implementasi intrusion detection system untuk
TRANSCRIPT
i
IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK
FILTERING PAKET DATA
(Studi Kasus : Yayasan Pembinaan Pendidikan Nusantara)
Oleh :
Muhammad Satria Nugraha
205091000064
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGRI
SYARIF HIDAYATULLAH
JAKARTA
2010
ii
PENGESAHAN UJIAN
Skripsi yang berjudul “Implementasi Intrusion Detection System Untuk Filtering
Paket Data (Studi Kasus : Yayasan Pembinaan Pendidikan Nusantara)” telah diuji
dan dinyatakan lulus dalam Sidang Munaqosah Fakultas Sains dan Teknologi,
Universitas Islam Negeri Syarif Hidayatullah Jakarta, pada hari Selasa tanggal 3
Agustus 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk
memperoleh gelar Sarjana Komputer pada Program Teknik Informatika
Jakarta, 3 Agustus 2010
Tim Penguji,
Tim Pembimbing,
Mengetahui,
Penguji I
Husni Teja Sukmana, Ph.dNIP. 1977 1030 200112 1 003
Pembimbing II
Wahyudi, S.Si, MTNIP. 19760904 200910 1 001
Pembimbing I
Arini, MTNIP. 19760131 200910 2 001
Penguji II
Victor Amrizal, M.KomNIP. 150 411 288
DekanFakultas Sains Dan Teknologi
DR. Syopiansyah Jaya Putra, M.SisNIP. 19680117 200112 1 001
Ketua Program StudiTeknik Informatika
Yusuf Durrachman M.Sc, MIT NIP. 19710522 200604 1 002
iii
ABSTRAKSI
Muhammad Satria Nugraha, Implementasi Intrusion Detection System Untuk Filtering Paket Data (Studi Kasus : Yayasan Pembinaan Pendidikan Nusantara).Dibawah bimbingan Arini MT dan Wahyudi, Ssi, MT.
Gangguan keamanan dapat dibagi menjadi dua kategori, gangguan internal dan gangguan eksternal. Gangguan internal terjadi dari pihak yang sudah mengetahui kondisi jaringan, dan gangguan eksternal terjadi dari pihak yang sengaja ingin menjatuhkan dinding keamanan. Gangguan keamaan yang terjadi pada tempat yang menjadi studi kasus ini terjadi dari pihak internal yang ingin menjatuhkan sistem kerja jaringan dan ingin mencoba ketahanan dari keamanan jaringan yang ada pada tempat tersebut. Dengan menggunakan IDS (Intrusion Detection System) hal tersebut dapat diatasi dengan cara mengenali setiap pola serangan yang dilakukan oleh intruder. Untuk mendeteksi setiap gejala serangantersebut, sistem menggunakan pola pengenalan terhadap source yang didapat dari pihak yang dianggap sebagai ancaman dalam sistem jaringan komputer. Metode pengembangan sistem yang digunakan dalam penelitian ini adalah Network Development Life Cycle. Penulis menggunakan Snort, Barnyard, dan BASE yangdiimplementasikan pada mesin sensor berbasis Open Source. Keseluruhan sistem dibangun dalam simulasi WAN yang merepresentasikan sistem produksi. Hasil penelitian skripsi ini menyimpulkan bahwa setiap tindakan yang dilakukan oleh penyerang terhadap jaringan dapat diketahui oleh mesin sensor, sehingga dapat dilakukan pencegahan sebelum terjadi kerusakan data yang lebih luas.
Kata Kunci : Intrusion Detection System, Snort, BASE
iv
KATA PENGANTAR
Alhamdulillah, segala puja dan puji syukur saya panjatkan kehadirat Allah
SWT, atas segala rahmat dan hidayahnya, shalawat serta salam kepadaNya
sehingga saya dapat menyelesaikan skripsi ini sesuai dengan apa yang saya
harapkan. skripsi ini disusun sebagai suatu syarat untuk mencapai tahap kelulusan
dalam proses perkuliahan, mudah-mudahan menjadi karya yang spektakuler.
Skripsi ini disusun untuk memenuhi sebagian syarat yang ditetapkan
dalam rangka mengakhiri studi pada jenjang Strata Satu (S1) Fakultas Sains dan
Teknologi UIN Syarif Hidayatullah Jakarta.
Dengan selesainya penyusunan skripsi ini, saya tidak lupa menyampaikan
terima kasih yang sebesar-besarnya kepada pihak-pihak yang telah mendukung
dalam penyusunan skripsi saya ini, antara lain kepada :
1. Orang tua saya, yang telah membesarkan saya dan mendoakan serta
memberikan dukungan yang sangat besar terhadap saya, sehingga
tersusunnya skripsi yang menjadi persyaratan mencapai suatu kelulusan.
2. Prof. Dr. Komaruddin Hidayat, MA, selaku Rektor Universitas Islam Negeri
(UIN) Jakarta.
3. Dr. Ir Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sains dan
Teknologi.
4. Arini, MT selaku dosen pembimbing I yang telah memberikan masukan,
semangat, dan bimbingan dengan kesabaran dan ketabahannya.
v
5. Wahyudi, M.Si, MT, selaku dosen pembimbing II yang telah memberikan
masukan dalam proses penyusunan skripsi saya dengan sabar dan penuh
keikhlasan.
6. Seluruh dosen yang berada di Fakultas Sains dan Teknologi khususnya
jurusan teknik informatika yang memiliki peran yang sangat besar bagi saya
dalam proses perkuliahan.
7. Seluruh staf akademik Fakultas Sains dan Teknologi yang telah bekerja
dengan baik melayani para mahasiswa, semoga amalnya diterima Allah SWT.
8. Teman spesialku Fitria Dewi, yang sudah menemaniku dalam suka dan duka
dalam merintis dikehidupan yang semu ini, dan terus memberikan semangat,
bantuan, dan kesetiaan dalam menyelesaikan skripsi saya.
9. Raihan Achyar Rusdiansyah S.Kom, Husin, dan Reza Andi Pradana, yang
telah memberikan semangat dan dukungan kepada saya hingga selesainya
skripsi saya, “Moga kita semua bisa menjadi penyemangat satu sama
lainnya”.
10. Kawan-kawanku di TI.A maupun TI.B, yang sudah menjadi
pendorong/motivasi semangat saya, dalam menyelesaikan skripsi ini.
11. Pihak-pihak lain, yang saya tidak dapat sebutkan namanya satu persatu.
Thanks All.
Saya menyadari sekali bahwa dalam penulisan skripsi ini masih jauh dari
kesempurnaan. Dengan segala kerendahan hati saya mohon maaf dan berharap
skripsi ini dapat berguna dan bermanfaat bagi semua. Dan saya berharap skripsi
yang saya susun ini menjadi suatu karya yang baik serta menjadi suatu
vi
persembahan terbaik bagi para dosen-dosen dan teman-teman yang berada di
Fakultas Sains dan Teknologi.
Demikianlah kata pengantar dari saya dan sebagai suatu introspeksi diri,
saya mohon maaf atas kekurangan dan kesalahannya. Dan kekurangan hanya
terdapat pada diri saya, karena kebenaran sejati hanya milik Allah SWT saya
ucapkan terima kasih.
Jakarta, 23 juli 2010
(Muhammad Satria Nugraha)
vii
DAFTAR ISI
Cover .........................................................................................................
Lembar Pengesahan ............…………………………………………….
Abstrak …………………………………………………………………..
Kata Pengantar ……………………………………………...…………..
Daftar Isi …………………………………………………………………
Daftar Tabel ………………………………………………………….….
Daftar Gambar ………………………………………………………..…
i
ii
iii
iv
vii
xi
xii
BAB I PENDAHULUAN ……………...………….…......................
1.1 Latar Belakang …………………...………..…………….
1.2 Rumusan Masalah ……………………...………..………
1.3 Batasan Masalah ………………………………………...
1.4 Tujuan dan Manfaat Penelitian ………...…......................
1.4.1 Tujuan Penelitian ………..………...………………...
1.4.2 Manfaat Penelitian ……………………………….....
1.5 Metodologi Penelitian …………………………………...
1.5.1 Metode Pengumpulan Data ………..…………..…….
1.5.2 Metode Pengembangan Sistem …………………......
1.6 Sistematika Penulisan …………………………………...
1
1
2
3
3
3
4
4
4
5
5
BAB II LANDASAN TEORI ...………………………......…………
2.1 Penerapan ...…………………...…..…...……………...…
2.2 Intrusion Detection System (IDS) ……………………….
2.2.1 Fungsi IDS (Intrusion Detection System) …............
2.2.2 Peran IDS (Intrusion Detection System) ……..…....
2.2.3 Tipe IDS (Intrusion Detection System) ……………
2.2.4 Keuntungan dan Kekurangan IDS ………………...
7
7
7
8
9
10
14
viii
2.3 Konsep dan Arsitektur Protokol .…………………….
2.3.1 TCP/IP (Transfer Control Protokol / Internet
Protocol) …..............................................................
2.3.1.1 TCP (Transmission Control Protocol) ……
2.3.1.2 UDP (User Datagram Protocol) ………….
2.4 Konsep dan Arsitektur Jaringan ……………………….
2.4.1 LAN (Local Area Network) ……………………….
2.4.1.1 Konsep LAN ………………………………
2.4.1.2 Perangkat LAN ……………………………
2.4.1.3 Arsitektur LAN ……………………………
2.4.2 WAN (Wide Area Network) ……………………….
2.4.2.1 Konsep WAN (Wide Area Network) ……...
2.4.2.2 Perangkat WAN (Wide Area Network) ……
2.4.2.3 Teknologi WAN (Wide Area Network) …...
2.4.3 Gateway …………………………………………...
2.5 Packet Filtering ………………………………………...….
2.5.1 Keuntungan Packet filter ………………........……...
2.5.2 Dasar Packet Filtering …………………………….
2.5.3 Packet Filter Dinamis ……………………………..
2.5.4 Protocol Checking ………………………………...
2.6 Wireless ………………………………………………...….
2.6.1 Sistem Pengamanan Pada Jaringan Wireless
LAN ……………………………………………….
2.6.2 Pengamanan Berbasis WEP Key ………………….
2.7 Perangkat Keras dan Perangkat Lunak ..………...…..
2.7.1 Router Wireless …............……….……….……..
2.7.2 Wireshark atau Ethereal …………………………
2.7.3 Auditor Security Collection ………….………..…
2.7.4 VM Ware …………………………………..…….
2.7.5 Digital Blaster …………………………………....
2.7.6 Snort ……………………….…………………….
15
16
18
20
21
23
23
23
24
25
25
26
27
29
30
31
31
32
33
33
35
36
37
37
39
40
41
43
44
ix
2.7.7 BASE (Basic Analysis and Security Engine) ……
2.7.8 Yersinia ……………..……………………………
2.7.9 MRTG (Multi Router Traffic Grapher) ……….....
2.7.10 IPTables ………………………………………….
2.8 Metode Pengumpulan Data ...........................................
2.8.1. Interview (wawancara) ............................................
2.8.2 Kuesioner (Angket) ...................................................
2.8.3 Observasi (Pengamatan) ..........................................
2.8.4 Studi Literatur ..........................................................
2.8.5 Studi Pustaka ………………………………………
2.9 Metode Pengembangan Sistem .......................................
2.9.1 Analisis .....................................................................
2.9.2 Perancangan ..............................................................
2.9.3 Simulasi Prototyping ................................................
2.9.4 Implementasi .............................................................
2.9.5 Monitoring ................................................................
2.9.6 Manajemen ................................................................
45
46
46
47
47
48
49
49
49
50
50
51
51
52
52
52
53
BAB III METODOLOGI PENELITIAN ............................................
3.1 Metodologi Pengumpulan Data …………………...….....
3.1.1 Studi Pustaka …………………….……………...
3.1.2 Observasi ……………………………………
3.1.3 Studi Literatur …………………………………..
3.2 Metode Pengembangan Sistem ………………………..
54
54
54
54
55
57
BAB 1V HASIL DAN PEMBAHASAN ...............................................
4.1 Analisis …………………………………………...….….
4.1.1 Identifikasi ………………………………………...
4.1.2 Understand ………………………………………...
4.1.3 Analyze …………………………………………….
4.1.4 Report ……………………………………………...
62
62
62
63
64
64
x
4.2 Design (Perancangan) …………………………...….….
4.2.1 Perancangan Topologi Jaringan …………………..
4.2.2 Perancangan Sistem ……………………………….
4.3 Simulation Prototyping …………………………………
4.4 Implementasi ……………………………………………
4.4.1 Implementasi Topologi Jaringan ………………….
4.4.1.1 Konfigurasi Router ………………………..
4.4.1.2 Pemasangan Hub/Switch ………………….
4.4.2 Implementasi IDS (Intrusion Detection System) ….
4.4.3 Snort ……………………...………………………..
4.4.4 Barnyard ………………………...…………………
4.4.5 BASE (Basic Analysis Security Engine) ….……….
4.5 Monitoring ……………………………………………...
4.5.1 Pengujian Sistem IDS (Intrusion Detection
System) …………………………………………….
4.5.1.1 Pengujian IDS dengan Serangan Bandwidth
Flooding …………………………………...
4.5.1.2 PING Attack (ICMP Traffic) ………………
4.5.1.3 Pengujian IDS dengan Serangan DOS Attack
(Denial Of Services) ……………………….
4.5.2 Analisis Data Menggunakan BASE .........................
4.5.3 Pencegahan terhadap Serangan menggunakan
IPTables dan MAC Filtering ....……….........……...
4.5.4 Keuntungan dan Hasil Menggunakan IDS (Intrusion
Detection System) …………………………………
4.6 Manajemen ……………..........………………………….
65
65
67
68
70
70
71
74
75
75
78
78
81
81
81
86
89
96
98
106
106
BAB V KESIMPULAN DAN SARAN ...............................................
5.1 Kesimpulan …………………...……………………..….
5.2 Saran …………………………………………………….
107
107
108
xi
DAFTAR PUSTAKA ................................................................................
LAMPIRAN
109
xii
DAFTAR TABEL
Tabel 2.1 Topologi jaringan 8Tabel 2.2 Rincian Topologi Fisik 25Tabel 4.1 Rincian IP Topologi Fisik 67
xiii
DAFTAR GAMBAR
Gambar 2.1 Layer TCP/IP 18
Gambar 2.2 Siklus NDLC (Network Development Life Cycle) 51
Gambar 3.1 Diagram Alur Penelitian 61
Gambar 4.1 Topologi Jaringan 65
Gambar 4.2 Sistem Operasi Auditor Security Collection Pada VM-Ware 69
Gambar 4.3 Tampilan Mesin Sensor Menggunakan Ubuntu 9.10 70
Gambar 4.4 Konfigurasi Internet Protokol Pada Router 72
Gambar 4.5 Konfigurasi Basic Setting Physical Wireless 73
Gambar 4.6 Konfigurasi Wireless Security 73
Gambar 4.7 Ping Client ke Router 74
Gambar 4.8 Proses Instalasi Snort 76
Gambar 4.9 Halaman Utama Instalasi BASE 80
Gambar 4.10 Halaman Database Setup BASE 80
Gambar 4.11 Halaman Konfirmasi Status Instalasi Database BASE 80
Gambar 4.12 Flooding Komputer Client 82
Gambar 4.13 Hasil Capture Pada Wireshark 83
Gambar 4.14 Hasil Konfersi Paket Data Pada Wireshark 83
Gambar 4.15 Capture pada Mesin Sensor IDS Mencatat File yang
Berukuran Besar 84
Gambar 4.16 Ping dari Client kedalam Mesin Sensor 86
Gambar 4.17 Hasil Dump Ping Traffic Client ke Sensor 87
Gambar 4.18 Hasin Capture Snort dengan Modus Sniffing 87
Gambar 4.19 Hasil Caputre pada Mesin Sensor 89
Gambar 4.20 Auditor Security Collection 91
Gambar 4.21 Proses Penyerangan Dengan Yersinia 92
Gambar 4.22 Proses Monitoring Serangan 92
Gambar 4.23 Konversi Paket Data 1 93
Gambar 4.24 Konversi Paket Data 2 93
Gambar 4.25 Display Statistik Pada Server Setelah Serangan 95
xiv
Gambar 4.26 Halaman Utama BASE 96
Gambar 4.27
Gambar 4.28
Gambar 4.29
Gambar 4.30
Gambar 4.31
Gambar 4.32
Gambar 4.33
Gambar 4.34
Diagram Batang Source IP dan Jumlah Alert
Tampilan Daftar Alert Pada Traffic Profile By Protocol
Data Yang Diperoleh dari Komputer Penyusup
Berdasarkan Model Sniffing
Data Yang Diperoleh dari Komputer Penyusup dengan
TCPDump
Traffic Serangan Yang Ditangkap Pada Firewall Dengan
MRTG (Multi Router Traffic Grapher)
Blok Target Dengan IPTables
Pemilihan Alamat MAC Peyerang
Alamat MAC Peyerang Yang Sudah Terdaftar Dalam
MAC Filtering
97
98
99
99
100
101
102
102
Gambar 4.35 Sensor Snort Berhenti Mendeteksi Setelah Serangan
Berhasil di Blok Dengan IPTables 103
Gambar 4.36
Gambar 4.37
Gambar 4.38
Gambar 4.39
Grafik Pengiriman Serangan Dari Penyerang Setelah
Dilakukan Pemblokiran Dengan IPTables
Grafik Pemenerima Data Serangan Pada Firewall Setelah
Diblok Dengan IPTables
Grafik Pemenerima Data Serangan Pada Firewall Setelah
Diblok Dengan IPTables
Grafik Pemenerima Data Serangan Pada Sensor IDS
Setelah Diblok Dengan IPTables
104
104
105
105
1
BAB 1
PENDAHULUAN
1.1 Latar Belakang
Gangguan pada dasarnya dapat dibagi menjadi dua bagian, pertama
adalah gangguan internal dan kedua adalah gangguan eksternal. Gangguan
internal merupakan gangguan yang berasal dari lingkup dalam jaringan
infrastruktur tersebut, dalam hal ini adalah pihak-pihak yang telah
mengetahui kondisi keamanan dan kelemahan dari jaringan tersebut.
