ANALISA PERBANDINGAN PERFORMA INTRUSION DETECTION SYSTEM SNORT, LOW INTERACTION HONEYPOT DAN HIGH
INTERACTION HONEYPOT
Naskah Publikasi
Program Studi Teknik Informatika Fakultas Komunikasi dan Informatika
Diajukan Oleh : Fuadielah Danok Eka Putra Fajar Suryawan, S.T., M.Eng. Sc. Ph.D.
Ir. Jatmiko, M.T.
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS KOMUNIKASI DAN INFORMATIKA UNIVERSITAS MUHAMMADIYAH SURAKARTA
2014
1
ANALISA PERBANDINGAN PERFORMA INTRUSION DETECTION SYSTEM SNORT, LOW INTERACTION HONEYPOT DAN HIGH
INTERACTION HONEYPOT
Fuadielah Danok Eka Putra, Fajar Suryawan, Jatmiko Jurusan Teknik Informatika, Fakultas Komunikasi dan Informatika
Universitas Muhammadiyah Surakarta Email : [email protected]
Abstrak
Intrusion Detection System (IDS) snort merupakan sebuah aplikasi berbasis open source yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Selain itu pemanfaatan honeypot dapat menambah kualitas dari suatu keamanaan jaringan.
Perancangan sistem dilakukan pada lingkungan Ubuntu yang diletakkan pada jaringan PT. Citra Media Solusindo, sistem akan diteliti dan dianalisa dengan membandingkan kinerja sistem saat dilakukan ujicoba serangan, perbandingan ini dilihat dari fungsi sistem mampukah sistem menangkap serangan dengan baik, kinerja server (CPU, memori, dan bandwitch) saat terjadi serangan dengan berbagai intensitas serangan dan bagaimana respon time sistem terhadap serangan.
Hasil dari penelitian didapatkan bahwa kinerja server pada level serangan tertinggi menujukan hasil prosesor snort berjalan mencapai 78,6 %, honeyd mencapai 46,6%, dan honeynet mencapai 82%. Memori yang terpakai pada snort 32,4%, honeyd 30,7% dan honeynet 33% dan bandwitch yang terpakai pada snort 40,65 Mbps, honeyd 27 Mbps dan honeynet 97,5 Mbps, respon time server saat diserang secara bersamaan menunjukkan angka 0,40344 second/paket.
Kata Kunci : Intrusion Detection System, Keamanan Jaringan Komputer, Snort IDS, High Interaction Honeypot, Low Interaction Honeypot.
Abstrack
Inrusion Detection System (IDS) snort is a open source software that can detect suspicious activity in a system or network. In a addition use of honeypot can give a good performance of a network security.
The design of the system is on Ubuntu and environment placed on network in PT. Citra Media Solusindo, system will be investigation and analyzed by
2
comparing the performance of the system when a attacking tests, is seen from the comparison fungsional system properly capture system attack, performance server (CPU, memory, and bandwitch) occurs when the intensity of attack with various attack and how the reapon time system against attacks.
The result of the experiment showed that the performance of the server at highest level of attack attributed of the result snort processor running on 78,6%, honeyd on 46,6% and honeynet on 82%. Memory used to snort 32,4%, on honeyd 30,7% and on honeynet 33% and is used bandwitch on snort 40,65 Mbps, 27 Mbps on honeyd and honeynet 97,5 Mbps, and for respon time when attacking show on 0,40433 second/package.
Pendahuluan
Jaringan komputer merupakan sebuah kumpulan beberapa komputer yang terhubung satu sama lainnya yang dihubungkan melalui media perantara. [1]
Suatu jaringan komputer memerlukan suatu keamanan untuk melindungi data-data yang ada dalam jaringan tersebut, keamanan jaringan atau network security merupakan segala aktifitas pengamanan suatu jaringan atau network. Tujuan dari keamanan jaringan ini untuk menjaga usability, reliability, integrity, dan safty dari suatu serangan. Selain empat hal di atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan non-repudiation.[2]
Network security harus mampu mencegah berbagai potensi serangan atau intrusi. Serangan atau intrusi ini dapat diartikan sebagai
“the act of thrusting in. or of entering a placeor state whiteout invitation.
