Fakultas Ilmu Komputer

Universitas Brawijaya

2698

Analisis Performa Centralized Firewall pada Multi Domain Controller di

Arsitektur Software-Defined Networking (SDN)

Rifki Pinto Hidayat1_{, Rakhmadhnay Primananda}2_{, Edita Rosana Widasari}3 Program Studi Teknik Informatika, Fakultas Ilmu Komputer, Universitas Brawijaya

E-mail: 1_{rifkipinto@gmail.com,} 2_{rakhmadhany@ub.ac.id,} 3_{editarosanaw@ub.ac.id}

Abstrak

Software Defined Networking merupakan terobosan terbaru dalam pemodelan jaringan modern dimana control plane dan data plane telah dipisahkan satu sama lain. Dimana pada SDN control plane diletakkan pada controller yang bertugas untuk mengatur dan menyediakan segala keperluan yang ada di jaringan. Controller akan melakukan monitoring keadaan jaringan dan melakukan proses perbaikan apabila terjadi kerusakan di jaringan, yang salah satunya bisa disebabkan oleh adanya serangan Denial of Services (DoS) dan Distributed – Denial of Services (DDoS) Attacks. Dimana dengan menerapkan firewall secara terpusat pada controller, controller dapat dengan cepat mendeteksi ketika terjadi serangan di jaringan baik serangan yang dilakukan oleh host di domainnya maupun oleh host di domain jaringan lain, sehingga proses penangganan serangan sendiri menjadi lebih cepat dan efektif. Hal tersebut dibuktikan berdasarkan pada rata – rata waktu penangganan serangan yang dibutuhkan adalah sekitar 6.042 seconds dengan rata – rata penggunaan resource cpu adalah 18.4% dan bitrate yang diterima oleh host victim sebesar 13.582 Kbps setelah serangan tertanggani oleh controller, menandakan bahwa penerapan centralized firewall di controller dapat dengan cepat mendeteksi dan melakukan penangganan serangan yang terjadi, dengan menggunakan resource cpu yang tidak terlalu besar dan menekan jumlah packet data yang dikirim sehingga dapat menghemat penggunaan bandwith di jaringan.

Kata Kunci : Software - Defined Networking, controller, firewall, DoS, DDoS.

Abstract

Software Defined Networking is the latest breakthrough in modern network modeling where control plane and data plane have been separated from each other. Where on the SDN control plane is placed on the controller in charge of organizing and providing all the needs that exist in the network. The controller will monitor the state of the network and also perform the repair process in case of damage to the network, one of which can be caused by Denial of Service (DoS) and Distributed - Denial of Service (DDoS) Attacks attacks. With implementing a centralized firewall on the controller, the controller can quickly detect when a network attacks occurs either by hosts hosted on their domains or by hosts in other network domains, so the process of own attack subscribing becomes faster and more effective. That things proved based on the average attack time the required subscription is about 6.042 seconds with average use of cpu resource is 18.4% and bitrate received by host victim 13.582 Kbps after attacking by the controller, indicating that the implementation of centralized firewall in the controller can quickly detect and subscribe to attack that occur, using a resource cpu that is not too large and pressing the number of packets of data sent so as to save on bandwidth usage in the network.

Keywords : Software - Defined Networking, controller, firewall, DoS, DDoS.

1. PENDAHULUAN

Pada saat ini perkembangan teknologi informasi berkembang dengan sangat pesat tidak terkecuali pada jaringan komputer. Pada perkembangan teknologi ini munculah konsep baru yaitu Software - Defined Networking

(SDN). Software - Defined Networking (SDN) adalah sebuah konsep pendekatan baru untuk mendesain, membangun dan mengelola jaringan komputer dengan memisahkan control plane dan data plane (McKeown, dkk., 2008). Konsep utama pada Software -Defined Networking (SDN) adalah sentralisasi jaringan dengan

semua pengaturan berada pada control plane, yang mana control plane sendiri dalam SDN diimplementasikan ke dalam bentuk sebuah controller yang memiliki tugas mengatur dan memonitoring seluruh traffic data di jaringan. Termasuk juga salah satu tugas dari controller adalah menanggani serangan yang bisa terjadi sewaktu – waktu di jaringan, salah satuunya adalah serangan Denial of Services (DoS) dan Distributed – Denial of Services (DDoS) Attacks, dimana keduanya akan menyerang dan melumpuhkan layanan suatu host di jaringan (Hedge & Hu, 2014).

