Analisis Kinerja Wireless Intrusion Detection System (WIDS)

terhadap Serangan Man in the Middle (MitM)

di Jaringan WLAN

Artikel Ilmiah

Diajukan kepada

Fakultas Teknologi Informasi

untuk Memperoleh Gelar Sarjana Komputer

Peneliti:

Glory Hibaltyd Yeieldin Pattiasina (672011245)

Indrastanti Ratna Widiasari, M.T.

Program Studi Teknik Informatika

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Salatiga

September 2016

i

ii

iii

iv

1

Analisis Kinerja Wireless Intrusion Detection System (WIDS)

terhadap Serangan Man in the Middle (MitM)

di Jaringan WLAN

1) Glory Hibaltyd Yeieldin Pattiasina, 2) Indrastanti Ratna Widiasari

Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana

Jl. Diponegoro 52-60, Salatiga 50711, Indonesia

Email: 1) 672011245@student.uksw.edu, 2) indrastanti@staff.uksw.edu

Abstract

Man in the middle attack (MitM) is an attack aims to obtain important data of victims, such as username

and password, MitM is the type of attack that occurs when someone hacked communication between

people or systems. therefore needed a system that can detect MitM or anomalies in the Wireless Local

Area network (WLAN). Analysis of Man in the middle attacks using Wireless Intrusion Detection System

(WIDS) conducted to determine the performance of WIDS to detect MitM attack. Based on the results

achieved, WIDS can detect a MitM attack well, but the performance of the detection of the attack depends

on the signal distance between the WIDS and attacker.

Keywords : Wireless Intrusion Detection System, Man in the middle, Wireless Local Area Network.

Abstrak

Serangan Man in the middle (MitM) merupakan serangan yang bertujuan mengambil data-data penting

dari korban, seperti username dan password, MitM adalah jenis serangan yang terjadi ketika seseorang

menyusup diantara komunikasi orang atau sistem. Untuk itu diperlukan sebuah sistem yang dapat

mendeteksi serangan MitM atau anomali yang terjadi di dalam jaringan Wireless Local Area Network

(WLAN). Analisis serangan MitM dengan menggunakan Wireless Intrusion Detection System (WIDS)

dilakukan untuk mengetahui kinerja WIDS dalam mendeteksi serangan MitM. Berdasarkan hasil yang

dicapai, sistem WIDS dapat mendeteksi adanya serangan MitM dengan baik, akan tetapi performa

pendeteksian serangan tergantung pada jarak sinyal antara WIDS dan penyerang.

Kata kunci : Wireless Intrusion Detection System, Man in the middle, Wireless Local Area Network.

1) Mahasiswa Fakultas Teknologi Informasi Program Studi Teknik Informatika, Universitas Kristen Satya Wacana

Salatiga. 2) Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga.

2

1. Pendahuluan

Perkembangan jaringan wireless yang begitu pesat membuatnya rentan terhadap serangan

di dalam jaringan Wireless Local Area Network (WLAN), salah satu ancamannya adalah adanya

serangan Man in the Middle (MitM). Konsep dasar dari serangan ini adalah penyerang berada

diantara dua komputer yang sedang berkomunikasi. Salah satu cara penyerang menjebak korban

adalah dengan menggunakan access point palsu (Fake access point), dengan menggunakan tipe

serangan Evil twin, yaitu penyerang mengkloning SSID ataupun MAC address dari access point

yang asli (legitimate). Korban dari serangan ini biasanya dapat dengan mudah tertipu dengan

adanya access point palsu tersebut.

Dari faktor diatas, maka diperlukan sebuah sistem yang dapat memantau dan mendeteksi

adanya intrusi pada suatu jaringan wireless, yaitu dengan membangun wireless intrusion

detection system (WIDS) untuk melakukan pemantauan pada jaringan.Tujuan utama dari WIDS

adalah memberikan alert, yang dapat memberikan peringatan apabila terdapat anomali di dalam

jaringan.

