IMPLEMENTASI INTRUSION PREVENTION SYSTEM(IPS)
PADA JARINGAN KOMPUTER KAMPUS B
UNIVERSITAS BINA DARMA
Tamsir Ariyadi
1, Yesi Novaria Kunang
2, Rusmala Santi
3Dosen Universitas Bina Darma
2,3, Mahasiswa Universitas Bina Darma
1Jalan Jenderal Ahmad Yani No.12 Palembang
Pos-el: [email protected]
1, [email protected]
2,
[email protected]
3ABSTRACT: The development of computer network technology as a medium for data communications to this
increase. Intrusion Detection System (IDS) is an intrusion detection system is a software application or hardware device that works automatically to monitor events on a computer network and analyze network security issues. IDS is the first signaling intruder if someone tries to break into computer security systems. In general, infiltration could mean an attack or a threat to the security and integrity of data, as well as measures or attempts to pass through the security system made by someone from the internet or from within the system. Intrusion Prevention System (IPS) is an application that works to monitor network traffic, detect suspicious activity, and early prevention against intrusion or events that can create a network to run not like as it should. It could be because of an attack from the outside, and so on. IPS In this proposal will be implemented on the university campus computer network Bina Darma B are connected using a LAN cable. By utilizing IDS as detection and monitoring networks and IP Tables as the antidote to the attack.
Keywords: IDS, IPS, IPTables
,
Computer Networking TechnologyABSTRAK: Perkembangan teknologi jaringan komputer sebagai media komunikasi data hingga saat ini semakin meningkat. Intrusion Detection System (IDS) adalah sistem pendeteksi gangguan yaitu sebuah aplikasi perangkat lunak atau perangkat keras yang bekerja secara otomatis untuk memonitor kejadian pada jaringan komputer dan menganalisis masalah keamanan jaringan. IDS adalah pemberi sinyal pertama jika seseorang penyusup mencoba membobol sistem keamanan komputer. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sistem keamanan yang dilakukan oleh seseorang dari internet maupun dari dalam sistem. Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk memonitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Dalam proposal ini IPS akan diimplementasikan pada jaringan komputer kampus B universitas bina darma yang terhubung menggunakan kabel
LAN. Dengan memanfaatkan IDS sebagai pendeteksi dan memonitor jaringan serta IPTables sebagai penangkal
serangan.
Kata kunci:IDS, IPS, IPTables, Teknologi Jaringan Komputer.
I.
PENDAHULUAN
1.1 Latar Belakang
Keadaan seperti saat ini yang tidak lepas dari internet dimana teknologi jaringan komputer yang dinamis merupakan suatu kebutuhan yang sangat penting untuk memperlancar segala aktivitas dalam segala bidang. Perkembangan ini telah berhasil meningkatkan cara interaksi sosial, komersial, politik, agama dan pribadi mengikuti
evolusi jaringan komputer secara global. Secara umum, yang disebut jaringan komputer adalah beberapa komputer yang saling berhubungan dan melakukan komunikasi satu dengan yang lain menggunakan perangkat keras jaringan (ethernet card, token ring, bridge, modem, dan lainnya). Komputer yang berada dalam suatu jaringan dapat melakukan tukar-menukar informasi/data dengan komputer lain yang berada dalam
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
jaringan tersebut. Pengguna suatu komputer dapat melihat dan mengakses data pada komputer lain dalam jaringan apabila dilakukan file sharing.
Pada saat jaringan internet sudah digunakan orang di berbagai belahan bumi. Selain membawa dampak positif, internet juga mempunyai dampak negatif, yang menimbulkan masalah baru yang sangat mengancam yaitu masalah keamanan jaringan. Ancaman keamanan ini banyak sekali ditemukan oleh user seperti virus, Malicious, Trojan, Worm, DoS, Hacker, Spoofing, Sniffing, Spamming, Crackers dan lainnya, yang membuat tidak nyaman serta mengancam sistem dan data pada saat kejadian ini menyerang jaringan. Semakin besar suatu jaringan maka akan semakin kompleks administrasi dari jaringan itu, oleh karena. Menurut Iwan Sofana (2009) menjelaskan bahwa Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan oleh pihak yang tidak berhak. Sistem keamanan komputer, dalam beberapa tahun ini telah menjadi fokus utama dalam dunia jaringan komputer, hal ini disebabkan tingginya ancaman yang mencurigakan (Suspicious Threat) dan serangan dari internet. Keamanan komputer (Security) merupakan salah satu kunci yang dapat mempengaruhi tingkat Reliability (keandalan) termasuk performance (kinerja) dan Availability (tersedia) suatu internetwork.
