Kajian Integrasi Host Based dan Network Based Intrusion Detection System Menggunakan Web Based Enterprise Management

Transkripsi

1 Kajian Integrasi Host Based dan Network Based Intrusion Detection System Menggunakan Web Based Enterprise Management LAPORAN TUGAS AKHIR Disusun sebagai syarat kelulusan tingkat sarjana oleh : Mila Desi Anasanti / PROGRAM STUDI TEKNIK INFORMATIKA SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA INSTITUT TEKNOLOGI BANDUNG 2007

2 Lembar Pengesahan Program Studi Sarjana Informatika Kajian Integrasi Host Based dan Network Based Intrusion Detection System Menggunakan Web Based Enterprise Management Tugas Akhir Program Studi Sarjana Informatika ITB Oleh Mila Desi Anasanti / Telah disetujui dan disahkan sebagai laporan tugas akhir di Bandung, pada tanggal 8 Agustus 2007 Pembimbing Henny Yusnita Zubir, B.S, M.T. NIP ii

3 RINGKASAN Salah satu komponen dari jaringan komputer yang perlu dikelola dengan menggunakan manajemen jaringan adalah Intrusion Detection System (IDS). IDS merupakan sistem yang berfungsi untuk melakukan deteksi penyusupan. Penggunaan IDS dari waktu ke waktu semakin meningkat seiring dengan semakin pentingnya faktor keamanan bagi para pengguna jaringan komputer. Untuk sebuah jaringan yang berskala besar bahkan seringkali digunakan lebih dari satu jenis produk IDS. Dengan semakin besarnya jumlah IDS yang digunakan maka semakin besar pula usaha yang diperlukan untuk mengelolanya. Hal inilah yang menjadi alasan diperlukannya manajemen jaringan untuk mengelola IDS tersebut. Pada tugas akhir ini, manajemen jaringan yang dipilih untuk mengelola IDS adalah Web Based Enterprise Management (WBEM). WBEM merupakan salah satu standar manajemen jaringan yang memperlakukan elemen yang dikelolanya sebagai obyek sehingga memudahkan untuk melihat relasi antar elemen yang dikelola. Untuk memungkinkan pengelolaan berbagai IDS dengan menggunakan WBEM maka digunakan framework Common Information Model (CIM) IDS yang dapat diturunkan untuk berbagai IDS. Berdasarkan jenisnya, IDS diklasifikasikan menjadi Host Based IDS dan Network Based IDS. Pada Tugas Akhir ini digunakan kedua jenis IDS tersebut untuk diintegrasikan menggunakan WBEM. Dengan adanya integrasi dari kedua jenis IDS ini diharapkan IDS mampu mengurangi false positive dan false negative yang dihasilkan sebagai respon terhadap usaha penyusupan yang terjadi ataupun yang akan terjadi pada jaringan. Dalam implementasinya dipilih 2 produk IDS yang mewakili contoh dari jenis Host Based IDS dan Network Based IDS untuk diintegrasikan setelah sebelumnya dilakukan analisis terhadap fitur-fitur dari masing-masing IDS agar dapat saling melengkapi dan diambil keuntungannya masingmasing. Akan tetapi kedua produk IDS yang dipilih dalam Tugas Akhir ini, yaitu Snort IDS dan Ossec IDS belum menyediakan provider untuk dapat dengan mudah digunakan dalam sistem manajemen jaringan berbasis WBEM, sehingga provider untuk masing-masing IDS harus dibuat sendiri Hasil dari Tugas Akhir ini adalah CIM client dan CIM provider untuk Snort IDS sebagai salah satu contoh produk IDS berjenis Network Based IDS dan Ossec IDS sebagai salah satu contoh produk IDS berjenis Host Based IDS. Kedua produk tersebut diperlakukan sebagai elemen yang dikelola pada WBEM untuk dapat saling melengkapi melakukan deteksi intrusi secara bersama-sama. Kedua produk IDS dan WBEM dijalankan pada sistem operasi Linux yang dalam implementasinya terdapat kendala adanya dependency sehingga pengujian hasil Tugas Akhir ini belum dapat dibuktikan secara keseluruhan. Pada tahap pengujian, selain adanya dependency, penggunaan WBEM sebagai sistem manajemen jaringan untuk integrasi Snort IDS dan Ossec IDS belum dapat dijalankan dikarenakan keduanya ditulis dengan menggunakan bahasa C sedangkan Wbemservices ditulis dengan menggunakan bahasa Java, sehingga provider Snort IDS dan Ossec IDS harus ditulis menggunakan Java Native Interface (JNI). Pada pengujian Tugas Akhir ini terdapat kendala dalam penggunaan JNI pada WBEM, yaitu java library path tidak dikenali meskipun sudah dilakukan set-up link dynamic library path. Akan tetapi pengujian CIM provider Snort IDS dan Ossec IDS pada WBEM dapat membuktikan bahwa WBEM memiliki kelebihan mampu menunjukkan relasi antar elemen yang dikelola pada jaringan yang selama ini menjadi kelemahan sistem manajemen jaringan lainnya, yaitu SNMP(Simple Network Management Protocol). Kata kunci: Host Based Intrusion Detection System, Network Based Intrusion Detection System, Web Based Enterprise Management, Common Information Model, security network. iii

