jurnal intrusion prevention system(ips) tamsir ariyadi
TRANSCRIPT
Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B
Universitas Bina Darma(Tamsir Ariyadi)
IMPLEMENTASI INTRUSION PREVENTION SYSTEM(IPS)
PADA JARINGAN KOMPUTER KAMPUS B
UNIVERSITAS BINA DARMA
Tamsir Ariyadi1, Yesi Novaria Kunang
2 , Rusmala Santi
3
Dosen Universitas Bina Darma 2,3
, Mahasiswa Universitas Bina Darma 1
Jalan Jenderal Ahmad Yani No.12 Palembang
Pos-el: [email protected], [email protected]
2,
ABSTRACT: The development of computer network technology as a medium for data communications to this
increase. Intrusion Detection System (IDS) is an intrusion detection system is a software application or hardware
device that works automatically to monitor events on a computer network and analyze network security issues. IDS is
the first signaling intruder if someone tries to break into computer security systems. In general, infiltration could
mean an attack or a threat to the security and integrity of data, as well as measures or attempts to pass through the
security system made by someone from the internet or from within the system. Intrusion Prevention System (IPS) is
an application that works to monitor network traffic, detect suspicious activity, and early prevention against
intrusion or events that can create a network to run not like as it should. It could be because of an attack from the
outside, and so on. IPS In this proposal will be implemented on the university campus computer network Bina Darma
B are connected using a LAN cable. By utilizing IDS as detection and monitoring networks and IP Tables as the
antidote to the attack.
Keywords: IDS, IPS, IPTables, Computer Networking Technology
ABSTRAK: Perkembangan teknologi jaringan komputer sebagai media komunikasi data hingga saat ini semakin
meningkat. Intrusion Detection System (IDS) adalah sistem pendeteksi gangguan yaitu sebuah aplikasi perangkat
lunak atau perangkat keras yang bekerja secara otomatis untuk memonitor kejadian pada jaringan komputer dan
menganalisis masalah keamanan jaringan. IDS adalah pemberi sinyal pertama jika seseorang penyusup mencoba
membobol sistem keamanan komputer. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap
keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sistem keamanan yang dilakukan oleh
seseorang dari internet maupun dari dalam sistem. Intrusion Prevention System (IPS) adalah sebuah aplikasi yang
bekerja untuk memonitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan
dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana
mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Dalam proposal ini IPS akan
diimplementasikan pada jaringan komputer kampus B universitas bina darma yang terhubung menggunakan kabel
LAN. Dengan memanfaatkan IDS sebagai pendeteksi dan memonitor jaringan serta IPTables sebagai penangkal
serangan.
Kata kunci:IDS, IPS, IPTables, Teknologi Jaringan Komputer.
I. PENDAHULUAN 1.1 Latar Belakang
Keadaan seperti saat ini yang tidak lepas
dari internet dimana teknologi jaringan komputer
yang dinamis merupakan suatu kebutuhan yang
sangat penting untuk memperlancar segala
aktivitas dalam segala bidang. Perkembangan ini
telah berhasil meningkatkan cara interaksi sosial,
komersial, politik, agama dan pribadi mengikuti
evolusi jaringan komputer secara global. Secara
umum, yang disebut jaringan komputer adalah
beberapa komputer yang saling berhubungan dan
melakukan komunikasi satu dengan yang lain
menggunakan perangkat keras jaringan (ethernet
card, token ring, bridge, modem, dan lainnya).
Komputer yang berada dalam suatu jaringan
dapat melakukan tukar-menukar informasi/data
dengan komputer lain yang berada dalam
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
Vol. 14 No.2 September 2012: 1-14
jaringan tersebut. Pengguna suatu komputer
dapat melihat dan mengakses data pada
komputer lain dalam jaringan apabila dilakukan
file sharing.
Pada saat jaringan internet sudah
digunakan orang di berbagai belahan bumi.
