Kajian Integrasi Host Based dan Network Based

Intrusion Detection System

Menggunakan Web Based Enterprise Management

LAPORAN TUGAS AKHIR

Disusun sebagai syarat kelulusan tingkat sarjana

oleh :

Mila Desi Anasanti / 13500015

PROGRAM STUDI TEKNIK INFORMATIKA

SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA

INSTITUT TEKNOLOGI BANDUNG

2007

Lembar Pengesahan

Program Studi Sarjana Informatika

Kajian Integrasi Host Based dan Network Based

Intrusion Detection System

Menggunakan Web Based Enterprise Management

Tugas Akhir

Program Studi Sarjana Informatika ITB

Oleh

Mila Desi Anasanti / 13500015

Telah disetujui dan disahkan sebagai laporan tugas akhir di Bandung, pada tanggal 8 Agustus 2007

Pembimbing

Henny Yusnita Zubir, B.S, M.T. NIP. 132208711

RINGKASAN

Salah satu komponen dari jaringan komputer yang perlu dikelola dengan menggunakan manajemen jaringan adalah Intrusion Detection System (IDS). IDS merupakan sistem yang berfungsi untuk melakukan deteksi penyusupan. Penggunaan IDS dari waktu ke waktu semakin meningkat seiring dengan semakin pentingnya faktor keamanan bagi para pengguna jaringan komputer. Untuk sebuah jaringan yang berskala besar bahkan seringkali digunakan lebih dari satu jenis produk IDS. Dengan semakin besarnya jumlah IDS yang digunakan maka semakin besar pula usaha yang diperlukan untuk mengelolanya. Hal inilah yang menjadi alasan diperlukannya manajemen jaringan untuk mengelola IDS tersebut.

Pada tugas akhir ini, manajemen jaringan yang dipilih untuk mengelola IDS adalah Web

Based Enterprise Management (WBEM). WBEM merupakan salah satu standar manajemen

jaringan yang memperlakukan elemen yang dikelolanya sebagai obyek sehingga memudahkan untuk melihat relasi antar elemen yang dikelola. Untuk memungkinkan pengelolaan berbagai IDS dengan menggunakan WBEM maka digunakan framework

Common Information Model (CIM) IDS yang dapat diturunkan untuk berbagai IDS.

Berdasarkan jenisnya, IDS diklasifikasikan menjadi Host Based IDS dan Network Based IDS. Pada Tugas Akhir ini digunakan kedua jenis IDS tersebut untuk diintegrasikan menggunakan WBEM. Dengan adanya integrasi dari kedua jenis IDS ini diharapkan IDS mampu mengurangi false positive dan false negative yang dihasilkan sebagai respon terhadap usaha penyusupan yang terjadi ataupun yang akan terjadi pada jaringan. Dalam implementasinya dipilih 2 produk IDS yang mewakili contoh dari jenis Host Based IDS dan Network Based IDS untuk diintegrasikan setelah sebelumnya dilakukan analisis terhadap fitur-fitur dari masing IDS agar dapat saling melengkapi dan diambil keuntungannya masing-masing. Akan tetapi kedua produk IDS yang dipilih dalam Tugas Akhir ini, yaitu Snort IDS dan Ossec IDS belum menyediakan provider untuk dapat dengan mudah digunakan dalam sistem manajemen jaringan berbasis WBEM, sehingga provider untuk masing-masing IDS harus dibuat sendiri

Hasil dari Tugas Akhir ini adalah CIM client dan CIM provider untuk Snort IDS sebagai salah satu contoh produk IDS berjenis Network Based IDS dan Ossec IDS sebagai salah satu contoh produk IDS berjenis Host Based IDS. Kedua produk tersebut diperlakukan sebagai elemen yang dikelola pada WBEM untuk dapat saling melengkapi melakukan deteksi intrusi secara bersama-sama. Kedua produk IDS dan WBEM dijalankan pada sistem operasi Linux yang dalam implementasinya terdapat kendala adanya dependency sehingga pengujian hasil Tugas Akhir ini belum dapat dibuktikan secara keseluruhan.

Pada tahap pengujian, selain adanya dependency, penggunaan WBEM sebagai sistem manajemen jaringan untuk integrasi Snort IDS dan Ossec IDS belum dapat dijalankan dikarenakan keduanya ditulis dengan menggunakan bahasa C sedangkan Wbemservices ditulis dengan menggunakan bahasa Java, sehingga provider Snort IDS dan Ossec IDS harus ditulis menggunakan Java Native Interface (JNI). Pada pengujian Tugas Akhir ini terdapat kendala dalam penggunaan JNI pada WBEM, yaitu java library path tidak dikenali meskipun sudah dilakukan set-up link dynamic library path. Akan tetapi pengujian CIM provider Snort IDS dan Ossec IDS pada WBEM dapat membuktikan bahwa WBEM memiliki kelebihan mampu menunjukkan relasi antar elemen yang dikelola pada jaringan yang selama ini menjadi kelemahan sistem manajemen jaringan lainnya, yaitu SNMP(Simple Network

Management Protocol).

