IMPLEMENTASI INTRUSION PREVENTION SYSTEM DALAM JARINGAN MENGGUNAKAN SURICATA PADA OS UBUNTU
PROPOSAL PROYEK AKHIR
Penulis Khaireza Alfin Hermawan NIM 30209190
PROGRAM STUDI TEKNIK KOMPUTER JURUSAN TEKNOLOGI INFORMASI POLITEKNIK TELKOM BANDUNG 2012
1.
Latar Belakang Sistem keamanan jaringan dalam dekade terakhir semakin berkembang
dengan pesat, terlepas dari itu internet tetap menjadi lingkungan yang kurang bersahabat untuk sistem jaringan komputer kita. Dalam hal ini keamanan jaringan komputer telah menjadi salah satu bagian yang sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Sebuah jaringan harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindahan oleh pihak yang tidak berhak. Sistem pendeteksi jaringan yang ada saat ini umumnya mampu mendeteksi berbagai jenis serangan tetapi masih belum mampu mengambil tindakan lebih lanjut. Dibutuhkan sebuah sistem yang mampu menanggulangi ancaman yang mungkin terjadi secara optimal dalam waktu yang cepat dan otomatis.
Terdapat beraneka macam jenis dan teknik intrusi yang mengganggu jaringan komputer, seperti, Port Scanning, Trojan Horse, Network Flooding, Denial of Service, Packet Interception, dan lain sebagainya. Dalam penanggulannya ada 2 jenis penanggulangan intrusi yang bisa digunakan oleh seorang Sistem Administrator, yaitu Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS). Suricata adalah sebuah perangkat lunak berbasis aturan mesin ID/PS yang memanfaatkan aturan yang dikembangkan untuk memonitor lalu lintas jaringan dan memberikan peringatan kepada Sistem Administrator ketiga terdapat aktivitas yang mencurigakan. [1]
Dalam proposal akan digunakan jenis Intrusion Prevention System (IPS) sebagai sistem yang akan diterapkan. Intrusion Prevention System (IPS), dikenal juga sebagai Intrusion Detection Prevention System (IDPS), adalah peralatan keamanan jaringan yang memonitor jaringan dan/atau kegiatan sistem dari aktivitas yang berbahaya. Selain itu IPS dapat secara aktif mencegah gangguan yang terdeteksi. Oleh karena itu, diharapkan dari penggunaan sistem Intrusion Prevention System (IPS) tersebut dapat mencegah gangguan yang terdeteksi didalam jaringan.
1
2.
Rumusan Masalah Berdasarkan uraian sebelumnya maka permasalahan yang ingin dirumuskan yaitu : 1.
Bagaimana cara mengimplementasi Suricata ke dalam sebuah jaringan?
2.
Bagaimana cara kerja Suricata dalam melindungi suatu jaringan dari serangan?
3.
Bagaimana teknik IPS bekerja dalam mengamankan suatu jaringan dari sebuah serangan?
3.
Tujuan 1. Melakukan implementasi Suricata ke dalam sebuah jaringan. 2. Melakukan deteksi serangan serta perlindungan terhadap gangguan yang terjadi pada jaringan. 3. Menggunakan teknik pengamanan IPS dengan cara Network-based dan Host-based.
4.
Batasan Masalah Untuk menghindari meluasnya pokok pembahasan, maka pengerjaan proyek akhir ini terbatas pada :
1. Hanya menggunakan 2 tipe IPS, yaitu Network-based dan Host-based. 2. Media jaringan yang digunakan berupa Wireline. 3. Strategi pengendaliannya secara terpusat. 4. Jaringan yang diuji berjalan pada jaringan intranet. 5. Sistem Operasi yang digunakan adalah Linux Ubuntu 10.04. 6. Menggunakan IP-Address versi 4 dalam pengimplementasiannya. 7. Pengujian serangan dilakukan hanya dari luar jaringan. 8. Serangan yang akan digunakan dalam pengujian ditentukan dan terbatas.
2
5.
Definisi Operasional
Intrusion Detection System (IDS) dapat didefinisikan sebagai tool, metode ataupun sumber daya yang memberikan bantuan untuk melakukan
identifikasi,
memberikan
laporan
terhadap
jaringan
komputer.
Intrusion Prevention System (IPS), juga dikenal sebagai Intrusion Detection Prevention System (IDPS), yaitu sebuah perangkat keamanan jaringan yang berfungsi untuk memonitor jaringan dan/atau kegiatan system dari sebuah aktivitas yang berbahaya. Selain itu IPS dapat secara aktif mencegah/memblokir gangguan yang terdeteksi.
Deteksi penyusup adalah aktivitas untuk mendeteksi penyusup secara cepat dengan menggunakan program khusus yang otomatis dan real time respons.
