SISTEM DETEKSI PENYUSUPAN JARINGAN SECARA OTOMATIS DAN INTERAKTIF
ABSTRAKSI
Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak.
Sistem deteksi penyusupan jaringan yang ada saat ini umumnya mampu mendeteksi berbagai jenis serangan tetapi tidak mampu mengambil tindakan lebih lanjut. Selain itu sistem yang ada pada saat ini tidak memiliki interaktivitas dengan administrator pada saat administrator tidak sedang mengadministrasi sistemnya. Hal ini merupakan suatu hal yang tidak efektif terutama pada saat sistem berada dalam kondisi kritis.
Pada penelitian ini akan didesain dan diimplementasikan suatu sistem deteksi penyusupan jaringan yang memiliki kemampuan untuk mendeteksi adanya aktivitas jaringan yang mencurigakan, melakukan tindakan penanggulangan serangan lebih lanjut, serta mampu berinteraksi dengan administrator menggunakan media SMS (Short Message Service) dua arah.
I. PENDAHULUAN
1.1 Latar Belakang
Dalam era teknologi informasi saat ini, hampir seluruh informasi yang penting bagi suatu institusi dapat diakses oleh para penggunanya. Keterbukaan akses tersebut memunculkan berbagai masalah baru, antara lain :
· Pemeliharaan validitas dan integritas data/informasi tersebut
· Jaminan ketersediaan informasi bagi pengguna yang berhak
· Pencegahan akses informasi dari yang tidak berhak
· Pencegahan akses sistem dari yang tidak berhak
Sistem pertahanan sistem terhadap aktivitas gangguan yang ada saat ini umumnya dilakukan secara manual oleh administrator. Hal ini mengakibatkan integritas sistem bergantung pada ketersediaan dan kecepatan administrator dalam merespon gangguan yang terjadi. Apabila gangguan tersebut telah berhasil membuat jaringan mengalami malfungsi, administrator tidak dapat lagi mengakses sistem secara remote. Sehingga administrator tidak dapat melakukan pemulihan sistem dengan cepat.
Karena itu dibutuhkan suatu sistem yang dapat menanggulangi ancaman-ancaman yang mungkin terjadi secara optimal dalam waktu yang cepat secara otomatis dan memungkinkan administrator mengakses sistem walaupun terjadi malfungsi jaringan. Hal ini akan mempercepat proses penanggulangan gangguan serta pemulihan sistem atau layanan.
1.2 Tujuan Penelitian
· Mendesain dan mengimplementasikan sistem deteksi penyusupan jaringan yang otomatis dan interaktif.
· Menganalisa performansi sistem deteksi penyusupan jaringan dalam menangani gangguan terhadap sistem.
1.3 Perumusan Masalah
1. Insiden-insiden yang mungkin terjadi terhadap keamanan jaringan adalah
a. Probing
b. Scanning
c. Denial of Services (DoS)
d. Account Compromize
e. Root Compromize
f. Packet Sniffing
g. Exploits
h. Malicious code
i. Infrastructure Attacks
2. Administrasi sistem keamanan jaringan secara manual mengandung resiko keterlambatan respon terhadap intrusi jaringan.
3. Sistem deteksi intrusi jaringan harus memiliki fitur-fitur sebagai berikut :
a. Deteksi serangan yang akurat
b. Respon sistem dengan memblok semua paket yang berasal dari alamat penyerang yang terdeteksi secepat mungkin
c. Database pola-pola serangan yang lengkap
d. Memiliki interaktivitas dengan administrator sistem
4. Aksesibilitas administrator harus tetap terjaga dan terjamin otentikasinya walau terjadi malfungsi jaringan.
II. DASAR TEORI KEAMANAN JARINGAN
2.1 Network Security secara umum
Host/komputer yang terhubung ke network, mempunyai ancaman keamanan lebih besar daripada host yang tidak terhubung kemana-mana. Dengan mengendalikan network security, risiko tersebut dapat dikurangi. Namun network security biasanya bertentangan dengan network access, yaitu bila network access semakin mudah, maka network security makin rawan, dan bila network security makin baik, network access makin tidak nyaman. Suatu network didesain sebagai komunikasi data highway dengan tujuan meningkatkan akses ke sistem komputer, sementara security didesain untuk mengontrol akses. Penyediaan network security adalah sebagai aksi penyeimbang antara open access dengan security.
Disini network dikatakan sebagai highway, karena menyediakan akses yang sama untuk semua, baik pengguna normal ataupun tamu yang tidak diundang. Sebagai analogi, keamanan di rumah dilakukan dengan cara memberi kunci di pintu rumah, tidak dengan cara memblokir jalan di depan rumah. Hal seperti ini juga diterapkan pada network security. Keamanan dijaga untuk (setiap) host-host tertentu, tidak langsung pada networknya.
Keamanan untuk daerah dimana orang saling mengenal, pintu biasanya dibiarkan terbuka . Sedangkan di kota besar, pintu rumah biasanya menggunakan mekanisme keamanan tambahan. Begitu pula yang dilakukan pada network. Untuk jaringan yang menghubungkan host-host yang aman dan dikenal, tingkat keamanan host bisa tidak dijaga terlalu ketat. Bila jaringan terhubung ke jaringan lain yang lebih terbuka, dan membuka peluang akses oleh host yang tidak aman atau tidak dikenal, maka tidak bisa tidak, host-host di jaringan tersebut membutuhkan pengamanan lebih. Ini bukan berarti keterbukaan hanya membawa akibat buruk, sebab banyaknya fasilitas yang ditawarkan dengan keterbukaan jaringan ini merupakan nilai lebih yang sangat membantu kemajuan network. Jadi network security merupakan harga yang harus dibayar dari kemajuan jaringan komputer.