Pada penelitian ini dilakukan untuk menguji dan menganalisis kinerja Wireless intrusion

detection system terhadap serangan Man in the middle, dalam melakukan analisa kinerja WIDS

dilakukan dengan menggunakan dua skenario pendekatan yaitu wired dan wireless, yang di

dalamnya dilakukan analisa functionality test yang bertujuan untuk menganalisa kehandalan

akurasi WIDS dalam mendeteksi serangan yang terjadi. Pada analisa functionality test WIDS

dilakukan dengan menggunakan beberapa parameter pengujian yang berbeda dalam melakukan

analisa. Diharapkan dalam penelitian ini WIDS yang dibangun dapat mendeteksi adanya anomali

yang terjadi di dalam jaringan serta dengan melakukan analisis kinerja WIDS dapat diketahui

performa WIDS dalam mendeteksi adanya anomali di dalam jaringan WLAN.

2. Kajian Pustaka

Pada penelitian sebelumnya dilakukan sebuah penelitian tentang pecegahan serangan

man in the middle attack di jaringan wireless berdasarkan rogue access point, dengan

menggunakan metode two-way dynamic authentication technology (TDAT) dengan

menggunakan metode ini serangan MitM di dalam jaringan yang dapat menjebak pengguna

dapat diminimalisir dikarenakan metode ini menggunakan autentikasi dinamis dua arah yaitu

antara pengguna dan sistem[1]. Penelitian lainnya membahas tentang perbandingan kinerja

Intrusion Detection System (IDS) Snort-Wireless dan Genetic Programming (GP) berdasarkan

detektor intrusi dari data link layer dalam mendeteksi serangan dalam jaringan menggunakan

serangan deauthentication, namun dalam penelitian tersebut hanya menggunakan satu jenis

skenario penyerangan dalam membandingkan kemampuan IDS dan GP [2]. Maka dalam

penelitian ini dilakukan analisis kinerja WIDS terhadap serangan man in the middle (MitM) di

dalam jaringan WLAN dengan menggunakan variasi-variasi skenario dalam mengetahui kinerja

WIDS dalam mendeteksi serangan atau anomali di dalam jaringan.

Wireless Intrusion Detection System adalah sebuah sistem yang melakukan monitoring

kejadian-kejadian yang berlangsung di dalam jaringan dan melakukan analisis untuk mendeteksi

adanya intrusi atau anomali, ketika WIDS mendeteksi adanya intrusi atau anomali di dalam

jaringan maka WIDS akan memberikan alert atau peringatan [3], akan tetapi alert yang

3

dihasilkan oleh WIDS ataupun IDS bisa menghasilkan alert palsu/false alarm dikarenakan WIDS

juga mempunyai kelemahan dalam aspek false alarm yang dihasilkan oleh WIDS, false alarm

dibagi menjadi dua yaitu false positive dan false negative. False positive adalah peringantan yang

dihasilkan oleh WIDS dikarenakan adanya serangan yang terdeteksi dalam jaringan, tetapi

serangan tersebut bukanlah sebuah serangan melainkan paket normal yang melintas dalam

jaringan namun dianggap sebagai serangan oleh WIDS. False negative adalah ketika suatu

serangan terjadi dalam jaringan namun WIDS tidak menghasilkan peringatan apapun atas

serangan yang terjadi. WIDS tidak mendeteksi serangan tersebut karena tidak dikenali oleh

WIDS. Dalam mendeteksi serangan atau anomali dalam jaringan, WIDS memiliki tiga

pendekatan yaitu : 1). Signature Based Detection : mengamati aktivitas yang memiliki pola-pola

serangan yang telah diketahui dan sering terjadi di dalam jaringan; 2). Anomaly/Statistical

Detection : mengamati aktivitas lalu lintas yang sedang dipantau dengan lalu lintas trafik normal

yang biasa terjadi, keunggulan metode ini dibandingkan metode signature yakni metode ini

dapat mendeteksi bentuk serangan baru dan yang belum terdapat pada database metode

signature, kekurangan dari pendekatan ini adalah banyaknya peringatan false positive yang

dikirimkan oleh pengguna ketika suatu access point banyak menerima authentication dari

pengguna dan kinerja sistem bekerja dengan cepat, maka sistem akan melaporkannya sebagai

serangan [4] ;3). Integrity verification : metode ini bekerja dengan membuat checksum untuk

setiap berkas yang ada dalam sebuah sistem, dan dengan teratur melakukan perbandingan dengan

checksum dengan berkas yang asli untuk memastikan tidak adanya perubahan yang terjadi, jika

sebuah berkas berubah dengan tidak adanya otentikasi maka akan muncul alert atau peringatan

dari IDS [5].