Sistem keamanan jaringan sangat diperlukan disini guna melindungi semua perangkat yang ada di jaringan, yang salah satunya adalah berupa sistem firewall. Dimana firewall nanti akan memberikan parameter attack treshold yang dapat digunakan untuk mendeteksi adanya serangan di jaringan atau tidak (Raviya & Dhaval, 2015).

Pada penelitian ini, peneliti akan melakukan pengujian terhadap efektifitas dari penerapan firewall pada controller untuk menanggani serangan yang terjadi di jaringan, dimana nantinya akan digunakan simulator mininet dalam pembuatan dan pengujian serangan di jaringan. Mininet sendiri merupakan aplikasi yang berbasis leight-weight virtualization yang dapat menciptakan jaringan virtual yang realistik (Kloti, dkk., 2013).

Melalui penelitian ini akan dilakukan pengukuran kinerja dari firewall di controller dalam menanggani serangan di jaringan yang dilakukan dengan menggunakan beberapa skenario pengujian. Sehingga nantinya dari hasil pengukuran kinerja tersebut akan dapat diketahui performa dari controller dalam menanggani serangan yang terjadi di jaringan.

2. LANDASAN TEORI

2.1. Software – Defined Networking (SDN)

Konsep dasar SDN adalah dengan melakukan pemisahan eksplisit antara control dan forwarding plane, serta kemudian melakukan abstraksi sistem dan setelah itu mengisolasi kompleksitas yang terdapat pada komponen atau sub-sistem dengan mendefinisikan antar-muka (interface) untuk setiap perangkat atau device yang terdapat di jaringan dengan proses konfigurasi standard yang tidak terlalu rumit untuk diimplementasikan (Benton, dkk., 2014).

Gambar 1. Arsitektur SDN

Pada Gambar 1 diatas merupakan arsitektur dasar dari pemodelan jaringan SDN, dimana terdapat tiga layer yang menyusun arsitektur dari SDN beserta komponen dan interaksinya, yaitu application layer, control layer dan infrastructure layer. Application layer pada jaringan SDN berada pada lapisan teratas, nantinya akan berutgas untuk berkomunikasi dengan sistem via North Bound Interface (NBI), merupakan layer yang berisikan aplikasi – aplikasi seperti mail server, web server maupun lainnya. Selanjutnya adalah control Layer yaitu entitas layer untuk kontrol (SDN Controller) yang mentranslasikan kebutuhan aplikasi dengan infrastruktur dengan memberikan instruksi yang sesuai untuk SDN datapath serta memberikan informasi yang relevan dan dibutuhkan oleh SDN Application. Infrastructure Layer merupakan layer pertama yang berisikan perangkat – perangakat penyusun jaringan SDN yang bertugas mendistribusikan packet data di jaringan SDN sesuai dengan konfigurasi routing table oleh controller dengan menggunakan protokol komunikasi Openflow.

2.2. Centralized Firewall Pada SDN

Didalam jaringan Software – Defined Networking, segalah hal yang berkaitan dengan traffic yang terjadi dalam jaringan semuanya menjadi tanggung jawab dari controller. Mulai dari pembuatan flow table, rule table, hingga protokol data yang akan digunakan. Controller menjadi device pertama yang mengetahui apabila terjadi hal – hal yang tidak sesuai dengan harapan awal dibuatnya jaringan SDN tersebut. Semakin berkembangya variasi serangan yang menargetkan jaringan komputer membuat controller haruslah mempunyai sistem

pertahanan yang dapat melindungi dirinya sendiri dan jaringan SDN yang berada dibawahnya.

