BAB III ANALISIS DAN PERANCANGAN SYSTEM Perancangan Intrusion Prevention System (IPS)

35 

Loading....

Loading....

Loading....

Loading....

Loading....

Teks penuh

(1)

BAB III

ANALISIS DAN PERANCANGAN SYSTEM

3.1. Perancangan Intrusion Prevention System (IPS)

Dalam melakukan rancangan dan analisa dari sistem yang akan dibangun ini, Intrusion Prevention System yang Open Source, baik dalam aplikasi ataupun perkembangannya. Metode yang akan dilakukan didalam penelitian ini terdiri dari langkah-langkah berikut :

 Melakukan studi kepustakaan terhadap berbagai referensi yang berkaitan dengan penelitian yang dilakukan, topik-topik yang dikaji meliputi : IPS (Intrusion Prevention System) yang free dan Open Source, pengenalan berbagai jenis exploitasi serangan didalam jaringan komputer dan analisis log yang berbasis web.

 Menyiapkan komputer ataupun laptop bersistem operasi Windows 7 yang dilengkapi fitur wifi dan difungsikan sebagai attacker untuk menguji server yang menggunakan sistem operasi linux Debian yang telah dipasang IPS

 Merancang sistem IPS yang terintegrasi dan open source kemudian mengimplementasikanya.

3.2. Analisa System dan Kebutuhan 3.2.1. Analisa jenis Serangan

Seiring perkembangan teknologi jaringan komputer yang berkembang pesat maka semakin banyak orang yang menguasai dan tertarik

(2)

pada bidang ini. Oleh karena itu semakin tidak aman pula jaringan yang kita miliki karena banyak sekali ancaman-ancaman yang datang baik dari dalam maupun dari luar jaringan kita. Dan jenis teknik serangan yang menggangu jaringan komputer beraneka ragam, maka Analisa ini dianggap perlu dilakukan untuk mengetahui serangan terhadap sistem secara garis besar. Dapat dilihat pada gambar berikut :

Gambar 3.1 Garis Besar Serangan komputer(Network Security - Josua M. Sinambela)

Salah satu problem network security yang paling penting, adalah menentukan kebijakan (security policy)dalam network security. Kebanyakan orang menginginkan solusi teknis untuk setiap masalah, berupa program yang dapat memperbaiki masalah-masalah network security. Padahal, perencanaan keamanan yang matang berdasarkan prosedur dan kebijakan dalam network security akan membantu menentukan apa-apa yang harus

(3)

dilindungi, berapa besar biaya yang harus ditanamkan dalam melindunginya, dan siapa yang bertanggungjawab untuk menjalankan langkah-langkah yang diperlukan untuk melindungi bagian tersebut. beberapa ancaman yang biasa dilakukan sebagai berikut :

a. Pemalsu Paket (spoofing)

Berikut adalah skema dari jenis serangan spoofing (pemalsu paket) Sunber IP : 10.165.103.66 Mac : 00:50:56:C0:00:08 Tujuan IP: 10.165.103.111 Mac: 00:50:56:C0:00:01 Hacket IP: 10.165.103.99 Mac : 11: 55:66:C0:00:90 Switch Port 1 = 00:50:56:C0:00:08 Port 2 = 11:55:66:C0:00:90 Port 3 = 00:50:56:C0:00:01

Gambar 3.2 : ARP replay palsu untuk meracuni cache ARP korban Sekema di atas menggambarkan bahwa attacker mengirim paket data palsu dengan terus menerus sehingga akan membanjiri akses yang menuju jaringan target, sehingga membuat akses menjadi penuh dan membuat trafik dari jaringan tersebut sibuk.

