Transcription
DETEKSI DAN PENCEGAHAN BUFFER OVERFLOW TERHADAP EFM WEBSERVER MENGGUNAKAN SNORTMAKALAHPROGRAM STUDI TEKNIK INFORMATIKAFAKULTAS KOMUNIKASI DAN INFORMATIKADiajukan oleh:JarwantoHelman Muhammad, S.T., M.T.PROGRAM STUDI TEKNIK INFORMATIKAFAKULTAS KOMUNIKASI DAN INFORMATIKAUNIVERSITAS MUHAMMADIYAH SURAKARTANOVEMBER, 20141
22
DETEKSI DAN PENCEGAHAN BUFFER OVERFLOW TERHADAP EFM WEBSERVER MENGGUNAKAN SNORTJarwantoTeknik Informatika, Fakultas Komunikasi dan InformatikaUniversitas Muhammadiyah SurakartaEmail : djar1too@gmail.comAbstrakTeknologi informasi telah berkembang dengan pesat seiring berkembangnyateknologi lain, terutama dengan adanya jaringan komputer baik yang bersifat lokal maupunjaringan internet yang dapat memudahkan untuk melakukan komunikasi dengan pihak lain.Keamanan jaringan komputer sebagai bagian dari sebuah sistem menjadi sangat penting untukmenjaga validitas data. Buffer overflow merupakan salah satu serangan yang sangat bahaya kedalam server jaringan komputer dan dapat terjadi kapan saja. Baik pada saat administratoryang sedang bekerja ataupun tidak. Dengan demikian diperlukan sistem keamanan di dalamserver itu sendiri yang mampu mendeteksi langsung apakah setiap paket yang masuk tersebutadalah paket data yang sebenarnya atau tidak. Sehingga keamanan jaringan komputer terjamindan tidak ada serangan yang dapat menguasainya.Sistem keamanan ini menggunakan Operating System Windows 8 dan EFM WebServer sebagai target yang merupakan salah satu web server untuk sharing file/folder. Sistemini dibagi menjadi beberapa modul diantaranya IDS software yaitu snort, report viewersoftware yaitu Kiwi Log Viewer, dan juga penetration testing software yaitu metasploitframework.Deteksi dan pencegahan dilakukan dengan sistem yang didesain dengan jalanmembuat firewall aktif dan snort bisa mendefinisikan setiap data yang masuk kedalam server,apakah data yang datang itu merupakan sebuah serangan buffer overflow ataukah bukan. Jikayang datang merupakan serangan buffer overflow maka firewall akan memblokir alamat IPpengirim yang sudah disetting sebelumnya berdasarkan alert yang ditampilkan melalui KiwiLog Viewer.Kata kunci : Keamanan Jaringan Komputer, Buffer Overflow, EFM Web Server, IDS, Snort,Kiwi Log Viewer, Metasploit Framework, Firewall.3
karena dataPENDAHULUANyang disimpan melebihiInternet saat ini telah merambah kekapasitas memorinya. Perilaku tersebuthampir semua aspek kehidupan. Jumlahbisa menjadi celah keamanan yang dapatpenggunainternetdimanfaatkan oleh pihak-pihak yang isistem dan memanfaatkannya menurutpengaksesan informasi yang disediakankehendaknya.oleh internet terdapat bahaya besar yangkerugian yang dapat disebabkan olehmengintai, yaitu berbagai macam seranganterjadinyaBufferyang berusaha mencari celah dari besarnyaoverflowmakadigunakan. Serangan-serangan itu dapatdilakukan pengamanan maksimal terhadapmengakibatkan kerusakan data dan bahkansistem yang dipakai.kerusakan pada hardware.BerdasarkanSaat ini di Indonesia setiap di ratusan ribu serangan (intrusi)berbahayanya masalah tersebut, ksioverflowdanterhadapsemakin pesat ternyata juga menimbulkanEFM Web Server menggunakan Snort.resiko keamanan yang besar, hal tersebutSnort merupakan salah satu IDS softwaredapat dilihat