Universitas Bina Darma merupakan salah satu instansi yang aktivitasnya didukung oleh layanan jaringan internet, mulai dari mengolah data yang ada, diantaranya sistem KRS online, mail server dan web portal di tiap unit kerja. Administrator jaringan komputer Universitas Bina Darma membangun sistem keamanan jaringan dengan menerapkan sistem firewall dan proxy server pada tiap unit server termasuk server yang ada di kampus B.
Keamanan yang menggunakan sistem firewall dan proxy server ini tidak semuanya dapat terkendali, terkadang masih ada cela bagi hackers, virus, dan sebagainya bisa di firewall. Teknologi yang canggih yang bisa menggunakan berbagai tools untuk bisa melewati firewall yang dibangun.
Oleh karena itu, penerapan IPS (Intrusion Prevention System) diusulkan sebagai salah satu solusi yang dapat digunakan untuk membantu pengaturan jaringan dalam memantau kondisi jaringan, menganalisa paket-paket serta mencegah segala hal yang dapat membahayakan jaringan tersebut, hal ini bertujuan untuk mengatasi segala ancaman seperti hacker, cracker dan user yang tidak dikenal. Sistem pencegahan penyusupan dengan menggunakan Snort IDS dan IPTables Firewall, bekerja dengan membangun sebuah mesin yang membaca parameter IP asal penyerang pada tampilan alert yang memerintahkan firewall untuk memblok akses dari IP penyerang tersebut.
Pada penelitian ini penulis akan mengimplementasikan Intrusion Prevention System(IPS) pada jaringan komputer kampus B Univeritas Bina Darma sebagai solusi untuk
keamanan jaringan. Dimana penulis akan mengimplementasikan Intrusion Prevention System(IPS) dengan menggunakan snort Intrusion Detection System(IDS) dan IPTables Firewall. Berdasarkan latar belakang diatas, penulis akan melakukan penelitian dengan judul “Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B Universitas Bina Darma”.
1.2 Perumusan Masalah
Berdasarkan latar belakang diatas, maka penulis merumuskan permasalahan dalam penelitian ini yaitu: Bagaimana mengimplementasikan Intrusion Prevention System dengan memanfaatkan Router Cisco 1700 series dan Switch Catalyst 2950 pada ruang VLAN server kampus B Universitas Bina Darma?.
1.3 Batasan Masalah
Dalam penelitian ini penulis membatasi permasalahan agar tetap terarah dan tidak menyimpang dari apa yang sudah direncanakan sebelumnya. Adapun batasan masalah dalam penelitian ini adalah:
1. Menggunakan snort IDS(Intrusion Detection System) sebagai pendeteksi penyusupan.
2. Memanfaatkan IPTables Firewall sebagai pencegahan.
1.4 Tujuan dan Manfaat 1.4.1 Tujuan
Dapat memonitor dan mencegah serta meminimalisir segala ancaman-ancaman pada
jaringan komputer kampus B Universitas Bina Darma serta mengevaluasi secara singkat dampak dari implementasi.
1.4.2 Manfaat
Adapun manfaat dari penelitian ini adalah sebagai berikut:
1. Membantu dalam meningkatkan keamanan jaringan pada Universitas Bina Darma.
2. Sebagai pendeteksi dan pencegahan segala ancaman-ancaman terhadap jaringan komputer.
3. Meningkatkan dan mengembangkan pengetahuan bagi penulis tentang keamanan jaringan komputer.
4. Diharapkan dapat mengoptimalkan kinerja jaringan komputer kampus B Universitas Bina Darma.
II.
METODOLOGI PENELITIAN
2.1 Metode Pengumpulan Data
Dalam melakukan pengumpulan data, penulis menggunakan beberapa cara yaitu: 1. Studi kepustakaan, Data diperoleh
melalui studi kepustakaan yaitu dengan mencari bahan dari internet, jurnal dan perpustakaan serta buku yang sesuai dengan objek yang akan diteliti.