2.2 Konsep dalam network security
2.2.1 Perencanaan security
Salah satu problem network security yang paling penting, dan mungkin salah satu yang paling tidak enak, adalah menentukan kebijakan (security policy) dalam network security. Kebanyakan orang menginginkan solusi teknis untuk setiap masalah, berupa program yang dapat memperbaiki masalah-masalah network security. Padahal, perencanaan keamanan yang matang berdasarkan prosedur dan kebijakan dalam network security akan membantu menentukan apa-apa yang harus dilindungi, berapa besar biaya yang harus ditanamkan dalam melindunginya, dan siapa yang bertanggungjawab untuk menjalankan langkah-langkah yang diperlukan untuk melindungi bagian tersebut.
Mengenali ancaman terhadap network security
Langkah awal dalam mengembangkan rencana network security yang efektif adalah dengan mengenali ancaman yang mungkin datang. Dalam RFC 1244, Site security Handbook, dibedakan tiga tipe ancaman :
1. Akses tidak sah, oleh orang yang tidak mempunyai wewenang.
2. Kesalahan informasi, segala masalah yang dapat menyebabkan diberikannya informasi yang penting atau sensitif kepada orang yang salah, yang seharusnya tidak boleh mendapatkan informasi tersebut.
3. Penolakan terhadap service, segala masalah mengenai security yang menyebabkan sistem mengganggu pekerjaan-pekerjaan yang produktif.
Disini ditekankan network security dari segi perangkat lunak, namun network security sebenarnya hanyalah sebagian dari rencana keamanan yang lebih besar, termasuk rencana keamanan fisik dan penanggulangan bencana.
Kontrol terdistribusi
Salah satu pendekatan dalam network security adalah dengan mendistribusikan tanggung jawab kontrol terhadap segmen-segmen dari jaringan yang besar ke grup kecil dalam organisasi. Pendekatan ini melibatkan banyak orang dalam keamanan, dan berjalan berlawanan dengan prinsip kontrol terpusat.
Dalam kontrol terdistribusi, informasi dari luar disaring dahulu oleh admin network, kemudian disaring lagi oleh admin subnet, demikian seterusnya, sehingga user tidak perlu menerima terlalu banyak informasi yang tidak berguna. Bila informasi ke user berlebihan, maka user akan mulai mengabaikan semua yang mereka terima.
Menentukan security policy
Dalam network security, peranan manusia yang memegang tanggungjawab keamanan sangat berperan. Network security tidak akan efektif kecuali orang-orangnya mengetahui tanggungjawabnya masing-masing. Dalam menentukan network security policy, perlu ditegaskan apa-apa yang diharapkan, dan dari siapa hal tersebut diharapkan. Selain itu, kebijakan ini harus mencakup :
1. Tanggung jawab keamanan network user, meliputi antara lain keharusan user untuk mengganti passwordnya dalam periode tertentu, dengan aturan tertentu, atau memeriksa kemungkinan terjadinya pengaksesan oleh orang lain, dll.
2. Tanggung jawab keamanan system administrator, misalnya perhitungan keamanan tertentu, memantau prosedur-prosedur yang digunakan pada host.
3. Penggunaan yang benar sumber-sumber network, dengan menentukan siapa yang dapat menggunakan sumber-sumber tersebut, apa yang dapat dan tidak boleh mereka lakukan.
4. Langkah-langkah yang harus diperbuat bila terdeteksi masalah keamanan, siapa yang harus diberitahu. Hal ini harus dijelaskan dengan lengkap, bahkan hal-hal yang sederhana seperti menyuruh user untuk tidak mencoba melakukan apa-apa atau mengatasi sendiri bila masalah terjadi, dan segera memberitahu system administrator.
2.3 Metode-metode yang digunakan dalam network security
Ada banyak metode yang digunakan dalam network security antara lain :
2.3.1 Pembatasan akses pada network
Internal password authentication (password pada login system)
Password yang baik menjadi bagian yang paling penting namun sederhana dalam keamanan jaringan. Sebagian besar dari masalah network security disebabkan password yang buruk. Biasanya pembobolan account bisa terjadi hanya dengan menduga-duga passwordnya. Sedangkan bentuk yang lebih canggih lagi adalah dictionary guessing, yang menggunakan program dengan kamus terenkripsi, dibandingkan dengan password terenkripsi yang ada. Untuk itu, file /etc/passwd harus dilindungi, agar tidak dapat diambil dengan ftp atau tftp (berkaitan dengan file-mode). Bila hal itu bisa terjadi, maka tftp harus dinonaktifkan. Ada juga sistem yang menggunakan shadow password, agar password yang ter-enkripsi tidak dapat dibaca. Sering mengganti password dapat menjadi salah satu cara menghindari pembobolan password. Namun, untuk password yang bagus tidak perlu terlalu sering diganti, karena akan sulit mengingatnya. Sebaiknya password diganti setiap 3-6 bulan.
Server-based password authentication
Termasuk dalam metoda ini misalnya sistem Kerberos server, TCP-wrapper, dimana setiap service yang disediakan oleh server tertentu dibatasi dengan suatu daftar host dan user yang boleh dan tidak boleh menggunakan service tersebut.
