-
45
Bab 4
Hasil dan Pembahasan
4.1 Hasil Sistem Jaringan
Pada tahap implementasi sistem, dilakukan konfigurasi sistem
pada laptop yang digunakan sebagai IDS Snort. Selain itu,
dilakukan
pula konfigurasi dasar dan port mirroring pada router
Mikrotik.
Sistem IDS Snort ini nantinya akan dikenai serangan sesuai
dengan
skenario yang ada dalam penelitian. Dari hasil penyerangan
tersebut
nantinya akan dihasilkan alerts yang disimpan di file log
Snort.
Selanjutnya file log Snort yang dihasilkan akan diambil dan
diteliti
untuk kemudian dilakukan proses investigasi agar sumber
serangan
dapat diketahui. Dalam melakukan investigasi juga akan
meneliti
data yang dihasilkan Squid access log. File access log
digunakan
untuk menguatkan bukti adanya penyusupan dan menangani
bilamana ada kasus false negative pada IDS Snort.
Gambar 4.1 Topologi Jaringan IDS Snort
-
46
Gambar 4.1 merupakan topologi jaringan IDS Snort lengkap
dengan IP address yang digunakan oleh masing-masing
perangkat.
Router Mikrotik berfungsi sebagai penghubung diantara segmen
jaringan yang berbeda. Pada Mikrotik, eth1 dengan IP
192.168.1.100
terhubung dengan modem ADSL Speedy, eth2 dengan IP
192.168.2.1 terhubung dengan IDS Snort dan eth3 dengan IP
192.168.0.1 terhubung dengan jaringan lokal. Sesuai dengan
skenario pengujian yang ada pada Bab 3, akan dilakukan
serangan
dari jaringan lokal.
4.2 Pengujian Sistem Jaringan
Dalam mendeteksi serangan, IDS Snort bekerja sesuai dengan
signature yang ada pada rules Snort. Artinya IDS Snort hanya
akan
bekerja jika pola serangan yang masuk sesuai dengan pola
atau
signature yang ada pada rules Snort. Oleh karena itu,
sangatlah
penting dalam menyiapkan rules agar IDS Snort dapat bekerja
secara maksimal. Sesuai dengan skenario penelitian, akan
ditambahkan rules yang dapat digunakan dalam mendeteksi
serangan SQL Injection dan Cross Site Scripting (XSS).
-
47
Gambar 4.2 Rules Default SQL Injection
Gambar 4.2 merupakan rules default dari SQL Injection. Rule
default tersebut belum bisa mendeteksi serangan sesuai
dengan
skenario yang dilakukan, maka akan ditambahkan beberapa
rules
sehingga serangan yang masuk dapat dideteksi oleh IDS Snort.
Rule 1
alert tcp $EXTERNAL_NET any -> $HOME_NET
$HTTP_PORTS (msg:"SQL union select - possible sql
injection";
content:"union"; fast_pattern; nocase; http_uri;
content:"select";
nocase; http_uri; pcre:"/union\s+(all\s+)?select\s+/Ui";
metadata:policy security-ips drop; classtype:misc-attack;
sid:1399000; rev:11;)
Rule tersebut digunakan untuk mendeteksi serangan SQL
Injection, bilamana ada trafik data dari jaringan
EXTERNAL_NET
dari port berapa pun menuju ke jaringan HOME_NET dengan port
-
48
tujuan HTTP_PORTS, dan dengan payload content mengandung
kata union select, maka Snort akan menganggap trafik data
ini
sebagai serangan. Selanjutnya Snort akan menampilkan alert
sesuai
message yang ada pada rule, yaitu “SQL union select - possible
sql
injection”.
Rule 2
alert tcp $EXTERNAL_NET any -> $HOME_NET
$HTTP_PORTS (msg:"Cross Site Scripting Attempt";
flow:to_server, established; content:""; fast_pattern:only;
nocase; http_uri; pcre:"/((\%3C)|)/i";
reference:url,ha.ckers.org/xss.html;
classtype:web-application-attack; sid:2009714; rev:6)
Rule tersebut digunakan untuk mendeteksi serangan Cross Site
Scripting (XSS), bilamana ada trafik data dari jaringan
EXTERNAL_NET dari port berapa pun menuju ke jaringan
HOME_NET dengan port tujuan HTTP_PORTS, dan dengan
payload content mengandung kata , maka Snort akan
menganggap trafik data tersebut sebagai serangan.
