Adalah Kegiatan mendata semua aliran data, data yang masuk pada level aplikasi.
B. Analisis Laporan Hasil Kerja Firewall
Pada tahap pengujian sistem keamanan yang telah dibangun, di sini saya akan menjelaskan contoh mengenai hasil laporan pengujian PC Router sebagai Firewall (Iptables) menggunakan 2 aplikasi :
1. Nmap (Network Mapper)
Aplikasi ini digunakan untuk melakukan serangan DOS (Denial Of Service) yang berupa ICMP Flood yang bertujuan untuk membanjiri komputer target dengan paket data ICMP_ECHO_REQUEST berjumlah sangat banyak efeknya dapat menghabiskan resource (CPU Usage) pada komputer target.
Pengujian sistem keamanannya dilakukan dua kali percobaan ICMP Flood yang masing-masing dilakukan selama 20 detik terhadap webserver cloud dan periksa hasil data log sistem keamanan serta dampak yang dihasilkan pada web server, dalam hal ini CPU Usage web server cloud. Untuk dapat melakukan Hping3, ketikkan perintah di bawah ini pada terminal :
hping3-p 8o --flood--icmp 19.168.1.10Agar proses analisa data log dari setiap keadaan pengujian lebih efisien dan mudah dianalisa, maka untuk setiap pengujian file log akan dihapus kemudian dibuat kembali, serta log daemon serta sistem keamanan yang digunakan direstart. Efeknya agar setiap pengujian paket yang di-log oleh Iptables/Psad dapat berjumlah hingga ribuan paket sehingga dapat menyebabkan kesulitan dalam menganalisa data log dari setiap keadaan pengujian pada PC Router. Serta sampel log yang diambil adalah paket yang berada diurutan terakhir agar lebih efisien dalam menganalisa paket tersebut.
Paket yang di log merupakan paket yang memiliki prefix seperti berikut ini :
1. "INVALID PKT" artinya paket yang termasuk/memiliki prefix ini adalah paket yang tidak sesuai/invalid dengan state yang ada. Artinya tidak termasuk kedalam koneksi apapun yang berjalan/ada pada server.
2. "SPOOFED IP" paket yang memiliki prefix ini adalah paket yang berasal dari LAN 1 yang memiliki alamat sumber sama dengan alamat IP dari LAN 2.
3. "DROP PKT" paket yang memiliki prefix ini adaah paket yang tidak sesuai dengan rules yang ada pada firewall.
4. "ICMP FLOOD" paket yang memiliki prefix ini adalah paket yang terdeteksi sebagai paket DOS ICMP Flood.
a) Pengujian PC router Sebagai Firewall
Pada pengujian ini, fitur keamanan firewall yang digunnakan yaitu Iptables. Dimana firewall Iptables sudah terkonfigurasi dan fitur paket-paket apa saja kah yang diijinan masuk kedalam jaringan/web server dan mana yang tidak (rules and policy). Paket yang tidak sesuai dengan rules dengan rules/policy yang diterapkan akan di log dan data log tersebut akan dianalisis.
b) Pengujian Menggunakan Nmap
Digunakan Nmap TCP Connect Scan () untuk melakukan port scan/sweep terhadap web server cloud an melihat hasilnya apakah firewall berfungsi dengan baik. Berikut ini adalah tampilan dari Nmap ketika firewall diterapkan.
Tampilan diatas hasil bahwa Nmap telah melakukan Port Scan pada web server selama 17,48 detik dan layanan (service) yang ada pada web server cloud adalah untuk http (port 80), https (port 443) dan DNS (port 53). Akan tetapi yang dalam keadaan terbuka (open/tersedia pada web server tersebut) adalah layanan untuk http dan https (port 80 dan 443), sedangkan untuk layanan DNS (port 53), walaupun pada web server ada layanan untuk DNS tetapi web server tidak menyediakannya untuk client karena dalam keadaan tertutup (closed).
Berikut merupakan hasil data log Iptables terhadap port sccan yang dilakukan oleh Nmap.
Tampilan diatas merupakan sempel paket yang di-log oleh Iptables. Isi sampel paket tersebut berupa nilai-nilai yang ada pada TCP/IP header yang dimiliki oleh paket tersebut.
b) Pengujian menggunakan Hping3
Untuk melakukan serangan DOS digunakan tool hping3, tipe DOS yang dilakukan adalah ICMP Flood. Ketikkan perintah berikut pada terminal dan perhatikan hasilnya pada server dan data log sistem keamanan ketika firewall Iptables diterapkan
Keterangan tampilan diatas adalah bahwa selama 30 detik, hping3 mengirimkan paket ICMP_ECHO_REQUEST kepada web server sebanyak 4381686 paket dan paket tersebut 100% Loss. Ini karena hping3 dalam melakukan ICMP Flood hanya mengirimkan paket yang berisi ICMP_ECHO_REQUEST saja kepada web server tanpa menghiraukan balasan dari web server cloud tersebut (ICMP_ECHO_REPLY) atas permintaan attacker tersebut ditandai ada keterangan 0 pakets received. Berikut ini adalah hasil log dari Iptables terhadap ICMP Flood yang dilakukan :
Analisa ini didapat dengan cara melihat waktu log Iptables, bahwa rata-rata Iptables dalam 1 detik hanya dapat melakukan log paket berjumlah 2-4 paket, dan apabila dalam 30 detik maka Iptables maka Iptables hanya daat melakukan log paket rata-rata sekitar 60-80 paket. Sedangkkan hping3 selama 30 detik menghasilkan sebanyak 4381686 paket, dan apabila dihitung hping3 dalam 1 deik menghasilkan/mengirim sebanyak 146056 paket. Sehingga terjadi perbedaanyang begitu besar antara pihak yang hanya mengirimkan paket yaitu Attacker PC dengan pihak yang menerima paket yaitu PC Router. Akibatnya adalah perbedaan jumlah paket yang di log oleh Iptables dengan paket yang dihasilkan oleh hping3. Berikut ini merupakan pengaruh/damak yang terjadi pada CPU Usage web server cloud terhadap serangan ICMP Flood tersebut.
Pada gambar diatas berketerangan bahwa ketika ICMP Flood dilakukan terhadap web server private cloud, web server tidak terpengaruh terhadap serangan tersebut. Ini dibuktikan dengan CPU Usage web server yang bernilai 0-1%.
Ketika dilakukan serangan ICMP Flood kembali, jumlah paket yang di-log oleh Iptables bertambah dari yang sebelumnya berjumlah 64 paket menjadi 130 paket. Sehingga setiap pengujian menggunakan ICMP Flood pada web server, dalam 30 detik Iptables mampu melakukan log terhadap serangan tersebut sebanyak 60-80 paket.
Source : https://rega22.blogspot.com/2018/02/log-server-firewall.html
