RANCANG BANGUN SISTEM PENGIDENTIFIKASI SERANGAN PADA JARINGAN KOMPUTER UNIVERSITAS HASANUDDIN

Transkripsi

1 RANCANG BANGUN SISTEM PENGIDENTIFIKASI SERANGAN PADA JARINGAN KOMPUTER UNIVERSITAS HASANUDDIN Aditya Amirullah 1, AlylAfifRidqi 2, Dr. Adnan ST, MT.,Ir. ChristoforusYohanes, MT Abstract Honeypot adalah sistem yang digunakan untuk menangkap, memonitor, dan mengidentifikasi serangan yang terjadi pada jaringan. Pada proyek ini, kami melakukan penelitian menggunakan honeypot pada server yang menjalankan sistem operasi Ubuntu 12.4 Server pada jaringan Universitas Hasanuddin. Sistem ini dibuat dengan tujuan untuk memperoleh berbagai informasi mengenai penyerang. Pada penelitian ini kami menggunakan dua honeypot yaitu Dionaea dan Kippo, serta beberapa perangkat lunak seperti pf dan database Maxmind GeoIP untuk memperoleh informasi tambahan dari penyerang seperti lokasi geografis, sistem operasi yang digunakan, aktifitas dan metode serangan yang dilakukan, serta penyedia layanan internet yang digunakan oleh penyerang. Dari penelitian ini kami menemukan bahwa serangan paling banyak berasal dari China, USA dan Indonesia dan sebagian besar serangan terjadi pada servis SSH. Kita juga menemukan bahwa penyerang pada umumnya menggunakan sistem operasi berbasis Linux 3.x Kata Kunci Honeypot, Jaringan. I. PENDAHULUAN Dengan berkembangnya internet, saat ini internet telah banyak digunakan untuk berbagai macam tujuan. Oleh karena itu, dibutuhkan pendeteksi dan pertahanan untuk melawan serangan terhadap jaringan untuk melindungi informasi penting dalam jaringan 1 D D kita. Salah satu alat yang dapat digunakan untuk keamanan jaringan adalah honeypot. Honeypot adalah sistem yang digunakan sebagai umpan untuk menarik perhatian dan mendeteksi serangan pada jaringan[1]. Dengan menggunakan honeypot dan beberapa perangkat lunak tambahan seperti OS Fingerprinting, kita dapat melindungi sistem dan jaringan sekaligus mengumpulkan informasi mengenai penyerang seperti metode serangan yang dilakukan, lokasi penyerang, dan sistem operasi yang digunakan. Jaringan Universitas Hasanuddin merupakan sasaran yang menarik bagi penyerang karena menyimpan berbagai macam informasi penting. Oleh karena itu, jaringan tersebut harus memiliki pengidentifikasi serangan untuk melindungi sistem dan memperoleh informasi dari penyerang yang dapat digunakan sebagai bahan analisis untuk membuat sistem keamanan yang lebih baik. II. HONEYPOT Honeypots adalah sistem yang membuat sistem tiruan dengan tujuan untuk menarik perhatian, mendeteksi, dan memeriksa serangan yang dilakukan oleh penyerang. Ada 4 jenis honeypot: low interaction, medium interaction, high interaction, dan pure. Low interaction honeypot membuat service tiruan dan mencatat koneksi yang terjadi. Medium interaction honeypot juga membuat service tiruan tapi mampu merespon penyerang. High interaction honeypot dapat membuat tiruan dari keseluruhan sistem, dan pure honeypot adalah sistem yang sepenuhnya berupa mesin pada jaringan. Low interaction honeypot lebih mudah digunakan dibanding jenis honeypot lainnya tapi lebih mudah untuk dideteksi oleh penyerang[1][2]. Sedangkan high interaction honeypot lebih sulit 1