Server-based token authentication
Metoda ini menggunakan authentication system yang lebih ketat, yaitu dengan penggunaan token / smart card, sehingga untuk akses tertentu hanya bisa dilakukan oleh login tertentu dengan menggunakan token khusus.
Firewall dan Routing Control
Firewall melindungi host-host pada sebuah network dari berbagai serangan. Meskipun aspek-aspek yang lain dalam jaringan tersebut juga menjadi faktor penentu tingkat keamanan jaringan secara keseluruhan, tetapi firewall atau routing control sangat berpengaruh pada kemanan jaringan tersebut secara keseluruhan.
Komputer dengan firewall menyediakan kontrol akses ketat antara sistem dengan sistem lain. Konsepnya, firewall mengganti IP router dengan sistem host multi-home, sehingga IP forwarding tidak terjadi antara sistem dengan sistem lain yang dihubungkan melalui firewall tsb. Agar jaringan internal dapat berhubungan dengan jaringan diluarnya dalam tingkat konektifitas tertentu, firewall menyediakan fingsi-fungsi tertentu.
Firewall mencegah paket IP diteruskan melalui layer IP. Namun, firewall menerima paket dan memprosesnya melalui layer aplikasi. Sebetulnya ada juga router yang mempunyai fasilitas keamanan khusus seperti firewall, dan biasanya disebut ‘secure router’ atau ‘secure gateway’. Namun firewall bukan router, karena tidak meneruskan (forwarding) paket IP. Firewall sebaiknya tidak digunakan untuk memisahkan seluruh jaringan internal dari jaringan luar.
2.3.2 Metode enkripsi
Salah satu cara pembatasan akses adalah dengan enkripsi. Proses enkripsi meng-encode data dalam bentuk yang hanya dapat dibaca oleh sistem yang mempunyai kunci untuk membaca data. Proses enkripsi dapat dengan menggunakan software atau hardware. Hasil enkripsi disebut cipher. Cipher kemudian didekripsi dengan device dan kunci yang sama tipenya (sama hardware/softwarenya, sama kuncinya). Dalam jaringan, sistem enkripsi harus sama antara dua host yang berkomunikasi. Jadi diperlukan kontrol terhadap kedua sistem yang berkomunikasi. Biasanya enkripsi digunakan untuk suatu sistem yang seluruhnya dikontrol oleh satu otoritas.
2.3.3 Security Monitoring
Salah satu elemen penting dari keamanan jaringan adalah pemantauannya. Dengan adanya pemantauan yang teratur, maka penggunaan sistem oleh yang tidak berhak dapat dihindari. Selain itu, seiring dengan waktu, maka sistem pun berubah. Keamanan jaringan dapat terpengaruh oleh adanya perubahan ini. Hal ini dapat dideteksi dengan adanya pemantauan.
Untuk mendeteksi aktifitas yang tidak normal, maka perlu diketahui aktifitas yang normal. Proses apa saja yang berjalan pada saat aktifitas normal. Siapa saja yang biasanya login pada saat tersebut. Siapa saja yang biasanya login diluar jam kerja. Bila terjadi keganjilan, maka perlu segera diperiksa.
Bila hal-hal yang mencurigakan terjadi, maka perlu dijaga kemungkinan adanya intruder. Perlu juga memberitahu orang-orang yang biasa menggunakan sistem untuk berhati-hati, supaya masalah tidak menyebar ke sistem lain.
2.4 Packet Filtering
Packet filtering adalah sejenis firewall yang bekerja pada layer network model OSI. Ketika menggunakan firewall sebagai packet filtering yang pertama kali dilakukan adalah memikirkan kebijakan apa yang akan diterapkan pada firewall tersebut. Pendekatan yang digunakan oleh firewall untuk melakukan proses filtering paket,secara umum seperti berikut:
· Semua yang tidak diijinkan dalam aturan adalah di blok.
Pendekatan ini akan mengeblok segala aliran paket antar dua interface kecuali untuk aplikasi yang diijinkan lewat dalam aturan.
· Semua yang tidak diblok dalam aturan adalah diijinkan
Pendekatan ini akan mengijinkan segala aliran paket antar dua interface kecuali untuk aplikasi yang diblok dalam aturan.
Packet filtering bekerja pada lapisan network dan dilakukan oleh sebuah router yang dapat meneruskan paket berdasarkan aturan dari filtering. Router akan mengekstrak beberapa informasi dari header paket yang datang pada satu interface dan membuat keputusan berdasarkan aturan yang telah ditetapkan apakah paket akan diteruskan atau diblok.
Beberapa informasi yang dapat diekstrak dari header paket :
· Alamat asal paket
· Alamat tujuan paket
· TCP/UDP source port
· TCP/UDP destination port
· Tipe ICMP
· Informasi protokol ( TCP,UDP, atau ICMP )
Filtering by IP address
Seperti telah disebutkan di atas, bahwa pengeblokan paket yang melewati firewall bisa dilakukan dengan melihat alamat asal dan tujuan dari paket, maka pada bagian ini akan di bahas mengenai metode pengeblokan tersebut. Setiap paket yang dikirimkan dari pengirim ke penerima, pasti akan mengalami proses enkapsulasi pada setiap lapisan di node tersebut. Dari setiap proses enkapsulasi tersebut, setiap lapisan akan menambahkan header sesuai dengan lapisan masing-masing. Proses penambahan header alamat paket baik itu alamat pengirim maupun penerima, menjadi tanggung jawab dari network layer.
