Upload
others
View
31
Download
0
Embed Size (px)
Citation preview
2
1. Pendahuluan
Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati
aktivitas dalam suatu jaringan komputer [1]. Snort dapat digunakan sebagai suatu
Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight),
dan software ini menggunakan sistem peraturan-peraturan (rules system) yang
relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging)
terhadap berbagai macam serangan terhadap jaringan komputer [2]. Dengan
membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari berbagai
macam serangan, maka Snort dapat mendeteksi dan melakukan logging terhadap
serangan-serangan tersebut. Snort memiliki bahasa pembuatan rules yang relatif
mudah dipelajari dan fleksibel. Pembuatan rule memiliki beberapa bagian yaitu
rule header dan rule option. Penambahan rules pada Snort dimungkinkan jika
diketahui adanya signature atau menggunakan kata kunci tertentu. Sedangkan
Honeyweb merupakan salah satu varian Honeypot, dianggap optimal dalam
masalah yang ada tentang serangan web. Honeyweb adalah tipuan berbasis
webserver seperti program yang dapat digunakan sebagai server mandiri atau
bersama dengan Honeyd untuk menyediakan permintaan berbasis http spoofing
dan halaman web. Honeyweb terbagi dalam 3 bagian yaitu the front-end, business
layer, dan sebuah back-end. Untuk itu, demi mendapatkan pengoptimalan dan
rekomendasi dari penelitian pada Tabel 1 kolom 1 perlu diadakannya penelitian
tentang penggabungan kedua IDS ini.
Pendeteksian segala sesuatu yang akan mengancam webserver merupakan
isu penting yang saat ini sedang dicari solusinya. Banyak cara yang dapat
ditempuh untuk melakukan pengamanan webserver, salah satunya yaitu
menggunakan sistem pendeteksi serangan (IDS). Salah satu IDS yang sering
digunakan melakukan pencegahan atas serangan yang akan dilakukan oleh
seorang hacker / cracker yaitu honeypot. Honeypot sendiri sistem atau komputer
yang sengaja “dikorbankan” untuk menjadi target serangan dari hacker. Salah satu
jenis honeypot yang bekerja untuk memberikan simulasi pada webserver yaitu
honeyweb. Diharapkan IDS ini dapat meminimalisir serangan yang dilakukan oleh
hacker/cracker terhadap webserver dengan menggunakan sistem yang lebih
fleksibel untuk pengumpulan data terdistribusi dan pelaporan berbasis web.
Penelitian mengenai pengamanan jaringan menggunakan Snort[1], honeyd[2],
honeypot honeyd[3], dan honeyware[4] juga telah dilakukan dan menghasilkan
keamanan jaringan yang baik, akan tetapi masih ada kekurangan yang bisa dititipi
pada penelitian ini.
Snort dengan rulesnya tersedia cukup banyak dan didukung oleh komunitas
open source, menjadi IDS yang cukup efektif dalam mendeteksi serangan pada
jaringan komputer, namun Snort tidak begitu baik dalam mendeteksi serangan
pada webserver, beberapa signature serangan web tergolong serangan-serangan
lama [5]. Sedangkan honeyweb sendiri yang merupakan honeypot dibidang web
lebih bisa mendeteksi penyerangan yang ditujukan pada webserver dan akan
dicatat dalam sebuah file log[2]. Sehingga dapat menjadi pelengkap IDS Snort
yang sudah dibangun.
3
Snort dan Honeyweb masing-masing mempunyai kelebihan dalam
mendeteksi serangan. Berdasarkan keunggulan masing-masing dan analisa
performa yang lebih baik pada saat kedua IDS tersebut digabungkan diharapkan
serangan-serangan baru ini dapat dipelajari oleh administrator jaringan untuk
pengamanan yang lebih baik lagi melalui pengidentifikasian kemungkinan
serangan yang belum pernah diterima.
2. Tinjauan Pustaka Pada Tabel 1 merupakan penelitian terkait mengenai honeypot dan berbagai
versi teknik lainnya.
