Transcription
DETEKSI DAN PENCEGAHAN SERANGAN REMOTE CODE EXECUTIONTERHADAP WING FTP WEB SERVER MENGGUNAKAN SNORTMakalahProgram Studi InformatikaFakultas Komunikasi dan InformatikaDiajukan Oleh :Muhammad TriwibowoHelman Muhammad, S.T,M.T.PROGRAM STUDI TEKNIK INFORMATIKAFAKULTAS KOMUNIKASI DAN INFORMATIKAUNIVERSITAS MUHAMMADIYAH SURAKARTAJULI 2015
DETEKSI DAN PENCEGAHAN SERANGAN REMOTE CODE EXECUTIONTERHADAP WING FTP WEB SERVER MENGGUNAKAN SNORTMuhammad Triwibowo, Helman MuhammadInformatika, Fakultas Komunikasi dan InformatikaUniversitas Muhammadiyah SurakartaE-mail : bowobw02@gmail.comABSTRAKSIBanyak masalah keamanan yang terjadi pada sebuah jaringan yang rentanoleh serangan. Berbagai macam alasan yang terjadi diantaranya dengan merusak,balas dendam, cuman iseng-iseng sebagai unjuk kemampuan. Di internet banyakinformasi yang disediakan akan tetapi dibalik kemudahan dalam pengaksesan banyakjuga masalah-masalah kejahatan yang mengintai yang ingin berusaha masuk untukmengambil celah kerentanan dari sistem keamanan jaringan komputer yangdigunakan. Akibat dari serangan-serangan yang dilakukan akan terjadi kerusakanpada sistem komputer jaringan tersebut.Penelitian ini dapat mengidentifikasi cara bagaimana suatu serangan RemoteCode Execution dapat bekerja terhadap Wing File Transfer Protokol (Wing FTP WebServer), dan kemudian melakukan pendeteksian terhadap serangan menggunakansnort. Deteksi dan pencegahan dapat dilakukan dengan membuat firewall aktif untukmengidentifikasi setiap data yang masuk kedalam server, bagaimana data tersebutmerupakan serangan Remote Code Execution atau bukan.Hasil dari penelitian ini adalah bagaimana suatu sistem keamanan jaringanyang mampu mendeteksi dan mencegah terjadinya serangan Remote Code Executionterhadap Wing FTP Web Server. Sistem yang dihasilkan dalam penelitian inimelakukan pengujian terhadap sistem dan melihat. Selanjutnya melakukan 2 tahapyaitu dengan melakukan pendeteksian serangan dan melakukan pencegahanserangan.Kata Kunci : Keamanan Jaringan Komputer, Remote Code Execution, Wing FTPWeb Server, Firewall, Snort
PENDAHULUANBerbagai macam serangan dinternetterdapat bahaya besar yang mengintai untukmencari celah dari sistem keamananjaringan komputer yang digunakan.Serangan tersebut dapat mengakibatkankerusakan data dan bahkan kerusakanhardware. Di Indonesia contohnya, untuksetiap harinya terjadi ratusan ribu seranganterhadap keamanan internet, denganmelakukan tindakan yang meretas ataumelakukan kejahatan dunia maya, transmisidari satu pihak dengan pihak lainnya.Tindakan tersebut dapat menagkibatkanterjadinya kerusakan komunikasi dengandua pihak yang berkomunikasi.Salah bentuk jenis serangan yangbanyak terjadi adalah yang dapat dikenalsebagai serangan Remote Code Execution(eksekusi perintah dari jauh). Remote CodeExecution dapat terjadi apabila terdapatsuatu celah yang dapat memungkinkanpihak dari luar (penyerang) dapatmengakses suatu server melalui perintahyang dikirim dari server lain. Sangat besarkerugian yang terjadi akibat serangan olehterjadinyaRemoteCodeExecutionkemudian itu dibutuhkan ilmu yangberhubungan dengan jaringan komputeruntuk dapat bisa melakukan keamananjaringan dengan baik. Cara dalammelakukan peningkatan keamanan jaringankomputer dengan cara membuat ataumerancang keamanan dengan firewall.Penelitian ini bertujuan untukmewujudkan suatu cara untuk mendeteksidan mencegah serangan Remote CodeExecution,yangdidasarkanolehpemanfaatan software