Pada sisi penerima, khususnya pada router yang menjalankan program firewall untuk memfilter paket yang datang, firewall akan melihat header dari masing-masing packet datagram yang datang, dan untuk pemfilteran berdasarkan alamat, firewall akan melihat bagian alamat asal dan alamat tujuan kemudian akan dicocokan dengan aturan yang telah di tetapkan pada firewall. Kalau aturan tidak ada yang memblok alamat asal dan alamat tujuan, maka paket bisa masuk ke lapisan yang lebih tinggi. Semua yang melaksanakan proses ini terjadi pada lapisan network, dimana protokol IP yang menjadi penanggung jawabnya.
Semua IP header dari sebuah paket terdiri dari alamat asal dan alamat tujuan dan tipe dari protokol yang digunakan paket. Ini berarti bahwa satu-satunya cara untuk proses identifikasi pada level Internet Protocol ( IP ) adalah dari alamat asal pada header IP dari paket. Hal ini bisa menarik minat dari para hacker untuk melakukan penyusupan, yaitu lubang untuk spoofing alamat asal , dimana si pengirim akan mengganti alamat asal dengan alamat IP yang tidak terdaftar (tidak ilegal) ataupun mengganti dengan alamat IP sembarang server.
Filtering by protocol
Seperti yang telah disebutkan di atas, Packet filtering bekerja pada layer network dan dilakukan oleh sebuah router yang dapat meneruskan paket berdasarkan aturan dari filtering. Ketika sebuah paket datang pada router, router akan mengekstrak beberapa informasi dari header paket dan membuat keputusan berdasarkan aturan yang telah ditetapkan apakah paket akan diteruskan ataukah diblok.
Filtering menggunakan protokol, melihat bagian protokol pada internet header seperti gambar internet header di atas. Bila protokol yang digunakan sesuai dengan aturan yang disebutkan untuk diteruskan, maka paket akan diteruskan, dan begitu juga sebaliknya.
Filtering by port
Filtering dengan port bekerja pada layer transport. Pada tcp header terdapat bagian port asal dan port tujuan yang akan digunakan untuk menentukan apakah paket bisa masuk ke jaringan lokal atau diteruskan ke host yang lain oleh router. Nomor port berkisar dari port nomor 0 sampai dengan 65535. Dari sekian banyak port tersebut, berdasarkan konsensus dan perjanjian terbagi menjadi dua bagian. Nomor port dari 0 –1023 dikenal dengan port – port yang privileged , ini berarti bahwa untuk kasus dalam sistem unix , membutuhkan akses root untuk dapat menggunakan port tersebut. Sedangkan nomor port sisanya , 1024 – 65535 dikenal dengan port yang unprivileged . ini berarti tidak membutuhkan akses root untuk meggunakan port tersebut. User biasa bisa menggunakan port tersebut. Oleh karena itu sebaiknya untuk proses pengeblokan port, diblok untuk paket-paket dari dan untuk port aplikasi yang tidak terpakai supaya tidak dimanfaatkan oleh penyusup.
III. PERANCANGAN SISTEM DETEKSI PENYUSUPAN JARINGAN
SECARA OTOMATIS DAN INTERAKTIF
(AIRIDS= Automatic Interactive Reactive Intrusion Detection System)
AIRIDS merupakan suatu metode kemanan jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan yang terintegrasi antara Intrusion Detection System (IDS) , Firewall System, Database System dan Monitoring System.. Sistem keamanan ini bertujuan melindungi jaringan dengan kemampuan merespon sesuai dengan kebijakan keamanan.
Untuk mewujudkan metode ini perlu dirancang komponen-komponen sistem keamanan jaringan berupa :
1. Intrusion detection system (IDS)
a Sensor modul
b. Analyzer modul
2. Database system
3. Monitoring system
4. Firewall system
5. SMS system
Arsitektur sistem IDS
Intrusion Detection System (IDS) pada implementasi tugas akhir ini tediri dari komponen komponen :
1. Sensor
2.Analyzer
3.Database system
Sensor berfungsi untuk mengambil data dari jaringan. Sensor merupakan bagian dari sistem deteksi dini dari sistem keamanan yang dirancang. Untuk itu digunakan suatu program yang berfungsi sebagai intrusion detector dengan kemampuan packet logging dan analisis traffik yang realtime.
Analyzer berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari analyzer yang akan menjadi input bagi sistem lainnya. Pada perancangan sistem keamanan ini digunakan snort 2.1.0 dengan alasan snort mempunyai kemampuan menjadi sensor dan analyzer serta sesuai untuk diterapkan pada rancangan sistem keamanan .
Kriteria pemilihan snort :
· Snort adalah program yang free dan open source
· Snort dapat berjalan secara kontinu pada sistem dengan sesedikit mungkin campur tangan dari manusia
· Snort tidak mengakibatkan overhead terhadap sistem IDS yang mengakibatkan komputer menjadi lambat dan mengakibatkan terjadinya drop paket yang seharusnya diterima oleh sistem.
· Logging Snort bisa dikirim ke data base (mysql).