Right or welcome, this unauthorized access, or intrusion, is an attempt to compromise, or otherwise, to other network device.[3]
Sedangkan potensi serangan dijelaskan sebagai berikut : [4]
(1) Interruption, perangkat sistem menjadi rusak, serangan ditujukan kepada ketersediaan (availability) dari sistem,
(2) Intercaption, pihak tidak berwenang berhasil mengakses aset atau informasi,
(3) Modification, pihak tidak berwenang berhasis mengubah aset atau informasi,
3 (4) Fabrication, pihak berwenang
menyisipkan objek palsu.
Salah satu pemanfaatan keamanan jaringan komputer dapat menerapkan sisitem deteksi penyusup atau intrusion detection system.
Intrusion detection system adalah “Detecting unauthorized use of attack upon system or network. An IDS designed and used to detect such attack or unauthorized use of system, network, andrelated then in many to deflect or deter them if possible”[5]
Perancanga suatu keamanan jaringan komputer tidak harus memakan biaya yang besar, dengan menggunakan IDS snort dan honeypot dapat dijadikan solusi untuk menghemat biaya, karen sisten snort dan honeypot merupakan sistem berbasis open source.
Tinjauan Pustaka
Dalam penelitian yang berjudul “Implementasi Honeypot Sebagai Alat Bantu Deteksi Keamanan Jaringan Pada Kantor Pengawasan dan Pelayanan Bea dan Cukai Tipe A2 Palembang”.
menjelaskan bahwa sebaiknya
pengunaan honeypot
diimplementasikan pada tempat yang rawan terhadap aktifitars penyadapan.
Selain itu dapat digunakan untuk memonitor jaringan dan menjebak penyusup yang akan masuk ke dalam sebuah jaringan.[6]
Dalam penelitian yang berjudul “Analisa Performansi Impelementasi IDS berbasis Snort, Honeypot Honeyd dan Honeypot Honeynet di PT. X di Surabaya”
menjelaskan bahwaimplementasian intrusion detection system snort dan honeypot yang dijalankan pada lingkungan windows secara virtual lebih memakan biaya yang rendah karena dapat menghemat penggunaan hardware. Snort yang dikonfigurasi digunakan sebagai sensor untuk memonitor jaringan, sedangkan honeypot yang diinstall secara virtual dapat dikonfigurasi dengan beberapa host yang berbeda-beda.[7]
Landasan Teori
Keamanan jaringan komputer didefinisikan oleh beberapa poin sebagai berikut:[8]
(1) Confidentiality
4 Mensyaratkan pengolahan informasi hanya bisa diakses pihak berwenang,
(2) Integrity
Mensyaratkan pengolahan informasi tersedia untuk pihak berwenang,
(3) Availabality
Mensyaratkan pengolahan informasi hanya dapat diubah oleh pihak berwenang,
(4) Authentication
Mensyaratkan pengolahan informasi hanya dapat diidentifikasikan dengan benar dan ada jaminan identitas yang diperoleh tidak palsu,
(5) Access Control
Aspek ini berhubungan dengan cara pengatur akses kepada informasi,
(6) Nonrepudiation
Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.
IDS (Intrusion Detection System)
“IDS are intrusion detection system that capture data packets traveling on the network media
(cables, wirelless) and match them to a database of signature. Depending upon whether a packet is matched with an intruder signature, an alert is generated or the packet is logged to a file or database. One major use of snort is a NIDS”[9]
Snort dan Snort Rules
“Snort® is an upon source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol, and anomaly- based inspection, snort is the most widely deployed IDS/IPS technology wordwide”[10]
Gambar 1 Topologi jaringan snort [11]
Dalam penggunaannya snort menggunakan rules-rules untuk mengklasifisikasikan aktifitas pada jaringan. Rules snort terdiri atas dua bagian utama yaitu:
5 1) Rules header
Merupakan bagian rules di mana aksi rules diidentifikasikan.
2) Rules option
Merupakan bagian rules di mana pesan peringatan diidentifikasikan.
