T1 672009005 Full text
1.
Pendahuluan
Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati
aktivitas dalam suatu jaringan komputer [1]. Snort dapat digunakan sebagai suatu
Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight),
dan software ini menggunakan sistem peraturan-peraturan (rules system) yang
relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging)
terhadap berbagai macam serangan terhadap jaringan komputer [2]. Dengan
membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari berbagai
macam serangan, maka Snort dapat mendeteksi dan melakukan logging terhadap
serangan-serangan tersebut. Snort memiliki bahasa pembuatan rules yang relatif
mudah dipelajari dan fleksibel. Pembuatan rule memiliki beberapa bagian yaitu
rule header dan rule option. Penambahan rules pada Snort dimungkinkan jika
diketahui adanya signature atau menggunakan kata kunci tertentu. Sedangkan
Honeyweb merupakan salah satu varian Honeypot, dianggap optimal dalam
masalah yang ada tentang serangan web. Honeyweb adalah tipuan berbasis
webserver seperti program yang dapat digunakan sebagai server mandiri atau
bersama dengan Honeyd untuk menyediakan permintaan berbasis http spoofing
dan halaman web. Honeyweb terbagi dalam 3 bagian yaitu the front-end, business
layer, dan sebuah back-end. Untuk itu, demi mendapatkan pengoptimalan dan
rekomendasi dari penelitian pada Tabel 1 kolom 1 perlu diadakannya penelitian
tentang penggabungan kedua IDS ini.
Pendeteksian segala sesuatu yang akan mengancam webserver merupakan
isu penting yang saat ini sedang dicari solusinya. Banyak cara yang dapat
ditempuh untuk melakukan pengamanan webserver, salah satunya yaitu
menggunakan sistem pendeteksi serangan (IDS). Salah satu IDS yang sering
digunakan melakukan pencegahan atas serangan yang akan dilakukan oleh
seorang hacker / cracker yaitu honeypot. Honeypot sendiri sistem atau komputer
yang sengaja “dikorbankan” untuk menjadi target serangan dari hacker. Salah satu
jenis honeypot yang bekerja untuk memberikan simulasi pada webserver yaitu
honeyweb. Diharapkan IDS ini dapat meminimalisir serangan yang dilakukan oleh
hacker/cracker terhadap webserver dengan menggunakan sistem yang lebih
fleksibel untuk pengumpulan data terdistribusi dan pelaporan berbasis web.
Penelitian mengenai pengamanan jaringan menggunakan Snort[1], honeyd[2],
honeypot honeyd[3], dan honeyware[4] juga telah dilakukan dan menghasilkan
keamanan jaringan yang baik, akan tetapi masih ada kekurangan yang bisa dititipi
pada penelitian ini.
Snort dengan rulesnya tersedia cukup banyak dan didukung oleh komunitas
open source, menjadi IDS yang cukup efektif dalam mendeteksi serangan pada
jaringan komputer, namun Snort tidak begitu baik dalam mendeteksi serangan
pada webserver, beberapa signature serangan web tergolong serangan-serangan
lama [5]. Sedangkan honeyweb sendiri yang merupakan honeypot dibidang web
lebih bisa mendeteksi penyerangan yang ditujukan pada webserver dan akan
dicatat dalam sebuah file log[2]. Sehingga dapat menjadi pelengkap IDS Snort
yang sudah dibangun.
2
Snort dan Honeyweb masing-masing mempunyai kelebihan dalam
mendeteksi serangan. Berdasarkan keunggulan masing-masing dan analisa
performa yang lebih baik pada saat kedua IDS tersebut digabungkan diharapkan
serangan-serangan baru ini dapat dipelajari oleh administrator jaringan untuk
pengamanan yang lebih baik lagi melalui pengidentifikasian kemungkinan
serangan yang belum pernah diterima.
2.
Tinjauan Pustaka
Pada Tabel 1 merupakan penelitian terkait mengenai honeypot dan berbagai
versi teknik lainnya.
