Deteksi dan Pencegahan Flooding Data Pada Jaringan Komputer

DETEKSI DAN PENCEGAHAN FLOODING DATA

PADA JARINGAN KOMPUTER

Ahmad Rois Syujak

Teknik Informatika, Fakultas Komunikasi dan Informatika

Universitas Muhammadiyah Surakarta

Email : ahmad.rois.syujak@gmail.com

Abstrak

Keamanan jaringan komputer sebagai bagian dari sebuah sistem menjadi sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Suatu serangan ke dalam server jaringan komputer dapat terjadi kapan saja. Baik pada saat administrator yang sedang bekerja ataupun tidak. Dengan demikian dibutuhkan sistem keamanan di dalam server itu sendiri yang mampu mendeteksi langsung apakah setiap paket yang masuk tersebut adalah paket data yang sebenarnya atau tidak. Apabila paket tersebut merupakan paket data yang dikirim oleh penyerang, maka maka sistem mengeblok IP penyerang tersebut. Deteksi dan pencegahan dilakukan untuk mengetahui flooding data pada suatu jaringan komputer. Deteksi dan pencegahan dilakukan dengan sistem yang didesain dengan jalan membuat  firewall aktif dan bisa mendifinisikan setiap data yang masuk kedalam server, apakah data yang datang itu merupakan sebuah data flood atau data yang diperlukan oleh user.

Kata kunci : Keamanan Jaringan Komputer, Flooding Data, Firewall

PENDAHULUAN

Kebutuhan akan informasi dan komunikasi dewasa ini menjadi sangat penting di masyarakat. Seiring kemajuan dan perkembangan teknologi informasi yang semakin canggih dengan perkembangannya yang sangat cepat, maka kebutuhan akan informasi semakin meningkat pula.

Teknologi informasi saat ini telah berkembang pesat, salah satunya dalam bidang jaringan komputer. Jaringan komputer sangat berkaitan erat dengan internet dan telah menjadi suatu sarana untuk membantu dalam melaksanakan aktifitas suatu instansi/perusahaan. Dalam hal ini tidak hanya perusahaan yang bergerak di bidang telekomunikasi saja, akan tetapi juga perusahaan lain yang tidak bergerak di bidang tersebut. Kecenderungan ini disebabkan karena dengan adanya internet akan mendapatkan kemudahan dalam hal komunikasi. Kelebihan inilah yang menjadi kunci dari mengapa dipilihnya fasilitas tersebut. Akan tetapi dibalik kelebihan-kelebihan tersebut, jaringan komputer juga menyimpan banyak kekurangan bagi para penggunanya. Salah satunya adalah dari keamanan. Setiap komputer yang terhubung ke dalam suatu jaringan dan terkoneksi dengan internet pasti akan sering menghadapi berbagai macam bentuk serangan yang selalu berusaha mencari celah dari sistem keamanan jaringan komputer yang digunakan.

Kasus yang terjadi bahwa jaringan komputer yang terkoneksi dengan internet sering mendapatkan serangan-serangan yang mengakibatkan kerusakan bahkan kehilangan data yang dimiliki maupun kerusakan-kerusakan hardware akibat serangan tersebut. Kerugian karena kasus semacam ini bisa mencapai puluhan juta rupiah yang meliputi kerugian dalam bentuk fisik (hardware) maupun non-fisik (data).

Flooding data menjadi salah satu bentuk serangan serangan yang mengakibatkan suatu sistem akan terbanjiri oleh data-data secara terus menerus dalam waktu yang singkat. Hal ini juga mengakibatkan  lalu lintas jaringan menjadi sangat padat sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Penelitian ini bertujuan untuk membangun sebuah sistem yang mampu mendeteksi serangan Flooding Data pada jaringan komputer, dan secara otomatis mampu mencegah serangan tersebut. Hasil penelitian ini di harapkan dapat memberikan gambaran tentang bagaimana sistem keamanan jaringan komputer bekerja dan diharapkan di manfaatkan sebagai acuan dalam pengelolaan sistem keamaman jaringan komputer.