Honeypot
“A Honeypot is security resource whose value lies in being
probed, attacked, or
compromised.”[12]
Gambar 2 Contoh konfigurasi honeypot terintegrasi
Honeypot diklasifikasikan menjadi 2 yaitu:
1) Low Interaction Honeypot
Menurut peneliti yang tergabng dalam WASET (Word Academy Science, Engenering and Tecnology), “low interaction honeypot is no operating system an attacker can operate on. Tools
are installed in order to emulate operating system and service.[14]
Dari peryataan di atas low interaction honeypot hanya mensimulasikan sejumlah bagian layanan sistem operasi seperti network stack, walaupun terbatas sistem ini bermanffaat untuk memperoleh informasi mengenai probing jaringan.
2) High Interaction Honeypot Perancangan Honeynet mensimulasikan semua aspek dari sistem operasi, hal ini akan membutuhkan waktu dan konfigurasi yang lama, beberapa teknologi yang berbeda seperti firewall dan intrusion detection system harus disesuaikan dengan seksama.
Web Interface
Alert snort yang ditampilkan pada terminal hanya berupa script pada command prompt, untuk mempermudah dalam pemahaman alert tersebut maka dirancan sebuah aplikasi alreting berbasis web. Web interface akan dirancang menggunakan PHP dan HTML.
6 Data di web interface ini didasarkan pada kode dari konsol analissi database intrusion yang ditangkap. Aplikasi ini menyediakan web front-end untuk query dan menganalisa alert yang berasal dari sistem IDS.
Sekilas Tentang PHP dan MYSQL PHP adalah bahasa server- side scripting yang menyatu dengan hypertext markup language (HTML) untuk membuat halaman web yang dinamis. Pada penelitian ini PHP digunakan untuk membangun Graphic User Interface (GUI).
MySQL adalah database multiuser yang menggunakan bahasa structured query language (SQL).
MySQL dalam client-server melibatkan server daemond MySQL disisi server dan berbagai macam program serta library yang berjalan di sisi client.
Requirement Analysis
(1) Jaringan di-setup PT. Citra Media Solusindo,
(2) Software pendeteksian IDS snort dan honeypot diistall di komputer server dengan IP address 192.168.19.128,
(3) Penyerangan akan dilakukan dari beberapa komputer dengan menggunakan beberapa tools seperti IP scanning, port sccaning, dan flooding,
(4) Setelah itu dilihat mampukah IDS snort memberikan peringatan dan honeypot sebagai server bayangan mampu bekerja dengan baik, (5) Sebagai tambahan alert yang
ditangkap tadi akan ditampilkan dalam halaman web interface yang telah dirancang sebelumnya.
Skenario Penyerangan
Skenario pengujian serangan akan digambarkan dan dijelaskan dalam skenario dibawah ini
Gambar 3 Diagram alir sistem
7 Skenario pengujian didasarkan terhadap dua hai, yaitu mampukah sistem merespon dan memberi peringatan saat terjadi serangan dan waktu yang dibutuhkan sistem untuk merespon serangan, berikut skenario yang dilakukan :
(1) IP Scanning
Langkah awal dari pengujian akan dilakukan scanning dari range IP 192.168.19.10-150, scanning ini digunakan untuk mencari IP yang aktif,
(2) DoS attack
Kemudian dengan intruder yang sama akan dilakukan DoS attack terhadap server dengan IP address 192.168.19.128/24 dan server bayangan honeypot 192.168.19.10/24,
(3) Port scanning
Dari komputer lain dengan IP address 192.168.19.129 dilakukan port scanning terhadap serverdengan IP address 192.168.19.128 dan server honeypot 192.168.19.10/24, (4) Exploit attack
Dari komputer dengan IP 192.168.19.129/24 juga akan dilakukan exploitasi server, hal ini bertujuan melihat informasi yang ada pada server dan membuat server menjadi hang atau rusak, dan juga akan dilakukan TCP dan UDP flooding.
Setup Jaringan dan Sistem
Sistem diinstal pada server dengan sistem operasi Ubuntu 12.04 di jaringan PT. Citra Media Solusindo dengan IP address 192.168.19.128/24.
