36
IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS) PADA SERVER DEBIAN
MENGGUNAKAN JEJARING SOSIAL SEBAGAI MEDIA NOTIFIKASI
Sahid Aris Budiman1, Catur Iswahyudi2, Muhammad Sholeh3 1, 2, 3
Teknik Informatika, Fakultas Teknologi Industri, IST AKPRIND Yogyakarta Email: 1sahid.aris@gmail.com, 2catur@akprind.ac.id, 3muhash@akprind.ac.id
ABSTRACT
Intrusion Detection System (IDS) is a software that can detect suspicious activity in a system or network . IDS can inspect inbound and outbound traffic in a system or network, analyzing and searching for evidence of trial intrusion. Implementation of IDS on the server using social networking (facebook, twitter, and whatsapp) as notification media makes it easy for administrators identifying infiltration attempt by parties who are not responsible. Social networking on a system is built to serves to provide notifications to administrators as soon as possible when an attack occurred on the server. A message sent contains the IP address of hosts are detected by the system. Client later attacks by IDS snort stored into a MySQL database , at the same time in automatic trigger will run iptables already defined and send notifications to social networks based on the type of attack that performed by the intruder. Based on the test, the system is capable to processing output data from Snort IDS and it can also recognize all activities conducted an intruder in attempt to infiltrate into the system by using the ping flood, syn attack, port scanner, the SSH and FTP based on rules has been applied. Then do the blocking of IP addresses that are considered as intruder after that the system will provide a report to the administrator through social media and web monitoring of the presence of an intruder who trying to get into the system.
Keywords: IDS, snort, social networking
INTISARI
Intrusion Detection System (IDS) merupakan perangkat lunak yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan). Implementasi IDS pada server menggunakan jejaring sosial (facebook, twitter, dan whatsapp) sebagai media notifikasi memudahkan administrator dalam mengidentifikasi usaha penyusupan oleh pihak yang tidak bertanggung jawab. Jejaring sosial pada sistem yang dibangun berfungsi memberikan notifikasi atau pemberitahuan kepada administrator sesegera mungkin ketika terjadi suatu serangan pada server. Pesan yang dikirimkan berisi IP address dari host yang dideteksi oleh sistem. Client melakukan serangan kemudian oleh IDS snort disimpan ke dalam database MySQL, pada saat yang bersamaan secara otomatis trigger akan menjalankan iptables yang sudah didefinisikan dan mengirimkan notifikasi ke jejaring sosial berdasarkan jenis serangan yang dilakukan oleh intruder. Pada pengujian dapat diketahui sistem mampu mengolah data output dari IDS snort serta dapat mengenali segala aktifitas yang dilakukan intruder dalam usaha untuk menyusup ke dalam sistem dengan menggunakan ping flood, syn attack, port scanner, SSH dan FTP berdasarkan rule yang telah diterapkan. Kemudian dilakukan proses blocking terhadap IP address yang dianggap sebagai intruder setelah itu sistem akan memberikan laporan kepada administrator melalui media jejaring sosial dan web monitoring mengenai adanya serangan yang mencoba masuk ke dalam sistem.
Kata kunci: IDS, snort, jejaring sosial PENDAHULUAN
Perkembangan website yang semakin cepat dengan berbagai macam fungsi dan kebutuhan, menuntut meningkatnya kualitas keamanan jaringan. Terutama dengan semakin terbukanya pengetahuan hacking dan cracking, didukung dengan banyaknya tools yang tersedia dengan mudah dan kebanyakan free, semakin mempermudah para intruder dan attacker untuk melakukan aksi penyusupan ataupun serangan.
37
Pencegahaan yang paling sering dilakukan untuk masalah ini adalah dengan menempatkan seorang administrator. Seorang administrator bertugas untuk mengawasi dan melakukan tindakan preventif ketika terjadi aksi penyusupan dan serangan.
Masalah timbul ketika sang administrator sedang tidak berada pada posisi siap sedia, misalnya sakit, berada di luar jam kerja, atau adanya kepentingan mendadak. Sedangkan serangan terhadap server bisa terjadi kapan saja.
Maka, dari permasalahan tersebut, administrator membutuhkan suatu sistem yang dapat membantu mengawasi jaringan, menginformasikan serangan, dan mengambil tindakan tepat untuk pencegahan yang akan membantu mengautomatisasi fungsi kerja dasar administrator.