Tabel 1 Penelitian Terkait Mengguakan Teknik Honeypot
Tahun Peneliti Judul Metode Kesimpulan
2010 Xin Zhao,
Fang Liu,
LuYing
Chen,
Zhenming
Lei [6]
Research on
Portscan Detection
Based on Selective
Packet Sampling
Snort dan
Snort
Honeypot
Membandingkan
performa Snort dengan
Snort Honeypot,
hasilnya Snort
Honeypot lebih
unggul dalam hal
deteksi portscan
dengan tingkat akurasi
88,9 %.
2010 Xinliang
Wang, Fang
Liu, LuYing
Chen,
Zhenming
Lei [7]
Research For Scan
Detection Algorithm
of High Speed Links
Based on Honeypot
Snort,
TRW, dan
TRWHP
(Threshold
Random
Walk Based
on
Honeypot)
Bertujuan mendeteksi
akurasi anomaly
deteksi serangan pada
jaringan berkecepatan
tinggi dengan
membandingkan
performa dari Snort,
TRW , dan TRWHP
(Threshold Random
Walk Based on
Honeypot), di mana
TRWHP mempunyai
performa deteksi
paling baik diantara
ketiganya.
2010 Xinyu Tang
[5]
The Generation of
Attack Signatures
Based on Virtual
Honeypots
Honeyd
dan Snort
Menggeneralisasi
rules otomatis
menggunakan Snort
berdasarkan SGS
(Signature Generation
System) sehingga
tercipta log serangan
yang tersimpan secara
otomatis pada
database.
2011 Jiqiang
Zhai, Yining
Xie [8]
Researh on Network
Intrusion Prevention
System Based on
Snort dan
IPSec
Melalui NIPS
(Network
Intrusion Prevention
4
Snort System) pada OS
Windows, SNORT dan
IPSec difungsikan
unutk menyaring
serangan dan paket
data berbahaya pada
jaringan.
2012 Auttapon
Pomsathit
[9]
Effective of Unicast
And Multicast IP
Address Attack Over
Intrusion Detection
System with
Honeypot
Honeypot,
Snort,
Honeyd
Membandingkan
performa deteksi
serangan dan
mengenali alamat
penyerang pada
unicast IP dan
multicast IP antara
IDS dan IDS
Honeypot. Jenis
serangan yang
digunakan yaitu
TCP,UDP dan ICMP.
Hasilnya IDS dengan
Honeypot lebih unggul
pada multicast IP.
2012 Sainath Patil
Assi.Prof.IN
FT.DEPT,
Nageshri B
Karhade,
Yogini K
Kothekar
[10]
Honeyweb: a web-
based high
interaction client
honeypot
Honeypot Client Honeypot, yaitu
honeyweb
diimplementasikan
pada sebuah website
menggunakan bahasa
pemrograman PHP
untuk mengetahui
serangan yang dibuat
oleh hacker. Jenis
honeypot yang
digunakan yaitu
honeypages dan
honeytokens,
Perbedaan penelitian ini dengan penelitian pada Tabel 1 yaitu menggunakan
honeyweb dan snort, dimana honeyweb mempunyai fungi mendeteksi serangan
pada jaringan komputer melalui simulasi webserver dan snort merupakan IDS
untuk mendeteksi serangan secara otomatis, dapat menangkap serangan berbahaya
(malicious attack) dan mempunyai fitur database yaitu log serangan.
Honeyweb melakukan beberapa pengecekan terhadap permintaan palsu dan
mengirimkan kembali halaman web tiruan yang seolah itu adalah web asli yang
spesifik pada permintaan palsu. Serangan yang terdeteksi disimpan dalam file log
milik honeyweb sebagai sebuah newsigs.txt dan HW-log.txt.
Dalam perkembangannya, honeypot digabungkan dengan script atau teknik
lain diantaranya Snort, Threshold Random Walk (TRW) dan IPSec seperti pada
Tabel 1. Snort merupakan sebuah aplikasi ataupun software yang bersifat
opensource General Public License (GNU)[5], sehingga boleh digunakan dengan
5
bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa
didapatkan dan dimodifikasi sendiri. Snort merupakan IDS yang digunakan untuk
mengamati aktivitas dalam suatu jaringan komputer dan digunakan sebagai suatu
Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight),
dan software ini menggunakan sistem peraturan-peraturan (rules system) yang
relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging)
terhadap berbagai macam serangan terhadap jaringan komputer[6].
