Analisis Integrasi Intrusion Detection System Snort dengan
Firewall Mikrotik Sebagai Sistem Keamanan Jaringan
Artikel Ilmiah
Peneliti :
Triwibowo Priadinal (672014220)
Teguh Indra Bayu, S.Kom., M.Cs.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
1.
Pendahuluan
Peran teknologi saat ini tidak diragukan lagi dimana hampir seluruh pekerjaan manusia dapat dilakukan dengan menggunakan teknologi. Dalam lingkup teknologi informasi semakin maraknya ancaman salah satunya dapat memantau, melihat atau bahkan merubah komunikasi data yang ditransmisikan.Sebuah firewall (tidak seperti sebuah router biasa yang hanya mengarahkan lalu lintas network) adalah sebuah sistem atau kelompok sistem yang menerapkan sebuah access control policy terhadap lalu lintas network yang melewati titik-titik akses network. Setelah menentukan level connectivity yang disediakan, tugas firewall adalah untuk memastikan bahwa tidak ada akses tambahan dari luar ruang lingkup yang diizinkan[1].
Firewall Mikrotik dianggap belum mampu untuk melindungi suatu jaringan, menanggulangi kekurangan dari fungsi firewall dapat diimplementasikan Intrusion Detection System (IDS). IDS sangat membantu firewall dalam melakukan tugasnya. IDS berfungsi sebagai pemberi alert ketika ada paket yang dikategorikan sebagai ancaman dan langsung memerintahkan firewall untuk memblokir koneksi tersebut sebelum masuk ke jaringan. Rumusan masalah pada penilitian ini adalah bagaimana merancang sistem IPS yang dapat berintegrasi dengan IDS dan menganalisis integrasi sistem IPS menggunakan Snort dan Mikrotik sebagai sistem keamanan jaringan.
Snort merupakan perangkat lunak yang digunakan untuk mendeteksi dan mencegah terhadap lalu lintas yang dikategorikan sebagai ancaman dalam sebuah jaringan, Snort akan bekerja sebagai pihak ketiga yang membantu kinerja dari firewall Mikrotik. Tentang batasan pengujian yaitu menganalisis CPU-Load dan memori yang digunakan. Berdasarkan latar belakang masalah, penelitian ini bertujuan untuk menghasilkan analisis kinerja dari Snort itu sendiri dan tetap menggunakan Mikrotik sebagai firewall sebagai sistem keamanan suatu jaringan.
2.
Tinjauan Pustaka
Penelitian terdahulu yang pernah dilakukan adalah implementasi Snort sebagai alat pendeteksi intrusi menggunakan Linux. Dalam penelitian ini, IDS yang digunakan yakni Snort dan perancangannya masih menggunakan Ubuntu 10.04 pada percobaannya menggunakan ping, nmap
Pada penelitian yang berjudul analisis dan implementasi IDS menggunakan Snort pada
Cloud server di Jogja Digital Valley, membahas tentang IDS yang dihubungkan dengan Internet Protocol (IP) Tables yang memuat semua service (seperti web, FTP, DNS, dll) berjalan melalui jalur yang dinamakan port, sehingga dapat dilakukan penyaringan traffic network dalam mencegah dari hal-hal yang bersifat membahayakan jaringan. [3].
Adapula tentang pembahasan implementasi intrusion detection system menggunakan Snort, Barnyard2 dan Base pada sistem operasi Linux membahas tentang Snort IDS yang digunakan sebagai pemantau aktifitas lalu lintas jaringan dan mengindentifikasi ancaman serangan dan Base yang nantinya akan digunakan sebagai interface dari log serangan, akan tetapi tidak membahas mengenai penanggulangan secara langsung terhadap gangguan yang masuk atau yang terbaca oleh Snort IDS [4].