Selain membawa dampak positif, internet juga
mempunyai dampak negatif, yang menimbulkan
masalah baru yang sangat mengancam yaitu
masalah keamanan jaringan. Ancaman keamanan
ini banyak sekali ditemukan oleh user seperti
virus, Malicious, Trojan, Worm, DoS, Hacker,
Spoofing, Sniffing, Spamming, Crackers dan
lainnya, yang membuat tidak nyaman serta
mengancam sistem dan data pada saat kejadian
ini menyerang jaringan. Semakin besar suatu
jaringan maka akan semakin kompleks
administrasi dari jaringan itu, oleh karena.
Menurut Iwan Sofana (2009) menjelaskan bahwa
Keamanan jaringan komputer sebagai bagian
dari sebuah sistem informasi adalah sangat
penting untuk menjaga validitas dan integritas
data serta menjamin ketersediaan layanan bagi
penggunanya. Sistem harus dilindungi dari
segala macam serangan dan usaha-usaha
penyusupan oleh pihak yang tidak berhak.
Sistem keamanan komputer, dalam beberapa
tahun ini telah menjadi fokus utama dalam dunia
jaringan komputer, hal ini disebabkan tingginya
ancaman yang mencurigakan (Suspicious Threat)
dan serangan dari internet. Keamanan komputer
(Security) merupakan salah satu kunci yang
dapat mempengaruhi tingkat Reliability
(keandalan) termasuk performance (kinerja) dan
Availability (tersedia) suatu internetwork.
Universitas Bina Darma merupakan
salah satu instansi yang aktivitasnya didukung
oleh layanan jaringan internet, mulai dari
mengolah data yang ada, diantaranya sistem
KRS online, mail server dan web portal di tiap
unit kerja. Administrator jaringan komputer
Universitas Bina Darma membangun sistem
keamanan jaringan dengan menerapkan sistem
firewall dan proxy server pada tiap unit server
termasuk server yang ada di kampus B.
Keamanan yang menggunakan sistem
firewall dan proxy server ini tidak semuanya
dapat terkendali, terkadang masih ada cela bagi
hackers, virus, dan sebagainya bisa di firewall.
Teknologi yang canggih yang bisa menggunakan
berbagai tools untuk bisa melewati firewall yang
dibangun.
Oleh karena itu, penerapan IPS
(Intrusion Prevention System) diusulkan sebagai
salah satu solusi yang dapat digunakan untuk
membantu pengaturan jaringan dalam memantau
kondisi jaringan, menganalisa paket-paket serta
mencegah segala hal yang dapat membahayakan
jaringan tersebut, hal ini bertujuan untuk
mengatasi segala ancaman seperti hacker,
cracker dan user yang tidak dikenal. Sistem
pencegahan penyusupan dengan menggunakan
Snort IDS dan IPTables Firewall, bekerja
dengan membangun sebuah mesin yang
membaca parameter IP asal penyerang pada
tampilan alert yang memerintahkan firewall
untuk memblok akses dari IP penyerang tersebut.
Pada penelitian ini penulis akan
mengimplementasikan Intrusion Prevention
System(IPS) pada jaringan komputer kampus B
Univeritas Bina Darma sebagai solusi untuk
Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B
Universitas Bina Darma(Tamsir Ariyadi)
keamanan jaringan. Dimana penulis akan
mengimplementasikan Intrusion Prevention
System(IPS) dengan menggunakan snort
Intrusion Detection System(IDS) dan IPTables
Firewall. Berdasarkan latar belakang diatas,
penulis akan melakukan penelitian dengan judul
“Implementasi Intrusion Prevention System(IPS)
Pada Jaringan Komputer Kampus B Universitas
Bina Darma”.
1.2 Perumusan Masalah
Berdasarkan latar belakang diatas, maka
penulis merumuskan permasalahan dalam
penelitian ini yaitu: Bagaimana
mengimplementasikan Intrusion Prevention
System dengan memanfaatkan Router Cisco
1700 series dan Switch Catalyst 2950 pada ruang
VLAN server kampus B Universitas Bina
Darma?.
1.3 Batasan Masalah
Dalam penelitian ini penulis membatasi
permasalahan agar tetap terarah dan tidak
menyimpang dari apa yang sudah direncanakan
sebelumnya. Adapun batasan masalah dalam
penelitian ini adalah:
1. Menggunakan snort IDS(Intrusion
Detection System) sebagai pendeteksi
penyusupan.