Dan untuk honeypot dikonfigurasi dengan beberapa server bayangan sebagai berikut :
Sistem operasi Windows XP SP 1 IP address 192.168.19.10
Port terbuka 80, 22, 113, dan 1 TCP reset
Router Cisco 7206 IOS 11.1(24) IP address 192.168.19.124
Allopen 1
NetBSD 1.5.2 running on commodore
Amiga
IP address 192.168.19.20/24
Port terbuka 80,133 dan 1 TCP reset
8 Template
Firewall-1.4.0 SP-5 port terbuka 80 dan 22 port block 23
Selain itu terdapat dua intruder, yaitu computer X dengan IP address 192.168.19.129 dan computer Y dengan IP address 192.168.19.135.
Konfigurasi Snort dan Snort Rules Snort bukanlah program kecil, fitur manajemen dan fitur lainnya senantiasa berubah (dibuang atau ditambah) pada setiaprilisnya. [15]
Jika snort berhasil dikonfigurasi maka akan menampilkan pemberitahuaan seperti di bawah ini.
Gambar 3 Installasi dan konfigurasi snort sukses
Snort rules berfungsi sebagai pengoptimal dan mengkondinisikan alert serangan yang terjadi, snort rules diletakkan di folder /etc/snort/rules.
Gambar 4 Install dan konfigurasi snort sukses
Installasi dan Konfigurasi Honeypot
Penginstallan honeyd dapat menggunakan perintah,
Honeyd perlu suatu konfigurasi dalam membuat host-host virtual, semuanya diletakan dalam subdirectory script yang terletak pada folder /etc/honeypot/honeyd.conf.
Sedangkan untuk arsitektur honeypot honeyd akan dijelaskan pada gambar berikut ini,
Gambar 5 Arsitektur honeyd [16]
# apt-get install honeyd-common
9 Gambar 4 menjelaskan ketika daemon honeypot honeyd menerima paket, dispatcher akan merespon paket yang diminta. Daemon honeypot honeyd hanya mengetahui tiga protocol yaitu ICMP, TCP dan UDP.
Dispatcer query database akan menampilkan informasi honeyd yang telah dikonfigurasi sesuai dengan alamat IP kepada intruder.
Kemudian paket akan diproses oleh personality engine, hal ini bertujuan menyesuaikan isi paket sehingga tampaknya berasal dari server yang sesungguhnya.
Perancangan Honeynet
Arsitektur honeynet ini membuat suatu akses jaringan terkontrol, dan dapat mengamati semua aktifitas yang terjadi di dalamnya, berikut perancangan honeynet :
Gambar 6 Contoh perancangan honeynet[17]
Perancangan Database
Database MySQL yang digunakan untuk menyimpan semua serangan yang terdeteksi snort dan honeypot akan disimulasikan mengunakan skema entity relationship diagram seperti berikut ini.
Gambar 7 Entity relationship diagram
Membuat Database
Langkah awal dalam pembuatan database snort masuk ke direktori MySQL dengan perintah mysql –u root –h localhost –p, kemudian membuat user dan table dalam database snort dalam MySQL, seperti gambar di bawah ini,
10 Gambar 8 Membuat user database
Gambar 9 Membuat database snort Setelah database dibuat diperlukan penghubung untuk mengkoneksikan snort dengan MySQL, konfigurasinya terletak di folder /etc/snort/snort.conf
Gambar 10 Konfigurasi database snort
Kemudian untuk
menampilkan alert yang telah
ditangkap dan disimpan dalam database diperlukan sebuah table untuk menampilkan dalan web interface yang dirancang, berikut table yang perlu dibuat,
Gambar 11 Database tabel snort Perancagan Antar Muka/Web Interface
Untuk mempermudah dalam pembacaan pola serangan yang terjadi maka dirancang sebuah program berbasis web. Rancangan tampilan utama dari web interface ini ditunjukkan pada gambar berikut,
Gambar 12 Perancangan halaman utama web interface
Pada gambar 10 diperlihatkan bagian gambar dengan nomor 1 adalah identitas dari web interface, nomor 2
11 adalah judul dari web interface, nomor 3 adalah informasi tentang basisdata snort, nomor 4 merupakan profil serangan berdasarkan waktu dan nomor 5 merupakan footer dari web interface.
