AIRIDS merupakan suatu metode kemanan
jaringan yang bertujuan untuk membentuk suatu arsitektur sistem keamanan yang terintegrasi antara Intrusion
Detection System (IDS) , Firewall System, Database System dan Monitoring
System.. Sistem keamanan ini bertujuan
melindungi jaringan dengan kemampuan merespon sesuai dengan kebijakan keamanan.
Untuk mewujudkan
metode ini perlu dirancang
komponen-komponen sistem keamanan jaringan berupa :
1. Intrusion detection system (IDS)
a Sensor modul
b. Analyzer modul
2. Database system
3. Monitoring system
4. Firewall system
5. SMS system
Gambar
3.1. Arsitektur Sistem
Arsitektur sistem IDS
Intrusion Detection System (IDS) pada implementasi tugas akhir ini tediri dari komponen komponen :
1. Sensor
2.Analyzer
3.Database system
Gambar
3.2 Diagram Blok IDS
Sensor berfungsi untuk mengambil data dari jaringan. Sensor
merupakan bagian dari sistem deteksi dini dari sistem keamanan yang dirancang.
Untuk itu digunakan suatu program yang
berfungsi sebagai intrusion detector dengan
kemampuan packet logging dan analisis traffik yang realtime.
Analyzer berfungsi
untuk analisa paket yang lewat pada
jaringan. Informasi dari analyzer yang akan menjadi input bagi sistem lainnya.
Pada perancangan sistem keamanan ini
digunakan snort 2.1.0 dengan
alasan snort mempunyai kemampuan menjadi sensor dan analyzer serta sesuai
untuk diterapkan pada rancangan sistem keamanan .
Kriteria
pemilihan snort :
· Snort
adalah program yang free dan open source
· Snort
dapat berjalan secara kontinu pada sistem dengan sesedikit mungkin campur
tangan dari manusia
· Snort
tidak mengakibatkan overhead terhadap sistem IDS yang mengakibatkan komputer
menjadi lambat dan mengakibatkan terjadinya drop paket yang seharusnya diterima
oleh sistem.
· Logging
Snort bisa dikirim ke data base (mysql).
Untuk sistem deteksi dan analisis paket digunakan snort yang menempatkan
rule-rule nya pada sebuah list (daftar) dengan metode pengolahan paket. Misalnya ada paket yang ditemukan
sesuai dengan salah satu rule yang ditetapkan maka sistem akan masuk ke salah
satu mode (mis:alert,log), jika tidak maka paket tersebut disesuaikan dengan
rule lain yang ada pada daftar rule.
Berikut adalah contoh hirarki analisis yang dilakukan pada sebuah rule beserta
diagramnya.
if (packet_ethernet (p))
{EvalPacket(tree->ethernet->RuleList, rule->mode, p));
if (packet_IP (p))
{EvalPacket(tree->ethernet->IP->RuleList,
rule->mode, p));
if (packet_tcp (p))
{EvalPacket(tree->ethernet->IP->TCP->RuleList,
rule->mode, p));
if (packet_HTTP (p)){ do_http_stuff}}}}
Perancangan Database untuk
sistem keamanan jaringan
Sistem keamanan ini menggunakan
prinsip sentralisasi database untuk menyimpan semua alert yang berasal dari
sensor maupun log dari
firewall.Informasi yang tersimpan pada data base ini juga merupakan input untuk
pengawasan keamanan jaringan yang dilakukan oleh firewall system, monitoring
system serta sistem notifikasi SMS.
Database
yang digunakan adalah MySQL yang diinstall pada sistem linux. Apabila database
ini diinstall terpisah dari host firewall, bisa saja database ini diinstall
pada sistem berbasis Windows atau sistem operasi lain yang mendukung database
MySQL. Alasan pemilihan MySQL sebagai program database yang digunakan antara
lain :
- Sifatnya yang open source dan murah
- Cukup stabil pada hardware dengan spesifikasi yang relatif rendah
Untuk administrasi dan maintenance
sistem database dibuat suatu interface berbasis web yang dibuat dengan bahasa
pemrograman PHP. Fungsi utama dari interface ini adalah untuk mengedit atau
mengupdate entry database yang dijadikan input bagi sistem yang lain.
Perancangan monitoring
sistem
Sistem
monitoring yang digunakan dalam AIRIDS ini adalah sistem remote monitoring. Hal
ini diperlukan karena dalam situasi yang umum monitoring sistem harus dapat
dilakukan tanpa berada di lokasi host yang dipasang AIRIDS (off-site). Untuk itu sistem monitoring
yang paling fleksibel yang dapat diterapkan adalah sistem berbasis web. Untuk
itu diperlukan sistem yang memiliki :
· Linux kernel
2.4.xx
· PHP
· Web Server (
Apache )
· Web Client ( pada
sisi user )
Skema aliran data
pada sistem monitoring dapat dilihat pada Lampiran 1.4.