2. Memanfaatkan IPTables Firewall
sebagai pencegahan.
1.4 Tujuan dan Manfaat
1.4.1 Tujuan
Dapat memonitor dan mencegah serta
meminimalisir segala ancaman-ancaman pada
jaringan komputer kampus B Universitas Bina
Darma serta mengevaluasi secara singkat
dampak dari implementasi.
1.4.2 Manfaat
Adapun manfaat dari penelitian ini
adalah sebagai berikut:
1. Membantu dalam meningkatkan
keamanan jaringan pada Universitas
Bina Darma.
2. Sebagai pendeteksi dan pencegahan
segala ancaman-ancaman terhadap
jaringan komputer.
3. Meningkatkan dan mengembangkan
pengetahuan bagi penulis tentang
keamanan jaringan komputer.
4. Diharapkan dapat mengoptimalkan
kinerja jaringan komputer kampus B
Universitas Bina Darma.
II. METODOLOGI PENELITIAN
2.1 Metode Pengumpulan Data
Dalam melakukan pengumpulan data,
penulis menggunakan beberapa cara yaitu:
1. Studi kepustakaan, Data diperoleh
melalui studi kepustakaan yaitu dengan
mencari bahan dari internet, jurnal dan
perpustakaan serta buku yang sesuai
dengan objek yang akan diteliti.
2. Pengamatan, Data dikumpulkan dengan
melihat secara langsung dari objek yang
diteliti pada VLAN server kampus B
Universitas Bina Darma.
3. Wawancara, Data dikumpulkan dengan
cara melakukan diskusi dengan pihak
yang terkait dengan sistem IT yang
ada di Universitas Bina Darma
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
Vol. 14 No.2 September 2012: 1-14
untuk memperoleh informasi
langsung dari sumbernya.
2.2 Metode Penelitian
Metode penelitian yang digunakan
dalam penelitian ini menggunakan metode
penelitian tindakan atau action research.
Menurut Guritno, Sudaryono, dan Raharja
(2011:46) Action Research merupakan bentuk
penelitian tahapan(applied research) yang
bertujuan mencari cara efektif yang
menghasilkan perubahan disengaja dalam suatu
lingkungan yang sebagian dikendalikan
(dikontrol).
Action research menurut Davison,
Martinsons dan Knock(2004) yaitu penelitian
tindakan yang mendeskripsikan, menginterpretasi
dan menjelaskan suatu situasi sosial atau pada
waktu bersamaan dengan melakukan perubahan
atau intervensi dengan tujuan perbaikan atau
partisipasi. Adapun tahapan penelitian yang
merupakan bagian dari action research ini, yaitu:
1. Melakukan diagnose(Diagnosing)
2. Membuat rencana tindakan(Action
Planning)
3. Melakukan tindakan(Action Taking)
4. Melakukan evaluasi(Evaluating)
5. Pembelajaran(Learning)
III. HASIL
Setelah tahap demi tahap peneliti
lakukan dalam Implementasi Intrusion
Prevention System(IPS) pada jaringan komputer
dengan snort IDS sebagai pendeteksi dan
iptables firewall sebagai pencegah penyusupan.