2. Pengamatan, Data dikumpulkan dengan melihat secara langsung dari objek yang diteliti pada VLAN server kampus B Universitas Bina Darma.
3. Wawancara, Data dikumpulkan dengan cara melakukan diskusi dengan pihak yang terkait dengan sistem IT yang ada di Universitas
Bina
Darma
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
untuk memperoleh
informasi
langsung dari sumbernya.
2.2 Metode Penelitian
Metode penelitian yang digunakan dalam penelitian ini menggunakan metode penelitian tindakan atau action research. Menurut Guritno, Sudaryono, dan Raharja (2011:46) Action Research merupakan bentuk penelitian tahapan(applied research) yang bertujuan mencari cara efektif yang menghasilkan perubahan disengaja dalam suatu lingkungan yang sebagian dikendalikan (dikontrol).
Action research menurut Davison, Martinsons dan Knock(2004) yaitu penelitian tindakan yang mendeskripsikan, menginterpretasi dan menjelaskan suatu situasi sosial atau pada waktu bersamaan dengan melakukan perubahan atau intervensi dengan tujuan perbaikan atau partisipasi. Adapun tahapan penelitian yang merupakan bagian dari action research ini, yaitu:
1. Melakukan diagnose(Diagnosing) 2. Membuat rencana tindakan(Action
Planning)
3. Melakukan tindakan(Action Taking) 4. Melakukan evaluasi(Evaluating) 5. Pembelajaran(Learning)
III.
HASIL
Setelah tahap demi tahap peneliti lakukan dalam Implementasi Intrusion Prevention System(IPS) pada jaringan komputer dengan snort IDS sebagai pendeteksi dan iptables firewall sebagai pencegah penyusupan.
Untuk mengaktifkan mode sistem deteksi penyusup jaringan(Network Intrusion Detection System). Dimana snort.conf adalah nama file tempat rule-rule Intrusion Detection System disimpan. Rule-rule yang telah tersimpan tersebut dapat memutuskan tindakan apa yang akan dilakukan terhadap setiap paket yang ditemukan sesuai rule-rule yang telah ditetapkan. Berikut merupakan ouput snort dengan network intrusion detection pada gambar 3.1:
Gambar 3.1 Output network intrusion detection Berikutnya menampilkan jenis serangan port 22 pada komputer server yang terjadi di aplikasi base seperti tampak pada gambar 3.2:
Jenis serangan yang sedang mengakses web server snort yang ditandai pada bagian signature yaitu someone is watching your website by port 22 melalui port 22 membanjiri layanan jaringan
Gambar 3.3 Informasi serangan melalui port 80
3.1 Pengujian Intrusion Prevention System(IPS)
Untuk menguji sistem yang telah dibuat, terlebih melakukan uji coba terhadap server yang dibuat, beberapa percobaan serangan antara lain sebagai sebagai berikut:
a. ICMP flood
Gambar.3.4 Pengiriman paket ICMP flood Melakukan percobaan penyerangan terhadap server yang telah dibangun dengan melancarkan pengirimkan paket ICMP dalam ukuran besar sehingga dikategorikan sebagai
DOS attack(Denial of Service), adapun proses penyerangan dimulai dengan membuka command prompt melalui komputer client lalu mengetikan perintah ping 172.168.10.3 –l 10000 –t.
b. UDP flood
Gambar 3.5 Pengiriman paket UDP flood
UDP flood mengaitkan dua sistem tanpa disadari. Dengan cara spoofing, UDP flood attack akan menempel pada servis UDP, untuk keperluan “percobaan” akan mengirimkan sekelompok karakter ke mesin lain, yang diprogram untuk meng-echo setiap kiriman karakter yang diterima melalui servis chargen. Pada gambar 4.14 diatas penyerang mengirimkan paket UDP flood menggunakan UDP Test Tool 3.0 ke server dengan melakukan pengiriman setiap detik.
c. Port Scanning
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
Scanning terhadap server untuk mendapatkan letak kelemahan sistem jaringan dan mengetahui tentang port-port yang terbuka pada server. Percobaan dilakukan dengan menggunakan NetTools 5.
d. SYN Flood DoS
Gambar 3.7 SYN Flood DoS 1
Penyerang akan mengirimkan paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan listening yang berada dalam host target. Pada percobaan pada gambar diatas target www.binadarma.ac.id dan port 80.