Tabel 1 Penelitian Terkait Mengguakan Teknik Honeypot
Tahun
Peneliti
Judul
Metode
2010
Xin Zhao,
Fang Liu,
LuYing
Chen,
Zhenming
Lei [6]
Research on
Portscan Detection
Based on Selective
Packet Sampling
Snort dan
Snort
Honeypot
2010
Xinliang
Wang, Fang
Liu, LuYing
Chen,
Zhenming
Lei [7]
Research For Scan
Detection Algorithm
of High Speed Links
Based on Honeypot
Snort,
TRW, dan
TRWHP
(Threshold
Random
Walk Based
on
Honeypot)
2010
Xinyu Tang
[5]
The Generation of
Attack Signatures
Based on Virtual
Honeypots
Honeyd
dan Snort
2011
Jiqiang
Zhai, Yining
Xie [8]
Researh on Network
Intrusion Prevention
System Based on
Snort dan
IPSec
3
Kesimpulan
Membandingkan
performa Snort dengan
Snort Honeypot,
hasilnya Snort
Honeypot lebih
unggul dalam hal
deteksi portscan
dengan tingkat akurasi
88,9 %.
Bertujuan mendeteksi
akurasi anomaly
deteksi serangan pada
jaringan berkecepatan
tinggi dengan
membandingkan
performa dari Snort,
TRW , dan TRWHP
(Threshold Random
Walk Based on
Honeypot), di mana
TRWHP mempunyai
performa deteksi
paling baik diantara
ketiganya.
Menggeneralisasi
rules otomatis
menggunakan Snort
berdasarkan SGS
(Signature Generation
System) sehingga
tercipta log serangan
yang tersimpan secara
otomatis pada
database.
Melalui NIPS
(Network
Intrusion Prevention
Snort
2012
2012
System) pada OS
Windows, SNORT dan
IPSec difungsikan
unutk menyaring
serangan dan paket
data berbahaya pada
jaringan.
Auttapon
Pomsathit
[9]
Effective of Unicast
And Multicast IP
Address Attack Over
Intrusion Detection
System with
Honeypot
Honeypot,
Snort,
Honeyd
Membandingkan
performa deteksi
serangan dan
mengenali alamat
penyerang pada
unicast IP dan
multicast IP antara
IDS dan IDS
Honeypot. Jenis
serangan yang
digunakan yaitu
TCP,UDP dan ICMP.
Hasilnya IDS dengan
Honeypot lebih unggul
pada multicast IP.
Sainath Patil
Assi.Prof.IN
FT.DEPT,
Nageshri B
Karhade,
Yogini K
Kothekar
[10]
Honeyweb: a webbased high
interaction client
honeypot
Honeypot
Client Honeypot, yaitu
honeyweb
diimplementasikan
pada sebuah website
menggunakan bahasa
pemrograman PHP
untuk mengetahui
serangan yang dibuat
oleh hacker. Jenis
honeypot yang
digunakan yaitu
honeypages dan
honeytokens,
Perbedaan penelitian ini dengan penelitian pada Tabel 1 yaitu menggunakan
honeyweb dan snort, dimana honeyweb mempunyai fungi mendeteksi serangan
pada jaringan komputer melalui simulasi webserver dan snort merupakan IDS
untuk mendeteksi serangan secara otomatis, dapat menangkap serangan berbahaya
(malicious attack) dan mempunyai fitur database yaitu log serangan.
Honeyweb melakukan beberapa pengecekan terhadap permintaan palsu dan
mengirimkan kembali halaman web tiruan yang seolah itu adalah web asli yang
spesifik pada permintaan palsu. Serangan yang terdeteksi disimpan dalam file log
milik honeyweb sebagai sebuah newsigs.txt dan HW-log.txt.
Dalam perkembangannya, honeypot digabungkan dengan script atau teknik
lain diantaranya Snort, Threshold Random Walk (TRW) dan IPSec seperti pada
Tabel 1. Snort merupakan sebuah aplikasi ataupun software yang bersifat
opensource General Public License (GNU)[5], sehingga boleh digunakan dengan
4
bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa
didapatkan dan dimodifikasi sendiri. Snort merupakan IDS yang digunakan untuk
mengamati aktivitas dalam suatu jaringan komputer dan digunakan sebagai suatu
Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight),
dan software ini menggunakan sistem peraturan-peraturan (rules system) yang
relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging)
terhadap berbagai macam serangan terhadap jaringan komputer[6].