dari kerentanan yang terusyang tergolong mudah, user friendly sertamuncul dalam perangkat lunak. Menurutdapat didownload secara gratis di weblaporanresminya, sehingga dalam pebelitian iniCERT/CC,merupakandarioverflowbugdigunakan snort sebagai IDS Softwarenya.keamanan yang dilaporkan dan dijadikanSedangkan untuk target serangan padaadvisori oleh CERT/CC.penelitian ini menggunakan EFM WebsatupenyebabBuffer50%Buffer overflow merupakan salahServer yang memang setelah diteliti masihpenyebabmemiliki celah untuk diserang denganyangpalingbanyakmenimbulkan masalah pada keamananserangankomputer baik yang bersifat lokal maupunsoftware tersebut cocok digunakan dalamjaringan. Buffer overflow adalah suatupenelitian gaTujuan dari penelitian ini adalahmenunjukkan perilaku yang tidak wajarmengidentifikasi4bagaimanasuatu
serangan Buffer overflow bekerja terhadapprogrammingEFM Web Server, dan kemudian membuatoverflow.penanggulangannya menggunakan Snort.memberikan hasil bahwasannya beberapaHasil dari penelitian ini diharapkan mampufungsi dalam bahasa C/C yaBufferkeamanan jaringan komputer yang bekerjaoverflow, kerentanan ini dapat dicegahdan semuga bermanfaat bagi semua pihakdankhususnya yang berkecipung dalam bidangdengan menekankan solusi lebih pada gkatkan(Suherman:2011)Universitas Indonesia khususnyaTINJAUAN PUSTAKAPadapenelitianFakultasTeknikterdapat terdapat sebuah system keamananKomputerpernah mengimplementasikanjaringan komputer yang dibangun padaIDS (Intrusion Detection System) sertaubuntu server. Penelitian ini berupa tugasMonitoring Jaringan dengan Interface Webakhir yang mulai dibangun dari kebutuhanBerbasis BASE pada Keamanan Jaringanuntuk keamanan jaringan komputer, karenasistem. Dalam penelitian ini dibangundisamping sangat bermanfaatnya sebuahsebuahinternet, namun disisi lain juga sangatSystem (IDS) yang dapat mendeteksibanyak sisi kekuranganya salah satunyaadanya serangan di dalam jaringan denganadalah untuk menangani bentuk serangancepat serta menganalisa alert dan log yangDoS Attack yaitu Flooding data dengandihasilkanSYN Flood Attack dan Ping of Deathmenggunakan kiwi syslog dan BASEsebagai sampel pengujian serangan. Sistem(BasicKeamanan ini bisa dijadikan sebagai suatusebagai peringatan kepada Administratoralat yang dapat mempermudah adminserta menghitung nilai terhadap jumlahdalamseranganalert dan waktu yang dibutuhkan olehterhadap server, sehingga dapat dilakukansistem untuk mendeteksi adanya seranganpencegahan lebih dini terhadap serangandi dalam jaringan. (Kusumawati: gansecurity engine)tersebut (Syujak: 2012)Penelitian yang serupa pun pernahMETODOLOGIdilakukan di UIN Alauddin gidentifikasi5iniakanbagaimanasuatu
serangan buffer overflow bekerja terhadapsistem. Adapun langkah-langkah yangEasy File Management Web Server (EFMdimaksud meliputi :Web Server), dan kemudian membuat1. Installasi Metasploit di clientpenanggulangannya menggunakan snort.Aplikasi ini dapat di download diSistem keamanan jaringan komputer iniwww.metasploit.com dan kemudianmenggunakan Operating System Windowsdiinstal secara typical installation.8. Sistem ini dibagi menjadi beberapa2. Installasi EFM Web Server di servermodul diantaranya IDS software yaituAplikasi EFM Web Server dapatsnort, report viewer software