Secara umum Intrusion Detection System diklasifikasikan dalam dua kategori, yaitu Host

Based Intrusion Detection (HIDS) dan Network Based Intrusion Detection (NIDS). Host Based

IDS terletak dalam suatu mesin dan memonitor mesin tertentu dalam masalah intrusi dan

melakukan evaluasi informasi yang ditemukan dari satu host atau beberapa host, HIDS juga bisa

digunakan untuk memverifikasi sebuah integritas file, sehingga apabila ada file yang telah

berubah akan diketahui. HIDS juga mempunyai kemampuan dalam memonitoring komponen

khusus dalam sebuah host, yang tidak aman apabila dimonitoring oleh NIDS, kekurangan dari

HIDS adalah HIDS tidak dapat memonitoring dan mendeteksi serangan yang terjadi di dalam

host yang tidak terinstall dalam HIDS [6].

Network Based IDS bertugas memonitor informasi trafik pada jaringan yang dilalui atau

yang dilewati host tertentu kemudian melakukan analisis aliran paket yang melewati suatu

jaringan, apabila terdapat anomali ataupun serangan man in the middle pada jaringan maka NIDS

akan memberikan peringatan [7]. NIDS juga dapat ditempatkan dilokasi yang strategis dalam

jaringan, seperti penempatan sensor NIDS yang berupa switch, router, atau host.

Serangan Man in the Middle (MitM) adalah serangan pihak ketiga yang berada ditengah

dua pihak yang sedang saling berkomunikasi, sehingga secara teknis penyerang dapat melihat,

megubah ataupun mengontrol pengiriman data yang dikirim [8].

4

Gambar 1. Alur Serangan Man in the Middle

Penyerang yang melakukan serangan MitM secara fisik tidak harus berada diantara dua

komputer korban yang sedang berkomunikasi seperti pada Gambar 1, tetapi rute perjalanan

antara komputer yang saling berkomunikasi yang akan selalu menjadi mesin penyerang, ada

beberapa tipe serangan MitM yaitu Sidejacking, Evil Twin, dan Sniffing.

3. Metode Penelitian

Metode penelitian yang digunakan dalam penelitian ini adalah metode PPDIOO

(Prepare, Plan, Design, Implement, Operate, Optimize) metode ini merupakan rekomendasi dari

CISCO untuk merancang suatu jaringan [9]. Metode ini terdiri dari enam tahap. Tahap-tahap dari

metode PPDIOO dijelaskan sebagai berikut.

Gambar 2. Metode PPDIOO

5

Pada tahap prepare dan plan merupakan tahap dimana rencana kerja dalam penelitian

disusun agar penelitian dapat berjalan dengan teratur dan baik, dimulai dari persiapan kebutuhan

jaringan, agar dapat melakukan analisis untuk proses penyerangan di dalam jaringan wireless

dengan menggunakan WIDS, dan untuk mendukung sistem WIDS agar berjalan dengan baik

maka dibutuhkan perangkat keras yang terdiri atas satu unit komputer, dua unit laptop, switch,

dua unit access point serta satu unit usb wireless. Adapun kebutuhan untuk perangkat lunak yang

digunakan dalam penelitian ini yaitu sistem operasi kali linux yang di-install pada tiap laptop dan

komputer, WIDS berbasis phyton pada komputer dan satu unit laptop yang bertindak sebagai

penyerang, Aircrack yang digunakan oleh penyerang untuk melakukan penyerangan dalam

jaringan, serta wireshark yang digunakan untuk melakukan proses capture data dan analisis

dalam jaringan.

Tahap Design merupakan tahap dimana dibuat suatu topologi jaringan wireless untuk

melakukan analisis terhadap serangan di dalam jaringan, serta melakukan konfigurasi yang

dilakukan pada masing-masing perangkat yang digunakan. Perancangan analisa kinerja dari

WIDS akan dilakukan dengan menggunakan functionality test dan response time.

