Reduksi False Positive Pada Intrusion Prevention System dengan Bantuan Honeypot Analysis

1.1 Latar Belakang

Internet merupakan salah satu penemuan terbesar bagi peradaban manusia. Informasi-informasi di seluruh belahan dunia bisa didapatkan dengan mudah tanpa bergerak sama sekali dari tempat kita berada. Internet telah menjadi gudang sumber informasi yang terus berkembang seiring waktu. Fakta dan statistik memperlihatkan terjadinya sejumlah kecenderungan yang meningkat di dunia maya. Seperti misalnya: jumlah pengguna dan pelanggan yang semakin bertambah, terbentuknya komunitas-komunitas dunia maya, dan sebagainya. Dan pada akhirnya, karena semakin banyaknya orang yang memanfaatkan internet, mengakibatkan “nilai” atau “value” dari dunia maya menjadi meningkat. Akibatnya, semakin banyak pihak yang merasa berkepentingan dengan keberadaan internet. Dari yang hanya ingin sekedar menjadi penyedia jasa pertukaran informasi hingga para kriminal yang memanfaatkan dunia maya untuk tujuan yang tidak baik.

Sedikitnya terdapat isu-isu kejahatan internet yang sering muncul. Yaitu virus/worm/trojan, penetrasi sistem, serangan DoS/DDoS, insider abuse, Spoofing, sabotase jaringan, dan unauthorized access.

Teknologi firewall sebagai tembok penghalang dan policy dalam kejahatan internet dirasa tidak selalu efektif terhadap percobaan intrusi. Karena biasanya firewall dirancang untuk memblokir traffic di jaringan yang mencurigakan secara tegas. Begitu juga dengan prosedur untuk mengizinkan paket untuk lewat jika sesuai dengan policy dari firewall. Masalahnya adalah banyak program exploit konsentrasi serangannya memanfaatkan firewall yang mengizinkan protokol tertentu untuk menembus firewall. Sebagai contoh, percobaan attacker untuk melakukan penetrasi melalui port 23 (telnet). Tetapi policy dari firewall memblokir permintaan untuk port 23. Mungkin attacker tidak bisa melakukan telnet ke komputer target karena rule dari firewall yang ketat. Tetapi firewall ternyata mengizinkan request (permintaan) dari luar untuk port 80 (http). Dan attacker dapat memanfaatkan port 80 untuk eksploitasi http, dsb. Ketika webserver telah berhasil dikuasai, firewall dapat dikatakan sudah di-bypass dan tidak berguna lagi.

Perkembangan keamanan internet menemukan gagasan baru. Dikembangkanlah Intrusion Detection System (IDS) sebagai sistem pintar yang bekerja dengan cara memantau traffic jaringan, menangkap dan memeriksa setiap paket yang lewat dalam jaringan, hingga mendeteksi adanya kejanggalan dalam jaringan berdasarkan database signature IDS, mungkin karena traffic padat/down atau karena adanya serangan. Kemudian IDS akan membuat report yang dapat dengan mudah dimengerti oleh Network Administrator untuk kemudian dilakukan tindak lanjut atas kejadian yang dilaporkan oleh IDS. Tetapi IDS adalah sistem yang pasif. IDS hanya memantau jaringan tanpa melakukan troubleshooting terhadap masalah yang terjadi. IDS pun tidak dapat melakukan pencegahan terhadap kejadian yang pernah terjadi sebelumnya. Untuk itu dilakukan pengembangan dari IDS. Perkembangan lanjut dari IDS adalah IPS (Intrusion Prevention System). IPS diperkaya dengan kemampuan untuk melakukan pencegahan secara proaktif dalam jaringan terhadap gangguan yang sering atau pernah terjadi berdasarkan signature atau anomaly (statistik). IPS yang berbasis signature hanya akan melakukan pencegahan dan deteksi terhadap kejanggalan di jaringan jika sesuai dengan database signature IPS tersebut. Sedangkan IPS yang berbasis anomaly adalah IPS yang secara otomatis membuat keputusan untuk melakukan pencegahan dan deteksi. Hal ini mungkin bagus, tetapi pada implementasinya IPS yang berbasis anomaly sering menimbulkan false positive sehingga cukup mengganggu perhatian dari para Network Administrator.