Sedangkan untuk struktur penulisan rules Snort. Semua aturan
menggunakan dua bagian logis seperti yang dijelaskan pada Gambar 1.
Gambar 1 Struktur Penulisan Rules Snort [1]
Rule header berisi informasi tentang aturan dan tindakan apa yang
dibutuhkan. Hal ini juga berisi bagaimana memelihara kecocokan aturan terhadap
paket data. Struktur penulisan pada rule header Snort berisi Action, Protocol,
Address, Port, Direction, Address, Port [1].
Rule options berisi pesan peringatan dan informasi tentang bagian mana
dari paket harus digunakan untuk generate alert dan bagian yang berisi kriteria
tambahan untuk pencocokan aturan terhadap paket data. Sebuah aturan dapat
mendeteksi satu jenis atau beberapa jenis kegiatan intrusi. Aturan ini harus
berlaku untuk segala signature serangan [1].
Rule options mengikuti rule header dan dan terdapat di dalam kurung dan
dipisahkan oleh titik koma. Jika menggunakan beberapa pilihan, pilihan ini
membentuk logika AND. Tindakan di rule header adalah dipanggil hanya ketika
semua kriteria dalam pilihan yang benar. Bisa juga digunakan seperti msg dan
TTL dalam contoh aturan sebelumnya. Semua options ditentukan oleh kata kunci.
beberapa rule options juga mengandung argumen [1]. Pada penelitian ini semua
pembuatan rule pada rule options menggunakan uricontent.
Penentuan keyword sid digunakan sebagai uniquely identify dalam rules
snort. Informasi ini mempermudah melakukan pengenalan dan digunakan sebagai
penambahan snort id. Output plugins dan log serangan dapat menggunakan sid
untuk mempermudah mengidentifikasi serangan. Ada beberapa aturan yang
digunakan sebagai penentuan sid ini. Seperti penggunaan rentang angka
6
mengikuti aturan yang telah ada, diatas 1.000.000 untuk penentuan sid rule baru
karena masih dalam taraf pengembangan.
Gambar 2 Skema Modul Operasi pada Snort [8]
Pada Gambar 2 ini merupakan salah satu gambaran skema penggunaan snort
pada pengamanan jaringan. Seluruh paket yang lewat akan masuk ke sistem
pertahanan snort untuk dideteksi lebih lanjut. Pada proses deteksi ini akan
ditentukan apakah paket yang lewat merupakan serangan atau paket yang aman.
Jika paket yang aman, maka paket ini akan dapat diteruskan. jika tidak aman,
snort akan memberi peringatan dengan membuat pemberitahuan terdapat paket
yang tidak aman dan dianggap sebuah serangan. Snort juga akan mengidentifikasi
dari mana paket ini dikirim dan akan menyaring melalui IP penyerang sedangkan
paketnya akan ditolak untuk melewati jaringan kita. Akan tetapi penyaringan IP
akan dibuang saat snort mati atau saat sistem restart dan akan proses berulang
jika snort diaktifkan kembali.
Untuk menjalankan snort pada sniffer mode tidak sulit, beberapa contoh
perintah sederhana terdapat pada Kode Program 1.
Kode Program 1 #snort –v
#snort –vd
#snort –vde
#snort –v –d –e
7
Dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan
beberapa keluaran yang berbeda, yaitu -v, untuk melihat header TCP/IP paket
yang lewat. -d, untuk melihat isi paket, sedangkan -e, untuk melihat paket header
link layer seperti ethernet header. Sedangkan perintah yang digunakan untuk
mencatat paket antara lain terdapat pada Kode Program 2.
Kode Program 2
./snort –dev –l ./log
./snort –dev –l ./log –h 192.168.0.0/24
./snort –dev –l ./log –b
Perintah yang paling penting untuk membuat log paket yang lewat adalah-l
./log yang menentukan bahwa paket yang lewat akan dicatat ke file ./log.
3. Metode dan Perancangan Sistem
Penelitian yang dilakukan, diselesaikan melalui tahapan penelitian yang
terbagi dalam lima tahapan, yaitu: (1) Pengumpulan data, (2) Analisa kebutuhan,
(3) Perancangan Modifikasi dan Pembuatan Program, (4) Evaluasi, (5) Penulisan
Laporan.
