Click here to load reader

Pengembangan Autorule pada IDS Snort Berbasis Honeyweb ... ... performa Snort dengan Snort Honeypot, hasilnya Snort Honeypot lebih unggul dalam hal deteksi portscan dengan tingkat

  • View
    2

  • Download
    0

Embed Size (px)

Text of Pengembangan Autorule pada IDS Snort Berbasis Honeyweb ... ... performa Snort dengan Snort Honeypot,...

  • 2

    1. Pendahuluan

    Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati

    aktivitas dalam suatu jaringan komputer [1]. Snort dapat digunakan sebagai suatu

    Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight),

    dan software ini menggunakan sistem peraturan-peraturan (rules system) yang

    relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging)

    terhadap berbagai macam serangan terhadap jaringan komputer [2]. Dengan

    membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari berbagai

    macam serangan, maka Snort dapat mendeteksi dan melakukan logging terhadap

    serangan-serangan tersebut. Snort memiliki bahasa pembuatan rules yang relatif

    mudah dipelajari dan fleksibel. Pembuatan rule memiliki beberapa bagian yaitu

    rule header dan rule option. Penambahan rules pada Snort dimungkinkan jika

    diketahui adanya signature atau menggunakan kata kunci tertentu. Sedangkan

    Honeyweb merupakan salah satu varian Honeypot, dianggap optimal dalam

    masalah yang ada tentang serangan web. Honeyweb adalah tipuan berbasis

    webserver seperti program yang dapat digunakan sebagai server mandiri atau

    bersama dengan Honeyd untuk menyediakan permintaan berbasis http spoofing

    dan halaman web. Honeyweb terbagi dalam 3 bagian yaitu the front-end, business

    layer, dan sebuah back-end. Untuk itu, demi mendapatkan pengoptimalan dan

    rekomendasi dari penelitian pada Tabel 1 kolom 1 perlu diadakannya penelitian

    tentang penggabungan kedua IDS ini.

    Pendeteksian segala sesuatu yang akan mengancam webserver merupakan

    isu penting yang saat ini sedang dicari solusinya. Banyak cara yang dapat

    ditempuh untuk melakukan pengamanan webserver, salah satunya yaitu

    menggunakan sistem pendeteksi serangan (IDS). Salah satu IDS yang sering

    digunakan melakukan pencegahan atas serangan yang akan dilakukan oleh

    seorang hacker / cracker yaitu honeypot. Honeypot sendiri sistem atau komputer

    yang sengaja “dikorbankan” untuk menjadi target serangan dari hacker. Salah satu

    jenis honeypot yang bekerja untuk memberikan simulasi pada webserver yaitu

    honeyweb. Diharapkan IDS ini dapat meminimalisir serangan yang dilakukan oleh

    hacker/cracker terhadap webserver dengan menggunakan sistem yang lebih

    fleksibel untuk pengumpulan data terdistribusi dan pelaporan berbasis web.

    Penelitian mengenai pengamanan jaringan menggunakan Snort[1], honeyd[2],

    honeypot honeyd[3], dan honeyware[4] juga telah dilakukan dan menghasilkan

    keamanan jaringan yang baik, akan tetapi masih ada kekurangan yang bisa dititipi

    pada penelitian ini.

    Snort dengan rulesnya tersedia cukup banyak dan didukung oleh komunitas

    open source, menjadi IDS yang cukup efektif dalam mendeteksi serangan pada

    jaringan komputer, namun Snort tidak begitu baik dalam mendeteksi serangan

    pada webserver, beberapa signature serangan web tergolong serangan-serangan

    lama [5]. Sedangkan honeyweb sendiri yang merupakan honeypot dibidang web

    lebih bisa mendeteksi penyerangan yang ditujukan pada webserver dan akan

    dicatat dalam sebuah file log[2]. Sehingga dapat menjadi pelengkap IDS Snort

    yang sudah dibangun.

  • 3

    Snort dan Honeyweb masing-masing mempunyai kelebihan dalam

    mendeteksi serangan. Berdasarkan keunggulan masing-masing dan analisa

    performa yang lebih baik pada saat kedua IDS tersebut digabungkan diharapkan

    serangan-serangan baru ini dapat dipelajari oleh administrator jaringan untuk

    pengamanan yang lebih baik lagi melalui pengidentifikasian kemungkinan

    serangan yang belum pernah diterima.

    2. Tinjauan Pustaka Pada Tabel 1 merupakan penelitian terkait mengenai honeypot dan berbagai

    versi teknik lainnya.

    Tabel 1 Penelitian Terkait Mengguakan Teknik Honeypot

    Tahun Peneliti Judul Metode Kesimpulan

    2010 Xin Zhao,

    Fang Liu,

    LuYing

    Chen,

    Zhenming

    Lei [6]

    Research on

    Portscan Detection

    Based on Selective

    Packet Sampling

    Snort dan

    Snort

    Honeypot

    Membandingkan

    performa Snort dengan

    Snort Honeypot,

    hasilnya Snort

    Honeypot lebih

    unggul dalam hal

    deteksi portscan

    dengan tingkat akurasi

    88,9 %.