Untuk menanggulanginya, IPS akan dikombinasikan dengan sistem yang dinamakan honeypot. Honeypot merupakan sistem buatan yang menyerupai sistem asli dan bertugas untuk menganalisis request (permintaan). Permintaan dari sumber yang terpercaya atau paket yang berisi informasi good request akan diizinkan untuk masuk ke zona trusted jaringan vital. Sedangkan paket yang berisi bad request akan di redirect ke sistem honeypot untuk dianalisa terlebih dahulu potensi dari request tersebut. Sehingga sampai tahap ini, belum saatnya IPS untuk mengeluarkan alarm yang mungkin saja bisa mengakibatkan false positive.

1.2 Perumusan Masalah

Rumusan masalah dari perancangan ini adalah:

  1. Bagaimana membangun IPS yang dikombinasikan dengan Honeypot untuk keamanan jaringan dengan topologi firewall dual-homed gateway. Yaitu topologi yang menggunakan dua interface network (network internal dan network external) yang melalui sebuah gateway.
  2. Bagaimana mengembangkan IPS proaktif dan pintar yang mendeteksi kejanggalan pada jaringan berbasis statistik (anomaly).
  3. 3. Bagaimana cara mengembangkan IPS yang bekerja sama dengan sistem Honeypot untuk menganalisa paket yang berisi bad request apakah berpotensi merusak atau tidak. Sistem terlebih dahulu melakukan analisis di honeypot sebelum meng-generate false positive alarm sehingga mengurangi kemungkinan false positive.
  4. 4. Bagaimana mensinkronisasikan hasil analisa dari honeypot untuk digunakan oleh IPS sebagai rule baru (menjadi blacklist atau whitelist pada IPS).

1.3 Tujuan dan Manfaat Penelitian

Tujuan yang ingin dicapai dalam penulisan seminar ini adalah membangun Intrusion Prevention System (IPS) yang bekerja secara proaktif melakukan pencegahan aktifitas intrusi terhadap jaringan vital dengan cara membaca statistik kejanggalan jaringan dan di binding dengan produk trapping system Honeypot untuk menganalisa paket dan membuat keputusan terhadap paket tersebut. Sehingga mengurangi timbulnya false positive dari IPS.

1.4 Batasan Masalah

Dalam penulisan seminar ini, terdapat beberapa batasan masalah. Diantaranya sebagai berikut:

  1. Intrusion Prevention System (IPS) yang akan dikembangkan adalah IPS berdasarkan statistik (anomaly) hasil analisis sistem honeypot.
  2. Fitur honeypot yang digunakan mencakup: Data Control, Data Capture, Data Analysis, Data Collection.
  3. Jenis IPS yang digunakan adalah Network-based Intrusion Prevention System (NIPS).
  4. Peran IPS lebih sebagai sistem verifikasi paket berdasar ruleset IPS. Untuk selanjutnya diputuskan paket yang baik akan diteruskan ke jaringan dan bad packet akan diredirect ke sistem honeypot untuk dianalisis.
  5. Untuk percobaan intrusi yang datang dari jaringan internal tidak akan di redirect ke sistem honeypot.
  6. Perancangan dan implementasi IPS dan Honeypot ini pada topologi jaringan firewall dual-homed gateway.

1.5 Metode Penelitian

Metodologi yang diterapkan dalam penulisan seminar ini antara lain:

  1. Eksplorasi dan Studi Literatur

Eksplorasi dan studi literatur yang dilakukan pada penulisan seminar ini adalah memahami bagaimana konsep-konsep dari sistem yang akan dibangun melalui literatur berupa buku-buku, jurnal serta situs internet.