3.2 Setelah Pengujian Server di VLAN
Server
Setelah melakukan pengujian terhadap server Intrusion Prevention System(IPS) dengan melakukan beberapa serangan. Pengujian dilakukan di VLAN server dengan meletakan server Intrusion Prevention System (IPS). Langkah pertama yang harus dilakukan adalah meletakan PC network sensor yang terhubung Switch di VLAN server, Kemudian melalui PC Client melakukan monitoring terhadap serangan yang terjadi dengan membuka alamat http://172.168.10.3/base base seperti pada
gambar dibawah ini:
Gambar 3.8 Tampilan Aplikasi Base
Selanjutnya adalah mengamati bentuk-bentuk serangan yang sudah terekam pada database aplikasi base seperti serangan melalui protocol TCP, UDP, ICMP dan Raw IP, bentuk serangan yang terjadi dapat dilihat pada gambar-gambar 3.7 dibawah ini:
Gambar 3.9 Serangan melalui protocol TCP
Serangan melalui protocol TCP akan tampak seperti gambar diatas yang terlihat pada bagian Layer 4 Protocol yang bisa memperlambat dan menggangu kinerja jaringan.
Gambar 3.10 Serangan melalui protocol ICMP Jenis serangan melalui protocol ICMP yang akan membanjiri suatu jaringan serta memperlambat jaringan dengan mengirimkan pesan yaitu Community SIP TCP/IP Message flooding directed SIP Proxy.
Untuk mencari kejadian-kejadian pada jaringan dengan menggunakan BASE baik menurut jam, hari, 15 alert terbaru, source dan destination port terakhir, frekuensi 15 address terakhir dan sebagainya telah tersedia oleh BASE console dengan snapshot view pada main page dari BASE. Seperti pada gambar 3.8 dibawah ini:
Gambar 3.11 Traffic Sensor
3.3 Pembahasan
a.
Membatasi flood ICMPUntuk menguji firewall dengan cara melancarkan paket serangan ke sistem yang dilindungi oleh IPS. Pada pengujian ini dikirimkan paket ICMP dalam ukuran besar
sehingga dikategorikan sebagai DOS attack(denial of service). Dengan mengetikan perintah ping 10.237.3.91 –l 10000 –t. Berikut pengujian yang dilakukan client terhadap Server:
Gambar 3.12 Output ICMP Flood
b.
Membatasi UDP FloodGambar 3.13 Output UDP Test Tool Pembatasan flood UDP dilakukan dengan memasukan IP target, maka tampil pengiriman pada aplikasi UDP Test Tool 3.0 diterima setiap 10 detik. Adapun perintah di iptables : # iptables –A INPUT –p –m limit –limit 10/s –j ACCEPT. Apabila terjadi UDP flood maka firewall akan merespon dan membatasinya seperti terlihat pada gambar 4.31 diatas, rentang waktunya melambat.
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
c. Port Scan
3.14 Output port scaning
Setelah melakukan penyerangan terhadap server, port scanner akan mengalami perubahan rentang waktunya dan tidak sebagaimana mestinya sebelum diterapkan perintah di iptables. Pada aplikasi Net Tools 5 terlihat scanning melambat tidak seperti biasanya, itu karena firewall sudah merespon atau membatasi akses ke server. Adapun rule port scan di iptables firewall sebagai berikut:
Perintah Keterangan
#iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
#iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP #iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP #iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP #iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP #iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP Karena port scanning berfungsi melakukan pendeteksian port-port yang terbuka, maka pada rule iptables firewall diatas bahwa protocol tcp SYN, ACK SYN, ACK, Fin SYN, Fin, RST SYN, RST, URG dan PSH akan ditolak. Iptables firewall akan melakukan respon terhadap scanning, scan yang dilakukan terhadap port jadi
#iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
#iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
#iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
harus ditolak hak aksesnya karena bisa menganggu keamanan sistem jaringan.
Tabel 3.1 Perintah iptables firewall port scaning
d.
SYN Flood DoSSetelah melakukan percobaan yang dialokasikan oleh sistem penerima dapat mengalami “kepenuhan” dan target merespon koneksi yang datang hingga paket SYN yang sebelumnya akan masuk ke server. Perintah pada iptables firewall : #IPTABLES -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT, Terlihat pada gambar 4.33 bahwa nmap yang dilakukan akan direspon oleh firewall, sehingga membatasi setiap 3 detik oleh server jika terdapat serangan SYN flood.
d.
