Masalah Berdasarkan dari latar belakang yang telah dikemukakan, maka permasalahan yang dapat dirumuskan adalah bagaimana mendesain, mengimplementasikan dan membuat sistem keamanan jaringan Intrusion Detection System menggunakan Suricata untuk memudahkan administrator memonitoring, menganalisa serta melakukan capture ketika paket-paket berbahaya masuk ke dalam jaringan ?.
Keywords - Intrusion Detection System, Suricata 1. Pendahuluan 1.1 Latar Belakang Seiring berkembangnya teknologi informasi setiap orang dapat mengakses dengan mudah dan cepat melalui internet. Perangkat yang terhubungke jaringan semakin hari semakin bertambah dimana hal ini akan berdampak pada performa jaringan dan tidak menutup kemungkinan jika ada paket berbahaya yang masuk ke dalam jaringan. Paket berbahaya yang disisipkan ini dapat digunakan oleh attacker untuk memata-matai komputer tanpa sepengetahuan user.
1.3 Tujuan Penelitian Adapun tujuan penelitian ini adalah sebagai berikut:
Menurut laporan Arbos Network pada kuartal pertama 2014, telah tercatat lebih dari 100 serangan Distributed Denial of Service, dua kali lebih banyak dari pada tahun 2014 dan berdasarkan laporan dari Akamai Technologies, kebanyakan serangan berasal dari China dengan persentase 43%. Pencegahan yang paling sering dilakukan terhadap serangan jaringan adalah dengan menempatkan seorang administrator, namun masalah akan timbul ketika administrator sedang tidak mengawasi jaringan, maka
1
1.
Membangun sistem deteksi penyusupan dan membantu administrator dalam memonitor dan menganalisis paket yang masuk ke dalam jaringannya.
2.
Menerapkan, memonitoring keamanan, memahami kelebihan dan kekurangan IDS.
3.
Mempermudah administrator dalam mengontrol IDS.
dan
mengirimkan email atau SMS peringatan kepada administrator jika bahaya mengancam. [3]
2. Pembahasan 2.1 Landasan Teori
2.2 Analisis dan Perancangan Sistem
2.1.1 Tinjauan Pustaka
2.2.1 Analisis Masalah
Referensi yang digunakan diambil dari beberapa buku – buku cetak, skripsi, dan jurnal ilmiah yang ada di STMIK AMIKOM Yogyakarta dan beberapa sumber lain yang membahas tentang Instrusion Detection System. Beberapa karya referensi tersebut antara lain:
Dari hasil survei hackmageddon.com didapatkan data pada Januari bahwa serangan DDoS (Distributed Denial of Service) menempati posisi pertama dengan persetasi 33.7 % dan diikuti pada posisi kedua oleh serangan Defacement dengan persentase 19.1%.
Ashari Abriando (2014) dengan judul “Auto Capture File Log pada Intrusion Prevention System (IPS) saat terjadi serangan pada Jaringan Komputer” menghasilkan penelitian bagaimana mengamankan jaringan komputer dengan meng-capture lalu lintas paket menggunakan Snort, lalu jika terjadi serangan maka Snort akan menyimpan hasil capture dalam bentuk file log. Rian Adi Wibowo (2014) dengan judul “Analisis dan Implementasi IDS Menggunakan Snort pada Cloud Server Jogja Digital Valley” menghasilkan penelitian tentang salah satu cara untuk mengamankan jaringan komputer dengan menggunakan IDS Snort, serta menampilkan alert kepada administrator melalui Web Interface Snorby.
Gambar 2.1 Data Jenis Serangan pada Januari 2015 Adapun data kedua yang didapatkan dari hackmageddon.com adalah data mengenai target yang paling sering diserang.
Etaba Diarta (2013) dengan judul “Sistem Monitoring Deteksi Penyusup dalam Jaringan Komputer Menggunakan Snort pada Ubuntu 12.04 Berbasis SMS Gateway” yang menghasilkan metode untuk mengamankan komputer dengan menggunakan IDS Snort dengan cara mengirimkan pesan SMS kepada administrator jika terjadi serangan didalam jaringan. 2.1.2 Defenisi Keamanan Jaringan Keamanan jaringan adalah proses untuk mencegah dan mengidentifikasi penggunaan yang tidak sah dari jaringan komputer. Penanggung jawab keamanan jaringan harus dapat memastikan bahwa prinsip dasar keamanan jaringan tidak dilanggar oleh aktivitras subjek jaringan atau pengguna. [1]
Gambar 2.2 Data Sector Serangan pada Januari 2015 Dari data yang didapat dapat disimpulkan menyimpulkan bahwa yang paling sering menjadi target serangan jaringan komputer adalah sektor Industri dengan persentasi 28.1 %, diikuti oleh sektor Pemerintahan pada posisi kedua dengan persentasi 14.5 % dan posisi ketiga oleh sektor Pendidikan dengan persentasi 11.2 %.