Gangguan eksternal adalah gangguan yang berasal dari pihak luar yang ingin
mencoba atau dengan sengaja ingin membobol dinding keamanan yang ada.
Pada yayasan yang menjadi tempat studi kasus penulis, terdapat
gangguan keamanan yang terjadi dari pihak internal yaitu seorang pengguna
yang ingin menjatuhkannya kinerja dari jaringan dan melakukan pengujian
ketahanan terhadap sistem keamanan yang terdapat pada tempat penelitian
penulis. Penulis melakukan pemantauan terhadap jaringan menemukan
adanya tingkat lalu-lintas yang cukup tinggi. Proses tersebut terjadi melalui
koneksi jaringan wireless yang disediakan oleh pihak yayasan yang berhasil
diakses oleh pihak yang ingin melakukan pengerusakan.
Sistem untuk mendeteksi gangguan dari segi-segi yang telah dipaparkan
diatas memang telah banyak dibuat, tetapi sistem yang mampu melakukan
pendeteksian seperti halnya manusia sangatlah jarang, dalam hal ini mampu
melakukan analisa serta mempelajari kondisi yang ada. Keamanan jaringan
2
bergantung pada kecepatan pengaturan jaringan dalam menindaklanjuti
sistem saat terjadi gangguan. Salah satu komponen dari jaringan komputer
yang perlu dikelola dengan menggunakan manajemen jaringan adalah
Intrusion Detection System (IDS). Penerapan IDS diusulkan sebagai salah
satu solusi yang dapat digunakan untuk membantu pengaturan jaringan untuk
memantau kondisi jaringan dan menganalisa paket-paket berbahaya yang
terdapat dalam jaringan tersebut.
IDS diterapkan karena mampu medeteksi paket-paket berbahaya pada
jaringan dan langsung memberikan peringatan kepada pengatur jaringan
tentang kondisi jaringannya saat itu. Sudah terdapat banyak software IDS
seperti Snort yang merupakan open source IDS yang juga digunakan dalam
penelitian khususnya untuk filtering paket data. Namun belum terdapat sistem
antar muka yang membantu para pengguna dalam mengatur sistem sehingga
penerapan IDS ini masih sulit dilakukan. Oleh karena itu pada YAYASAN
PEMBINAAN PENDIDIKAN NUSANTARA diusulkan untuk membuat
sistem IDS lengkap dengan tampilan antar muka berbasiskan web dengan
beberapa fitur tambahan yang diharapkan dapat membantu administrator
dalam memonitor kondisi jaringannya serta meningkatkan mutu jaringan
tersebut.
1.2 Rumusan Masalah
1. Bagaimana cara IDS mendeteksi setiap gangguan yang terjadi didalam
sistem jaringan?
3
2. Bagaimana cara mengatasi serangan dari para intruder dengan melihat
source yang diperoleh dari penyusup ?
3. Bagaimana keuntungan atau hasil dengan menerapkan IDS?
1.3 Batasan Masalah
Dalam penulisan skripsi ini penulis hanya membatasi permasalahan pada:
1. Melakukan proses monitoring terhadap jaringan atas serangan yang terjadi
pada jaringan wireless.
2. Tools yang digunakan untuk melakukan monitoring antara lain Snort,
BASE, dan Wireshark.
3. Aplikasi untuk melakukan proses penyerangan yang digunakan dalam
penulisan skripsi ini adalah Auditor Security Collection dan Digital
Blaster.
4. Tingkat keamanan diterapkan pada mesin sensor yang bertugas melakukan
monitoring, konfigurasi Router Wireless (MAC Filtering), dan IPTables
untuk melakukan pencegahan.
5. Tidak mengfokuskan permasalahan keamanan jaringan pada konfigurasi
firewall yang lebih lanjut.
1.4 Tujuan dan Manfaat Penelitian
1.4.1 Tujuan Penelitian
Adapun tujuan dari penelitian ini adalah sebagai berikut:
1. Menerapkan konsep yang digunakan dalam IDS (Intrusion Detection
System).
4
2. Melakukan analisis dan mencari bukti dari percobaan intrusi.
3. Menemukan usaha-usaha tidak sah untuk mengakses resource
komputer seseorang.
4. Mengetahui serangan yang terjadi didalam jaringan sehingga dapat
melakukan pendeteksian.
1.4.2 Manfaat Penelitian
1. Dapat memahami cara kerja dari IDS.
2. Mengetahui jalur mana saja yang mungkin digunakan penyusup agar
dapat dilakukan pemblokiran sehingga tidak dimanfaatkan lagi.
3. Menyediakan informasi yang akurat terhadap gangguan secara
langsung.
1.5 Metodelogi Penelitian
1.5.1 Metode Pengumpulan Data
1. Studi Pustaka
Melakukan penelitian terhadap dokumen dan artikel yang
berkaitan dengan tema yang penulis angkat. Baik berupa artikel,
jurnal, hingga buku-buku yang menjadi dasar penelitian.
2. Studi Lapangan
Pada metode pengumpulan data yang berdasar pada studi
lapangan terdapat 3 (tiga) metode, yaitu : observasi, wawancara, dan
kuisioner. Metode yang digunakan penulis adalah metode observasi,
yaitu dengan melakukan pengamatan terhadap aktivitas yang sedang
5
terjadi didalam jaringan tempat penulis melakukan penelitian.
Kemudian, penulis melakukan pengumpulan data yang didapat dari
hasil pemantauan tersebut terhadap proses-proses yang terjadi pada
jaringan tersebut.
3. Studi Literatur
Metode ini dilakukan untuk melihat konsep yang sudah ada
dari IDS. Ini diambil dari penelitian-penelitian yang sudah ada
sebelumnya.
1.5.2 Metode Pengembangan Sistem
Dalam penelitian skripsi ini, penulis menggunakan pendekatan
terhadap model NDLC (Network Development Life Cycle), fase-fase
model NDLC meliputi :
1. Analisis
2. Design.
3. Simulation Prototyping.
4. Implimentation.
5. Monitoring.
6. Management.
1.6 Sistematika Penulisan
Sistemaika dalam penulisan skripsi ini terdiri dari 5 bab, dimana setiap
bab berisi penjelasan yang saling berkaitan, antara lain:
6
BAB I PENDAHULUAN
Menguraikan tentang latar belakang permasalahan, tujuan
penulisan, ruang lingkup permasalahan.
BAB II LANDASAN TEORI
Pada bab ini akan di perkenalkan serta di jelaskan teori-teori
yang di pakai dalam penulisan ini.
BAB III METODOLOGI PENELITIAN
Berisi analisis terhadap penggunaan IDS dalam mendeteksi
seranggan yang mungkin terjadi didalam jaringan wireless.
BAB IV ANALISIS DAN PEMBAHASAN
Pada bab ini menjelaskan cara kerja dari IDS itu sendiri dalam
melakukan proses pemantauan terhadap kemungkinan serangan
didalam jaringan.
BAB V KESIMPULAN DAN SARAN
Pada bab ini penulis akan menyimpulkan apa yang telah
dilakukan pada bab ini, pada bab sebelumnya, dan juga memberikan
saran dalam mengembangkan sistem yang lebih baik.
7
BAB II
LANDASAN TEORI
2.1 Penerapan
Penerapan adalah pemanfaatan hasil penelitian, pengembangan, dan
atau ilmu pengetahuan dan teknologi yang telah ada ke dalam kegiatan
perekayasaan, inovasi, serta difusi teknologi. ( Martoyo, 2005:47)
2.2 Intrusion Detection System (IDS)
Webster's mendefinisikan sebuah intrusi sebagai "tindakan pemaksaan,
memasuki tempat atau negara tanpa adanya undangan, dibenarkan, atau
sambutan". Ketika kita berbicara tentang deteksi intrusi kita mengacu kepada
tindakan mendeteksi suatu gangguan yang tidak sah oleh komputer di sebuah
jaringan. Tindakan ini (intrusi), merupakan upaya untuk kompromi, atau
dinyatakan merugikan, ke perangkat jaringan lainnya. (Kohlenberg, 2007:2)
Dalam melakukan tugasnya IDS (intrusion detection system) berada
pada lapisan jaringan OSI (Open System Interconnection) model yang
terdapat pada lapisan ketiga yaitu pada lapisan network dan sensor jaringan
pasif yang secara khusus diposisikan pada choke point pada jaringan metode
dari lapisan OSI.
8
2.2.1 Fungsi IDS (Intrusion Detection System)
Beberapa alasan untuk memperoleh dan menggunakan IDS
(intrusion detection system) (Ariyus, 2007:31), diantaranya adalah:
1. Mencegah resiko keamanan yang terus meningkat, karena banyak
ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang
tidak bertanggung jawab dan hukuman yang diberikan atas
kegiatan tersebut.
2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan
yang tidak bisa dicegah oleh sistem umum pakai, seperti firewall.
Sehingga banyak menyebabkan adanya begitu banyak lubang
keamanan, seperti:
Banyak dari legacy sistem, sistem operasi tidak patch
maupun update.
Patch tidak diperhatikan dengan baik, sehingga
menimbulkan masalah baru dalam hal keamanan.
User yang tidak memahami sistem, sehingga jaringan dan
protokol yang mereka gunakan memiliki lubang keamana.
User dan administrator membuat kesalahan dalm
konfigurasi dan dalam menggunakan sistem.
3. Mendeteksi serangan awal. Penyerang akan menyerang suatu siste
yang biasanya melakukan langkah-langkah awal yang mudah
diketahui yaitu dengan melakukan penyelidikan atau menguji
sistem jaringan yang akan menjadi target, untuk mendapatkan titik-
titik dimana mereka akan masuk.
9
4. Mengamankan file yang keluar dari jaringan.
5. Sebagai pengendali untuk rancangan keamanan dan administrator,
terutama bagi perusahaan yang besat
6. Menyediakan informasi yang akurat terhadap ganguan secara
langsung, meningkatkan diagnosis, recovery, dan mengoreksi
faktor-faktor penyebab serangan.
2.2.2 Peran IDS (Intrusion Detection System)
IDS (intrusion detection system) juga memiliki peran penting
untuk mendapatkan arsitektur defence-in-depth (pertahanan yang
mendalam) dengan melindungi akses jaringan internal, sebagai
tambahan dari parameter defence. Hal-hal yang dilakukan IDS
(intrusion detection system) pada jaringan internal adalah sebagai
berikut: (Ariyus, 2007:34)
Memonitor akses database : ketika mempetimbangkan pemilihan
kandidat untuk penyimpanan data, suatu perusahaan akan memilih
database sebagai solusi untuk menyimpan data-data yang berharga.
Melindungi e-mail server : IDS (intrusion detection system) juga
berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm,
NAVIDAD Worm, dan versi terbaru dari ExploreZip.
Memonitor policy security : jika ada pelanggaran terhadap policy
security maka IDS (intrusion detection system) akan memberitahu
10
bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang
ada.
2.2.3 Tipe IDS (Intrusion Detection System)
Pada dasarnya terdapat tiga macam IDS (intrusion detection
system), yaitu: (Ariyus, 2007:36)
1. Network based Intrusion Detection System (NIDS) : Semua lalu
lintas yang mengalir ke sebuah jaringan akan dianalisis untuk
mencari apakah ada percobaan serangan atau penyusupan ke dalam
sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan
penting di mana server berada atau terdapat pada "pintu masuk"
jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit
diimplementasikan dalam sebuah jaringan yang menggunakan
switch Ethernet, meskipun beberapa vendor switch Ethernet
sekarang telah menerapkan fungsi IDS di dalam switch buatannya
untuk memonitor port atau koneksi.
2. Host based Intrusion Detection System (HIDS): Aktivitas sebuah
host jaringan individual akan dipantau apakah terjadi sebuah
percobaan serangan atau penyusupan ke dalamnya atau tidak.
HIDS seringnya diletakkan pada server-server kritis di jaringan,
seperti halnya firewall, web server, atau server yang terkoneksi ke
Internet.
11
3. Distributed Intrusion Detection System (DIDS) : sekumpulan
sensor IDS yang saling terhubung satu sama lain dan berfungsi
sebagai remotet sensor (sensor jarak jauh) yang memberikann
pelaporanpada manajemen sistem terpusat.
Pembagian jenis-jenis IDS yang ada saat sekarang ini didasarkan
pada beberapa terminologi, di antaranya: (Ariyus, 2007:36)
1. Arsitektur sistem
Dibedakan menurut komponen fungsional IDS (intrusion
detection system), bagaimana diatur satu sama lainnya.
Host-Target Co-Location : IDS dijalankan pada sistem yang
akan dilindungi. Kelemahan sistem ini adalah jika penyusup
berhasil memperoleh akses ke sistem maka penyusup dapat
dengan mudah mematikan IDS tipe ini.
Host-Target Separation : IDS diletakkan pada komputer yang
berbeda dengan komputer yang akan dilindungi.
2. Tujuan Sistem
Ada dua bagian tujuan intrusion detection system (IDS),
diantaranya adalah:
Tanggung jawab : adalah kemampuan untuk menghubungkan
suatu kegiatan dan bertanggung jawab terhadap semua yang
terjadi, diantaranya adalah serangan.
12
Respons : suatu kemampua untuk mengendalikan aktivitas
yang merugikan dalam suatu sistem komputer.
3. Strategi Pengendalian
Pada tahap ini IDS dibedakan berdasarkan yang
dikendalikan, baik input maupun outputnya. Jenis-jenis IDS
menurut terminologi ini adalah:
Terpusat : seluruh kendalai pada IDS, baik monitoring, deteksi,
dan pelaorannya dikendalikan secara terpusat.
Terdistribusi Parsial : monitoring dan deteksi dikendalikan dari
node lokal dengan hierarki pelaporan pada satu atau beberapa
pusat lokasi.
Terdistribusi Total : monitoring dan deteksi menggunakan
pendekatan berbasis agen, dimana keputusan respons dibuat
pada kode analisis.
4. Waktu
Waktu dalam hal ini berarti waktu antara kejadian, baik
monitoring atau analisis. Jenisnya adalah:
Interval-Based (Batch Mode) : informasi dikumpulka terlebih
dahulu, kemudian dievaluasi menurut interval waktu yang
telah ditemtukan.
Realtime (Continues) : IDS memperoleh data terus menerus
dan dapat mengetahui bahwa penyerangan sedang terjadi
13
sehingga secara cepat dapat melekukan respons terhadap
penyerangan.
5. Sumber Informasi
IDS (intrusion detection system) dibedakan menurut sumber
daya yang diperoleh. Jenis-jenis IDS menurut terminologi ini di
antaranya:
Host-Based : IDS memperoleh informasi dari data yang
dihasilkan oleh sistem pada sebuah komputer yang diamati.
Biasanya informasi yang diperoleh berupa log yang dihasilkan
dengan memonitor sistem file, event, dan keamanan pada
Windows NT san syslog pada lingkungan sistem opersi UNIX.
Network-Based : IDS memperoleh informasi dari paket-paket
jaringan yang ada. Network-Based menggunakan raw packet
yang ada pada jaringan sebagai sumber datanya, menggunakan
network adapter yang bejalan pada mode prosmicuous sebagai
alat untuk menangkap paket-paket yang akan di pantau.