yaitu Kiwididownloadlog viewer, dan juga penetration testingmanagement.comsoftware yaitu metasploit framework.diinstal secara typical installation.Deteksi dan pencegahan dilakukan3. Installasidengan sistem yang didesain dengan ahapmendefinisikan setiap data yang masukperancangankedalam server, apakah data yang datangperancanganitu merupakan sebuah serangan bufferdigunakan untuk merancang suatuoverflow ataukah bukan. Jika yang datangsistem yang dapat mendeteksi adanyamerupakan serangan buffer overflow makaserangan yaitu Intrusion Detectionakan dilakukan seting Firewall agar dapatSystem menggunakan snort. Tahap inimemblokir alamat IP attacker.meliputi beberapa installasi softwarePenelitian ini menggunakan nya:kepustakaan yaitu cara mengumpulkandata dengan jalan mempelajari ah,sertaa. Snort 2 9 6 2 current/Snort 2 9 6 2 Installer.exependapat-pendapat para ahli dari buku-b. WinPcap 4 1 3buku bacaan yang ada kaitannya denganhttp://www.winpcap.org/install/defaultmateri pembahasan penelitian ini. Setelah.htmsemua data yang dibutuhkan terpenuhiselanjutnyaadalahtahapc. Kiwi LogViewer 2.1.0 Win32.setupperancanganhttp://kiwisyslog.com/Kiwi LogViewer 2.1.0-download/6
4. Konfigurasi Rule Snortpengeditan maupun penambahan padaTahap selanjutnya yaitu konfigurasirulerule snort. Konfigurasi yang uti konfigurasi rule yang defaulte-downloadsdi snort dan konfigurasi local rule.terekstrak di C:/Snort/etc/snort.conf :BerikutiniadalahbeberapaDari :Gambar 1 Tampilan edit rule snort 1Menjadi :Gambar 2 Tampilan edit rule snort 2Dari :Gambar 3 Tampilan edit rule snort 3Menjadi :Gambar 4 Tampilan edit rule snort 4Dari :Gambar 5 Tampilan edit rule snort 5Menjadi :Gambar 6 Tampilan edit rule snort 67yangtelahdandidownloadyangdisudah
Dari :Gambar 7 Tampilan edit rule snort 7Menjadi :Gambar 8 Tampilan edit rule snort 8Setelah pengeditan rule yang secara default sudah terinstal di snort selesai makaperlu membuat rule local, rule local yang telah dibuat kemudian dapat dipasang dengancara dipindahkan ke server pada direktori c:\snort\rules\local. Rule tersebut adalahsebagai berikut :# Id: local.rules,v 1.11 2014/11/06 20:15:44 bmc Exp # ---------------# LOCAL RULES# ---------------# Rule Alert untuk mendeteksi BoF pada Efmalert tcp EXTERNAL NET any - HOME NET 80 (msg:"Efm buffer overflow";dsize:1 800000; classtype: attempted-admin; sid:1000000;)5. Konfigurasi FirewallSetelah installasi dan Konfigurasi IDS Software selesai dan ready untuk dijalankan,maka sistem telah siap mendeteksi serangan yang datang untuk kemudian Firewallmelakukan blok IP berdasarkan alert, dengan langkah konfigurasi sebagai berikut:a. Control panel - Windows Firewall - klik Advanced settings.b. Pilih Inbound Rules - klik New Rule dan pilih jenis aturan Custom, klik next.c. Pilih “This program path” – nextd. Isi protocol type: TCP, local port: All ports, remote port: All porte. Masukkan alamat IP di IP address 192.168.1.1f. pada panel action pilih block the connectiong. Pada panel profil cheklis semua pilihanh. Firewall telah terkonfigurasi dan siap digunakan8