Pada penelitian yang berjudul keamanan jaringan dengan firewall filter berbasis Mikrotik pada Laboratorium komputer STIKOM Bali berisi dimana penggunaan komputer tidak dapat dipantau dalam melakukan penggunaannya. Sistem yang dirancang dapat memenuhi kebutuhan khususnya dalam melakukan paket filter dan mampu mengamankan jaringan pada laboratorium komputer dengan melakukan filter terhadap lalu lintas data yang melewati router sesuai ketentuan yang telah dirancang[5].
Berdasarkan penelitian terdahulu terkait IDS, maka akan dilakukan penelitian tentang analisis integrasi sistem IPS menggunakan Snort dan Mikrotik sebagai sistem keamanan jaringan. Tujuannya menganalisis kinerja dari CPU-Load Mikrotik dan memori. Intrusion Detection System
(IDS) dan Instrusion Prevention System (IPS) memiliki tujuan yang sama yakni untuk meningkatkan keamanan suatu jaringan. Snort adalah salah satu software yang bertindak sebagai IDS, Snort dapat mampu berperan untuk membantu firewall dalam menjaga keamanan suatu jaringan yang berkerja berdasarkan rule. Penggunaan Mikrotik juga mampu membantu kinerja dari Snort dalam melakukan tugasnya, atau dengan kata lain Snort dan Mikrotik melakukan suatu integritas dengan tujuan yang sama yakni melindungi lalu lintas sebuah jaringan.
penyusup ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting
dimana server berada atau terdapat pada “pintu masuk” jaringan. Host-based IntrusionDetection System (HIDS): aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusup ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi dengan internet. Distributed Intrusion Detection System (DIDS), tipe ini merupakan kombinasi sensor NIDS dan sensor HIDSdalam jaringan yang lebih besar dan kemudian mengirim log pada sistem terpusat.
Snort merupakan salah satu contoh program Network-based Intrusion Detection System, yaitu sebuah program yang dapat mendeteksi suatu usaha penyusupan pada sistem jaringan komputer. Snort bersifat open source dengan lisensi GNU General Purpose License sehingga software ini dapat dipergunakan untuk mengamankan sistem server tanpa harus membayar biaya lisensi[7]. Saat rule pada Snort dijalankan, Snort IDS mengecek sesuai dengan traffic yang berjalan jika terdapat aktifitas yang membahayakan atau telah masuk kedalam aktifitas yang terdapat didalam rule maka Snort akan menyimpan log tersebut.
Firewall adalah sebuah sistem atau kelompok sistem yang menerapkan sebuah access control policy terhadap lalu lintas network yang melewati titik-titik akses network. Adapun fungsi umum dari sebuah firewall adalah static packet filtering (penyaringan paket secara statis), dynamic packet filtering (penyaringan paket secara dinamis), stateful filtering (penyaringan berdasarkan status), dan proxy [9].
Mikrotik Router adalah salah satu sistem operasi dan perangkat yang dapat digunakan sebagai router jaringan, mencakup berbagai fitur jaringan dan wireless. Mikrotik sudah memiliki sistem firewall sendiri. Pada mikrotik terdapat berbagai jenis Firewall diantaranya adalah Packet Filtering Gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi terhadap paket-paket yang datang dari luar jaringan yang dilindunginya. Aplication Layer Gateway dapat disebut sebagai Proxy Firewall. Cara kerjanyatidak hanya memfilter berdasarkan sumber, tujuan dan atribut paket, tetapi hingga isi (content) paket tersebut dapat terfilter. Circuit Level Gateway
model firewall ini bekerja pada bagian Lapisan transport dari model OSI TCP/IP. Firewall ini akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai TCP
terdapat ada lapisan yang berbeda, yaitu berada pada layer Transport. Statefull Multilayer Inspection Firewall model firewall ini adalah gabungan dariketiga jenis firewall di atas. Firewall
jenis ini akan bekerja pada lapisan Aplikasi, Transport dan Internet. Dengan penggabungan ketiga model,dapat dibilang firewall jenis ini adalah firewall yangmemberikan tingkat keamanan yang paling tinggi[8].