Internet Protocol (IP) adalah standar protokol sehingga jaringan internet dapat terhubung antara satu dengan lainnya. Jaringan internet akan memiliki kemampuan untuk menghubungkan antara pengguna sehingga mampu dan lancar berkomunikasi lewat internet.
Web Server adalah sebuah perangkat lunak server yang berfungsi menerima permintaan HTTP atau HTTPS dari klien yang dikenal dengan web browser dan mengirimkan kembali hasilnya dalam bentuk halamanhalaman web yang umumnya berbentuk dokumen HTML.
Node merupakan perangkat komputer yang terhubung ke jaringan yang disebut Host atau End System.
3
6.
Metode Pengerjaan Dalam melakukan penelitian terhadap teknik monitoring dan pengamanan menggunakan IPS Suricata, metode terstruktur ini memiliki tahapan : 6.1
Analisis Kebutuhan Tahap ini mencari beberapa referensi kebutuhan sistem yang digunakan untuk menunjang pengembangan sistem yang akan dibuat. Referensi yang digunakan antara lain bersumber dari buku-buku, artikel, sumber dari internet, serta sumber-sumber lain yang berhubungan dengan pengembangan yang dilakukan.
6.2
Desain
Gambar 6.2 Topologi Jaringan
4
6.3
Pengujian Dalam langkah ini akan dilakukan pengujian dengan cara melakukan serangan terhadap jaringan yang telah di pasang perangkat lunak Suricata tersebut. Tahap pengujiannya dengan cara melakukan beberapa teknik serangan seperti Scanning, Exploit, Sniffing, dan Malicious Code untuk menguji apakah berbagai macam serangan tersebut dapat di deteksi dan di atasi oleh perangkat lunak Suricata tersebut.
7.
Jadwal Pengerjaan Tabel 1.1 Jadwal Kegiatan Penelitian Bulan
No
Kegiatan
Maret 1 2
1.
Studi Analisis
2.
Perancangan
3 4 1
April 2 3
Mei 4
1 2 3
Juni 4
Juli
1 2 3 4 1 2 3
Sistem 3.
Implementasi
4.
Pengujian
5.
Dokumentasi
5
4
8.
Tinjauan Pustaka 8.1
Intrusion Detection System (IDS) Intrusion Detection System (IDS) adalah sebuah sistem yang melakukan
pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatankegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol).
Gambar 8.1 Intrusion Detection System (IDS) Istilah Intrusion Detection System merupakan visi dari suatu alat yang diletakkan pada perimeter jaringan untuk memberitahu akan adanya penyusup. IDS juga mempunyai peran penting untuk mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan melindungi akses jaringan internal sebagai tambahan dari perimeter defence. Banyak dari fungsi jaringan internal yang bisa dimonitor demi keamanan yang maksimal. [3]
6
Terdapat 2 jenis Intrusion Detection System (IDS), yakni: 1. Network-based Intrusion Detection System (NIDS), yaitu semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam system jaringan. Kelemahan dari NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet,
meskipun
beberapa
vendor
switch
Ethernet
telah
menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
2. Host-based Intrusion Detection System (HIDS), Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. 8.2
Intrusion Prevention System (IPS) Intrusion Prevention System (IPS), juga dikenal sebagai sistem deteksi
intrusi dan pencegahan merupakan peralatan pengamanan jaringan yang bekerja memonitor kegiatan pada suatu jaringan dari aktivitas yang mengancam kegiatan sebuah jaringan. Intrusion Prevention System dianggap sebagai pengembangan dari Intrusion Detection System, keduanya bekerja untuk memonitor lalu lintas jaringan dari aktivitas yang membahayakan jaringan. Tidak seperti IDS, karena IPS mampu mencegah serangan yang datang dengan bantuan administrator secara minimal atau bahkan tidak sama sekali. Secara logic IPS akan menghalangi suatu serangan sebelum terjadi eksekusi pada memori.
7
Gambar 8.2 Standar Proses IPS [2] Terdapat 4 jenis Intrusion Prevention System (IPS), yakni: 1. Network-based Intrution Prevention System, memiliki fungsi yaitu untuk memantau seluruh jaringan dari lalu lintas yang mencurigakan dengan menganalisis aktivitas protocol. 2. Wireless Intrusion Prevention System, memiliki fungsi yaitu untuk memonitor jaringan nirkabel dari lalu lintas yang mencurigakan dengan menganalisa protocol dari jaringan nirkabel. 3. Network Behavior Analysis (NBA), memerikasa lalu lintas jaringan untuk mengidentidikasi ancaman yang menghasilkan arus lalu lintas yang tidak biasa, seperti Distributed Denial of Service attacks, beberapa bentuk malware, dan pelanggaran kebijakan.