Untuk sistem deteksi dan analisis paket digunakan snort yang menempatkan rule-rule nya pada sebuah list (daftar) dengan metode pengolahan paket. Misalnya ada paket yang ditemukan sesuai dengan salah satu rule yang ditetapkan maka sistem akan masuk ke salah satu mode (mis:alert,log), jika tidak maka paket tersebut disesuaikan dengan rule lain yang ada pada daftar rule. Berikut adalah contoh hirarki analisis yang dilakukan pada sebuah rule beserta diagramnya.
if (packet_ethernet (p))
{EvalPacket(tree->ethernet->RuleList, rule->mode, p));
if (packet_IP (p))
{EvalPacket(tree->ethernet->IP->RuleList, rule->mode, p));
if (packet_tcp (p))
{EvalPacket(tree->ethernet->IP->TCP->RuleList, rule->mode, p));
if (packet_HTTP (p)){ do_http_stuff}}}}
Perancangan Database untuk sistem keamanan jaringan
Sistem keamanan ini menggunakan prinsip sentralisasi database untuk menyimpan semua alert yang berasal dari sensor maupun log dari firewall.Informasi yang tersimpan pada data base ini juga merupakan input untuk pengawasan keamanan jaringan yang dilakukan oleh firewall system, monitoring system serta sistem notifikasi SMS.
Database yang digunakan adalah MySQL yang diinstall pada sistem linux. Apabila database ini diinstall terpisah dari host firewall, bisa saja database ini diinstall pada sistem berbasis Windows atau sistem operasi lain yang mendukung database MySQL. Alasan pemilihan MySQL sebagai program database yang digunakan antara lain :
- Sifatnya yang open source dan murah
- Cukup stabil pada hardware dengan spesifikasi yang relatif rendah
Untuk administrasi dan maintenance sistem database dibuat suatu interface berbasis web yang dibuat dengan bahasa pemrograman PHP. Fungsi utama dari interface ini adalah untuk mengedit atau mengupdate entry database yang dijadikan input bagi sistem yang lain.
Perancangan monitoring sistem
Sistem monitoring yang digunakan dalam AIRIDS ini adalah sistem remote monitoring. Hal ini diperlukan karena dalam situasi yang umum monitoring sistem harus dapat dilakukan tanpa berada di lokasi host yang dipasang AIRIDS (off-site). Untuk itu sistem monitoring yang paling fleksibel yang dapat diterapkan adalah sistem berbasis web. Untuk itu diperlukan sistem yang memiliki :
· Linux kernel 2.4.xx
· PHP
· Web Server ( Apache )
· Web Client ( pada sisi user )
Skema aliran data pada sistem monitoring dapat dilihat pada Lampiran 1.4.
Sistem remote monitoring yang akan digunakan, dirancang agar bersifat user friendly, sehingga masalah kemudahan pengguna dalam menggunakan interface ini bukan lagi menjadi masalah. Karena itu diterapkan sistem dengan web interface. Pemilihan web interface ini memiliki keunggulan sebagai berikut :
· Memudahkan network sistem administrator dalam menggunakan interface
· Pemakai tidak memerlukan keahlian linux dalam mengoperasikan interface ini
· Pada sisi client tidak memerlukan software tambahan, hanya memerlukan browser dan koneksi internet
· Kompatibel dengan berbagai macam browser
ACID (Analysis Console for Intrusion Databases) merupakan PHP-based analysis engine yang berfungsi untuk mencari dan mengolah database dari alert network sekuriti yang dibangkitkan oleh perangkat lunak pendeteksi intrusi (IDS). Dapat di implementasikan pada sistem yang mendukung PHP seperti linux, BSD, Solaris dan OS lainnya. ACID adalah perangkat lunak yang open-source dan didistribusikan dibawah lisensi GPL. Pada tugas akhir ini digunakan ACID-0.9.6b23 dan PHP 4.3.3
ACID mempunyai kemampuan :
· Query-builder and search interface untuk mencari alert yang sesuai dengan Alert meta information (seperti : signature, detection time) juga data data network (seperti : source / destination address, ports, payload atau flags).
· Packet viewer (decoder) untuk mendisplay grafik informasi alert layer 3 ( Transport : TCP, UDP ) dan layer 4 ( Network : IP, IPX )
· Alert management ( manajemen peringatan ) berfungsi untuk membuat grup alert, membuang alert yang dianggap semu atau palsu, mengirimkan alert ke email serta mendukung pengarsipan alert agar dapat dipindahkan antar database alert.
· Chart and statistics generation membuat chart dan statistic berdasar pada waktu, sensor, signature, protokol, IP address, TCP/UDP ports, klasifikasi.
ACID merupakan aplikasi web based, sehingga semua informasi informasi keadaan kemanan jaringan berupa alert dari sensor dan log dari firewall dapat dianalisa melalui aplikasi web browser (seperti : Mozilla, Konqueror, Opera). Informasi ini akan menjadi bahan untuk security audit. Security auidit perlu dilakukan agar kemanan jaringan tetap terjamin dan untuk mendapatkan solusi keamanan jaringan yang lebih baik
Untuk itu diperlukan pengkonfigurasian pada HTTP server ( Apache ) yang sudah terinstall pada host. HTTP server yang terinstal adalah Apache server 1.3.28. Apabila diinginkan fitur enkripsi pada informasi yang dikirimkan sistem monitoring pada browser, dapat ditambahkan modul SSL pada web server tersebut. Hal ini akan meningkatkan keamanan data yang dikirimkan monitoring system pada administrator dari kemungkinan penyadapan data ( man-in-the-middle attack ).
