Kajian Integrasi Host Based dan Network Based
Intrusion Detection System
Menggunakan Web Based Enterprise Management
LAPORAN TUGAS AKHIR
Disusun sebagai syarat kelulusan tingkat sarjana
oleh :
Mila Desi Anasanti / 13500015
PROGRAM STUDI TEKNIK INFORMATIKA
SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA
INSTITUT TEKNOLOGI BANDUNG
2007
Lembar Pengesahan
Program Studi Sarjana Informatika
Kajian Integrasi Host Based dan Network Based
Intrusion Detection System
Menggunakan Web Based Enterprise Management
Tugas Akhir
Program Studi Sarjana Informatika ITB
Oleh
Mila Desi Anasanti / 13500015
Telah disetujui dan disahkan sebagai laporan tugas akhir di Bandung, pada tanggal 8 Agustus 2007
Pembimbing
Henny Yusnita Zubir, B.S, M.T. NIP. 132208711
RINGKASAN
Salah satu komponen dari jaringan komputer yang perlu dikelola dengan menggunakan manajemen jaringan adalah Intrusion Detection System (IDS). IDS merupakan sistem yang berfungsi untuk melakukan deteksi penyusupan. Penggunaan IDS dari waktu ke waktu semakin meningkat seiring dengan semakin pentingnya faktor keamanan bagi para pengguna jaringan komputer. Untuk sebuah jaringan yang berskala besar bahkan seringkali digunakan lebih dari satu jenis produk IDS. Dengan semakin besarnya jumlah IDS yang digunakan maka semakin besar pula usaha yang diperlukan untuk mengelolanya. Hal inilah yang menjadi alasan diperlukannya manajemen jaringan untuk mengelola IDS tersebut.
Pada tugas akhir ini, manajemen jaringan yang dipilih untuk mengelola IDS adalah Web
Based Enterprise Management (WBEM). WBEM merupakan salah satu standar manajemen
jaringan yang memperlakukan elemen yang dikelolanya sebagai obyek sehingga memudahkan untuk melihat relasi antar elemen yang dikelola. Untuk memungkinkan pengelolaan berbagai IDS dengan menggunakan WBEM maka digunakan framework
Common Information Model (CIM) IDS yang dapat diturunkan untuk berbagai IDS.
Berdasarkan jenisnya, IDS diklasifikasikan menjadi Host Based IDS dan Network Based IDS. Pada Tugas Akhir ini digunakan kedua jenis IDS tersebut untuk diintegrasikan menggunakan WBEM. Dengan adanya integrasi dari kedua jenis IDS ini diharapkan IDS mampu mengurangi false positive dan false negative yang dihasilkan sebagai respon terhadap usaha penyusupan yang terjadi ataupun yang akan terjadi pada jaringan. Dalam implementasinya dipilih 2 produk IDS yang mewakili contoh dari jenis Host Based IDS dan Network Based IDS untuk diintegrasikan setelah sebelumnya dilakukan analisis terhadap fitur-fitur dari masing IDS agar dapat saling melengkapi dan diambil keuntungannya masing-masing. Akan tetapi kedua produk IDS yang dipilih dalam Tugas Akhir ini, yaitu Snort IDS dan Ossec IDS belum menyediakan provider untuk dapat dengan mudah digunakan dalam sistem manajemen jaringan berbasis WBEM, sehingga provider untuk masing-masing IDS harus dibuat sendiri
Hasil dari Tugas Akhir ini adalah CIM client dan CIM provider untuk Snort IDS sebagai salah satu contoh produk IDS berjenis Network Based IDS dan Ossec IDS sebagai salah satu contoh produk IDS berjenis Host Based IDS. Kedua produk tersebut diperlakukan sebagai elemen yang dikelola pada WBEM untuk dapat saling melengkapi melakukan deteksi intrusi secara bersama-sama. Kedua produk IDS dan WBEM dijalankan pada sistem operasi Linux yang dalam implementasinya terdapat kendala adanya dependency sehingga pengujian hasil Tugas Akhir ini belum dapat dibuktikan secara keseluruhan.
Pada tahap pengujian, selain adanya dependency, penggunaan WBEM sebagai sistem manajemen jaringan untuk integrasi Snort IDS dan Ossec IDS belum dapat dijalankan dikarenakan keduanya ditulis dengan menggunakan bahasa C sedangkan Wbemservices ditulis dengan menggunakan bahasa Java, sehingga provider Snort IDS dan Ossec IDS harus ditulis menggunakan Java Native Interface (JNI). Pada pengujian Tugas Akhir ini terdapat kendala dalam penggunaan JNI pada WBEM, yaitu java library path tidak dikenali meskipun sudah dilakukan set-up link dynamic library path. Akan tetapi pengujian CIM provider Snort IDS dan Ossec IDS pada WBEM dapat membuktikan bahwa WBEM memiliki kelebihan mampu menunjukkan relasi antar elemen yang dikelola pada jaringan yang selama ini menjadi kelemahan sistem manajemen jaringan lainnya, yaitu SNMP(Simple Network
Management Protocol).
