Bab 4 Hasil dan Pembahasan

Transkripsi

1 Bab 4 Hasil dan Pembahasan 4.1 Hasil Sistem Jaringan Pada tahap implementasi sistem, dilakukan konfigurasi sistem pada laptop yang digunakan sebagai IDS Snort. Selain itu, dilakukan pula konfigurasi dasar dan port mirroring pada router Mikrotik. Sistem IDS Snort ini nantinya akan dikenai serangan sesuai dengan skenario yang ada dalam penelitian. Dari hasil penyerangan tersebut nantinya akan dihasilkan alerts yang disimpan di file log Snort. Selanjutnya file log Snort yang dihasilkan akan diambil dan diteliti untuk kemudian dilakukan proses investigasi agar sumber serangan dapat diketahui. Dalam melakukan investigasi juga akan meneliti data yang dihasilkan Squid access log. File access log digunakan untuk menguatkan bukti adanya penyusupan dan menangani bilamana ada kasus false negative pada IDS Snort. Gambar 4.1 Topologi Jaringan IDS Snort 45

2 Gambar 4.1 merupakan topologi jaringan IDS Snort lengkap dengan IP address yang digunakan oleh masing-masing perangkat. Router Mikrotik berfungsi sebagai penghubung diantara segmen jaringan yang berbeda. Pada Mikrotik, eth1 dengan IP terhubung dengan modem ADSL Speedy, eth2 dengan IP terhubung dengan IDS Snort dan eth3 dengan IP terhubung dengan jaringan lokal. Sesuai dengan skenario pengujian yang ada pada Bab 3, akan dilakukan serangan dari jaringan lokal. 4.2 Pengujian Sistem Jaringan Dalam mendeteksi serangan, IDS Snort bekerja sesuai dengan signature yang ada pada rules Snort. Artinya IDS Snort hanya akan bekerja jika pola serangan yang masuk sesuai dengan pola atau signature yang ada pada rules Snort. Oleh karena itu, sangatlah penting dalam menyiapkan rules agar IDS Snort dapat bekerja secara maksimal. Sesuai dengan skenario penelitian, akan ditambahkan rules yang dapat digunakan dalam mendeteksi serangan SQL Injection dan Cross Site Scripting (XSS). 46

3 Gambar 4.2 Rules Default SQL Injection Gambar 4.2 merupakan rules default dari SQL Injection. Rule default tersebut belum bisa mendeteksi serangan sesuai dengan skenario yang dilakukan, maka akan ditambahkan beberapa rules sehingga serangan yang masuk dapat dideteksi oleh IDS Snort. Rule 1 alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"sql union select - possible sql injection"; content:"union"; fast_pattern; nocase; http_uri; content:"select"; nocase; http_uri; pcre:"/union\s+(all\s+)?select\s+/ui"; metadata:policy security-ips drop; classtype:misc-attack; sid: ; rev:11;) Rule tersebut digunakan untuk mendeteksi serangan SQL Injection, bilamana ada trafik data dari jaringan EXTERNAL_NET dari port berapa pun menuju ke jaringan HOME_NET dengan port 47

4 tujuan HTTP_PORTS, dan dengan payload content mengandung kata union select, maka Snort akan menganggap trafik data ini sebagai serangan. Selanjutnya Snort akan menampilkan alert sesuai message yang ada pada rule, yaitu SQL union select - possible sql injection. Rule 2 alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"cross Site Scripting Attempt"; flow:to_server, established; content:"<script>"; fast_pattern:only; nocase; http_uri; pcre:"/((\%3c) <)((\%2F) \/)*[a-z0-9\%]+((\%3e) >)/i"; reference:url,ha.ckers.org/xss.html; classtype:web-application-attack; sid: ; rev:6) Rule tersebut digunakan untuk mendeteksi serangan Cross Site Scripting (XSS), bilamana ada trafik data dari jaringan EXTERNAL_NET dari port berapa pun menuju ke jaringan HOME_NET dengan port tujuan HTTP_PORTS, dan dengan payload content mengandung kata <script>, maka Snort akan menganggap trafik data tersebut sebagai serangan. 48

5 Gambar 4.3 Rules Pada Local.rules Gambar 4.3 merupakan rules baru yang telah ditambahkan ke dalam rules Snort. Penambahan rules baru dilakukan pada local.rules supaya lebih mudah dalam mengelolanya. Selanjutnya IDS Snort perlu dilakukan proses restart supaya Snort me-load ulang konfigurasinya sehingga rules yang baru saja ditambahkan dapat bekerja jika ada serangan yang polanya sesuai dengan rules tersebut Serangan SQL Injection SQL Injection merupakan sebuah teknik serangan yang memanfaatkan celah keamanan pada sisi website yang mengizinkan attacker untuk menginputkan malicious code. Celah keamanan tersebut ditunjukkan pada saat attacker memasukkan nilai string dan karakter-karakter control lainnya yang ada dalam instruksi SQL dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client sehingga memungkinkan attacker untuk memasukkan 49