ACID berfungsi menyediakan management console yang dapat diakses melalui web browser. Fungsi managemenet console ini adalah sebagai interface untuk network system administrator (NSA) agar dapat melakukan observasi pada kebijaksanaan keamanan
Perancangan Automatic Firewall
Program firewall otomatis yang dibuat pada dasarnya adalah program yang menganalisa output dari Intrusion Detection System (IDS) serta memutuskan tindakan yang harus diambil untuk host pengirim paket yang dianalisa tersebut. Apabila paket tersebut oleh IDS dikategorikan sebagai paket berbahaya atau mengandung resiko keamanan jaringan, maka program firewall otomatis akan memicu program iptables untuk menambahkan sebuah rule yang memblok semua paket yang berasal dari host paket yang mencurigakan tersebut. Berikut Flow chart dari sistem firewall otomatis.
Perancangan sistem notifikasi SMS
Sistem notifikasi SMS ini dirancang sebagai bagian yang memberikan fungsi interaktif antara sistem dengan administrator. Alasan digunakannya SMS sebagai media interaktif adalah sebagai berikut :
- Penyampaian pesan yang cepat dan cukup reliable
- Biaya yang relatif murah
- Bersifat dua arah
- Tidak tergantung pada jaringan data host
Fungsi dasar dari sistem SMS ini sebenarnya hanya memberikan notifikasi atau pemberitahuan kepada administrator sesegera mungkin ketika terjadi suatu event yang mentrigger firewall untuk memblok IP address suatu host dan di-log dalam database. Proses insertion dalam database inilah yang mentrigger sistem SMS untuk mengirimkan pesan SMS kepada administrator. Pesan yang dikirimkan berisi tentang IP address dari host yang diblok oleh sistem.
Perlu diperhatikan bahwa fungsi dasar sistem SMS ini tidak melakukan interupsi apapun pada proses perlindungan sistem oleh AIRIDS. Karena yang dilakukan oleh sistem SMS hanyalah mengecek tabel yang berisi daftar IP address yang sudah diblok secara periodik. Oleh karena itu jika hanya fungsi dasar ini yang dibutuhkan, maka sistem SMS dapat dipasang dimana saja, sejauh masih bisa mengakses database yang digunakan oleh AIRIDS.
Tetapi untuk mendapatkan interaktivitas penuh dari sistem SMS ini, maka sistem SMS harus dipasang pada host yang dipasangi AIRIDS. Hal ini diperlukan karena interaktivitas penuh dari sistem SMS ini memerlukan akses pada sistem untuk mengeksekusi berbagi perintah yang diberikan oleh administrator melalui SMS.
Manfaat penerapan sistem SMS dengan interaktivitas penuh antara lain :
- Dapat mengembalikan kondisi sistem apabila blocking IP address yang terjadi adalah karena kekeliruan admin saat melakukan administrasi atau testing pada host secara remote.
- Dapat mengakses sistem secara remote bahkan ketika jaringan down meskipun secara terbatas.
- Dapat mengeksekusi emergency command sesegera mungkin untuk menyelamatkan data atau sistem. Misal dengan mengembalikan password root atau bahkan me-reboot atau meng-halt sistem.
Pada fungsi normalnya, program sistem SMS akan mengakses database AIRIDS untuk mengecek kondisi tabel blocking IP address serta untuk mengambil sintaks perintah sistem yang harus dieksekusi sebagai respon admin pada suatu kondisi tertentu. Hal ini menimbulkan satu kelemahan yaitu ketergantungan sistem SMS pada database. Apabila database down, maka sistem SMS tidak akan dapat berfungsi sama sekali.
Hal ini diatasi dengan membuat prosedur emergency atau darurat pada program sistem SMS. Prosedur ini berguna untuk menjaga ketersediaan akses admin pada sistem melalui SMS walaupun database tidak berfungsi. Pada implementasinya, program dirancang untuk dapat mengeksekusi perintah berupa full syntax yang dikirimkan admin melalui SMS. Selain itu, untuk mempermudah, singakatan dari berbagai sintaks dapat langsung dimasukkan dalam source code program SMS atau diambil dari file lain dalam sistem.
Untuk implementasi sistem SMS ini dibutuhkan sistem dengan spesifikasi sebagai berikut :
- Linux kernel 2.4.xx
- Library dan header SMS
- Ponsel + SIM card
- Kabel data yang menghubungkan ponsel dengan host melalu port serial
Database MySQL
Perancangan Sistem Terintegrasi Serta Interaksinya Dengan User
Keseluruhan sistem diatas diintegrasikan dalam sebuah sistem yang dibangun pada platform yang disesuaikan dengan kondisi sistem yang ada, baik itu sistem operasi, konfigurasi jaringan maupun policy jaringan yang telah ditentukan.
Server berada pada Internal Network dan diinstalasikan berbagai macam aplikasi server seperti server web, mail, FTP, SMB. Server ini yang nanti akan dijadikan sasaran serangan oleh attacker.
Untuk menghubungkan dua subnet ini digunakan sebuah PC Router berbasis Linux. Pada router inilah instalasi seluruh sistem firewall otomatis dilakukan. Routing yang digunakan adalah routing statis.
Server berada pada Internal Network dan menggunakan IP address 10.14.233.2 dengan subnet mask kelas C (255.255.255.0). Server ini diinstalasikan berbagai macam aplikasi server seperti server web, mail, FTP, SMB. Server ini yang nanti akan dijadikan sasaran serangan oleh attacker.