Kata kunci: Host Based Intrusion Detection System, Network Based Intrusion Detection

KATA PENGANTAR

Puji syukur kepada Allah SWT atas segala rahmat dan hidayah-Nya serta sholawat dan salam kepada Rasulullaah SAW, kerabat, dan para penerus risalahnya hingga akhir jaman. Segala puji bagi Allah SWT yang telah memudahkan penulis untuk menyelesaikan Tugas Akhir ini sebagai syarat kelulusan tingkat sarjana di Program Studi Teknik Informatika, Institut Teknologi Bandung.

Penulis juga mengucapkan beribu terima kasih kepada semua pihak yang telah memberikan dukungan selama pembuatan tugas akhir ini, khususnya kepada:

ƒ Ibu Henny Yusnita Zubir, B.Sc., M.T. selaku pembimbing Tugas Akhir yang telah memberikan bimbingan selama pelaksanaan Tugas Akhir,

ƒ Bapak Adi Mulyanto selaku dosen wali dari penulis,

ƒ Ayah dan ibu atas segala bimbingan, dukungan, doa dan kasing sayang yang tiada henti-hentinya.

ƒ Kakak-kakak penulis atas segala dukungan dan doanya,

ƒ Rekan-rekan mahasiswa di Teknik Informatika ITB: Helmy, Keti, Angga Devina, Iwan, Lukas dan yang lainnya atas bantuannya,

ƒ Rekan-rekan mahasiswa ITB: Anita TK00 atas semangat persahabatan yang diberikan,

ƒ Pihak lain yang telah memberikan dukungan yang tidak kalah berarti namun tidak dapat penulis sebutkan satu per satu.

Penulis berharap agar Tugas Akhir ini dapat menjadi sebuah karya yang bermanfaat. Penulis juga meminta maaf atas segala kekurangan yang ada. Akhir kata, penulis mengharapkan adanya kritik dan saran yang membangun untuk meningkatkan kualitas Tugas Akhir ini.

Bandung, Agustus 2007

DAFTAR ISI

RINGKASAN ...iii

KATA PENGANTAR...iv

DAFTAR ISI...v

DAFTAR TABEL ...viii

DAFTAR ISTILAH ...ix

BAB I

PENDAHULUAN... I-1

1.1 Latar Belakang... I-1 1.2 Rumusan Masalah... I-2 1.3 Tujuan ... I-2 1.4 Batasan Masalah ... I-3 1.5 Metodologi... I-3 1.6 Sistematika Pembahasan ... I-4

BAB II KAJIAN TERKAIT ... II-1

2.1 Intrusion Detection System (IDS) ...II-1 2.1.1 Definisi dan Gambaran Umum ...II-1 2.1.2 Pengklasifikasian IDS ...II-2 2.1.3 Produk-produk IDS Open Source ...II-5 2.2 Network Management System (NMS)...II-11 2.2.1 Definisi dan Gambaran Umum ...II-11 2.2.2 Web Based Enterprise Management (WBEM)...II-12 2.2.3 Common Information Model (CIM)...II-15 2.2.4 Penggunaan CIM pada WBEM...II-18 2.2.5 Penggunaan Framework CIM IDS untuk Semua Produk IDS...II-19

BAB III

ANALISIS...III-1

3.1 Analisis Domain Masalah ... III-1 3.1.1 Analisis Keamanan Jaringan ... III-1 3.1.2 Analisis Kebutuhan Penggunaan IDS... III-3 3.1.3 Analisis Integrasi NBIDS dan HBIDS... III-6 3.1.4 Analisis Penggunaan Produk-produk IDS Open Source ... III-8 3.1.5 Analisis Integrasi Ossec IDS dan Snort IDS ... III-9 3.2 Analisis Penggunaan Web Based Enterprise Management (WBEM)... III-10 3.2.1 Analisis Integrasi IDS pada WBEM ... III-11 3.3 Arsitektur Integrasi IDS Menggunakan WBEM ... III-13 3.3.1 CIM Client... III-13 3.3.2 Provider ... III-13 3.3.3 CIM Server (CIMOM) ... III-14

