Professional Documents
Culture Documents
NASKAH PUBLIKASI
diajukan oleh
Duwi Haryanto
10.11.3719
kepada
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
AMIKOM YOGYAKARTA
YOGYAKARTA
2014
Analysis and Design of Reactive Intrusion Detection System Using
Mikrotik Based Log and Mail Report.
(Case Study: PT. Wahana Lintas Nusa Persada)
Duwi Haryanto
Sudarmawan
Jurusan Teknik Informatika
STMIK AMIKOM YOGYAKARTA
Abstract
PT. Wahana Lintas Nusa Persada which is one of the Internet Service Providers (ISPs)
realize that the increasing customers, increasing network node on a vehicle that should
always be monitored in order to improve technical support services are always standby
24 hours. The need for network security systems into one of the aspects that need to be
considered to improve the service to customers.
Build an early warning system or IDS (Intrusion Detection System) is one of the
problem-solving solutions. This system works by detecting the presence of attacks and
provides a warning (alert) to the network administrator in case of an attack on the
network, in addition to the IDS can also be used to perform network monitoring. IDS is a
reactive IDS can perform auto response form precautions during the attack and displays a
warning and sends an email report.
Reactive IDS system uses mikrotikOS and Winbox tool and some tools to
conduct attacks against the network experiments. System test is performed using several
types of attacks to the network and testing the functionality of the system is to do a check
warning (alert) and a report in the form of an email containing the attacker's IP to be sent
to the email administrator, to assist administrators in monitoring mobile networks.
Keywords: Reactive IDS, Winbox, ftp bruteforce, ICMP Flood, SSH bruteforce.
1. Pendahuluan
Dewasa ini perkembangan teknologi informasi (TI) telah berkembang dengan pesat,
terutama dengan munculnya jaringan internet yang memberikan kemudahan dalam
pertukaran informasi. Membuat semakin mudahnya mendapatkan informasi tersebut
menimbulkan masalah baru yaitu pengaksesasan data atau informasi penting oleh pihak
yang tidak bertanggung jawab untuk mendapatkan keuntungan pribadi maupun
penyerangan jaringan oleh pihak dalam maupun dari luar. Dibutuhkannya suatu sistem
keamanan jaringan menjadi salah satu aspek penting yang perlu diperhatikan.
Survei yang dilakukan oleh infowatch analytical center yang diunggah di situs
www.securelist.com (diakses 21 Oktober 2013) memperlihatkan bahwa pada salah satu
hasil survei menyatakan terjadi serangan jaringan yang kebanyakan merupakan
serangan denial of service(dos) sebanyak 72,1% dan exploit buffer-overflow pada
peringkat kedua sebanyak 16,4%. Survei yang juga menyebutkan bahwa ancaman yang
terjadi dari pelanggaran internal maupun external menghasilkan (45%) terjadi di external
dan (55%) terjadi di internal.
Berdasarkan survei yang dijelaskan sebelumnya dapat diambil kesimpulan bahwa
pelanggaran terjadi sebanyak (55%) merupakan pelanggaran internal dan sebanyak
(72,1%) adalah serangan Denial of service.
Kejadian diatas dapat menjadi referensi bagi PT. Wahana Lintas Nusa Persada untuk
menyadari bahwa semakin bertambahnya pelanggan, semakin meningkatnya node pada
jaringan wahana yang harus selalu dimonitoring guna meningkatkan pelayanan. Dimana
pelayanan kepada para pelanggan menjadi salah satu faktor yang berguna dalam
memenangkan persaingan dan mencari peluang bisnis. Semakin bertambahnya
pelanggan secara tidak langsung juga dapat memastikan kontinuitas bisnis dan
mengoptimalkan return on investmen (ROI).
Pada saat ini para technical support PT Wahana Lintas Nusa Persada selalu stanby
untuk melayani troubleshooting yang bisa terjadi sewaktu-waktu. Dalam manajemen
setiap node client belum adanya sistem yang dapat memberikan report adanya serangan
jaringan kepada technical support guna membantu dalam melakuakan analisis terhadap
masalah yang terjadi ketika salah satu client mengalami trouble dalam jaringannya.