Untuk mengaktifkan mode sistem deteksi
penyusup jaringan(Network Intrusion Detection
System). Dimana snort.conf adalah nama file
tempat rule-rule Intrusion Detection System
disimpan. Rule-rule yang telah tersimpan
tersebut dapat memutuskan tindakan apa yang
akan dilakukan terhadap setiap paket yang
ditemukan sesuai rule-rule yang telah
ditetapkan. Berikut merupakan ouput snort
dengan network intrusion detection pada gambar
3.1:
Gambar 3.1 Output network intrusion detection
Berikutnya menampilkan jenis serangan
port 22 pada komputer server yang terjadi di
aplikasi base seperti tampak pada gambar 3.2:
Gambar 3.2 Informasi serangan melalui port 22
Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B
Universitas Bina Darma(Tamsir Ariyadi)
Jenis serangan yang sedang mengakses
web server snort yang ditandai pada bagian
signature yaitu someone is watching your
website by port 22 melalui port 22 membanjiri
layanan jaringan
Gambar 3.3 Informasi serangan melalui port 80
3.1 Pengujian Intrusion Prevention
System(IPS)
Untuk menguji sistem yang telah dibuat,
terlebih melakukan uji coba terhadap server yang
dibuat, beberapa percobaan serangan antara lain
sebagai sebagai berikut:
a. ICMP flood
Gambar.3.4 Pengiriman paket ICMP flood
Melakukan percobaan penyerangan
terhadap server yang telah dibangun dengan
melancarkan pengirimkan paket ICMP dalam
ukuran besar sehingga dikategorikan sebagai
DOS attack(Denial of Service), adapun proses
penyerangan dimulai dengan membuka
command prompt melalui komputer client lalu
mengetikan perintah ping 172.168.10.3 –l 10000
–t.
b. UDP flood
Gambar 3.5 Pengiriman paket UDP flood
UDP flood mengaitkan dua sistem tanpa
disadari. Dengan cara spoofing, UDP flood
attack akan menempel pada servis UDP, untuk
keperluan “percobaan” akan mengirimkan
sekelompok karakter ke mesin lain, yang
diprogram untuk meng-echo setiap kiriman
karakter yang diterima melalui servis chargen.
Pada gambar 4.14 diatas penyerang
mengirimkan paket UDP flood menggunakan
UDP Test Tool 3.0 ke server dengan melakukan
pengiriman setiap detik.
c. Port Scanning
Gambar 3.6 Scanning port scan
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
Vol. 14 No.2 September 2012: 1-14
Scanning terhadap server untuk
mendapatkan letak kelemahan sistem jaringan
dan mengetahui tentang port-port yang terbuka
pada server. Percobaan dilakukan dengan
menggunakan NetTools 5.
d. SYN Flood DoS
Gambar 3.7 SYN Flood DoS 1
Penyerang akan mengirimkan paket-
paket SYN ke dalam port-port yang sedang
berada dalam keadaan listening yang berada
dalam host target. Pada percobaan pada gambar
diatas target www.binadarma.ac.id dan port 80.
3.2 Setelah Pengujian Server di VLAN
Server Setelah melakukan pengujian terhadap
server Intrusion Prevention System(IPS) dengan
melakukan beberapa serangan. Pengujian
dilakukan di VLAN server dengan meletakan
server Intrusion Prevention System (IPS).
Langkah pertama yang harus dilakukan adalah
meletakan PC network sensor yang terhubung
Switch di VLAN server, Kemudian melalui PC
Client melakukan monitoring terhadap serangan
yang terjadi dengan membuka alamat
http://172.168.10.3/base base seperti pada
gambar dibawah ini:
Gambar 3.8 Tampilan Aplikasi Base
Selanjutnya adalah mengamati bentuk-
bentuk serangan yang sudah terekam pada
database aplikasi base seperti serangan melalui
protocol TCP, UDP, ICMP dan Raw IP, bentuk
serangan yang terjadi dapat dilihat pada gambar-
gambar 3.7 dibawah ini:
Gambar 3.9 Serangan melalui protocol TCP
Serangan melalui protocol TCP akan
tampak seperti gambar diatas yang terlihat pada
bagian Layer 4 Protocol yang bisa
memperlambat dan menggangu kinerja jaringan.
Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B
Universitas Bina Darma(Tamsir Ariyadi)
Gambar 3.10 Serangan melalui protocol ICMP
Jenis serangan melalui protocol ICMP
yang akan membanjiri suatu jaringan serta
memperlambat jaringan dengan mengirimkan
pesan yaitu Community SIP TCP/IP Message
flooding directed SIP Proxy.