-
49
Gambar 4.3 Rules Pada Local.rules
Gambar 4.3 merupakan rules baru yang telah ditambahkan ke
dalam rules Snort. Penambahan rules baru dilakukan pada
local.rules supaya lebih mudah dalam mengelolanya.
Selanjutnya
IDS Snort perlu dilakukan proses restart supaya Snort
me-load
ulang konfigurasinya sehingga rules yang baru saja
ditambahkan
dapat bekerja jika ada serangan yang polanya sesuai dengan
rules
tersebut.
4.2.1 Serangan SQL Injection
SQL Injection merupakan sebuah teknik serangan yang
memanfaatkan celah keamanan pada sisi website yang
mengizinkan
attacker untuk menginputkan malicious code. Celah keamanan
tersebut ditunjukkan pada saat attacker memasukkan nilai string
dan
karakter-karakter control lainnya yang ada dalam instruksi
SQL
dengan cara memodifikasi perintah SQL yang ada di memori
aplikasi client sehingga memungkinkan attacker untuk
memasukkan
-
50
kode-kode SQL untuk mendapatkan informasi dan akses ke
database server. Dampak yang ditimbulkan jika serangan ini
tidak
segera terdeteksi adalah memungkinkan seorang attacker dapat
login
ke dalam sistem tanpa harus memiliki account. Selain itu,
attacker
juga dapat mengubah, menghapus, maupun menambahkan data yang
berada dalam database. Lebih parah lagi jika sampai
mematikan
database itu sendiri, sehingga database tidak bisa
memberikan
layanan kepada web server.
Gambar 4.4 Serangan SQL Injection dengan Havij
Gambar 4.4 merupakan skenario serangan SQL Injection yang
dilakukan dari jaringan lokal melalui sebuah laptop
menggunakan
software Havij. Dalam percobaan, attacker akan memasukan
sebuah
URL dari website yang sebelumnya telah diketahui vulnerable
-
51
terhadap serangan SQL Injection. Setelah URL website
dimasukkan,
kemudian attacker tinggal meng-click tombol analyze untuk
melakukan serangan. Dampak dari serangan ini, attacker bisa
mendapatkan data-data penting dari website yang diserang.
Adapun
pada IDS Snort, (Gambar 4.5) akan muncul alerts yang
kemudian
akan disimpan pada file log. File log yang dihasilkan ini
akan
dikumpulkan untuk diteliti dan diperiksa lebih lanjut sebagai
bukti
adanya penyusupan.
Gambar 4.5 Alert pada IDS Snort
4.2.2 Serangan Cross Site Scripting (XSS)
Cross Site Scripting (XSS) merupakan salah satu jenis
serangan injeksi code (code injection attack). XSS dilakukan
oleh
attacker dengan cara memasukkan kode HTML atau client script
code lainnya ke suatu situs. Serangan ini akan seolah-olah
datang
dari situs tersebut. Dampak dari serangan ini jika tidak
segera
dideteksi antara lain: attacker dapat mem-bypass keamanan di
sisi
client, mendapatkan informasi sensitif, mendapatkan cookie
dari
user atau menyimpan aplikasi berbahaya.
-
52
Gambar 4.6 Cross Site Scripting (XSS)
Gambar 4.6 merupakan skenario serangan Cross Site Scripting
(XSS) menggunakan web Damn Vulnerability Web Aplication
(DVWA) yang sebelumnya telah dipersiapkan. Website tersebut
ditanam di IP public dengan alamat 103.26.128.84/Web. Dalam
skenario attacker mengakses alamat 103.26.128.84/Web,
kemudian
attacker akan memasukan script “alert(„This is a XSS
Attack‟) ” ke dalam text area. Efek yang dihasilkan dari
script yang dimasukan tersebut dapat dilihat pada gambar 4.7
berikut.