Beradasarkan latar belakang tersebut, penulis ingin mencoba menganalisis masalah
yang dihadapi dan membuat solusi dari masalah tersebut. Dengan membuat reactive
intrusion detection system menggunakan mikrotik berbasis log dan mail report agar para
technical support yang sedang mobile dapat melakukan analisis terhadap trouble jaringan
dan mengantisipasi bahaya keamanan dari faktor internal serta serangan terhadap
jaringan pada client PT.Wahana Lintas Nusa Persada.
2. Landasan Teori
1 Dony Ariyus, Intrusion Detection System (Sistem Pendeteksi Penyusup pada Jaringan Komputer),
(Yogyakarta: Andi Publiser, 2007), Hal.27
dapat melakukan tidakan atau pencegahan jika terjadi serangan atau penyusupan di
dalam jaringan tersebut. IDS mempunyai peran cukup membantu dalam hal-hal yang
berkaitan dengan keamanan jaringan diantaranya:
1. Secara aktif mengamati segala macam kegiatan yang mencurigakan.
memeriksa audit logs dengan cermat dan seksama.
2. Mengirimkan alert kepada administrator saat adanya serangan-serangan
khusus dideteksi.
3. Memberi tanda segala macam kerentanan yang ditemukan.
Namun kembali lagi pada kemampuan dari IDS yang hanya mempunyai
kemampuan terbatas yang tergantung pada bagaimana melakukan konfigurasi IDS yang
baik. IDS yang bermanfaat untuk mengatasi pencegahan terhadap suatu serangan atau
penyusupan memang diperlukan suatu pemeliharaan yang mencukupi suatu sistem
keamanan secara keseluruhan.
2 Ibid, Hal.36
3 Muhammad R. Arief, Penggunaan Sistem IDS untuk Pengamanan Jaringan dan Komputer.
(Yogyakarta: Makalah STMIK AMIKOM Yogyakarta ) ,Hal.2
2.4. Anomaly Base Detection System
IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan
traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan
identifikasi apa yang dimaksud dengan jaringan normal dalam jaringan tersebut, berapa
banyak bandwidth yang biasanya digunakan di jaringan tersebut, protokol apa yang
digunakan, port-port dan alat-alat apa saja yang biasanya salaing berhubungan satu
sama lain didalam jaringan tersebut dan memberi peringatan kepada administrator ketika
dideteksi ada yang tidak normal atau secara signifikan berbeda dari kebiasaan yang ada.
(Arief. M, 3)4
4 Ibid, Hal.3
5 Muhammad R. Arief, Penggunaan Sistem IDS untuk Pengamanan Jaringan dan Komputer.
(Yogyakarta: Makalah STMIK AMIKOM Yogyakarta. Hal.3
6 Ibid, Hal.4
3.1.2. Laporan Network Attack
Belum adanya sistem yang dapat memberikan laporan network attack dengan
penjadwalan secara otomatis, yang berisi :
1. Jenis serangan
2. IP address penyerang
Dimana dapat dikirim melalui email untuk memberikan kemudahan para network
administrator melakukan dokumentasi mengenai jenis-jenis serangan yang telah terjadi
dan admin tidak harus mengkonfigurasi tiap-tiap router untuk mengambil laporan
tersebut.
3.1.3. Email Report Network Attack
Belum adanya email report yang dikirim ke email admin wahana ketika ada sebuah
serangan jaringan terjadi pada jaringan client.
3.1.5. Firewall
Belum semua client wahana memaksimalkan penggunaan router mikrotik sebagai
firewall untuk mengurangi jumlah network attack.
Penggunaan syslog server pada PT. Wahana Lintas Nusa Persada untuk
melakukan monitoring terhadap tiap-tiap router harus dapat :
1. Syslog server pada admin wahana harus dapat menampilkan log yang dikirm
dari router tiap-tiap client beserta notifikasi suara berdasarkan topik log tersebut
dan informasi berupa pop up.
2. Syslog server pada admin client harus dapat menampilkan log yang dikirim dari
router miliknya.
3.3. Topologi Implementasi
Implementasi dilakukan dengan menambakan reactive IDS pada router client dengan
tipe network intrusion detection system (NIDS) yang dapat melakukan filtering paket yang
keluar masuk dalam jaringan client. Dengan tipe ini reactive IDS dapat memantau adanya
percobaan serangan yang dilakukan dari dalam maupun dari luar jaringan client. Reactive
IDS akan menampilkan peringatan berupa log ke syslog server di komputer admin client
dan admin wahana serta mengirimkan email ke teknisi wahana dan secara otomatis
firewall akan melakukan block ke paket yang memicu peringatan tersebut.