8
4. Host-based Intrusion Prevention System, yaitu perangkat lunak yang di install
untuk
memonitor
sebuah
host
untuk
kegiatan
yang
mencurigakan dengan menganalisis peristiwa yang terjadi di dalam host tersebut.
Tabel 1.2 Perbandingan antara IDS dan IPS IDS
IPS
Install pada segmen jaringan (NIDS) Install pada segmen jaringan (NIPS) dan pada host (HIDS)
dan pada host (HIPS)
Berada pada jaringan sebagai sistem
Berada
yang pasif
sistem yang aktif
Tidak bisa menguraikan lalu lintas Lebih
pada
baik
jaringan
untuk
sebagai
melindungi
enkripsi
aplikasi
Managemen kontrol terpusat
Managemen kontrol terpusat
Baik untuk mendeteksi serangan
Ideal untuk membloking perusakan web
Alerting (reaktif)
8.3
Blocking (proaktif)
Linux Ubuntu
Ubuntu adalah salah satu proyek andalan Debian. Sasaran awal Ubuntu adalah menciptakan desktop Linux yang mudah dipakai. Ubuntu terdiri dari banyak paket, kebanyakan berasal dari distribusi di bawah lisensi software bebas. Namun, ada beberapa software khususnya driver menggunakan Proprietary software [4], disebut juga sebagai perangkat lunak berpemilik yaitu perangkat lunak dengan pembatasan terhadap penggunaan, penyalinan, dan modifikasi yang diterapkan oleh proprietor atau pemegang hak.
9
Operasi Sistem ini berfokus pada ketersediaan kegunaan pada orang disfungsi, keamanan dan stabilitas. Dalam hal keamanan, perangkat sudo dapat meningkatkan privilage secara sementara untuk melakukan tugas administratif, sehingga akun root dapat terus terkunci, dan mencegah orang tidak terauthorisasi melakukan perubahan sistem atau membuka kelemahan keamanan. 8.4
Engine Suricata sebagai IDS/IPS jaringan
Engine Suricata merupakan salah satu perangkat lunak pendeteksi dan pencegah intrusi (Intrusion Detection and Prevention System) open source yang merupakan generasi berikutnya dari perangkat perangkat IDS/IPS yang ada saat ini yang tidak sekedar dimaksudkan untuk hanya menggantikan atau meniru perangkat perangkat yang ada di industri, tetapi akan membawa ideide dan teknologi baru. [3]
9.
Analisis Kebutuhan Sistem 9.1
Perangkat Keras yang digunakan
1. 6 Buah Laptop (1 buah digunakan sebagai IPS, 2 buah digunakan untuk sebagai Host, 1 buah digunakan sebagai Attacker, 1 buah digunakan sebagai PC Router dan 1 buah digunakan sebagai Web Server). 2. Kabel UTP 3. Switch
10
9.2 No.
Perangkat Lunak yang digunakan Perangkat
Versi
Deskripsi
Lunak 1.
Linux
10.04
Ubuntu 2.
Suricata
Operasi sistem yang akan digunakan dalam sistem pendeteksi serangan.
1.0.1
Aplikasi yang akan digunakan dalam melakukan deteksi dan perlindungan serangan.
3.
Nmap
6.00
Aplikasi yang akan digunakan untuk melakukan eksplorasi jaringan target.
4.
Wireshark
1.4.1
Aplikasi yang akan digunakan untuk melakukan sniffing terhadap jaringan target.
5.
Metasploit
4.3
Aplikasi yang akan digunakan untuk melakukan eksploitasi terhadap komputer target.
6.
Optix Pro
1.3.3
Trojan
Aplikasi yang akan digunakan untuk membuat Trojan yang akan disisipkan ke komputer target.
7.
Cain & Abel
4.9.40
Aplikasi yang akan digunakan untuk melakukan serangan sniffing password ke komputer target.
11
10. Skenario Pengujian
Gambar 10.1 Alur Kerja Suricata [1]
Packet acquisition
: Membaca paket-paket dari jaringan.
Decode
: Men-decode paket.
Stream app. Layer
: Melakukan stream-tracking dan reassembly.
Detect
: Melakukan pencocokan signatures dengan database.
Outputs
: Memproses semua kejadian dan memberikan peringatan.
Langkah Pertama, admin akan melakukan konfigurasi dan mengaktifkan aplikasi Suricata. Lalu dari sisi Attacker akan memulai pengujian dengan melakukan serangan dengan menggunakan tools yang sudah disediakan. Attacker akan melakukan pengujian serangan terhadap jaringan maupun host yang sudah di lindungi oleh aplikasi Suricata tersebut.
Saat aplikasi Suricata mulai di aktifkan, akan langsung melakukan packet acquisition yaitu akan membaca paket yang ada didalam jaringan. Dari paket yang yang terbaca, akan dilakukan decode atau dilakukan pemecahan paket kemudian melakukan stream-tracking yaitu pengecekan aliran koneksi dan penyusunan kembali paket agar dapat dikenali oleh Suricata.