Gambar 2. Centralized Firewall di Controller SDN

Pada Gambar 2 diatas merupakan proses implementasi firewall pada controller. Berbeda dengan jaringan konvensional umumnya dimana setiap device akan dipasang sistem firewall-nya sendiri, di jaringan SDN firewall dapat dipasang secara terpusat pada controller karena pada dasarnya setiap packet data yang ada pada jaringan SDN akan dikontrol dan diawasi oleh controller, sehingga ketika salah satu device dalam jaringan mengalami serangan, maka firewall yang telah terpasang pada controller tersebut nantinya akan dapat segera melakukan deteksi dan aksi penangganan untuk jenis serangan yang dilakukan attacker pada salah satu device di jaringan tersebut.

2.3. DoS dan DDoS Attacks

Sebuah serangan Denial-of-Service (DoS) dan Distributed-Denial of Services (DDoS) Attacks adalah jenis serangan pada arsitektur jaringan komputer modern yang menargetkan pada perangkat atau server yang terdapat di dalam jaringan internet tersebut dengan tujuan yaitu untuk menghabiskan resource yang dimiliki oleh perangkat tersebut hingga akhirnya perangkat atau device tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung membuat perangkat lain yang ingin memperoleh akses layanan menuju perangkat tersebut gagal atau down services (Qiao, dkk., 2014). Dimana pada jenis serangan DoS serangan hanya dilakukan oleh satu host saja, sehingga dampak yang ditimbulkan dari serangan ini tidak terlalu besar dan umumnya membutuhkan waktu yang relatif lama untuk

melumpuhkan target serangannya. Sedangkan pada jenis serangan DDoS, serangan dilakukan oleh banyak host dalam waktu yang bersamaan sehingga dampak yang ditimbulkan dari serangan tersebut menjadi lebih besar dan perangkat yang menjadi target serangan dapat dengan lebih cepat mengalami down services.

Gambar 3. Simulasi Serangan DDoS di SDN

Pada Gambar 3 diatas, merupakan gambaran dari proses serangan DDoS attacks di jaringan SDN, dimana proses dari serangan tersebut nantinya akan dilakukan oleh host slaves yaitu host yang bertugas untuk melakukan serangan secara langsung menuju host victim. Dimana host slavers tersebut nantinya akan dikendalikan oleh host master diatasanya, untuk membanjiri traffic data di host victim dengan request packet data yang besar yang menyebabkan host tersebut nantinya tidak dapat melayani request packet data lain yang masuk.

3. METODOLOGI

Secara umum, langkah – langkah dalam melakukan pengujian centralized firewall di SDN yang akan dilakukan nantinya adalah ditunjukkan pada gambar 4.

Pada Gambar 4, tahap pertama yang dilakukan dalam melakukan penelitian dan analisis performa centralized firewall pada controller di arsitektur SDN adalah dengan melakukan Studi Literatur, kemudian melakukan proses Analisis Kebutuhan, proses Perancangan Sistem, proses Implementasi Sistem, proses pengujian dan analisis dari sistem yang dibuat. Apabila performa dari sistem sudah sesuai tujuan maka akan dilakukan pengambilan kesimpulan dari sistem yang telah dibuat tersebut.

Gambar 4. Diagram Alur Penelitian

3.1. Studi Literature

Mempelajari tentang dasar – dasar komponen sistem yang akan dibuat, seperti konsep firewall dan cara kerja serangan DoS dan DDoS, sehingga akan didapatkan gambaran datail mengenai komponen sistem yang akan dibuat nanti.

3.2. Analisis Kebutuhan

Menentukan kebutuhan dari sistem dan batasan sistem yang akan dibuat. Sehingga memudahkan dalam pembuatan parameter pengujian dan penyusunan analisis hasil pengujian.

3.3. Perancangan Sistem

Melakukan proses perancangan sistem yang akan dibuat dan diujikan, yang meliputi perancangan topologi serta perancangan firewall.

3.3.1. Perancangan topologi

Perancangan topologi pada jaringan SDN akan dirancangan dengan menggunakan source code program mininet, guna memudahkan dalam pembuatan dan menjalankan topologi di jaringan SDN.