    2010 Xinliang

    Wang, Fang

    Liu, LuYing

    Chen,

    Zhenming

    Lei [7]

    Research For Scan

    Detection Algorithm

    of High Speed Links

    Based on Honeypot

    Snort,

    TRW, dan

    TRWHP

    (Threshold

    Random

    Walk Based

    on

    Honeypot)

    Bertujuan mendeteksi

    akurasi anomaly

    deteksi serangan pada

    jaringan berkecepatan

    tinggi dengan

    membandingkan

    performa dari Snort,

    TRW , dan TRWHP

    (Threshold Random

    Walk Based on

    Honeypot), di mana

    TRWHP mempunyai

    performa deteksi

    paling baik diantara

    ketiganya.

    2010 Xinyu Tang

    [5]

    The Generation of

    Attack Signatures

    Based on Virtual

    Honeypots

    Honeyd

    dan Snort

    Menggeneralisasi

    rules otomatis

    menggunakan Snort

    berdasarkan SGS

    (Signature Generation

    System) sehingga

    tercipta log serangan

    yang tersimpan secara

    otomatis pada

    database.

    2011 Jiqiang

    Zhai, Yining

    Xie [8]

    Researh on Network

    Intrusion Prevention

    System Based on

    Snort dan

    IPSec

    Melalui NIPS

    (Network

    Intrusion Prevention

  • 4

    Snort System) pada OS

    Windows, SNORT dan

    IPSec difungsikan

    unutk menyaring

    serangan dan paket

    data berbahaya pada

    jaringan.

    2012 Auttapon

    Pomsathit

    [9]

    Effective of Unicast

    And Multicast IP

    Address Attack Over

    Intrusion Detection

    System with

    Honeypot

    Honeypot,

    Snort,

    Honeyd

    Membandingkan

    performa deteksi

    serangan dan

    mengenali alamat

    penyerang pada

    unicast IP dan

    multicast IP antara

    IDS dan IDS

    Honeypot. Jenis

    serangan yang

    digunakan yaitu

    TCP,UDP dan ICMP.

    Hasilnya IDS dengan

    Honeypot lebih unggul

    pada multicast IP.

    2012 Sainath Patil

    Assi.Prof.IN

    FT.DEPT,

    Nageshri B

    Karhade,

    Yogini K

    Kothekar

    [10]

    Honeyweb: a web-

    based high

    interaction client

    honeypot

    Honeypot Client Honeypot, yaitu

    honeyweb

    diimplementasikan

    pada sebuah website

    menggunakan bahasa

    pemrograman PHP

    untuk mengetahui

    serangan yang dibuat

    oleh hacker. Jenis

    honeypot yang

    digunakan yaitu

    honeypages dan

    honeytokens,

    Perbedaan penelitian ini dengan penelitian pada Tabel 1 yaitu menggunakan

    honeyweb dan snort, dimana honeyweb mempunyai fungi mendeteksi serangan

    pada jaringan komputer melalui simulasi webserver dan snort merupakan IDS

    untuk mendeteksi serangan secara otomatis, dapat menangkap serangan berbahaya

    (malicious attack) dan mempunyai fitur database yaitu log serangan.

    Honeyweb melakukan beberapa pengecekan terhadap permintaan palsu dan

    mengirimkan kembali halaman web tiruan yang seolah itu adalah web asli yang

    spesifik pada permintaan palsu. Serangan yang terdeteksi disimpan dalam file log

    milik honeyweb sebagai sebuah newsigs.txt dan HW-log.txt.

    Dalam perkembangannya, honeypot digabungkan dengan script atau teknik

    lain diantaranya Snort, Threshold Random Walk (TRW) dan IPSec seperti pada

    Tabel 1. Snort merupakan sebuah aplikasi ataupun software yang bersifat

    opensource General Public License (GNU)[5], sehingga boleh digunakan dengan

  • 5

    bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa

    didapatkan dan dimodifikasi sendiri. Snort merupakan IDS yang digunakan untuk

    mengamati aktivitas dalam suatu jaringan komputer dan digunakan sebagai suatu

    Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight),

    dan software ini menggunakan sistem peraturan-peraturan (rules system) yang

    relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging)

    terhadap berbagai macam serangan terhadap jaringan komputer[6].

    Sedangkan untuk struktur penulisan rules Snort. Semua aturan

    menggunakan dua bagian logis seperti yang dijelaskan pada Gambar 1.

    Gambar 1 Struktur Penulisan Rules Snort [1]

    Rule header berisi informasi tentang aturan dan tindakan apa yang

    dibutuhkan. Hal ini juga berisi bagaimana memelihara kecocokan aturan terhadap

    paket data. Struktur penulisan pada rule header Snort berisi Action, Protocol,

    Address, Port, Direction, Address, Port [1].

    Rule options berisi pesan peringatan dan informasi tentang bagian mana

    dari paket harus digunakan untuk generate alert dan bagian yang berisi kriteria

Search related