IDS ialah Snort.Snort adalah software yang tergolongmudah digunakan, user friendly, serta dapatdi-download dengan gratis di web resminya.Target serangan dipilih Wing FTP WebServer karenan masih memiliki celah untukdiserang dengan serangan Remote CodeExecution,sehinggasangatcocokdigunakan dalam penelitian ini.TINJAUAN PUSTAKARiyantika & Lidyawati (2013) dalam tugasakhirnya yang berjudul “ Analisis KinerjaSistem Pengamanan Jaringan denganMenggunakan Snort IDS dan IP-Tables diArea Laboratorium RDNMP.T.”X” dalampenelitian ini dibangun suatu sistemkeamanan jaringan dengan menggunakansnort dan iptables. Dalam penelitian inisnortdigunakanuntukmendeteksiserangan, sedangkan untuk mencegahserangan digunakan iptables.Jarwanto (2014) dalam tugas akhirnyayang berjudul “ Deteksi dan PencegahanBuffer Overflow Terhadap EFM Web ServerMenggunakan Snort” dalam penelitian inidibangun suatu sistem pendeteksian danpencegahan untuk mengamati seranganbuffer overflow terhadap efm web serverdan melakukan pencegahan denganfirewall.Lidia Putri (2011) dalam tugasakhirnya yang berjudul “ImplementasiIntrusion Detection System MenggunakanSnort Jaringan Wireless Studi Kasus: SMKTriguna Ciputat” dalam penelitian inidibangun sistem IDS untuk melakukanpendeteksian pada jaringan wireless diSMK Triguna Ciputat dan melakukanpencegahan serangan dengan iptables.Landasan teori yang digunakan dalam tugasakhir ini adalah:1. Keamanan Jaringan KomputerKeamananjaringankomputeradalah suatu bentuk penanggulanganserangan yang dilakukan oleh attackeruntuk masuk kedalam suatu jaringan
2.3.4.5.komputer melalui lalu lintas jaringanyang tidak sah dari jaringan komputerluar. (Unswagati, 2010)Intruction Detection System (IDS)Instruction Detection System (IDS)adalah suatu bentuk sistem yang dapatmelakukanpengawasanterhadapkegiatan-kegiatan yang illegal yangterhubung dengan lalu lintas jaringan,maka IDS akan memberi tindakanperingatankepadaadministratorjatringan apabila akan terjadi serangan(Shafitri, 2012)Intruction Prevention SystemInstruction Prevention System (IPS)adalah suatu bentuk metode untukkeamanan jaringan yang sangat baik.IPS dapat melakukan pendeteksiansekaligus dapat melakukan pencegahanketika terjadi serangan. (Jarwanto,2015)SnortSnort adalah sebuah software yangberfungsi untuk mengawasi aktivitasdalam suatu jaringan komputer. Snortmenggunakan sistem aturan (rulessystem) untuk melakukan deteksi danpencatatan (logging) terhadap berbagaimacam serangan yang terdapat padajaringan komputer. Dengan membuatberbagai rule untuk mendeteksi ciri-cirikhas signature dari berbagai macamserangan, maka snort dapat mendeteksiserangan-serangan tersebut. (Shafitri,2012)Metasploit frameworkMetasploitframeworkadalahsebuah platform pengembangan untukmembuat tools keamanan dan exploit.Metasploit framework terdiri atas tools,libraries, modules dan user interface.Fungsi dasar dari metasploit frameworkadalah memunculkan modul yangmembiarkanpenggunanyamengkonfigurasi modul exploit danmencobanya pada target yang dituju.Apabila exploit berhasil, payload akantereksekusi pada sistem target dan bagipengguna akan disediakan sebuah selluntuk berinteraksi dengan payload.