Dari jenis-jenis IDS tersebut, sistem IDS yang digunakan
adalah yang berbasis pada jaringan (Network-Based) untuk
memantau paket-paket data yang berjalan didalam jaringan. Snort
merupakan aplikasi yang dapat digunakan pada tingkat network,
karena cara kerja snort hampir sama dengan alarm yaitu
memberitahukan adanya penyusup yang akan masuk kejaringan.
14
2.2.4 Keuntungan dan Kekurangan IDS
Berikut ini beberapa keuntungan dari penerapan IDS pada sistem
jaringan komputer :
1. Secara efektif mendeteksi aktifitas penyusupan, penyerangan atau
tindak pelanggaran lainnya yang mengacam aset atau sumber daya
sistem jaringan.
2. IDS membuat administrator diinformasikan tentang status
keamanan.
3. IDS secara berkesinambungan mengamati traffic dari sistem
jaringa komputer dan secara rinci menginformasikan setiap event
yang berhubungan dengan aspek keamanan.
4. IDS menyediakan informasi akurat terhadap gangguan secara
langsung, meningkatkan diagnosis, pemulihan, mengoreksi
sejumlah faktor penyebab intursi atau serangan.
5. Sejumlah file log yang berisi catatan aktifitas kinerja IDS adalah
bagian penting dari forensik komputer yang dapat digunakan
sebagai sumber informasi untuk proses penelusuran aktivitas
serangan yang terjadi, analisis dan audit kinerja sensor IDS serta
sebagai barang bukti untuk tindakan hukum.
Ada pula kekeurangan yang terdapat pada penerapan sensor IDS,
sebagai berikut :
1. Rentang waktu antara pengembangan teknik penyerangan atau
intrusi dan pembuatan signature, memungkinkan penyerang untuk
15
mengeksploitasi IDS yang tidak mengenali jenis serangan spesifik.
Karena signature tidak dapat dibuat tanpa mempelajari traffic
seranagan.
2. False Negative adalah serangan sesungguhnya yang tidak terdeteksi
maka tidak ada peringatan atau notification mengenai peristiwa ini.
3. False Positive adalah kesalahan IDS dalam mendeteksi traffic
network normal sebagai suatu serangan. Jika terjadi dalam jumlah
besar berkemungkinan menutupi kejadian intrusi sesungguhnya.
2.3 Konsep dan Arsitektur Protokol
Dalam komunikasi data ada tata cara dan prosedur yang harus diikuti
oleh dua buah atau lebih sistem yang ingin saling berhubungan dan
berkomunikasi. Prodesur ini dikenal sebagai protokol.(Tanutama, 1995:2)
ada pula standar potokol, yaitu suatu himpunan petunjuk yang mengatur
bagaiman asebuah perangkat keras dan perangkat lunak akan dioperasikan
dan bagaimana kedua perangkat tersebut dapat saling dihubungkan dengan
perangkat keras dan perangkat lunak lainnya. Ada dua macam standar
protokol, yaitu: (Sutanta, 2005:21)
1. Standar protokol de facto, merupakan standar-standar protokol yang tidak
diadopsi oleh bangunan protokol standar. Ini ditetapkan oleh masing-
masing perusahaan pembuat perangkat keras dan perangkat lunak.
2. Standar protokol de jure, merupakan standar protokol yang diasopsi oleh
bangunan protokol standar.
16
Sedangkan protokol jaringan adalah kumpulan standar yang mengatur
tata cara suatu informasi atau data ditransmisikan melalui
jaringan.(Kurniawan, 2007:11) protokol jaringan ada bebrapa macam yang
utama diantaranya adalah TCP/IP, IPX/SPX, UDP, Apple Talk. Standar
protokol komunikasi data yang digunakan dan diakui dunia adalah TCP/IP
dan Model Referensi OSI.
2.3.1 TCP/IP (Transfer Control Protokol / Internet Protocol)
Pada tahun 1969, lembaga riset Departemen Pertahanan Amerika,
DARPA (Defence Advance Research Project Agency), mendanai
sebuah riset untuk mengembangkan jaringan komunikasi data antara
komputer. Riset ini bertujuan untuk mengembangkan jaringan
komunikasi data yang transparan, dimana komunikasi data dapat
berhubungan dengan jaringan lainnya, serta tahan terhadap berbagai
gangguan. Pengembangan jaringan ini ternyata berhasil dan melahirkan
ARPANET pada tahun 1972.(Purbo, 1998:8)
Pada dasarnya, komunikasi data merupakan proses mengirimkan
dara dari satu komputer ke komputer lain. Unutk mengirimkan data,
pada komputer harus ditambahkan alat khusus, yang dikenala sebagai
network interface. Untuk dapat mengirimkan data, ada hal yang harus
diperhatikan untuk sampainya data ketujuan, salah satunya dengan
menggunakan TCP/IP sebagai protokol yang menjadi identitas pada
setiap komputer. (Purbo, 1998:21)
17
TCP/IP adalah sekumpulan protokol yang dirancang untuk
melakukan funsi-fungsi komunikasi data pada Wide Area Network
(WAN). TCP/IP terdiri dari sekumpulan protokol yang masing-masing
bertanggung jawab atas bagian-bagian tertentu dari komunikasi data.
Sekumpulan protokol TCP/IP ini dimodelkan dengan empat layer
TCP/IP.
Gambar 2.1 Layer TCP/IP (Sumber :
http://docstore.mik.ua/orelly/networking/tcpip/figs/tcp2_0102.gif)
Layer aplikasi adalah layer yang menyediakan komunikasi antar
pengguna dengan layanan komunikasi standar seperti transfer data dan
surat elektronik. Beberapa perangkat lunak yang dapat bekerja pada
lapisan ini adalah Simple Mail Transfer Protocol (SMTP), Hypertext
18
Transfer Protcol (HTTP), dan File Transfer Protocol(FTP).
(Mulyanta, 2005:32)
Layer transport atau biasa disebut host-to-host adalah layer yang
memberikan layanan transfer data secara transparan antar host serta
bertanggung jawab terhadap metode recovery kesalahan end-to-end.
Lapisan ini juga berfungsi sebagai pengatur aliran data serta
memastikan kelengkapan data saat dilakukan proses transfer.
(Mulyanta, 2005:32)
Layer Internet adalah sekelompok metode internetworking dalam
protokol TCP / IP yang merupakan dasar dari internet. Ini adalah
kelompok metode, protokol, dan spesifikasi yang digunakan untuk
mengangkut datagrams (paket) dari host yang melintasi batas-batas
jaringan, jika perlu host tujuan ditentukan oleh alamat jaringan (Internet
Protocol).
Network layer menyediakan proses penentuan rute pengiriman
paket dijaringan dari pengirim ke penerima. Lapisan ini juga
menyediakan teknologi untuk melakukan proses switching dan routing,
membuat path secara logika yang disebut sirkuit virtual, dan melakukan
tranfer data dari node ke node. (Mulyanta, 2005:31)
2.3.1.1 TCP (Transmission Control Protocol)
TCP merupakan protokol yang terletak pada layer
transport. Protokol ini juga menyediakan layanan yang dikenal
19
sebagai connection oriented, reliable, byte stream service.
(Purbo, 1998:51) TCP bersifat connection-oriented dengan
membangun dan menjaga koneksi end-to-end antara entitas yang
sedang berkomunikasi dengan menggunakan mekanisme three-
way handshake, yaitu mekanisme negoisasi untuk
mensinkronisasikan parameter koneksi dua entitas ketika
membangun koneksi komunikasi. Reliable berarti TCP
menerapkan proses deteksi kesalahan paket dan transmisi.
Sedangkan Byte Stream Service berarti paket dikirimkan dan
sampai ketujuan secara berurutan. TCP memilki 3 macam tugas
dasar, sebagai berikut: (Sutanta, 2005:138)
1. Menyediaka komunikasi proses-ke-proses.
2. Menyediakan kendali aliran (flow control) sebagai pembeda
dengan UDP
3. Menyediakan kendali kesalahan (error control) sebagai
pembeda dengan UDP.
Dalam melakukan tugasnya TCP dibantu oleh IP address.
IP address adalah alamat logika yang diberikan ke peralatan
jaringan yang menggunakan protokol TCP/IP untuk
memberikan identitas kepada perangkat tersebut.(Wijaya,
2007:136) Setiap komputer yang terhubung dengan jaringan
komputer pasti memiliki alamat IP address yang berbeda antara
satu komputer dengan komputer lainnya.
20
Dalam satu jaringan terdapat ID host dan ID jaringan.
Penjelasan ID Host dan ID jaringan Sebagai berikut:
(Kurniawan, 2007:13)
ID Host (Host ID)
ID Host merupakan ID yang digunakan untuk
mendefinisikan suatu host secara spesifik pada jaringan
komputer, seperti alamat yang menunjukan alamat rumah
pada suatu kota. Dalam setiap jaringan (subnet) setiap
komputer memiliki ciri khas yang berbeda dari komputer
lain, berupa identitas yang ada pada LAN Card. Setiap LAN
Card mempunyai ID yang berbeda-beda.
ID Jaringan (Network ID)
ID jaringan digunakan untuk melanjutkan kiriman paket-
paket data yang melewati jaringan. Ketika mengirimkan
paket-paket data pada jaringan, setiap host harus
mempunyai dan menggunakan alamat dari ID host. Semua
host yang mempunyai ID jaringan yang sama harus terletak
pada segmen jaringan yang sama pula.
2.3.1.2 UDP (User Datagram Protocol)
UDP merupakan komunikasi proses-ke-proses. UDP juga
telah diketahui membuat komunikasi tanpa koneksi
(connectionless), artinya tidak memiliki koneksi atau
21
transminasi tambahan.(Sutanta, 2005:121) UDP menjadi
perantara antara lapisan application layer dan network layer.
UDP menggunakan nomor port untuk mengidentifikasi aplikasi
dalam satu kesatuan komunikasi, yang dalam keadaan biasa
dikenal dengan Client-Server.
UDP bersifat connectionless. Dalam UDP tidak ada
sequencing (pengurutan kembali) paket yang datang,
acknowledgement terhadap paket yang datang, atau retransmisi
jika paket mengalami masalah ditengah jalan. Karena sifatnya
yang connectionless dan unreliable, UDP digunakan oleh
aplikasi-aplikasi yang secara periodik melakukan aktifitas
tertentu, serta hilangnya satu data dapat diatasi pada query
periode berikutnyadan melakukakan pengiriman data ke
jaringan lokal.
2.4 Konsep dan Arsitektur Jaringan
Komputer adalah sistem elektronik untuk memanipulasi data secara
tepat dan tepat.(Kuswayatno, 2006:24) Kata komputer semula dipergunakan
untuk mengambarkan orang yang pekerjaannya melakukan perhitungan
aritmatika, dengan atau tanpa alat bantu, tetapi arti kata ini kemudian
dipindahkan kepada mesin itu sendiri. Asal mulanya, pengolahan informasi
hampir ekslusif berhubungan dengan masalah aritmatika, tetapi komputer
modern digunkan untuk banyak tugas yang tidak berkaitan dengan aritmatika.
22
Jaringan komputer merupakan gabungan antara teknologi komputer dan
teknologi komunikasi.(Sopandi, 2006:5) gabungan teknologi ini melahirkan
pengolahan data yang dapat didistribusikan, mencakup pemakaian database,
software aplikasi dan aplikasi peralatan hardware secara bersamaan, untuk
membantu proses otomatisasi perkantoran dan peningkatan kearah efisiensi
kerja. Tujuan dari jaringan komputer adalah:
1. Membagi sumber daya, seperti printer, CPU (Central Processing Unit),
memori, dan Harddisk.
2. Komunikasi, contohnya surat elektronik, instant messaging, chatting
3. Akses informasi, contohnya web browsing
Client-server
Client-server adalah jaringan komputer dengan komputer yang
didedikasikan khusus sebagai server. (Irwanto, 2007:205) Sebuah layanan
bisa diberikan oleh sebuah komputer atau lebih.
Peer-to-peer
Peer-to-peer adalah jaringan komputer dimana setiap host dapat
menjadi server dan juga menjadi client secara bersamaan.(Syafrizal,
2005:2)
23
2.4.1 LAN (Local Area Network)
2.4.1.1 Konsep LAN
LAN (Local Area Network) adalah jaringan yang
menghubungkan beberapa komputer dan perangkat didalam
wilayah geografis yang terbatas, seperti rumah, labolaturium
komputer, gedung kantor atau berupa gedung yang
berdekatan.(Naproni, 2007:4) LAN menyediakan jaringan
komunikasi berkecepatan tinggi pada komputer-komputer dan
terminal-terminal yang dihubungkan satu sama lain dan terletak
pada beberapa tempat yang terpisahdan biasanya tidak terlalu
jauh, seperti bangunan kantor.
2.4.1.2 Perangkat LAN
1. Switch : menyaring dan menyampaikan paket data
berdasarkan alamat tujuan dari setiap frame data. Bekerja
pada Data Link Layer.
2. Router : menggunakan satu atau lebih matrik untuk
menentukan jalur yang efektif dan efisien dalam
menyampaikkan paket ke node tujuan. Bekerja pada Network
Layer.
3. Hub : berperan sebagai titik pemberhentian sejumlah node.
Dapat melakukan pengaturan dan pengiriman ulang sinyal ke
node tujuan. Bekerja pada Data Link Layer.
24
4. Repeater : menerima, memperbaharui ulang waktu dan sinyal
serta melanjutkan proses pengiriman sinyalnya ke node
tujuan. Bekerja pada Data Link Layer.
5. Bridge : menghubungkan dan melewatkan paket diantara dua
segmen jaringan yang menggunakan protokol komunikasi
yang sama. Bekeraja pada Data Link Layer.
2.4.1.3 Arsitektur LAN
Topologi jaringan adalah hal yang menjelaskan hubungan
geometris antara unsur-unsur dasar penyusun jaringan
yaitu node, link, dan station. Topologi jaringan dapat dibagi
menjadi 5 kategori utama seperti di bawah ini :
Tabel 2.2 Topologi jaringan (Sumber : http://id.wikipedia.org/wiki/Jaringan_komputer)
Topologi Keterangan
Jaringan hanya terdiri dari satu saluran kabel yang menggunakan kabel UTP (Unshielded Twisted Pair). Keunggulan topologi Bus adalah pengembangan jaringan atau penambahan workstation baru dapat dilakukan dengan mudah tanpa mengganggu workstation lain. Sedangkan kelemahan dari topologi ini adalah bila terdapat gangguan di sepanjang kabel pusat maka keseluruhan jaringan akan mengalami gangguan.
25
Topologi ring adalah topologi jaringan berbentuk rangkaian titik yang masing-masing terhubung ke dua titik lainnya, sehingga membentuk jalur melingkar membentuk ring (cincin). Pada topologi ring, komunikasi data dapat terganggu jika satu titik mengalami gangguan.
Merupakan bentuk topologi jaringanyang berupa konvergensi dari nodetengah ke setiap node atau pengguna.
Topologi jaringan ini disebut juga sebagai topologi jaringan bertingkat. Topologi ini biasanya digunakan untuk interkoneksi antar sentral denganhirarki yang berbeda. Untuk hirarki yang lebih rendah digambarkan pada lokasi yang rendah dan semakin keatas mempunyai hirarki semakin tinggi.sejenis topologi jaringan yang menerapkan hubungan antarsentral secara penuh. Jumlah saluran harus disediakan untuk membentuk jaringan ini adalah jumlah sentral dikurangi 1 (n-1, n = jumlah sentral).
2.4.2 WAN (Wide Area Network)
2.4.2.1 Konsep WAN (Wide Area Network)
Wide Area Network adalah jaringan yang biasanya sudah
menggunakan media wireless, sarana satelit, ataupun kabel serat
optik, karena jangkauannya yang sangat luas, bukan meliputi
satu kota atau antarkota tetapi bisa mencakup otoritas negara
lain. (Syafrizal, 2005:17)
26
2.4.2.2 Perangkat WAN (Wide Area Network)
Dalam menerapkan teknologi WAN, dibutuhkan
fungsionliatas dari sejumlah perangkat WAN, antara lain :
(http://clickmusab.blogspot.com/2010/04/perangkat-
perangkat-wan.html)
1. Switch : adalah sebuah alat jaringan yang
melakukan bridging transparan (penghubung segementasi
banyak jaringan dengan forwarding berdasarkan alamat
MAC).
2. Modem : Modem berasal dari
singkatan MOdulator DEModulator. Modulator merupakan
bagian yang mengubah sinyal informasi kedalam sinyal
pembawa (Carrier) dan siap untuk dikirimkan, sedangkan
Demodulator adalah bagian yang memisahkan sinyal
informasi (yang berisi data atau pesan) dari sinyal pembawa
(carrier) yang diterima sehingga informasi tersebut dapat
diterima dengan baik. Modem merupakan penggabungan
kedua-duanya, artinya modem adalah alat komunikasi dua
arah.
