Bab V Analisa. Skenario deteksi malware dilakukan dalam jaringan komputer dengan topologi sebagai berikut: Gambar 5. 1 Topologi Jaringan

Transkripsi

1 Bab V Analisa Skenario deteksi malware dilakukan dalam jaringan komputer dengan topologi sebagai berikut: Gambar 5. 1 Topologi Jaringan Tabel 5. 1 Spesifikasi Server dan Host Spesifikasi elka-101 elka-106 elka-111 Ossim Server OS Windows XP Windows XP Linux Debian Linux Debian CPU Pentium IV 2,4Ghz Pentium 1,5Ghz Pentium III 900MHz Pentium IV 3GHz RAM 512 MB 256 MB 128 MB 512 MB Eth Setelah melakukan konfigurasi sebagaimana telah dijelaskan di atas, seorang administrator jaringan dapat mengecek apakah semua sensor pada agen Ossim telah berjalan dengan baik. Pengecekan dapat dilihat pada menu Monitor bagian Sensor. Dari gambar terlihat status dari tiap-tiap plugin sensor pada agen Ossim. 73

2 Gambar 5. 2 Informasi Sensor Agen Ossim dikonfigurasi dalam path /etc/ossim/agent/plugins. Dalam folder tersebut terdapat file XML yang berfungsi mengatur bagaimana tiap sensor mengirimkan data-data informasi yang dikumpulkan oleh tools sensor-sensor pada ossim untuk dinormalisasikan pada suatu event database. Salah satunya file yang mengatur plugin snort pada agen yang bernama snort.xml. 74

3 5.1 Pengujian OSSIM berdasarkan OSSTMM Berikut ini dilakukan sistem pengujian OSSIM berdasarkan Open Source Security Testing Methodology Manual ver Verifikasi Kelemahan Fokus pada modul pengujian ini adalah indentifikasi, pemahaman dan verifikasi dari kelemahan, miskonfigurasi dan kelemahan pada host atau jaringan. Penelitian tersmasuk dalam menemukan database online dan spesifik mailing list pada sistem dan jaringan yang akan dites. Pengujian untuk kelemahan dalam jaringan menggunakan tools merupakan cara yang cukup efisien dalam menentukan lubang celah keamanan yang ada dan level patch pada sistem. Walaupun banyak scanner otomatis yang beredar di pasaran, sangat penting untuk tester dalam mengidentifikasi script yang digunakan dalam pengujian tersebut. Verifikasi manual santan dibutuh kan dalam mengeliminir false positif, memperlebar skop hacking dan menemukan data yang mengallir masuk dan keluar pada jaringan. Hasil yang diharapkan dari pengujian: Kelemahan pada tipe aplikasi atau layanan Level patch dari sistem dan aplikasi Daftar dari kelemahan kemungkinan DoS Daftar dari area yang diamankan Daftar dari kelemahan aktual tanpa false positif Daftar dari internal atau sistem DMZ Daftar dari mail, server, dan konvensi nama lainnya Peta jaringan Hasil pengujian dapat dilihat pada lampiran 75

4 5.1.2 Pengujian Plugin Intrusion Detection System Tes tersebut difokuskan dalam kinerja dan sensitivitas dari sebuah IDS. Banyak dari pengujian ini yang tidak dapat diperoleh tanpa adanya akses dalam log IDS. Beberapa modul pengujian ini ditujukan untuk serangan bandwith, jarak antar hop dan latency yang mempengaruhi keluaran dari test tersebut. Analisa pada log IDS diperlukan untuk verifikasi test yang telah dilakukan. Hasil pengujian dapat dilihat pada lampiran Review Monitoring Metode berikut ini bertujuan untuk menentukan titik akses yang dimonitor dalam organisasi dan aset yang berada di dalamnya melalui monitoring secara elektronik Hasil yang diharapkan: Daftar titik akses yang dimonitor Tipe monitoring Daftar standar tak termonitor dan titik akses istimewa Daftar alarm yang terpicu Hasil pengujian dapat dilihat pada lampiran 76

5 5.2 Skenario Pengujian Serangan Malware Skenario serangan malware untuk menguji kehandalan Ossim dalam mendeteksi malware dilakukan pada jaringan komputer Lab VLSI. Dalam skenario ini, penulis tidak menggunakan malware yang sesungguhnyanya, akan tetapi menggunakan Malware Testing File yang memiliki karakteristik signature yang hampir sama dengan malware sebenarnya. Malware Testing File merupakan program DOS yang resmi dan akan menghasilkan suatu aktivitas apa bila dijalankan dalam host. Yaitu, menampilkan pesan EICAR-STANDARD-ANTIVIRUS-TEST-FILE!. Dalam program tersebut, terdiri dari karakter ASCII yang sederhana berjumlah 68 buah karakter dan memiliki panjang 68 byte. FILE!$H+H* Dalam rangka menunjang penggunaan di dalam berbagai macam skenario, digunakan empat buah macam file dalam pengujian ini. File pertama, bernama eicar.com, mengandung string ASCII yang telah dijelaskan di atas. File kedua, ditambahkan ekstensi.txt pada file pertama sebagai usaha pengaburan untuk menguji Snort IDS dalam mendeteksi malware. File ketiga, menyimpan Malware Testing File di dalam file kompresi arsip ZIP. File keempat, merupakan file kompresi arsip ZIP yang mengandung ketiga file di atas. Hal ini dilakukan untuk menguji sejauh mana Snort IDS dapat memeriksa setiap paket yang lewat. Hasil pengujian dapat dilihat pada Lampiran. 77

6 5.3 Analisa Hasil Pengujian OSSIM berdasarkan OSSTMM Dari hasil pengujian, diperoleh hasil yang cukup memuaskan untuk kinerja OSSIM dalam memonitor jaringan komputer pada Lab VLSI. 5.4 Analisa Hasil Pengujian Malware Setelah dilakukan pengujian, Malware Testing File telah berhasil dideteksi oleh plugin snort pada Ossim. Semua alert dapat dilihat pada /var/log/snort/alert. Snort IDS dapat menjalankan tugasnya dengan baik terhadap serangan malware yang telah diketahui signature nya terlebih dahulu. Dan tidak dapat berbuat apa-apa apabila signature tidak didefinisikan pada rules. Ketika terjadi false negative pada snort, maka dimulailah proses deteksi secara dinamis oleh osiris dan ntop. Administrator jaringan musti memperhatikan anomali yang terdjadi dengan tingkat deviasi cukup tinggi. Ada kemungkinan hal tersebut disebabkan oleh serangan malware yang tidak terdeteksi oleh sistem deteksi statis yaitu plugin snort. Untuk itu diperlukan waktu dan tenaga oleh administrator jaringan untuk melakukan proses forensik. Administrator jaringan mengecek perubahan file sistem pada host yang menjadi pusat anomali serta mengamati secara detail koneksi-koneksi apa saja yang terhubung pada host tersebut. 78