6 kode-kode SQL untuk mendapatkan informasi dan akses ke database server. Dampak yang ditimbulkan jika serangan ini tidak segera terdeteksi adalah memungkinkan seorang attacker dapat login ke dalam sistem tanpa harus memiliki account. Selain itu, attacker juga dapat mengubah, menghapus, maupun menambahkan data yang berada dalam database. Lebih parah lagi jika sampai mematikan database itu sendiri, sehingga database tidak bisa memberikan layanan kepada web server. Gambar 4.4 Serangan SQL Injection dengan Havij Gambar 4.4 merupakan skenario serangan SQL Injection yang dilakukan dari jaringan lokal melalui sebuah laptop menggunakan software Havij. Dalam percobaan, attacker akan memasukan sebuah URL dari website yang sebelumnya telah diketahui vulnerable 50

7 terhadap serangan SQL Injection. Setelah URL website dimasukkan, kemudian attacker tinggal meng-click tombol analyze untuk melakukan serangan. Dampak dari serangan ini, attacker bisa mendapatkan data-data penting dari website yang diserang. Adapun pada IDS Snort, (Gambar 4.5) akan muncul alerts yang kemudian akan disimpan pada file log. File log yang dihasilkan ini akan dikumpulkan untuk diteliti dan diperiksa lebih lanjut sebagai bukti adanya penyusupan. Gambar 4.5 Alert pada IDS Snort Serangan Cross Site Scripting (XSS) Cross Site Scripting (XSS) merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh attacker dengan cara memasukkan kode HTML atau client script code lainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Dampak dari serangan ini jika tidak segera dideteksi antara lain: attacker dapat mem-bypass keamanan di sisi client, mendapatkan informasi sensitif, mendapatkan cookie dari user atau menyimpan aplikasi berbahaya. 51

8 Gambar 4.6 Cross Site Scripting (XSS) Gambar 4.6 merupakan skenario serangan Cross Site Scripting (XSS) menggunakan web Damn Vulnerability Web Aplication (DVWA) yang sebelumnya telah dipersiapkan. Website tersebut ditanam di IP public dengan alamat /Web. Dalam skenario attacker mengakses alamat /Web, kemudian attacker akan memasukan script <script>alert( This is a XSS Attack ) </script> ke dalam text area. Efek yang dihasilkan dari script yang dimasukan tersebut dapat dilihat pada gambar 4.7 berikut. Gambar 4.7 Cross Site Scripting (XSS) 52

9 Gambar 4.7 merupakan tampilan website setelah script dieksekusi. Script yang dimasukkan oleh attacker akan disimpan oleh server dan secara permanen ditampilkan saat website tersebut diakses kembali sehingga terlihat seolah-olah serangan tejadi karena kesalahan pada website itu sendiri. Untuk memanfaatkan celah ini lebih lanjut, umumnya celah ini akan di kombinasikan dengan jenis serangan lain seperti phishing atau social engineering terhadap user yang sah. Gambar 4.8 Alert Cross Site Scripting (XSS) Gambar 4.8 menunjukan alerts yang muncul pada IDS Snort saat attacker melakukan serangan Cross Site Scripting (XSS) menuju ke alamat /Web. 4.3 Pembahasan Pembahasan penulisan ini mengacu pada hasil skenario serangan yang telah dilakukan. Dari serangan tersebut dihasilkan alerts pada file log yang selanjutnya digunakan sebagai bukti untuk 53

10 melakukan investigasi serangan. Dari bukti yang didapat nantinya akan diambil informasi-informasi penting yang berhubungan dengan penyusupan, sehingga sumber serangan dapat diketahui Investigasi Serangan SQL Injection dan XSS Menurut The U.S Department of Justice, dalam melakukan investigasi forensik ada 4 tahap yang harus dilakukan: 1. Tahap Collection Pada tahapan ini yang dilakukan yaitu mencari dan mengumpulkan semua bukti-bukti yang berhubungan dengan penyusupan. Bukti-bukti ini diambil dari file log Snort dan access log pada Squid. Gambar 4.9 Alert Pada IDS Snort Gambar 4.9 merupakan bukti alerts yang muncul saat IDS Snort melakukan sniffing dan mendeteksi adanya serangan pada jaringan. Alerts ini kemudian akan disimpan ke dalam file log Snort. 54