(4)

b. Denial of Service (Dos/DDoS)

Serangan Dos/DDos dapat dilakukan secara sengaja ataupun tidak sengaja serangan secara sengaja biasanya dilakukan oleh user yang tidak berhak terhadap suatu sistem. Berikut sekema dari serangan Dos/DDos

Gambar 3.3 : Skenario Distribution Denial of Service (DdoS) Sekema di atas menggambarkan bahwa attacker membuat zombie (penyerang buatan) yang akan bekerja sama untuk mengirim paket secara bersamaan dan dengan kuota yang bersar serta secara trus menerus sampai server yang di tuju tidak dapat diakses

c. UDP (User Datagram Protocol) dan ICMP (Internet Control Message Protocol) Flooding

UDP dan ICMP flooding mempunyai sekenario ekploitasi sistem terhadap korban dengan tujuan untuk membuat komputer korban menjadi hang, yang disebabkan oleh pengiriman sejumlah

(5)

paket yang besar ke arah target host. eksplotasi system ini dilakukan dengan mengirimkan suatu paket dengan tujuan broadcast atau multicast dimana si pengirim dibuat seolah – olah adalah target host. Semua pesan balasan dikembalikan ke target host. hal inilah yang membuat target host menjadi hang dan menurunkan kinerja jaringan.

Gambar 3.4 Skenario UDP dan TCP Flooding 3.2.2. Analisa Kebutuhan

Pemanfaatan IPS yang dibutuhkan untuk penelitian adalah sebagai salah satu metode sistem keamanan jaringan komputer. Kebutuhan ini berhubungan dengan pemanfaatan dan kelayakan IPS, dari tahap ini didefinisikan kebutuhan yang harus dipenuhi dalam perancangan IPS diantaranya :

(6)

 Kebutuhan akan Server IPS sebagai pengamanan pada jaringan internet yang akan dipakai untuk mencegah ancaman

 IPS Open Source diharapkan dapat menekan biaya keamanan yang sangat mahal

 Mampu meyediakan informasi yang akurat terhadap gangguan serangan secara langsung dan penanggulangan untuk diagnosis cybercrime.

3.2.3. Analisa IPS Berbayar (non open source)

Keamanan jaringan secara umum adalah komputer yang terhubung ke dalam network, dikarenakan mempunyai ancaman yang lebih besar dibandingkan dengan komputer standalone. Secara umum IPS bekerja melakukan pengawasan terhadap trafiic jaringan dan terhadap kegiatan – kegiatan yang mencurigakan di dalam suatu sistem jaringan. Jika ditemukan kegiatan yang mencurigakan maka IPS akan memberikan peringatan kepada system untuk penanganan secara langsung serta memudahkan terhadap administrator jaringan.

Coba lihat gambar jaringan ini dimana suatu perusahaan yang memasang sistem Intrusion Prevention System

(7)

Gambar 3.5 IPS berbayar pada jaringan Enterprise(Hero Yudho M –IDS) Dalam sekala perusahaan menengah ke atas keamanan data merupakan sesuatu yang sangat penting dan privasi serta tidak bisa terpisahkan dari sistem. Tetapi dengan metode dan konsep yang teliti resiko tersebut dapat dikurangi. Namun network security pada umumnya bertentangan dengan network acces yaitu berbanding terbalik, dimana jika network acces semakin mudah maka network security semakin rawan, dan sebaliknya jika network security semakin baik maka network acces semakin tidak nyaman. Suatu system network di desain sebagai komunikasi data dengan tujuan meningkatkan akses ke system komputer, sementara security didesain untuk mengontrol akses ke system komputer, penyedian security adalah sebagai penyeimbanbang antara open acces dengan security. Dan masalah ini merupakan peluang untuk beberapa perusahaan besar untuk

(8)

membuat perangkat IPS dengan harga yang tidak murah. Berikut salah-satu perangkat IPS yang dijual di buat oleh salah-satu vendo yaitu

Cisco IPS 4200 Series Sensors yaitu suatu produk yang di fungsikan sebagai perangkat untuk pengaman jaringan komputer, produk tersebut memiliki keunggula diantaranya yaitu :