Pengumpulan Data
Analisa Kebutuhan
Perancangan Modifikasi dan Pembuatan Program
Evaluasi
Penulisan Laporan
Gambar 3 Tahapan Penelitian [11]
Tahapan penelitian pada Gambar 3, dapat dijelaskan sebagai berikut:(1)
Tahap pertama pengumpulan data yaitu, melakukan pengumpulan terhadap data
dari jurnal-jurnal terkait, buku, serta sumber mengenai pembahasan terkait
penelitian tersebut; (2)Tahap kedua analisa kebutuhan yaitu, melakukan analisa
mengenai kebutuhan apa saja yang dibutuhkan dalam perancangan modifikasi ini;
(3)Tahap ketiga perancangan meliputi pembuatan flowchart untuk pengambilan
keputusan, serta melakukan analisa-analisa hasil yang dapat diambil dari
modifikasi yang telah dilakukan; (4)Tahap keempat melakukan evaluasi terhadap
keseluruhan perancangan dan modifikasi yang telah dibuat, apakah sudah berjalan
dengan semestinya. Jika belum maka dilakukan perbaikan-perbaikan yang
diperlukan; (5)Tahap kelima penulisan laporan hasil penelitian, yaitu
mendokumentasikan proses penelitian yang sudah dilakukan dari tahap awal
8
hingga akhir ke dalam tulisan, yang nantinya akan menjadi laporan hasil
penelitian.
Permintaan Akses
Mulai
Cek IP Bukan Penyerang
Penyerang
Tampilkan Pesan
Selesai
SelesaiSelesai
Memuat IP.txt
Run Honeyweb
Y
T
T
Y
Identifikasi Serangan
Membuat Signature
Terdapat Serangan
Tampilkan Web asli
Gambar 4 Skema Kerja Honeyweb
Pada penelitian ini, peran honeyweb dimodifikasi dengan menambahkan
deteksi IP. Setelah honeyweb diaktifkan pada Gambar 4, deteksi dapat mengetahui
arah akses yang seharusnya. Penyerang yang pernah melakukan serangan, melalui
identifikasi alamat IPnya tidak akan ditampilkan web yang asli. IP.txt berasal dari
hasil genarate IP penyerang yang diambil dari alert milik snort. Proses ini seperti
yang ditampilkan pada Gambar 4, sewaktu honeyweb dijalankan sistem akan
terlebih dahulu melihat apakah ada IP penyerang yang pernah masuk. Setelah itu
dilakukan lagi identifikasi secara realtime. Jika terdapat serangan, sistem akan
segera membuat signature dan log untuk kembali diadakan identifikasi kembali.
Signature ini yang nantinya digunakan refrensi pembuatan rule baru milik snort.
Jika tidak terdapat serangan, sistem pun akan melakukan pengecekan. Jika IP user
yang ingin melakukan akses dinyatakan amann dan belum pernah melakukan
serangan, akan ditampilkan web asli. Akan tetapi, jika dinyatakan IP tidak aman,
maka akan segera dialihkan ke web tiruan yang seolah olah web asli.