11 Gambar 4.10 Access Log Gambar 4.10 merupakan file access log yang dihasilkan saat terjadi serangan. Semua aktifitas dari user pada jaringan lokal akan ter-capture pada Squid access log ini. Selanjutnya bukti-bukti yang telah dikumpulkan tersebut akan diperiksa dan diteliti lebih lanjut pada tahap examination. 2. Tahap Examination Pada tahap ini dilakukan pemeriksaan dan penelitian terhadap bukti-bukti yang telah dikumpulkan. Bukti-bukti yang didapat dipilah-pilah sesuai dengan karateristik dari serangan. File log Snort akan dipilah-pilah berdasarkan source address, source port, destination address dan destination port. Selain itu, file log Snort juga akan dipilah-pilah berdasarkan karakteristik dari serangan, yaitu penggunaan keyword union select sesuai dengan signature pada rules Snort. 55

12 Gambar 4.11 Analisa File Log berdasar IP dan Port Gambar 4.11 menunjukkan bukti file log Snort yang dipilahpilah berdasarkan source address, source port, destination address dan destination port. Gambar 4.12 File Log Snort Serangan SQL Injection 56

13 Gambar 4.12 menunjukkan file log Snort yang dibuka dengan Wireshark agar mudah dalam pembacaanya. Pemeriksaan dimulai dengan melakukan filter protokol HTTP. Angka 1 menunjukkan tentang HTTP GET Query, angka 2 menunjukkan tentang source address dan destination address, angka 3 menunjukkan source port dan destination port dan angka 4 menjelaskan tentang HTTP GET Header serangan SQL Injection dengan parameter union select. Sedangkan untuk serangan Cross Site Scripting (XSS) juga dilakukan hal yang sama, yaitu dengan melakukan pemeriksaan pada file log dengan cara memilah-milah file log berdasarkan source address, source port, destination address dan destination port. Selain itu, file log Snort juga akan dipilah-pilah berdasarkan karakteristik dari serangan XSS, yaitu penggunaan keyword <script> sesuai dengan signature yang ada pada rules Snort. Gambar 4.13 Analisa File Log berdasarkan IP dan Port 57

14 Gambar 4.13 menunjukkan file log Snort dari serangan Cross Site Scripting (XSS). File log ini dipilah-pilah berdasarkan source IP, destination IP, source port dan destination port. Gambar 4.14 File Log Snort Serangan XSS Gambar 4.14 menunjukkan file log Snort yang dibuka dengan Wireshark agar mudah dalam pembacaanya. Pemeriksaan dimulai dengan melakukan filter protokol HTTP. Angka 1 menunjukkan HTTP POST Query, angka 2 menunjukkan source address dan destination address, angka 3 menunjukkan source port dan destination port, dan angka 4 menunjukkan tentang HTTP POST Header. Hasil pada tahap examination ini, akan dianalisis lebih lanjut pada tahapan berikutnya. Selanjutnya untuk file access log akan dipilah-pilah berdasarkan elemen-elemennya. Penjelasan tersebut dapat dilihat pada Gambar 4.15 berikut. 58

15 Gambar 4.15 Elemen Access Log Pada Gambar 4.15 menunjukkan file acces log yang dipilahpilah sesuai dengan elemen dan fungsi masing-masing. Angka 1 menjelaskan informasi tentang waktu (timestmap), angka 2 menjelaskan tentang durasi waktu milidetik dalam transaksi, angka 3 menjelaskan tentang informasi IP address yang melakukan request, angka 4 menjelaskan tentang result code, angka 5 menjelaskan tentang informasi ukuran byte data yang dihantarkan ke client, angka 6 menjelaskan tentang metode request untuk mendapat objek dan angka 7 menjelaskan informasi website yang diakses. 3. Tahap Analysis Pada tahap ini akan terlihat hasil pemeriksaan dan penelitian yang dilakukan pada file log dan access log sebagai pembuktian terhadap serangan yang ada. Tahap ini, dapat digunakan untuk menjawab pertanyaan dalam investigasi forensik yaitu serangan apa yang terjadi, IP siapa yang melakukan serangan, dimana serangan itu terjadi dan kapan serangan itu terjadi. 59

16 Gambar 4.16 Analisa File Log Serangan SQL Injection dengan Wireshark Pada Gambar 4.16 menunjukkan analisa file log Snort serangan SQL Injection yang dibuka dengan Wireshark. Angka 1 menunjukan source address dan destination address. Source addrees berasal dari IP dan destination address menuju ke IP yang merupakan IP dari host Angka 2 menjelaskan tentang source port dan destination port. Adapun angka 3 menjelaskan tentang data HTTP GET Header serangan SQL Injection dengan parameter union select. Payload yang ter-capture tersebut sesuai dengan signature atau rules yang ada pada rules Snort sehingga paket data tersebut dianggap sebagai serangan. 60