3. CSU / DSU (Channel Service Unit / Digital Service Unit) :
perangkat digital interface yang digunakan untuk
menghubungkan router ke digital circuit.
27
4. ISDN Terminal Adapter : perangkat yang digunakan untuk
menghubungkan koneksi BRI (Basic Rate Interface) ISDN ke
interface lainnya.
5. Communication /Access Server : mengkonsentrasikan atau
memusatkan proses dial-in atau dial-up pengguna layanan
WAN dan remote access ke sebuah LAN.
2.4.2.3 Teknologi WAN (Wide Area Network)
Teknologi WAN mendefinisikan bagaiman suatu frame
data dibawa melintasi suatu sistem ke sistem lainnya dalam
suatu data-link layer. Protokol pada physical layer
mendefinisikan bagimana menyediakan koneksi elektris,
mekanis dan fungsional ke layanan yang disediakan oleh
penyedia layanan komunikasi. Protokol pada data-link layer
mendefinisikan data dienkapsulasi untuk kemudian
ditransmisikan ke sistem tujuan dan bagaimana mengelola
mekanisme transmisi frame yang dihasilkan ke sistem tujuan.
WAN memiliki beberapa layanan, antara lain:
1. Jaringan Packet-switched : teknologi yang memecah pesan
menjadi paket data yang berukuran kecil dan mengarahkan
paket tersebut seekonomis mungkin melalui jalur komunikasi
yang tersedia.(Sungkono, 2008:386) Hal ini
memungkinkan sejumlah besar potongan-potongan data
dari berbagai sumber dikirimkan secara bersamaan
28
melalui saluran yang sama, untuk kemudian diurutkan
dan diarahkan ke rute yang berbeda melalui router.
2. Jaringan circuit-switched : jaringan yang mengalokasikan
sebuah sirkuit yang dedicated diantara node dan terminal
untuk digunakan oleh pengguna untuk berkomunikasi.
( http://id.wikipedia.org/wiki/Circuit_switching)
3. Dedicated Point-to-Point : mekanisme penyediaan jalur
khusus, dimana communication loop disediakan untuk
pelanggan pribadi. Bandwidth yang disediakan adalah leased
line.
Terdapat pula protokol yang digunakan pada jaringan WAN,
antara lain :
1. Frame Relay : suatu layanan paket data yang memungkinkan
beberapa user menggunakan satu jalur transmisi secara
bersama-sama.(Syafrizal, 2005:201)
2. HDLC (High Level Data Link Control) : Protokol HDLC ini
merupakan protokol synchronous bit-oriented yang berada
pada lapisan data-link (Message packaging) model ISO Open
System Interconnection (OSI) untuk komunikasi komputer ke
komputer.(Lammle, 2007:787) Di bawah HDLC, pesan
dikirimkan dalam unit yang disebut dengan frame, yang
masing-masingnya dapat mengandung jumlah data yang
variabel, namun harus diatur secara khusus.
29
3. PPP (Point-To-Point) : data link protokol yang menyediakan
akses dial-up melalui port serial.(Syafrizal, 2005:69)
Protokol ini merupakan standar industri yang berjalan pada
lapisan data-link dan dikembangkan pada awal tahun 1990-
an sebagai respon terhadap masalah-masalah yang terjadi
pada protokol Serial Line Internet Protocol (SLIP), yang
hanya mendukung pengalamatan IP statis kepada
para kliennya.
4. ISDN (Integrated Service Digital Network) : protokol
komunikasi yang ditawarkan oleh perusahaan telepon, yang
mengizinkan dan memungkinkan jaringan telepon untuk
dapat membawa muatan data, suara, vidoe, dan paket data
lainnya.
2.4.3 Gateway
Gateway adalah sebuah istilah umum untuk sebuah sistem
internetworking yang menghubungkan dua buah network secara
bersamaan.(Rafiudin, 2003:126) Gateway juga merupakan perangkat
lunak atau perangkat keras yang bekerja pada lapisan aplikasi model
OSI (Open System Interconnection) yang berfungsi menggabungkan
dua jaringan komunikasi dengan protokol yang berbeda sehingga
memungkinkan data dapat melewati keduanya.
30
Gateway juga memiliki fungsi sebagai penghubung antara
jaringan yang satu dengan yang lainnya, ini berbeda dengan router yang
berfungsi untuk mencari “the best path” atau jalur terbaik untuk
meneruskan paket data. Dalam suatu sistem networking terlebih dalam
bentuk implementasi dari jaringan WAN mutlak diperlukan sebuah
gateway yang fungsinya sebagai penghubung jaringan LAN ke jaringan
WAN, tetapi untuk jaringan LAN sendiri tidak perlu gateway karena
LAN berada dalam satu network dan kita tahu sendiri bahwa di dalam
WAN itu sendiri pasti terdapat LAN. Peran gateway sebagai
penghubung dan perantara sangat berperan penting sebagai komunikasi
dari satu jaringan ke jaringan yang lainnya.
2.5 Packet Filtering
Paket filtering yang disebut juga screening router, yaitu suatu router
yang melakukan routing paket antara jaringan internal dengan jaringan
eksternal sesuai dengan kebijakan keamanan yang digunakan pada suatu
jaringan. (Kurniawan, 2007:203) Informasi yang digunakan untuk
menyeleksi paket-paket tersebut antara lain alamat IP sumber dan tujuan,
protokol yang digunakan (TCP, UDP, atau ICMP), dan alamat port sumber
dan tujuan.
Sistem packet filtering memeriksa beberapa field dalam judul paket data
yang mengalir diantara jaringan legal dengan internet.(Sungkono, 2008:386)
31
Packet filtering yang mmenetukan apakah suatu packet diizinkan atau diblok
hal ini tergantung dari kebijakan keamanan (Security Policy).
2.5.1 Keuntungan Packet filter
Keuntungan yang utama dari packet filter bisa dapat
mempengaruhi : (Ariyus, 2006:118)
1. Mengizinkan untuk menyediakan layanan pribadi, karena bisa
melindungi jaringan secara keseluruhan.
2. Tidak mendizinkan atau memblok semua host menggunakan telnet
service ke server.
3. Menyaring semua packet yang akan keluar dari suatu workstation
baik ke internet atau ke jaringan lokal kalau packet tersebut
memenuhi standar kebijakan keamanan yang sudah disepakati.
4. Menyaring paket yang datang dari luar jaringan yang tidak
memenuhi syarat security policy (kebijakan keamanan).
Perlindungan tertentu bisa dilayani dengan menggunakan filtering
roauter dan hanya penyerang menyerang lokasi khusus pada suatu
jaringan. Filtering roauter merupakan suatu alat deteksi yang bagus
untuk menyaring paket yang tidak sah.
2.5.2 Dasar Packet Filtering
Pada dasarnya pemakai packet filtering yang bisa mengontrol
paket yang datang dan keluar serta katagori paket mana yang
32
diizinkan dan mana yang diblok. (Ariyus, 2006:120) Transfer data
berdasarkan hal-hal berikut :
Alamat dari mana data datang
Alamat dari mana data akan dikirimkan
Aplikasi port yang digunakan untuk transferdata
Dasar sistem packet filter tidak melakukan perubahan terhadap data
yang akan dikirim, packet filter juga tidak membuat keputusan sendiri
terhadap paket-paket yang masuk maupun keluar, tetapi dikontrol oleh
seorang administrator yang dapat melakukan apa saja terhadap masuk
keluarnya suatu paket.
2.5.3 Packet Filter Dinamis
Sistem packet filter advance (tingkat lanjut) menawarkan status
track (jejak) dan melakukan pengecekan terhadap protokol, status
tracking mengizinkan untuk membuat aturan sebagaimana di bawah
ini : (Ariyus, 2006:121)
Membiarkan paket UDP masuk ke jaringan jika jaringan hanya
memiliki respon untuk mengeluarkan paket UDP, bukan jenis
paket lain seperti TCP dan Telnet.
Akses paket TCP hanya dengan mengatur SYN yang merupakan
bagian dari koneksi initial TCP.
Hal diatas disebut juga dengan stateful packet filtering karena paket
filter harus menjejaki status transaksi, tapi hal ini disebut juga dengan
33
dynamic packet filtering karena alasan dari prilaku perubahan sistem
tergantung pada laulintas jaringan.
2.5.4 Protocol Checking
Protocol Checking mengizinkan untuk membuat aturan
kebijakan keamanan sebgai berikut : (Ariyus, 2006:122)
Paket yang dibiarkan masuk dari port DNS (Domai Name Server),
tetapi hanya jika paket tersebut mempunyai format seperti paket
DNS.
Pemeriksaan protokol untuk membantu dan menghindari situasi diman
penyerang bisa saja sudah membuat suatu protokol yang akan dituju
tidak dalam keadaan aman, pemeriksaan protokol yang akan dikirim
paket merupakan suatu pekerjaan yang harus diakukan untuk
menghindari adanya paket misformatted (paket yang digunakan untuk
menyerang suatu host).
2.6 Wireless
Wireless merupakan jaringan nirkabel yang menggunakan frekuensi
radio untuk komunikasi antar komputer. (Wahana Komputer, 2006:171)
Jaringan nirkabel memungkinkan orang melakukan komunikasi dan
mengakses informasi dan aplikasi tanpa kabel (nirkabel).
Hal tersebut memberikan kebebasan bergerak dan kemampuan
memperluas aplikasi keberbagi gedung, kota, datau hampir ke semua tempat
34
diseluruh dunia. Berdasarkan arsitektur referensi OSI layer, teknologi
wireless bekerja pada layer 2. Teknologi wireless menggunakan protokol
802.11 antara lain : (Arifin, 2008 : 1)
a. 802.11a, menggunakan frekuensi 5 GHz, kecepatan tinggi dan
interferensi sedikit.
b. 802.11b, revolusi protokol WiFi, 11 Mbps.
c. 802.11g, sama halnya dengan 802.11b tetapi lebih cepat hingga 54
Mbps.
d. 802.11n, memiliki data rate hingga 108-120 Mbps.
Terdapat alasan mengapa kita menggunakan teknologi wireless
dibandingkan dengan jaringan kabel, (Arifin, 2008 : 1) antara lain :
1. Jaringan wireless bersifat mobile. Kita dapat mengakses resource dari
manapun dan dapat dilakukan secara berpindah-pindah, terhindar dari
masalah-masalah yang ditimbulkan oleh kabel.
2. Perangkat wireless saat ini sudah relatif murah dan cepat, sehingga
mengimbangi atau menyaingi kemampuan teknologi kabel.
Selain beberapa keuntungan yang didapat dari menggunakan
teknologi wireless, tentunya juga masih terdapat beberapa kekurangan yang
perlu diperhatikan. Beberapa permasalah yang muncul ketika kita
menggunakan teknologi wireless antara lain : (Arifin, 2008 : 2)
1. Tingkat keandalan dari teknologi wireless saat ini masih belum sebaik
teknologi kabel.
35
2. Pengiriman data melalui jaringan wireles menggunakan media radio
frekuensi, dimana media tersebut dapat diakses secara bebas oleh setiap
orang. Akibatnya data data yang kita kirimkan melalui media tersebut
kurang begitu aman.
2.6.1 Sistem Pengamanan Pada Jaringan Wireless LAN
Beberapa solusi pengamanan yang muncul memiliki tujuan
yang sama yakni menjaga informasi. Sistem yang mampu menjaga
informasi adalah sistem pengamanan yang memiliki fitur sebgai
berikut : (Arifin, 2008 : 5)
1. Confidentality : sistem dapat menjamin dan menjaga kerahasian
dari informasi secara optimal.
2. Integrity : sistem dapat menjamin integritas data (informasi)
secara optmal.
3. Availability : sistem dapat menjamin ketersediaan informasi
secara optimal.
Ancaman terhadap jaringan wireless dapat datang dari dalam
ataupun dari luar. Beberapa jenis ancaman atau serangan tersebut
diantaranya sebagai berikut :
1. Access point palsu.
2. Pengintaian.
3. Denial of service (DOS)
36
Pengamanan data pada jaringan wireless dengan cara enkripsi
dapat dilakukan dengan menerapkan teknologi WEP (Wired
Equivalent Privacy). Enkripsi yang dilakukan oleh WEP dilakukan
secara simetrik. Kunci dipasangkan pada Access Point dan juga
terdapat pada masing-masing wireless client. Kunci yang terpsaang
pada kedua device rtersebut harus sama. Kunci tersebut memiliki
panjang 40 bit atau 104 bit. Saat ini pengamanan menggunakan
WEP sudah dapat ditembus oleh para hacker. Sehingga muncul
teknologi baru berikutnya yaitu WAP (Wired Protected Access).
Mekanisme otentikasi WAP menggunakan algoritma enkripsi
AES (Advanced Encryption Standart) mengantikan enkripsi RC4
yang sebelumnya digunakan oleh WEP atau juga dapat
menggantikan TKIP. Panjang bit yang digunakan untuk kuncinya
pun lebih panjang yaitu 256 bit, sehingga diharapkan dapat
mempersulit hacker dalam melakukan usaha untuk membongkar
data yang dienkripsi dengan menggunakan otentikasi WAP.
2.6.2 Pengamanan Berbasis WEP Key
WEP bertindak sebagai kunci, diimplementasikan pada device
client dan infrastruktur jaringan wireless LAN berupa sebuah
karakter alphanumerik yang digunakan untuk : (Arifin, 2008 : 8)
1. Memverifikasi identitas dari station yang akan diotentikan.
2. Mengenkripsi data.
37
WEP disediakan dalam beberapa jenis, natara lain :
1. 64 bit (40 bit kunci + 24 bit Initial Vector)
2. 128 bit (104 bit kunci + 24 bit Initial Vector)
Ketika sebuah client yang mengktifkan WEP berusaha untuk
mengontentikasi dan menghubungi sebuah access point, access point
akan menentukan apakah client memiliki WEP key yang sama atau
tidak. Jumlah karakter yang dimasukan tergantung pada konfigurasi
software, menggunakan ASCII atau HEXA dan WAP key 64 atau
128 bit.
Advanced Encryption Standart (AES), merupakan sebuah
algoritma yang digunakan untukmemperkuat algoritma enkripsi RC4
yang digunakan dalam WEP. AES menggunakan algoritma Rijndale
dan menetapkan panjang kunci 128, 192, dan 256 bit.
2.7 Perangkat Keras dan Perangkal Lunak
2.7.1 Router Wireless
Router merupakan perangkat jaringan yang bekerja pada tingkat
network layer yang menggunakan satu atau lebih sistem metrik untuk
menentukan path-path optimal guna mem-forward traffic suatu
jaringan. (Rafiudin, 2003:1) Router berfungsi sebagai penghubung
antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan
ke jaringan lainnya, sedangkan router wireless berfungsi
mengintegrasikan WAP, switch ethernet, dan aplikasi firmware internal
38
router. Router wireless menyediakan IP routing, NAT, dan DNS
forwarding melalui antarmuka WAN. (Zaki, 1999:25)
Router sangat banyak digunakan dalam jaringan berbasis
teknologi protokol TCP/IP, dan router jenis itu disebut juga dengan IP
Router. Selain IP Router, ada lagi AppleTalk Router, dan masih ada
beberapa jenis router lainnya. Internet merupakan contoh utama dari
sebuah jaringan yang memiliki banyak router IP. Router dapat
digunakan untuk menghubungkan banyak jaringan kecil ke sebuah
jaringan yang lebih besar, yang disebut dengan internetwork, atau untuk
membagi sebuah jaringan besar ke dalam beberapa subnetwork untuk
meningkatkan kinerja dan juga mempermudah manajemennya. Router
juga kadang digunakan untuk mengoneksikan dua buah jaringan yang
menggunakan media yang berbeda (seperti halnya router wireless yang
pada umumnya dapat menghubungkan komputer dengan menggunakan
media transmisi radio, router wireless juga mendukung penghubungan
komputer dengan kabel UTP), atau berbeda arsitektur jaringan, seperti
halnya dari Ethernet ke Token Ring.
Router juga dapat digunakan untuk menghubungkan LAN ke
sebuah layanan telekomunikasi seperti halnya telekomunikasi leased
line atau Digital Subscriber Line (DSL). Router yang digunakan untuk
menghubungkan LAN ke sebuah koneksi leased line seperti T1, atau
T3, sering disebut sebagai access server. Sementara itu, router yang
digunakan untuk menghubungkan jaringan lokal ke sebuah koneksi
39
DSL disebut juga dengan DSL router. Router-router jenis tersebut
umumnya memiliki fungsi firewall untuk melakukan penapisan paket
berdasarkan alamat sumber dan alamat tujuan paket tersebut, meski
beberapa router tidak memilikinya. Router yang memiliki fitur
penapisan paket disebut juga dengan packet-filtering router. Router
umumnya memblokir lalu lintas data yang dipancarkan secara
broadcast sehingga dapat mencegah adanya broadcast storm yang
mampu memperlambat kinerja jaringan.