9
Tidak ada SeranganIdentifikasi Rule Snort
yang Ada
Mulai
Mengambil Signature Milik
Honeyweb
Membuat Rule Baru pada
Snort
Selesai
Aktifkan Snort
Run Aautorule.pl
Buat List IP di IP.txt untuk
Honeyweb
Y
T
Identifikasi Serangan
Catat alert dan log
Terdapat Serangan
Ada
Rule
Tidak Ada
Rule
Bukan Serangan
Memuat Rules Snort
Selesai
Restart Snort
Y
Restart Snort
Simpan baru.rules
Selesai
Gambar 5 Skema Kerja Autorule.pl
Gambar 5 merupakan proses kerja script autorule. Saat autorule.pl
dijalankan, tugas pertama script adalah menjalankan snort yang kemudian antara
script autorule.pl dengan snort saling berhubungan. Snort akan memuat seluruh
rules. Dengan adanya rules ini snort akan mengidentifikasi semua serangan yang
sudah diindikasikan didalamnya. Jika snort mengidentifikasi terdapat serangan
maka secara otomatis akan dibuatkan peringatan (alert) untuk admin. Melalui
alert ini memungkinkan bagi autorule.pl untuk menambahkan ip.txt yang
digunakan pada Gambar 4. Jika snort mendeteksi bahwa paket yang lewat bukan
sebuah serangan, autorule.pl membandingkan apakah honeyweb menganggap
paket itu berupa serangan atau tidak. Apabila honeyweb mengatakan bahwa itu
sebuah serangan sedangkan snort tidak, hal ini menerangkan bahwa rule yang
dibutuhkan pada snort belum tersedia. autorule.pl akan mengambil signature
milik honeyweb yang akan diolah menjadi rule baru untuk snort dengan metode
yang diterangkan pada Gambar 6. Setelah itu rule baru yang tercipta akan
tersimpan pada baru.rule. rule baru ini selanjutnya akan aktif jika baru.rule sudah
diikutkan dan diaktifkan dalam daftar rule yang akan digunakan pada snort.conf.
Selanjutnya baru.rule akan otomatis aktif setelah snort direstart. Namun, Jika
10
honeyweb dan snort sama-sama mendeteksi paket itu bukan serangan maka proses
scan dihentikan dan paket dibiarkan berjalan.
Mulai
Selesai
SID ditentukan dan dimasukkan dalam variabel
“SID” yang telah dibuat pada autorule.pl
Membuat Signature dengan mengambil isi newsigs.txt setelah
format “:/”
Rule Header Berbentuk Alert dengan Memasukkan Format
Manual Sebagai Alert, HTTP Server, HTTP port
Rule Options Menggunakan Uricontent dengan Mengambil Isi
dari signature newsigs.txt yang Telah Dibuat dan Dimasukkan
Pada Format Pembuatan Rule
Disimpan secara otomatis oleh
Autorule di baru.rule Milik Snort
Gambar 6 Skema Pengambilan Signature untuk Pembuatan Rules Snort
Jika rules yang ada masih belum cukup untuk mengidentifikasi serangan
yang tidak teridentifikasi sebelumnya maka script autorule akan mengambil
signature milik honeyweb untuk referensi pembuatan rule baru dan nantinya akan
disimpan pada baru.rules. sedangkan proses pengambilan signature untuk
pembuatan rules snort diterangkan pada Gambar 6 dimana script akan mengambil
isi yang ada pada newsigs.txt yang ada pada folder log honeyweb. Jika newsigs
dibuka, terdapat format “:/”, setelah format inilah yang akan diambil dijadikan
signature. Kemudian tahap kedua untuk penentuan rule header, penentuan header
ini diatur secara langsung di autorule.pl. Tahap ketiga adalah penentuan rule
option. Isi dari rule option ini merupakan pesan yang akan ditampilkan di alert, isi
yang digunakan untuk refrensi identifikasi serangan menggunakan uricontent, dan
beberapa keterangan penunjang. Proses penambahan isi rule option, setelah
signature diambil, isi dari signature ini akan segera dimuat dan akan ditempatkan
dalam isi uricontent sekaligus ditempatkan msg yang nantinya yang akan
ditampilkan di alert. Kemudian untuk penentuan sid juga sudah ditentukan
langsung oleh script autorule. Penentuan dari sid sendiri mengikuti dari aturan
yang sudah ditentukan dan disampaikan oleh manual snort [12] yakni
menggunakan angka diatas 1.000.000. Setelah semua bagian rule baru ini
terbentuk, autorule akan menyimpannya pada file baru.rule.
11
Gambar 7 Penerapan Honeypot pada Jaringan Komputer
Dalam implementasinya honeyweb menggunakan sistem client-server
seperti ditunjukkan pada Gambar 7. Honeyweb memungkinkan untuk memiliki
satu atau beberapa klien. Untuk mengelola dan melayani mereka honeyweb
menggunakan antarmuka web yang user-friendly [2]. Pada topologi Gambar 7 ini
snort dan honeyweb di jadikan satu komputer cara ini digunakan untuk
menghemat resource. Komputer ini menggunakan dua interfaces, satu kearah
server, satu lagi ke arah switch. Sedangkan IP server menggunakan IP NAT, dan
secara langsung diatur hanya memiliki satu server saja sehingga akses hanya
tertutup pada satu server dengan IP 195.168.1.5. kemudian untuk pengakses
maupun penyerang hanya bisa menggunakan IP snort. Semua yang melakukan
akses akan ditangani terlebih dahulu oleh snort dan honeyweb untuk mengetahui
apakah penyerang atau tidak.