2.1.3 Defenisi dan Konsep IDS Suatu Intrusion Detection System (IDS) dapat didefenisikan sebagai tool, metode, sumber daya yang memberikan bantuan untuk melakukan identifikasi, memberikan laporan terhadap aktivitas jaringan komputer, Intrusion Detection System secara khusus berfungsi sebagai proteksi secara keseluruhan dari sistem yang telah diinstall IDS. [2]
2.2.2 Analisis Kelemahan Sistem Untuk menguji sistem yang dibangun, penulis mencoba untuk melakukan beberapa jenis serangan yaitu DoS (Denial of Service) dan Scanning, namun server tidak memberikan respon ataupun memberikan peringatan jika telah terjadi serangan pada server.
2.1.4 Cara Kerja IDS Intrusion Detection System (IDS) dapat berfungsi sebagai sensor, director, communication service, atau peringatan dini dari percobaan kegiatan anomali, IDS akan memberikan peringatan secara dini jika ada yang mencoba menyerang atau men-scan port jaringan. Pada IDS terdapat Network Security Database dan Remote Monitoring and Management Sensor (IDSMs) serta akan
2.2.3 Analisis Sistem Berdasarkan pada analisis masalah yang dibahas, IDS merupakan sistem yang sangat bermanfaat untuk mengamankan jaringan dari ancaman – ancaman yang tidak diinginkan terutama bagi administrator jaringan.
2
Dengan ditambahkan nya IDS Suricata didalam suatu jaringan diharapkan sistem mampu meng-capture dan menganalisa setiap paket yang berada didalam jaringan tersebut, serta memberikan notifikasi jika telah terjadi ancaman didalam jaringan secara otomatis kepada administrator. Adapun dibawah ini adalah diagram untuk memudahkan dalam memahami kerja sistem:
2
RAM
4 GB RAM DDR 3 1024 MHz
3
Harddisk
500 GB @ 5400 RPM
4
Network
Fast Ethernet 100 Mbps
Interface 5
802.11g Network Adapter
Interface
2.3 Diagram Kerja Sistem 2.2.4 Analisis Kebutuhan Fungsional Adapun kebutuhan fungsional sebagai berikut:
WLAN
Adapun kebutuhan perangkat lunak adalah sebagai berikut:
sistem adalah
1. Sistem Operasi Ubuntu 14.10.
1.
Sistem harus berjalan pada Sistem Operasi Ubuntu 14.10.
2.
Sistem harus dapat mendeteksi serangan secara otomatis.
3. Logstash sebagai Log Management.
3.
Sistem harus dapat menyimpan Log.
5. Kibana sebagai Web Interface.
4.
Sistem harus serangan.