Intelligent Detection

Memiliki keakuratan dalam menganalisis, pendeteksian, pemutusan dari sebuah trafik dan paket data yang dianggap tidak normal atau mencurigakan sebelum meng-infeksi terhadap jaringan

Precision Response

Memiliki respon yang cepat terhadap suatu serangan jika terdapat suatu paket atau trafik yang dianggap tidak normal

Tabel 3.1 Poduk Cisco IPS

Performance Cisco IPS 4240 Cisco IPS 4255 Cisco IPS 4260 Cisco IPS 4270

Media-rich 300 Mbps 600 Mbps 2Gbps 4 Gbps Transactional 250 Mbps 500 Mbps 1 Gbps 2 Gbps Standard monitoring interface Four 10/100/1000B ASE-TX Four 10/100/1000BASE-TX Four 10/100/1000BAS E-TX Four 10/100/1000BA SE-TX orfour 1000BASE-SX Redundant power supply No No Optional Yes Auto-switching 100 to 240 VAC

100 to 240 VAC 100 to 240 VAC 100 to 240 VAC

Dari beberapa perangkat yang terjual dipasaran tersebut, secara fungsi adalah sama dimana IPS sebagai monitoring traffic yang dianggap illegal dan berpotensi membahayakan system serta teknik firewall sebagai aksi terhadap suatu serangan tersebut.

(9)

3.2.4. Analisa Sistem Intusion Prevention System (IPS) Open Source Suatu Intrusion Prevention System (IPS) dapat didefinisakan sebagai tool,metode,ataupun sumber daya yang dapat membantu administrator jaringan untuk melakukan identifikasi dan memberikan laporan terhadap aktifitas illegal yang ada di dalam suatu system jaringan. Tetapi sangant disayangkan system IPS yang ada memerlukan dana yang tidak sedikit untuk membangunya. Disini penulis mencoba menigintegrasikan beberapa tools dan aplikasi yang mendukung IPS secara free dan open source . IPS berbasis open source ini merupakan suatu metode kemanan jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan yang terintegrasi antara Intrusion Detection System (IDS) , Firewall System, Database System dan Monitoring System secara free dan open source. Sistem keamanan ini bertujuan melindungi jaringan dengan kemampuan merespon sesuai dengan kebijakan keamanan.

Intrusion Prevention System (IPS) pada implementasi tugas akhir ini tediri dari komponen komponen : Sensor, Analyzer, Management server, Database system, console

(10)

Sensor atau agent. Yang memonitor dan menganalisa aktivitas. Sensor diistilahkan untuk IPS yang memonitor jaringan (network-based, wireless, network behaviour analysis). Sedangkan agen diperuntukan bagi host-based IPS.

Management server/Analyzer. Perangkat terpusat yang menerima informasi dari sensor dan agen lalu mengelolanya serta berfungsi untuk analisa paket yang lewat pada jaringan. Informasi dari analyzer yang akan menjadi input bagi sistem lainnya. Pada perancangan sistem keamanan ini digunakan snort dengan alasan snort mempunyai kemampuan menjadi sensor dan analyzer serta sesuai untuk diterapkan pada rancangan sistem keamanan.

Database server. Sebuah gudang inforasi peristiwa-peristiwa yang direkam sensor/agent. Kebanyakan IPS telah menyediakan dukungan database server.

Console. Program yang menyediakan antarmuka bagi pengguna IPS dan administratornya.