PROSEDUR PENELITIAN

Penelitian ini dilakukan dengan melakukan simulasi serangan Flooding data. Pengujian dalam penelitian ini  menggunakan konsep Snort-Host-Based IDS, sehingga pengamatan trafik data hanya dilakukan pada perangkat jaringan dimana aplikasi Snort ditempatkan.

Secara teknis, 1 komputer server akan menjalankan aplikasi Snort serta layanan http server dan database server. Komputer server dan komputer client terhubung melalui sebuah switch hub dalam subnet yang sama. Berikut adalah skema jaringan yang di gunakan.

Gambar 1. Skema Jaringan Komputer

Dalam penelitian ini akan dilakukan 2 macam pengujian sistem yaitu dengan simulasi serangan Syn Attack, dan Ping of Death. SYN Attack terjadi bila suatu host hanya mengirimkan paket SYN TCP saja secara kontinyu tanpa mengirimkan paket ACK sebagai konfirmasinya. Hal ini akan menyebabkan host tujuan akan terus menunggu paket tersebut dengan menyimpannya kedalam backlog. Meskipun ukuran paket kecil, tetapi apabila pengiriman SYN tersebut terus menerus akan memperbesar backlog. Hal yang terjadi apabila backlog sudah besar akan mengakibatkan host tujuan akan otomatis menolak semua paket SYN yang datang, sehingga host tersebut tidak bisa dikoneksi oleh host-host yang lain. Sedangkan Ping of Death merupakan Pengiriman paket echo request ICMP ke dalam suatu jaringan secara berlebihan. Pengiriman paket ini dapat mengakibatkan sistem crash, hang ataupun reboot.

Adapun sistem operasi tang di gunakan adalah Ubuntu Server 10.04 yang ditanam Snort, Blockit sebagai IDS dan IPS serta BASE sebagai User Interface. Kemudian secara default Ubuntu Server telah menyediakan Iptables sebagai firewall nya.

Cara kerja dari sistem yang dibangun ini adalah ketika snort mendeteksi adanya suatu serangan maka alert snort akan di gunakan oleh blockit untuk merekam IP penyerang dan memerintahkan iptables melakukan bloking terhadap IP yang telah tercatat. Sedangkan BASE dapat digunakan sebagai user interface dengan web-based. 

Bagan 1. Skema alur kerja sistem

Skema di atas menunjukan bahwa Snort yang di konfigurasikan dengan blockit dan firewall merupakan NIPS yang mampu melakukan blocking IP address terhadap beragam serangan yang sudah di definisikan pada rule snort. Blockit ini bekerja dengan membaca log dari Snort yang berada di /var/log/snort/alert yang kemudian akan mentrigger iptables untuk menutup akses terhadap IP penyerang.

HASIL

a.         Pengujian SYN Flooding Attack

Pengujian dilakukan dengan menggunakan perintah hping3 –faster  -S  192.168.1.7 dari client dengan ip address 192.168.1.8 yang terlihat pada gambar berikut.

Gambar 2. Pengujian SYN Flooding dengan perintah Hping3.

Pada proses pengujian ini, client yang bertindak sebagai penyerang mengirimkan paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan terbuka yang berada dalam server target. Pada kondisi normal, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukan data-data aktual. Tetapi pada serangan SYN Attack, paket-paket tersebut memiliki alamat sumber yang tidak menunjukan data aktual. Ketika server menerima paket SYN tersebut, server  merespons dengan sebuah paket SYN/ACK sesuai dengan SYN Packet yang ia terima dan kemudian akan menunggu paket ACK sebagai balasan untuk melengkapi proses tersebut. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan oleh penyerang tidaklah valid, mak paket ACK tidak akan pernah terkirim ke target, dan port yang menjadi target serangan akan menunggu hingga waktu pembuatan koneksi telah habis atau timed-out.

Selanjutnya untuk pengujian telah di siapkan lokal rule pada snort yang di gunakan untuk mendeteksi adanya suatu serangan SYN Attack.