4. Hasil dan Pembahasan
Bagian ini membahas implementasi penggabungan Honeyweb dan Snort
pada proses pengamanan jaringan. Beberapa keterangan mengenai penggunaan
aplikasi pada peneltian ini antara lain adalah Aplikasi pengamanan data
menggunakan dua buah teknik yaitu Snort dan Honeyweb, fungsi kedua teknik ini
yaitu berbagi informasi mengenai serangan pada data, sehingga data yang telah
dipantau dapat terjamin keamanannya. Pada Honeyweb digunakan bahasa
pemrograman python, sedangkan untuk mengintegrasikan kemampuan yang
dimiliki oleh Snort dan Honeyweb maka digunakan bahasa pemrograman perl.
Sharing pengetahuan antara Snort dan Honeyweb dapat dilihat pada autorule.pl.
Implementasi Honeyweb dilakukan menggunakan browser.
Berikut ini merupakan implementasi penggabungan Honeyweb dan Snort
pada proses pengamanan jaringan yang telah dilakukan:
12
Mula-mula, jalankan Honeyweb-Auto-v5.py (honeyweb telah dimodifikasi
dari code aslinya) dengan perintah python honeyweb-auto-v5.py pada jendela
terminal yang berfungsi membuka akses pada Honeyweb, sehingga muncul
tampilan sebagai Gambar 8.
Gambar 8 Tampilan Awal Running Honeyweb
Gambar 9 Tampilan Awal Web Asli
Pada saat honeyweb dijalankan, dan terdapat permintaan dari pengguna.
Terlebih dahulu dilakukan pengecekan dan analisa dari file ip.txt tidak terdapat
data IP yang pernah melakukan serangan ke server. Jika tidak atau belum terdapat
serangan akan muncul yang tertera pada Gambar 9 merupakan tampilan file index
sebagai web asli yang dibelokkan dari script honeyweb yang telah dimodifikasi.
Halaman ini merupakan halaman index yang tersimpan pada server.
13
Gambar 10 Aksi Serangan Penyerang
Ketika terjadi akses yang tidak wajar seperti yang ditampilkan pada Gambar
10 menunjukan aksi penyerangan. Akses yang dilakukan penyerang ini akan
teridentifikasi bahwa serangan itu bukan sebuah akses yang wajar, hal ini
teridentifikasi oleh sistem dan dimasukkan pada file newsigs.txt pada Gambar 11.
Newsigs.txt berisi signature yang terdapat pada folder log. Hal ini
dikarenakan Honeyweb merupakan pendeteksi serangan webserver yang
mempunyai data berisi tipe dan jenis serangan pada web yang akan selalu dimuat
oleh sistem yang dimilikinya dan jika ada serangan, segala jenis serangan web
disimpan seperti yang tertera pada Gambar 11. Seiring terdeteksinya serangan
maka data serangan akan dicatat otomatis pada file hw-log.txt pada Gambar 12.
Salah satu hasil analisa ditulis berupa signature dari serangan yang telah
dilakukan.
NoMatch:/xjs/_/js/k=xjs.hp.en_US.QXfKqNTtlrQ.O/m=sb_he,pcc/rt=j/d=1/sv=1
/rs=AItRSTPJ1r_DbltrqMjdDicQQca-mDrP8Q
No Match:/union%20select%20all%201%20
14
Gambar 11 Tampilan Signature pada File Log Newsigs.txt
Signature ini merupakan salah satu bukti kerja Honeyweb. Signature
merupakan cara untuk mendetesi adanya serangan baru yang terdeteksi oleh
Honeyweb. Pada Gambar 11, syntax pada lingkaran merah merupakan syntax
signature yang digunakan untuk menggenerate baru.rules pada rules milik Snort.