Untuk sistem deteksi dan analisis paket digunakan snort yang menempatkan rule-rule nya pada sebuah list (daftar) dengan metode pengolahan paket. Misalnya ada paket yang ditemukan sesuai dengan salah satu rule yang ditetapkan maka sistem akan masuk ke salah satu mode (mis:alert,log), jika tidak maka paket tersebut disesuaikan dengan rule lain

(11)

yang ada pada daftar rule. Berikut adalah contoh hirarki analisis yang dilakukan pada sebuah rule beserta diagramnya

if (packet_ethernet (p)) {EvalPacket(tree->ethernet->RuleList, rule->mode, p)); if (packet_IP (p)) {EvalPacket(tree->ethernet->IP->RuleList, rule->mode, p)); if (packet_tcp (p)) {EvalPacket(tree->ethernet->IP->TCP->RuleList, rule->mode, p)); if (packet_HTTP (p)){ do_http_stuff}}}}

Sistem keamanan ini menggunakan prinsip sentralisasi database untuk menyimpan semua alert yang berasal dari sensor maupun log dari firewall. Informasi yang tersimpan pada database ini juga merupakan input untuk pengawasan keamanan jaringan yang dilakukan oleh firewall system dan monitoring system.

3.3. Perancangan Implementasi Sistem

Dalam tahap perancangan implementasi, hal yang harus diperhatikan adalah rancangan arsitektur, karena IPS yang akan dibuat adalah integrasi dari beberapa software Open Source, kelayakan pengimplementasian dan kebutuhan terhadap segala yang mendukung perancangan secara nonteknis berupa perancangan konfigurasi.

(12)

Local Network Internet IPS Server Firewall Gateway Protected DMZ Switch IPS IPS

Gambar 3.7 Gambaran Topologi IPS

Gambar di atas menggambarkan bahwa IPS di posisikan satu level dengan firewall, dengan demikian bahwa dimana jika terjadi suatu penyusupan terhadap jaringan komputer kita maka aka terfilterisasi terlebih dahulu sebelum masuk ke dalam jaringan.

(13)

3.4.1. Perancangan Integrasi IPS

Sistem keamanan ini bertujuan untuk mencegah dan melindungi jaringan dengan kemampuan merespon serta aksi terhadap suatu intrusi sesuai dengan kebijakan keamanan. Perancangan arsitektur untuk mewujudkan metode ini perlu di rancang komponen-komponen sistem keamanan jaringan berupa:

1. Intrusion Detection System (IDS) a. Snort Engine b. Rule Snort 2. Database System 3. IPS Engine 4. IPTables 5. Monitoring Sistem

(14)

Paket Data

Snort

Engine

Rules

Database

Alert

Mysql + web

base

( History )

Mysql + web

interface

IPS

Engine

IPTables

Firewall

User

(15)

Dari diagram pada gambar 3.8 IPS yang akan dipakai merupakan integrasi dari beberapa aplikasi open source dimana ada beberapa modul yang akan digunakan didalamnya diantaranya sebagai berikut :

1. Snort

Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membandingkannya dengan rule Snort. Dalam sistem Linux, untuk mendeteksi apakah snort engine dalam keadaan aktif atau tidak dengan melihat prosesnya seperti contoh di bawah ini.

[root@localhost rules]# ps aux | grep snort

Contoh diatas menunjukkan bahwa snort engine dalam keadaan aktif dengan proses ID 3060 dan dijalankan oleh user ”root” Cara kerja snort akan digambarkan pada flowchart berikut

(16)

Network Traffic Decoder Engine Preprocessor Detection Engine Output Engine Response Log File

Gambar 3.9: Flowchart Snort Engine

Network traffic yang berisi paket data, akan di ambil oleh snort decoder. Snort decoder men-decode paket ke dalam data stukrtur snort untuk di analisa. Kemudian paket data diteruskan ke preprocessor untuk dilihat paket header-nya dan informasi didalamnya. Kemudian paket data diteruskan menuju detection engine. Dengan menggunakan rule, detection engine membandingkan antara paket data dan rule dan memutuskan apakah paket data bisa lewat atau akan di drop. Output engine memberikan hasil dari detection engine dalam format terpisah seperti log file atau database. Dan berdasarkan hasil dari

(17)

detection engine, Snort bisa mengambil tindakan lebih lanjut untuk merespon paket tersebut.