1. Di komputer target (dengan alamat IPHASIL DAN PEMBAHASANHasil dari penulisan ini merupakan192.168.1.2), aktifkan Snort dan Kiwisuatu sistem keamanan jaringan yangLog Viewer agar dapat mendeteksimampumencegahserangan dari komputer penyerang,overflowsehingga alert dapat diketahui melaluiterhadap EFM Web Server. Sistem yanglog snort maupun Kiwi Log ndalamdanbufferpenulisandankeberhasilan penulisan bisa didapatkan .dilihat melalui pengujian terhadap sistem,2. Dikomputerdalam hal ini mencakup 2 tahap, yaitualamat IP 192.168.1.1) rameworkyangtelahsebelumnyadansiappencegahan serangan.diinstalTahap Deteksi Serangandigunakan untuk simulasi seranganPadaskenariopengujianIDSbuffer overflow terhadap EFM webberbasis snort ini, akan dilakukan simulasiserver dengan perintah – perintahpercobaan penyerangan (attack) dengansebagai berikut :melakukan serangan buffer overflow.a. earch efmb. use exploit/windows/http/efs fmws userid bofc. show targetsd. set target 1e. set payload windows/meterpreter/bind tcpf. set rhost 192.168.1.2Gambar 9 Mekanisme simulasig. set rport 80penyeranganh. show optionsi. exploitPada pengujian IDS ini digunakan2 buah komputer. 1 komputer sebagai3. Setelah attacker masuk ke sistemkomputer penyerang (attacker) dan lainnyatarget maka di komputer target, IDSsebagai komputer target. Adapun langkahmendeteksi– langkah pengujian sistem IDS dengankemudianmelakukan simulasi penyerangan bufferserangan yang ditampilkan oleh kiwioverflow adalah sebagai berikut:log viewer. Dalam pengujian ini snortadanya serangan, danmemicualerttentangmenangkap serangan buffer overflow9
yangdilakukanolehkomputerpenyerang.Pada tahap sebelumnya yaitu deteksiserangan dapat dilihat bahwa snort telahmendeteksi serangan buffer overflow darikomputeralamatGambar 10 Tampilan log hapselanjutnya yaitu konfigurasi firewall agardapat mencegah serangan. Maka setelahdikonfigurasi attacker tidak dapat anpadagambarberikut :Gambar 11 Tampilan Kiwi Log ViewerGambar 12 Tampilan firewall yang telahdikonfigurasiTahap Pencegahan SeranganPada tahap ini dapat di lihat pada baganproses pencegahan terhadap suatu seranganberikut:PembahasanPenulisan ini meliputi serangkaiantahap installasi beberapa software yangsecara bebas bisa didapatkan dari masing –masing web resminya. Sehingga dalampenulisan ini tidak mengeluarkan banyakdana. Panduan installasi juga banyakditemukan di web – web yang dapatdiakses secara mudah dan juga ikanprosesinstallasisoftware – software yang dibutuhkan,walaupun dalam prosesnya ada beberapakendala yang ditemui, terutama dalamBagan 1 Proses pencegahan serangan10
konfigurasi software satu dengan softwaremasuk kedalam sistem melalui port 80,yangdengan trafik data diantara 1 - 800.000lainagardapatdiintegrasikanmenjadi satu kesatuan sistem.bytes,Konfigurasi IDS snortmakaakanterdeteksisebuahjugaserangan buffer overflow yang berusahamelalui beberapa tahapan yang dilaluimengambil alih fungsi admin di jenis rulesecaramemudahkanlocal yaitu dengan kode sid 1000000,pengguna dalam melakukan konfigurasi,dan kemudian memicu peringatan/alerthanya saja dalam konfigurasi rule snortoleh snort berikut kiwi log viewer.urutsehinggasedikit kesulitan. Karena walaupun rulesFile rule yang disediakan pada setiapsnort tersebut sudah terekstrak dengan baikversi snort dibuat oleh Snort Team dengandi folder snort, perlu melakukan beberapadukungan opensource project dan telahpenambahan maupun pengeditan padateruji untuk dapat mendeteksi