Log server
firewall
·
Pengertian
loglist server firewall
·
Analisis
laporan hasil kerja server firewall
1. Pengrtian Loglist Firewall
Loglist server firewall yaitu mendata
semua aliran data , data yang masuk pada level aplikasi di server .
2. Analisis Laporan Hasil Kerja Server
Firewall
Pada tahap
pengujian sistem keamanan yang telah dibangun, disini saya akan menjelaskan
mengenai hasil laporan pengujian PC Router sebagai Firewall menggunakan 2
aplikasi, yaitu :
1.
NMap
2.
Hping3
1. Nmap (Network Mapper)
Nmap
digunakan untuk melakukan port scan/port sweep yang bertujuan untuk
mengumpulkan informasi/reconnaissance terhadap komputer target yaitu layanan
apa saja yang disediakan oleh komputer target atau web server Private Cloud.
Pada
pengujian sistem keamanannya dilakukan dua kali percobaan (percobaan 1 dan 2)
yang masing-masing percobaan menggunakan fitur Nmap TCP Connect () Scan, yang
dimana scan ini mengirim paket TCP utuh (SYNSYN_ACK-ACK) pada komputer target
kemudian periksa hasil data log sistem keamanan terhadap scan tersebut. Untuk
dapat melakukan Nmap TCP Connect () Scan, ketikkan perintah berikut pada
terminal: Nmap –sT 192.168.10
2. Hping3
Hping3 digunakan untuk melakukan serangan DOS (Denial Of Service) yang berupa
ICMP Flood yang dimana bertujuan untuk membanjiri komputer target dengan paket
ICMP_ECHO_REQUEST yang berjumlah sangat banyak sehingga dapat menghabiskan
resource (CPU Usage) yang dimiliki komputer target.
Untuk pengujian sistem keamanannya dilakukan dua kali percobaan ICMP Flood yang
masing-masing dilakukan selama 30 detik terhadap webserver cloud dan periksa
hasil data log sistem keamanan serta dampak yang dihasilkan pada web server,
dalam hal ini CPU Usage web server cloud. Untuk dapat melakuan ICMP Flood
menggunakan Hping3, ketikkan perintah berikut pada terminal:
hping3 –p 80 --flood –-icmp 192.168.1.10
Agar proses analisa data log dari setiap keadaan pengujian lebih efisien dan
mudah dianalisa, maka untuk setiap pengujian file log akan dihapus kemudian
dibuat kembali, serta log daemon serta sistem keamanan yang digunakan
direstart. Ini agar dalam setiap pengujian paket yang di-log oleh Iptables/Psad
dapat berjumlah hingga ribuan paket sehingga dapat menyebabkan kesulitan dalam
menganalisa data log dari setiap keadaan pengujian pada PC Router. Serta sampel
log yang diambil adalah paket yang berada di urutan terakhir agar lebih
memudahkan serta efisien dalam menganalisa paket tersebut.
Paket yang di log merupakan paket
yang memiliki prefix sebagaimana berikut :
·
“INVALID PKT
“ Paket yang termasuk/memiliki prefix ini adalah paket yang tidak
sesuai/invalid dengan state yang ada. Artinya tidak termasuk kedalam koneksi
apapun yang berjalan/ada pada server.
·
“SPOOFED IP
“ Paket yang memiliki prefix ini adalah paket yang berasal dari LAN 1 yang
memiliki alamat sumber sama dengan alamat IP dari LAN 2.
·
“DROP PKT “
Paket yang memiliki prefix ini adalah paket yang tidak sesuai dengan rules yang
ada pada firewall.
·
“ICMP FLOOD
“ Paket yang memiliki prefix ini adalah paket yang terdeteksi sebagai paket DOS
ICMP Flood.
3.
Pengujian PC Router sebagai Firewall
Pada
pengujian PC Router sebagai Firewall, fitur keamanan firewall yang digunakan
yaitu Iptables. Dimana firewall Iptables sudah terkonfigurasi dan diatur
paket-paket apa saja kah yang diijinkan masuk kedalam jaringan/web server dan
mana yang tidak (rules and policy). Paket yang tidak sesuai dengan rules/policy
yang diterapkan akan di log dan data log tersebut akan dianalisis.
a.
Pengujian Menggunakan Nmap
Digunakan Nmap TCP Connect Scan () untuk melakukan
port scan/sweep terhadap web server cloud dan melihat hasilnya apakah firewall
berfungsi dengan baik. Berikut merupakan hasil tampilan dari Nmap ketika
firewall diterapkan.
Gambar 7.1
Pada
tampilan hasil scan Nmap pada gambar diatas (Gambar 7.1), didapatkan hasil
bahwa Nmap telah melakukan Port Scan pada web server selama 17,48 detik dan
layanan (service) yang ada pada web server cloud adalah untuk http (port 80),
https (port 443) dan DNS (port 53). Tetapi yang dalam keadaan terbuka
(open/tersedia pada web server tersebut) adalah layanan untuk http dan https
(port 80 dan 443), sedangkan untuk layanan DNS (port 53), walaupun pada web server
ada layanan untuk DNS tetapi web server tidak menyediakannya untuk client
karena dalam keadaan tertutup (closed).
Berikut
merupakan hasil data log Iptables terhadap port scan yang dilakukan oleh Nmap.