2. Rule Snort

Modul ini menyediakan rule-rule berupa pattern jenis serangan. Rule ini berupa file text yang disusun dengan aturan tertentu. Rule Snort merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort ini, harus di update secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi.

alert tcp $EXTERNAL NET

alert tcp $EXTERNAL NET any -> $HTTP SERVERS $HTTP PORTS

(msg:"WEB-IIS unicode directory traversal attempt"; flow:to server, established; content:¨/..%c0%af../"; nocase; classtype:web-application-attack; reference:cve, CVE-2000-0884; sid:981; rev:6;)

Rule di atas terdiri dari 2 bagian: header dan option. Bagian ”alert” adalah header dan selebihnya merupakan option.

3. Alert

Alert merupakan catatan serangan pada deteksi penyusupan. Jika snort engine menghukumi paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai modul tambahan pada Snort.

(18)

[**] [1:499:3] ICMP Large ICMP Pack et [**] [Classification:

Potentially Bad Traffic] [Priority: 2] 05/09-20:15:14. 895348

10.1.4.113 -> 10.1.3.126 ICMP TTL:128 TOS:0x0 ID:6316

IpLen:20 DgmLen:65528 Type:8 Code:0 ID:512 Seq:3072 ECHO

[Xref => http://www.whitehats.com/info/IDS246]

Contoh alert di atas merupakan alert ketika terdapat paket data dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang dianggap sebagai serangan oleh Snort karena pola paket data tersebut terdapat dalam rule Snort.

Hubungan ketiga komponen IDS dijelaskan dalam gambar berikut:

Snort Engine Alert

Rule Database

Paket Data

Gambar 3.10 Komponen Alert Snort 4. IPTables

Firewall digunakan untuk membuka dan menutup akses sesuai dengan rule yang dibuat, dalam hal ini rule akan dinamis sesuai dengan kondisi yang dideteksi oleh IDS. Firewall yang digunakan dalam eksperimen ini adalah Iptables yang merupakan firewall bawaan Linux

(19)

PREROUTING NAT, Mangle POSTROUTING NAT, Mangle NETWORK INPUT Filter, Mangle PREROUTING Filter, NAT, Mangle FORWARD Filter, Mangle Local Service Www, ftp, mail Chain INPUT Keterangan

Gambar 3.11 Sekema filterisasi  PREROUTING

Dimana kita bisa memanipulasi paket network sebelum dia memasuki keputusan routing, apakah ia akan masuk ke dalam Linux kita atau hanya sekedar lewat.

 INPUT

Dimana kita bisa melakukan pemeriksaan terhadap paket network yang akan masuk ke dalam Linux kita

 FORWARD

Pemeriksaan terhadap paket network yang hannya numpang melintas pada Linux kita.

(20)

 OUTPUT

Dimana kita melakukan pemeriksaan terhadap paket network yang dihasilkan oleh Linux kita keluar sebelum routing  POSTROUTING

Titik dimana kita bisa melakukan manipulasi terhadap paket yang akan keluar dari Linux kita.

 TABEL FILTER

Tempat rule-rule yang berkaitan dengan boleh atau tidaknya suatu paket network melewati sebuah CHAIN di atas.

 TABEL NAT

Singkatan dari Network Address Translation, yaitu tabel tempat rule-rule yang berkaitan dengan manipulasi suatu paket network ketika melewati CHAIN PREROUTING, POSTROUTING, dan OUTPUT.