Sedangkan untuk struktur penulisan rules Snort. Semua aturan
menggunakan dua bagian logis seperti yang dijelaskan pada Gambar 1.
Gambar 1 Struktur Penulisan Rules Snort [1]
Rule header berisi informasi tentang aturan dan tindakan apa yang
dibutuhkan. Hal ini juga berisi bagaimana memelihara kecocokan aturan terhadap
paket data. Struktur penulisan pada rule header Snort berisi Action, Protocol,
Address, Port, Direction, Address, Port [1].
Rule options berisi pesan peringatan dan informasi tentang bagian mana
dari paket harus digunakan untuk generate alert dan bagian yang berisi kriteria
tambahan untuk pencocokan aturan terhadap paket data. Sebuah aturan dapat
mendeteksi satu jenis atau beberapa jenis kegiatan intrusi. Aturan ini harus
berlaku untuk segala signature serangan [1].
Rule options mengikuti rule header dan dan terdapat di dalam kurung dan
dipisahkan oleh titik koma. Jika menggunakan beberapa pilihan, pilihan ini
membentuk logika AND. Tindakan di rule header adalah dipanggil hanya ketika
semua kriteria dalam pilihan yang benar. Bisa juga digunakan seperti msg dan
TTL dalam contoh aturan sebelumnya. Semua options ditentukan oleh kata kunci.
beberapa rule options juga mengandung argumen [1]. Pada penelitian ini semua
pembuatan rule pada rule options menggunakan uricontent.
Penentuan keyword sid digunakan sebagai uniquely identify dalam rules
snort. Informasi ini mempermudah melakukan pengenalan dan digunakan sebagai
penambahan snort id. Output plugins dan log serangan dapat menggunakan sid
untuk mempermudah mengidentifikasi serangan. Ada beberapa aturan yang
digunakan sebagai penentuan sid ini. Seperti penggunaan rentang angka
Pendahuluan
Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati
aktivitas dalam suatu jaringan komputer [1]. Snort dapat digunakan sebagai suatu
Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight),
dan software ini menggunakan sistem peraturan-peraturan (rules system) yang
relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging)
terhadap berbagai macam serangan terhadap jaringan komputer [2]. Dengan
membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari berbagai
macam serangan, maka Snort dapat mendeteksi dan melakukan logging terhadap
serangan-serangan tersebut. Snort memiliki bahasa pembuatan rules yang relatif
mudah dipelajari dan fleksibel. Pembuatan rule memiliki beberapa bagian yaitu
rule header dan rule option. Penambahan rules pada Snort dimungkinkan jika
diketahui adanya signature atau menggunakan kata kunci tertentu. Sedangkan
Honeyweb merupakan salah satu varian Honeypot, dianggap optimal dalam
masalah yang ada tentang serangan web. Honeyweb adalah tipuan berbasis
webserver seperti program yang dapat digunakan sebagai server mandiri atau
bersama dengan Honeyd untuk menyediakan permintaan berbasis http spoofing
dan halaman web. Honeyweb terbagi dalam 3 bagian yaitu the front-end, business
layer, dan sebuah back-end. Untuk itu, demi mendapatkan pengoptimalan dan
rekomendasi dari penelitian pada Tabel 1 kolom 1 perlu diadakannya penelitian
tentang penggabungan kedua IDS ini.
Pendeteksian segala sesuatu yang akan mengancam webserver merupakan
isu penting yang saat ini sedang dicari solusinya. Banyak cara yang dapat
ditempuh untuk melakukan pengamanan webserver, salah satunya yaitu
menggunakan sistem pendeteksi serangan (IDS). Salah satu IDS yang sering
digunakan melakukan pencegahan atas serangan yang akan dilakukan oleh
seorang hacker / cracker yaitu honeypot. Honeypot sendiri sistem atau komputer
yang sengaja “dikorbankan” untuk menjadi target serangan dari hacker. Salah satu
jenis honeypot yang bekerja untuk memberikan simulasi pada webserver yaitu
honeyweb. Diharapkan IDS ini dapat meminimalisir serangan yang dilakukan oleh
hacker/cracker terhadap webserver dengan menggunakan sistem yang lebih
fleksibel untuk pengumpulan data terdistribusi dan pelaporan berbasis web.