(Rochim, 2010)6. Wing FTP Web ServerWing FTP Web Server adalahaplikasi server transfer protocol yangmudah digunakan dan dapat dijalankanpada windows, linux, Mac OSX dansolaris. Wing FTP Web Servermemberikan kemudahan kepada userdalam cara mereka terhubung ke serverdan menyediakan antarmuka berbasisweb untuk mengelola server dari manasaja. User juga dapat memonitor kinerjaserver dan sesi online pemberitahuantentang berbagai peristiwa yang terjadidi server (Sera, 2015)7. Remote Code ExecutionRemote Code Execution adalahsebuah celah yang membuat kitaterhubung pada sebuah command atauterminal sistem operasi. Dengan celahini kita dapat menggunakan perintahperintah yang ada pada sistem operasiserver tersebut. Remote Code Executiondapat terjadi karena kesalahan dalamsebuah kode dan tidak adanya filterterhadap kode injeksi yang berbahayaseperti wget, curl, cat, dan lain-lain.(Yantu, 2014)8. FirewallFirewall adalah sebuah sistem atauperangkat yang memberikan otoritaspada sebuah lalu lintas jaringankomputer yang dianggapnya amanuntuk melaluinya dan melakukanpencegahan terhadap jaringan yangdianggap tidak aman. Perlindunganfirewall mutlak diperlukan komputasiperangkat seperti komputer yang
diaktifkan dengan koneksi internetmaupun tidak. Meningkatkan keamananjaringan komputer dengan memberikaninformasi rinci tentang pola-pola lalulintasjaringan.(http://jaringankomputer.org: 2011)METODE PENELITIANTugas akhir dengan judul “Deteksi DanPencegahan Serangan Remote CodeExecution Terhadap Wing FTP Web ServerMenggunakanSnort”mengamatibagaimana suatu serangan Remote CodeExecution bekerja terhadap Wing FTP WebServer,dankemudianmelakukanpendeteksian serangan menggunakan snort.Deteksi dan pencegahan dilakukan denganmembuat firewall aktif untuk mengamatilalu lintas jaringan yang masuk kedalamserver, apakah lalu lintas jaringan tersebutmerupakanseranganRemoteCodeExecution atau bukan.Dalam menyusun tugas akhir inidiperlukanbeberapatahapanagarpembuatan sistem tercapai dengan tujuanyang diinginkan diperlukan beberapatahapan untuk membuat sistem tersebut.Memulai dengan membuat tugas akhirdengan judul “Deteksi Dan PencegahanSerangan Remote Code Execution TerhadapWing FTP Web Server MenggunakanSnort”dengantujuanmengamatibagaimana suatu serangan Remote CodeExecution bekerja terhadap Wing FTP WebServer dan kemudian melakukan deteksiserangan dengan snort dan melakukanpencegahan dengan firewall.1. lukan untuk merancang danmembangunsistemdenganmenggunakan teknik pengumpulandata yang telah dijelaskan pada2.3.4.5.6.7.8.sebelumnya dengan mencari danmenggabungkan dari beberapa sumberdiantaranya dari buku dan internet.Pengolahan dan analisis data yangdilakukan dengan menggunakan datadata yang diperoleh dari prosespengumpulan data.Perancangan sistem ini merupakanproses yang lebih kompleks adapunlangkah-langkah yang dimaksud akandijelaskan pada subbab berikutnya.Implementasi sistem yaitu melakukaninstallasi software yang dibutuhkansebelumnya dalam peranacngan sistem.Pengujian sistem dilakukan denganmelakukan serangan Remote CodeExecution dengan aplikasi metasploitframeworkdanmelakukanpendeteksian menggunakan aplikasisnort.Pada tahap ini dapat dilihat apakahsistem yang dibuat sudah berjalandengan baik dan benar, apabila belumberjalan dengan baik lakukan perbaikansistem kemudian lakukan pengujiankembali.analisi sistem setelah dilakukanpengujian terhadap sistem yangdirancang sebelumnya.Tahapan penyusunan tugas akhir.PERANCANGANPerancangan sistem ini melakukanbeberapa proses tahapan-tahapa yaitu:1. InstallasiMetasploitpadaclientkomputer penyerang.2. Installasi Wing FTP Web Server padakomputer server.3. Installasisnortdanmelakukankonfigurasi snort untuk menjalankansnort sebagai Intruction DetectionSystem (IDS) pada komputer server.