 TABEL MANGLE

Tempat rule-rule yang berkaitan dengan manipulasi suatu paket network untuk keperluan advance, seperti QOS (quality of service), packet marking

5. IPS Engine

IPS engine merupakan sistem yang akan membaca alert kemudian memerintahkan firewall untuk menutup akses paket data dari penyerang. Cara kerja IPS engine digambarkan dalam flowchart berikut ini:

(21)

Start Baca Alert Mysql Update Rule IPTable End Ada Alert ? Y Block IP INtruder T Database Mysql

Gambar 3.12 Flowchart IPS Engine

IPS engine akan memerintahkan iptables untuk menutup akses bagi penyerang ketika aktivitas tersebut terdeteksi oleh snort. Dalam eksperimen ini, proses pembacaan alert dan update rule pada firewall dilakukan secara otomatis dengan meletakkan program IPS engine (yang ditulis dalam bahasa PERL) di crontab (scheduling task). Jadi, ketika terjadi usaha penyusupan dan terdeteksi oleh IDS, maka IPS engine akan memerintahkan firewall untuk menutup akses dari IP address penyerang, adapun

(22)

jika pada waktu yang lain pengelola IPS akan membuka IP address. IP address yang telah melakukan penyerangan, hal ini dapat dilakukan dengan menghapus isi alert pada serangan dari IP yang dimaksud pada database ACID.

Start Setup Configuration Snort Scan ARP Home Snort Processing Search Detec Intrusion Process Output End Alert

Gambar 3.13 Flowchart Sistem Administrasi IPS

Flowchart diatas merupakan langkah script menjalankan Snort Inline. Pertama kali menjalankan proses Setup Snort yang akan digunakan untuk mengisi alamat alamat IP LAN, subnet dari IP

(23)

LAN dan alamat IP dari DNS. Setelah itu script menjalankan scanning ARP dan kemudian Snort dijalankan, dimana saat sebelum menjalankan Snort, iptables dan bridge akan diperiksa apakah sudah aktif atau belum, apabila belum aktif maka program akan mengaktifkannya. Ketika sistem berhasil mendeteksi adanya serangan, maka akan menghasilkan output alert. Proses cek-IPS digunakan untuk memastikan apakah sistem IPS sedang berjalan, apabila sedang berjalan maka pengguna dapat menentukan untuk mematikan sistem IPS. Sedangkan pada proses search, digunakan untuk melihat berapa paket data tidak normal yang telah di kirim oleh penyerang. 3.4.2. Perancangan Arsitektur Anomaly Detection

Penyusupan didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect atau inappropriate yang terjadi dijaringan atau host. Ada beberapa pendekatan yang dilakukan. Diantaranya :

• Knowledgebased atau missu detection. Mengenali adanya penyusup dengan cara menyadap paket data kemudian membandingkanya dengan database rule (berisi signature-signature serangan) jika paket data mempunyai pola yang sama atau setidaknya salah satu polanya terdapat di database rule, maka akan dianggap sebagai adanya serangan.

• Behavior based atu anomaly based, pendekatan ini mengenali adanya penyusup dengan mengamati adanya

(24)

kejanggalan-kejanggalan pada sistem atau adanya peyimpangan-penyimpangan dari kondisi normal, diantaranya penggunaan memory yang melonjak secara terus menerus atau koneksi parallel dari 1 port IP dalam jumlah banyak dan dalam waktu yang bersamaan.

Gambar 3.14 : Proses Sistem Deteksi Anomali

Rule dan signature hanya berisi pola serangan yang selalu di update secara rutin karena ada serangan baru setiap hari. Proses deteksi anomaly tidak menggunakan rule ataupun signature hanya mengamati kondisi

(25)

normal dari sistem jaringan, jika suatu waktu kondisi jaringan tidak normal hal ini dianggap sebagai suatu serangan. Keunggulan dari sistem ini bisa mengenali serangan baru yang polanya tidak ada pada rule dan signature.