Penelitian mengenai pengamanan jaringan menggunakan Snort[1], honeyd[2],
honeypot honeyd[3], dan honeyware[4] juga telah dilakukan dan menghasilkan
keamanan jaringan yang baik, akan tetapi masih ada kekurangan yang bisa dititipi
pada penelitian ini.
Snort dengan rulesnya tersedia cukup banyak dan didukung oleh komunitas
open source, menjadi IDS yang cukup efektif dalam mendeteksi serangan pada
jaringan komputer, namun Snort tidak begitu baik dalam mendeteksi serangan
pada webserver, beberapa signature serangan web tergolong serangan-serangan
lama [5]. Sedangkan honeyweb sendiri yang merupakan honeypot dibidang web
lebih bisa mendeteksi penyerangan yang ditujukan pada webserver dan akan
dicatat dalam sebuah file log[2]. Sehingga dapat menjadi pelengkap IDS Snort
yang sudah dibangun.
2
Snort dan Honeyweb masing-masing mempunyai kelebihan dalam
mendeteksi serangan. Berdasarkan keunggulan masing-masing dan analisa
performa yang lebih baik pada saat kedua IDS tersebut digabungkan diharapkan
serangan-serangan baru ini dapat dipelajari oleh administrator jaringan untuk
pengamanan yang lebih baik lagi melalui pengidentifikasian kemungkinan
serangan yang belum pernah diterima.
2.
Tinjauan Pustaka
Pada Tabel 1 merupakan penelitian terkait mengenai honeypot dan berbagai
versi teknik lainnya.
Tabel 1 Penelitian Terkait Mengguakan Teknik Honeypot
Tahun
Peneliti
Judul
Metode
2010
Xin Zhao,
Fang Liu,
LuYing
Chen,
Zhenming
Lei [6]
Research on
Portscan Detection
Based on Selective
Packet Sampling
Snort dan
Snort
Honeypot
2010
Xinliang
Wang, Fang
Liu, LuYing
Chen,
Zhenming
Lei [7]
Research For Scan
Detection Algorithm
of High Speed Links
Based on Honeypot
Snort,
TRW, dan
TRWHP
(Threshold
Random
Walk Based
on
Honeypot)
2010
Xinyu Tang
[5]
The Generation of
Attack Signatures
Based on Virtual
Honeypots
Honeyd
dan Snort
2011
Jiqiang
Zhai, Yining
Xie [8]
Researh on Network
Intrusion Prevention
System Based on
Snort dan
IPSec
3
Kesimpulan
Membandingkan
performa Snort dengan
Snort Honeypot,
hasilnya Snort
Honeypot lebih
unggul dalam hal
deteksi portscan
dengan tingkat akurasi
88,9 %.
Bertujuan mendeteksi
akurasi anomaly
deteksi serangan pada
jaringan berkecepatan
tinggi dengan
membandingkan
performa dari Snort,
TRW , dan TRWHP
(Threshold Random
Walk Based on
Honeypot), di mana
TRWHP mempunyai
performa deteksi
paling baik diantara
ketiganya.
Menggeneralisasi
rules otomatis
menggunakan Snort
berdasarkan SGS
(Signature Generation
System) sehingga
tercipta log serangan
yang tersimpan secara
otomatis pada
database.
Melalui NIPS
(Network
Intrusion Prevention
Snort
2012
2012
System) pada OS
Windows, SNORT dan
IPSec difungsikan
unutk menyaring
serangan dan paket
data berbahaya pada
jaringan.
Auttapon
Pomsathit
[9]
Effective of Unicast
And Multicast IP
Address Attack Over
Intrusion Detection
System with
Honeypot
Honeypot,
Snort,
Honeyd
Membandingkan
performa deteksi
serangan dan
mengenali alamat
penyerang pada
unicast IP dan
multicast IP antara
IDS dan IDS
Honeypot. Jenis
serangan yang
digunakan yaitu
TCP,UDP dan ICMP.