4 KATA PENGANTAR Puji syukur kepada Allah SWT atas segala rahmat dan hidayah-nya serta sholawat dan salam kepada Rasulullaah SAW, kerabat, dan para penerus risalahnya hingga akhir jaman. Segala puji bagi Allah SWT yang telah memudahkan penulis untuk menyelesaikan Tugas Akhir ini sebagai syarat kelulusan tingkat sarjana di Program Studi Teknik Informatika, Institut Teknologi Bandung. Penulis juga mengucapkan beribu terima kasih kepada semua pihak yang telah memberikan dukungan selama pembuatan tugas akhir ini, khususnya kepada: Ibu Henny Yusnita Zubir, B.Sc., M.T. selaku pembimbing Tugas Akhir yang telah memberikan bimbingan selama pelaksanaan Tugas Akhir, Bapak Adi Mulyanto selaku dosen wali dari penulis, Ayah dan ibu atas segala bimbingan, dukungan, doa dan kasing sayang yang tiada henti-hentinya. Kakak-kakak penulis atas segala dukungan dan doanya, Rekan-rekan mahasiswa di Teknik Informatika ITB: Helmy, Keti, Angga Devina, Iwan, Lukas dan yang lainnya atas bantuannya, Rekan-rekan mahasiswa ITB: Anita TK00 atas semangat persahabatan yang diberikan, Pihak lain yang telah memberikan dukungan yang tidak kalah berarti namun tidak dapat penulis sebutkan satu per satu. Penulis berharap agar Tugas Akhir ini dapat menjadi sebuah karya yang bermanfaat. Penulis juga meminta maaf atas segala kekurangan yang ada. Akhir kata, penulis mengharapkan adanya kritik dan saran yang membangun untuk meningkatkan kualitas Tugas Akhir ini. Bandung, Agustus 2007 Penulis iv

5 DAFTAR ISI RINGKASAN...iii KATA PENGANTAR...iv DAFTAR ISI...v DAFTAR TABEL...viii DAFTAR ISTILAH...ix BAB I PENDAHULUAN...I Latar Belakang... I Rumusan Masalah... I Tujuan... I Batasan Masalah... I Metodologi... I Sistematika Pembahasan...I-4 BAB II KAJIAN TERKAIT... II Intrusion Detection System (IDS)...II Definisi dan Gambaran Umum...II Pengklasifikasian IDS...II Produk-produk IDS Open Source...II Network Management System (NMS)...II Definisi dan Gambaran Umum...II Web Based Enterprise Management (WBEM)...II Common Information Model (CIM)...II Penggunaan CIM pada WBEM...II Penggunaan Framework CIM IDS untuk Semua Produk IDS...II-19 BAB III ANALISIS...III Analisis Domain Masalah... III Analisis Keamanan Jaringan... III Analisis Kebutuhan Penggunaan IDS... III Analisis Integrasi NBIDS dan HBIDS... III Analisis Penggunaan Produk-produk IDS Open Source... III Analisis Integrasi Ossec IDS dan Snort IDS... III Analisis Penggunaan Web Based Enterprise Management (WBEM)... III Analisis Integrasi IDS pada WBEM... III Arsitektur Integrasi IDS Menggunakan WBEM... III CIM Client... III Provider... III CIM Server (CIMOM)... III-14 BAB IV PERANCANGAN... IV Lingkungan Pengembangan... IV Batasan Sistem... IV Arsitektur Perancangan Integrasi IDS Menggunakan WBEM... IV Perancangan Integrasi IDS pada WBEM... IV Penurunan Framework CIM untuk IDS... IV Perancangan CIM Provider... IV Perancangan CIM Client... IV-9 BAB V IMPLEMENTASI DAN PENGUJIAN...V Implementasi... V Lingkungan Implementasi... V Implementasi CIM IDS untuk CIMOM WBEM... V Implementasi CIM Provider... V-3 v