IPS yang dibangun menggunakan dua sistem deteksi ini untuk mengatasi masalah serangan yang terjadi. Jika suatu pola serangan tidak ada pada rule dan signature maka sistem deteksi anomaly berfungsi untuk mencari pola serangan baru. Arsitekture dari sistem ini dalam mendeteksi suatu paket atau event mempunyai setidaknya tiga proses, yaitu detection anomaly, missue detection, dan diagnosis feedback. Hal ini memungkinkan IPS Open source yang dibangun mengenali jenis serangan yang baru, seperti pola arsitektur berikut ini

(26)

Gambar 3.15 : Arsitektur proses Anomaly detection dan Missue Detection Untuk membangun suatu Intrusion Prevention System yang Open Source diperlukan berbagai informasi yang relevan dengan berbagai rumusan, ide pokok pemecahan masalah dan model sistem yang akan dibangun. Dari analisis yang ada pada Intrusion Prevention Sistem khususnya Aplikasi Open Source yang akan dirancang khusus untuk memonitor jaringan secara real time.

3.5. Perancangan Konfigurasi Sistem

Pada perancangan ini dibagi menjadi dua tahap yaitu perancangan pada sisi server yang akan digunakan IPS dan pada sisi client sebagai attacker.

(27)

3.5.1. Perancangan Pada Server

Intrusion Prevention System yang dibangun bersifat Open source menggunakan sistem operasi Linux. Penggunaan linux disini menggunakan distributor (distro) Debian 6 yang dirancang khusus untuk digunakan dalam keamanan jaringan komputer. Jenis distro ini dipilih karena banyaknya aplikasi keamanan yang mendukung untuk mengimplentasikan IPS yang open source. Penempatan server pada topologi seperti gambar dibawah ini :

Internet Server IPS Engine Server IPS Engine DMZ Intranet Server IPS Engine Server IPS Engine

(28)

Proses perancangan pada sisi server ada beberapa tahap. Tahap-tahap perancangan pada sis server bisa dilihat pada gambar berikut ini.

Mulai Persiapan Hardware Instalasi Debian 6 Configurasi IP Address Instalasi Snort , BlockIT, IPTable Database Signature Configurasi Snort, BlockIT, IPTable Selesai

Gambar 3.17 : Diagram Alir perancangan di sisi Server

Proses pertama dalam perancangan server adalah instalasi Debian 6 pada PC yang akan dikhususkan untuk server IPS. Kemudian dilakukan update agar sistem operasi bekerja lebih stabil.

(29)

Kebutuhan perangkat lunak yang digunakan pada server adalah sistem operasi Debian beserta paket instalasinya dengan dukungan perangkat keras yang memadai.

3.5.2. Perancangan pada Client (Attacker)

Perancangan pada sisi client dengan menyiapkan PC agar mampu melakukan penetrasi terhadap server. Tahap-tahap perancangan ini dilakukan dengan melakukan instalasi nmap untuk dapat mengekploitasi server IPS. Tahap–tahap perancangan pada sisi client dapat dilihat pada gambar berikut ini

Gambar 3.18 : Diagram alir perancangan di sisi Klien

Adapun kebutuhan perangkat lunak yang digunakan adalah Nmap Network Security scanning dan beberapa add ons seperti NSE (Nmap Script Engine) untuk melakukan penetrasi dan ekplotasi ke mesin IPS

(30)

3.5.3. Perancangan Pengujian Sistem

Pengujian sangat diperlukan sebagai tahap awal sebelum tahap implementasi dengan mengukur penggunaan IPS dan kestabilan aplikasi yang dijalankan. pengujian ini akan dilakukan pada jaringan internal dengan kebutuhan perangkat satu buah server dan client sebagai attacker. Gambaran topologi untuk simulasi pengujian IPS sebagai berikut :

Server IPS

Attacker Attacker

Gambar 3.19 : Topologi jaringan pengujian IPS Adapun prosedur dari pengujian tersebut adalah : 1. Tiap klien (attacker) terkoneksi dengan server IPS.

2. Attacker akan melakukan penetrasi ke mesin server dengan beberapa exploit, seperti Ddos, port scanning, bug sistem operasi dan sebagainya.