Berdasarkan penjabaran di atas, maka dapat dirumuskan beberapa permasalahan antara lain:
a) Bagaimana menerapkan IDS dalam server sehingga dapat bekerja dalam melakukan pendeteksian jaringan dari serangan.
b) Bagaimana mengkonfigurasi IDS ke dalam jaringan agar dapat terintegrasi dengan jejaring sosial sehingga mempermudah administrator dalam melakukan monitoring jaringan.
c) Bagaimana mengirimkan notifikasi adanya serangan melalui layanan jejaring sosial.
Penelitian ini bertujuan untuk mengimplementasikan sebuah aplikasi IDS yang dapat mendeteksi adanya serangan pada server dengan menganalisa alert dan log yang dihasilkan dan memanfaatkan jejaring sosial sebagai media notifikasi.
TINJAUAN PUSTAKA
Sistem keamanan jaringan komputer dengan menggabungkan fungsi Snort IDS dan IPTables firewall merupakan sistem pencegahan penyusup. Selain itu juga menggunakan Webmin dan ACID (Analysis Console for Intrusion Databases) sebagai front end. Sistem ini bertujuan untuk menciptakan sistem keamanan jaringan komputer yang ringan, berbasiskan open source dan mudah dianalisa serta diatur oleh administrator (Kimin, 2010). Sistem ini dirancang akan memberikan blocking pada alamat IP yang diketahui mengirimkan paket penyusup, namun dari sisi admin hanya bisa melakukan monitoring melalui antar muka web.
Sistem keamanan jaringan komputer menggunakan IDS atau Sistem Deteksi Penyusup adalah sistem komputer yang berusaha melakukan deteksi terhadap penyusup. IDS akan melakukan pemberitahuan melalui SMS gateway saat mendeteksi sesuatu yang dianggap mencurigakan atau tindakan ilegal di dalam jaringan (Ratnaningsih, 2012). Penelitian ini hanya menggunakan fasilitas SMS gateway sebagai media notifikasi adanya serangan.
Implementasi IDS pada wireless dengan menggunakan Snort, ACID, dan Ntop (Putri, 2011). Administrator hanya dapat melakukan monitoring jaringan melalui antarmuka web ACID tanpa ada pemberitahuan melalui suatu media.
Penelitian lain (Kurniawan, 2010), menunjukkan penerapan sistem deteksi penyusup menggunakan base dan snort tanpa memfokuskan pada jenis serangan. Sistem yang dibangun pada penelitian tersebut belum dilengkapi dengan adanya notifikasi seperti pemberitahuan melalui sms gateway atau media jejaring sosial. Pemberitahuan hanya dilakukan pada web menggunakan base.
METODOLOGI PENELITIAN
Langkah penelitian yang dilakukan dalam implementasi IDS pada server debian adalah sebagai berikut:
1. Menganalisis dan mengidentifikasi alat dan bahan yang diperlukan dalam penelitian. 2. Merancang jaringan dan melakukan penginstalan serta mengkonfigurasi snort dan aplikasi
pendukung lainnya yang dibutuhkan.
3. Mengkonfigurasi situs jejaring sosial sehingga dapat terhubung dengan IDS.
4. Melakukan pengujian terhadap komputer server apakah sistem sudah berjalan sesuai dengan keinginan.
5. Melakukan pengujian serangan terhadap server di dalam jaringan untuk menguji IDS yang telah dikonfigurasi.
38
Diagram alir langkah penelitianApabila dituangkan ke dalam diagram, maku alur penelitian diperlihatkan pada gambar 1.
Gambar 1. Diagram alir langkah penelitian
Skenario dilakukan dengan mengkoneksikan kedua komputer ke dalam jaringan, dimana komputer client sebagai penyerang (intruder) dan komputer satunya sebagai server. Komputer client akan mencoba melakukan serangan ke komputer server yang telah terintegrasi dengan IDS snort dan Base. IDS tersebut telah didukung oleh firewall yang berfungsi untuk mengatasi serangan yang terjadi berupa pemblokiran IP address penyerang. Selain itu IDS juga akan memberikan pemicu/inputan pada yang selanjutnya akan memberikan laporan mengenai serangan tersebut berupa notifikasi yang dikirim ke media jejaring sosial sehingga administrator dapat mengetahui jika terjadi serangan. Alur dan pemblokiran dapat dilihat pada gambar 2.