Pada penelitian ini traffic yang akan keluar dan masuk dalam jaringan akan diarahkan ke Mikrotik, sehingga Mikrotik akan mengirimkan paket tersebut untuk diperiksa oleh sistem dari IDS sendiri. Setelah IDS memeriksa paket tersebut maka IDS akan mengirimkan alert ke Mikrotik, sehingga ketika ada alert yang masuk akan ditindak lanjuti langsung oleh firewall
yang ada pada Mikrotik.
3.
Metode dan Perancangan Sistem
Tahapan penelitian yang digunakan terbagi kedalam lima, yaitu: 1) Identifikasi masalah, 2) Perancangan, 3) Implementasi, 4) Pengujian sistem, 5) Penulisan laporan penelitian.
Gambar 1 Tahapan Penelitian
Identifikasi Masalah
Analisis terhadap permasalahan yang ada terkait dengan IDS dan juga
Tahapan penelitian pada Gambar 1, dijelaskan sebagai berikut; Langkah pertama dalam tahapan penelitian adalah identifikasi, pada tahap ini dilakukan pengidentifikasian masalah terhadap permasalahan yang ada terkait analisis integrasi IDS Snort dengan firewall Mikrotik sebagai sistem keamanan jaringan. Sebuah firewall harus mengontrol lalu lintas network dengan memasukkan sejumlah pertimbangan bahwa tidak semua paket data yang dilihatnya adalah apa yang seperti terlihat dengan maksud lain penambahan IDS membantu kerja dari firewall dengan melakukan perbandingan pada segi penggunaan sumber daya. Spesifikasi perangkat yang digunakan, baik spesifikasi servernya hingga spesifikasi dari Mikrotik routerOS yang digunakan terlihat pada Tabel 1.
Tabel 1 Ringkasan Pengujian CPU & memori
Perangkat Processor Memory
Server Ubuntu Intel(R) Core(TM) i5-4210U 2048MB RAM
RB750r2 (hEX-Lite) QCA9531-BL3A-R 850MHz 64MB
Topologi dibuat untuk merancang sistem yang dikembangkan, sehingga topologi berikut dapat memberikan gambaran secara jelas tentang sistem yang hendak dibangun. Pada Gambar 2 terdapat tiga interface yang digunakan. Interface pertama digunakan untuk koneksi ke Internet,
interface kedua digunakan untuk server IDS, dan interface ketiga digunakan untuk klien.
Langkah kedua dari tahapan penelitian adalah perancangan, selanjutnya membuat perancangan dengan menggunakan dari hasil identifikasi awal. Flowchart system pada Gambar 3 merupakan menggambarkan bagaimana suatu sistem berjalan dalam melakukan deteksi dan pencegahan.
Ya
Tidak
Gambar 3 Flowchart System
Pada awalnya paket yang masuk akan di capture lalu dideteksi oleh IDS berdasarkan rule
yang telah disediakan. Ketika ada paket yang tidak termasuk kedalam rule yang tersedia maka proses berakhir yang berarti paket dipersilahkan lewat, sedangkan apabila terdeteksi maka akan muncul alert dari IDS. IPS akan melakukan blokir terhadap IP pengirim paket tersebut pada saat serangan terdeteksi disaat itulah dapat melakukan analisis penggunaan IDS dan Mikrotik.
Pada konfigurasi dasar router Mikrotik, dilakukan pada router Mikrotik RB750r2 (hEX-Lite) dimana memiliki lima interface list, yang mana dapat berdiri sendiri membentuk lima segment network yang berbeda. Sesuai gambaran topologi awal pada penelitian ini menggunakan tiga dari keseluruhan interface, yakni:
1. Interface 1, mengarah ke internet atau sumber layanan internet service provider. 2. Interface 2, interface tersebut menuju ke Snort IDS.