  1. Analisis dan Perancangan Perangkat Lunak

Menganalisis dan merancang perangka lunak untuk mengetahui bagaimana struktur sistem yang akan dibuat, input/output dari sistem tersebut, dan teknik yang akan digunakan dalam penyelesaian masalah.

2.1 Intrusion Prevention System

Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software).

Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS).

  • Host-based Intrusion Prevention System (HIPS) adalah sama seperti halnya Host-based Intrusion Detection System (HIDS). Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada applikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusio pada webserver misalnya. Dari sisi security mungkin solusi HIPS bisa mencegah datangnya ancaman terhadap host. Tetapi dari sisi performance, harus diperhatikan apakah HIPS memberikan dampak negatif terhadap performance host. Karena menginstall dan binding HIPS pada sistem operasi mengakibatkan penggunaan resource komputer host menjadi semakin besar.
  • Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS).

Sistem kerja IPS yang populer yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan monitoring berkas-berkas pada sistem operasi host.

  • Sistematika IPS yang berbasis signature adalah dengan cara mencocokkan lalu lintas jaringan dengan signature database milik IPS yang berisi attacking rule atau cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama halnya dengan antivirus, IPS berbasis signature membutuhkan update terhadap signature database untuk metode-metode penyerangan terbaru. IPS berbasis signature juga melakukan pencegahan terhadap ancaman intrusi sesuai dengan signature database yang bersangkutan.
  • Sistematika IPS yang berbasis anomali adalah dengan cara melibatkan pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS. Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log yang belum semestinya dilaporkan. Sehingga tugas Network Administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
  • Teknik lain yang digunakan adalah dengan cara melakukan monitoring berkas-berkas sistem operasi pada host. IPS akan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini diimplementasikan dalam IPS jenis Host-based Intrusion Prevention System (HIDS).

Teknik yang digunakan IPS untuk mencegah serangan ada dua, yaitu sniping dan shunning.

  • Sniping: memungkinkan IPS untuk menterminasi serangan yang dicurigai melalui penggunaan paket TCP RST atau pesan ICMP Unreachable.
  • Shunning: memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.

2.2 Honeypot

Honeypot adalah sumber sistem informasi yang biasanya didesain bertujuan untuk mendeteksi, menjebak, dan dalam beberapa kasus menjadi counteract system pada usaha percobaan penetrasi ilegal ke suatu sistem. Umumnya honeypot terdiri dari komputer, data, dan segmen jaringan yang terlihat seperti bagian dari suatu jaringan utuh. Tapi ternyata segmen jaringan honeypot itu terisolasi. Untuk menambah daya tarik bagi penyerang, biasanya victim host pada honeypot dikonfigurasi sedemikian rupa sehingga menjadi sistem yang sangat vulnerable. Honeypot juga memiliki fitur monitoring untuk memantau aktivitas penyerang ketika masuk ke dalam sistem honeypot. Aktivitas yang bisa diketahui diantaranya port yang diserang, command yang diketik oleh penyerang, perubahan yang dilakukan penyerang di server palsu honeypot, dsb. Hal ini dapat dimanfaatkan oleh Network Administrator sebagai masukan untuk patch sistem asli, melakukan konfigurasi di segmen jaringan asli untuk dilakukan pencegahan dini, dan sebagainya. Honeypot dapat membawa risiko besar pada jaringan vital sehingga harus di perhatikan dengan baik. Jika honeypot tidak diisolasi dengan baik dan sempurna, penyerang dapat menggunakan honeypot untuk menyerang segmen vital dalam jaringan.

Dua atau lebih sistem honeypot membentuk honeynet. Umumnya, honeynet digunakan untuk monitoring dan trapping pada jaringan skala besar yang tidak memungkinkan lagi bagi sebuah honeynet untuk menanganinya.

Hal-hal yang terdapat pada honeypot:

  • Network Device Hardware

Untuk membangun suatu honeypot dibutuhkan dukungan perangkat keras (hardware). Terutama semua hardware yang membentuk suatu jaringan (network peripheral).