17 Gambar 4.17 Analisa File Log Snort Serangan XSS dengan Wireshark Pada Gambar 4.17 menunjukkan analisa bukti serangan XSS yang dibuka dengan Wireshark. Angka 1 menunjukkan source address dan destination address. Source addrees berasal dari IP dan destination address menuju ke IP Selanjutnya angka 2 menunjukan source port berasal dari dan destination port menuju ke port 80 atau HTTP. Adapun angka 3 menjelaskan tentang data HTTP POST Header dan angka 4 menunjukkan payload dari serangan XSS dengan parameter sebagai berikut: %3Cscript%3E%28%27This+XSS+Attack%27%29%3C%2Fscript%3E Payload yang ter-capture tersebut masih dalam bentuk hexadesimal sehingga harus dikonvert ke dalam chart agar mudah dalam pembacaannya. 61

18 Gambar 4.18 Hasil Konvert ke Dalam Chart Pada Gambar 4.18 menunjukkan hasil payload yang telah dikonvert ke dalam chart, yaitu <script>alert( This XSS Attack )</script>. Tentunya hasil tersebut sesuai dengan signature yang ada pada rules Snort sehingga Snort menganggap paket data tersebut sebagai serangan. Hasil yang didapat dari tahap analysis dapat dilihat pada Tabel 4.1 berikut. Tabel 4.1 Hasil Analisa File Log Snort No Source Destination Ket IP Address Port IP Address Port SQLi ( XSS Pada Tabel 4.1 menunjukkan hasil analisa yang didapat file log Snort yang dibuka dengan Wireshark. Hasil yang didapat ini nantinya akan dicocokkan dengan hasil analisa file access log. Pada tahap analysis, file access log akan dipilah-pilah berdasarkan waktu akses, IP address yang melakukan request dan website yang di-request untuk mendapatkan data-data yang diperlukan dalam penelitian. 62

19 Gambar 4.19 Analisa Access Log serangan SQL Injection Gambar 4.19 menunjukkan analisa access log serangan SQL Injection yang telah dipilah-pilah berdasarkan waktu akses, IP address yang melakukan request dan website yang di-request. Terlihat IP address sedang sedang mengkases situs Gambar 4.20 Analisa Access Log Serangan XSS Pada Gambar 4.20 menunjukkan analisa access log serangan XSS yang dipilah-pilah berdasarkan waktu akses, IP address yang 63

20 melakukan request dan website yang diakses. Terlihat IP address sedang mengkases ke alamat Hasil akhir dari analisa file access log dapat dilihat pada Tabel 4.2 berikut. Tabel 4.2 Hasil Analisa Access Log No Time Source Address Destination Address Ket 1 Thu Mar SQLi 00:46 2 Thu Mar : XSS Tabel 4.2 menunjukkan hasil analisa file access log yang diambil pada Squid. Setelah dilakukan pencocokan, hasil yang didapat dari analisa file access log cocok dengan hasil analisa file log IDS Snort yang telah dianalisa sebelumnya sehingga file access log dapat digunakan sebagai penguat bukti adanya serangan atau penyusupan pada jaringan. 4. Tahap Reporting Dari hasil investigasi forensik pada tahap collection sampai tahap analysis didapat informasi-informasi penting tentang attacker. Informasi dari jejak attacker ini didapat dari file log Snort dan file access log yang ada pada Squid. File log Snort diteliti dan dianalisa lebih lanjut untuk mendapatkan informasi tentang attacker berdasarkan source address, destination address, source port dan destination port. Sedangkan file access log juga diteliti dan dianalisa sebagai penguat bukti tentang adanya serangan atau penyusupan. Berdasarkan proses investigasi yang telah dilakukan, informasi 64

21 tentang sumber serangan dapat ditemukan. Hasil akhir dari investigasi forensik ini dapat dilihat pada Tabel 4.3. Tabel 4.3 Hasil Investigasi Forensik No Time Source Desination Ket IP Address Port IP Address Port 1 Thu Mar SQLi 00:46 (telesensory.com) 2 Thu Mar XSS 01:02 Tabel 4.3 menunjukkan hasil investigasi forensik yang dilakukan berdasarkan bukti-bukti yang diambil pada file log pada IDS Snort dan file access log pada Squid. Serangan SQL Injection terjadi pada Thursday 27 Maret 2014 pada jam 00:46 dengan profile penyerang berasal dari IP address menuju ke alamat ( Adapun serangan Cross Site Scripting (XSS) terjadi pada Thursday 27 Maret 2014 pada jam 01:02 dengan profile penyerang berasal dari IP address menuju ke alamat