Kata kunci: Host Based Intrusion Detection System, Network Based Intrusion Detection
KATA PENGANTAR
Puji syukur kepada Allah SWT atas segala rahmat dan hidayah-Nya serta sholawat dan salam kepada Rasulullaah SAW, kerabat, dan para penerus risalahnya hingga akhir jaman. Segala puji bagi Allah SWT yang telah memudahkan penulis untuk menyelesaikan Tugas Akhir ini sebagai syarat kelulusan tingkat sarjana di Program Studi Teknik Informatika, Institut Teknologi Bandung.
Penulis juga mengucapkan beribu terima kasih kepada semua pihak yang telah memberikan dukungan selama pembuatan tugas akhir ini, khususnya kepada:
Ibu Henny Yusnita Zubir, B.Sc., M.T. selaku pembimbing Tugas Akhir yang telah memberikan bimbingan selama pelaksanaan Tugas Akhir,
Bapak Adi Mulyanto selaku dosen wali dari penulis,
Ayah dan ibu atas segala bimbingan, dukungan, doa dan kasing sayang yang tiada henti-hentinya.
Kakak-kakak penulis atas segala dukungan dan doanya,
Rekan-rekan mahasiswa di Teknik Informatika ITB: Helmy, Keti, Angga Devina, Iwan, Lukas dan yang lainnya atas bantuannya,
Rekan-rekan mahasiswa ITB: Anita TK00 atas semangat persahabatan yang diberikan,
Pihak lain yang telah memberikan dukungan yang tidak kalah berarti namun tidak dapat penulis sebutkan satu per satu.
Penulis berharap agar Tugas Akhir ini dapat menjadi sebuah karya yang bermanfaat. Penulis juga meminta maaf atas segala kekurangan yang ada. Akhir kata, penulis mengharapkan adanya kritik dan saran yang membangun untuk meningkatkan kualitas Tugas Akhir ini.
Bandung, Agustus 2007
DAFTAR ISI
RINGKASAN ...iii
KATA PENGANTAR...iv
DAFTAR ISI...v
DAFTAR TABEL ...viii
DAFTAR ISTILAH ...ix
BAB I
PENDAHULUAN... I-1
1.1 Latar Belakang... I-1 1.2 Rumusan Masalah... I-2 1.3 Tujuan ... I-2 1.4 Batasan Masalah ... I-3 1.5 Metodologi... I-3 1.6 Sistematika Pembahasan ... I-4BAB II KAJIAN TERKAIT ... II-1
2.1 Intrusion Detection System (IDS) ...II-1 2.1.1 Definisi dan Gambaran Umum ...II-1 2.1.2 Pengklasifikasian IDS ...II-2 2.1.3 Produk-produk IDS Open Source ...II-5 2.2 Network Management System (NMS)...II-11 2.2.1 Definisi dan Gambaran Umum ...II-11 2.2.2 Web Based Enterprise Management (WBEM)...II-12 2.2.3 Common Information Model (CIM)...II-15 2.2.4 Penggunaan CIM pada WBEM...II-18 2.2.5 Penggunaan Framework CIM IDS untuk Semua Produk IDS...II-19
BAB III
ANALISIS...III-1
3.1 Analisis Domain Masalah ... III-1 3.1.1 Analisis Keamanan Jaringan ... III-1 3.1.2 Analisis Kebutuhan Penggunaan IDS... III-3 3.1.3 Analisis Integrasi NBIDS dan HBIDS... III-6 3.1.4 Analisis Penggunaan Produk-produk IDS Open Source ... III-8 3.1.5 Analisis Integrasi Ossec IDS dan Snort IDS ... III-9 3.2 Analisis Penggunaan Web Based Enterprise Management (WBEM)... III-10 3.2.1 Analisis Integrasi IDS pada WBEM ... III-11 3.3 Arsitektur Integrasi IDS Menggunakan WBEM ... III-13 3.3.1 CIM Client... III-13 3.3.2 Provider ... III-13 3.3.3 CIM Server (CIMOM) ... III-14
BAB IV
PERANCANGAN ... IV-1
4.1 Lingkungan Pengembangan ... IV-1 4.1.1 Batasan Sistem... IV-1 4.1.2 Arsitektur Perancangan Integrasi IDS Menggunakan WBEM... IV-2 4.2 Perancangan Integrasi IDS pada WBEM... IV-2 4.2.1 Penurunan Framework CIM untuk IDS... IV-3 4.2.2 Perancangan CIM Provider... IV-8 4.2.3 Perancangan CIM Client ... IV-9