  • Monitoring & Logging Tools

Honeypot yang dibangun dapat memantau aktivitas penyerang.

  • Alerting Mechanism

Honeypot dapat meng-generate alert kepada Network Adminstrator jika dideteksi ada serangan terhadap sistem honeypot.

  • Key Stroke Logger

Honeypot dapat memberikan informasi tentang apa saja yang dilakukan penyerang. Termasuk ketikan-ketikan dari papan keyboardnya.

  • Packet Analyzer

Honeypot dapat menganalisa paket yang dikirim dari penyerang dan memberikan informasi ke sistem honeypot server

  • Forensic Tools

Honeypot dapat memberikan informasi tentang sistem forensik yang digunakan penyerang.

Sedangkan tujuan dari implementasi honeypot adalah sebagai berikut:

Pertama honeypot bertujuan untuk pendeteksian dini (early detection) jaringan terhadap ancaman dari luar. Karena honeypot merupakan sistem yang didesain sebagai sasaran empuk untuk target. Jadi jika ada aktivitas yang ganjil dalam sistem honeypot dapat dipastikan ada penyerang yang sebenarnya akan mulai menyerang sistem vital kita.

Tujuan kedua adalah sebagai sistem untuk mendapatkan informasi mengenai penyerang. Kita bisa mendeteksi dan menganalisa paket yang dikirim oleh penyerang. Dari mana asal paket, berasal dari port berapa, dsb. Honeypot juga memiliki fitur monitoring & logging sehingga kita bisa mengetahui aktivitas-aktivitas penyerang, seberapa usaha penyerang dalam menembus sistem, dan algoritma intrusi yang digunakan.

Ketiga, sebagai pendeteksian ancaman baru yang mungkin ditemukan oleh penyerang pada kelemahan sistem kita. Membaca pola-pola serangan yang baru dan menjadi masukan bagi Network Administrator kedepannya.

Keempat, sebagai “tumbal” untuk menyelamatkan sistem vital. Karena penyerang sebenarnya sedang memasuki sistem palsu yang didesain sedemikian rupa. Sehingga penyerangan langsung ke sistem asli dapat diminimalisir dan dialihkan ke sistem honeypot.

Selanjutnya, sebagai sistem untuk mengacaukan pola pikir penyerang. Penyerang diharapkan menjadi bingung dalam menghadapi pola sistem honeypot yang tidak sebenarnya.

Membangun pertahanan. Honeypot yang dibangun diharapkan akan memberikan pertahanan yang lebih baik karena setiap penyerang yang akan melakukan serangan ke sistem jaringan tidak akan langsung melakukan penyerangan ke sistem sesungguhnya. Dan dengan konfigurasi honeypot yang dikonfigurasi menjadi vulnerable diharapkan perhatian penyerang terkecoh dan terfokus ke sistem honeypot. Sehingga sistem yang dilindungi tetap berjalan sebagaimana mestinya. Jadi secara tidak langsung, honeypot juga berguna untuk mencegah proses hacking terhadap sistem vital.

Penempatan sistem honeypot jika dilihat dari sisi topologi:

ü  Penempatan secara langsung, honeypot dan zona internet secara langsung saling terhubung.

ü  Penempatan secara tidak langsung, honeypot berada di belakang firewall dan tepat sebelum masuk ke dalam jaringan internal.

ü  Penempatan honeypot pada area DMZ (Demiliterized Zone).