Gambar 5. Topologi Jaringan SDN yang Digunakan

3.3.2. Perancangan Firewall

Firewall akan dirancang dan dibuat dalam bentuk source code program yang ditulis dengan menggunakan bahasa pemrograman python, yang kemudian akan dijalankan bersamaan ketika mengaktifkan controller di jaringan.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 if rate>SimpleMonitor. ATTACK_THRESHOLD: self.noAttackCounts [switch][in_port-1]=0 victim = str(eth_dst) if victim in domainHosts: victims.add(victim) for port in range(len (self.ingressApplied [switch])): if not self.ingress Applied[switch][port]: continue if all(x <= SimpleMonitor.PEACE_ THRESHOLD for x in self.

rates[switch][port]. values()): self.noAttackCounts [switch][port]+=1 else: self.noAttackCounts [switch][port]=0 if self.sustainedPushback Requests > SimpleMonitor. SUSTAINED_COUNT:

for victim in pushbacks: self.client.send ("Pushback attack to " + victim) self.sustainedPushback Requests = 0 elif len(pushbacks) > 0: self.sustainedPushback Requests = 0 self.pushbacks = pushbacks

Pada Gambar 6 diatas merupakan bagian dari source code firewall yang diimplementasikan pada controller di SDN. Untuk proggram firewall sendiri nantinya akan menerapkan metode packet filter firewall dalam pengimplementasiannya ke dalam controller di masing – masing domain jaringan. Dimana nantinya firewall akan memfilter setiap packet yang masuk berdasarkan besaran dari jumlah packet data tersebut. Dengan memberikan parameter attack treshold,, controller akan lebih mudah mendeteksi apabila terjadi serangan di jaringan. Kemudian controller akan menerapkan ingress policy jika serangan berada pada domain controller, dan menerapkan engress policy jika penyerangan merupakan host yang berasal dari domain jaringan lain.

3.4. Implementasi Sistem

Semua kebutuhan sistem yang telah dirancang sebelumnya kemudian akan diimplementasikan langsung ke dalam simulator mininet untuk kemudian dilakukan pengujian dari sistem yang telah dibuat.

3.5. Pengujian dan Analisis

Kemudian akan dilakukan pengujian dan analisis hasil pengujian untuk mengetahui kinerja dari sistem centralized firewall tersebut di jaringan SDN. Dimana pada pengujian sendiri terdapat 4 skenario pengujian yang akan dilakukan untuk lebih menguatkan hasil pengujian yang diperoleh.

3.5.1. Pengujian Ping Local Domain

Akan dilakukan pengujian dengan menggunakan konsep serangan DoS attacks yang dilakukan pada lingkup domain jaringan controller sendiri, dimana host yang berperan sebagai host victim dan host attackers berasal dari domain jaringan yang sama.

3.5.2. Pengujian Ping Other Domain

Pengujian akan dilakukan dengan menggunakan konsep serangan DoS attacks yang mana host yang bertindak sebagai host attackers merupakan host yang berasal dari domain controller lain yang berbeda domain dengan host yang dijadikan target serangan.

3.5.3. Pengujian Multiple Ping Local Domain

Skenario pengujian multiple ping sediri adalah skenario serangan jaringan komputer dengan jenis serangan adalah DDoS attacks, dimana pada serangan tersebut akan ada banyak

host yang melakukan serangan di jaringan pada waktu yang bersamaan. Kemudian pada pengujian ini, host yang bertindak sebagai host victim dan host attackers nantinya akan ditentukan oleh peneliti dan akan berada pada domain jaringan yang sama.

3.5.4. Pengujian Multiple Ping Other Domain

Pada skenario pengujian ini, serangan yang terjadi nantinya akan dilakukan dengan menggunakan banyak host yang melakukan serangan dalam waktu yang bersamaan sesuai dengan konsep serangan DDoS attacks, dimana host yang bertindak sebagai host attackers dan host victim nantinya akan ditentukan oleh peneliti dan akan berada pada domain jaringan yang berbeda satu sama lain.

3.6. Hasil Pengujian

Hasil pengujian yang akan disajikan nantinya adalah bitrate, cpu usage, waktu pendeteksian dan penangganan serangan. Hasil dari pengujian tersebut nantinya akan dilakukan perbandingan untuk kondisi ketika keadaan normal, keadaan serangan tanpa firewall, dan keadaan serangan dengan firewall. Agar selanjutnya didapatkan hasil analisis yang lebih akurat.