BAB IV

PERANCANGAN ... IV-1

4.1 Lingkungan Pengembangan ... IV-1 4.1.1 Batasan Sistem... IV-1 4.1.2 Arsitektur Perancangan Integrasi IDS Menggunakan WBEM... IV-2 4.2 Perancangan Integrasi IDS pada WBEM... IV-2 4.2.1 Penurunan Framework CIM untuk IDS... IV-3 4.2.2 Perancangan CIM Provider... IV-8 4.2.3 Perancangan CIM Client ... IV-9

BAB V IMPLEMENTASI DAN PENGUJIAN ...V-1

5.1 Implementasi... V-1 5.1.1 Lingkungan Implementasi... V-1 5.1.2 Implementasi CIM IDS untuk CIMOM WBEM ... V-2 5.1.3 Implementasi CIM Provider ... V-3

5.1.4 Implementasi CIM Client... V-6 5.1.5 Kendala Implementasi... V-7 5.2 Pengujian ... V-8 5.2.1 Tujuan Pengujian... V-8 5.2.2 Metode Pengujian... V-8 5.2.3 Lingkungan Pengujian... V-8 5.2.4 Komponen yang diuji ... V-8 5.2.5 Pengujian Provider IDS ... V-9 5.2.6 Pengujian Serangan Terhadap Integrasi Snort IDS dan Ossec IDS ... V-12 5.2.7 Pengujian Fungsionalitas... V-12

BAB VI... VI-1

6.1 Kesimpulan ... VI-1 6.2 Saran ... VI-2

DAFTAR REFERENSI ...x

DAFTAR PUSTAKA...xi

LAMPIRAN A Common Information Model...A-1

LAMPIRAN B Data untuk Knowledge dan Alert Mapping...B-1

LAMPIRAN C Rules Ossec IDS untuk Memantau Snort ...C-1

LAMPIRAN D Alert Mail Ossec IDS ...D-1

DAFTAR GAMBAR

Gambar 2-1 Komponen IDS...II-1 Gambar 2-2 Komponen Snort IDS [TAM02] ...II-6 Gambar 2-3 Arsitektur Prelude IDS [TAM02] ...II-8 Gambar 2-4 Arsitektur Samhain [MAT02]...II-9 Gambar 2-5 Pengiriman Paket pada Shoki IDS [MAT02] ...II-10 Gambar 2-6 Arsitektur Ossec IDS [MAT02]...II-11 Gambar 2-7 Fungsi Manajemen Jaringan [BRE03]...II-12 Gambar 2-8 Komponen WBEM [DMT03]...II-13 Gambar 2-9 Infrastruktur WBEM [DMT03] ...II-14 Gambar 2-10 Meta Schema-CIM [DMT03]...II-16 Gambar 2-11 Pemodelan dalam CIM Berbasis UML[TAM02]...II-17 Gambar 2-12 CIM dari Elemen yang dikelola pada WBEM [DMT99]...II-18 Gambar 2-13 Arsitektur Framework CIM untuk IDS [TAM02]...II-21 Gambar 3-1 Arsitektur Integrasi IDS pada WBEM... III-13 Gambar 4-1 Perancangan Arsitektur Integrasi IDS Menggunakan WBEM ... IV-2 Gambar 4-2 Langkah-langkah Perancangan Integrasi IDS pada WBEM ... IV-3 Gambar 4-3 Hirarki Agregasi untuk Snort IDS ... IV-4 Gambar 4-4 CIM Snort IDS ... IV-4 Gambar 4-5 Hirarki Agregrasi untuk Ossec IDS ... IV-6 Gambar 4-6 CIM Ossec IDS ... IV-6