Sistem remote monitoring yang akan digunakan, dirancang agar bersifat user friendly, sehingga masalah
kemudahan pengguna dalam menggunakan interface
ini bukan lagi menjadi masalah. Karena itu diterapkan sistem dengan web interface. Pemilihan web interface ini memiliki keunggulan
sebagai berikut :
· Memudahkan
network sistem administrator dalam menggunakan interface
· Pemakai tidak
memerlukan keahlian linux dalam
mengoperasikan interface ini
· Pada sisi client tidak memerlukan software tambahan, hanya memerlukan browser dan koneksi internet
· Kompatibel dengan
berbagai macam browser
ACID (Analysis Console for
Intrusion Databases) merupakan PHP-based analysis engine yang berfungsi
untuk mencari dan mengolah database dari alert
network sekuriti yang dibangkitkan oleh perangkat lunak pendeteksi
intrusi (IDS). Dapat di implementasikan pada sistem yang mendukung PHP seperti
linux, BSD, Solaris dan OS lainnya. ACID adalah perangkat lunak yang
open-source dan didistribusikan dibawah lisensi GPL. Pada tugas akhir ini
digunakan ACID-0.9.6b23 dan PHP 4.3.3
ACID mempunyai
kemampuan :
· Query-builder
and search interface untuk mencari
alert yang sesuai dengan Alert meta
information (seperti : signature,
detection time) juga data data network (seperti : source / destination address, ports, payload atau flags).
· Packet
viewer (decoder) untuk mendisplay grafik informasi alert layer 3 (
Transport : TCP, UDP ) dan layer 4 ( Network : IP, IPX )
· Alert
management ( manajemen peringatan ) berfungsi untuk membuat grup alert,
membuang alert yang dianggap semu atau
palsu, mengirimkan alert ke email serta
mendukung pengarsipan alert agar dapat dipindahkan antar database alert.
· Chart
and statistics generation membuat chart dan statistic berdasar pada waktu,
sensor, signature, protokol, IP address, TCP/UDP ports, klasifikasi.
ACID merupakan aplikasi web based, sehingga semua informasi
informasi keadaan kemanan jaringan berupa alert dari sensor dan log dari
firewall dapat dianalisa melalui aplikasi web browser (seperti : Mozilla,
Konqueror, Opera). Informasi ini akan menjadi bahan untuk security audit. Security auidit perlu dilakukan agar kemanan
jaringan tetap terjamin dan untuk mendapatkan solusi keamanan jaringan yang
lebih baik
Untuk
itu diperlukan pengkonfigurasian pada HTTP server ( Apache ) yang sudah
terinstall pada host. HTTP server yang terinstal adalah Apache server 1.3.28.
Apabila diinginkan fitur enkripsi pada informasi yang dikirimkan sistem
monitoring pada browser, dapat ditambahkan modul SSL pada web server tersebut.
Hal ini akan meningkatkan keamanan data yang dikirimkan monitoring system pada
administrator dari kemungkinan penyadapan data ( man-in-the-middle attack ).
ACID berfungsi menyediakan
management console yang dapat diakses melalui web browser. Fungsi managemenet console ini adalah sebagai
interface untuk network system administrator (NSA) agar dapat melakukan
observasi pada kebijaksanaan keamanan
Perancangan Automatic
Firewall
Program firewall otomatis yang
dibuat pada dasarnya adalah program yang menganalisa output dari Intrusion
Detection System (IDS) serta memutuskan tindakan yang harus diambil untuk host
pengirim paket yang dianalisa tersebut. Apabila paket tersebut oleh IDS
dikategorikan sebagai paket berbahaya atau mengandung resiko keamanan jaringan,
maka program firewall otomatis akan memicu program iptables untuk menambahkan
sebuah rule yang memblok semua paket yang berasal dari host paket yang
mencurigakan tersebut. Berikut Flow chart dari sistem firewall otomatis.
Gambar
3.3. Flowchart proses firewall otomatis
Perancangan sistem
notifikasi SMS
Sistem
notifikasi SMS ini dirancang sebagai bagian yang memberikan fungsi interaktif
antara sistem dengan administrator. Alasan digunakannya SMS sebagai media
interaktif adalah sebagai berikut :
- Penyampaian pesan yang cepat dan cukup reliable
- Biaya yang relatif murah
- Bersifat dua arah
- Tidak tergantung pada jaringan data host
Gambar
3.4 Diagram Blok Interkoneksi Sistem Notifikasi SMS
Fungsi dasar
dari sistem SMS ini sebenarnya hanya memberikan notifikasi atau pemberitahuan
kepada administrator sesegera mungkin ketika terjadi suatu event yang
mentrigger firewall untuk memblok IP address suatu host dan di-log dalam
database. Proses insertion dalam database inilah yang mentrigger sistem SMS
untuk mengirimkan pesan SMS kepada administrator. Pesan yang dikirimkan berisi
tentang IP address dari host yang diblok oleh sistem.