2.7.2 Wireshark atau Ethereal
Wireshark adalah aplikasi penganalisis jaringan. wireshark
membaca bentuk paket jaringan, men-decodes, kemudian menunjukan
hasilnya dalam sebuah format yang mudah dimengerti.(Orebaugh,
2007:52) Fiturnya yang powerfull menjadikannya pilihan utama untuk
pemecahan masalah pada jaringan, pengembangan protokol, dan
edukasi diseluruh dunia. Wireshark dikembangkan para ahli jaringan
yang dapat berjalan dalam sistem operasi Windows, Linux, Unix, dan
platform lainnya.
Dalam melakukan penelitian ini, penulis menggunakan wireshark
versi 0.99.4 atau biasa disebut dengan nama ethereal pada sistem
operasi linux, karena terdapat permasalahan hukum, ethereal berganti
nama menjadi wireshark. Seperti namanya, Wireshark atau Ethereal
mampu menangkap paket-paket data atau informasi yang lalu-lalang
40
dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam
berbagai format protokol pun akan dengan mudah ditangkap dan
dianalisa. Karenanya tidak jarang tool ini juga dapat dipakai untuk
melakukan sniffing (memperoleh informasi penting seperti password
email atau account lain) dengan menangkap paket-paket yang lalu-
lalang didalam jaringan dan menganalisanya.
2.7.3 Auditor Security Collection
Auditor Security Collection adalah Live-System berbasis
Knoppix.(Auditor readme.txt) Tanpa instalasi apapun, platform
analisis dimulai secara langsung dari CD-Rom dan sepenuhnya dapat
diakses dalam hitungan menit. Untuk cepat mahir dalam
mengoperasikan Auditor Security Collection, struktur menu didukung
oleh tahap yang diakui cek keamanan. Antara lain :
1. Foot-printing : Aplikasi untuk mendapatkan pengetahuan awal
tentang server, seperti Whois dan Dig.
2. Analysis : Alat untuk menganalisis jaringan, seperti Ethereal.
3. Scanning : Alat untuk memindai jaringan, seperti Nmap.
4. Wireless : Aplikasi untuk menguji jaringan nirkabel.
5. Brute Forcing : Fitur yang dapat menampung 64.000.000 entri kata
pada daftar brute-force password cracking.
6. Cracking : Alat yang akan digunakan bersamaan dengan daftar kata
brute-force.
41
2.7.4 VM Ware
Virtual Machine (VM) adalah sebuah mesin yang mempunyai
dasar logika yang menggunakan pendekatan lapisan-lapisan (layers)
dari sistem komputer. Sehingga sistem komputer dengan sendirinya
dibangun atas lapisan-lapisan tersebut, dengan urutan lapisannya mulai
dari lapisan terendah sampai lapisan teratas adalah sebagai berikut:
Perangkat keras (semua bagian fisik komputer)
Kernel (program untuk mengontrol disk dan sistem file, multi-
tasking, load-balancing, networking dan security)
Sistem program (program yang membantu general user)
Kernel yang berada pada lapisan kedua ini, menggunakan
instruksi perangkat keras untuk menciptakan seperangkat system call
yang dapat digunakan oleh komponen-komponen pada level sistem
program. Sistem program kemudian dapat menggunakan system call
dan perangkat keras lainnya seolah-olah pada level yang sama.
Meskipun sistem program berada di level tertinggi, namun program
aplikasi bisa melihat segala sesuatu pada tingkatan dibawahnya seakan-
akan mereka adalah bagian dari mesin. Pendekatan dengan lapisan-
lapisan inilah yang kemudian menjadi kesimpulan logis pada konsep
Virtual Machine (VM). Ada beberapa kesulitan utama dari konsep VM,
diantaranya adalah:
Dalam sistem penyimpanan. Sebagai contoh kesulitan dalam sistem
penyimpanan adalah sebagai berikut: Andaikan kita mempunyai
42
suatu mesin yang memiliki tiga disk drive namun ingin mendukung
tujuh VM. Keadaan ini jelas tidak memungkinkan bagi kita untuk
dapat mengalokasikan setiap disk drive untuk tiap VM, karena
perangkat lunak untuk mesin virtual sendiri akan membutuhkan
ruang disk secara substansi untuk menyediakan memori virtual dan
spooling. Solusinya adalah dengan menyediakan disk virtual atau
yang dikenal pula dengan minidisk, dimana ukuran daya
penyimpanannya identik dengan ukuran sebenarnya. Dengan
demikian, pendekatan VM juga menyediakan sebuah antarmuka
yang identik dengan underlying bare hardware.
Dalam hal pengimplementasian. Meski konsep VM cukup baik,
namun VM sulit diimplementasikan.
Terlepas dari segala kekurangannya, VM memiliki beberapa
keunggulan, antara lain:
Dalam hal keamanan. VM memiliki perlindungan yang lengkap pada
berbagai sistem sumber daya, yaitu dengan meniadakan pembagian
resources secara langsung, sehingga tidak ada masalah proteksi
dalam VM. Sistem VM adalah kendaraan yang sempurna untuk
penelitian dan pengembangan sistem operasi. Dengan VM, jika
terdapat suatu perubahan pada satu bagian dari mesin, maka dijamin
tidak akan mengubah komponen lainnya.
Memungkinkan untuk mendefinisikan suatu jaringan dari Virtual
Machine (VM). Tiap-tiap bagian mengirim informasi melalui
43
jaringan komunikasi virtual. Sekali lagi, jaringan dimodelkan setelah
komunikasi fisik jaringan diimplementasikan pada perangkat lunak.
2.7.5 Digital Blaster
Digital Blaster adalah sebuah Flooder internet dan jaringan
komputer yang bisa didapatkan melalui beberapa media seperti
CD/DVD, maupun di situs internet. Digital Blaster disingkat menjadi
DigiBlast merupakan hack tool gratis dan bebas untuk disebarluaskan
dengan syarat tidak untuk konsumsi profit seperti menjual atau
membelinya dari seseorang. Prinsip kerja program ini adalah
mengirimkan paket secara berkala ke sebuah alamat IP dan port-port
yang ditentukan.
DigiBlast dapat mengirimkan paket ke alamat IP target ke sebuah
port yang ditentukan oleh user (“Single Port Flooder”) maupun ke
banyak port yang terbuka (“Multi Port Flooder”). Yang perlu dilakukan
untuk mengirimkan paket ke alamat IP target adalah Memastikan
bahwa alamat IP target aktif dan terhubung ke internet. Dapat anda
lakukan di mirc dengan mengetikkan perintah di kolom status /dns
nickname atau /dns domainsitus. Contoh : /dns poni atau /dns
www.yogyafree.net. Mengetahui port yang terbuka pada komputer
target. Anda membutuhkan port scanner. Digital Blaster pada mode
Multi Port Flooder bisa menjadi sebuah port scanner.
44
2.7.6 Snort
Snort merupakan suatu perangkat lunak untuk mendeteksi
penyusup dan mampu menganalisis paket yang melintasi jaringan
secara real time traffic dan logging kedalam database serta mampu
mengidentifikasi berbagai serangan yang berasal dari luar
jaringan.(Ariyus, 2007:145) Program snort dapat dioperasikan dengan
tiga mode :
1. paket sniffer : untuk melihat paket yang lewat di jaringan.
2. paket logger : untuk mencatat semua paket yang lewat di jaringan
untuk dianalisis dikemudian hari.
3. NIDS (Network Intrusion Detection System) : pada mode ini snort
akan berfungsi untuk mendeteksi serangan yang dilakukan melalui
jaringan komputer.
Snort memiliki komponen yang bekerja saling berhubungan satu
dengan yang lainnya seperti berikut ini.(Ariyus, 2007:146)
1. Decoder : sesuai dengan paket yang di-capture dalam bentuk
struktur data dan melakukan identifikasi protokol, decode IP dan
kemudian TCP atau UDP tergantung informasi yang dibutuhkan,
seperti port number, dan IP address. Snort akan memberikan
peringatan jika menemukan paket yang cacat.
2. Preprocessors : suatu saringan yang mengidentifikasi berbagai hal
yang harus diperiksa seperti Detection Engine. Preprocessors
45
berfungsi mengambil paket yang berpotensi membahayakan,
kemudian dikkirin ke detection engine untuk dikenali polanya.
3. Rules File : merupakan suatu file teks yang berisi daftara aturan
yang sintaks-nya sudah diketahui. Sintaks ini meliputi protokol,
address, output plug-ins dah hal-hal yang berhubungan dengan
berbagai hal.
4. Detection Engine : menggunakan detection plug-ins, jika
ditemukan paket yang cocok maka snort akan menginisialisasi
paket tersebut sebagai suatu serangan.
5. Output Plug-ins : suatu modul yang mengatur format dari
keluaran untuk alert dan file logs yang bisa diakses dengan
berbagai cara, seperti console, extern files, database, dan
sebagainya.
2.7.7 BASE (Basic Analysis and Security Engine)
BASE adalah sebuah interface web untuk melakukan analisis dari
intrusi yang snort telah deteksi pada jaringan. (Orebaugh, 2008:217)
BASE ditulis oleh kevin johnson adalah program analisis sistem
jaringan berbasis PHP yang mencari dan memproses database dari
security event yang dihasilkan oleh berbagai program monitoring
jaringan, firewall, atau sensor IDS.(Kohlenberg, 2007:424)
Ini menggunakan otentikasi pengguna dan sistem peran dasar,
sehingga Anda sebagai admin keamanan dapat memutuskan apa dan
46
berapa banyak informasi yang setiap pengguna dapat melihat. Ini juga
mudah untuk digunakan, program setup berbasis web bagi orang-orang
tidak nyaman dengan mengedit file secara langsung.
2.7.8 Yersinia
Yersinia adalah alat jaringan yang dirancang untuk mengambil
keuntungan dari beberapa kelamahan di dua lapisan protokol yang
berbeda. Ini pura-pura menjadi kerangka kerja yang kuat untuk
menganalisis dan menguji jaringan digunakan dan sistem. Berikut ini
merupakan protokol yang digunakan dalam melakukan penyerangan.
Antara lain: Spanning Tree Protocol (STP), Cisco Discovery Protocol
(CDP), Dynamic Trunking Protocol (DTP), Dynamic Host
Configuration Protocol (DHCP), Hot Standby Router Protocol (HSRP),
IEEE 802.1q, Inter-Switch Link Protocol (ISL), VLAN Trunking
Protocol (VTP)
2.7.9 MRTG (Multi Router Traffic Grapher)
MRTG (Multi Router Traffic Grapher) Adalah aplikasi yang
digunakan untuk memantau beban trafik pada link jaringan. MRTG
akan membuat halaman HTML yang berisi gambar GIF yang
mengambarkan trafik melalui jaringan secara harian, mingguan,
bulanan dan tahunan.
47
2.7.10 IPTables
IPTables adalah firewall yang secara default diinstal pada semua
distribusi linux, seperti Ubuntu, Kubuntu, Xubuntu, Fedora Core, dan
lainnya. Pada saat melakukan instalasi pada ubuntu, iptables sudah
langsung ter-install, tetapi pada umumnya iptables mengizinkan semua
traffic untuk lewat. (Purbo, 2008:188)
IPTables memiliki tiga macam daftar aturan bawaan dalam tabel
penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain)
atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT,
OUTPUT dan FORWARD., dan IPTables juga memiliki 3 buah tabel,
yaitu NAT, MANGLE dan FILTER.
2.8 Metode Pengumpulan Data
Metode pengumpulan data adalah cara yang dilakukan seorang peneliti
dalam untuk mendapatkan data-data dari masyarakat, agar dapat menjelaskan
pemasalahan penelitiannya.(Sare, 2006 :117)
Terdapat dua hal utama yang mempengaruhi kualitas data hasil
penelitian, yaitu : kualitas instrumen penelitian, dan kualitas pengumpulan
data.(Sugiyono, 2009:137) kualitas instrumen penelitian berkenaan dengan
validitas dan reliabilitas instrumen dan kualitas pengumpulan berkenaan
terhadap ketepatan cara-cara yang digunakan untuk mengumpulkan data.
Bila dilihat dari sumber datanya, maka pengumpulan data dapat
menggunakan sumber primer dan sumber sekunder. Sumber primer adalah
48
sumberdata yang langsung memberikan data kepada oengumpul data, dan
sumber sekunder merupakan sumber yang tidak langsung memberikan data
kepada pengumpul data, tetapi melalui pihak ketiga.
Selanjutnya bila dilihat dari segi car dan teknik pengumpulan data,
maka pengumpulan data dapat dilakukan dengan interview (wawancara),
kuisioner (angket), observasi (pengamatan), dan gabungan ketiganya.
(Sugiyono, 2009:137)
2.8.1. Interview (wawancara)
Wawancara adalah suatu proses tanya jawab lisan, dalam mana
dua orang atau lebih berhadapan secara fisik, yang satu dapat melihat
muka yang lain dan mendengar dengan telinga sendiri dari suaranya.
(Sukandarrumidi, 2002:88)
Wawancara digunakan sebagai teknik pengumpulan data apabila
peneliti ingin melakukan studi pendahuluan untuk menemukan
permasalaha yang harus diteliti, dan juga apabila peneliti ingin
mengetahui hal-hal dari responden yang lebih mendalam dan jumlah
respondennya sedikit/kecil. (Sugiyono, 2009:137)
Wawancara dapat dilakukan secara terstruktur maupun tidak
tersetruktur, dan dapat dilakukan melalui tatap muka (face to face)
maupu dengan menggunakan telepon.
49
2.8.2 Kuesioner (Angket)
Kuesioner merupakan teknik pengumpulan data yang dilakukan
dengan cara memberikan seperangkat pertanyaan atau pernyataan
tertulis kepada responden untuk dijawabnya. (Sugiyono, 2009:142)
Kuesioner merupakan teknik pengumpulan data yang efisien bila
peneliti tahu dengan pasti variabel yang akan diukur dan tahu apa yang
bisa diharapkan dari responden.
2.8.3 Observasi (Pengamatan)
Observasi adalah pengamatan dan pencatatan suatu objek dengan
sistematika fenomena yang diselidiki. (sukandarrumidi, 2002:69)
Observasi sebagai teknik pengumpulan data mempunyai ciri yang
spesifik bila dibandingkan dengan teknik yang lain, yaitu wawancara
dan kuesioner. (Sugiyono, 2009:145) Kalau wawancara dan kuesioner
selelu berkomunikasi dengan orang, maka observasi tidak terbatas pada
orang, tetapi juga obyek-obyek alam yang lain.
Teknik pengumpulan data dengan observasi ddigunakan bila,
penelitian berkenaan dengan prilaku manusia, proses kerja, gejala-
gejala alam, dan bilaresponden yang diamati tidak terlalu besar.
2.8.4 Studi Literatur
Studi literatur dalam sebuah penelitian untuk mendapatkan
gambaran yang menyeluruh tentang apa yang sudah dikerjakan orang
lain dan bagaimana orang mengerjakannya, kemudian seberapa berbeda
50
penelitian yang akan kita lakukan. Tujuan utama melakukan studi
literatur ialah:
1. Menemukan variable-variabel yang akan diteliti.
2. Membedakan hal-hal yang sudah dilakukan dan menentukan hal-hal
yang perlu dilakukan.
3. Melakukan sintesa dan memperoleh perspektif baru.
4. Menentukan makna dan hubungan antar variable.
2.8.5 Studi Pustaka
Studi pustaka (desk study) merupakan suatu metode pengumpulan
data berupa laporan-laporan studi terdahulu seperti paper atau makalah,
serta data sekunder yang dibutuhkan dalam mendisain riset, serta
menganalisis hasil studi. Studi pustaka terkait dengan berbagai sumber
informasi tentang dasar dari IDS serta perancangan dan sistem kerja
dari IDS tersebut.
2.9 Metode Pengembangan Sistem
NDLC (Network Development Life Cycle) adalah menetapkan strategi
untuk melakukan pembaharuan suatu organisasi dari sistem jaringan.
(Goldman, 2001 : 470) Tahapan-tahapan dari NDLC yang diambil oleh
penulis dalam melakukan penelitian pengembangan aplikasi ini adalah:
51
Gambar 2.2 Siklus NDLC (Network Development Life Cycle) (Sumber : Goldman, 2001 : 470)
2.9.1 Analisis
Analisis sistem adalah penelitian sistem yang telah ada dengan
tujuan untuk merancang sistem yang baru atau diperbaharui. Tahapan
dari analisi adalah sebagai berikut :
1. Identify : aktivitas mengidentifikasi permasalahan yang dihadapi
sehingga dibutuhkan proses pengembangan sistem.