Gambar 3. Rule snort untuk deteksi SYN Attack

Rule snort yang sebagaimana di tunjukan pada gambar 3. akan membandingkan setiap paket data dari jaringan luar yang mengalir masuk ke server dengan protocol TCP. Maka ketika ada paket data yang sesuai dengan rule snort tersebut, snort akan menganggapnya sebagai sebuah serangan dan memberikan peringatan melalui web BASE. Pesan peringatan yang di tampilkan melalui halaman web BASE adalah “Syn Flooding Simulation”.

Gambar 4. Deteksi SYN Attack

b.         Pengujian Ping of Death Attack

Pengujian simulasi Ping of Death dilakukan dengan melakukan ping yang menyertakan paket data sebesar 10000 bytes terhadap komputer server dari komputer client. Sebuah ping biasanya berukuran 56 byte atau 84, perintah yang diberikan pada terminal adalah  ping 192.168.1.7 –l 10000 –t yang ditunjukan pada gambar berikut.  

Gambar 5. Hasil pengujian ping of death.

Selanjutnya untuk pengujian telah di siapkan lokal rule pada snort yang di gunakan untuk mendeteksi adanya suatu serangan ping of death Attack.

Gambar 6. Rule snort untuk deteksi ping of death Attack

Rule Snort sebagaimana ditunjukkan pada gambar 6, akan membandingkan setiap paket data dari jaringan luar yang mengalir masuk ke server dengan protokol ICMP. Parameter perbandingan yang digunakan mengacu pada ukuran file, yang ditandai dengan adanya opsi dsize pada baris rule. Apabila ukuran file paket ICMP berukuran lebih besar dari 1500 bytes, maka Snort IDS akan menganggap paket ICMP tersebut sebagai sebuah serangan dan memberikan peringatan melalui web BASE. Pesan peringatan yang ditampilkan pada halaman web BASE adalah “Ping of Death Simulation”.

Gambar 7. Deteksi Ping o death

c.         Pencegahan

Pengujian pencegahan ini dilakukan dengan cara menjalankan snort dan juga menjalankan Blockit, sehingga saat serangan terdeteksi, maka disaat itu pula serangan yang masuk dapat di cegah. Blockit berfungsi untuk mentrigger firewall, untuk menjalankan Blockit dilakukan  dengan perintah /usr/local/blockit/bin/blockit start. Setelah system berjalan, untuk memastikan bahwa sistem yang dibangun dapat memenuhi tujuannya maka pengujian dilakukan antara Client-Server. Pengujian difokuskan pada intrusi dari jaringan internal yaitu serangan dari client ke server.

Gambar 8. Alert SYN Attack

Gambar 9. Alert Ping of Death Attack

Gambar di atas menunjukan adanya serangan yang terdeteksi yang dilakukan oleh Client dengan IP 192.168.1.9 selanjutnya Blockit akan mentrigger firewall untuk melakukan Blok alamat IP Pengirim. Untuk melihat bahwa firewall telah berhasil melakukan pencegahan serangan dapat dilihat dengan perintah tail –f /var/log/blockit/intruders

Gambar 10. Tampilan Blockit saat mentrigger Firewall

Beberapa proses di atas menunjukan bahwa Snort telah berhasil mendeteksi dan mencatat alert dan log ke database. Kemudian BASE menerima alert tersebut dan menyajikannya dalam GUI Web-Based. Dan pencegahanya dilakukan oleh BlockIt yang berhasil mentrigger Firewall untuk melakukan dropping paket dan blocking IP Address penyerang.

PEMBAHASAN

Penelitian yang dilakukan kali ini, melalui beberapa tahapan meliputi perancangan, konfigurasi dan pengujian. Adanya dukungan repository pada Linux Ubuntu mendukung kemudahan dalam installasi dan integrasi Snort  ke dalam sistem. Konfigurasi Snort  juga melalui beberapa tahapan yang dilalui secara urut sehingga memudahkan pengguna dalam melakukan konfigurasi, terutama bagi pengguna yang sudah terbiasa dengan sistem berbasis UNIX sebelumnya.