2 dideteksi oleh penyerang namun lebih sulit untuk digunakan. Honeypot telah dirancang sedemikian rupa sehingga semua koneksi yang ditangkap oleh honeypot dapat dikategorikan sebagai serangan. Hal ini disebabkan karena honeypot hanya dapat diakses melalui protokol-protokol tertentu dan network scan. Kami menggunakan dua honeypot untuk membuat sistem pengeidentifikasi serangan yaitu, Dionaea dan Kippo. A. Dionaea Dionaea adalah low interaction honeypot yang secara otomatis dapat mendeteksi malware dengan cara membuat beberapa tiruan service seperti SMB, HTTP, FTP, TFTP, MSSQL, MySQL, dan SIP [3]. Dionaea juga memiliki kemampuan untuk mengambil malware tersebut untuk bahan analisis dan memiliki sebuah database dalam format sqlite untuk menyimpan semua aktifitas yang berjalan pada jaringan [4]. B. Kippo Kippo adalah honeypot yang membuat service SSH tiruan. Pengguna yang berhasil masuk pada SSH tersebut akan mendapatkan hak penuh terhadap sistem tiruan. Honeypot ini juga dapat berinteraksi dengan penyerang secara pasif. Kippo mampu mencatat serangan yang bertujuan untuk mendapatkan username dan password yang digunakan penyerang. Kippo juga mampu mencatat semua command shell yang di lakukan oleh penyerang [5]. III. DESAIN SISTEM Sistem ini terbagi atas 3 layer yaitu, Honeypot, sensor, dan pengidentifikasi (profiling) gambaran keseluruhan sistem dapat dilihat pada Gambar. 1 Gambar 1. Desain sistem Kami menggunakan komputer dengan sistem operasi Ubuntu 12.4 Server sebagai server. Selanjutnya kami memasang dua honeypot yaitu, Dionaea dan Kippo sebagai pendeteksi serangan, dan pf sebagai alat fingerprinting. Kami juga menyiapkan server Apache termasuk PHP dan MySQL untuk database utama. A. Sensor Sensor digunakan untuk mengumpulkan semua data dari Dionaea dan Kippo lalu menyimpannya pada database utama. Sensor dibuat menggunakan Python dan PHP. Adapun modul utamanya adalah: 1. Log Parser Modul ini berfungsi untuk mengambil data berupa IP Address dan sistem operasi yang digunakan oleh penyerang dari pf. 2. Grabber Modul ini berfungsi untuk mengambil data dari Dionaea dan Kippo lalu menyimpannya pada database utama. 3. Enricher Modul ini digunakan sebagai pelengkap informasi dari data IP address yang diperoleh dari Dionaea dan Kippo menggunakan MaxMind GeoIP untuk mengetahui lokasi dari penyerang. B. Antarmuka Antarmuka berfungsi untuk menampilkan semua data yang disimpan oleh sensor di 2

3 database utama seperti IP, lokasi, sistem operasi, metode penyerangan, penyedia layanan internet yang digunakan penyerang, dan aktifitas penyerang pada jaringan. Sistem ini juga mampu menampilkan grafik statistik seperti IP yang paling aktif, sistem operasi yang paling sering digunakan, asal negara yang paling banyak, dan juga port yang paling sering terhubung. Sistem ini dibuat menggunakan PHP dan morris.js untuk menampilkan grafik. IV. HASIL Sistem telah berhasil menggabungkan berbagai data dari honeypot dan pf dan mampu menampilkan profil lengkap dari sebuah alamat IP. Profil IP inilah yang menjadi bahan analisis utama dari pembuatan sistem ini. Berikut adalah analisis terhadap berbagai data yang telah diperoleh dari honeypot A. IP Address Sejauh ini, kedua honeypot berhasil mendeteksi 38 IP address yang mencurigakan. IP address yang paling aktif adalah dengan 4881 kali percobaan, diikuti dengan 424 kali percobaan. Dari banyaknya jumlah percobaan yang dilakukan, kita dapat berasumsi bahwa kedua alamat tersebut adalah network bot yang berjalan secara otomatis Grafik IP Paling Aktif Asal No. Alamat IP Frekuensi Negara Perancis Perancis Indonesia Jerman USA Filipina Korea Selatan USA China Taiwan 71 Tabel 1. Daftar IP Setiap IP yang telah dicatat oleh honeypot dapat dikategorikan sebagai penyerang meskipun IP tersebut hanya sebuah network bot. Hal ini karena honeypot telah dirancang sedemikian rupa sehingga hanya dapat diakses melalui protokol-protokol tertentu. Kita tidak dapat memastikan motif dari sebuah IP oleh karena itu setiap IP akan dikategorikan sebagai penyerang. B. Lokasi Geografis Sistem menampilkan bahwa serangan paling banyak berasal dari China dengan 1725 alamat IP, Amerika Serikat dengan 256 alamat IP, dan Indonesia dengan 8 alamat IP. Sistem memiliki keterbatasan dalam menentukan lokasi penyerang secara lebih spesifik karena masih menggunakan database gratis dari MaxMind. Namun, sistem mampu menentukan negara asal dari semua alamat IP yang ada dalam database. Gambar 2. IP aktif 3

4 Grafik Negara Dengan IP Terbanyak terjadi karena sistem operasi yang digunakan penyerang tidak terdapat pada database pf karena database pf hanya terbatas pada sistem operasi yang populer Gambar 3. Negara asal terbanyak Grafik Sistem Operasi No. Nama Negara Kode Negara Jumlah IP 1. China CHN USA USA Indonesia IDN Taiwan TWN India IND 7 6. Korea Selatan KOR Rusia RUS Belanda NLD Jerman DEU Turki TUR 42 Tabel 2. Daftar Negara asal C. Sistem Operasi Kami menggunakan pf fingerprinting untuk menentukan sistem operasi yang digunakan oleh penyerang. Sebagian besar penyerang menggunakan sistem operasi berbasis Linux, dimana terdapat 12 alamat IP yang menggunakan sistem operasi berbasis Linux.3.x dan 451 IP address menggunakan sistem operasi berbasis Linux 2.4.x. Jumlah sistem operasi yang tidak dapat ditentukan oleh pf cukup banyak, hal ini Gambar 4. Sistem operasi yang paling banyak digunakan No. Sistem Operasi Frekuensi Penggunaan 1. Linux 3.x Linux 2.4.x Windows XP Linux 2.2.x Windows 7/ Linux 2.6.x 4 7. Linux Windows NT Kernel 9. Linux Linux 3.11 > 5 14 Tabel 3. Daftar sistem operasi Linux menjadi sistem operasi yang paling banyak digunakan. Hal ini dikarenakan Linux memiliki banyak tools yang dapat digunakan untuk keperluan jaringan maupun untuk melakukan peretasan. Terlebih lagi, Linux adalah sistem operasi gratis dan 4