4. Installasi kiwi log viewer pada komputerserver.5. Pengoperasian kiwi log viewer padakomputer server.6. Konfigurasi firewall pada komputerserver.7. Konfigurasi rule snort pada komputerserver.8. Pengujian sistemSetelah melakukan installasi snort makalangkah selanjutnya untuk rasi snort. Ada bebrapapengeditan yang kita lakukan sebelummenjalankan snort sebagai IntructionDetection System (IDS).Berikut langkah-langkah pensettingansnort:a. Menjalankan snort dengan perintahc:\snort\bin\snort –iX –s –lc:\snort\log\ -cc:\snort\etc\snort.conf –v(gantilah X dengan device interfacenumber). Sebelum menjalankan snorttersebut, dibutuhkan bebrapa langkahuntuk mengkonfigurasi file snort.confagar aplikasi snort dapat berjalandengan baikb. Agarmudahdalampengeditansnort.conf maka digunakan notepad Berikut ini yang harus dilakukanpengeditan pada file snort.conf yaitu :Gambar 2. Edit rules 2Dari :Gambar 3. Edit rules 3Menjadi :Gambar 4. Edit rule 4Dari :Gambar 5. Edit rules 5Menjadi :Gambar 6. Edit rules 6Dari :Gambar 7. Edit rules 7MenjadiGambar 8. Edit rules 8Dari :Dari :Gambar 1. Edit rules 1Menajdi :Gambar 9. Edit rules 9Menjadi :Gambar 10. Edit rules 10c. Setelah selesai melakukan pengeditan,agar mengetahui apakah snort dapat
berjalan dengan baik diperlukan untukmemvertifikasi snort dengan perintahyaitu c:\snort\bin\snort – W.d. Setelah selesai melakukan vertifikasisnort, langkah selanjutnya menjalankankembali command prompt lalu mengetikperintah:c:\snort\bin\snort –i3 –s –lc:\snort\log\-c c:\snort\etc\snort.conf –v.Hasil file-file ekstraksi dari rule Snort yangtelah diedit sebelumnya kemudian dapatdipasang dengan cara dipindahkan keserver pada direktori c:\snort\rules\local.Rule ini dibuat khusus untuk pengujiansistem yang ditambahkan pada local.rules.Rule yang dibuat untuk pengujian yangdirencanakan tersebut adalah sebagaiberikut : alert tcp any any - any execute";dsize: 1022; classtype: attempted-admin;sid:1;)HASILHasil dari penelitian ini adalah sebuahsistem keamanan yang bisa melakukanpendeteksian dan pencegahan apabilaterjadi serangan Remote Code Executionterhadap Wing FTP Server. Sistem dapatdihasilkan dengan melakukan pengujiandengan sistem yang dibuat yaitu denganpendeteksian serangan dan pencegahanserangan. Proses pengujian sistem akandibuat dengan membuat client dan serversebagai alat percobaan penelitian yangdilakukan dari client terhadap serversehingga pengamatan trafik data hanyadilakukan pada perangkat jaringan yangdimana aplikasi snort ditempatkan.Secara teknis, komputer server akanmenjalankan aplikasi snort serta layananyang ada pada snort yaitu http server dandatabase server. Komputer server dankomputer client terhubung dalam satujaringan dengan memnggunakan LAN UTPRJ 45. Selanjutnya melakukan pengujiansetelah selesai mengumpulkan data yangdigunakan untuk sebagai analisa dalampengambilan kesimpulan. Pengujian sistemakan dilakukan dengan cara simulasiserangan Remote Code Execution terhadapWing FTP Web Server. Selanjutnyapengujian ini aplikasi snort akanmendeteksi adanya sebuah serangan yangterjadi pada server, sehingga snort akanmenampilkan alert pada user.Kemudian user akan melakukanpencegahan terhadap