Signature inilah yang nantinya digunakan sebagai bahan pembuat rule baru untuk
Snort seperti yang dijelaskan pada Gambar 6.
Gambar 12 Tampilan Hw-log.txt Berisi Log Serangan Honeyweb
15
Pada Gambar 12, kemungkinan serangan-serangan yang masuk pada
honeyweb akan tercatat pada file ini, sehingga file log ini digunakan sebagai acuan
berbagi pengetahuan (knowlegde) bagi kedua IDS Honeyweb dan snort dengan
bantuan file autorule.pl.
Alur kerja dari script autorule.pl adalah menjalankan snort, dimana setiap
kurun waktu tertentu akan menghentikan aktivitas dan memuat kembali sehingga
rules baru dapat termuat dan membaca log serangan honeyweb melalui file
/Honeyweb/log/newsigs.txt.
Gambar 13 Rules Baru pada Snort
Melalui tampilan file yang dipaparkan pada Gambar 13, dapat diperoleh
kemungkinan identifikasi serangan, kemudian dari beberapa jenis serangan yang
ada, maka diciptakan file baru.rules yang terdapat pada folder
/etc/snort/rules/baru.rules. Rules ini berisi kemungkinan serangan yang belum
pernah diterima server sebelumnya. Berkat script autorule.pl maka honeyweb
sudah berbagi pengetahuannya dengan snort. Setelah dijalankan kembali, rules
baru ini akan dimuat oleh Snort. Kemudian, Honeyweb selanjutnya membaca log
serangan snort yaitu pada file /etc/snort/log/alert. Dari file ini dapat diketahui IP
penyerang. Beberapa IP yang dianggap penyerang akan tersimpan pada file ip.txt
milik honeyweb yang terletak pada /HoneyWeb-0.4/ip.txt. Apabila terdapat IP
pada file ip.txt ini, maka secara otomatis IP tersebut akan diblok aksesnya oleh
honeyweb dengan cara dibelokan ke web tiruan yang dirancang dan dimasukkan
pada konfigurasi Honeyweb sehingga keamanan jaringan lebih tinggi. Semua
16
langkah diatas akan diulangi tiap waktu tertentu, yaitu tergantung yang
dikonfigurasikan pada koding autorule.pl. Perintah untuk menjalankan snort
melalui autorule.pl adalah perl autorule.pl yang akan menjalankan snort secara
otomatis, seperti Gambar 14.
Gambar 14 Cara Menjalankan Autorule.pl
Gambar 14 merupakan tampilan ketika pengguna menjalankan autorule.pl
untuk pertama kali. Awalnya program autorule.pl akan menghentikan Service
Snort yang telah berjalan dan kemudian menjalankan kembali dengan memuat
rule baru. Rule baru tersebut merupakan hasil generate dari newsigs.txt pada
honeyweb.
Setelah muncul tampilan Gambar 14, maka snort akan mencatat serangan-
serangan dan dapat dilihat pada Gambar 15. Dalam hal ini semua serangan akan
dicatat. Serangan-serangan ini akan dicatat pada file alert yang berada pada
/etc/snort/log/alert seperti ditunjukkan pada Gambar 16.
17
Gambar 15 Proses Snort Mendeteksi Serangan
Pada Gambar 15, terdapat syntax yang akan muncul pada Snort mendeteksi
adanya serangan. Snort berjalan memuat data sampai waktu tertentu pada saat
menemukan adanya serangan. Serangan ini juga tercatat pada file alert.
Gambar 16 Isi Alert (Peringatan Serangan)
Gambar 16 merupakan tampilan alert pada Snort. Alert merupakan catatan
serangan pada deteksi penyusupan. Jika snort engine menemukan paket data yang
lewat sebagai serangan, maka snort engine akan mencatat serangan tersebut pada
file alert. Di dalam file tersebut terdata IP penyerang dan waktu serangan.Untuk
kebutuhan analisa, alert dapat disimpan dalam database, sebagai contoh ACID
(Analysis Console for Intrusion Databases) sebagai modul tambahan pada Snort.
Melalui peringatan ini pula honeyweb mendapatkan pengetahuan dengan bantuan
autorule.pl.