SYN Flood DoS
Gambar 3.15 Output SYN Flood DoS
Setelah melakukan percobaan yang dialokasikan oleh sistem penerima dapat mengalami “kepenuhan” dan target merespon
koneksi yang datang hingga paket SYN yang sebelumnya akan masuk ke server. Perintah pada iptables firewall: #IPTABLES -A INPUT -p tcp --syn -m limit --limit 3/s -j ACCEPT, Terlihat pada gambar 4.33 bahwa nmap yang dilakukan akan direspon oleh firewall, sehingga membatasi setiap 3 detik oleh server jika terdapat serangan SYN flood.
IV.
SIMPULAN
Berdasarkan hasil penelitian dan pembahasan yang telah diuraikan dalam penelitian yang berjudul Implementasi Intrusion Prevention System (IPS) Pada Jaringan Komputer Kampus B Universitas Bina Darma maka dapat disimpulkan sebagai berikut:
1. Serangan atau penyusupan dapat dicegah dengan implementasi Intrusion Prevention System(IPS).
2. Serangan dapat terdeteksi atau tidak tergantung pola serangan tersebut ada di dalam rule IDS atau tidak. Oleh karena itu, pengelola IDS harus secara rutin mengupdate rule terbaru.
3. Untuk mempermudah pengelolaan rule perlu user interface (front end) seperti webmin yang ditambahkan plugin snort rule.
4. Untuk mempermudah analisis terhadap catatan-catatan IDS (security event) perlu ditambahkan module tambahan seperti ACID.
5. Update rule pada firewall seharusnya dalam bentuk daemon proses hingga proses bekerja secara realtime.
6. Manajemen rule sebaiknya dibuat tersendiri, dapat dilakukan dengan
pemrograman aplikasi berbasis web-bukan di webmin.
V.
DAFTAR PUSTAKA
Andi. 2005. Menjadi Administrator Jaringan Komputer. Yogyakarta : Andi. Abraham N.S. Jr.,Agus H., Alexander.2009,
Jurnal. Perancangan dan Impelementasi Intrusion Detection System pada
Jaringan Nirkabel BINUS University. Jakarta: BINUS University.
Eslam Mohsin Hassib et. al. / International Journal of Engineering Science and Technology.
Davison, R. M., Martinsons, M. G., Kock N., (2004), Journal : Information Systems Journal : Principles of Canonical Action Research 14, 65–86
Guritno, S, Sudaryono, dan Raharja, U. 2011. Theory and Application of IT Research. Yogyakarta : Andi.
Hartono, Puji.,(2006), Jurnal : Sistem
Pencegahan Penyusupan pada Jaringan berbasis Snort IDS dan IPTables Firewall.
(JTB_Journal of Technology and Business. October 2007).
Jurnal SMARTek, Vol. 9 No. 3. Agustus 2011: 223 – 229.
Rafiudin, Rahmat, 2010. “Mengganyang Hacker dengan Snort”. Yogyakarta : Andi Offset.
Sofana, Iwan. 2010. CISCO CCNA &
JARINGAN KOMPUTER. Bandung : Informatika.
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
Stiawan, Deris.,(2010), Jurnal : Intrusion Prevention System (IPS) dan Tantangan dalam pengembanganya.(Dosen Jurusan Sistem Komputer FASILKOM UNSRI).
Tom, Thomas. 2005. “Networking Security First-Step”. Yogyakarta : Andi OFFSET.
Ulfa, Maria. 2012. Implementasi Intrusion Detection System Di Jaringan Universitas Bina Darma. Palembang: Tidak diterbitkan.
https://help.ubuntu.com/10.04/serverguide/firewa ll.html (diakses 10 Juli 2012)
http://www.linuxtopia.org/online_books/linux_sy stem_administration/securing_and_optimizing_li nux/Secure-optimize.html(diakses 10 Juli 2012) http://www.cyberciti.biz/tips/linux-iptables-10-how-to-block-common-attack.html (diakses 10 Juli 2012)
http://tomicki.net/syn.flooding.php(diakses 27 Juli 2012)