Gambar 7.2
Pada
tampilan Gambar 7.2 diatas, didapatkan hasil bahwa Iptables telah melakukan log
berjumlah 2006 paket yang dimana paket-paket tersebut berasal dari port scan
yang dilakukan oleh Nmap yang sebelumnya (Gambar 7.1). Paket tersebut di log
dan drop oleh Iptables karena tidak sesuai dengan rules dan policy yang
diterapkan pada firewall. Hasil analisa ini didapat dari Prefix paket yang
dilog tersebut yaitu “DROP PKT”, seperti yang digambarkan pada Gambar 7.2
diatas dan detil isi paket pada Gambar 7.3.
Gambar 7.3
Pada Gambar
7.3 diatas merupakan sampel paket yang di-log oleh Iptables. Isi sampel paket
tersebut berupa nilai-nilai yang ada pada TCP/IP header yang dimiliki oleh
paket tersebut. Untuk penjelasan detil mengenai sampel paket log Iptables
seperti yang digambarkan pada Gambar 7.3 akan dijelaskan di bagian lampiran.
Ketika
dilakukan scan nmap kembali kepada web server private cloud, paket yang di-log
oleh Iptables bertambah dari yang asalnya 2006 paket, menjadi 4012 paket.
Dengan kata lain, setiap nmap TCP Connect Scan Iptables dapat melakukan log
paket 1990-2020 paket.
b.
Pengujian menggunakan Hping3
Untuk
melakukan serangan DOS, digunakan tools hping3 yang dimana tipe DOS yang
dilakukan adalah ICMP Flood. Ketikkan perintah berikut pada terminal dan
perhatikan hasil nya pada server dan data log sistem keamanan ketika firewall
Iptables diterapkan
Gambar 7.4
Dari Gambar
7.4 diatas didapatkan hasil bahwa selama 30 detik, hping3 mengirimkan paket
ICMP_ECHO_REQUEST kepada web server sebanyak 4381686 paket dan paket tersebut
100% Loss. Ini karena hping3 dalam melakukan ICMP Flood, hanya mengirimkan
paket yang berisi ICMP_ECHO_REQUEST saja kepada web server tanpa menghiraukan
balasan dari web server cloud tersebut (ICMP_ECHO_REPLY) atas permintaan
Attacker tersebut. Ini didapatkan dari Gambar 7.4 tersebut yang dimana ada
keterangan 0 packets received. Berikut merupakan hasil log dari Iptables
terhadap ICMP Flood yang dilakukan.
Gambar 7.5
Pada gambar
4.6 tersebut, dijelaskan bahwa Iptables telah melakukan paket log pada ICMP
Flood tersebut sebanyak 64 paket. Yang dimana sebagian besar paket tersebut
memiliki log prefix “ICMP Flood”. Ini artinya Iptables telah mendeteksi suatu
serangan DOS berupa ICMP Flood dan kemudian paket ICMP tersebut di log dan drop
oleh Iptables. Pada Gambar 4.6 dan 4.5 didapatkan hasil bahwa hping3 telah
melakukan ICMP Flood dengan mengirimkan paket sebanyak 4381686 paket, tetapi
paket yang di-log oleh Iptables hanya berjumlah 64 paket. Terjadinya perbedaan
jumlah paket yang dikirim dan di-log oleh firewall ini karena keterbatasan
kemampuan seberapa cepat Iptables menghasilkan sebuah pesan log. Dengan kata
lain, karena Iptables menulis pesan log terlebih dahulu kepada sebuah Ring
Buffer di dalam kernel, sehingga apabila traffic rate yang terjadi sangat cepat
untuk menyebabkan penulisan ulang pesan yang ada pada Ring Buffer, sebelum
pesan yang lama ditulis pada file log yang digunakan (/var/log/hasil-log.log),
maka pesan tersebut akan hilang sebelum dikirim ke file log yang digunakan
karena tertimpa pesan log yang baru.
Analisa ini
didapat dengan cara melihat waktu log Iptables, bahwa rata-rata Iptables dalam
1 detik hanya dapat melakukan log paket sejumlah 2-4 paket, dan apabila dalam
30 detik maka Iptables hanya dapat melakukan log paket rata-rata sekitar
sebanyak 60-80 paket. Sedangkan hping3 selama 30 detik menghasilkan sebanyak
4381686 paket, dan apabila dihitung hping3 dalam 1 detik menghasilkan/mengirimkan
sebanyak 146056 paket. Sehingga terjadi perbedaan yang begitu besar antara
pihak yang hanya mengirimkan paket yaitu Attacker PC dengan pihak yang menerima
paket yaitu PC Router. Akibatnya adalah perbedaan jumlah paket yang di log oleh
Iptables dengan paket yang dihasilkan oleh hping3. Berikut merupakan
pengaruh/dampak yang terjadi pada CPU Usage web server private cloud terhadap
serangan ICMP Flood tersebut.
Gambar 7.6
Pada Gambar
7.6 diatas didapatkan bahwa ketika ICMP Flood dilakukan terhadap web server
private cloud, web server tidak terpengaruh terhadap serangan tersebut. Ini
dibuktikan dengan CPU Usage web server yang bernilai 0- 1%.
Ketika
dilakukan serangan ICMP Flood kembali, jumlah paket yang di-log oleh Iptables
bertambah dari yang sebelumnya berjumlah 64 paket menjadi 130 paket. Sehingga
setiap pengujian menggunakan ICMP Flood pada web server, dalam 30 detik
Iptables mampu melakukan log terhadap serangan tersebut sebanyak 60-80 paket.
Tidak ada komentar:
Posting Komentar