4. HASIL DAN ANALISIS PENGUJIAN

Setelah dilakukan proses pengujian dan didapatkan hasil pengujian, selanjutnya hasil pengujian yang didapat tersebut nantinya akan disajikan dalam bentuk tabel dan juga grafik agar lebih mudah dalam menganalisisnya. Hasil tersebut berupa bitrate yang dikirimkan, cpu usage, waktu pendeteksian dan penangganan serangan oleh controller.

4.1. Data Hasil Pengujian

4.1.1 Hasil Pengujian Ping Local Domain

Tabel 1. Hasil Pengujian Ping Local Domain

Tabel 1 diatas menunjukan rata – rata hasil pengujian di local domain jaringan controller 1

dan controller 2, dimana pada keadaan jaringan normal, rerata penggunaan bitrate di jaringan adalah 8.451 Kbps dengan cpu usage controller 0.337%. Ketika terjadi serangan tanpa ada firewall, rerata penggunaan bitrate di jaringan sebesar 3004.837 Kbps dengan cpu usage controller 31.207%, dan ketika terjadi serangan dengan firewall rerata bitrate adalah 13.641 Kbps dengan cpu usage controller 18.468%, waktu pendeteksian serangan oleh controller 1,86 seconds dengan waktu penangganan serangan adalah 5.38 seconds.

Tabel 2. Hasil Pengujian Ping Other Domain

Tabel 2 diatas menunjukan rata – rata hasil pengujian di other domain jaringan controller 1 dan controller 2, dimana pada keadaan jaringan normal, rerata penggunaan bitrate di jaringan adalah 8.425 Kbps dengan cpu usage controller 0.351%. Ketika terjadi serangan tanpa ada firewall, rerata penggunaan bitrate di jaringan sebesar 3004.427 Kbps dengan cpu usage controller 30.949 %, dan ketika terjadi serangan dengan firewall rerata bitrate adalah 13.58 Kbps dengan cpu usage controller 18.547%, waktu pendeteksian serangan oleh controller 1,843 seconds dengan waktu penangganan serangan adalah 5.48 seconds.

Tabel 3. Hasil Pengujian Multiple Ping Local Domain

Tabel 3 diatas menunjukan rata – rata hasil pengujian multiple ping di local domain jaringan controller 1 dan controller 2, dimana pada keadaan jaringan normal, rerata penggunaan bitrate di jaringan adalah 8.627 Kbps dengan cpu usage controller 0.358%. Ketika terjadi serangan tanpa ada firewall, rerata penggunaan

bitrate di jaringan sebesar 3004.148 Kbps dengan cpu usage controller 34.369 %, dan ketika terjadi serangan dengan firewall rerata bitrate adalah 13.618 Kbps dengan cpu usage controller 18.547%, waktu pendeteksian serangan oleh controller 2.205 seconds dengan waktu penangganan serangan adalah 6.349 seconds.

Tabel 4. Hasil Pengujian Multiple Ping Other Domain

Tabel 4 diatas menunjukan rata – rata hasil pengujian multiple ping di other domain jaringan controller 1 dan controller 2, dimana pada keadaan jaringan normal, rerata penggunaan bitrate di jaringan adalah 8.434 Kbps dengan cpu usage controller 0.364%. Ketika terjadi serangan tanpa ada firewall, rerata penggunaan bitrate di jaringan sebesar 3004.05 Kbps dengan cpu usage controller 34.87 %, dan ketika terjadi serangan dengan firewall rerata bitrate adalah 13.492 Kbps dengan cpu usage controller 18.329%, waktu pendeteksian serangan oleh controller 2.149 seconds dengan waktu penangganan serangan adalah 6.96 seconds.

4.2. Analisis Hasil Pengujian 4.2.1. Analisis Penggunaan Bitrate

Gambar 7. Penggunaan Bitrate di SDN

Pada Gambar 7 diatas dapat dilihat bahwa bitrate yang digunakan oleh tiap host untuk mengirimkan data ke host lain normalnya selalu

berada dibawah 10 Kbps, ketika ada serangan di jaringan bitrate yang digunakan meningkat drastis sampai diatas bandwith host di jaringan yaitu 3000 Kbps, dan setelah itu firewall akan aktif dan melakukan proteksi di jaringan dengan melakukan filter policy terhadap host di jaringan yang terindikasi sebagai host victim dan host attackers hingga bitrate di jaringan menjadi normal kembali yaitu sekitar 13 Kbps sehingga controller dapat menghemat penggunaan bandwith di jaringan.

