Membangun IDS Menggunakan Portsentry

IDS dengan Portsentry

Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusion (penyusupan). Intrusion Detection System (IDS) mempunyai sistem kerja yang berbeda-beda yaitu signature based, anomaly based, passive IDS, reactive IDS. Kebanyakan produk IDS merupakan sistem yang bersifat pasif, hanya mendeteksi intrusion yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Beberapa vendor ada juga yang mengembangkan IDS bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti menutup beberapa port atau memblokir beberapa IP Address. Produk ini biasa disebut sebagai Intrusion Prevention System (IPS).

Skenario pengujian penyerangan dilakukan dengan target serangan adalah server IDS dengan portsentry dan client IDS sebagai berikut:

1. Komputer server IDS bertugas sebagai gateway antara network yang mempunyai dual ethernet yaitu eth1 dengan IP address 192.168.1.1 sebagai gateway yang mengarah ke internal network dan eth3 dengan IP address 192.168.10.1 sebagai gateway yang mengarah ke jaringan luar, menjalankan program portsentry di komputer server IDS untuk memulai sistem pendeteksi serangan port scanning dan sekaligus sebagai target port scanning.
2. Server IDS dengan portsentry sebagai target pertama port scanning dan komputer B sebagai target kedua port scanning .
3. Komputer A bertugas sebagai komputer penyerang yang bersiap menyerang server IDS dengan portsentry dan komputer B sebagai target serangan.
4. Komputer A menyerang server dan komputer B dengan tanpa ada sistem IDS yang melindungi internal network.
5. Komputer A menyerang server dan komputer B yang telah dilindungi oleh komputer server yang dipasang sistem IDS dengan portsentry sebagai gateway antar network.
6. Penyerangan terhadap target dengan menggunakan peralatan scanner port yang sering dipakai untuk melakukan scanning port pada target.
7. Penyerangan terhadap target dengan menggunakan peralatan penyerangan lain untuk melihat keunggulan dan kekurangan dari IDS dengan portsentry.

Dalam pengujian sistem, digunakan beberapa peralatan scanner port yang sering dipakai untuk melakukan scanning port pada target, dan menggunakan peralatan penyerangan lain seperti penyerangan tipe sniffer, spoffing IP dan Denial of Service. Peralatan yang umum digunakan adalah sebagai berikut :

1. IPscan adalah alat yang digunakan penyerang untuk melakukan scanning IP pada suatu jaringan. Dengan menggunakan IPscan, penyerang dapat mengetahui alamat IP dari komputer yang menjadi target serangan, port yang aktif pada komputer korban, dan nama komputer korban.
2. Nmap adalah alat yang digunakan untuk mengetahui service yang diberikan oleh suatu komputer melalui scanning port. Nmap banyak digunakan penyerang untuk mengetahui port-port komputer korban yang aktif, kemudian menggunakan port yang aktif untuk masuk ke sistem komputer korban.
3. LANspy adalah sebuah alat scanner jaringan yang berguna untuk mendapatkan informasi mengenai komputer-komputer yang koneksi dalam jaringan LAN, LANspy mampu mendeteksi port TCP dan UDP yang aktif.
4. Nessus adalah alat yang mirip dengan nmap, namun hasil scanning yang dilakukan nessus memberikan informasi yang lebih lengkap dari nmap. Informasi yang diberikan nessus seperti sistem operasi korban, port yang terbuka pada komputer korban, jarak dengan komputer korban.
5. SuperScan adalah sebuah program scanning port dengan menghubungkan pemindai port berbasis perangkat lunak yang dirancang untuk mendeteksi port TCP dan UDP pada komputer target, menentukan layanan yang berjalan pada port tersebut, dan menjalankan query seperti whois, ping, traceroute ICMP, dan hostname lookup.
6. Wireshark adalah sebuah aplikasi penyerangan dengan tipe sniffer. Wireshark mampu mendeteksi paket yang melintas tanpa melakukan tindakan yang mencurigakan. Wireshark adalah salah satu peralatan serang yang sulit untuk dideteksi oleh sebuah Intrusion Detection System (IDS).
7. A-Mac Address Change adalah sebuah alat penyerangan yang digunakan untuk mengetahui Mac Address target dan mampu melakukan port scan tanpa diketahui oleh IDS. A-mac Address Change adalah peralatan serang pada jaringan jenis spoffing IP, yaitu dengan memalsukan identitas penyerang agar bisa dikenali oleh target dan agar tidak dianggap sebagai tindakan penyerangan.
8. Ping of Death adalah sebuah penyerangan dengan mengirim paket sebesar mungkin secara terus menerus agar service-service atau kinerja sistem pada target mengalami (hang) atau berhenti bekerja seperti penyerangan jenis Denial of Service. Ping of Death biasa dilakukan dengan melakukan pengeriman paket ICMP sebesar mungkin dan secara terus menerus melalui comand promt.

Indikator keberhasilan dari pengujian penyerangan adalah portsentry memblokir dengan mereject koneksi dan memfilter IP host penyerang seperti pada gambar 2 ,sehingga host penyerang tidak bisa terkoneksi lagi seperti pada gambar 3. Informasi serangan juga dapat terlihat di layar monitor dalam bentuk pop up window yang keluar secara real time ketika terjadi serangan port scanning yang terdeteksi oleh portsentry seperti pada gambar di bawah ini.

Portsentry merupakan salah satu program aplikasi firewall, yang bisa melakukan pemblokiran terhadap user yang mencoba melakukan scanning port sistem atau mencoba melakukan aktivitas yang “tidak terpuji”, antara lain melakukan penyusupan melalui alamat port yang ada. Dengan adanya portsentry, semua alamat IP yang melakukan aktivitas yang dianggap “mencurigakan”, baik yang melalui port TCP maupun UDP akan segera diblokir. Sehingga semua user yang menggunakan alamat IP yang sama seperti warnet, perkantoran, dan anggota ISP, tidak akan bisa mengakses server kita lagi.