Gambar 4.7 Cross Site Scripting (XSS)
-
53
Gambar 4.7 merupakan tampilan website setelah script
dieksekusi. Script yang dimasukkan oleh attacker akan
disimpan
oleh server dan secara permanen ditampilkan saat website
tersebut
diakses kembali sehingga terlihat seolah-olah serangan tejadi
karena
kesalahan pada website itu sendiri. Untuk memanfaatkan celah
ini
lebih lanjut, umumnya celah ini akan di kombinasikan dengan
jenis
serangan lain seperti phishing atau social engineering terhadap
user
yang sah.
Gambar 4.8 Alert Cross Site Scripting (XSS)
Gambar 4.8 menunjukan alerts yang muncul pada IDS Snort
saat attacker melakukan serangan Cross Site Scripting (XSS)
menuju ke alamat 103.26.128.84/Web.
4.3 Pembahasan
Pembahasan penulisan ini mengacu pada hasil skenario
serangan yang telah dilakukan. Dari serangan tersebut
dihasilkan
alerts pada file log yang selanjutnya digunakan sebagai bukti
untuk
-
54
melakukan investigasi serangan. Dari bukti yang didapat
nantinya
akan diambil informasi-informasi penting yang berhubungan
dengan
penyusupan, sehingga sumber serangan dapat diketahui.
4.3.1 Investigasi Serangan SQL Injection dan XSS
Menurut The U.S Department of Justice, dalam melakukan
investigasi forensik ada 4 tahap yang harus dilakukan:
1. Tahap Collection
Pada tahapan ini yang dilakukan yaitu mencari dan
mengumpulkan semua bukti-bukti yang berhubungan dengan
penyusupan. Bukti-bukti ini diambil dari file log Snort dan
access
log pada Squid.
Gambar 4.9 Alert Pada IDS Snort
Gambar 4.9 merupakan bukti alerts yang muncul saat IDS
Snort melakukan sniffing dan mendeteksi adanya serangan pada
jaringan. Alerts ini kemudian akan disimpan ke dalam file log
Snort.
-
55
Gambar 4.10 Access Log
Gambar 4.10 merupakan file access log yang dihasilkan saat
terjadi serangan. Semua aktifitas dari user pada jaringan lokal
akan
ter-capture pada Squid access log ini. Selanjutnya bukti-bukti
yang
telah dikumpulkan tersebut akan diperiksa dan diteliti lebih
lanjut
pada tahap examination.
2. Tahap Examination
Pada tahap ini dilakukan pemeriksaan dan penelitian terhadap
bukti-bukti yang telah dikumpulkan. Bukti-bukti yang didapat
dipilah-pilah sesuai dengan karateristik dari serangan. File log
Snort
akan dipilah-pilah berdasarkan source address, source port,
destination address dan destination port. Selain itu, file log
Snort
juga akan dipilah-pilah berdasarkan karakteristik dari serangan,
yaitu
penggunaan keyword union select sesuai dengan signature pada
rules Snort.
-
56
Gambar 4.11 Analisa File Log berdasar IP dan Port
Gambar 4.11 menunjukkan bukti file log Snort yang dipilah-
pilah berdasarkan source address, source port, destination
address
dan destination port.
Gambar 4.12 File Log Snort Serangan SQL Injection
-
57
Gambar 4.12 menunjukkan file log Snort yang dibuka dengan
Wireshark agar mudah dalam pembacaanya. Pemeriksaan dimulai
dengan melakukan filter protokol HTTP. Angka 1 menunjukkan
tentang HTTP GET Query, angka 2 menunjukkan tentang source
address dan destination address, angka 3 menunjukkan source
port
dan destination port dan angka 4 menjelaskan tentang HTTP
GET
Header serangan SQL Injection dengan parameter union select.
Sedangkan untuk serangan Cross Site Scripting (XSS) juga
dilakukan hal yang sama, yaitu dengan melakukan pemeriksaan
pada
file log dengan cara memilah-milah file log berdasarkan
source
address, source port, destination address dan destination
port.
Selain itu, file log Snort juga akan dipilah-pilah
berdasarkan
karakteristik dari serangan XSS, yaitu penggunaan keyword
sesuai dengan signature yang ada pada rules Snort.