3. Interface 3, interface tersebut menuju ke klien atau pengguna.
Gambar 4 Address List
Pada Gambar 4 merupakan address list sesuai dengan fungsi masing-masing dari setiap
interface yang berbeda. Interface1 mendapat address 192.168.0.100/24 karena mengikuti network
dari layanan internet service provider. Interface2 memiliki address 192.168.44.1/24 yang mengarah ke Snort IDS, sedangkan untuk klien mendapat interface3 dengan address
192.168.45.1/24.
Untuk konfigurasi Mikrotik, diperlukan pula instalasi paket Calea dan Sniffing tool. Pada Gambar 5, dilakukan konfigurasi Packet Sniffer, pada tab Streaming dengan memasukkan IP yang akan dilalui oleh seluruh aktifitas jaringan pada gambar memakai IP 192.168.44.2/24, IP ini juga merupakan IP server yang ada pada ether 2 dengan tambahan mencentang Streaming Enable lalu pada tab filter memilih interfaces yang akan di sniffer kemudian paket tersebut akan diteruskan ke tujuan. Pada kode program 1 merupakan script untuk melempar IP yang terkena alert dari IDS ke
address lists firewall yang dimana pada baris ke empatmerupakan aturan untuk memberikan aksi
dari alamat yangtelah masuk ke dalam daftar blacklist.
Kode Program 1SricptMikrotik
Kode Program 2 yaitu penambahan schedule Mikrotik diperlukan untuk dapat menghapus otomatis IP yang telah ada di address lists. Terlihat pada baris ke dua menggunakan kata blacklist
dalam melakukan penghapusan. Penghapusan dilakukan sesuai dengan waktu interval yang ditentukan.
Kode Program 2Sricptschedule IDS eksternal
Pada Kode Program 3 disisi IDS digunakan script PHP untuk mengirimkan alert ke Mikrotik
dengan menggunakan koneksi SSH yang terlebih dahulu dikonfigurasikan di user Mikrotik dengan
menggunakan nama, password dan IP dari server yang hanya bisa mengaksesnya. Script PHP pada
IDS kerjanya mengambil log dari IDS dengan mengambil alert prioritas atau portscan. Adapun
dalam menjalan scriptnya yakni tugas dari Cron, dimana dieksekusi setiap menit tanpa pengecualian.
1. :local currentTime [/system clock get time]
2. foreach i in=[/ip firewall address-list find list=blacklist] do={:local comment[/ip firewall address-list get $i comment]
3. :local ip [/ip firewall address-list get $i address]
4. :if ( $comment < $currentTime ) do={/ip firewall address-list remove [find address=$ip] 5. }
6. }
1. : ip global
2. local time ([/system clock get time]+(“00:05:00”)) 3. if ($time > “23:59:59”) do={: local time “00:05:00” }
Kode Program 3 Sricptpada IDS Snort
Setelah sistem diimplementasikan kemudian sistem tersebut akan diuji. Pada proses pengujiannya dengan mencoba untuk melakukan blok terhadap Torent, web streaming dan sosial media, pemilihan pengujian dengan memblok pada layer 7 yang digunakan, yaitu untuk menjadi pertimbangan dalam pembatasan akses entah dalam lingkup kantor ataupun sekolah yang dimana untuk koneksi ketiganya diblok. Pengujian disisi IDS dengan memasukan rule agar dapat mendeteksi adanya akses untuk Torent, web streaming dan sosial media. Dari hasil deteksi akan menghasilkan alert, saat ituMikrotik mulai melakukan kerjanya dengan mengambil isi alert dan mengambil IP untuk dimasukkan kedalam address list. IP didalam address list kemudian akan didrop oleh filter rule yang disiapkan. Berbeda dengan firewall Mikrotik, yang menerapkan sebuah
access control policy terhadap lalu lintas network. Dari ketiga proses pengujian tujuannya sama melakukan perbandingan atau analisis IDS Snort yang bekerja sama dengan firewall dari Mikrotik. Pengujian ini untuk mengetahui apakah hasil dari sistem yang dibuat sudah menjawab
8. ssh2_auth_password($connection,$user,$pass);
9. sleep(1);
16. exec('cat /var/log/auth.log | grep "`date -d "-1 minute" "+%b %e %H:%M"`"',$lastMin);
foreach($lastMin as $line) { 17.