dapat
memberikan
2. Suricata sebagai Intrusion Detection System.
4. Elasticsearch sebagai penyimpanan log.
laporan
6. Oracle Java sebagai Dependensi. 7. Nginx sebagai Proxy.
2.2.5 Analisis Kebutuhan Non-Fungsional
8. Tools pengujian LOIC dan Nmap.
Kebutuhan Non-Fungsional terbagi dua yaitu kebutuhan perangkat keras dan perangkat lunak. Kebutuhan perangkat keras meliputi:
2.3.4 Analisa Perancangan Sistem Topologi yang digunakan pada perancangan ini adalah peer to peer Dimana terdapat 1 buah pc/laptop yang dikonfigurasi sebagai server IDS dan 1 buah pc/laptop yang dikonfigurasi sebagai PC attacker dengan masing – masing di konfigurasi dengan IP Private Class C yaitu:
Tabel 2.1 Spesifikasi Server IDS No 1
Komponen Prosessor
Kebutuhan Pentium Dual Core T4300 @ 2.1
1. PC Attacker dengan IP 192.168.1.100/24
GHz 2
RAM
5 GB RAM DDR 3 800 MHz
3
Harddisk
500 GB @ 5400 RPM
4
Network
Fast Ethernet 100 Mbps
2. PC Server IDS dengan IP 192.168.1.1/24 Pembuatan sistem pencegahan penyusup membutuhkan modul – modul yang akan membantu IDS dalam melakukan pendeteksian dari beberapa bentuk serangan. Berikut ini adalah gambar rancangan diagram dari modul – modul tersebut:
Interface 5
WLAN
802.11g Network Adapter
Interface
Tabel 2.2 Spesifikasi Komputer Penyerang (Attacker) No 1
Komponen Prosessor
Kebutuhan
Gambar 2.3 Modul Sistem
Pentium Dual Core T6600 @ 2.2 GHz
3
$ wget https://download.elasticsearch.org/kibana/kibana/kiban a-4.0.1-linux-x64.tar.gz $ tar xvf kibana-*.tar.gz $ sudo nano ~/kibana-4*/config/kibana.yml
2.2 Implementasi Sistem 2.2.1 Menambahkan Repository Sebelum menginstall piranti lunak yang diperlukan adalah menambah dan mengupdate repository, berikut ini adalah perintah yang digunakan untuk mengupdate repository.
Setelah masuk ke file konfigurasi Kibana, cari di baris 5 lalu ubah bagian host:”0.0.0.0” menjadi host:”localhost. Lalu lanjutkan instalasi dengan menjalankan perintah berikut:
$ sudo add-apt-repository ppa:oisf/suricata-stable $ sudo add-apt-repository ppa:webupd8team/java
$ sudo mkdir –p /opt/kibana $ sudo cp –R ~/kibana-4*/* /opt/kibana $ cd /etc/init.d && sudo wget https://gist.githubusercontent.com/thisismitch/8b15ac90 9aed214ad04a/raw/bce61d85643c2dcdfbc2728c55a41d ab444dca20/kibana4 $ sudo chmod +x /etc/init.d/kibana4 $ sudo update-rc.d kibana4 defaults
$ sudo apt-get update 2.2.2 Instalasi Suricata Berikut ini perintah menginstall Suricata IDS:
yang
digunakan
untuk
$ sudo apt-get install suricata 2.2.3 Instalasi Oracle Java
2.2.6 Konfigurasi Suricata
Sebelum menginstall Logstash dan Elasticsearch, diharuskan untuk menghapus OpenJDK terlebih dahulu dengan menggunakan perintah berikut:
Untuk mengubah konfigurasi sesuai dengan kebutuhan yang ada, penulis mengubah file suricata.yaml yang berada di /etc/suricata/suricata.yaml.
$ sudo apt-get remove --purge openjdk*
2.2.7 Konfigurasi Rule
Lalu dilanjutkan dengan menginstall Oracle Java dengan perintah berikut:
Rule pada Suricata pada umumnya sama seperti Rule pada Snort yang digunakan untuk menentukan apakah paket tersebut sebuah ancaman atau bukan. Didalam Rule terdapat tiga komponen yaitu action, header dan rule option, dimana action rule terdiri dari alert, drop, reject, dan pass.
$ sudo apt-get install oracle-java8-installer 2.2.4 Instalasi Logstash Ketikkan perintah dibawha ini pada jendela terminal untuk menginstall Logstash: $ wget https://download.elastic.co/logstash/logstash/packages/d ebian/logstash_1.5.2-1_all.deb $ sudo dpkg -i logstash*.deb
2.2.8 Konfigurasi Logstash Sebelum mengaktifkan Logstrash harus dilakukan konfigurasi terlebih dahulu file logstash.conf yang berada di direktori /etc/logstash/conf.d/.
2.2.5 Instalasi Elasticsearch
2.2.9 Konfigurasi Nginx
Install Elasticsearch dengan menggunakan perintah berikut:
Penulis mengkonfigurasi Kibana untuk melisten pada localhost dengan tujuan keamanan. Agar jaringan dari luar dapat mengakses kibana maka dibuytuhkanlah Reverse Proxy sebagai perantaranya dan Nginx akan digunakan untuk tujuan ini.
$ wget https://download.elastic.co/elasticsearch/elasticsearch/e lasticsearch-1.6.0.deb $ sudo dpkg -i elastic*.deb $ sudo mkdir -p /var/run/elasticsearch $ sudo update-rc.d elasticsearch defaults $ cd /usr/share/elasticsearch/bin $ sudo ./plugin -install royrusso/elasticsearch-HQ $ sudo service elasticsearch start
2.3 Pengujian Sistem 2.3.1 Pengujian Sistem dengan Denial of Service Proses simulasi penyerangan in dilakukan dengan perangkat lunak LOIC. Serangan ini akan membanjiri target dengan paket – paket TCP yang merang port – port tertentu. Komputer penyerang akan melakukan DoS TCP SYN Flooding ke komputer Server IDS yang beralamat IP 192.168.1.1.