serangan tersebutdengan menggunakan firewall yang telah dikonfigurasi sebelumnya.1. Pengujian Sistem Tahap DeteksiSerangana. Di komputer target aktifkan terlebihdahulu aplikasi snort dan kiwi logvieweruntukmelakukanpendeteksian serangan terhadapkomputer attacker (penyerang),selanjutnya alert dapat diketahuidengan log snort maupun Kiwi LogViewer apabila terjadi serangankepada komputer target.b. Proses ini komputer penyerangmenggunakan aplikasi metasploitframeworkuntukmelakukansimulasi serangan Remote CodeExecution terhadap Wing FTP WebServer, dengan langkah sebagaiberikut. Buka aplikasi metasploitframework, yang sudah diinstal padakomputer client.c. Tampilan metasploit console siapdigunakan
Gambar 11. Tampilan metasploitd. Kemudian mulai seranga denganmencari terlebih dahulu seranganexploit Wing FTP Web Server,dengan perintah : “search Wing FtpServer”Gambar 12. Tampilan metasploite. Selanjutnya melakukan ng ftp adminexec” seperti tampilan gambardibawah ini:Gambar 13. Tampilan perintahseranganf. Menentukan host, username, danpassword target yang di exploit,seperti pada tampilan dibawah ini:Gambar 14. Tampilan menentukanhost,username, dan passwordg. Kemudian menjalankan eksploitasipada target dengan perintah exploit.Seperti pada tampilan dibawah ini:Gambar 15. Tampilan prosesexsploith. Tampilan bahwa penyerangtelah masuk ke target seranganGambar16.Tampilanpenyerang telah masuk ke sistemtarget.i. Komputer target, snort dapatmendeteksi sebuah serangan,selanjutnya akan merespon alertbentuk serangan tersebut danaplikasi kiwi log viewer akan
menampilkan serangan tersebut.Namun dari pengujian dengansnort dapat menangkap seranganRemote Code Execution yangdilakukan oleh attacker.Tampilan gambar dibawah ini:Gambartarget19.GagalmenyerangPEMBAHASANGambar 17. Tampilan kiwi logviewer peringatan seranganRemote Code Execution2. Pengujian Sistem Pencegahan Serangana. Pengujian pencegahan serangantersebut dilakuakn dengan caramenggunakan snort dan jugamengoperasikan kiwi log viewer,sehingga saat serangan masuk makaakan diketahui bentuk seranganyang masuk ke server dan dilakukanpencegahanlangsungdenganmenggunakan firewall.Penelitian ini hanya dilakukan denganbebrapa tahapan intallasi aplikasi yang bisadidapatkan secara gratis pada webresminya. Sehingga dalam penelitian initidak banyak mengeluarkan biaya. Banyakcara atau tutorial installasi yang telahdisediakan. Namun dalam prosesnyabanyak sekali masalah-masalah yangditemui dalam penelitian ini, khususnyapada saat menyesuaikan software yang satudengan software yang lain, yang seharusnyadapat berjalan secara bersama.Pendeteksian serangan Remote CodeExecution memnggunakan rule yang telahdibuat khusus untuk mendeteksi seranganRCE yaitualert tcp any any - any execute";dsize: 1022; classtype: attempted-admin;sid:1;).Gambar 18. Pencegahan RemoteCode Executionmenggunakanfirewallb. Setelah melakukan pencegahanmaka penyerang tidak bisa lagimenyerang ke dalam sistem target.Maksud dari rule tersebut merupakan ruleyang dibuat untuk alert serangan RemoteCode Execution. Dimana ketika adaperintah os.execute yang masuk denganukuran data masuk yang melebihi 1 MBmaka akan ada peringatan oleh snort.