18
Gambar 17 Tampilan IP.txt yang Menyimpan IP Penyerang
Pada Gambar 17 merupakan tampilan pada saat IP penyerang terdeteksi pada file
Alert yang ditunjukan pada Gambar 16. IP penyerang ini kemudian disimpan
dalam file IP.txt, dengan demikian IP tersebut akan diblok dan dibelokkan ke web
tiruan secara otomatis oleh honeyweb. File yang akan ditampilkan setelah terjadi
pemblokiran IP dapat dilihat pada Gambar 18 yang berisi file pesan.txt, file ini
dapat diganti sesuai keinginan admin.
Gambar 18 Tampilan Pesan.txt
Gambar 18 merupakan tampilan pesan yang didapatkan setelah penyerang
dideteksi oleh Honeyweb dan Snort. Pesan ini merupakan data yang berada pada
file pesan.txt. Bentuk dari file pesan ini berupa syntax html. Selajutnya pengguna
dapat merubah isi pesan yang akan dikirimkan kepada pernyerang.
Setelah teridentifikasi bahwa IP pelaku serangan telah masuk ke
pemblokiran, maka semua akses dari pelaku menuju ke server kita akan
sepenuhnya dibelokkan oleh Honeyweb ke web tipuan yang seolah-olah web asli
atau tergantung apa yang ingin ditampilkan oleh admin untuk pelaku. Seperti
tampilan Gambar 19.
Gambar 19 Hasil Tampilan Pembelokan Web
19
5. Simpulan
Penggunaan signature pada Honeyweb dipilih untuk menjadi salah satu dasar
penciptaan rule khusus untuk serangan web yang ada pada Snort. Proses yang
dipakai sebagai penciptaan rules Snort dengan pengaktifan script autorule.pl,
script ini selanjutnya mengarahkan bagaimana pembentukan rule header dan rule
options sedangkan pembentukan rule options menggunakan uricontent. Hasil dari
penelitian ini bahwa pembuatan rule Snort ini dapat digunakan untuk
pendeteksian serangan baru.
6. Daftar Pustaka
[1] Xinyu Tang, The Generation of Attack Signatures Based on Virtual
Honeypots, IEEE The 11th International Conference on Parallel and
Distributed Computing, Applications and Technologies, 2010.
[2] Xin Zhao, dkk, Research on portscan detection based on selective packet
sampling, IEEE Proceedings of AIAI, 2010.
[3] Hassan Artail, dkk, A hybrid honeypot framework for improving intrusion
detection systems in protecting organizational networks, International
Journal of computers & security, Vol 25, hal. 274 – 288, 2006.
[4] Alosefer Y, Omer R, Honeyware-A Web-Based Low Interaction Client
Honeypot, IEEE Third International Conference on Software Testing,
Verification, and Validation Workshops (ICSTVV), 2010.
[5] Rehman Rafeeq, 2003, Intrusion Detection with SNORT: Advanced IDS
Techniques Using SNORT, Apache, MySQL, PHP, and ACID Chapter 3.
2003, ISBN-10: 0131407333. [6] Xinwen Fu, dkk, On Recognizing Virtual Honeypots and Countermeasures,
Proceedings of the 2nd IEEE International Symposium on Dependable,
Autonomic and Secure Computing (DASC'06), 2006.
[7] Xinliang Wang, dkk, Research for scan detection algorithm of high-speed
links based on honeypot, IEEE Proceedings of IC-NIDC, 2010.
[8] Jiqiang Zhai, Yining Xie, Researh on Network Intrusion Prevention System
Based on Snort, IEEE The 6th International Forum on Strategic
Technology, 2010.
[9] Pomsathit, A, Effective of Unicast and Multicast IP Address Attack over
Intrusion Detection System with Honeypot, 2012
[10] Sainath Patil, dkk, Honeyweb a web-based high interaction client honeypot,
International Journal of Engineering Research and Applications (IJERA),
2012.
[11] Hasibuan, Zainal., 2007,Metodologi Penelitian Pada Bidang Ilmu Komputer
Dan Teknologi Informasi, Jakarta: Ilmu Komputer Universitas Indonesia.
[12] Snort, SNORT User Manual, http://manual.snort.org/. Diakses tanggal 5 Desember 2013.
http://manual.snort.org/