Gambar 4.13 Analisa File Log berdasarkan IP dan Port
-
58
Gambar 4.13 menunjukkan file log Snort dari serangan Cross
Site Scripting (XSS). File log ini dipilah-pilah berdasarkan
source IP,
destination IP, source port dan destination port.
Gambar 4.14 File Log Snort Serangan XSS
Gambar 4.14 menunjukkan file log Snort yang dibuka dengan
Wireshark agar mudah dalam pembacaanya. Pemeriksaan dimulai
dengan melakukan filter protokol HTTP. Angka 1 menunjukkan
HTTP POST Query, angka 2 menunjukkan source address dan
destination address, angka 3 menunjukkan source port dan
destination port, dan angka 4 menunjukkan tentang HTTP POST
Header. Hasil pada tahap examination ini, akan dianalisis
lebih
lanjut pada tahapan berikutnya.
Selanjutnya untuk file access log akan dipilah-pilah
berdasarkan elemen-elemennya. Penjelasan tersebut dapat
dilihat
pada Gambar 4.15 berikut.
-
59
Gambar 4.15 Elemen Access Log
Pada Gambar 4.15 menunjukkan file acces log yang dipilah-
pilah sesuai dengan elemen dan fungsi masing-masing. Angka 1
menjelaskan informasi tentang waktu (timestmap), angka 2
menjelaskan tentang durasi waktu milidetik dalam transaksi,
angka 3
menjelaskan tentang informasi IP address yang melakukan
request,
angka 4 menjelaskan tentang result code, angka 5 menjelaskan
tentang informasi ukuran byte data yang dihantarkan ke client,
angka
6 menjelaskan tentang metode request untuk mendapat objek
dan
angka 7 menjelaskan informasi website yang diakses.
3. Tahap Analysis
Pada tahap ini akan terlihat hasil pemeriksaan dan
penelitian
yang dilakukan pada file log dan access log sebagai
pembuktian
terhadap serangan yang ada. Tahap ini, dapat digunakan untuk
menjawab pertanyaan dalam investigasi forensik yaitu serangan
apa
yang terjadi, IP siapa yang melakukan serangan, dimana serangan
itu
terjadi dan kapan serangan itu terjadi.
-
60
Gambar 4.16 Analisa File Log Serangan SQL Injection dengan
Wireshark
Pada Gambar 4.16 menunjukkan analisa file log Snort
serangan SQL Injection yang dibuka dengan Wireshark. Angka 1
menunjukan source address dan destination address. Source
addrees berasal dari IP 192.168.0.49 dan destination address
menuju ke IP 110.4.46.62 yang merupakan IP dari host
www.telesensory.com. Angka 2 menjelaskan tentang source port
dan destination port. Adapun angka 3 menjelaskan tentang
data
HTTP GET Header serangan SQL Injection dengan parameter
union
select. Payload yang ter-capture tersebut sesuai dengan
signature
atau rules yang ada pada rules Snort sehingga paket data
tersebut
dianggap sebagai serangan.
-
61
Gambar 4.17 Analisa File Log Snort Serangan XSS dengan
Wireshark
Pada Gambar 4.17 menunjukkan analisa bukti serangan XSS
yang dibuka dengan Wireshark. Angka 1 menunjukkan source
address dan destination address. Source addrees berasal dari
IP
192.168.0.49 dan destination address menuju ke IP
103.26.128.84.
Selanjutnya angka 2 menunjukan source port berasal dari 59157
dan
destination port menuju ke port 80 atau HTTP. Adapun angka 3
menjelaskan tentang data HTTP POST Header dan angka 4
menunjukkan payload dari serangan XSS dengan parameter
sebagai
berikut:
%3Cscript%3E%28%27This+XSS+Attack%27%29%3C%2Fscript%3E
Payload yang ter-capture tersebut masih dalam bentuk
hexadesimal sehingga harus dikonvert ke dalam chart agar
mudah
dalam pembacaannya.
-
62
Gambar 4.18 Hasil Konvert ke Dalam Chart
Pada Gambar 4.18 menunjukkan hasil payload yang telah
dikonvert ke dalam chart, yaitu alert(‘This XSS
Attack’). Tentunya hasil tersebut sesuai dengan
signature yang ada pada rules Snort sehingga Snort
menganggap
paket data tersebut sebagai serangan. Hasil yang didapat dari
tahap
analysis dapat dilihat pada Tabel 4.1 berikut.