Untuk menghubungkan dua subnet ini digunakan sebuah PC Router berbasis Linux. Router ini mempunya 2 buah interface ethernet dengan konfigurasi IP address 10.14.231.196 untuk jaringan eksternal ( eth0 ) dan 10.14.233.1 untuk jaringan internal ( eth1 ). Pada router inilah instalasi seluruh sistem firewall otomatis dilakukan. Hal ini dilakukan untuk mengamati performa router dengan beban penuh dari sistem firewall otomatis. Routing yang digunakan adalah routing statis.
Pada jaringan eksternal, terdapat dua host yang bertindak sebagai client dan sebagai penyerang. Client berfungsi sebagai titik pengamatan router sekaligus sebagai titik pengirim flooding data yang digunakan sebagai simulasi trafik data antara client dengan server. IP address yang digunakan adalah 10.14.231.123 dengan subnet mask kelas C. Sistem operasi yang digunakan adalah Linux dengan program pengakses layanan yang disediakan server terinstalasi di dalamnya. Sedangkan untuk host yang berfungsi sebagai penyerang (attacker), digunakan sebuah PC dengan sistem operasi Linux. IP address yang digunakan adalah 10.14.231.197 dengan subnet mask kelas C. Host ini diinstalasi berbagai program penyerang server seperti exploit, scanner dan ping flooder. Selain itu dibuat pula berbagai script serangan yang memungkinkan serangan dilakukan dari berbagai IP address baik secara acak maupun sekuensial.
IV. HASIL PENGUJIAN
Trafik TCP
Dari log data didapatkan angka sebagai berikut.
· Pada saat firewall tidak aktif :
· Pada saat firewall aktif :
Angka di atas menunjukkan bahwa ketika firewall diaktifkan, troughput sistem menurun + 0,02 Mbps. Hal ini disebabkan oleh adanya proses pemeriksaan paket ketika paket melalui sistem firewall. Penurunan yang hanya sebesar + 0,02 Mbps ini menunjukkan bahwa untuk trafik TCP, firewall dapat bekerja dengan cukup efisien tanpa mengurangi performa routing paket dari router.
Trafik UDP
Tabel 5.1. Perbandingan Troughput Trafik UDP
Kecepatan Transfer | Troughput | Selisih | % thd BW Max | |
Tanpa Firewall | Dengan Firewall | |||
| | | | |
500 Kbps | 505,97 Kbps | 499,67 Kbps | 6,3 Kbps | 0.063 % |
4 Mbps | 3,9934 Mbps | 3,9932 Mbps | 0,0002 Mbps | 0.002 % |
8 Mbps | 7,913 Mbps | 7,797 Mbps | 0,116 Mbps | 1.16 % |
Dari tabel hasil perhitungan di atas dapat dilihat bahwa penggunaan firewall menurunkan nilai troughput trafik UDP pada router. Nilai tertinggi penurunan troughput akibat penggunaan firewall adalah 1,16 % dari bandwidth maksimum jaringan (10 Mbps) ketika dikirimkan trafik UDP berkecepatan 8 Mbps. Penurunan nilai troughput yang diakibatkan oleh proses pengecekan paket oleh firewall ini masih dapat diterima oleh kebanyakan aplikasi UDP yang ada saat ini.
Tabel 5.2 Perbandingan Jitter Trafik UDP
Kecepatan Transfer | Jitter ( ms ) | Selisih ( ms ) | |
Tanpa Firewall | Dengan Firewall | ||
| | | |
500 Kbps | 0,113 | 0,125 | 0,012 |
4 Mbps | 0,056 | 0,049 | 0,007 |
8 Mbps | 0,663 | 0,036 | 0,627 |
Dari tabel di atas terlihat nilai dan sifat yang tidak konsisten, terutama pada percobaan pada kepadatan trafik tinggi (8 Mbps). Hal ini dimungkinkan oleh karena buffer tidak mampu menampung paket-paket yang datang pada saat trafik padat. Ketika firewall diaktifkan dan troughput menurun, proses buffering berjalan lebih baik dari sebelumnya. Meskipun demikian pada trafik berkapasitas rendah dan sedang menunjukkan adanya kenaikan nilai jitter akibat delay proses tambahan dari firewall. Walaupun nilainya sangat kecil yaitu 0,012 ms dan 0,007 ms. Kenaikan jitter sekecil itu tidak akan terlalu dirasa signifikan oleh pengguna layanan. Hal ini menunjukkan bahwa pemasangan firewall pada router tidak berpengaruh besar pada nilai jitter trafik. Sedangkan yang lebih berpengaruh adalah kapasitas dan proses handling buffer dari router dan penerima paket.
Packet Loss
Grafik hasil pengujian pengaruh pemasangan firewall pada nilai packet loss tidak ditampilkan. Dari grafik yang ada tidak dapat dilihat dengan jelas nilai packet loss dari setiap pengujian karena nilai packet loss yang keluar dari setiap pengujian umumnya bernilai 0 %. Hanya pada beberapa detik pengujian packet loss terjadi. Packet loss yang terjadi pun nilainya sangat kecil. Nilai packet loss yang didapat dari log pengujian dapat dilihat pada tabel berikut.
Tabel 5.3 Perbandingan Packet Loss Trafik UDP
Kecepatan Transfer | Packet Loss ( % ) | Selisih ( % ) | |
Tanpa Firewall | Dengan Firewall | ||
| | | |
500 Kbps | 0,012 | 0.00091 | 0,01109 |
4 Mbps | 0 | 0 | 0 |
8 Mbps | 0.00088 | 0.0083 | 0,00742 |
Angka-angka packet loss dari tabel di atas juga menunjukkan inkonsistensi nilai dan sifat sebagaimana ditunjukkan oleh nilai jitter pada tabel 4.2. Nilai packet loss yang sangat kecil bahkan 0 % pada kecepatan transfer 4 Mbps menunjukkan bahwa pemasangan firewall tidak mempengaruhi nilai packet loss yang terjadi pada paket yang melewati router.