39
Gambar 2. Diagram alir pemblokiran dan notifikasi Packet capture akan menangkap sebuah paket dalam trafik jaringan lalu HASIL DAN PEMBAHASAN
Pengujian dilakukan untuk membuktikan apakah IDS dapat melakukan notifikasi ke jejaring sosial atau tidak. Skenario proses penyerangan yang dilakukan dengan mengkoneksikan kedua komputer ke dalam jaringan, dimana komputer client sebagai penyerang (intruder) dan komputer satunya sebagai server. Komputer client akan mencoba melakukan serangan ke komputer server yang telah terintegrasi dengan IDS snort dan Base. IDS tersebut telah didukung oleh firewall yang berfungsi untuk mengatasi serangan yang terjadi berupa pemblokiran IP address penyerang. Selain itu IDS juga akan memberikan pemicu/inputan yang selanjutnya akan memberikan laporan mengenai serangan tersebut berupa notifikasi yang dikirim ke media jejaring sosial sehingga administrator dapat mengetahui jika terjadi serangan seperti tampak pada gambar 3.
40
Konfigurasi Jejaring SosialUntuk mendapatkan akses ke jejaring sosial (Whatsapp, Facebook, Twitter) melalui API, beberapa langkah yang perlu dilakukan adalah sebagai berikut:
a) Registrasi ke jejaring sosial (Twitter, Whatsapp, Facebook) agar mendapatkan user dan password yang dapat digunakan untuk mengirimkan notifikasi.
b) Untuk Twitter dapat melakukan registrasi di https://dev.twitter.com/apps/new, Whatsapp di http://coderus.openrepos.net/whitesoft/whatsapp_sms dan Facebook di https://developers.facebook.com/apps.
c) Download API Twitter di https://github.com/abraham/twitteroauth. d) Download API Whatsapp di https://github.com/tgalal/yowsup/archive. e) Download API Facebook di https://github.com/facebook/facebook-php-sdk. f) Buat script PHP untuk menjalankan notifikasi ke jejaring sosial.
g) Konfigurasi API jejaring sosial untuk agar terintegr
Script pada gambar 4 digunakan untuk mengirim notifikasi ke Facebook saat terjadi serangan pada server dengan mengambil data yang ada di dalam database snort. Script ini akan dijalankan secara otomatis oleh trigger saat ada perubahan pada database snort.
Gambar 4. Script notifikasi facebook
Sama halnya dengan script notifikasi pada Facebook, script pada gambar 5 digunakan untuk mengirim notifikasi ke Whatsapp saat terjadi serangan pada server dengan mengambil data yang ada di dalam database snort. Script ini akan dijalankan secara otomatis oleh trigger saat ada perubahan pada database snort. Yang membedakan script tersebut hanya cara koneksi melalui API.
41
Gambar 5. Script notifikasi whatsapp
Untuk script notifikasi pada Twitter tidak jauh berbeda dengan script Facebook dan Whatsapp, yang membedakan hanya cara koneksi melalui API untuk mengirimkan notifikasi, bisa dilihat pada gambar 6.
Gambar 6. Script notifikasi twitter
Pengujian Serangan
Denial of Service Attack (DoS)
DoS merupakan serangan yang dilancarkan melalui paket-paket tertentu. Bentuk serangan yang akan digunakan dalam pengujian antara lain ping attack dan syn attack.
Ping Attack
42
terminal, kemudian melakukan ping ke IP server dengan mengirim paket yang ukurannya besar. Ketikkan ping -f -s 56500 202.91.10.211. Setelah mendapat informasi dari alert snort mengenai DoS, IDS secara otomatis akan memanggil fungsi firewall dan akan memberikan notifikasi melalui jejaring sosial. Serangan ping attack dapat dilihat pada gambar 7.
Gambar 7. Serangan ping attack
Gambar 8 merupakan notifikasi yang dikirim oleh IDS ke jejaring sosial Twitter setelah terjadi serangan ping attack pada server.
Gambar 8. Notifikasi melalui twitter
Syn Attack
Jalankan aplikasi hping3, kemudian masukkan alamat IP target. Dalam penelitian ini 202.91.10.211, setelah itu masukkan alamat port yang terbuka 21 22 80 111 10000, IDS secara otomatis akan memanggil fungsi firewall dan akan memberikan notifikasi melalui jejaring sosial. Ketikkan hping3 -p 80 -S --flood 202.91.10.211. Dapat dilihat pada gambar 9.
Gambar 9. Serangan syn attack
Gambar 10 merupakan notifikasi yang dikirim ke jejaring sosial Facebook saat terjadi serangan syn attack pada server.