Tabel 4.1 Hasil Analisa File Log Snort
No Source Destination Ket
IP Address Port IP Address Port
1 192.168.0.49 58436 110.4.46.62
(www.telesensory.com)
80 SQLi
2 192.168.0.49 59157 103.26.128.84 80 XSS
Pada Tabel 4.1 menunjukkan hasil analisa yang didapat file
log
Snort yang dibuka dengan Wireshark. Hasil yang didapat ini
nantinya akan dicocokkan dengan hasil analisa file access
log.
Pada tahap analysis, file access log akan dipilah-pilah
berdasarkan waktu akses, IP address yang melakukan request
dan
website yang di-request untuk mendapatkan data-data yang
diperlukan dalam penelitian.
-
63
Gambar 4.19 Analisa Access Log serangan SQL Injection
Gambar 4.19 menunjukkan analisa access log serangan SQL
Injection yang telah dipilah-pilah berdasarkan waktu akses,
IP
address yang melakukan request dan website yang di-request.
Terlihat IP address 192.168.0.49 sedang sedang mengkases
situs
www.telesensory.com.
Gambar 4.20 Analisa Access Log Serangan XSS
Pada Gambar 4.20 menunjukkan analisa access log serangan
XSS yang dipilah-pilah berdasarkan waktu akses, IP address
yang
-
64
melakukan request dan website yang diakses. Terlihat IP
address
192.168.0.49 sedang mengkases ke alamat 103.26.128.84. Hasil
akhir dari analisa file access log dapat dilihat pada Tabel 4.2
berikut.
Tabel 4.2 Hasil Analisa Access Log
No Time Source Address Destination Address Ket
1 Thu Mar 27 2014
00:46
192.168.0.49 www.telesensory.com SQLi
2 Thu Mar 27 2014
01:02
192.168.0.49 103.26.128.84 XSS
Tabel 4.2 menunjukkan hasil analisa file access log yang
diambil pada Squid. Setelah dilakukan pencocokan, hasil yang
didapat dari analisa file access log cocok dengan hasil analisa
file
log IDS Snort yang telah dianalisa sebelumnya sehingga file
access
log dapat digunakan sebagai penguat bukti adanya serangan
atau
penyusupan pada jaringan.
4. Tahap Reporting
Dari hasil investigasi forensik pada tahap collection sampai
tahap analysis didapat informasi-informasi penting tentang
attacker.
Informasi dari jejak attacker ini didapat dari file log Snort
dan file
access log yang ada pada Squid. File log Snort diteliti dan
dianalisa
lebih lanjut untuk mendapatkan informasi tentang attacker
berdasarkan source address, destination address, source port
dan
destination port. Sedangkan file access log juga diteliti dan
dianalisa
sebagai penguat bukti tentang adanya serangan atau
penyusupan.
Berdasarkan proses investigasi yang telah dilakukan,
informasi
-
65
tentang sumber serangan dapat ditemukan. Hasil akhir dari
investigasi forensik ini dapat dilihat pada Tabel 4.3.
Tabel 4.3 Hasil Investigasi Forensik
No Time Source Desination Ket
IP Address Port IP Address Port
1
2
Thu Mar 27 2014
00:46
Thu Mar 27 2014
01:02
192.168.0.49
192.168.0.49
58463
59157
110.4.46.62
(telesensory.com)
103.26.128.84
80
80
SQLi
XSS
Tabel 4.3 menunjukkan hasil investigasi forensik yang
dilakukan berdasarkan bukti-bukti yang diambil pada file log
pada
IDS Snort dan file access log pada Squid. Serangan SQL
Injection
terjadi pada Thursday 27 Maret 2014 pada jam 00:46 dengan
profile
penyerang berasal dari IP address 192.168.0.49 menuju ke
alamat
110.4.46.62 (www.telesensory.com). Adapun serangan Cross
Site
Scripting (XSS) terjadi pada Thursday 27 Maret 2014 pada jam
01:02 dengan profile penyerang berasal dari IP address
192.168.0.49
menuju ke alamat 103.26.128.84.