DAFTAR TABEL

Tabel 2-1 Deskripsi dan Fungsi Komponen IDS ...II-2 Tabel 2-2 Perbandingan Network Based IDS dan Host Based IDS [TAM02]...II-3 Tabel 2-3 Perbandingan Misuse Detection dan Anomaly Detection [BAC02] ...II-4 Tabel 2-4 Deskripsi dan Fungsi Komponen Snort IDS [TAM02] ...II-6 Tabel 2-5 Deskripsi komponen Snort Rule Header [TAM02] ...II-7 Tabel 2-6 Deskripsi Elemen – Elemen Meta – Schema CIM [DMT03] ...II-16 Tabel 2-7 Pemetaan Fungsi Dasar terhadap Komponen IDS ...II-20 Tabel 3-1 Perbandingan HBIDS, NBIDS dan HybridIDS dalam Mengatasi Serangan ... III-7 Tabel 3-2 Perbandingan Beberapa Produk IDS Open Source ... III-9 Tabel 4-1 Daftar Kelas Aregasi dari Klas Snort IDS... IV-5 Tabel 4-2 Daftar Kelas Asosiasi dari Kelas Snort IDS... IV-5 Tabel 4-3 Daftar Kelas Agregasi dari Kelas Ossec IDS ... IV-7 Tabel 4-4 Daftar Kelas Asosiasi dari Kelas Ossec IDS... IV-7 Tabel 4-5 Daftar Mof File IDS yang diperlukan untuk Implementasi ... IV-8 Tabel 4-6 Daftar CIM Provider Snort IDS ... IV-9 Tabel 4-7 Daftar CIM Provider Ossec IDS ... IV-9 Tabel 4-8 Daftar CIM Client Snort IDS... IV-10 Tabel 4-9 Daftar CIM Client Ossec IDS ... IV-10 Tabel 5-1 Spesifikasi Perangkat Keras Komputer untuk Implementasi Server ... V-1 Tabel 5-2 Spesifikasi Perangkat Keras Komputer untuk Implementasi Client... V-1 Tabel 5-3 Spesifikasi Perangkat Lunak untuk Implementasi ... V-2 Tabel 5-4 Daftar Mof File yang dipakai untuk Implementasi ... V-2 Tabel 5-5 Daftar Instances pada CIM Snort IDS... V-3 Tabel 5-6 CIM Provider Snort IDS... V-4 Tabel 5-7 Daftar Instances pada CIM Ossec IDS... V-5 Tabel 5-8 CIM Provider Ossec IDS... V-6 Tabel 5-9 CIM Client Snort IDS ... V-6 Tabel 5-10 CIM Client Ossec IDS ... V-6 Tabel 5-11 Spesifikasi Komputer untuk Pengujian ... V-8 Tabel 5-12 Hasil Pengujian Framework CIM IDS untuk Snort IDS ... V-10 Tabel 5-13 Hasil Pengujian Framework CIM IDS untuk Ossec IDS... V-11

DAFTAR

ISTILAH

Istilah Deskripsi

Alert : Notifikasi mengenai munculnya tanda-tanda intrusi

CIM : Common Information Model; sebuah model informasi

konseptual dari lingkungan yang dikelola, yang mencoba menyatukan dan memperluas teknologi dan standar manajemen yang telah ada dengan menggunakan konstruksi dan desain berorientasi objek

CIMOM : CIM Object Manager

Deteksi Intrusi : Sebuah proses untuk memantau kejadian-kejadian yang berlangsung di dalam sebuah sistem atau jaringan komputer dan melakukan analisis terhadap hasil pemantauan tersebut untuk menemukan tanda-tanda munculnya intrusi

False Positive : Suatu keadaan di mana sistem menghasilkan TRUE untuk suatu

kondisi akan tetapi sebenarnya sistem mengalami kondisi

FALSE. Dalam IDS, false positive berarti IDS menghasilkan

alarm untuk mewaspadai adanya penyusupan, namun pada kenyataannya tidak ada kondisi yang perlu diwaspadai

False Negative : Suatu keadaan di mana sistem menghasilkan FALSE untuk suatu

kondisi akan tetapi sebenarnya sistem mengalami kondisi TRUE. Dalam IDS, false negative berarti IDS tidak menghasilkan alarm karena tidak mendeteksi adanya kondisi yang patut diwaspadai, namun pada kenyataannya terdapat kondisi yang perlu diwaspadai akan adanya penyusupan

HBIDS : Host Based Intrusion Detection System, jenis IDS yang

dijalankan pada masing-masing host dan berfungsi untuk menganalisis sistem log.

HTTP : HyperText Transfer Protocol

IDS : Intrusion Detection System, sistem yang melakukan deteksi

intrusi secara otomatis yang dipasang pada suatu jaringan / host Intrusi : Sebuah usaha yang dapat membahayakan confidentiality,

integrity, serta availability dari sebuah sistem atau jaringan

komputer; atau sebuah usaha untuk masuk ke dalam sistem atau jaringan komputer tanpa melalui mekanisme yang legal

Manajemen Jaringan

: Sebuah proses untuk memantau, mengkonfigurasi, dan memelihara lingkungan jaringan komputer

NBIDS : Network Based Intrusion Detection System, jenis IDS yang

dijalankan pada jaringan untuk menangkap dan menganalisis paket jaringan yang masuk ke dalam jaringan

NMS : Network Management System; sebuah sistem yang menjalankan

manajemen jaringan

Signature : Informasi untuk mengenali penyerangan yang sudah pernah

terjadi sebelumnya

SNMP : Simple Network Management Protocol; salah satu jenis protokol

manajemen jaringan yang banyak digunakan oleh jaringan komputer saat ini

WBEM : Web Based Enterprise Management; sekumpulan standar

manajemen dan standar teknologi Internet yang dikembangkan dengan tujuan untuk menyatukan manajemen lingkungan komputasi sebuah enterprise