Perlu diperhatikan bahwa fungsi
dasar sistem SMS ini tidak melakukan interupsi apapun pada proses perlindungan
sistem oleh AIRIDS. Karena yang dilakukan oleh sistem SMS hanyalah mengecek
tabel yang berisi daftar IP address yang sudah diblok secara periodik. Oleh
karena itu jika hanya fungsi dasar ini yang dibutuhkan, maka sistem SMS dapat
dipasang dimana saja, sejauh masih bisa mengakses database yang digunakan oleh
AIRIDS.
Tetapi untuk mendapatkan
interaktivitas penuh dari sistem SMS ini, maka sistem SMS harus dipasang pada
host yang dipasangi AIRIDS. Hal ini diperlukan karena interaktivitas penuh dari
sistem SMS ini memerlukan akses pada sistem untuk mengeksekusi berbagi perintah
yang diberikan oleh administrator melalui SMS.
Manfaat
penerapan sistem SMS dengan interaktivitas penuh antara lain :
- Dapat mengembalikan kondisi sistem apabila blocking IP address yang terjadi adalah karena kekeliruan admin saat melakukan administrasi atau testing pada host secara remote.
- Dapat mengakses sistem secara remote bahkan ketika jaringan down meskipun secara terbatas.
- Dapat mengeksekusi emergency command sesegera mungkin untuk menyelamatkan data atau sistem. Misal dengan mengembalikan password root atau bahkan me-reboot atau meng-halt sistem.
Pada fungsi normalnya, program sistem SMS akan mengakses database AIRIDS
untuk mengecek kondisi tabel blocking IP address serta untuk mengambil sintaks
perintah sistem yang harus dieksekusi sebagai respon admin pada suatu kondisi
tertentu. Hal ini menimbulkan satu kelemahan yaitu ketergantungan sistem SMS
pada database. Apabila database down, maka sistem SMS tidak akan dapat
berfungsi sama sekali.
Hal ini diatasi dengan membuat
prosedur emergency atau darurat pada
program sistem SMS. Prosedur ini berguna untuk menjaga ketersediaan akses admin
pada sistem melalui SMS walaupun database tidak berfungsi. Pada
implementasinya, program dirancang untuk dapat mengeksekusi perintah berupa full syntax yang dikirimkan admin
melalui SMS. Selain itu, untuk mempermudah, singakatan dari berbagai sintaks
dapat langsung dimasukkan dalam source code program SMS atau diambil dari file
lain dalam sistem.
Untuk implementasi sistem SMS ini dibutuhkan sistem dengan spesifikasi
sebagai berikut :
- Linux kernel 2.4.xx
- Library dan header SMS
- Ponsel + SIM card
- Kabel data yang menghubungkan ponsel dengan host melalu port serial
Database MySQL
Perancangan Sistem
Terintegrasi Serta Interaksinya Dengan User
Keseluruhan sistem diatas diintegrasikan dalam sebuah sistem yang
dibangun pada platform yang disesuaikan dengan kondisi sistem yang ada, baik
itu sistem operasi, konfigurasi jaringan maupun policy jaringan yang telah
ditentukan. Diagram interkoneksi antar sistem pembangun dapat dilihat kembali
pada gambar berikut ini :
Flowchart proses
program serta interaksinya dengan user sebagai berikut :
Gambar
3.5 Flowchart Proses Sistem AIRIDS Terintegrasi
Sistem terintegrasi ini dirancang agar dapat dieksekusi secara tunggal
dengan tujuan agar program-program dalam masing-masing sistem dapat berjalan
secara sinkron. Alasan lainnya adalah untuk kemudahan pengguna. Oleh karena itu
eksekusi program-program sistem pendukung dimasukkan dalam program firewall otomatis.
Administrator sistem sebagai pengguna dapat berhubungan dengan sistem AIRIDS
ini melalui sistem monitoring ACID secara satu arah ataupun melalui sistem
notifikasi SMS secara dua arah.
Desain sistem seperti di atas memberikan
administrator sistem fleksibilitas dalam me-maintain sistemnya. Sehingga
efisiensi kerja dari administrator semakin baik sekaligus meningkatkan
keandalan sistem dalam menghadapi resiko keamanan dari jaringan. Kekurangan
yang jelas timbul dari adanya sistem ini adalah delay yang timbul dalam proses
forwarding paket. Oleh karena itu sistem ini harus diimplementasikan sedemikian
rupa sehingga memiliki efisiensi yang tinggi baik dalam algoritma maupun
penggunaan resource yang ada pada sistem.
0 komentar:
Posting Komentar