2. Understand : aktivitas untuk memahami mekanisme kerja sistem
yang akan dibangun atau dikembangkan.
3. Analyze : menganalisa sejumlah elemen atau komponen dan
kebutuhan sistem yang dibangun atau dikembangkan.
4. Report : aktivitas merepresentasikan proses hasil analisis.
2.9.2 Perancangan
Perancangan sistem adalah proses pengembangan spesifikasi
sistem baru berdasarkan hasil rekomendasi analisis sistem. Dalam tahap
52
perancangan, tim kerja design harus merancang spesifikasi yang
dibutuhkan dalam berbagai kertas kerja. Kertas kerja itu harus memuat
berbagai uraian mengenai input, proses, dan output dari proses yang
diusulkan.
2.9.3 Simulasi Prototyping
Prototyping merupakan pembuatan model system (prototype)
yang pembangunan atau pengembangannya dapat dilakukan dengan
cepat. Prototyping mengakibatkan proses pembangunan atau
pengembangan lebih cepat dan mudah.
Tujuan utama prototyping adalah melibatkan pengguna dalam
mendesain sistem dan merespon umpan balik dari pengguna pada tahap
awal pembangunan/pengembangan sistem. Akibatnya waktu dan biaya
akan lebih hemat.
2.9.4 Implementasi
Implementasi merupakan kegiatan akhir dari proses penerapan
sistem baru dimana sistem yang baru ini akan dioperasikan secara
menyeluruh. Terhadap sistem yang baru itu sudah harus dilakukan
proses analisis dan desain secara rinci.
2.9.5 Monitoring
Pemantauan yang dapat dijelaskan sebagai kesadaran tentang apa
yang ingin diketahui, pemantauan berkadar tingkat tinggi dilakukan
53
agar dapat membuat pengukuran melalui waktu yang menunjukkan
pergerakan ke arah tujuan atau menjauh dari itu. Monitoring akan
memberikan informasi tentang status dan kecenderungan bahwa
pengukuran dan evaluasi yang diselesaikan berulang dari waktu ke
waktu. Pemantauan umumnya dilakukan untuk tujuan tertentu, untuk
memeriksa terhadap proses berikut objek atau untuk mengevaluasi
kondisi atau kemajuan menuju tujuan hasil manajemen atas efek
tindakan dari beberapa jenis antara lain tindakan untuk
mempertahankan manajemen yang sedang berjalan.
2.9.6 Management
Manajemen adalah pengendalian dan pemanfaatan dari dapa
semua faktor dan sumberdaya yang menurut suatu perencanaan,
diperlukan untuk mencapai atau menyelesaikan suatu obyek atau
tujuan-tujuan tertentu.
54
BAB III
METODOLOGI PENELITIAN
3.1 Metodologi Pengumpulan Data
3.1.1 Studi Pustaka
Untuk melengkapi kebutuhan informasi yang diperlukan dalam
penulisan skripsi ini, penulis mendapatkan informasi dari beberapa
referensi yang diperoleh dari buku-buku yang terdapat didalam
perpustakaan dan beberapa artikel atau buku elektronik yang diperoleh
dari media Internet.
3.1.2 Observasi
Observasi atau pengamatan merupakan salah satu teknik
pengumpulan data atau fakta yang cukup efektif untuk mempelajari
suatu sistem. Observasi adalah pengamatan langsung para pembuat
keputusan berikut lingkungan fisiknya dan atau pengamatan langsung
suatu kegiatan yang sedang berjalan.
Guna mengumpulkan informasi mengenai kebutuhan sistem maka
penulis melakukan pengumpulan data dengan cara observasi ditempat
penelitian, yaitu pada YAYASAN PEMBINAAN PENDIDIKAN
NUSANTARA, tanggal 14 Desember 2009, dengan saudara Raihan
Achyar Rusdiasyah, S.Kom yang bertindak sebagai kepala labolaturium
jaringan, tentang implementasi Intrusion Detection System untuk
55
filtering paket data. Dalam penelitian ini, Penulis terjun langsung
kelapangan untuk melihat sistem apa yang digunakan. Hal ini dilakukan
agar penulis dapat melakukan analisis terhadap sistem yang telah
berjalan serta menentukan sistem baru yang akan diterapkan agar cocok
dengan sistem yang sudah ada apabila ada ketidak cocokan pada sistem
yg digunakan sebelumnya.
3.1.3 Studi Literatur
Berikut adalah bahan pertimbangan dalam penulisan skripsi :
Hidayat (2008) dengan judul skripsi “Pengembangan Intrusion
Detction system dan Active Respone pada Transparent Single-Homed
Bastion Host HTTP Proxy Server Firewall Sebagai Solusi Keamanan
Sistem Proxy. Berikut adalah abstrak dari saudara Hidayat:
HTTP proxy server yang bertugas sebagai penyedia layanan protocol
http (akses internet) yang dibangun sebagai server terintegrasi dari
sejumlah layanan spesifik, berperan sangat penting didalam suatu
sistem jaringan komputer. Berbagai aset informasi penting yang
berada didalamnya membuat aspek keamanan sistem proxy menjadi
sangat krusial sedemikian sehingga dibutuhkan suatu system yang
dapat mendeteksi sekaligus mencegah aktifitas intruksi dan serangan
yang mengancam sistem proxy.
Transparent single-homed bastion HTTP proxy server firewall
merupakan server HTTP proxy berjenis transparan yang ditempatkan
56
sebagai satu-satunya host internal yang dapat berkomunikasi dengan
internet (eksternal) melalui satu network adapter, IDS adalah sistem
yang secara intensif melakukan pendeteksian aktifitas instruksi dan
penyerangan terhadap aset/sumber daya sistem jaringan komputer.
Active respone adalah mekanisme yang produktif merespon dan
mencegah network traffic yang mendeteksi IDS sebagai sebagai suatu
aktifitas instruksi/serangan.
Metode pengembangan sistem yang digunakan dalam penelitian ini
adalah NDLC. Penulis menggunakan Squid (proxy server) yang di
implementasikan pada mesin server berbasis Trustux Secure Linux
(TSI) yang juga bertindak sebagai web server (Apace), database
server (MYSQI), SSH server (open SSH), FTP Server (USFTP) dan
NDS Server (BIND), Snort, barnyard BASE dan oinkmaster
diimplementasikan pada mesin sensor berbasis open BSD, Agen
Snortsam (active respone) diimplementasikan pada mesin sensor,
server dan firewall (berbasis TSI). Keseluruhan sistem dibangun
didalam simulasi WAN yang mempresentasikan sistem produksi.
Hasil penelitian skripsi ini mengumpulkan bahwa sistem proxy yang
secara transparan dengan menggunakan NIC tunggal dan berperan
sebagai paket filtering firewall dapat menjadi solusi sistem proxy yang
praktis, tangguh dan bermanfaat. Integritas IDS dan active respon
dapat berfungsi mendeteksi sekaligus mencegah aktifitas
instruksi/serangan terhadap sistem proxy.
57
Pada skripsi yang menjadi bahan pertimbangan penulis dalam
melakukan penelitian, metode yang digunakan adalah NMAP Port
Scanning Attack dan URL Exploit Attack (HTTP Traffic).
Sedangkan yang penulis lakukan pada skripsi ini adalah pendeteksian
dan pemantauan terhadap jaringan komputer dengan menggunakan
aplikasi Snort dan beberapa aplikasi pendukung seperti BASE (Basic
Analysis and Security Engine), Wireshark / Ethereal,
Bandwidthd, dan MRTG (Multi Router Traffic Grapher) dengan
tujuan mengetahui bagaimana proses serangan dapat terjadi dan
bagaimana cara penaggulangannya serta yang membedakan skripsi
penulis dengan skripsi sebelumnya adalah dalam penerapan sistem
keamanan yang digunakan yaitu dengan menggunakan metode MAC
Filtering dan IPTables.
3.2 Metode Pengembangan Sistem
NDLC (Network Development Life Cycle) adalah menetapkan strategi
untuk melakukan pembaharuan suatu organisasi dari sistem jaringan.
Tahapan-tahapan dari NDLC yang diambil oleh penulis dalam melakukan
penelitian pengembangan aplikasi ini adalah:
1. Analysis. Pada tahap ini dilakukan perumusan masalah, mengidentifikasi
konsep dari IDS, Ethereal, dan beberapa perangkat jaringan.,
mengumpulkan data dan mengidentifiksikan kebutuhan seluruh
komponen sistem tersebut, sehingga spesifikasi kebutuhan sistem IDS dan
58
Snort dapat diperjelas dan perinci. Pada tahapan analisis penulis
melakukan:
a. Identifikasi : penulis mencoba mengidentifikasi permasalahan yang
ada, seperti mencari dari mana serangan itu datang beserta caranya,
dan bagaimana cara mengatasi terhadap serangan tersebut.
b. Understand : penulis melakukan pemahaman dari berbagai sumber
mengenai proses penyerangan dilakukan, serta mencari cara dalam
pencegahan.
c. Analyze : penulis melakukan analisa terhadap perangkat lunak yang
ada, apa sudah memenuhi syarat atau harus membutuhkan tambahan
perangkat lunak.
d. Report : setelah tahapan yang sebelumnya dilakukan maka penulis
melakukan pelaporan hasil dari fase analisis ini.
2. Design. Tahap ini merupakan perancangan mendefinisiskan “bagaimana
cara sistem tersebut dapat melakukannya”. Pada fase ini, spesifikasi
perancangan sistem yang akan dibangun merupakan hasil dari tahapan
analisis yang akan digunakan untuk menghasilkan spesifikasi
perancangansistem yang akan dikembangkan. Pada tahap perancangan
penulis melakukan :
a. Merancang topologi jaringan untuk simulasi WAN sebagai
representasi lingkungan jaringan sebenarnya.
b. Merancang penggunaan sistem operasi dan aplikasi pada server,
client, dan komputer penyusup.
59
3. Simulation Prototyping. Tahapan selanjutnya adalah pembuatan prototype
sistem yang akan dibangun sebagai simulasi dari implementasi sistem
produksi. Dengan demikian dapat diketahui gambaran umum dari proses
komunikasi, keterhubungan dan mekanisme kerja dari interkoneksi
keseluruhan elemen sistem yang akan dikembangkan. Pada tahap ini
penulis dalam melakukan pengembangan sistem menggunakan media
virtualisasi yaitu VM-Ware untuk menghindari kesalahan dan kerusakan
data. Pada tahap ini yang dilakukan penulis adalah membangun jaringan
virtual.
4. Implementation. Dimana fase ini, rancangan solusi pada fase perancangan
digunakan sebagai panduan instruksi implementasi pada ruanglingkup
WAN (Wide Area Notwork). Aktivitas yang dilakukan pada fase ini
diantaranya adalah instalasi dan konfigurasi terhadap topologi jaringan,
IDS, Snort, dan perangkat lainnya.
5. Monitoring. Hal ini mengingat proses yang dilakukan melalui aktivitas
pengoperasian dan pengamatan terhadap sistem yang sudah dibangun atau
dikembangkan dan sudah diterapkan untuk memastikan dimana IDS,
Wireshark, dan server pendukung sudah berjalan dengan baik pada ruang
lingkup jaringan WAN. Yang dilakukan pada fase ini adalah melakukan
pengujian untuk memastikan apakah sistem IDS yang dikembangkan
sudah sesuai dengan kebutuhan atau menjawab semua spesifikasi
pertanyaan dan permasalahan yang dirumuskan.
60
6. Management. Pada NDLC proses manajemen atau pengelolaan sejalan
dengan aktivitas perawatan atau pemeliharaan sistem, jaminan efektivitas
dan interkoneksi sistem menjadi masukan pada tahap ini untuk
mendapatkan keluaran berupan jaminan fleksibelitas dan kemudahan
pengelolaan serta pengembangan sistem IDS dan Snort dimasa yang akan
datang.
61
Gambar 3.1 Diagram Alur Penelitian
62
BAB IV
ANALISA DAN PEMBAHASAN
Pada bab ini penulis akan menjelaskan proses implementasi sistem
monitoring keamanan jaringan yang mengintegrasikan IDS dan Snort yang
berbasis open source, dalam studi kasus pengamanan diterapkan pada mesin
sensor dengan menerapkan landasan teori dan metode penelitian yang sudah
dibahas pada bab-bab sebelumnya.
Metode penelitian yang penulis gunakan adalah metode NDLC. Dengan
NDLC, siklus hidup pengembangan sistem jaringan didefinisikan pada sejumlah
fase, antara lain : analysis, design, simulation prototyping, implementation,
monitoring, dan management.
4.1 Analisis
Model NDLC memulai siklus pengembangan sistem jaringannya pada
tahap analisis. Penulis membagi aktifitas pada tahap analisis ini menjadi
beberapa fase, yaitu : identifikasi (mengidentifikasi rumusan masalah),
pemahaman (memahami rumusan masalah dan memahami bentuk
penyelesaian permasalahan), analisis (analisis kebutuhan sistem rancangan),
dan report (pelaporan yang berisi spesifikasi dari hasil analisis)
4.1.1 Identifikasi
Identifikasi dari terjadinya aktivitas penyusupan dan penyerangan
pada aset atau sumberdaya sistem adalah tidak adanya sistem yang
63
intensif mengamati dan analisis arus paket penyusupan atau
penyerangan sehingga tidak ada tindakan pencegahan lebih lanjut untuk
mengurangi resiko terjadinya berbagai dampak buruk penyusupan dan
penyerangan terhadap aset-aset sumber daya pada YAYASAN
PEMBINAAN PENDIDIKAN NUSANTARA khususnya dalam
penelitian ini.
4.1.2 Understand
Hasil identifikasi rumusan permasalahan diatas membutuhkan
pemahaman yang baik agar dapat menghasilkan solusi yang tepat guna.
Dengan menggunakan metode studi pustaka penulis memanfaatkan
perpustakaan dan internet untuk mengumpulkan sejumlah data dan
informasi dari berbagai sumber dalam bentuk buku, makalah, literatur,
artikel dan berbagai situs web mengenai topik permasalahan terkait.
Hasilnya digunakan untuk memahami permasalah yang terjadi untuk
merumuskan solusi efektif dalam menyelesaikan berbagai rumusan
permasalahan.
Pemahaman ini pulalah yang penulis gunakan untuk merancang,
membangun dan mengimplementasikan sistem yang diharapkan dapat
mengatasi berbagai perumusan permasalahan yang ada. Penulis terfokus
untuk memahami konsep-konsep dari sistem IDS (Intrusion Detection
System), dan sistem pencegah intrusi.
64
4.1.3 Analyze
Analisa kebutuhan perangkat sistem IDS (Intrusion Detection
System) merupakan faktor penunjang sebagai pondasi awal untuk
mempeorleh suatu keluaran yang diinginkan dalam penulisan ini.
Penulis akan membangun dan mengimplementasikan IDS berbasis
signature/rules pen source, dengan menggunakan integrasi dari Snort,
Barnyard, dan BASE.
Snort bertugas mendeteksi berbagai aktifitas intrusi dan
penyerangan yang terjadi pada jaringan komputer dan akan memicu
alert bila terjadi aktifitas intrusi. Barnyard bertugas mengenali file
output Snort, sehingga snort dapat bekerja jauh lebih fokus mengamati
traffic. BASE (Basic Analysis Security Engine) bertugas untuk
merepresentasikan log file snort kedalam format berbasis web yang
lebih bersahabat hingga dapat mempermudah proses audit dan analisis.
4.1.4 Report
Dari tahapan identifikasi, understandi, hingga pada tahap analyze
maka dapat disimpulkan, bahwa pada tempat penulis melakukan
penelitian dibutuhkan sistem penunjang keamanan yang dapat
merespon tindakan-tindakan intrusi. Sehingga penulis mengambil
keputusan untuk menerapkan sistem IDS yang dapat menangkap
tindakan tersebut dan diharapkan dapat dilakukannya tahap pencegahan.
65
4.2 Design (Perancangan)
Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem
yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan
untuk menghasilkan rancangan sistem yang akan dibangun. Dalam penelitian
ini, penulis menggunakan simulasi WAN sebagai representasi sistem jaringan
lingkungan produksi. Dengan kata lain, proses pengujian sistem aplikasi IDS
(Intrusion Detection System) tidak menggunakan lingkungan nyata atau
lingkungan internet. Penulis membagi proses perancangan menjadi:
4.2.1 Perancangan Topologi Jaringan
Perancangan ini berdasarkan konsep dan gambaran yang
menjelaskan perangkat sebenarnya dalam suatu sistem yang penulis
gambarkan dengan topologi sebagai berikut:
Gambar 4.1 Topologi Jaringan
66
Rincian keterangan dari gambar topologi jaringan komputer diatas
adalah sebagai berikut :
1. Jenis topologi yang diterapkan adalah Star.
2. Seluruh alamat internet protocol yang digunakan adalah kelas C.
3. Kabel straight untuk menghubungkan switch atau hub dengan host,
router dengan hub atau switch.
