Transcription
PENDETEKSIAN DAN PENCEGAHAN SERANGAN REMOTECOMMAND EXECUTION PADA HTTP FILE SERVER DENGANMENGGUNAKAN SNORTMakalahProgram Studi InformatikaFakultas Komunikasi dan InformatikaDiajukan Oleh :Yudhi PrasetyoFatah Yasin Al Irsyadi, S.T,M.T.PROGRAM STUDI INFORMATIKAFAKULTAS KOMUNIKASI DAN INFORMATIKAUNIVERSITAS MUHAMMADIYAH SURAKARTA2015
PENDETEKSIAN DAN PENCEGAHAN SERANGAN REMOTE COMMANDEXECUTION TERHADAP HTTP FILE SERVER MENGGUNAKAN SNORTYudhi Prasetyo, Fatah Yasin Al IrsyadiInformatika, Fakultas Komunikasi dan InformatikaUniversitas Muhammadiyah SurakartaEmail : pras.yudhi@gmail.comABSTRACTDevelopment of computer technology more facilitate user for kinds ofinformation or data. Web application became place for sharing data activity about it.Educational institution and company also take a part on those advantages. The easyof this facility on sharing data worm out attacking that can be done by side variety.The attacking has a mean to get valuable data or just for interfering connectivity thatusing by another user.This research will discuss about how to detect an attacking remote commandexecution that to do toward sharing data media Rejetto HTTP File Server by usingsystem attacking detection that formed snort and to do preventive by build active rulefirewall. Rule snort will identify each of data into it and decide kinds of data whichpart from attacking remote command execution nor not.Result of this research is safety system of computer networking that capableon detect attacking of remote command execution which attack Rejetto HTTP.Server File and collaborate with firewall configuration manually that is used aspreventive action, so those attack will not happen anymore.Keyword : Data Sharing, Web Application, HTTP File Server, Remote CommandExecution.
ABSTRAKSIPerkembangan teknologi komputer semakin memudahkan user untuk berbagiinformasi maupun data. Web application menjadi wadah untuk melakukan kegiatansharing data tersebut. Institusi pendidikan serta perusahaan juga ikut ambil bagiandalam pemanfaatan wadah untuk berbagi informasi tersebut. Kemudahan dalammelakukan sharing data memancing serangan yang dapat dilakukan berbagai pihak.Serangan dimaksudkan untuk mendapatkan data yang berharga ataupun hanyasekedar ingin mengganggu konektivitas yang sedang dilakukan oleh user lainnya.Penelitian ini akan membahas mengenai bagaimana cara mendeteksi suatuserangan remote command execution yang dilakukan terhadap media sharing dataRejetto HTTP File Server dengan menggunakan sistem pendeteksi serangan berupasnort dan dilakukan pencegahan dengan membangun rule firewall aktif. Rule snortakan mengidentifikasi setiap data yang masuk dan menentukan apakah data tersebutmerupakan bagian dari serangan remote command execution atau bukan.Hasil dari penelitian ini adalah sistem keamanan jaringan komputer yangmampu mendeteksi terjadinya serangan remote command execution yang menyerangRejetto HTTP File Server dan di kolaborasikan dengan konfigurasi firewall secaramanual yang digunakan sebagai tindakan pencegahan agar serangan tersebut tidakterjadi kembali.Kata kunci : Sharing Data, Web Application, HTTP File Server, Remote CommandExecution.