2.2.6 Instalasi Nginx Install Nginx dengan menggunakan perintah berikut: $ sudo apt-get install nginx apache2-utils 2.2.7 Instalasi Kibana Kibana yang digunakan adalah Kibana 4 maka untuk menginstallnya gunakan perintah berikut:
4
melakukan SYN Scan. Berikut ini adalah screenshot log yang dihasilkan oleh Suricata
Gambar 2.8 Screenshot Log Suricata pada Terminal
Gambar 2.4 Simulasi Penyerangan DoS
Gambar 2.9 Screenshot Log pada Kibana
Setelah dilakukan pengujian ke komputer target, Suricata mampu mendeteksi serangan tersebut, Berikut ini adalah screenshot hasil deteksi Suricata terhadap serangan DoS..
Dari screenshot diatas dapat dibuktikan bahwa Suricata telah mendeteksi telah terjadi scanning pada jaringan, dari screenshot diatas dapat dilijat bahwa telah dihasilkan alert dengan Signature “ET SCAN NMAP – sS window 1024”. 3. Kesimpulan Berdasarkan dari selutuh tahapan dari perancangan hingga proses pengujian dari penelitian Skripsi ini maka dapat ditarik beberapa kesimpulan sebagai berikut: 1. Untuk membangun sistem IDS suricata dibutuhkan beberapa modul tambahan agar administrator lebih mudah dalam memonitor dan menganalisa packet, yaitu Logstash, Elasticsearch, dan Kibana. 2. Modul tersebut bekerja sama untuk mentranslasikan log mentah dari Suricata menjadi bentuk yang mudah dipahami. 3. SIstem dapat mendeteksi serangan atau tidak tergantung dengan pola serangan yang dikonfigurasi didalam file rules. 4. Instalasi Kibana sebagai Web Interface dapat mempermudah administrator dalam memonitor dan menganalisa setiap log yang dihasilkan oleh Suricata.
Gambar 2.5 Screenshot Log Suricata pada Terminal
Gambar 2.6 Screenshot Log pada Kibana Dari data diatas Suricata telah mendeteksi kejanggalan diatas, alert yang dihasilkan berupa paket dengan Signature “ET DOS Inbound Low Orbit Ion Cannon LOIC DDOS Tool desu string”, pendeteksian dilakukan dengan mencari string desudesudesu. 2.3.2 Pengujian Sistem dengan Scanning Pada pengujian kedua dilakukan scanning dengan menggunakan NMap dan dilakukan pada konfigurasi yang sama. Serangan ini berupaya untuk mencari informasi tentang target yang akan diserang, sehingga memudahkan si attacker.
4. Saran Berikut ini beberapa saran yang dapat digunakan untuk pengembangan selanjutnya: 1. Dirahapkan pengujian dilakukan pada ruang lingkup yang lebih luas, seperti internet dengan menggunakan VPS. 2. Diharapkan penellitian selanjutnya, Suricata dikonfigurasi sebagai IPS (Intrusion Prevention System). 3. Tambahkan lebih banyak jenis pengujian. Daftar Pustaka [1] Abriando, A. 2014. Auto Capture File Log pada Instrusion Prevention System (IPS) saat terjadi serangan pada Jaringan Komputer. Yogyakarta. STMIK AMIKOM Yogyakarta. hal 8
Gambar 2.7 Uji scanning Setelah dilakukan pengujian SYN Scan, Suricata mampu mendeteksi bahwa komputer penyerang telah
5
[2] Ariyus, D. 2007. Intrusion Detection System. Yogyakarta. Penerbit Andi. hal 27-28 [3] Stiawan, D. 2005. Sistem Keamanan Komputer. Jakarta. PT Alex Media Komputindo. hal 120 Biodata Penulis Rahmat Yani Hidayat, memperoleh gelar Sarjana Komputer (S.Kom), Jurusan Teknik Informatika STMIK AMIKOM Yogyakarta, lulus tahun 2015. Saat ini menjadi Webmaster di 1Souvenir di Yogyakarta.
6