berbagaisnort.conf dengan Notepad . Pengeditanmacammaupun penambahan ini bermanfaat untukKontributor dari Snort Team adalah paramelakukanprofesional dalam bidang IT h terhadap keberhasilan IDSdalamsnort.komputer, sehingga perkembangan rulePenelitian ini menggunakan localsnortrule sebagai berikut embanganteknik keamanan dan pola serangan baruyang sering terjadi pada sistem jaringan# Id: local.rules,v 1.11 2014/11/06 20:15:44komputer .bmc Exp Snort merupakan perangkat Intrusion# ----------------Detection System, dan bukan Intrusion# LOCAL RULESPrevention System yang secara otomatis# ----------------dapat mencegah adanya suatu serangan.# Rule Alert untuk mendeteksi BoF pada EfmSnort hanya mampu memberikan suatualert tcp EXTERNAL NET any - HOME NETperingatan/alert tentang adanya sebuah80buffer(msg:"Efmdsize:1 800000;classtype:overflow";serangan terhadap suatu sistem, sehinggaattempted-untukadmin; sid:1000000;)untukalertmelakukanpencegahanterhadap sebuah serangan harus dilakukanRule tersebut merupakan rule yangdibuatdapatseranganpengaturan firewall. Hanya saja dalambuffersistem operasi windows masih bersifatoverflow. Dimana ketika ada koneksiapapun yang berasal dari luar sistem yg11
manual, dan belum bisa terintegrasi dengan1. Berdasarkan hasil pengujian yangsnort.dilakukan terhadap sistem yang angkat yang diletakkan antara Internetdiimplementasikan sebagai Intrusiondengan jaringan internal. Informasi yangDetection System (IDS) pada sistemkeluar atau masuk harus melalui firewalloperasi windows 8 server untukini. Tujuan utama dari firewall adalahmendeteksi serangan buffer overflowuntuk menjaga agar akses (ke dalamterhadap EFM Web Server.maupun ke luar) tidak dapat dilakukan2. Berdasarkan hasil pengujian yangsecara bebas. Firewall bekerja dengandilakukan terhadap sistem yang sudahmengamati paket IP (Internet Protocol)dibangun,yangBerdasarkandikonfigurasikan pada sistem operasikonfigurasi dari firewall maka akses dapatwindows 8 server untuk mencegahdiatur berdasarkan IP address, port, danserangan buffer overflow terhadaparah informasi.EFMmelewatinya.Penelitian ini memadukan antara IDSfirewallWebServerdapatberdasarkaninformasi alert dari snort.Software yaitu snort, kiwi log viewer, dan3. Setelah dilakukan perancangan sitemfirewall. Yang dari software – softwaredan konfigurasi beberapa software,tersebut menghasilkan sebuah sistem yangdiketahui sistem IDS berbasis alamserangan buffer overflow terhadap EFMpenambahan atau modifikasi rule, baikWebyang secara default sudah terinstal ujiandansnortskenario serangan sistem dapat memenuhimaupunlocalrule,untukmendeteksi ancaman serangan.target dari penelitian ini.4. Snort berhasil mendeteksi seranganbufferoverflowmenggunakanKESIMPULAN & SARANpenetration testing software yaituSetelah melakukan serangkaian penelitianmetasploit framework, sebagai alatmulai dari tahap awal sampai akhir,simulasi serangan yang dilakukanpenelitian ini menghasilkan beberapa pointerhadap sistem yang telah dibangun.kesimpulan, diantaranya adalah sebagaiSehingga dapat diambil kesimpulanberikut:bahwa perangkat lunak metasploitmemenuhi tujuan dari perangkat lunak12