PENDAHULUANPerkembangan internet saat inisudah menjalar ke berbagai aspekkehidupan. Pengguna yang semakinmeningkat juga memicu bertambahnyaaktivitas pertukaran informasi dandata. Sharing data dapat dilakukanmelalui jaringan internet ataupunjaringan lokal. Web application dapatmembantu menjadi perantara usermelakukansharingdata.Webapplication dapat digunakan baikdengan menggunakan koneksi internetmaupun melalui jaringan lokal (LAN).Dengan memanfaatkan jaringan lokal,web application dapat digunakansebagai media sharing data yang bisadimanfaatkanolehinstitusipendidikan maupun perusahaan besar.Informasi atau data dapat di tampilkanmelalui sebuah web dimana userlainnya dapat mengakses informasitersebut. Data atau informasi yangdiproses dan disimpan pada webapplication, membuat attacker tertarikdanmenjadikannyatarget.Berdasarkan data laporan dari IBMpada beberapa tahun yang lalu,serangankeamananpadawebapplication menjadi serangan yangdominan.Kerentanan keamanan jaringanpadawebapplicationdapatmenyebabkan serangan (intrusion).Serangan tersebut dapat menganggukonektivitas yang sedang dilakukanuser dengan user lain serta tindakanlain yang dapat merusak data yangtersimpan di dalam sistem. Orangyang memasuki sistem tanpa ijin ataubiasa kita sebut attacker. Attackermemasuki sistem menggunakan celahyang dimiliki oleh aplikasi tersebut.Menurut Yunhui dan Xiangyu,salah satu serangan yang palingberbahaya dan sering digunakan untukmenyerang web application adalahremote command execution (RCE).RCE memanfaatkan celah pada webapps yang memiliki celah yang dapatdimanfaatkan untuk memasukan danmengeksekusi script yang berbahayapada server.Firewall merupakan salah satualatyangdigunakanuntukmeningkatkan keamanan jaringan.Baik firewall dalam bentuk softwaremaupun hardware diharap dapatmenyaring paket yang masuk ataukeluar dari server.TINJAUAN PUSTAKALidia Putri (2011) padaskripsinyayangberjudul“Implementasi Intrusion DetectionSystem Menggunakan Snort StudiKasus : SMK Triguna Ciputat”merancang serta membangun sistemyang digunakan untuk melakukanpendeteksian serangan pada jaringankomputer berbasis wireless.R.A. Yunmar (2010) dalamskripsinya yang berjudul “IntrusionPrevention System untuk npreventionsystemyang digunakan untukmelakukantindakanpencegahanterhadap aplikasi yang berbasis web.Zheng dan Zhang (2013)dalampapernyamemaparkanmengenai pembuatan prototype yangmampu mengenali serangan remotecode execution dengan menganalisapath dan context-sensitive padaaplikasi web.Landasan teori yang digunakandalam tugas akhir ini adalah :1. Jaringan KomputerJaringan komputer adalah beberapakomputer dan peripheral, sepertiprinter,modem,scanner,danperipheral lainnya yang saling
berhubungandanmelakukankomunikasi antara yang satu denganyang lainnya. (Mujib, 2011)2. Intrusion Detection SystemIntrusion detection system adalahsebuah tool yang membantu untukmelakukan identifikasi dan memberilaporan terhadap aktivitas yangterdapat pada jaringan komputer. IDSakan memberikan peringatan ataupemberitahuan jika terdapat aktivitasyang dianggap mencurigakan di dalamjaringan. Namun IDS tidak mampuuntuk melakukan tindakan pencegahanjika terjadi serangan atau penyusupandi dalam jaringan. (Lidia, 2011)3. SnortSnort adalah program yangmelakukan deteksi pada suatupenyusupan di sistem pada jaringankomputer. Snort bersifat open sourcesehingga dalam penggunaannya tidakperlu membayar. Snort dilengkapidengan rule yang berfungsi sebagaitrigger apabila terjadi serangan.(Syujak, 2012)4. MetasploitMetasploit merupakan softwaresecurity yang sering digunakan untukmenguji coba ketahanan suatu sistemdengancaramengeksploitasikelemahan software suatu sistem.Metasploit biasanya digunakan untukmenyerang application layer dengan 0day attack yang merupakan metodepenyerangan pada software yangbelum di patch. Metasploit biasadikaitkan dengan istilah remoteexploitation, maksudnya penyerangberada pada jarak jangkauan yang jauhdapatmengendalikankomputerkorban. (Gov-CSIRT)5. Rejetto HTTP File ServerHTTP file server adalah web serveryang dirancang untuk melakukansharing file secara free. HFSmenggunakan teknologi web yangmembutuhkan browser sehingga lebihkompatible dengan teknologi saat ini.User dapat mendownload file seakanakan mendownload dari sebuah situsdengan menggunakan web browserseperti Google Chrome, Firefoxmaupun Safari. HFS bersifat portablesehingga user tidak perlu melakukaninstallasi hfs pada sistem. (Mujib,2011)6. FirewallFirewall adalah sebuah sistem ataukelompok sistem yang menerapkansebuah access control policy terhadaplalu lintas jaringan yang melewatititik-titik akses dalam jaringan. Tugasfirewall adalah untuk memastikanbahwa tidak ada tambahan diluarruang lingkup yang diizinkan. Firewallbertanggung jawab untuk memastikanbahwa access control policy yangdiikuti oleh semua pengguna di dalamjaringan tersebut. (Riadi, 2011)7. Remote command executionRemote command execution adalahsalah satu ancaman keamanan yangcukupberbahayauntukwebapplication yang merupakan jeniskhusus dari cross site scripting (XSS).