6 5.1.4 Implementasi CIM Client... V Kendala Implementasi... V Pengujian... V Tujuan Pengujian... V Metode Pengujian... V Lingkungan Pengujian... V Komponen yang diuji... V Pengujian Provider IDS... V Pengujian Serangan Terhadap Integrasi Snort IDS dan Ossec IDS... V Pengujian Fungsionalitas... V-12 BAB VI... VI Kesimpulan... VI Saran... VI-2 DAFTAR REFERENSI...x DAFTAR PUSTAKA...xi LAMPIRAN A Common Information Model...A-1 LAMPIRAN B Data untuk Knowledge dan Alert Mapping...B-1 LAMPIRAN C Rules Ossec IDS untuk Memantau Snort...C-1 LAMPIRAN D Alert Mail Ossec IDS...D-1 vi

7 DAFTAR GAMBAR Gambar 2-1 Komponen IDS...II-1 Gambar 2-2 Komponen Snort IDS [TAM02]...II-6 Gambar 2-3 Arsitektur Prelude IDS [TAM02]...II-8 Gambar 2-4 Arsitektur Samhain [MAT02]...II-9 Gambar 2-5 Pengiriman Paket pada Shoki IDS [MAT02]...II-10 Gambar 2-6 Arsitektur Ossec IDS [MAT02]...II-11 Gambar 2-7 Fungsi Manajemen Jaringan [BRE03]...II-12 Gambar 2-8 Komponen WBEM [DMT03]...II-13 Gambar 2-9 Infrastruktur WBEM [DMT03]...II-14 Gambar 2-10 Meta Schema-CIM [DMT03]...II-16 Gambar 2-11 Pemodelan dalam CIM Berbasis UML[TAM02]...II-17 Gambar 2-12 CIM dari Elemen yang dikelola pada WBEM [DMT99]...II-18 Gambar 2-13 Arsitektur Framework CIM untuk IDS [TAM02]...II-21 Gambar 3-1 Arsitektur Integrasi IDS pada WBEM... III-13 Gambar 4-1 Perancangan Arsitektur Integrasi IDS Menggunakan WBEM... IV-2 Gambar 4-2 Langkah-langkah Perancangan Integrasi IDS pada WBEM... IV-3 Gambar 4-3 Hirarki Agregasi untuk Snort IDS... IV-4 Gambar 4-4 CIM Snort IDS... IV-4 Gambar 4-5 Hirarki Agregrasi untuk Ossec IDS... IV-6 Gambar 4-6 CIM Ossec IDS... IV-6 vii