Pada skripsi ini kedua jenis kabel tersebut dibutuhkan untuk
menghubungkan perangkat-perangkat jaringan yang digunakan. Berikut
penjelasan jenis kabel yang digunakan untuk menghubungkan setiap
perangkatnya.
1. Jenis kabel yang digunakan dari router untuk menghubungkan
kesebuah komputer sensor adalah tipe straight.
2. Dari komputer sensor menuju switch menggunakan tipe kabel
straight.
3. Jenis kabel yang digunakan untuk menyambungkan antara switch
dengan client adalah tipe straigh.
4. Tipe koneksi yang digunakan dari router menuju komputer hacker
adalah melalui media transmisi wireless.
Berdasarkan uraian diatas, maka dapat lebih diperinci kedalam
sebuah tabel. Rincian tersebut adalah sebagai berikut:
67
Tabel 4.3 Rincian Topologi Fisik
No Sumber Tujuan InterfaceTipe
Koneksi
1 Penyerang Router - Wireless
2 Router Firewall Eth 1-1 Stright
3 Firewall Switch Eth 2-1 Stright
4 Switch Client / Sensor Eth 2,3,4 Stright
Tabel 4.4 Rincian IP Topologi Fisik
No Device IP Address Subnet Mask Gateway
1 Router Wireless
192.168.0.1 255.255.255.0 ---
2 Penyerang 192.168.0.2 255.255.255.0 192.168.0.1
3 Firewall192.168.0.2 –192.168.0.3
255.255.255.0 192.168.0.1
4Mesin IDS /
Sensor192.168.0.4 255.255.255.0 192.168.0.1
5 Client 192.168.0.5-6 255.255.255.0 192.168.0.1
4.2.2 Perancangan Sistem
Setelah rancangan topologi jaringan dibuat, langkah selanjutnya
adalah membuat rancangan sistem baru yang akan dibangun dan
diimplementasikan, yang akan menjadi solusi berbagai rumusan
masalah. Pada tahap ini penulis mengidentifikasikan seluruh komponen
atau elemen yang dibutuhkan untuk membangun sistem IDS (Intrusion
68
Detection System) serta merancang interkoneksi antar komponen atau
elemen sistem.
Pada mesin sensor dengan menggunakan sistem operasi linux,
digunakan aplikasi snort versi 2.8.4.1 serta pada mesin server
ditempatkan aplikasi wireshark sebagai pendeteksi terjadinya intrusi
yang disebabkan oleh penyusup yang masuk kedalam jaringan
komputer server, sedangkan pada komputer penyerang menggunakan
sistem operasi open source bernama auditor security collection yang
berjalan diluar sistem windows (Open Source).
4.3 Simulation Prototyping
Pada tahap ini penulis membangun prototipe dati sistem baru yang akan
dibangun dan dimplementasikan pada lingkungan simulasi WAN (Wide Area
Network) dengan menggunakan mesin virtual pada lingkungan virtual.
Simulation prototyping mendemonstrasikan fungsionalitas sistem yang akan
dibangun.
Penulis menggunkan Vmware Workstation versi 6.0.0 untuk
memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi.
Fase pembangunan prototipe, dimaksudkan untuk memenuhi sejumlah tujuan:
1. Menjamin efektivitas fungsionalitas dari interkoneksi antar elemen atau
komponen sistem.
2. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi
sistem pada lingkungan nyata.
69
3. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi perancangan
sistem dan sudah menjadi solusi dari rumusan permasalahan.
4. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan,
pembangunan dan implementasi tidak mengganggu dan tidak
mempengaruhi lingkungan sistem nyata.
Berikut ini adalah beberapa tampilan dari sistem operasi yang
digunakan sebagai pendukung dalam penulisan skripsi yang berjalan pada
mesin virtual.
Gambar 4.2 Sistem Operasi Auditor Security Collection Pada VM-Ware
70
Gambar 4.3 Tampilan Mesin Sensor Menggunakan Ubuntu 9.10
4.4 Implementasi
Fase selanjutnya adalah implementasi atau penerapan detail rancangan
topologi dan rancangan sistem pada lingkungan nyata sebagai simulasi WAN.
Detail rancangan akan digunakan sebagai instruksi atau panduan tahap
implementasi agar sistem yang dibangun dapat relevan dengan sistem yang
sudah dirancang. Proses implementasi terdiri dari instalasi dan konfigurasi.
4.4.1 Implementasi Topologi Jaringan
Penulis mengumpulkan seluruh perangkat yang dibutuhkan di
laboraturium riset. Perangkat ini meliputi hardware dan software.
Setelah itu, penulis menempatkan seluruh perangkat sesui dengan
topologi yang sudah dibuat. Setelah semua unit terhubung satu sama
71
lain, proses selanjutnya adalah mengkonfigurasi setiap unit agar dapat
berkomunikasi satu dengan lainnya. Detail perintah konfigurasi router,
penulis lampirkan pada lembar lampiran.
Perangkat switch yang digunakan tidak membutuhkan
konfigurasi, karena perangkat tersebut tidak dapat di konfigurasi.
Sejumlah parameter dari unit mesin host yang harus dikonfigurasi
adalah alamat internet protocol, subnet mask, alamat IP gateway, dan
alamat IP DNS. Setelah instalasi dan konfigurasi selesai dilakukan,
proses selanjutnya adalah pengujian untuk memastikan fungsionalitas
koneksi, hal ini dimaksudkan untuk menjamin agar mesin yang satu
dapat berkomunikasi dengan unit mesin lain.
4.4.1.1 Konfigurasi Router
Router bertugas untuk meneruskan paket data melewati
network yang berbeda yang dianalogikan dengan kondisi yang
sesungguhnya di internet. Pada skripsi ini penulis menggunakan
satu buah router untuk menghubungkan antara mesin sensor
dengan client yang terhubung pada switch.
72
Gambar 4.4 Konfigurasi Internet Protokol Paada Router
73
Gambar 4.5 Konfigurasi Basic Setting Physical Wireless
Gambar 4.6 Konfigurasi Wireless Security
74
Pada konfigurasi router terlihat bahwa routing protokol
yang digunakan adalah DHCP (Dynamic Host Configuration
Protocol). Pengunaan IP address DHCP ini digunakan karena
jaringan yang digunakan adalah jaringan yang berbasis client-
server, dan jenis keamanan yang digunakan pada jaringan ini
menggunakan mode WAP (Wireless Application Protocol) yang
disertai dengan WAP algoritma TKIP, memiliki empat kunci
dan memiliki panjang kunci 64 bit sampai dengan 128 bit.
Gambar 4.7 Ping Client ke Router
4.4.1.2 Pemasangan Hub/Switch
Hub/Switch digunakan sebagai konsentrator yang
menghubungkan antar komputer. Switch yang digunakan pada
skripsi ini adalah zonet ZFS3008 10/100 Fast Ethernet Switch,
mempunyai 8 port. Untuk konfigurasi tidak ada pengaturan
khusus, hanya konfigurasi hostname dan memastikan tidak
terdapat VLAN (Virtual LAN).
75
4.4.2 Implementasi IDS (Intrusion Detection System)
IDS atau sistem pendeteksi intrusi penulis bangun dengan
mengunakan beberapa komponen utama, yaitu : Snort (mesin inti
IDS), Barnyard ( menangani ouput plug-in Snort) dan BASE
(mempresentasikan output Snort). IDS dibangun pada mesin sensor
dengan menggunakan sistem operasi berbasis open source yaitu linux
Ubuntu 9.10. berikut ini adalah sejumlah proses yang dikerjakan
sebelum mengimplementasikan komponen IDS :
Instalasi paket pendukung mesin sensor
01
apt-get install libpcre3 apt-get install libpcre3-dev apt-get install libpcrecpp0apt-get install libpcap0.8 apt-get install libpcap0.8-dev apt-get install mysql-server apt-get install libmysqlclient15-devapt-get install libphp-adodb apt-get install libgd2-xpm apt-get install libgd2-xpm-dev apt-get install php5-mysql apt-get install php5-gd apt-get install php-image-graph apt-get install php-image-canvasapt-get install php-pear
4.4.3 Snort
aplikasi terbaru dari snort pada saat skirpsi ini ditulis adalah
Snort versi 2.8.4.1. Keseluruhan instalasi sebagai root agar setiap file
yang dihasilkan memiliki permission root. Berikut adalah prosesnya :
76
Mempersiapkan Database Snort01 # aktifkan MYSQL
mysql -u root -p02 # membuat database untuk snort
create database snort;03 # set hak akses untuk user root
grant INSERT,SELECT on root.* to snort@localhost;04 # set password untuk user ‘snort’ dengan ‘password’
SET PASSWORD FOR snort@localhost =PASSWORD(‘password’);
05 # set hak akses untuk user ‘snort’ di localhostgrant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;
Proses Instalasi Snort01 sudo apt-get install snort-mysql02 ./configure --with-mysql03 make04 make install
Gambar 4.8 Proses Instalasi Snort
Sampai disini proses instalasi snort sudah selesai. Selanjutnya
adalah deskripsi sejumlah proses setelah instalasi snort.
77
Membuat direktori Snort
01# membuat group snortgroupadd snort
02# membuat user ‘snort’ didalam group ‘snort’useradd -g snort snort
03# membuat direktori snortmkdir /etc/snort
04# membuat direktori rules snortmkdir /etc/snort/rules
05# membuat direktori untuk logging snortmkdir /var/log/snort
Konfigurasi Rules Snort
01# salin file kedalam direktoro /etc/snortcp snortrules-snapshot-CURRENT.tar.gz /etc/snort/
02# masuk kedalam direktori /etc/snortcd /etc/snort
03# mengekstrak file Rules Snort pada direktori /etc/snorttar zxvf snortrules-snapshot-CURRENT.tar.gz
Selanjutnya adalah proses konfigurasi snort. File konfigurasi
snort berada di /etc/snort/snort.conf. berikut adalah sejumlah baris
direktif yang perlu dikonfigurasi.
Konfigurasi Snort.Conf
01# masuk kedalam direktori /etc/snortcd /etc/snort/
02# buka file konfigurasi snort.confvi /etc/snort/snort.conf
03
# rubah path lokasi signature / rules snortvar RULE_PATH /etc/snort/rulesoutput database: log, mysql, user=snort password=snort dbname=snort host=localhost
04# rubah path lokasi preprocessor rulesvar PREPROC_RULE_PATH /etc/snort/preproc_rules
05# set alamat IP sistem jaringan Internalvar HOME_NET [10.1.1.0/24,192.168.1.0/24]
05# set alamat IP sistem jaringan Eksternalvar EXTERNAL_NET !$HOME_NET
06# set direktif output snortoutput database: log, mysql, user=snort \password=snort dbname=snort host=localhost
78
4.4.4 Barnyard
Versi aplikasi Barnyard yang digunakan pada waktu penulisan
skripsi ini adalan Barnyard2 versi 1.7. Kelseluruhan proses instalasi
dilakukan sebagai root agar setiap file yang dihasilkan secara otomatis
memiliki permission root.
01# compile barnyard dengan fitur logging MYSQL./configure --with-mysql
02# instalasi Barrnyardmake && make install
03# masuk kedalam direktori Barnyard2cd /usr/local/ barnyard2-1.7
03# salin file konfigurasi Barnyard.conf ke /etc/snortcp etc/barnyard2.conf /etc/snort
Tahap instalasi sudah selesai, selanjutnya adalah konfigurasi file
barnyard dengan nama barnyard.conf yang berada pada direktori
/etc/snort/barnyard.conf.
01# buka file konfigurasi barnyard.confvim /etc/snort/barnyard2.conf
02# rubah konfigurasi hostname dan interfaceconfig hostname : localhostconfig interface : eth0
03# rubah output databaseoutput database: alert, mysql, user=snortpassword=password dbname=snort host=localhost
4.4.5 BASE (Basic Analysis Security Engine)
Aplikasi BASE yang digunakan adalah BASE versi 1.4.4.
Kelseluruhan proses instalasi dilakukan sebagai root agar setiap file
yang dihasilkan secara otomatis memiliki permission root.
79
Instalasi PEAR dan Modul PEAR
01# instalasi PEARpear install PEAR-1.9.1
02
# instalasi modul PEARpear install image-graph-0.7.2pear install image-canvas-0.3.2pear install image-color-1.0.4
Instalasi BASE 1.4.4
01# ekstrak dan instal paket PHP 4 dan PHP 5 kedalam # direktori /vartar zxvf adodb4991.tgz
02# masuk ke direktori /var/wwwcd /var/www
03# ekstrak dan instal paket BASE tar zxvf base-1.4.4.tar.gz
04# masuk kedalam direktori BASEcd /var/www/base
05# salin dan rubah nama file bernama base_confcp base_conf.php.dist base_conf.php
06# edit konfigurasi BASE bernama base_conf.phpvim base_conf.php
07
# rubah nilai dari sejumlah parameter yang terdapat pada# base_conf.php dengan variabel dibawah ini :$BASE_urlpath = "/base";$DBlib_path = "/var/adodb/"; $DBtype = "mysql"; $alert_dbname = 'snort';$alert_host = 'localhost';$alert_port = ;$alert_user = 'snort';$alert_password = 'snort'; $archive_exists = 0;$archive_dbname = 'snort';$archive_host = 'localhost';$archive_port = ;$archive_user = 'snort';$archive_password = 'snort';
80
Gambar 4.9 Halaman Utama Instalasi BASE
Gambar 4.10 Halaman Database Setup BASE
Gambar 4.11 Halaman Konfirmasi Status Instalasi Database BASE
81
4.5 Monitoring
Dalam skripsi ini tahap monitoring digunakan untuk proses pengetesan
dari sistem IDS (Intrusion Detection System) yang telah dibuat. Dimulai dari
melakukan pengetesan koneksi antar perangkat yang saling terhubung,
pengujicobaan terhadap aplikasi yang digunakan hingga melakukan proses
penyadapan data yang berada di jaringan yang ada. Berikut adalah deskripsi
proses pengujiannya :
4.5.1 Pengujian Sistem IDS (Intrusion Detection System)
Pada pembahasan ini, penulis menggunakan beberapa aplikasi
yang digunakan untuk melakukan penyerangan terhadap jaringan yang
ada. Hal ini ditujukan untuk mengetahui jenis serangan apa saja yang
sering dilakukan oleh para hacker serta serangan tersebut dilakukan
melalui port mana saja yang sering digunakan. Jenis serangan yang
akan penulis coba lakukan adalah berupa pembebanan bandwidth,
DHCP Spoofing, dan ICMP attack.
4.5.1.1 Pengujian IDS dengan Serangan TCP Flooding
Tahapan ini penulis melakukan penyerangan terhadap
komputer client dengan metode penyerangan terhadap
pembebanan jalur komunikasi TCP/IP atau biasa dikenal
dengan teknik TCP flooding. Penulis melakukan serangan
melalui jaringan wireless kedalam jaringan LAN dengan
menggunakan aplikasi Digital Blaster.
82
Hasil yang akan didapat dari proses penyerangan ini
adalah proses kerja pada komputer target akan menjadi berat
dan lama, terutama pada saat melakukan koneksi kedalam
jaringan internet. Aktivitas ini akan didetaksi oleh aplikasi
sniffing dan mesin sensor yang terpasang pada jaringan
komputer yang menjadi target.
a. proses pembebenan terhadap komputer korban melalui
komputer penyerang.
Gambar 4.12 Flooding Komputer Client
b. perekaman data dari proses penyerangan oleh penyusup yang
berhasil direkam dengan menggunakan wireshark.
83
Gambar 4.13 Hasil Capture Pada Wireshark
c. hasil konfersi dari data yang berhasil direkam oleh
wireshark.
Gambar 4.14 Hasil Konfersi Paket Data Pada Wireshark
84
Gambar 4.15 Capture pada Mesin Sensor IDS Mencatat Aktivitas dari TCP Flooding
Pada gambar 4.15 merupakan hasil perekaman data yang
ditangkap dengan menggunakan aplikasi wireshark terhadap
serangan TCP flooding. Terlihat dari serangan tersebut
besarnya paket dan protokol apa yang digunakan. Pada gambar
tersebut data yang tertangkap merupakan data yang melalui
protokol UDP dan ICMP, karena pada gambar sebelumnya
yaitu pada gambar 4.9 jenis serangan yang digunakan adalah
Dual Protocol Flood, jadi serangan menggunakan dua buah
protokol sekaligus yaitu protokol UDP dan TCP.