18. if (strpos($line,"Priority: 3")!==FALSE || strpos($line,"portscan")!==FALSE)
19. {
20. preg_match("/\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/", $line, $matches);
permasalahan yang ada dan apakah hasil yang ada sudah dapat membantu kerja dari Mikrotik sebagai firewall. Tahap pengujian dilakukan dengan menguji IDS beserta firewall Mikrotik yang telah diimplementasikan pada suatu jaringan. Penulisan laporan penelitian, pada tahap ini dilakukan penulisan hasil dari penelitian dalam bentuk laporan.
4.
Pembahasan dan Hasil Pengujian
Pada penelitian ini menggunakan Snort dengan version 2.9.11.1 GRE (Build 268). Konfigurasi utama ada pada file snort.conf dengan directory /etc/snort/, yakni :
1. Menentukan IP yang digunakan.
2. Rule apa saja yang akan dipanggil, pada penerapannya digunakan satu file untuk menyimpan banyak rule yakni local.rules dan dukungan file sid-msg.map maupun classification.config untuk mengaktifkan keseluruhan filerule yakni local.rules.
3. Penyimpanan log output yang telah didapatkan oleh IDS, bersumber dari file auth.log.
Pada saat menjalankan Snort, membutuhkan software Trafr. Trafr berfungsi untuk
membaca traffic snifer berbasis Linux, selain itu untuk mengecek sniffer mikrotik dapat
menggunakan tcpdump. Tcpdump akan mengambil paket sniffer dari lalu lintas Mikrotik.
Sehingga, ketika tcpdump tidak berhasil mendapatkan paket maka ada kemungkinan bahwa ada
yang salah dengan pengaturan Mikrotik atau paket yang di filter. Dalam menjalankan Trafr
penempatan direktori wajib diperhatikan, karena kesalahan dalam penempatan direktori
membuat fungsi dari Trafr sendiri tidak berjalan. Adapun untuk menjalankan Snort dapat dilihat
pada Kode Program 4.
Kode Program 4 Trafr
Dari tahapan yang telah dilakukan meliputi installasi, konfigurasi dan pengujian telah mendapatkan beberapa hasil. Percobaan pertama dengan menggunakan Torent pada gambar 6 merupakan hasil resource yang hanya menggunakan firewall Mikrotik dengan penggunaan CPU-Load sebanyak 5% dan penggunaan memori sebesar 25.4 Mib. Pada Gambar 7 merupakan
-resource print dengan penggunaan CPU-Load sebanyak 70% dan penggunaan memori sebesar 26.4 Mib
Gambar 6 Resource Print Non IDS pada Torent
Percobaan kedua dilakukan pengujian dengan Web Streaming pada Gambar 8 merupakan hasil resource yang hanya menggunakan firewall Mikrotik dengan penggunaan CPU-Load sebanyak 4% dan penggunaan memori sebesar 24.7 Mib. Pada Gambar 9 merupakan resource print dengan penggunaan CPU-Load sebanyak 68% dan penggunaan memori sebesar 26.6 Mib.
Gambar 8 Resource Print Non IDS pada Web Streaming
Percobaan terakhir dilakukan pengujian dengan Media Sosial pada gambar 10 merupakan hasil resource yang hanya menggunakan firewall Mikrotik dengan penggunaan CPU-Load sebanyak 2% dan penggunaan memori sebesar 25.1 Mib. Pada Gambar 11 merupakan resource print dengan penggunaan CPU-Load sebanyak 48% dan penggunaan memori sebesar 25.3 Mib.