(Xiangyu dan Yunhui, 2013).8. Web ApplicationWeb application merupakan sebuahaplikasi yang mengunakan teknologibrowser untuk menjalankan webjugamerupakan suatu perangkat lunakkomputer yang dikodekan dalambahasapemrogramanyang
mendukung perangkat lunak berbasisweb seperti HTML, JavaScript, CSS,Ruby, Python, Php, Java dan bahasapemrograman lainnya. (Remick, 2011)METODE PENELITIANTugas akhir dengan mandExecution Terhadap HTTP File ServerdenganMenggunakanSnort”mengidentifikasi bagaimana sebuahseranganyangberuparemotecommand execution terhadap RejettoHTTP File Server serta membuatpendeteksianterhadapserangantersebut dengan menggunakan snortdanmelakukanpenanggulanganserangan dengan menggunakan rulepada firewall.execution. Installasi software ygberfungsi sebagai attacker di sisiclient. Persiapkan software yangmemiliki kerentanan berupa Http FileServer pada sisi server. Installasi snortdan konfigurasi rule snort pada sisiserveryangberfungsiuntukmendeteksi serangan dari attacker.Konfigurasi firewall akan dibuatsetelah pendeteksian snort terhadapserangan berhasil sehingga dapatmengidentifikasi ip dari penyerangdan melakukan pencegahan denganmenggunakan firewall.3. PengujianAnalisis masalah diperoleh daripengamatan serta pengumpulan datayang berisi masalah yang akan dihadapi pada proses implementasi.Hasil analisa yang didapat adalahditemukannyakerentananpadasoftware rejetto http file emasukisistem pada sisi server. Hal itu tentuakan membahayakan data informasiyang terdapat di dalam server.Pengujian akan dilakukan denganmenggunakan 4 komputer yang terdiridari 1 komputer server dan 3komputer client. Komputer client akanmencoba menyerang server denganmenggunakan software metasploit.Komputer server akan mendeteksiseranganyang dilakukan olehkomputer client dengan menggunakansnort. Hasil dari pendeteksian tersebutakan di masukkan ke dalam log snort.Log yang berisi informasi dari deteksiserangan tersebut akan di telitimenggunakan kiwi log viewer. Padakiwi log viewer dapat dilihat seranganyang dilakukan dan ip berapa sertaport berapa yang menyerang. Setelahdiketahui port dan ip address attacker,akan dilakukan setting terhadapfirewall yang telah terdapat padawindows. Firewall difungsikan untukmencegah serangan remote commandexecution dengan melakukan blockingpada ip address tersebut.2. Perancangan SistemPERANCANGANPerancangan sistem akan dilakukandengan menggunakan 2 komputeryang akan bertindak sebagai serverdan client. Perancangan ini bertujuanuntuk menentukan rule yang akandigunakanolehsnortuntukmendeteksi serangan remote commandLangkah yang dilakukan dalamperancangan sistem ini dijelaskansebagai berikut :Dalam melakukan penelitianinidiperlukantahapanagartercapainya tujuan dari tugas akhir,tahapannya adalah sebagai berikut :1. Analisis Masalah1. Konfigurasi HTTP File Server2. Konfigurasi Metasploit pada client
Konfigurasidilakukanuntukmengecek apakah metaploit dapatmelakukan serangan terhadap HFSatau tidak. Tujuan lain adalah untukmengetahui cara penyerangan yangdilakukan metasploit terhadap HTTPFile Server yang nantinya akan dijadikan acuan dalam pembuatan rulepada snort. caranya adalah sebagaiberikut :a. Jalankan HFS pada serverGambar 1 Tampilan HFSb. Mencari hfs pada metasploitd. ExploitGambar 4 Metasploit menyerangPada langkah gambar 4 terlihat bahwaserangan yang dilakukan metasploitadalah dengan cara mengirimkanrequest terlebih dahulu ke HFS.Kemudia request tersebut diterima danHFSmengijinkanmetaploitmengirimkan file. File tersebutmemiliki ekstensi .vbs. Di sampingmengirimfile,metasploitmenggunakan celah tersebut untukmasuk ke dalam sistem. Setelahberhasil masuk, file berkstensi .vbstadi di hapus agar jejaknya tidakdiketahui oleh user maupun server.Gambar 2 mencari HFS padametasploitc. Set ip dan port korbanGambar 3 Setting Rport dan RhostGambar 5 Alur Serangan Metasploit