Pada functionality test digunakan untuk menguji dan menganalisis kinerja WIDS dalam

mendeteksi serangan yang terjadi [10], dan untuk mengukur functionality test WIDS maka

digunakan dua pendekatan yaitu pendekatan wireless dan pendekatan wired [11], kemudian

dirancang skenario topologi untuk perancangan pengukuran functionality test WIDS dengan

menggunakan dua skenario pendekatan wireless dan wired.

Gambar 3. Topologi Skenario pertama dengan Pendekatan Wired

Pada Gambar 3 merupakan topologi skenario pertama jaringan wireless yang dibangun dalam

penelitian ini, dimana penyerang terkoneksi secara langsung dengan access point legal melalui

jaringan kabel sehingga sehingga penyerang mendapatkan koneksi internet langsung dari access

point yang legal, kemudian penyerang akan melakukan penyerangan evil twin yang akan

disebarkan melalui hotspot ilegal menggunakan wireless router.

6

Gambar 4. Topologi Skenario kedua dengan Pendekatan Wireless

Gambar 4 merupakan skenario kedua dalam penelitian ini, dimana penyerang terkoneksi secara

tidak langsung dengan access point legal, dalam skenario ini penyerang mendapat koneksi

jaringan internet melalui wireless dari access point yang legal, kemudian penyerang melakukan

penyerangan evil twin menggunakan fake access point yang disebarkan melalui hostpot ilegal

menggunakan usb wireless laptop.

Tahap selanjutnya digunakan pengujian false alarm positive pada WIDS untuk mengukur

performa WIDS yang telah dibangun, pada pengujian false alarm positive WIDS digunakan

skenario kepadatan trafik dan delay pada jaringan wireless. Kepadatan trafik dalam jaringan

dapat menyebabkan pendeteksian serangan akan lebih sulit dideteksi WIDS dan dapat

menyebabkan WIDS mengeluarkan false alarm. dikarenakan padatnya antrian paket dan beban

kerja access point yang tinggi dalam memproses paket yang keluar dan masuk. Dalam pengujian

ini dilakukan dengan skenario kepadatan trafik dan pemberian delay dengan cara melakukan

perpindahan jarak antara WIDS dan access point untuk menguji hubungan antara delay yang

diberikan dengan pengaruh false alarm positive yang dikeluarkan oleh WIDS

Gambar 5. Topologi Pengujian False Alarm

Gambar 5 merupakan topologi yang digunakan untuk melakukan pengujian false alarm

dalam jaringan WLAN yang telah dibuat, untuk mengukur false alarm, perlu diketahui kapan

serangan dimulai penyerang dan kapan WIDS mendeteksi serangan. Maka pada sisi penyerang

juga dijalankan WIDS untuk mengetahui kapan penyerang melakukan penyerangan, dikarenakan

7

WIDS yang dibangun menyimpan hasil capture file pcap, yang digunakan untuk melihat hasil

capture paket yang telah tersimpan.

Tahap Implement merupakan tahap dimana akan diterapkannya semua yang telah

direcanankan dan di design. Tahap ini merupakan tahapan dimana implementasi WIDS telah

diintegrasikan kedalam jaringan yang akan dianalisis. Tahapan Operate merupakan tahapan

pengoperasian, setelah implementasi perangkat dalam topologi jaringan yang telah dibuat,

langkah selanjutnya adalah proses pengoperasian dengan melakukan konfigurasi yang telah

dirancang dalam tahap proses design sebelumnya. Tahap Optimize merupakan tahap optimisasi

yang dilakukan dengan menganalisis kinerja WIDS di dalam jaringan yang telah dibuat apakah

sudah berjalan dengan baik.

4. Hasil dan Pembahasan

Pada analisa functionality test dilakukan pengujian dengan menggunakan tipe serangan

evil twin dengan cara mengkloning SSID atau nama akses point yang legitimate, kemudian

dalam melakukan analisa kinerja WIDS digunakan parameter MAC address yang sama dan

MAC address yang berbeda untuk menguji kinerja WIDS dalam mendeteksi serangan.

Berdasarkan Gambar 6 dapat diketahui SSID atau nama access point yang sama dengan MAC

address yang berbeda berhasil terdeteksi dengan baik oleh WIDS.