tersebutsebagaialatsimulasimenghadapipenyerangan buffer overflow.berbagaimacambentukserangan yang selalu berusaha mencari5. EFM Web Server merupakan salahcelah dari sistem keamanan jaringansatu Web Server untuk sharing datakomputer yang digunakan. Oleh karena deteksidanterbukti masih bisa ditembus denganpencegahan terhadap serangan sangatlah dimetasploit framework.butuhkan, salah satunya yaitu dengan IDSSnort.Sistem keamanan dengan IDS SnortSaranSalah satu yang menjadi kendaladapat memberikan manfaat lebih apabiladalam jaringan komputer adalah dalamSnort diintegrasikan dengan firewall. Snortbidang keamanannya. Sesempurna apapuncukup efektif untuk mendeteksi adanyasistem jaringan yang dibangun oleh usersebuah serangan terhadap sistem, namuntentunya masih memiliki celah untukSnortdiserang. Kalaupun ada suatu sistem yangPrevention Systemtidak bisa diserang mungkin bukan tidakmencegah atau memblokir usaha-usahabisa akan tetapi belum bisa. Setiappenyusupan kedalam sistem. Maka dari itukomputer yang terhubung ke dalam suatufirewall dapat menjadi salah satu solusijaringan baik tekoneksi dengan internetuntuk proses pencegahan terhadap sebuah(IPS)Intrusionyang dapat
DAFTAR PUSTAKAAjawaila, T.G. (2010). Tutorial Membangun Snort Sebagai Intrusion Detection SystemIntegrasi terhadap BASE dan MySQL. http://ilmukomputer.com/ diakses tanggal 13Agustus 2014.Fauziah, L. (2009). Pendeteksian Serangan Pada Jaringan Komputer Berbasis IDS SnortDengan Algoritma Clustering K-Means. Tugas Akhir. Institut Teknologi SepuluhNovember, Surabaya.Foster, J.C. (2005). Buffer Overflow Attacks: Detect, Exploit, Prevent. United States ofAmerica: Andrew Williams.Kusumawati, M. (2010). Implementasi IDS (Intrusion Detection System) serta MonitoringJaringan dengan Interface Web Berbasis BASE pada Keamanan Jaringan. Skripsi.Universitas Indonesia.Mulyanto, Arip. (2010). Evaluasi Bomod Sebagai Media Pembelajaran Buffer overflow.Jurnal MEDTEK, Volume 2, Nomor 1. Universitas Negeri Gorontalo.Odom, W. (2004). Computer Networking First-Step. Yogyakarta: Andi.Rehman, R. (2003). Intrusion Detection Systems with Snort. New Jersey: Prentice-Hall.Ritonga, Y. (2013). Buffer overflow (keamanan computer). http://prediss.com/ diakses tanggal14 September 2014.Rochim, A.R. (2010). Eksploitasi Keamanan Sistem Operasi Windows XP Pada JaringanLAN. Skripsi. Sekolah Tinggi Manajemen Informatika Dan Komputer AMIKOM,Yogyakarta.Suherman. (2011). Secure Programming Untuk Mencegah Buffer Overflow. Skripsi.Universitas Islam Negeri Alauddin Makassar.Sukirmanto. (2013). Rancang Bangun dan Implementasi Keamanan Jaringan KomputerMenggunakan Metode Intrusion Detection System (IDS) pada SMP Islam TerpaduPAPB. Jurnal. Universitas Semarang.Syujak, A.R. (2012). Deteksi dan Pencegahan Flooding Data Pada Jaringan Komputer.Skripsi. Universitas Muhammadiyah Surakarta.Tanenbaum, A.S. dan Wetherall, D.J. (1944). Computer Networks. 5th ed.Roesch, M. (2003). SNORT Users Manual 2.9.6 The Snort Project,http://manual.snort.org/ diakses tanggal 23 Oktober 2014.14
menggunakan kiwi syslog dan BASE (B asic analysis and security engine) sebagai peringatan kepada Administrator serta menghitung nilai terhadap jumlah alert dan waktu yang dibutuhkan oleh . Aplikasi ini dapat di download di www.metasploit.com dan kemudian diinstal secara typical installation. 2. Installasi EFM Web Server di server