5.1. Kesimpulan
Kesimpulan yang dapat diambil dari penelitian dengan judul Analisis dan
Perancangan Reactive Intrusion Detection System Menggunakan Mikrotik Berbasis Log
dan Mail Report (Studi Kasus: PT. Wahana Lintas Nusa Persada) adalah sebagai
berikut :
1. Administrator Jaringan PT.Wahana Lintas Nusa Persada dapat melakukan quick
respon terhadap adanya serangan jaringan berupa serangan FTP Bruteforce,
SSH Bruteforce dan ICMP Flood (ping of death) dengan memantau log melaui
syslog server The Dude yang diiringi dengan suara dan popup untuk
memudahkan penangkapan informasi oleh admin ketika serangan terjadi.
2. Administrator yang mobile dapat mengetahui jenis serangan FTP Bruteforce,
SSH Bruteforce dan ICMP Flood (ping of death) yang terjadi pada jaringan client
dengan memlihat setiap email yang dikirim sebagai respon sistem terhadap
adanya serangan. Administrator pada jaringan client PT. Wahana Lintas Nusa
Persada dapat memantau log router miliknya melalui syslog server mikrotik
syslog yang dikirim oleh reactive intrusion detection system .
3. Dengan adanya laporan mingguan administrator PT. Wahana dapat mengetahui
IP address penyerang FTP Bruteforce, SSH Bruteforce dan ICMP Flood (ping of
death) selama satu minggu terakhir yang dikirim melalui email, untuk
memudahkan dalam dokumentasi serangan dan dapat dipantau melalui syslog
server the dude.
4. Seluruh kendali reactive IDS dapat dilakukan secara terpusat menggunakan
syslog server The Dude.
5. Pada fungsional test reactive intrusion detection system menggunakan mikrotik
versi 5.20 dapat mendeteksi adanya serangan baik berupa FTP Bruteforce, SSH
Bruteforce dan ICMP Flood (ping of death) dan menghalau serangan tersebut
serta melakukan respon dengan mengirimkan email dan log.
6. Berdasarkan pengujian yang telah dilakukan, reactive intrusion detection system
menggunakan mikrotik versi 5.20 yang telah dibangun adalah jenis interval
based (batch mode) dimana Informasi dikumpulkan terlebih dahulu dan kemudian
dievaluasi menurut interval waktu yang telah ditentukan atau dengan jenis
realtime dimana informasi dapat langsung dikirim.
7. Berdasarkan percobaan yang telah dilakukan dengan melakukan serangan
secara berurutan (Sekuensial) dan Serentak (simultan) respon time sistem yang
dihasilkan adalah tidak tentu (fluktuasi).
8. Berdasarkan pengujian yang telah dilakukan, perbedaan interval penjdwalan
script dengan timeout sebuah address-list dapat menimbulkan respon sistem
berupa false positive dalam mode interval.
5.2. Saran
Dari perancangan reactive intrusion detection system menggunakan mikrotik versi
5.20 ini, Ada beberapa saran yang dapat dikembangkan untuk penelitian selanjutnya.
Adapun sebagai berikut :
1. Reactive Intrusion detection system menggunakan mikrotik versi 5.20 ini dapat di
integrasikan dengan sms gateway, agar respon sistem dapat berupa pengiriman
sms.
2. Reactive Intrusion detection system menggunakan mikrotik versi 5.20 ini
dikembangkan menjadi Anomaly Detection System.
3. Reactive Intrusion detection system menggunakan mikrotik versi 5.20 ini akan
lebih baik dikembangkan mengggunakan application Programmable Interface
(API) untuk membuat perangkat lunak yang dapat dimodifikasi untuk
berkomunikasi dengan RouterOS untuk mengumpulkan informasi.
4. Dikembangkan dengan menambah fitur update otomatis.
5. Pengujian serangan lebih bervariasi lagi.
6. Perlunya pengujian false negative dan false positive secara lebih mendalam,
untuk mengetahui tingkat anomaly false negative dan positive
DAFTAR PUSTAKA