12
Setelah dilakukan pemecahan paket, maka disitu akan dilakukan signature matching terhadap database dari rules yang tersedia dalam aplikasi Suricata apakah terdapat paket yang dianggap sebagai ancaman. Dalam Suricata peran dari signature sendiri sangatlah penting, disini akan dilakukan pencocokan dengan rulesets yang ada.
Gambar 10.2 Rules dalam Suricata [3]
Penanggulangan terhadap serangan yang dilakukan oleh Attacker akan dilakukan pencocokan pada rules yang sesuai berdasarkan jenis serangan yang terjadi itu sendiri.
13
Serangan yang akan dilakukan:
1.
Attacker yang sudah terkoneksi ke jaringan akan melakukan melakukan Port Scanning menggunakan tools Nmap terhadap host ataupun Web Server yang terletak di jaringan lain. Setelah dilakukan proses scanning disitu akan di dapat port yang terbuka untuk dilakukan serangan yang selanjutnya.
2.
Dalam pengujian serangan yang lain akan digunakan jenis serangan exploit dimana akan digunakan tools Metasploit dalam membantu proses penyerangan. Setelah kita dapatkan IP Address dan Port target, lalu kita gunakan sebagai langkah untuk melakukan akses terhadap komputer target. Setelah berhasil masuk kita dapat melakukan eksploitasi terhadap komputer target seperti mengeksekusi command di system korban, mengupload ataupun mendownload file pada komputer korban dan lain sebagainnya.
3.
Untuk pengujian jenis serangan yang lain yaitu sniffing, disini akan dicoba untuk melakukan Password Sniffing terhadap host maupun Web Server yang sedang melakukan koneksi. Saat target melakukan proses autentikasi password, Attacker mulai melakukan sniffing menggunakan tools Wireshark ataupun Cain untuk mendengarkan informasi dan mendapatkan password target.
4.
Saat berhasil masuk ke dalam komputer target, disini akan di lakukan pengujian menggunakan serangan Malicious Code dimana pada komputer target akan di sisipkan Trojan yang dapat mengganggu kerja dari komputer target.
Suricata akan melakukan deteksi ancaman yang terjadi dengan cara Signature Matching terhadap rules yang tersedia pada direktori Suricata dan akan ditentukan respon yang akan diberikan sesuai dengan aturan yang telah ditetapkan, apakah paket yang terdeteksi tersebut akan di berikan tindakan Pass, Drop, Reject, ataupun Alert.
14
Setiap kegiatan yang terjadi dalam jaringan, Suricata akan merekam kegiatan tersebut dan menyimpan kedalam sebuah log. Admin dapat memantau seluruh kegiatan yang terjadi melalui log yang terekam tersebut.
Gambar 10.3 Contoh Log dalam Suricata [3]
Suricata akan menyimpan file semua rekaman peringatan dan kegiatan pada sebuah direktori /var/log/suricata. File yang disimpan dalam default-logdir/var/log/suricata, dapat dibuka oleh setiap program yang mendukung format file pcap. Hal ini dapat dilakukan oleh aplikasi Wireshark, TCPdump, Suricata, Snort dan banyak lainnya. [5]
15
11. Daftar Pustaka
[1]
https://redmine.openinfosecfoundation.org/projects/suricata /wiki/What_is_Suricata. [Online]. Diakses 12 April 2012 pk.17.07.
[2]
Ariyus, M.Kom, Dony. 2007. Intrusion Detection System. Yogyakarta: Penerbit Andi Yogyakarta.
[3]
Saptono, Henry. 2012. Deteksi dan mencegah intrusi pada jaringan dengan Suricata. [Online]. Tersedia:
http://overflow.web.id/source/IDS-dengan-Suricata.
Diakses 14 Februari 2012 pk.10.00. [4]
http://id.wikipedia.org/wiki/Ubuntu. [Online]. Diakses 10 April 2012 pk.11.37.
[5]
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/ Suricatayaml [Online]. Diakses 11 Juni 2012 pk.14.59.
16
12. Daftar Gambar
[1]
https://redmine.openinfosecfoundation.org/projects/suricata/wiki/ Suricatayaml [Online]. Diakses 11 Juni 2012 pk.14.59.
[2]
Ariyus, M.Kom, Dony. 2007. Intrusion Detection System. Yogyakarta: Penerbit Andi Yogyakarta.
[3]
Saptono, Henry. 2012. Deteksi dan mencegah intrusi pada jaringan dengan Suricata. [Online]. Tersedia:
http://overflow.web.id/source/IDS-dengan-Suricata.
Diakses 11 Juni 2012 pk.14.59.
17