2.3 Kombinasi Intrusion Prevention System dan Honeypot

IPS (Intrusion Prevention System) berbasis anomali memiliki banyak keunggulan dibanding IPS signature-based. IPS anomaly-based melibatkan pola-pola lalulintas jaringan yang pernah terjadi sebagai state perbandingan. Jadi IPS membutuhkan statistik sebagai alat untuk membandingkan keadaan pada suatu jaringan suatu waktu dengan keadaan jaringan tersebut pada state normal. Dapat disimpulkan ruleset IPS anomaly-based akan lebih kaya daripada IPS signature-based karena ruleset bekerja dinamis dan pola-pola lalulintas dan serangan akan bertambah dengan sendirinya tanpa ketergantungan dari database signature. Akibatnya, pendeteksian terhadap pola serangan baru lebih efektif jika menggunakan IPS anomaly-based dibandingkan dengan IPS signature-based yang harus melakukan update terhadap database signature. Kelemahan IPS anomaly-based adalah peluang munculnya false positive IPS semakin besar. Karena ruleset yang bekerja secara dinamis. Sehingga dapat membuat rumit bagi Network Administrator ketika melakukan troubleshoot jaringan. Network Administrator terlebih dahulu harus mengklasifikasi mana yang merupakan false positive alarm IPS dan mana yang merupakan alarm IPS untuk intrusi sesungguhnya pada jaringan yang dikelola.

Untuk itu muncullah konsep untuk menyatukan IPS dengan sistem Honeypot. Pada dasarnya, kombinasi IPS dan Honeypot ini untuk melakukan verifikasi paket yang datang dari luar. Paket sebelumnya akan di bandingkan dengan ruleset IPS. Jika termasuk ke dalam ruleset (wellknown/goodlist) maka paket langsung diteruskan ke jaringan internal. Tapi jika tidak termasuk ke dalam ruleset (blacklist), paket akan di redirect ke sistem honeypot untuk dianalisa terlebih dahulu. Jika kemudian di dalam sistem virtual honeypot paket tidak mengandung script berbahaya dan tidak melakukan aktifitas yang destruktif maka akan dimasukkan ke ruleset baru IPS sebagai wellknown/goodlist untuk kemudian diizinkan ke jaringan internal. Tetapi jika paket tersebut mengandung malicious script maka paket ini akan dianggap sebagai threat baru. Kemudian alarm IPS akan segera ditampilkan.

Dengan konsep ini, kemungkinan false positive alarm IPS akan semakin diminimalisir karena paket yang tidak termasuk ruleset terlebih dahulu di analisis oleh sistem honeypot.

Cara kerja kombinasi IPS dan honeypot digambarkan sebagai berikut:

Sistematika

Sistematika

3.1 Alat dan Bahan Penelitian

Komputer yang digunakan dalam penulisan seminar ini adalah komputer yang dapat menjalankan sistem operasi berbasis *NIX. Dan memiliki 2 Network Interface Card (NIC) dengan ruleset untuk melakukan route paket menuju honeypot untuk dianalisa atau menuju jaringan asli.

Perangkat lunak yang digunakan adalah Snort yang telah dikonfigurasi untuk route traffic ke jaringan asli jika sesuai dengan rule pada IPS. Jika tidak sesuai dengan rule IPS, Snort akan route traffic menuju ke honeypot untuk dianalisa. SYN Proxy, Scrub, Defragment untuk audit dan modifikasi paket percobaan.

Bahan yang digunakan untuk percobaan implementasi pada penulisan seminar ini adalah paket dummy untuk percobaan penetrasi jaringan.

4 Daftar Pustaka

Trainor, Philip (2006). The Statue of Liberty: Combining Default Deny IPS and Active Honeypots. [Online]. [27 Oktober 2009]

SANS. (2006). Enhancing IDS Using Tiny Honeypot. [Online]. [27 Oktober 2009]

Richardus Eko Indrajit, Prof. Meneropong Isu Keamanan Internet. [Online]. [29 September 2009]

Abraham Nethanel Setiawan Junior, Agus Harianto, Alexander (2009). “Perancangan dan Implementasi Intrusion Detection System pada Jaringan Nirkabel BINUS University”. 23506011, 1-15

Posted in Internet, IT Operation, IT Security, Linux, Seminar | 5 Comments »

Leave a Comment

Enter this code

Please note: Comment moderation is enabled and may delay your comment. There is no need to resubmit your comment.