File rule yang disediakan pada setiap versi Snort dibuat oleh Snort Team dengan dukungan opensource project dan telah teruji untuk dapat mendeteksi berbagai macam jenis serangan keamanan. Kontributor dari Snort Team adalah para profesional dalam bidang IT terutama dalam bidang keamanan jaringan komputer, sehingga perkembangan rule Snort dapat mengikuti perkembangan teknik keamanan dan pola serangan baru yang sering terjadi pada sistem jaringan komputer .

Hasil keluaran dari peringatan Snort dapat diatur untuk memberikan peringatan melalui log, tcpdump log ataupun database. Hasil keluaran dari peringatan Snort ini dapat diatur melalui file konfigurasi Snort yaitu file /etc/snort/snort.conf. Untuk hasil peringatan Snort IDS dengan tampilan web, maka diperlukan sebuah database yang menyimpan peringatan-peringatan tersebut yang kemudian dapat ditampilkan dengan tampilan web interface dengan modul web BASE.

Snort adalah perangkat Intrusion Detection System, bukan Intrusion Prevention System yang dapat mecegah adanya suatu serangan. Snort hanya dapat memberikan suatu peringatan tentang adanya sebuah serangan terhadap suatu sistem, sehingga untuk dapat melakukan pencegahan terhadap sebuah serangan harus dilakukan pengaturan firewall atau IPtables yang ada pada sistem operasi Linux Ubuntu.

Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga agar akses (ke dalam maupun ke luar) tidak dapat dilakukan secara bebas.  

Firewall merupakan alat untuk mengimplementasikan kebijakan security (security policy). Semakin ketat kebijakan security, semakin kompleks konfigurasi layanan informasi atau semakin sedikit fasilitas yang tersedia di jaringan. Sebaliknya, dengan semakin banyak fasilitas yang tersedia atau sedemikian sederhananya konfigurasi yang diterapkan, maka semakin mudah serangan masuk ke sistem.

Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall. Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server termasuk iptables pada Linux ubuntu server yang dikonfigurasi menjadi firewall.

KESIMPULAN

Berdasarkan hasil pengujian yang dilakukan, Snort dapat di-implementasikan sebagai Intrusion Detection System pada sistem operasi  Ubuntu Server untuk mendeteksi serangan DoS Attack yaitu Flooding data dengan SYN Flood Attack dan Ping of Death sebagai sampel pengujian serangan.

Snort dapat memberikan peringatan adanya sebuah serangan keamanan, sehingga dapat meningkatkan keamanan jaringan. Dapat atau tidaknya sebuah serangan terdeteksi oleh Snort IDS tergantung dari ada atau tidaknya rule dengan jenis signature pada sebuah pola serangan.

Konfigurasi firewall dapat dilakukan sebagai upaya pencegahan terhadap suatu serangan. Semakin ketat kebijakan security, semakin kompleks konfigurasi layanan firewall akan semakin sedikit fasilitas yang tersedia di jaringan. Sebaliknya, dengan semakin banyak fasilitas yang tersedia atau sedemikian sederhananya konfigurasi yang diterapkan, maka semakin mudah serangan masuk ke system

Firewall merupakan perlindungan yang baik dalam melawan ancaman jaringan, tapi firewall bukan merupakan solusi sekuriti yang lengkap yang dapat mengatasi semua permasalahan sekuriti jaringan. Adapun kekurangan firewall ini adalah sulit dalam membuat aturan dan kebijakan pada packet filtering firewall ini secara tepat guna dan aturan tersebut akan semakin banyak seiiring dengan banyak alamat IP sumber dan tujuan, port sumber dan tujuan yang dimasukan dalam kebijakan packet filtering firewall ini.