Gambar 13 Perancangan tampilan profil serangan
Pada gambar 13 diperlihatkan nomor 1 adalah waktu terjadinya serangan, nomor 2 adalah jumlah serangan dan nomor 3 merupakan grafik total serangan yang ditangkap.
Profil serangan yang ditunjukkan pada pada gambar 13 akan dijabarkan lebih rinci pada halaman berikutnya saat waktu serangan diklik, berikut rancangan tabel informasi serangan,
Gambar 14 Perancangan tampilan informasi serangan
Pada gambar 14 diperlihatkan nomor 1 merupakan ID alert, nomor 2 adalah nama serangan, nomor 3 adalah waktu terjadinya serangan, nomor 4 adalah IP sumber, nomor 5 adalah IP sasaran, dan nomor 6 adalah layer yangdiserang.
Hasil dan Pembahasan
Metode pengujian didasarkan pada dua hal yaitu pengujian fungsional dan respon time saat menangapi serangan.
Pengujian Fungsional
Hasil yang telah dicapai dari penelitian ini dapat disimpilkan tiap penambahan jumlah client maka semakin bertambah pula jumlah alert yang didapatkan. Hal ini dikarenakan sistem yang saling berhubungan, dan masing-masing sistem tersebut memberikan alert terhadap serangan, lebih jelasnya dapat dilihat pada gambar berikut,
Gambar 15 Serangan yang ditangkap web interface
Pada gambar 15 terjadi serangan pada tanggal 22-12-2013 dan 23-12-2013, pada tanggal 22-12-2013 percobaan serangan menggunakan 1 intruder selama kurang lebih 1 jam, serangan yang ditangkap sebanyak 812 serangan, dan pada tanggal 23 menggunakan 2 intruder ditangkap 1798 serangan dalam kurun waktu kurang lebih 1 jam. Lebih jelasnya dapat dilihat pada tabel 1.
12 Tabel 1 Tabel jumlah alert terhadap client
Grafik :
Gambar 16 Grafik jumlah alert berdasar jumlah client
Selain itu perbandingan juga dilihat seberapa besar CPU bekerja, memori yang dipakai sistem, dan bandwitch yang terpakai saat berjalan dan menangkap serangan.
Tabel 2 Tabel kinerja mesin server
Grafik :
Gambar 17 Grafik kinerja mesin server dengan serangan intensitas
rendah
Gambar 18 Grafik kinerja server mesindengan serangan intensitas
tinggi
Gambar 17 dan 18
menunjukkan sistem snort lebih besar dalam penggunaan CPU, memori dan bandwitch, yaitu kinerja CPU yang mencapai nilai tertinggi 78,6 %, memori terpakai 32,4 % dan bandwitch 40,65 Mbps, dibandingkan dengan honeyd yang hanya memakai memakai memori 46,6 % dan kinerja CPU 30,7
% dan bandwitch 27 Mbps. Hal ini dikarenakan snort mempunyai rules yang bekerja untuk mendeteksi serangan, dan rules itu harus selalu di- update, agar signature baru dapat diperoleh untuk menangkap jenis serangan baru.
Respon Time
Salah satu parameter kehandalan dari suatu sistem harus dapat melayani beberapa client sekaligus. Serangan ini menggunakan 2 intruder dan akan dilakukan secara bersamaan. Berikut tabel dan grafik yang menujukkan pengujian respon time :
13 Tabel 3 Tabel respon time berdasar jumlah client
Grafik:
Gambar 19 Grafik respon time berdasar jumlah client
Dari hasil pengujian dapat dilihat bahwa dengan bertambahnya jumlah client akan berpengaruh terhadap performa sistem, ini ditunjukkan dengan semakin lamanya respon time yang dihasilkan sistem, semua disebabkan karena serangan paket flooding yang dikirimkan
membanjiri request data pada jaringan, dan apabila dilakukan penyerangan secara bersamaan oleh 2 intruder, maka jaringan semakin penuh sehingga menyebabkan kemampuan sistem menjadi terganggu.