3. Konfigurasi IDS Software4. Konfigurasi Kiwi Log ViewerKonfigurasi pada snort agar dapatbekerja dengan baik. Caranya adalahsebagai berikut :Setelah selesai mengkonfigurasi ukmembuktikan bahwa rule snort yangdibuat telah berhasil digunakan untukmelakukan deteksi pada penyerangan.Hasil deteksi dapat dilihat pada kiwilog seperti gambar berikut :a. Masuk ke direktori C:\Snort\etc laluubah snort.conf seperti gambardibawah ini :Gambar 6 Log Snort yang mendeteksiadanya serangan5. Konfigurasi FirewallBerdasarkan hasil deteksi yangdilakukan oleh snort, maka dibuatlahaturan – aturan pada firewall untukmencegah serangan tersebut terjadikembali. Aturan yang dibuat adalahsebagai berikut ini :Gambar 5 Konfigurasi Snort.confa. Masuk pada pengaturan firewallwindowsb. Buat rule baru, pilih customSetelah selesai konfigurasi, simpansnort. conf dan jalankan snort.b. Membuat Rule SnortSebelummenjalankansnort,masukkan terlebih dahulu rule yangdigunakan sebagai trigger untukmemicu alert dari snort ketika terjadiserangan. Rule di dapat denganmenganalisa serangan yang dilakukanoleh metasploit. Rule yang dimaksudadalah alert tcp any any - any any(msg: "Serangan Remote CommandExecution"; content : "/?search %00";fast pattern; pkt data; content: ".vbs"; priority : 1; sid : 1;)Gambar 7 Konfigurasi firewall
c. Tentukan ip dan port berapa yangingin di cegah masuk berdasarkanlog yang ditampilkan pada kiwi loghasil dari deteksi yang dilakukanoleh snort.e. Pilih profil yang akan mengaktifkanrule firewall ini.Gambar 11 Cakupan profilGambar 8 Tentukan Port dan Protokolyang akan di blokirf. Ketik nama rule, selesai.Gambar 12 Nama rulePENGUJIANGambar 9 IP yang akan di blokird. Block ConnectionPengujiandilakukandenganmenggunakan 1 komputer server dan 3komputer client. Terdapat 2 tahapandalam melakukan pengujian ini, yaitu :1. Tahapan Pendeteksian SeranganTahapan ini dimaksudkan untukmenguji apakah serangan yangdilakukanberhasildilakukan.Langkahnya adalah sebagai berikut :a. Masuk ke metasploit, kemudiancari HTTP File Server dengan caraketik “search HFS”.b. Setelah HFS ditemukan, tentukanHFS sebagai objek yang akandiserang.Gambar 10 Action yang akandilakukan
b. Mengubah nama file yang berada disistemGambar 13 Mencari dan MenentukanHFS sebagai objek serangan.c. Tulis port serta host yang akandiserang kemudian exploitGambar 16 Mengubah nama filec. Menghapus file berukuran besarGambar 14 Metasploit berhasil masukke sistem serverUntuk memastikan bahwa metasploittelah berhasil memasuki sistem,dilakukan 5 karakteristik seranganterhadap server. Serangan yangdimaksud adalah sebagai berikut :a. Membuat Folder pada SistemGambar 15 Tampilan membuatfolder pada sistemGambar 17 Tampilan sebelum dansesudah data di hapusd. Mengambil data pada serverGambar 18 Mengambil data darisistem
e. Mengganti informasi pada fileGambar 21 Rule RCE diaktifkan padafirewallGambar 19 Mengganti isi dari dataSetelah melakukan 5 karakteristikserangan diatas, kita yakin telahberhasil memasuki sistem yangterdapat pada server.Snort yangsebelumnya telah konfigurasi dandioperasikan akan mengirimkan reportyang merupakan alert bahwa terjadiserangan.Setelah rule pada firewall diaktifkan,attacker akan mencoba menyerang lagike komputer target. Hasil yangdiperoleh adalah penyerang tidakdapat lagi melakukan serangan danmasuk ke dalam komputer target.Gambar 22 Metasploit gagalmenyerang targetPEMBAHASANGambar 20 Hasil Pendeteksian Snort2. Tahapan Pencegahan SeranganPengujian terhadap pencegahanserangan ini dilakukan setelah snortmenangkap alert yang berasal dari rulesnort yang telah dibuat sebelumnyalalu di identifikasi dengan kiwi logviewer. Pada kiwi log viewerdiketahui bahwa serangan yangdilakukan berasal dari IP Address192.168.0.102, 192.168.0.103 dan192.168.0.165. maka untuk melakukanpencegahan, rule firewall yangsebelumnya telah dikonfigurasi dapatdi aktifkkan untuk mencegah serangantersebut terjadi kembali.Penelitian ini dilakukan dengantahapan penginstallan serta konfigurasiterhadap software yang diperlukanagarterciptasebuahsistempendeteksian sesuai dengan yangdibutuhkan. Aplikasi yang diperlukandapat di unduh dari masing – masingweb software tersebut. Ebook,youtube, web serta media onlinelainnya membantu sebagai tutorialdalam proses konfigurasi pada setiapsoftware. Namun tidak jarang masalahdi temui dalam melakukan penelitianuntuk menyesuaikan sistem yangbertugas sebagai pendeteksi ketikaserangan dilakukan.Pada pendeteksian terhadapserangan remote command execution,terdapat rule yang difungsikan sebagaitanda peringatan. Rule tersebut adalahsebagai berikut : alert tcp any any - anyany(msg:“Intrusion”;content:”/?search %00”;fast pattern;pkt data;content:”.vbs”; priority:1; sid : 1;).