Pada penelitian ini sistem yang di bangun belum bisa dikatakan sempurna. Deteksi yang dilakukan oleh snort hanya mampu mendeteksi Flooding data berdasarkan size paket yang dikirm, sehingga ketika terdapat paket yang dikirim secara simultan dengan ukuran yang lebih kecil dari rule yang di terapkan pada snort dan kemudian menimbulkan Flooding, maka hal tersebut belum mampu terdeteksi oleh sistem. Akibatnya, sistem tidak memberikan action apapun karena tidak menerima alert serangan Fooding Data.

REKOMENDASI

1.        Bagi praktisi jaringan komputer

Sistem keamanan dengan IDS Snort dapat memberikan manfaat lebih apabila Snort diintegrasikan dengan firewall. Snort cukup efektif untuk mendeteksi adanya sebuah serangan terhadap sistem, namun Snort bukanlah sebuah Intrusion Prevention System (IPS) yang dapat mencegah atau memblokir usaha-usaha penyusupan kedalam sistem. Maka firewall dapat menjadisalah satu solusi untuk proses pencegahan terhadap suatu serangan.

2.        Bagi pengguna dunia pendidikan

Saat ini internet telah menjadi suatu sarana untuk membantu dalam melaksanakan aktifitas rutin perusahaan dan aktifitas rutin lainnya. Dalam hal ini tidak hanya perusahaan yang bergerak di bidang telekomunikasi saja yang menggunakan jaringan, tetapi juga institusi lain yang tidak bergerak di bidang tersebut termasuk dalam dunia pendidikan. Kemudahan dan kepraktisan merupakan kunci dari mengapa dipilihnya fasilitas tersebut.

Disisi jaringan komputer juga menyimpan banyak kekurangan yang sangat mengkhawatirkan bagi para penggunanya. Salah satu yang sangat menjadi kendala adalah dalam bidang keamanan. Setiap komputer yang terhubung ke dalam suatu jaringan yang tekoneksi dengan internet pasti akan sering menghadapi berbagai macam bentuk berbagai macam bentuk serangan yang selalu berusaha mencari celah dari sistem keamanan jaringan komputer yang digunakan. Oleh karena itu, implemasi sistem deteksi dan pencegahan terhadap serangan sangatlah di butuhkan.

3.        Bagi pengguna internet

Kebutuhan akan informasi dan komunikasi dewasa ini sangat penting, seiring kemajuan dan perkembangan teknologi informasi yang semakin canggih dengan perkembangannya yang sangat cepat, maka kebutuhan akan informasi semakin meningkat pula. Artinya saat ini kita berada sangat dekat dengan teknologi, batas ruang dan waktu semakin tidak terlihat. Banyak kasus yang terjadi bahwa karena adanya teknologi ini perilaku seseorang juga semakin tidak terkendali, penipuan, pencurian pin atm, dan lain-lain. Oleh karena itu membekali diri dengan pengetahuan menjadi kunci untuk mencegah hal-hal yang demikian terjadi dan tidak terulang kembali.

DAFTAR PUSTAKA

Ajawaila, Thomas Gregory. (2010). “Tutorial Membangun Snort Sebagai Intrusion Detection System Integrasi terhadap BASE dan MySQL”. (Online). (http://ilmukomputer.com/ di akses tanggal 15 Mei 2012)

Firdaus, Atiq Zahrial. (2012). “Implementasi Snort sebagai Tool Intrussion Detection System pada Server FreeBSD di PT. Power Telecom”, Skripsi, Universitas muhammadiyah Surakarta.

Gullet, David. (2012). “Snort 2.9.2. and Snort Report 1.3.3. On Ubuntu 10.04 LTS Installation Guide”. Symetrics Technologies.         

Herlambang, M. Linto. (2009). Buku Putih CRACKER Kupas tuntas Dos Attack dan Cara Penanggulanganya. Yogyakarta: Andi.

Moore, Nick. (2009). “Snort 2.8.4.1. Ubuntu 9 Installation Guide”.

Odom, Wendell.  (2004). Computer Networking First-Step. Yogyakarta: Andi.

S’to. (2011). CEH( Certified Ethical Hacker) : 400% illegal. Jasakom

Sofana, Iwan. (2010). CISCO CCNA & Jaringan Komputer. Bandung: Informatika.