5 bersifat terbuka sehingga dapat dimodifikasi sesuai dengan keinginan pengguna. D. Port Port yang paling sering diakses oleh penyerang adalah 22/2222 dengan percobaan. Port ini adalah port yang biasa digunakan untuk mengakses SSH. Port lainnya yang juga banyak oleh penyerang adalah 56 dengan percobaan Grafik Port 22/ menjadi tujuan favorit para penyerang. Port 56 berfungsi untuk mengatur sesi komunikasi multimedia seperti suara ataupun video. Port ini banyak digunakan oleh server sebuah situs media sosial sehingga banyak diincar oleh penyerang. E. Profil Penyerang Sasaran utama dalam penelitian ini adalah untuk mengidentifikasi profil sebuah alamat IP (penyerang).sistem mampu menampilkan berbagai informasi dari penyerang seperti IP address, negara asal, wilayah, dan kota. Kami mengambil alamat IP sebagai contoh. Sistem mampu menentukan semua lokasi geografisnya, termasuk sistem operasi yang digunakan. IP tersebut berlokasi di Wuhan, China dan menggunakan Windows XP sebagai sistem operasi. ISP yang digunakan adalah CHINANET Hubei province network. Series 1 Gambar 5. Port yang paling sering terkoneksi No. Port Frekuensi Akses 1. 22/ Tabel 4. Daftar Port yang terkoneksi Port SSH menjadi pilihan paling populer karena kita dapat langsung login ke dalam server tujuan melalui port ini. Port 56 juga Gambar 6. IP profile Sistem juga mampu mencatat seluruh percobaan SSH yang dilakukan. 1 percobaan SSH penyerang dapat dilihat pada tabel di bawah. No. Username Password 1. root rootwebmaster 2. root administrator 3. root

6 4. root jamie 5. root louis 6. root webweb 7. root ftpftp 8. root root lewis 1. root webmasterwebmaster Tabel 5. SSH credential oleh IP Pada tabel kita dapat melihat bahwa seluruh percobaan menggunakan menggunakan root sebagai username untuk mengakses SSH dengan kombinasi angka maupun huruf sebagai password. Setiap komputer atau server yang menggunakan sistem operasi berbasis Linux/UNIX pasti memiliki pengguna root. Oleh karena itu, root menjadi pilihan utama sebagai username dalam percobaan serangan melalui SSH. V. KESIMPULAN Pada penelitian ini, kami dapat memperoleh berbagai macam informasi dari penyerang dengan menggunakan honeypot pada server. Honeypot berhasil mendeteksi 38 IP address yang mencurigakan. IP address yang paling aktif adalah dengan 4881 kali percobaan, diikuti dengan 424 kali percobaan. Serangan paling banyak berasal dari China dengan 1725 alamat IP, Amerika Serikat dengan 256 alamat IP, dan Indonesia dengan 8 alamat IP. Sebagian besar penyerang menggunakan sistem operasi berbasis Linux, dimana terdapat 12 alamat IP yang menggunakan sistem operasi berbasis Linux.3.x dan 451 IP address menggunakan sistem operasi berbasis Linux 2.4.x. Port yang paling sering diakses oleh penyerang adalah 22/2222 dengan percobaan. Diikuti oleh port 56 dengan percobaan. Dari banyaknya jumlah percobaan yang dilakukan oleh sebuah alamat IP, kita dapat berasumsi bahwa serangan yang dideteksi oleh sistem sebagian besar adalah network bot yang berjalan secara otomatis ataupun hanya sebuah network scan. VI. REFERENCE [1] Mokube, Iyaiti & Michele, Adams. Honeypots: Concepts, Approaches, and Challenges. Savannah, USA. 27. [2] Peter, Eric & Schiller, Todd. A Practical Guide To Honeypot. Washington, USA. 29. [3] Dionaea, Catches Bugs [online]. 14/8/214 [4] OH, Samuel & Irwin, Barry. Tartarus: A Honeypot Based Malware Tracking and Mitigation framework. Grahamstown, South Africa, 211. [5] HKSAR. Honeypot Security.Hongkong, 28. Aditya Amirullah, lahir di Makassar, Indonesia pada tahun Ia adalah seorang mahasiswa Teknik Informatika di Universitas Hasanuddin sejak tahun 21. Memiliki ketertarikan terhadap musik, sepak bola, matematika, dan pemrograman. Bidang pemrograman yang paling disukai adalah pemrograman web (python, java, php) dan mobile. Alyl Afif Ridqi, lahir di Makassar, Indonesia pada tahun Ia adalah seorang mahasiswa Teknik Informatika di Universitas Hasanuddin sejak tahun 21. Memiliki ketertarikan terhadap Game dan Pemrograman. 6