Gambar 6. Hasil Pendeteksian WIDS

Tabel 1. Pengujian Functionality Test

Parameter Fake Access

Point

Functionality test

Skenario 1 Skenario 2

MAC address sama - Tidak Terdeteksi

MAC address berbeda Terdeteksi Terdeteksi

8

Pada Tabel 1 dapat dilihat bahwa pada skenario satu dengan parameter fake access point

yang mempunyai MAC address yang berbeda dapat terdeteksi oleh WIDS, pada skenario dua

dengan parameter MAC yang berbeda dapat terdeteksi dengan baik oleh WIDS karena pada

skenario dua dapat dengan mudah penyerang mengganti MAC address menggunakan command

MAC changger yang sudah tersedia pada sistem operasi linux, sedangkan pada skenario satu

dengan parameter MAC address yang sama tidak dapat dilakukan pengujian dikarenakan

wireless router yang dipakai dalam pengujian ini secara default untuk pengaturan MAC address

tidak dapat diganti ataupun dikloning dikarenakan MAC address dari wireless router sudah

ditetapkan oleh Network Interface Card (NIC) dan sudah dimasukan ke dalam ROM hardware.

Pada skenario dua dengan parameter MAC address sama, WIDS tidak dapat mendeteksi

serangan yang terjadi, hal ini merupakan false alarm negative yang merupakan kelemahan dari

WIDS karena WIDS tidak dapat mendeteksi adanya serangan.

Berdasarkan hasil dari functionality test yang telah dilakukan, bahwa kinerja WIDS

dalam mendeteksi fake access point dengan parameter MAC address yang berbeda dapat

berjalan dengan baik, akan tetapi false alarm negative terjadi ketika pada pengujian dengan

menggunakan parameter MAC address sama WIDS tidak dapat mendeteksi adanya serangan.

Pada pengujian false alarm positive dilakukan dengan menggunakan skenario kepadatan

trafik request dari client dan delay dari sinyal yang berbeda, pengujian ini dilakukan untuk

mengetahui akurasi WIDS pada tiga kondisi trafik dan sinyal yang berbeda yaitu sinyal baik,

menengah, dan kurang. Berdasarkan Gambar 8 dapat dilihat hasil pendeteksian false alarm oleh

WIDS pada kekuatan sinyal baik (Good).

Gambar 7. Hasil Pendeteksian False Alarm WIDS

Pada pengujian false alarm positive dilakukan 10 kali pengulangan pengujian dengan tiga

kondisi trafik tersebut, hasil rata-rata pengujian dapat dilihat pada Tabel 5.

Tabel 5. Rata-rata False Alarm Positive dari 10 Percobaan

Parameter

Pengujian False Alarm

Rata-rata

False Alarm Positive

Sinyal Baik 9

Sinyal Menengah 6

Sinyal Kurang 2

persamaan yang digunakan untuk menghitung persentase false alarm positive sebagai berikut

[14] :

9

FPR = Jumlah persentase false positive rate frame association/authentication client yang

dianggap sebagai intrusi oleh sistem.

FP = Rata-rata False Positive

TN = True Negative

Gambar 8. Grafik False Positive terhadap Kekuatan Sinyal

Hasil Perhitungan persentase false positive berdasarkan nilai rata-rata percobaan

authentication/association yang dilakukan sebanyak 10 kali dengan parameter kekuatan sinyal

yang berbeda dan kepadatan trafik request ditunjukkan pada Tabel 5 dan untuk mengetahui

persentase perbandingan gambaran yang lebih jelas tentang pengujian false positive yang

dihasilkan dapat dilihat pada Gambar 8. Hasil yang didapatkan menunjukkan semakin besar

kekuatan sinyal atau semakin dekat jarak antara WIDS dengan fake access point maka semakin

besar false positive yang didapatkan, hal ini terjadi karena pendeknya jarak antara fake access

point dan WIDS yang menyebabkan jalur pengirim data dan penerima data menjadi pendek,

dengan jarak tempuh pengiriman data yang pendek maka ketika data dikirimkan secara serentak

oleh client, data yang dikirim akan masuk secara cepat dan menyebabkan beban kerja access

point yang tinggi dalam memproses data yang keluar dan masuk, hal ini dapat disalahartikan

oleh WIDS sebagai serangan dan menyebabkan WIDS mengeluarkan alert, akan tetapi ketika

jarak antara WIDS dan fake access point semakin jauh maka delay yang dihasilkan semakin

besar dan dapat mengakibatkan penurunan false positive, hal ini disebabkan karena jarak antara