Untuk mencari kejadian-kejadian pada
jaringan dengan menggunakan BASE baik
menurut jam, hari, 15 alert terbaru, source dan
destination port terakhir, frekuensi 15 address
terakhir dan sebagainya telah tersedia oleh BASE
console dengan snapshot view pada main page
dari BASE. Seperti pada gambar 3.8 dibawah ini:
Gambar 3.11 Traffic Sensor
3.3 Pembahasan
a. Membatasi flood ICMP
Untuk menguji firewall dengan cara
melancarkan paket serangan ke sistem yang
dilindungi oleh IPS. Pada pengujian ini
dikirimkan paket ICMP dalam ukuran besar
sehingga dikategorikan sebagai DOS
attack(denial of service). Dengan mengetikan
perintah ping 10.237.3.91 –l 10000 –t. Berikut
pengujian yang dilakukan client terhadap Server:
Gambar 3.12 Output ICMP Flood
b. Membatasi UDP Flood
Gambar 3.13 Output UDP Test Tool
Pembatasan flood UDP dilakukan dengan
memasukan IP target, maka tampil pengiriman
pada aplikasi UDP Test Tool 3.0 diterima setiap
10 detik. Adapun perintah di iptables : # iptables
–A INPUT –p –m limit –limit 10/s –j ACCEPT.
Apabila terjadi UDP flood maka firewall akan
merespon dan membatasinya seperti terlihat pada
gambar 4.31 diatas, rentang waktunya melambat.
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
Vol. 14 No.2 September 2012: 1-14
c. Port Scan
3.14 Output port scaning
Setelah melakukan penyerangan
terhadap server, port scanner akan mengalami
perubahan rentang waktunya dan tidak
sebagaimana mestinya sebelum diterapkan
perintah di iptables. Pada aplikasi Net Tools 5
terlihat scanning melambat tidak seperti
biasanya, itu karena firewall sudah merespon
atau membatasi akses ke server. Adapun rule
port scan di iptables firewall sebagai berikut:
Perintah Keterangan
#iptables -A INPUT -p tcp
--tcp-flags SYN,ACK
SYN,ACK -m state --state
NEW -j DROP
#iptables -A INPUT -p tcp
--tcp-flags ALL NONE -j
DROP
#iptables -A INPUT -p tcp
--tcp-flags SYN,FIN
SYN,FIN -j DROP
#iptables -A INPUT -p tcp
--tcp-flags SYN,RST
SYN,RST -j DROP
#iptables -A INPUT -p tcp
--tcp-flags ALL
SYN,RST,ACK,FIN,URG -j
DROP
#iptables -A INPUT -p tcp
--tcp-flags FIN,RST
FIN,RST -j DROP
Karena port
scanning berfungsi
melakukan
pendeteksian port-
port yang terbuka,
maka pada rule
iptables firewall
diatas bahwa
protocol tcp SYN,
ACK SYN, ACK,
Fin SYN, Fin,
RST SYN, RST,
URG dan PSH
akan ditolak.
Iptables firewall
akan melakukan
respon terhadap
scanning, scan
yang dilakukan
terhadap port jadi
#iptables -A INPUT -p tcp
--tcp-flags ACK,FIN FIN -j
DROP
#iptables -A INPUT -p tcp
--tcp-flags ACK,PSH PSH
-j DROP
#iptables -A INPUT -p tcp
--tcp-flags ACK,URG URG
-j DROP
harus ditolak hak
aksesnya karena
bisa menganggu
keamanan sistem
jaringan.
Tabel 3.1 Perintah iptables firewall port scaning
d. SYN Flood DoS
Setelah melakukan percobaan yang
dialokasikan oleh sistem penerima dapat
mengalami “kepenuhan” dan target merespon
koneksi yang datang hingga paket SYN yang
sebelumnya akan masuk ke server. Perintah pada
iptables firewall : #IPTABLES -A INPUT -p tcp
--syn -m limit --limit 3/s -j ACCEPT, Terlihat
pada gambar 4.33 bahwa nmap yang dilakukan
akan direspon oleh firewall, sehingga
membatasi setiap 3 detik oleh server jika
terdapat serangan SYN flood.
d. SYN Flood DoS
Gambar 3.15 Output SYN Flood DoS
Setelah melakukan percobaan yang
dialokasikan oleh sistem penerima dapat
mengalami “kepenuhan” dan target merespon
Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B
Universitas Bina Darma(Tamsir Ariyadi)
koneksi yang datang hingga paket SYN yang
sebelumnya akan masuk ke server. Perintah pada
iptables firewall: #IPTABLES -A INPUT -p tcp
--syn -m limit --limit 3/s -j ACCEPT, Terlihat
pada gambar 4.33 bahwa nmap yang dilakukan
akan direspon oleh firewall, sehingga
membatasi setiap 3 detik oleh server jika
terdapat serangan SYN flood.