Kesimpulan
High interaction honeypot honeynet lebih besar dalam penggunaan sumber daya dibandingkan dengan intrusion detection system snort maupun low interaction honeypot honeyd saat dijalankan sebagai sistem tunggal, dan semakin banyak client client yang mengakses suatu jaringan maka semakin lambat respontime sistem.
Sistem yang dibangun pada lingkungan Ubuntu dijalankan melalui terminal, sehingga diperlukan pihak ketiga, sebagai solusi webinterface dirancang sebagai alat untuk mempelajari serangan yang ditangkap
DAFTAR PUSTAKA
[1]Sofana, Iwan, 2008, “Membangun Jaringan Komputer”, Bandung: Informatika.
[2]Raharjo, 2002, “Keamanan Sistem Informasi Berbasis Internet” Bandung: PT.
Insan Indonesia.
[3]Stallings, William, 2005, “Intrusion Cryptography and Network Security.pdf version”, diunduh dari www.ebookily.org jam 19.00 wib, 25 juli2013.
[4]Sukmaji, Anjik, S.Kom dan Rianto, S.Kom, 2008. “Jaringan Komputer”, Yogyakarta: Andi.
[5]Andrew R Baker, Joe Esler dan Jay Beale, 2007, “Snort IDS and IPS Toolkid”, Syngress Publishing.
14
[6]Zulkarnaen, Disky, 2010, “Implementasi Honeypot Sebagai Alat Bantu Deteksi Keamanan Jaringan Pada Kantor Pengawasan dan Pelayanan Bea dan Cukai Tipe A”, Palembang: STIMIK PalCom Tech.
[7]Prasetyo, Milano Hardi, 2011, “Analisa Performansi Implementasi IDS Berbasis Snort, Honeypot honeyd, Honeypot Honeynet di PT. X di Surabaya”, Surabaya: Institut Teknologi Surabaya.
[8]Sukmaji, Anjik S. Kom dan Rianto S.Kom, 2008, “Jaringan Komputer”, Yogyakarta: Andi Offset.
[9]Ur Rehman, Raffiq, 2003, “Intrusion Detection System With Snort”, Prentice Hall PTR.
[10]Snort, “What Is Snort” dikutip dari www.snort.org, diakses pada tanggal 26 juli 2013, jam 20.29 wib.
[11]Gullet, David, “Snort Install guide”, Symmetrix Tecnologies, diunduh dari www.symmetrixtech.com, jam 14.00 wib, tanggal 6 Agustus 2013.
[12]Spitzer, Lance dan Addison Wesely, 2002, “Jurnal Honeypots, Tracking Hacker pdf version”, diunduh dari www.waet.org/journals/waset/v24/v24- 44.pdf, jam 14.00 wib, tanggal 6 Agustus 2013.
[13]Firar, Udirartatmo, 2005, “Trik Menjebak Hacker Dengan Honeypot”, Yogyakarta: Andi, Hal 60.
[14]Jurnal Internasional, “Hybrid Honeypot System For Network Security.pdf version”, diunduh dari www.waset.org/journals/waset/v24/v24-44.pdf, jsm 07.30 wib, tanggal 6 Agustus 2013.
[15]Rahmat, Rafiudin, 2010, “Menganyang Hacker Dengan Snort”, Yogyakarta:
Andi, Hal 37.
[16]Firar, Utdirartatmo. 2005, “Trik Menjebak Hacker Dengan Honeypot”, Yogyakarta, Andi, Hal 101.
[17]David, Annual Workshop, Wasten, 2011, “Over View of Recent Honeypot Research and Development”, diunduh dari http://www.ukhoneynet.org/waston- honeynetproject.pdf, jam 08.32 wib, tanggal 7 Agustus 2013.
![Gambar 6 Contoh perancangan honeynet [17]](https://thumb-ap.123doks.com/thumbv2/123dok/2124457.4035709/13.892.494.757.418.787/gambar-contoh-perancangan-honeynet.webp)