BAB V IMPLEMENTASI DAN PENGUJIAN ...V-1
5.1 Implementasi... V-1 5.1.1 Lingkungan Implementasi... V-1 5.1.2 Implementasi CIM IDS untuk CIMOM WBEM ... V-2 5.1.3 Implementasi CIM Provider ... V-3
5.1.4 Implementasi CIM Client... V-6 5.1.5 Kendala Implementasi... V-7 5.2 Pengujian ... V-8 5.2.1 Tujuan Pengujian... V-8 5.2.2 Metode Pengujian... V-8 5.2.3 Lingkungan Pengujian... V-8 5.2.4 Komponen yang diuji ... V-8 5.2.5 Pengujian Provider IDS ... V-9 5.2.6 Pengujian Serangan Terhadap Integrasi Snort IDS dan Ossec IDS ... V-12 5.2.7 Pengujian Fungsionalitas... V-12
BAB VI... VI-1
6.1 Kesimpulan ... VI-1 6.2 Saran ... VI-2
DAFTAR REFERENSI ...x
DAFTAR PUSTAKA...xi
LAMPIRAN A Common Information Model...A-1
LAMPIRAN B Data untuk Knowledge dan Alert Mapping...B-1
LAMPIRAN C Rules Ossec IDS untuk Memantau Snort ...C-1
LAMPIRAN D Alert Mail Ossec IDS ...D-1
DAFTAR GAMBAR
Gambar 2-1 Komponen IDS...II-1 Gambar 2-2 Komponen Snort IDS [TAM02] ...II-6 Gambar 2-3 Arsitektur Prelude IDS [TAM02] ...II-8 Gambar 2-4 Arsitektur Samhain [MAT02]...II-9 Gambar 2-5 Pengiriman Paket pada Shoki IDS [MAT02] ...II-10 Gambar 2-6 Arsitektur Ossec IDS [MAT02]...II-11 Gambar 2-7 Fungsi Manajemen Jaringan [BRE03]...II-12 Gambar 2-8 Komponen WBEM [DMT03]...II-13 Gambar 2-9 Infrastruktur WBEM [DMT03] ...II-14 Gambar 2-10 Meta Schema-CIM [DMT03]...II-16 Gambar 2-11 Pemodelan dalam CIM Berbasis UML[TAM02]...II-17 Gambar 2-12 CIM dari Elemen yang dikelola pada WBEM [DMT99]...II-18 Gambar 2-13 Arsitektur Framework CIM untuk IDS [TAM02]...II-21 Gambar 3-1 Arsitektur Integrasi IDS pada WBEM... III-13 Gambar 4-1 Perancangan Arsitektur Integrasi IDS Menggunakan WBEM ... IV-2 Gambar 4-2 Langkah-langkah Perancangan Integrasi IDS pada WBEM ... IV-3 Gambar 4-3 Hirarki Agregasi untuk Snort IDS ... IV-4 Gambar 4-4 CIM Snort IDS ... IV-4 Gambar 4-5 Hirarki Agregrasi untuk Ossec IDS ... IV-6 Gambar 4-6 CIM Ossec IDS ... IV-6
DAFTAR TABEL
Tabel 2-1 Deskripsi dan Fungsi Komponen IDS ...II-2 Tabel 2-2 Perbandingan Network Based IDS dan Host Based IDS [TAM02]...II-3 Tabel 2-3 Perbandingan Misuse Detection dan Anomaly Detection [BAC02] ...II-4 Tabel 2-4 Deskripsi dan Fungsi Komponen Snort IDS [TAM02] ...II-6 Tabel 2-5 Deskripsi komponen Snort Rule Header [TAM02] ...II-7 Tabel 2-6 Deskripsi Elemen – Elemen Meta – Schema CIM [DMT03] ...II-16 Tabel 2-7 Pemetaan Fungsi Dasar terhadap Komponen IDS ...II-20 Tabel 3-1 Perbandingan HBIDS, NBIDS dan HybridIDS dalam Mengatasi Serangan ... III-7 Tabel 3-2 Perbandingan Beberapa Produk IDS Open Source ... III-9 Tabel 4-1 Daftar Kelas Aregasi dari Klas Snort IDS... IV-5 Tabel 4-2 Daftar Kelas Asosiasi dari Kelas Snort IDS... IV-5 Tabel 4-3 Daftar Kelas Agregasi dari Kelas Ossec IDS ... IV-7 Tabel 4-4 Daftar Kelas Asosiasi dari Kelas Ossec IDS... IV-7 Tabel 4-5 Daftar Mof File IDS yang diperlukan untuk Implementasi ... IV-8 Tabel 4-6 Daftar CIM Provider Snort IDS ... IV-9 Tabel 4-7 Daftar CIM Provider Ossec IDS ... IV-9 Tabel 4-8 Daftar CIM Client Snort IDS... IV-10 Tabel 4-9 Daftar CIM Client Ossec IDS ... IV-10 Tabel 5-1 Spesifikasi Perangkat Keras Komputer untuk Implementasi Server ... V-1 Tabel 5-2 Spesifikasi Perangkat Keras