Gambar 10 Resource Print Non IDS pada Media Sosial
Tabel 1 Ringkasan Pengujian CPU & memori
Jenis Aktivitas Non IDS IDS
CPU-Load Memori CPU-Load Memori
Torent 5% 25.4MiB 70% 26.4MiB
Web Streaming 4% 24.7MiB 68% 26.6MiB
Sosial Media 2% 25.1MiB 48% 25.3MiB
Pada Tabel 1 merupakan ringkasan pengujian Load dan memori dari Mikrotik, CPU-Load pada non IDS hanya mencapai 5% sedangkan untuk pengintegrasian IDS terjadi kenaikan yang tinggi yakni 70% untuk memori IDS sedikit lebih besar penggunaannya dibanding non IDS. Kenaikan CPU-Load yang terbilang tinggi dikarenakan aktifnya paket sniffing pada Mikrotik.
Gambar 12 Address Lists
Gambar 12 menunjukkan akan muncul blacklist dengan IP 192.168.45.5 atau IP dari client
penguji yang diambil dari alert IDS Kode Program 1. Blacklist merupakan penamaan dari pelemparan firewall Mikrotik, blacklist pada IP tersebut akan terhapus secara otomatis sesuai dengan interval waktu yang diberikan.
5.
Simpulan
Dari hasil pengujian dan pembahasan integrasi IDS Snort dan firewall Mikrotik dapat berjalan karena dilakukan konfigurasi mulai dari paket Calea, penambahan script, schedule hingga
Pada pengujian CPU-Load dan memori pada mikrotik selisihnya terpaut jauh jika hanya mengandalkan firewall dari Mikrotik dan ketika menambahkan IDS, akan tetapi penggunaan IDS sangat penting ketika ada serangan yang tidak dapat ditangani langsung oleh Mikrotik dapat ditanggulangi dengan IDS dengan fungsi rule alertnya. Pada penelitian dapat dikembangkan dengan melakukan pengujian untuk serangan yang lebih extreme bisa malware maupun lainnya agar menghasilkan kesempurnaan dari jaringan yang telah dibuat
.
6.
Daftar Pustaka
[1] Benton, Chris., dan Cameron Hunt., 2005. Network Security. Jakarta: PT Elex Media Komputindo.
[2] Affandi, Mohammad., dan Sigit Setyowibowo., 2013. Implementasi Snort sebagai Alat Pendeteksi Intrusi menggunakan Linux. Malang: Program Studi Teknik Informatika STMIK PPKIA Pradnya Paramita Malang.
[3] Wibowo, Rian Adi., 2014. Analisis dan Implementasi IDS menggunakan Snort pada Cloud Server di Jogja Digital Valley. Yogyakarta: Sekolah Tinggi Manajemen Informatika dan Komputer AMIKOM Yogyakarta.
[4] Triandini, Rizki., 2016. Implementasi Intrusion Detection System menggunakan Snort, Barnyard2 dan Base pada Sistem Operasi Linux. Bandung: Jurusan Teknik Komputer Fakultas Teknik dan Ilmu Komputer Universitas Komputer Indonesia.
[5] Mardiyana, I G K Oka., 2015. Keamanan Jaringan dengan Firewall Filter berbasis Mikrotik pada Laboratorium Komputer STIKOM Bali. Bali: STMIK STIKOM Bali.
[6] Alder, R., Babbin, J., Beale, J., Doxtater, A., Foster, J., Kohlenberg, T., Rash, M. 2004. Snort2.1 Intrusion Detection Second Edition. Rockland, MA:Sysngress Publishing, Inc. [7] Snort Teams. Desember 7, 2011. "Snort User Manual 2.9.2". Columbia: Sourcefire, Inc. [8] Mikrotik, 2017. Miktrotik. http://www.mikrotik.co.id/, Diakses tanggal 27 Desember 2017 [9] Benton, Chris., dan Cameron Hunt., 2005. Network Security. Jakarta: PT Elex Media