Sistem keamanan pada penelitian inimenggunakan Firewall bawaan padawindows 7. Firewall digunakan untukmelakukan pencegahan serangan RemoteCode Execution terhadap Wing FTP webServer. Hanya saja kita masih perlu untukmelakukan pengeditan agar seranganRemote Code Execution tidak dapat masukke server kembali.Penelitian ini menggunakan bebrapaaplikasi yang sangat penting yaitu denganIDS software snort, kiwi log viewer, danfirewall. Pada software tersebut digunakanuntuk menghasilkan sebuah sistem yangbaik dalam melakukan pencegahan danpendetreksian serangan Remote CodeExecution terhadap Wing FTP Web Serveryang sangat berbahaya. Terbukti daripengujian sebelumnya dan dilakukansimulasi maka masih ada kerentanan padatarget dari penelitian yang saya lakukan inisemoga penelitian ini bisa bermanfaat.KESIMPULANSetelah melakukan penelitian daritahap awal dan sampai akhir, makapenelitianinimendapatkanhasilkesimpulan, diantaranya yaitu sebagaiberikut:1. Penelitian ini telah berhasil membangunsistem Intrusion Detection System (IDS)2.3.4.5.pada sistem operasi windows 7 yangtelahdibuatsebelumnyauntukmendeteksi serangan Remote CodeExecution terhadap Wing FTP erjadiserangankeamanan pada jaringan komputer, makasnort dapat meningkatkan keamanandalamsuatujaringankomputer.Bagaimana snort dapat melakukanpendeteksian tergantung dari rancanganrule yang dibuat sesuai dengan polaserangan tersebut.Masih ada kerentana sistem pada WingFTP Server, terbukti dalam penelitian iniwing ftp server masih bisa ditembusdengan aplikasi metasploit farmework.Firewall telah berhasil melakukanpencegahan serangan Remote CodeExecution terhadap Wing FTP Server,dengan cara melakukan blok IP padapenyerang.Firewall dapat digunakan untukbagaimanamelakukanpencegahanapabila ada suatu serangan. Semakinbaik keamanan jaringan yang dibuat,maka semakin lengkap layanan firewallyang dikonfigurasi dan semakin kurangbaik keamanan yang di terapkan, makaakan mudah serangan akan masuk.
DAFTAR PUSTAKADiyah, Handry Fratama. (2010). Pengenalan IDS ( Intrusion Detection System) dan IPS(Instrusion Prevention System) sebagai Manajemen Keamanan Informasi danPengamanan Jaringan. Skripsi Dipublikasikan. Universitas Sriwijaya Palembang.Riyantika & Lidyawati. (2013). Analisis Kinerja Sistem Pengamanan Snort IDS dan IPTables di Area Laboratorium RDNM PT. “X”. Diksi: Jurnal Ilmiah: RekaElkomika, 1 (3) 186 – 197.Jarwanto. (2014). Deteksi dan Pencegahan Buffer Overflow Terhadap EFM Web ServerMenggunakan Snort. Skripsi Dipublikasikan. FKI Universitas MuhammadiyahSurakarta.Kusumawati, Monika. (2010). Implementasi IDS (Intrusion Detection System) sertaMonitoring Jaringan dengan Interface Web Berbasis BASE pada KeamananJaringan. Skripsi Dipublikasikan. Universitas Indonesia.Putri, Lidia. (2011). Implementasi Intrusion Detection System (IDS) Menggunakan SnortPada Jaringan Wireless Studi Kasus: SMK TRIGUNA CIPUTA. SkripsiDipublikasikan. Universitas Islam Negeri Syarif Hidayatullah Jakarta.Pratomo, Baskoro Adi. (2011).
4. Installasi kiwi log viewer pada komputer server. 5. Pengoperasian kiwi log viewer pada komputer server. 6. Konfigurasi firewall pada komputer server. 7. Konfigurasi rule snort pada komputer server. 8. Pengujian sistem Setelah melakukan installasi snort maka langkah selan