Komputer untuk Implementasi Client... V-1 Tabel 5-3 Spesifikasi Perangkat Lunak untuk Implementasi ... V-2 Tabel 5-4 Daftar Mof File yang dipakai untuk Implementasi ... V-2 Tabel 5-5 Daftar Instances pada CIM Snort IDS... V-3 Tabel 5-6 CIM Provider Snort IDS... V-4 Tabel 5-7 Daftar Instances pada CIM Ossec IDS... V-5 Tabel 5-8 CIM Provider Ossec IDS... V-6 Tabel 5-9 CIM Client Snort IDS ... V-6 Tabel 5-10 CIM Client Ossec IDS ... V-6 Tabel 5-11 Spesifikasi Komputer untuk Pengujian ... V-8 Tabel 5-12 Hasil Pengujian Framework CIM IDS untuk Snort IDS ... V-10 Tabel 5-13 Hasil Pengujian Framework CIM IDS untuk Ossec IDS... V-11
DAFTAR
ISTILAH
Istilah Deskripsi
Alert : Notifikasi mengenai munculnya tanda-tanda intrusi
CIM : Common Information Model; sebuah model informasi
konseptual dari lingkungan yang dikelola, yang mencoba menyatukan dan memperluas teknologi dan standar manajemen yang telah ada dengan menggunakan konstruksi dan desain berorientasi objek
CIMOM : CIM Object Manager
Deteksi Intrusi : Sebuah proses untuk memantau kejadian-kejadian yang berlangsung di dalam sebuah sistem atau jaringan komputer dan melakukan analisis terhadap hasil pemantauan tersebut untuk menemukan tanda-tanda munculnya intrusi
False Positive : Suatu keadaan di mana sistem menghasilkan TRUE untuk suatu
kondisi akan tetapi sebenarnya sistem mengalami kondisi
FALSE. Dalam IDS, false positive berarti IDS menghasilkan
alarm untuk mewaspadai adanya penyusupan, namun pada kenyataannya tidak ada kondisi yang perlu diwaspadai
False Negative : Suatu keadaan di mana sistem menghasilkan FALSE untuk suatu
kondisi akan tetapi sebenarnya sistem mengalami kondisi TRUE. Dalam IDS, false negative berarti IDS tidak menghasilkan alarm karena tidak mendeteksi adanya kondisi yang patut diwaspadai, namun pada kenyataannya terdapat kondisi yang perlu diwaspadai akan adanya penyusupan
HBIDS : Host Based Intrusion Detection System, jenis IDS yang
dijalankan pada masing-masing host dan berfungsi untuk menganalisis sistem log.
HTTP : HyperText Transfer Protocol
IDS : Intrusion Detection System, sistem yang melakukan deteksi
intrusi secara otomatis yang dipasang pada suatu jaringan / host Intrusi : Sebuah usaha yang dapat membahayakan confidentiality,
integrity, serta availability dari sebuah sistem atau jaringan
komputer; atau sebuah usaha untuk masuk ke dalam sistem atau jaringan komputer tanpa melalui mekanisme yang legal
Manajemen Jaringan
: Sebuah proses untuk memantau, mengkonfigurasi, dan memelihara lingkungan jaringan komputer
NBIDS : Network Based Intrusion Detection System, jenis IDS yang
dijalankan pada jaringan untuk menangkap dan menganalisis paket jaringan yang masuk ke dalam jaringan
NMS : Network Management System; sebuah sistem yang menjalankan
manajemen jaringan
Signature : Informasi untuk mengenali penyerangan yang sudah pernah
terjadi sebelumnya
SNMP : Simple Network Management Protocol; salah satu jenis protokol
manajemen jaringan yang banyak digunakan oleh jaringan komputer saat ini
WBEM : Web Based Enterprise Management; sekumpulan standar
manajemen dan standar teknologi Internet yang dikembangkan dengan tujuan untuk menyatukan manajemen lingkungan komputasi sebuah enterprise