Rule tersebut di fungsikan untukmendeteksi serangan remote commandexecution. Dimana serangan remoteexecution itu sebelum memasukisistem target akan mengirimkan paketdata yang nantinya akan digunakanagar bisa masuk ke dalam sistem.Namun sebelum mengirimkan packetdata, attacker melakukan requestperintah “/?search %00” kepada HFSuntuk melakukan bypass filtering kedalam sistem. Dengan requesttersebut,metasploitmelakukanpengiriman payload yang berupa file.vbs kepada server. Payload yangsecaraotomatisterkirimdantereksekusi akan mengacaukan HFSsehingga dapat masuk ke dalam sistempada komputer target. Oleh sebab itu,rule dibuat dengan mendeteksi requestyang masuk lalu disertai denganmendeteksi packet data apa yang akanmasuk ke dalam server.Snort sendiri pada sistemoperasi windows 7 hanya bekerjasebagai intrusion detection system(IDS) dan tidak mampu melakukanintrusion prevention system (IPS) yanglangsung melakukan pencegahanapabila telah mendeteksi sebuahperingatan penyerangan. Oleh karenaitu dibutuhkan software pendukungyang difungsikan sebagai pencegahanpada sebuah serangan. Salah satusoftware pendukung tersebut ialahfirewall yang telah terdapat padawindows 7. Hanya saja konfigurasifirewall tidak dapat diintegrasikanlangsung dengan snort. Firewall harusmelakukan konfigurasi manual untukmelakukanpencegahanterhadapserangan.Firewall merupakan sebuahperangkat yang mengatur layanan –layanan yang tersedia pada jaringan.Semua data informasi yang keluarmaupun masuk harus melalui firewall.Tujuannya adalah agar segala akseskomunikasi yang dilakukan baikkedalam maupun keluar terpantau dandapatdipertanggungjawabkan.Kebijakan keamanan pada firewalldapat diatur sedemikian rupa sehinggadapat menentukan layanan apa sajayang tersedia pada jaringan. munculnyaserangan juga semakin kecil.Gambar 23 Tabel kelebihan dankekurangan firewallKombinasi antara snort, kiwi logviewer dan firewall menghasilkansuatu sistem yang mampu untukmendeteksi dan mencegah seranganremote command execution terhadapHTTP File Server yang cukupberbahaya. Hal tersebut dibuktikandengan melakukan beberapa kalipengujian dan percobaan serangansistem dapat memenuhi target daripenelitian ini dan semoga bisa bergunauntuk semuanya.KESIMPULANSetelah dilakukannya serangkaianpenelitian yang dimulai dari tahapawal hingga tahap akhir, penelitian inimenghasilkanbeberapapoinkesimpulan diantaranya adalah sebagaiberikut :1. Penelitian ini telah menghasilkansebuah intrusion detection systemyang mampu berfungsi untuk
mendeteksiseranganyangdilakukan oleh attacker beruparemote command execution kepadaHTTP File Server yang terdapatpada komputer server (target).2. Sistem IDS yang dibangun bekerjasecara real time, serangan yangterjadiakanlangsungdiinformasikan oleh snort ke dalamlog. Meskimampu untukmendeteksiserangantersebutsecara real time, sistem IDS initidak dapat difungsikan sebagaisistemuntukmelakukanpencegahan terhadap serangan.3. Pencegahan akan d
4. Konfigurasi Kiwi Log Viewer Setelah selesai mengkonfigurasi snort, lakukan kembali percobaan penyerangan. Hal ini untuk membuktikan bahwa rule snort yang dibuat telah berhasil digunakan untuk melakukan deteksi pada penyerangan. Hasil deteksi dapat dilihat pada kiwi log se