4.2.2. Analisis Penggunaan Resource Cpu

Gambar 8. Penggunaan Resource CPU di SDN

Seperti terlihat pada Gambar 8 diatas bahwasanya resource cpu yang diperlukan oleh controller untuk mengawasi dan mengontrol pendistribusian packet data di jaringan normalnya adalah 0.352%, namun ketika terjadi serangan di jaringan resource cpu yang dibutuhkan controller untuk mendistribusikan packet di jaringan meningkat menjadi 32.848%, kemudian penggunaan resource cpu akan menjadi lebih kecil ketika firewall telah berhasil menanggani serangan yang terjadi di mana rerata penggunaan resource cpu adalah 18.472% yang akan berdampak pada kinerja controller yang akan tetap stabil dalam mengawasi dan mengontrol pendistribusian packet data di jaringan.

4.2.3. Analisis Waktu Penangganan Serangan

Pada Gambar 9, merupakan grafik rata – rata waktu penangganan serangan oleh controller, bahwasnya ketika serangan terjadi controller akan melakukan proses deteksi serangan terlebih dahulu dan menentukan host yang teridentifikasi sebagai host victim dan host attackers, dimana controller memerlukan waktu sekitar 2.014 seconds untuk melakukan hal tersebut. Setelahnya controller akan menanggani

serangan yang terjadi dengan menerapkan filter policy, dimana apabila host victim dan attackers berada pada satu domain yang sama, maka controller akan menerapkan ingress policy, dan apabila host victim dan host attackers berada pada domain yang berbeda satu sama lain, maka controller akan menerapkan engress policy, dimana untuk penerapan filter policy tersebut controller memerlukan waktu sekitar 6.042 seconds.

Gambar 9. Waktu Penanganan Serangan

5. KESIMPULAN

Dari data hasil pengujian dan analisis hasil pengujian, didapatkan beberapa kesimpulan dari penelitian yang telah dilakukan, antara lain : 1. Firewall yang diimplementasikan pada sisi

controller SDN dapat optimal menanggani serangan yang terjadi di jaringan.

2. Penggunaan bandwith dapat ditekan ketika terjadi serangan di jaringan sehingga penggunaan bandwith di jaringan dapat lebih dioptimalkan penggunaannya.

3. Penerapan centralized firewall controller membuat kinerja controller menjadi lebih stabil, dimana hal tersebut dikarenakan controller dapat dengan cepat menanggani serangan yang terjadi dengan waktu kurang dari 10 seconds, sehingga membuat beban kerja controller menjadi tidak terlalu besar dan tidak terlalu banyak dalam menggunakan resource cpu ketika melakukan pengawasan dan pengontrolan data di jaringan.

DAFTAR PUSTAKA

Mckeown, A., Nick, S. 2008. OpenFlow : Ennabling Innovation in Campus Networks. In ACM SIGCOMM Computer Communication Review. ACM, pp.69-75.

Hedge, N., & Hu, F. 2014. Security Issues in SDN and OpenFlow. Boca Raton (US): CRC Press, hlm. 436 – 455.

Raviya, R. D., & Dhaval, S. 2016. Analysis of Software Defined Network firewall. On International Conference on Wireless Communications, Signal Processing ann Networking (WiSPNET), pp. 1-7.

Kloti, R., Kotronis, V., Smith, P. 2013. OpenFlow: A Security Analysis. On IEE International Conference on Network Protocols (ICNP), pp. 1-6.

Benton, L., Camp, J., Small, C. 2013. OpenFlow Vulnerability Assessment. In Proceedings of the second ACM SIGCOMM workshop on Hot topics in software defined networking. ACM, pp. 55-60.

Qiao, Y., & Yu, R. 2016. Software-Defined Networking (SDN) and Distributed Denial of Services (DDoS) Attacks in Cloud Computing Environments: A Survey, Some Research Issues, and Challenges. On IEEE Communications Survey & Tutorials, vol. 18.