43
Port scanner
Jalankan aplikasi Nmap untuk melakukan port scanner, sebelumnya dibutuhkan informasi alamat IP server sebelum menyerang. Setelah mengetahui alamat IP server kemudian ketikkan alamat IP server pada tools port scanning dalam hal ini 202.91.10.211 kemudian lakukan scanning port, lalu kita dapat melihat hasil dari proses scanning dengan mendapatkan informasi mengenai port-port yang terbuka di server. Ketikkan nmap -PS 202.91.10.211 pada terminal. Untuk menggunakan nmap bisa dilihat pada panduan dengan mengetikkan man nmap pada terminal. gambar 11 menunjukan hasil dari scanner yang dilakukan ke server.
Gambar 11. Port scanner menggunakan nmap
Gambar 12 merupakan notifikasi yang dikirim ke jejaring sosial Twitter saat terjadi port scanner pada server.
Gambar 12. Notifikasi port scanner melalui twitter Serangan melalui port SSH
Melakukan SSH pada server adalah suatu cara melakukan remote komputer server dari komputer client. SSH merupakan jalur yang secure yang berjalan pada port 22, untuk melakukan serangan SSH pada penelitian menggunakan hydra sebagai tool yang digunakan untuk melakukan serangan dengan cara mencocokkan username dan password yang digunakan untuk login tampak pada gambar 13.
44
Gambar 13. Serangan SSH
Gambar 14 merupakan notifikasi yang dikirim IDS snort ke jejaring sosial Facebook yang menjelaskan bahwa ada yang mencoba login SSH ke server.
Gambar 14. Notifikasi SSH melalui facebook Serangan melalui port FTP
Melakukan FTP pada server dengan melakukan remote komputer server dari komputer client. Dengan hydra sebagai tool yang digunakan untuk melakukan serangan dengan cara mencocokkan username dan password yang digunakan untuk login tampak pada gambar 15.
Gambar 15. Serangan FTP
Gambar 16 merupakan notifikasi yang dikirim IDS snort ke jejaring sosial Whatsapp yang menjelaskan bahwa ada yang mencoba login FTP ke server
Gambar 16. Notifikasi FTP melalui whatsapp
Setelah melakukan pengujian scanning, DoS Attack, SSH dan FTP. Hasil pengujian menunjukkan bahwa setiap ada serangan yang datang dari luar menuju host atau server yang
45
didalamnya terdapat IDS yang sedang berjalan, maka secara otomatis akan mendeteksi dan memberitahukan kepada administrator berupa notifikasi yang dikirim melalui jejaring sosial, sehingga administrator dapat melakukan tindak lanjut terhadap jenis serangan yang dilakukan oleh intruder.KESIMPULAN
Berdasarkan penelitian di atas, dapat ditarik beberapa kesimpulan antara lain:
a) Telah berhasil dilakukan implementasi IDS dengan menggunakan jejaring sosial sebagai media notifikasi.
b) IDS snort dapat mengetahui serangan sesuai dengan rule yang diterapkan.
c) Jejaring sosial dapat melakukan notifikasi sesuai dengan jenis serangan yang sudah didefinisikan.
d) Berdasarkan hasil pemantauan serangan yang terjadi pada server, selama 5 hari didapatkan hasiljenis serangan SSH yang sering terjadi pada server.
Untuk pengembangan selanjutnya, dapat dibahas mengenai pembuatan aplikasi mobile pada Facebook untuk memantau jaringan pada server agar administrator lebih mudah dalam mengaudit data secara langsung tanpa harus melalui server, perlu adanya pengujian serangan dengan skala yang lebih besar agar dapat diperoleh kinerja dari sistem secara maksimal, selain itu perlu pembuatan penjadwalan untuk menghapus log snort.
DAFTAR PUSTAKA
Ariyus, D., 2007, Intrusion Detection System, Andi, Yogyakarta.
Kimin, V. H., 2010, Perancangan Sistem Keamanan Jaringan Komputer Berbasis Snort Intrusion Detection System dan IPTables Firewall, Skripsi, Universitas Sumatera Utara. Kumar, V., 2012, Signature Based Intrusion Detection System Using SNORT, International
Journal of Computer Applications & Information Technology, Vol I, Issue III, 35-40. Kurniawan, I. N., 2010, Sistem Deteksi dan Penanganan Intrusi Menggunakan Snort dan Base,
Skripsi, IST AKPRIND, Yogyakarta.
Putri, L., 2011, Implementasi Intrusion Detection System (IDS) menggunakan Snort pada Jaringan Wireless, Skripsi, UIN Syarif Hidayatullah, Jakarta.
Ratnaningsih, I., 2012, Sistem Keamanan Jaringan Komputer menggunakan Intrusion Detection System (IDS) pada Linux, Skripsi, IST AKPRIND, Yogyakarta.
