Fragmented Packets - Contoh Serangan - Membandingkan kemampuan deteksi Intrusion Detection Syst

2.10. Contoh Serangan

2.10.8. Fragmented Packets

Fragmented packets merupakan variasi dari fragmented payloadsyang dikirim ke server untuk menguji kemampuan untuk menyusun ulang dan mendeteksinya. Dari paket yang dikirim tadi ada kemungkinan paket tersebut berisi suatu perintah atau file yang berbahaya. 2.10.9.Normal Usage

Merupakan suatu paket yang dikirimkan melalui jaringan seusai penggunaan normal dari pengguna.

36 2.10.10.Pcap Replay

Pcap Replay adalah untuk menguji kemampuan IDS yang memungkinkan untuk menyusun dan memutar ulang file pcap yang diterima. Pada file pcap bisa terdapat suatu bahaya yang dapat membahayakan si penerima.

37 BAB III PERANCANGAN 3.1. Perencanaan Awal

Sebelum melakukan pengujian, ada beberapa hal yang diperlukan dalam mendukung kegiatan pengujian. Kegiatan pendukung tersebut antara lain adalah pemilihan topologi jaringan, pemilihan IDS yang akan diuji, dan tool yang digunakan untuk melakukan pengujian.

Pengujian menggunakan sebuah komputer sebagai client, sebuah komputer sebagai IDS yang akan diuji, dan sebuah web-server. Komputer client, IDS, dan web-serverakan terhubung oleh sebuah jaringan. Masing – masing memiliki spesifikasi seperti pada tabel berikut :

Tabel 3.1. Spesifikasi client, server, dan web-server

SPESIFIKASI IDS Client WEB-SERVER

Random Access Memory (RAM)

4 GB 2 GB 2 GB

Processors AMD A10- 5800K

Intel Core i5- 460M

Intel Core 2solo

Harddisk 500 GB 640 GB 320 GB Operating System (OS) Ubuntu 14.04

LTS

Ubuntu 14.04 LTS

Ubuntu 12.04 LTS

38 Aplikasi penguji akan diinstal pada komputer client, pada komputer IDS akan diinstal IDS yang akan diuji yaitu Snort dan Suricata, dan pada komputer web-server hanya akan menjalankan layanan web dan menyediakan file yang diperlukan dalam proses pengujian.

3.2. Topologi Jaringan

Topologi jaringan yang akan digunakan dalam pengujian ini menggunakan topologi star. Komputer client, IDS, dan web-server akan terhubung dengan sebuah switch karena keterbatasan NIC pada perangkat. Untuk menghubungkan komputer client, IDS, dan web-server ke switch menggunakan kabel tipe straight. Topologi jaringan yang digunakan dibagi menjadi dua topologi. Topologi jaringan saat instalasi dan mengunduh file rules terbaru dan topologi jaringan saat dilakukannya pengujian. Gambar topologi jaringan yang digunakan adalah sebagai berikut :

39 Internet

Web Server SWITCH Client

Pytbull

192.168.0.10/24 192.168.0.100/24

IDS Snort/Suricata 192.168.0.101/24

Gambar 3.1 Topologi Jaringan Instalasi Awal

Web Server SWITCH Client

Pytbull

192.168.0.10/24 192.168.0.100/24 IDS

Snort/Suricata 192.168.0.101/24

Gambar 3.2Topologi Jaringan Pengujian

Pada komputer client, IDS, dan web-server diberi alamat IP statis. Client menggunakan alamat IP 192.168.0.100 dengan subnet 255.255.255.0. IDS menggunakan alamat IP 192.168.0.101 dengan subnet 255.255.255.0. Web-server menggunakan alamat IP 192.168.0.10 dengan subnet 255.255.255.0. perintah PING dilakukan antar komputer untuk mengetahui jaringan sudah terhubung.

40 Pada topologi jaringan yang digunakan untuk melakukan pengujian, sambungan internet pada switch diputus. Diputusnya sambungan dengan internet ini dimaksudkan agar lingkungan pengujian terisolasi dari berbagai lalu lintas jaringan yang berhubungan dengan internet dan dapat mempengaruhi kapasitas lalu lintas jaringan.

3.3. Rancangan IDS

Spesifikasi komputer yang digunakan untuk IDS seperti pada tabel berikut. Tabel 3.2Tabel spesifikasi komputer IDS

Processors AMD A10-5800K @ 3.8GHz x4

RAM 4 GB DDR3

NIC 1 Gigabit Ethernet

HDD 500 GB Seagate

Sistem Operasi Ubuntu 14.04 LTS

Pada komputer IDS, dibuat dua partisi Linux Ubuntu yang dibuat sama persis dengan besar partisi sebesar 50GB untuk masing – masing partisi dan memiliki kondisi awal yang sama untuk kedua partisi. Dengan dibuatnya dua partisi dengan kondisi yang sama dimaksudkan agar masing – masing IDS yang nantinya akan diinstal tidak saling mengganggu kinerja IDS satu dengan lainnya. Kedua partisi linux tersebut akan diinstal system operasi Ubuntu 14.04 LTS. Pada salah satu partisi tersebut akan diinstal IDS Snort sedangkan pada partisi lainnya akan diinstal IDS Suricata. Masing – masing IDS akan menggunakan file

41 konfigurasi default dengan melakukan penyesuaian pada bagian rules yang akan digunakan agar dapat membaca file rules yang telah ditentukan.