Analisa Beban CPU dan Memory
Host uji yang berfungsi sebagai router tanpa firewall otomatis secara konstan menggunakan kurang dari 1% dari sumber daya CPU ( prosesor ) yang ada. Lonjakan-lonjakan yang ada terjadi ketika routing daemon melakukan update tabel routing atau menangani paket-paket yang besar. Selebihnya sumber daya CPU hanya idle pada titik tertentu sesuai dengan jenis serta kecepatan prosesor yang digunakan. Sedangkan untuk penggunaan sumber daya memory (RAM) pada host uji, dapat dilihat bahwa secara konstan memory yang terpakai sebesar + 28000 Kbyte.
Host uji yang telah dipasang firewall otomatis menggunakan + 19 % sumber daya CPU secara konstan. Hal ini menunjukkan bahwa proses yang terjadi akibat pemasangan firewall memakan cukup banyak sumber daya CPU. Hal ini disebabkan oleh penggunaan database sebagai sub sistem yang digunakan oleh seluruh subsistem yang lain secara aktif. Proses query database serta pattern matching oleh modul analisa IDS adalah proses yang membutuhkan sumber daya CPU. Karena proses pemeriksaan paket dilakukan dalam loop yang sangat cepat (setiap 10 ms), maka wajar jika kenaikan beban CPU tercatat hingga 18 %. Akan tetapi nilai beban yang konstan menunjukkan bahwa firewall dapat bekerja terus-menerus dalam waktu yang cukup lama.
Adapun penggunaan sumber daya memory pada host uji setelah dipasang firewall adalah konstan sebesar + 56000 Kbyte. Terdapat kenaikan beban sebesar + 28000 Kbyte. Hal ini menunjukkan bahwa sistem firewall otomatis ini dapat mengalokasikan memory sesuai kebutuhan secara konstan dan mampu melakukan memory paging dan refresh secara optimal. Hal ini juga menunjukkan bahwa program firewall otomatis ini mampu berfungsi dengan baik secara terus-menerus dalam jangka waktu yang cukup lama. Selain itu hal ini juga menunjukkan kemampuan sistem ini untuk diimplementasikan pada PC router dengan spesifikasi hardware yang relatif rendah, misalnya Pentium 166, RAM 64 Mbyte.
Analisa Akurasi Deteksi
Seluruh IP address yang digunakan untuk menyerang dapat terdeteksi dengan baik. Demikian juga dengan deteksi jenis serangan yang digunakan terdeteksi dengan benar. Pada gambar 4.22 tercatat alert dari 100 source IP address, sedangkan distribusi serangan adalah 96 % serangan menggunakan paket TCP dan 4 % menggunakan paket ICMP. Log sistem di atas menunjukkan bahwa sistem memiliki akurasi yang cukup tinggi dalam mendeteksi serangan walaupun serangan dilakukan secara simultan dan beruntun.
V. KESIMPULAN
1. Sistem deteksi penyusupan jaringan memiliki dampak terhadap performansi jaringan yaitu penurunan nilai troughput trafik yang melalui sistem tersebut
2. Penurunan nilai troughput trafik akibat sistem deteksi penyusupan jaringan relatif rendah dan tidak terlalu mengganggu performa sistem
3. Sistem deteksi penyusupan jaringan tidak memiliki dampak terhadap nilai jitter dan packet loss dari trafik yang melalui sistem tersebut
4. Beban CPU dan memory yang timbul akibat sistem deteksi penyusupan jaringan relatif stabil dan cukup kecil sehingga dapat diimplementasikan pada PC router berspesifikasi rendah
5. Sistem deteksi penyusupan jaringan ini mampu bekerja secara stabil secara terus-menerus dalam waktu yang relatif lama
6. Sistem interaktif berupa SMS memberikan administrator informasi terkini tentang kondisi sistem serta memungkinkan administrator merespon secara langsung
DAFTAR PUSTAKA
[1]. S. Kent.,R.Atkinson., Security Architecture for the Internet Protocol,RFC 2401, November 1998.
[2]. S. Kent., R. Atkinson., IP Authentication Header, RFC 2402, November 1998.
[3]. Purbo, Onno W., Wiharjito, Tony., Keamanan Jaringan Internet, Elex Media Komputindo, 2000
[4]. Purbo, Onno W., TCP/IP : Standar, Desain, dan Implementasi., Elex Media Komputindo, 1998
[5]. Jon Postel, Internet Protocol , RFC 791, September 1981
[6]. Jon Postel, Transmission control Protocol, RFC 793, September 1981.
[7]. Stalling,W.Data&Computer ommunications, Prentice Hall Internasional
[8]. L_ Ziegler, Robert, Linux Firewalls, November, 1999
[9]. Chapman , D. Brent. Network (In)Security Through IP Packet Filtering September, 1992
[10]. Grennan, Mark. Firewalling and Proxy Server HOWTO.
[11]. Wack, John. Packet Filtering Firewall.
[12]. Gerhard, Mourani. Securing and Optimizing Linux : Red Hat Edition, june 2000
[13]. Mann, Scott and L . Mitchell, Ellen. Linux System Security
0 komentar:
Posting Komentar