3. Setelah itu server akan menjalankan aplikasi Snort yang berjalan secara daemon untuk mengidentifikasi pola serangan yang ada.

(31)

4. Server akan mencatat log dari beberapa percobaan eksploitasi ke dalam file log dan ditampilkan di aplikasi web .

3.5.3.1. Sekenario Pengujian dengan Dos/DDos Attack

suatu serangan yang dilakukan untuk membuat komputer atau jaringan komputer tidak dapat menyediakan layanan secara normal. Pada umumnya serangan DoS menargetkan serangan pada bandwidth jaringan komputer atau koneksi jaringan (connectivity). Bandwidth attack membanjiri jaringan dengan volume traffic yang tinggi, sehingga semua resources yang ada, tidak dapat melayani request dari legitimate user (user yang sah).

Server

Attacker

Jombie

Jombie

Gambar 3.20 : Sekenario teknik Dos/DDos

Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem

(32)

atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:

1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.

2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.

3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.

3.5.3.2. SYN Flooding Attack

SYN flooding attack adalah istilah teknologi informasi dalam bahasa Inggris yang mengacu kepada salah satu jenis serangan Denial of Service yang menggunakan paket-paket SYN.

Paket-paket SYN adalah salah satu jenis paket dalam protokol Transmission Control Protocol yang dapat digunakan untuk membuat koneksi antara dua host dan dikirimkan oleh host yang

(33)

hendak membuat koneksi, sebagai langkah pertama pembuatan koneksi dalam proses TCP Three-way Handshake.

Server

Attacker

Komputer Antah berantah (Tidak ada) SYN SYN SYN ACK ACK ACK

Gambar 3.21 : Sekenario teknik SYN Flooding

Dalam sebuah serangan SYN Flooding, si penyerang akan mengirimkan paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan Listening yang berada dalam host target. 3.5.3.3. Port Scanning

Dalam percobaan ini attacker mencoba untuk mencari celah atau bugs, dimana celah yang di dapat akan di jadikan langkah awal penyusupan atau penyerangan terhadap suatu jaringan.

Attacker Target

Scanning

(34)

Metode ini sering dilakukan oleh para attacker untuk mengetahui atau mencari celah dalam arti port yang terbuka untuk menyusup terhadap jaringan yang dituju, tools yang di gunakan yaitu :

 Nmap

Nmap yang merupakan singkatan dari Network Mapper merupakan tools para hacker yang digunakan untuk melakukan pemetaan suatu jaringan. Dengan Nmap dapat diketahui, komputer atau host mana yang aktif dan kira-kira dapat di eksploitasi lebih lanjut.

3.5.3.4. Perangkat keras yang digunakan (hardware)

Ada beberapa perangkat baik komputer untuk server maupun klien serta perangkat pendukung yang dibutuhkan dalam tahap pengujian sebagai berikut :

1. Perangkat Server

 Prosesor Intel Xeon seri 3000  Motherboard Intel X38ML S3000  RAM DDR2 ECC Registered 2 x 2 GB  Hardisk SCSI Seagate Cheetah 10K (68-pin )  RAID Controler

 Ethernet Card ( Dual Port )  CD-ROM Drive 56X Speed  Mouse dan Keyboard  Power Suplay ( PSU )

(35)

2. Perangkat Klien (attacker)  Processor Intel core i3  Matherboard

 RAM 1x2GB  Hardisk 250GB  VGA Card  CD-ROM

 Mouse dan keyboard.

3.5.3.5. Perangkat Lunak yang Digunakan (software) 1. Sistem Operasi

2. Pada klien ( attacker) menggubakan windows xp sp2 dan pada server menggunakan linux Backtrak.

3. Snort 9.2 + rule update 4. Mysql

5. Jpgrap 6. Apache

7. Nmap network security 8. NSE

Figur

Memperbarui...

Referensi

Memperbarui...

Related subjects :