Hasilnya IDS dengan
Honeypot lebih unggul
pada multicast IP.
Sainath Patil
Assi.Prof.IN
FT.DEPT,
Nageshri B
Karhade,
Yogini K
Kothekar
[10]
Honeyweb: a webbased high
interaction client
honeypot
Honeypot
Client Honeypot, yaitu
honeyweb
diimplementasikan
pada sebuah website
menggunakan bahasa
pemrograman PHP
untuk mengetahui
serangan yang dibuat
oleh hacker. Jenis
honeypot yang
digunakan yaitu
honeypages dan
honeytokens,
Perbedaan penelitian ini dengan penelitian pada Tabel 1 yaitu menggunakan
honeyweb dan snort, dimana honeyweb mempunyai fungi mendeteksi serangan
pada jaringan komputer melalui simulasi webserver dan snort merupakan IDS
untuk mendeteksi serangan secara otomatis, dapat menangkap serangan berbahaya
(malicious attack) dan mempunyai fitur database yaitu log serangan.
Honeyweb melakukan beberapa pengecekan terhadap permintaan palsu dan
mengirimkan kembali halaman web tiruan yang seolah itu adalah web asli yang
spesifik pada permintaan palsu. Serangan yang terdeteksi disimpan dalam file log
milik honeyweb sebagai sebuah newsigs.txt dan HW-log.txt.
Dalam perkembangannya, honeypot digabungkan dengan script atau teknik
lain diantaranya Snort, Threshold Random Walk (TRW) dan IPSec seperti pada
Tabel 1. Snort merupakan sebuah aplikasi ataupun software yang bersifat
opensource General Public License (GNU)[5], sehingga boleh digunakan dengan
4
bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa
didapatkan dan dimodifikasi sendiri. Snort merupakan IDS yang digunakan untuk
mengamati aktivitas dalam suatu jaringan komputer dan digunakan sebagai suatu
Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight),
dan software ini menggunakan sistem peraturan-peraturan (rules system) yang
relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging)
terhadap berbagai macam serangan terhadap jaringan komputer[6].
Sedangkan untuk struktur penulisan rules Snort. Semua aturan
menggunakan dua bagian logis seperti yang dijelaskan pada Gambar 1.
Gambar 1 Struktur Penulisan Rules Snort [1]
Rule header berisi informasi tentang aturan dan tindakan apa yang
dibutuhkan. Hal ini juga berisi bagaimana memelihara kecocokan aturan terhadap
paket data. Struktur penulisan pada rule header Snort berisi Action, Protocol,
Address, Port, Direction, Address, Port [1].
Rule options berisi pesan peringatan dan informasi tentang bagian mana
dari paket harus digunakan untuk generate alert dan bagian yang berisi kriteria
tambahan untuk pencocokan aturan terhadap paket data. Sebuah aturan dapat
mendeteksi satu jenis atau beberapa jenis kegiatan intrusi. Aturan ini harus
berlaku untuk segala signature serangan [1].
Rule options mengikuti rule header dan dan terdapat di dalam kurung dan
dipisahkan oleh titik koma. Jika menggunakan beberapa pilihan, pilihan ini
membentuk logika AND. Tindakan di rule header adalah dipanggil hanya ketika
semua kriteria dalam pilihan yang benar. Bisa juga digunakan seperti msg dan
TTL dalam contoh aturan sebelumnya. Semua options ditentukan oleh kata kunci.
beberapa rule options juga mengandung argumen [1]. Pada penelitian ini semua
pembuatan rule pada rule options menggunakan uricontent.
Penentuan keyword sid digunakan sebagai uniquely identify dalam rules
snort. Informasi ini mempermudah melakukan pengenalan dan digunakan sebagai
penambahan snort id. Output plugins dan log serangan dapat menggunakan sid
untuk mempermudah mengidentifikasi serangan. Ada beberapa aturan yang
digunakan sebagai penentuan sid ini. Seperti penggunaan rentang angka