8 DAFTAR TABEL Tabel 2-1 Deskripsi dan Fungsi Komponen IDS...II-2 Tabel 2-2 Perbandingan Network Based IDS dan Host Based IDS [TAM02]...II-3 Tabel 2-3 Perbandingan Misuse Detection dan Anomaly Detection [BAC02]...II-4 Tabel 2-4 Deskripsi dan Fungsi Komponen Snort IDS [TAM02]...II-6 Tabel 2-5 Deskripsi komponen Snort Rule Header [TAM02]...II-7 Tabel 2-6 Deskripsi Elemen Elemen Meta Schema CIM [DMT03]...II-16 Tabel 2-7 Pemetaan Fungsi Dasar terhadap Komponen IDS...II-20 Tabel 3-1 Perbandingan HBIDS, NBIDS dan HybridIDS dalam Mengatasi Serangan... III-7 Tabel 3-2 Perbandingan Beberapa Produk IDS Open Source... III-9 Tabel 4-1 Daftar Kelas Aregasi dari Klas Snort IDS... IV-5 Tabel 4-2 Daftar Kelas Asosiasi dari Kelas Snort IDS... IV-5 Tabel 4-3 Daftar Kelas Agregasi dari Kelas Ossec IDS... IV-7 Tabel 4-4 Daftar Kelas Asosiasi dari Kelas Ossec IDS... IV-7 Tabel 4-5 Daftar Mof File IDS yang diperlukan untuk Implementasi... IV-8 Tabel 4-6 Daftar CIM Provider Snort IDS... IV-9 Tabel 4-7 Daftar CIM Provider Ossec IDS... IV-9 Tabel 4-8 Daftar CIM Client Snort IDS... IV-10 Tabel 4-9 Daftar CIM Client Ossec IDS... IV-10 Tabel 5-1 Spesifikasi Perangkat Keras Komputer untuk Implementasi Server... V-1 Tabel 5-2 Spesifikasi Perangkat Keras Komputer untuk Implementasi Client... V-1 Tabel 5-3 Spesifikasi Perangkat Lunak untuk Implementasi... V-2 Tabel 5-4 Daftar Mof File yang dipakai untuk Implementasi... V-2 Tabel 5-5 Daftar Instances pada CIM Snort IDS... V-3 Tabel 5-6 CIM Provider Snort IDS... V-4 Tabel 5-7 Daftar Instances pada CIM Ossec IDS... V-5 Tabel 5-8 CIM Provider Ossec IDS... V-6 Tabel 5-9 CIM Client Snort IDS... V-6 Tabel 5-10 CIM Client Ossec IDS... V-6 Tabel 5-11 Spesifikasi Komputer untuk Pengujian... V-8 Tabel 5-12 Hasil Pengujian Framework CIM IDS untuk Snort IDS... V-10 Tabel 5-13 Hasil Pengujian Framework CIM IDS untuk Ossec IDS... V-11 viii

9 Istilah DAFTAR ISTILAH Deskripsi Alert : Notifikasi mengenai munculnya tanda-tanda intrusi CIM : Common Information Model; sebuah model informasi konseptual dari lingkungan yang dikelola, yang mencoba menyatukan dan memperluas teknologi dan standar manajemen yang telah ada dengan menggunakan konstruksi dan desain berorientasi objek CIMOM : CIM Object Manager Deteksi Intrusi : Sebuah proses untuk memantau kejadian-kejadian yang berlangsung di dalam sebuah sistem atau jaringan komputer dan melakukan analisis terhadap hasil pemantauan tersebut untuk menemukan tanda-tanda munculnya intrusi False Positive : Suatu keadaan di mana sistem menghasilkan TRUE untuk suatu kondisi akan tetapi sebenarnya sistem mengalami kondisi FALSE. Dalam IDS, false positive berarti IDS menghasilkan alarm untuk mewaspadai adanya penyusupan, namun pada kenyataannya tidak ada kondisi yang perlu diwaspadai False Negative : Suatu keadaan di mana sistem menghasilkan FALSE untuk suatu kondisi akan tetapi sebenarnya sistem mengalami kondisi TRUE. Dalam IDS, false negative berarti IDS tidak menghasilkan alarm karena tidak mendeteksi adanya kondisi yang patut diwaspadai, namun pada kenyataannya terdapat kondisi yang perlu diwaspadai akan adanya penyusupan HBIDS : Host Based Intrusion Detection System, jenis IDS yang dijalankan pada masing-masing host dan berfungsi untuk menganalisis sistem log. HTTP : HyperText Transfer Protocol IDS : Intrusion Detection System, sistem yang melakukan deteksi intrusi secara otomatis yang dipasang pada suatu jaringan / host Intrusi : Sebuah usaha yang dapat membahayakan confidentiality, integrity, serta availability dari sebuah sistem atau jaringan komputer; atau sebuah usaha untuk masuk ke dalam sistem atau jaringan komputer tanpa melalui mekanisme yang legal Manajemen : Sebuah proses untuk memantau, mengkonfigurasi, dan Jaringan memelihara lingkungan jaringan komputer NBIDS : Network Based Intrusion Detection System, jenis IDS yang dijalankan pada jaringan untuk menangkap dan menganalisis paket jaringan yang masuk ke dalam jaringan NMS : Network Management System; sebuah sistem yang menjalankan manajemen jaringan Signature : Informasi untuk mengenali penyerangan yang sudah pernah terjadi sebelumnya SNMP : Simple Network Management Protocol; salah satu jenis protokol manajemen jaringan yang banyak digunakan oleh jaringan komputer saat ini WBEM : Web Based Enterprise Management; sekumpulan standar manajemen dan standar teknologi Internet yang dikembangkan dengan tujuan untuk menyatukan manajemen lingkungan komputasi sebuah enterprise XML : extensible Markup Language ix