3.4. Client

Spesifikasi komputer yang digunakan untuk client seperti pada tabel berikut.

Tabel 3.3Tabel Spesifikasi Client

Processor Intel Core i5-460M @ 2.53GHz x4 RAM 4 GB DDR3 SoDIMM

NIC 1 Gigabit Ethernet HDD 640 GB WD Blue

27 GB EXT4 file system 1 GB swap

Sistem operasi Ubuntu 14.04 LTS

Pada komputer client, akan diinstal aplikasi Pytbull yang digunaknan untuk melakukan pengujian terhadap IDS.

42 3.5. Web-Server

Web-server yang digunakan adalah apache2 yang akan terinstall pada komputer dengan spesifikasi sebagai berikut :

Tabel 3.4Tabel Spesifikasi web server Processors Intel Core2solo RAM 2 GB DDR3 SoDIMM NIC 1 Gigabit Ethernet HDD 320 GB WD Blue

27 GB EXT4 file system 1 GB swap

Sistem Operasi Ubuntu 12.04 32-bit

Pada web-server berisi file – file berbahaya yang dibutuhkan untuk melakukan pengujian pada IDS. File – file berbahaya ini akan digunakan untuk melakukan pengujian.

3.6. Skenario Pengujian

Skenario pengujian yang akan dilakukan dibagi menjadi empat skenario. Skenario pengujian yang akan dijalankan adalah sebagai berikut :

43 1. Skenario pertama

Pengujian terhadap kemampuan IDS dalam mendeteksi serangan testRules, BruteForce, evasion Techniques, dan Shellcodes dengan menggunakan rules awal atau bawaan dari IDS pada saat diinstal pertama kali (fresh install).

2. Skenario kedua

Pengujian terhadap kemampuan IDS dalam mendeteksi serangan client side attacks, test rules, bad traffic, fragmented packets evasion techniques, brute force, denial of service, pcap replay, normal usage, dan shell codes.dengan menggunakan rules yang telah diperbaharui secara manual dan menggunakan rules asli yang belum dilakukan perubahan sama sekali (file rules diekstrak untuk kemudian langsung digunakan). Snort menggunakan rules dari http://snort.orgsedangkan Suricata menggunakan rules dari http://rules.emergingthreats.net/open . 3. Skenario tiga

Pengujian terhadap kemampuan IDS dalam mendeteksi serangan client side attacks, test rules, bad traffic, fragmented packets evasion techniques, brute force, denial of service, pcap replay, normal usage, dan shell codes dengan menggunakan rules yang diunduh menggunakan tools Oinkmaster. Dengan menggunakan Oinkmaster ini file rules yang diunduh dengan menjalankan perintah sebagai berikut :

44 #oinkmaster –C /etc/oinkmaster.conf –r –e –o <lokasi rules pada Snort dan Suricata>

Rules yang digunakan oleh Snort berasal dari http://www.snort.orgsedangkan rules yang digunakan oleh Suricata berasal dari http://rules.emergingthreats.net/open.

Pengujian yang dilakukan adalah dengan menjalankan pytbull dengan mengaktifkan sebelas modul pengujian pada setiap skenario. Masing – masing modul pengujian memiliki jumlah serangan sebagai berikut :

Tabel 3.5Tabel jumlah serangan setiap modul Modul Jumlah Serangan

clientSide 50 testRules 7 badTraffic 3 fragmentedPacket 4 multipleFailedLogin 1 evasionTechniques 15 shellCodes 14 denialOfService 3 pcapReplay 1 normalUsage 2 Jumlah 100

Pengujian dilakukan pada IDS Snort dan Suricata secara bergantian. Sebelum Pytbull dijalankan, terlebih dahulu jalankan script ReverseShell pada komputer IDS dengan menjalankan perintah :

45 Script tersebut digunakan oleh Pytbull untuk menjalankan pengujian untuk serangan Netcat Reverse Shell.

3.7. Kehandalan

Kriteria kehandalan IDS pada pengujian dengan menggunakan Pytbull adalah dengan menampilkan jumlah serangan yang mampu dideteksi oleh IDS dari jumlah serangan total yang dilancarkan oleh Pytbull.

Nilai kehandalan dari setiap percobaan serangan yang terdeteksi diberikan nilai poin 1 dan nilai poin 0 untuk percobaan serangan yang tidak terdeteksi.

Nilai poin 0 = percobaan serangan yang tidak terdeteksi Nilai poin 1 = percobaan serangan yang terdeteksi

Untuk nilai kehandala pada setiap IDS pada masing – masing skenario dilihat dari total jumlah nilai poin yang diperoleh dalam 1 skenario. Jumlah nilai poin maksimal adalah 100, diperoleh dari total jumlah percobaan serangan sebanyak 100 percobaan. Jadi IDS dengan nilai poin yang tinggi adalah IDS yang lebih banyak mendeteksi percobaan serangan yang diujikan.

46 BAB IV

IMPLEMENTASI DAN ANALISIS

Dalam dokumen Membandingkan kemampuan deteksi Intrusion Detection System (IDS) snort dan suricata berbasis aturan/rules standar pengembang. (Halaman 55-66)