WIDS dan fake access point yang jauh mengakibatkan jalur pengirim dan penerima menjadi

panjang, dengan jarak tempuh yang jauh maka dapat menyebabkan penerimaan data menjadi

lama, dengan adanya delay maka data yang masuk akan ditahan sementara waktu untuk

menunggu giliran masuk, karena adanya delay maka paket akan masuk secara perlahan dan

kinerja sistem dalam memonitor paket keluar dan masuk akan rendah, hal ini dapat

meminimalkan false alarm positive yang terdeteksi oleh WIDS.

5. Simpulan

Berdasarkan pembahasan dan hasil pengujian yang telah dilakukan tentang analisis

kinerja Wireless Intrusion Detection System (WIDS) terhadap serangan Man in the Middle

(MitM), maka dapat diambil kesimpulan dari penelitian ini adalah pada pengujian functionality

10

test untuk mengetahui kinerja WIDS menggunakan pendekatan wired mampu mendeteksi dan

memberikan peringatan dengan baik terhadap serangan atau anomali yang berupa access point

(AP) yang telah dikloning dengan menggunakan SSID dan MAC address yang sama dengan

akses point yang legal (legitimate access point), akan tetapi false alarm negative terjadi ketika

pada pengujian dengan menggunakan parameter MAC address sama, WIDS tidak dapat

mendeteksi adanya serangan.

Pada pengujian false alarm positive dengan menggunakan skenario kepadatan trafik dan

delay pada jaringan wireless, didapatkan hasil bahwa tingkat akurasi 90% pendeteksian false

positive pada WIDS mengalami kesalahan, sedangkan pada kondisi sinyal menengah WIDS

mengalami tingkat akurasi kesalahan sebesar 60%, namun pada sinyal yang kurang terjadi

penurunan tingkat kesalahan pendeteksian dimana WIDS hanya mengalami 20% kesalahan pada

pendeteksian false alarm positive. Akurasi pendeteksian false alarm positive pada WIDS

dipengaruhi oleh banyaknya trafik dan delay pada jaringan wireless, semakin banyak delay yang

terdapat antara WIDS dan access point maka semakin kecil akurasi kesalahan pendeteksian oleh

WIDS.

6. Daftar Pustaka

[1] Wu, Zendong., Cai Mengru., 2014, An Approach for Prevention of MitM Attack Based

on Rogue AP in Wireless Network. Sensors&Transducers.Vol.183,No.13,

http://www.sensorsportal.com/HT ML/DIGE ST/december_2014/Vol_ 183/P_2558.pdf,

diakses 25 Oktober 2015.

[2] Makanju, A., Patrick LaRoche, A., & Zincir-Heywood, N, A Comparison Between

Signature and GP-Based IDSs for Link Layer Attacks on WiFi Networks Proc, 2007, IEEE

Symposium of Computational, Honolulu: IEEE. 2007, hal 213-219.

[3] Kurose F. James., Ross W. Keith., 2008, Computer Networking a Top- Down

Approach.

[4] Satria A., 2011, Pengembangan Perangkat Wireless IDS Berbasis Embedded System

(Studi Kasus : Badan Narotika National).

[5] Andrew R. Baker, Caswell, Mike Poor., 2004, Snort 2.1 Intrusion Detection Second

Edition.

[6] Rebecca B., Peter M., 2001, Intrusion Detection System, NIST Special Publication.

[7] Ricky M. Magalhaes., 2003, Host-Based IDS vs Network-Based IDS (Part1).

[8] Zee Eichel, 2013, Attacking Side with Backtrack Versi 2.

[9] Cisco System Inc. 2010, Creating Business Value And Operational Excellence

With The Cisco Systems Lifecycle Services Approach.

11

[10] Ruef M., 2014, Functionality testing a IDS/IPS,

https://www.scip.ch/en/?labs.20140703.

[11] Lanier, Watkins,. Reeham Beyah, & Cherita Corbett, A Passive Approach to Rogue

Access Point Detection, USA : IEEE. 2007.

[12] V. Moraveji Hashemi, Z. Muda and W. Yassin.,2013, Improving Intrusion

Detection Using Genetic Algorithm.