IV. SIMPULAN
Berdasarkan hasil penelitian dan
pembahasan yang telah diuraikan dalam
penelitian yang berjudul Implementasi Intrusion
Prevention System (IPS) Pada Jaringan
Komputer Kampus B Universitas Bina Darma
maka dapat disimpulkan sebagai berikut:
1. Serangan atau penyusupan dapat dicegah
dengan implementasi Intrusion
Prevention System(IPS).
2. Serangan dapat terdeteksi atau tidak
tergantung pola serangan tersebut ada di
dalam rule IDS atau tidak. Oleh karena itu,
pengelola IDS harus secara rutin
mengupdate rule terbaru.
3. Untuk mempermudah pengelolaan rule
perlu user interface (front end) seperti
webmin yang ditambahkan plugin snort
rule.
4. Untuk mempermudah analisis terhadap
catatan-catatan IDS (security event) perlu
ditambahkan module tambahan seperti
ACID.
5. Update rule pada firewall seharusnya
dalam bentuk daemon proses hingga
proses bekerja secara realtime.
6. Manajemen rule sebaiknya dibuat
tersendiri, dapat dilakukan dengan
pemrograman aplikasi berbasis web-bukan
di webmin.
V. DAFTAR PUSTAKA
Andi. 2005. Menjadi Administrator Jaringan
Komputer. Yogyakarta : Andi.
Abraham N.S. Jr.,Agus H., Alexander.2009,
Jurnal. Perancangan dan Impelementasi
Intrusion Detection System pada
Jaringan Nirkabel BINUS University.
Jakarta: BINUS University.
Eslam Mohsin Hassib et. al. / International
Journal of Engineering Science and
Technology.
Davison, R. M., Martinsons, M. G., Kock N.,
(2004), Journal : Information Systems
Journal : Principles of Canonical Action
Research 14, 65–86
Guritno, S, Sudaryono, dan Raharja, U. 2011.
Theory and Application of IT Research.
Yogyakarta : Andi.
Hartono, Puji.,(2006), Jurnal : Sistem
Pencegahan Penyusupan pada Jaringan
berbasis Snort IDS dan IPTables
Firewall.
(JTB_Journal of Technology and Business.
October 2007).
Jurnal SMARTek, Vol. 9 No. 3. Agustus
2011: 223 – 229.
Rafiudin, Rahmat, 2010. “Mengganyang
Hacker dengan Snort”. Yogyakarta :
Andi Offset.
Sofana, Iwan. 2010. CISCO CCNA &
JARINGAN KOMPUTER. Bandung :
Informatika.
Jurnal Ilmiah Teknik Informatika Ilmu Komputer
Vol. 14 No.2 September 2012: 1-14
Stiawan, Deris.,(2010), Jurnal : Intrusion
Prevention System (IPS) dan
Tantangan dalam
pengembanganya.(Dosen Jurusan
Sistem Komputer FASILKOM
UNSRI).
Tom, Thomas. 2005. “Networking Security
First-Step”. Yogyakarta : Andi
OFFSET.
Ulfa, Maria. 2012. Implementasi Intrusion
Detection System Di Jaringan
Universitas Bina Darma.
Palembang: Tidak diterbitkan.
https://help.ubuntu.com/10.04/serverguide/firewa
ll.html (diakses 10 Juli 2012)
http://www.linuxtopia.org/online_books/linux_sy
stem_administration/securing_and_optimizing_li
nux/Secure-optimize.html (diakses 10 Juli 2012)
http://www.cyberciti.biz/tips/linux-iptables-10-
how-to-block-common-attack.html (diakses 10
Juli 2012)
http://tomicki.net/syn.flooding.php(diakses 27
Juli 2012)