Dari proses scanning terlihat semua aktifitas yang telah
terekam pada aplikasi wireshark, yaitu :
1. source : merupakan sumber dari paket data yang terkirim.
85
2. destination : merupakan tujuan dari paket data yang
terkirim.
3. protocol : merupakan jalur aktifitas yang digunakan dalam
proses penyerangan.
4. info : merupakan catatan apa saja yang terjadi pada aktifitas
tersebut.
Pada gambar 4.16 terlihat bahwa serangan yang
dilakukan oleh penyusup dapat terlihat dengan menggunakan
aplikasi wireshark, yaitu serangan dengan menggunakan
protokol UDP dan TCP yang memiliki source port 1133 dan
destination port 80. Port 1133 yang termasuk kedalam jenis
protokol TCP dan UDP. Sedangkan port 80 merupakan
protokol yang biasa digunakan pada jalur internet atau HTTP
(Hypertext Transfer Protocol) yang termasuk kedalam
protokol TCP.
Dari serangan dengan menggunakan teknik ini dapat
menyebabkan suatu jaringan komputer menjadi berat dalam
melakukan koneksi antar komputer baik dalam jaringan
internet atau jaringan lokal. Untuk tahapan ini sumber daya
yang dapat diambil masih dalam katagori kecil, karena yang
diserang hanya koneksi jaringannya saja dan tidak ada data
atau file yang dicuri.
86
4.5.1.2 PING Attack (ICMP Traffic)
Pada kasus ini penulis menganalisis jenis serangan
berprotokol ICMP. Pada dasarnya, traffic ICMP yang
diproduksi oleh perintah ping, dianggap sebagai satu serangan
karena dapat dipergunakan penyerang atau penyusup untuk
mendapatkan informasi mengenai mesin target, memastikan
apakah host target dalam keadaan aktif atau tidak.
Yang pertama dilakukan penulis adalah melakukan ping
dari mesih client ataupun dari mesin penyerang kedalam mesin
sensor yang memiliki IP address 192.168.0.4
Gambar 4.16 Ping dari Client kedalam Mesin Sensor
Tahap kedua penulis menggunakan tcpdump yang
terdapat pada kebanyakan instalasi default distro linux/Unix
untuk mengkap dan menganalisa traffic data yang dihasilkan
perintah ping mesin penyerang atau client kedalam mesin
87
server. Berikut ini merupan tampilan dari dump dari traffic
ping :
Gambar 4.17 Hasil Dump Ping Traffic Client ke Sensor
Gambar 4.18 Hasin Capture Snort dengan Modus Sniffing
88
Dari data yang didapat menggunakan tcpdump, jelas
terlihat bahwa ping selalu menggunakan protocol unik ICMP
dan memuat beberapa karakter unik seperti
abcdefghijklmnopqrstuvwxyzabcdefghi.
Tahap yang selanjutnya yaitu membuat sebuah signature
dengan menggunkan parameter spesifik yang mendefinisikan
traffic serangan. Dalam hal ini, penulis menggunakan protocol
spesifik (ICMP), arah sumber traffic (any), dan arah tujuan
traffic (192.168.0.4) sebagai parameter untuk mendefinisikan
jenis serangan ini, contoh dari signature-nya adalah “alert
icmp any any -> 192.168.0.4 any (msg:”ICMP ping
attack”;sid:10001;)”.
signature tersebut akan mendeteksi traffic protokol
ICMP yang diisukan dari segmen jaringan manapun, melalui
port berapapun ke alamat IP mesin sensor 192.168.0.4 pada
port manapun.
Penulis kembali melakukan serangan ini dengan kondisi
IDS diaktifkan, proses pengujian dapat dikatakan berhasil jika
signature dapat merespon dari serangan tersebut. Kemudian,
penulis melakukan perintah ping dari mesin client atau dari
mesin penyerang kedalam mesin sensor yang memiliki IP
address 192.168.0.4. Hasilnya adalah sistem IDS berhasil
mendeteksi traffic ping yang dilancarkan pada mesin
89
penyerang dan menjelaskan bahwa terjadi “ICMP Ping
Attack”.
Gambar 4.19 Hasil Caputre pada Mesin Sensor
4.5.1.3 Pengujian IDS dengan Serangan DOS Attack (Denial Of
Services)
DoS attack adalah jenis serangan terhadap sebuah
komputer atau server atau router atau mesin didalam jaringan
internet dengan cara menghabiskan resource yang dimiliki
oleh komputer tersebut sampai komputer tersebut tidak dapat
menjalankan fungsinya dengan benar, sehingga secara tidak
langsung mencegah pengguna lain untuk memperoleh akses
layanan dari komputer yang diseranga (server) tersebut.
90
Pada tahap ini penulis mengguanakan tiga buah
komputer yang masing-masing terdiri komputer penyusup
yang menggunakan aplikasi Auditior Security Collection yang
berbasis sistem operasi open source yaitu linux yang berjalan
pada mesin virtual, komputer client yang menggunakan sistem
operasi Windows XP Sp 2 yang nantinya akan menjadi korban
secara tidak langsung dari proses penyerangan ini, dimana
client akan meminta IP address pada komputer server yang
diserang menggunakan metode DOS attack dan jenis
sserangan yang digunakan adalah DHCP spoofing oleh
penyusup, yang terakhir adalah komputer server yang
menggunakan sistem operasi Windows Server 2003 yang
merupakan target dari proses DOS attack ini.
Pada tahapan ini yang menjadi tujuan dari seorang
penyusup adalah mencuri semua IP address yang disediakan
oleh server dan membuat sebuah server baru agar para client
yang tersambung kepada komputer tersebut tidak bisa
mendapatkan IP yang diberikan oleh server yang asli, tetapi
mereka menjadi terjebak oleh IP yang disediakan oleh
komputer server palsu yang dibuat oleh penyusup.
91
Gambar 4.20 Auditor Security Collection
Aplikasi ini yang digunakan oleh hacker untuk melakukan
serangang DoS Attack kedalam komputer server dengan
menggunakan tools yang tersedia didalamnya, salah satu tools
yang digunakan adalah yersinia yang berjalan menggunakan
console, serta menggunakan aplikasi ethereal sebagai media
monitoring jaringan untuk melihat serangan-serangan yang
dilakukan oleh sang penyusup.
92
Gambar 4.21 Proses Penyerangan Dengan Yersinia
Gambar 4.22 Proses Monitoring Serangan
93
Gambar 4.23 Konversi Paket Data 1
Gambar 4.24 Konversi Paket Data 2
Serangan dilakukan oleh penyusup dengan mengetikankan
perintah yersinia dhcp –i eth0 –attack 3, terlihat tulisan pada
console “starting DOS attack sending DISCOVER
packet...”, menandakan bahwa proses DOS attack sedang
berlangsung kedalam komputer server. Dampak ini akan
94
dirasakan oleh dua pihak, pertama akan dirasakan oleh komputer
server dan kedua akan dirasakan oleh beberapa komputer client.
Sedangkan pada gambar 4.21, serangan yang dilancarkan oleh
penyusup terlihat melalui aplikasi ethereal. Serangan tersebut
terdeteksi oleh sensor, bahwa serangan yang dilakukan tersebut
menggunakan protokol UDP. Gambar 4.22 dan gambar 4.23
merupakan hasil konversi dari data yang berhasil didapat yaitu
konversi dari gambar 4.24, yang terlihat dari serangan sudah
mulai terlihat sedikit demi sedikit dimana hal tersebut dapat
diketahui dari interaksi yang terjadi antara DHCP Discover
dengan DHCP Offer.
Aktifitas ini terus berlanjut hingga seluruh alamat IP yang
disediakan oleh server habis terambil seluruhnya, bukan hanya
alamat IP yang kosong saja tetapi alamat IP yang sedang
digunakan oleh client juga dapat diambil, sehingga client yang
sedang terhubung dengan komputer server akan putus secara
tiba-tiba dan pada saat client meminta kembali layanan untuk
mendapatkan alamat IP tersebut server tidak dapat
membalasnya, dikarenakan seluruh alamat IP yang tersedia
sudah habis direbut oleh penyusup.
Pada display statistic yang terdapat pada komputer server
akan menunjukan bahwa serangan itu benar-benar terjadi dilihat
seluruh IP yang disediakan oleh server telah habis direbut oleh
95
hacker. Sampai dengan serangan ini selesai, server belum dapat
memberikan layana penyewaan alamat IP kepada client hingga
waktu yang tidak dapat di tentukan, apabila dari waktu tersebut
server belum bisa bangkit juga, maka keputusan terakhir yang
harus diambil oleh server adalah membangun atau membuat
ulang layanan dari sebuah scope DHCP yang baru agar dapat
memberikan layanan kepada komputer client.
Gambar 4.25 Display Statistik Pada Server Setelah Serangan
Dapat dilihat pada gambar 4.25, seluruh IP yang di
sediakan oleh server menjadi 0% (nol persen) atau tidak tersedia
sama sekali dan total dari IP yang digunakan sebanyak 100%
(seratus persen). Ini menujukan bahwa serangan DOS attack itu
benar-benar terjadi menyerang komputer server, sehingga server
tidak dapat memberikan layanan penyewaan IP kepada
komputer client.
96
4.5.2 Analisis Data Menggunakan BASE
Pada sub-bab ini spenulis akan mendeskripsikan proses analisi
data kejadian melalui fungsionalitas BASE.
Gambar 4.26 Halaman Utama BASE
Pada kuadran kiri atas terdapat link yang mendeskripsikan
sejumlah informasi seperti alert yang terjadi selama 24 jam terakhir dan
72 jam terakhir yang dapat ditampilkan berdasarkan parameter unik,
listing, alamat IP sumber dan tujuan. Selain itu terdapat juga informasi
seperti 15 alert terbaru, port sumber atau tujuan terbaru.
Pada kuadran kanan atas terdapat informasi waktu pengambilan
data ke database, nama database, versi skema, dan informasi waktu
tambahan. Sealain itu juga terdapat tiga link yang mendefinisikan fitur
97
pencarian, pembuatan grafik data alert, dan pembuatan grafik untuk
terdeteksinya alert.
Pada kuadran kanan bawah terdapat deskripsi profil traffic
berdasarkan protokol, dan pada kuadran kiri bawah terdapat berbagai
informasi seperti jumlah sensor, alert unik, kategorisasi, jumlah total
alert, dan sebaginya.
Penulis memanfaatkan fitur pembuatan grafis untuk
mendeskripsikan alamat IP sumber dengan jumlah serangan yang
dihasilkan. Contoh, alamat IP 192.168.0.4 memiliki jumlah alert
sebesar 74.6% (tujuh puluh empat koma enam persen) dari 175 (seratus
tujuh puluh lima) total alert yang terdetaksi.
Gambar 4.27 Diagram Batang Source IP dan Jumlah Alert
98
Pada fitur yang menampilkan profil traffic berdasarkan protokol
TCP, BASE mendeskripsikan sejumlah daftar log dan alert pada
protokol TCP.
Gambar 4.28 Tampilan Daftar Alert Pada Traffic Profile By Protocol
Terlihat berturut-turut dari kira ke kanan adalah nomer identitas
alert, informasi signature alert yang ter-generate, timestamp (waktu
terjadinya alert), alamat IP sumber, alamat IP tujuan, dan protokol yang
digunakan.
4.5.3 Pencegahan Serangan Menggunakan IPTables dan MAC Filtering
Setelah penulis melakukan beberapa proses penyerangan dan
menganalisa baik terhadap komputer target maupun terhadap komputer
sensor, penulis menemukan data dari komputer penyerang yang dapat
digunakan untuk melakukan pencegahan terhadap penyerangan-
penyerangan tersebut. Data yang berhasil diperoleh penulis adalah
99
metode yang digunakan, alamat internet protokol, alamat MAC, dan
port yang digunakan untuk melakukan penyerangan.
Gambar 4.29 Data Yang Diperoleh dari Komputer Penyusup dengan Mode Sniffing dari Snort
Gambar 4.30 Data Yang Diperoleh dari Komputer Penyusup dengan TCPDump
100
Gambar 4.31 Traffic Serangan Yang Ditangkap Pada FirewallDengan MRTG (Multi Router Traffic Grapher)
Dari data yang diperoleh, maka penulis dapat melakukan
pencengahan terhadap penyerangan tersebut. Dalam melakukan
pencegahan ini, penulis melakukannya dengan dua cara yaitu dengan
IPTables dan MAC Filtering.
Cara pertama, yang penulis lakukan adalah konfigurasi pada
komputer firewall yang bertindak sebagai gateway sangat diperlukan
dalam proses ini, dengan cara memasukan source yang diperoleh dari
komputer penyusup seperti alamat IP, alamat MAC, dan protokol yang
digunakan dengan menggunakan fitur dari mesin firewall yaitu dengan
iptables. Sehingga, yang dihasilkan dari konfigurasi ini adalah
penyerang tidak dapat melakukan aktivitas yang sama terhadap
komputer target seperti melakukan PING terhadap komputer yang
dituju.
101
Gambar 4.32 Blok Target Dengan IPTables
Pada gambar diatas penulis mengisukan sebuah perintah untuk
melakukan pemblokiran terhadap komputer penyerang. Penulis
menggunakan perintah “iptables –I FORWARD –s 192.168.0.2 –j
DROP” yang berjalan pada konsole. “–I” atau Insert digunakan oleh
penulis untuk memasukan perintah pada baris chain, perintah akan
berada pada posisi rules teratas sehingga proses dapat dijalankan lebih
awal. Dapat dilihat dengan menggunakan perintah iptables –L, pada
tabel chain FORWARD perintah yang dimasukan tadi terdapat pada
awal baris rules. “FORWARD” pada iptables digunakan untuk
meneruskan paket dari jaringan eksternal ke dalam jaringan inernal
melalui mesin firewall. Perintah ini digunakan karena serangan ini
berasal dari luar jaringan yang masuk kedalam jaringan internal melalui
mesin firewall. “–s” untuk mencocokan paket berdasarkan alamat IP
sumber. “192.168.0.2” merupakan source dari komputer penyerang
102
yang akan diblokir. “–j DROP” men-drop paket dan menolak untuk
diproses lebih lanjut.
Cara kedua, selain dengan menggunakan iptables, cara
pencegahan yang dilakukan oleh penulis juga dengan menggunakan
MAC Filtering yang merupakan fitur dari router access point yang
digunakan dalam peneltian ini. Tahapan ini dilakukan dengan
mengfokuskan pada alamat MAC yang dimiliki oleh komputer
penyerang.
Gambar 4.33 Pemilihan Alamat MAC Peyerang
Gambar 4.34 Alamat MAC Peyerang Yang Sudah Terdaftar Dalam MAC Filtering
103
Secara otomatis komputer yang memiliki alamat MAC yang
sudah didaftarkan pada konfigurasi router tidak dapat lagi terhubung
dengan jaringan wireless dan melakukan tindakan-tindakan intrusi.
Pencegahan dengan cara ini dilakukan penulis untuk melumpuhkan
koneksi penyerang secara total untuk menjaga sumber daya yang
terdapat pada komputer target agar dapat selalu terlindungi dari hal-hal
yang tidak diharapkan. Ini dapat dilihat dari proses scanning pada
mesin sensor akan berhenti, itu menandakan proses pemblokiran
terhadap mesin penyerang berhasil dilakukan.
Gambar 4.35 Sensor Snort Berhenti Mendeteksi Setelah SeranganBerhasil di Blok Dengan IPTables
104
Gambar 4.36 Grafik Pengiriman Serangan Dari Penyerang Setelah Dilakukan Pemblokiran Dengan IPTables
Gambar 4.37 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
105
Gambar 4.38 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
Gambar 4.39 Grafik Pemenerima Data Serangan Pada Sensor IDS Setelah Diblok Dengan IPTables
Jika salah cara penceegahan yang dilakukan oleh penulis yaitu
dengan menggunakan iptables dan MAC Filtering telah dilakukan,
maka akan mendapatkan hasil yang dapat dilihat pada gambar 4.36
hingga gambar 4.39.
Gambar-gambar tersebut memperlihatkan proses pada mesin
sensor yang menggunakan snort berhenti mendeteksi adanya serangan
106
dan grafik yang menunjukan jumlah serangan secara drastis turun karna
adanya pencegahan yang dilakukan dengan menggunakan IPTables
dan MAC Filtering.
4.5.4 Keuntungan dan Hasil Menggunakan IDS (Intrusion Detection
System)
Setelah penulis melakukan berbagai proses dalam penerapan IDS,
maka penulis mendapatkan kemudahan dalam penerapannya. Dapat
diperoleh hasil dari penerapan IDS ini, yaitu suatu jaringan komputer
dapat dipantau hanya dengan melalui sebuah mesin atau komputer yang
bertindak sebagai sensor didalam jaringan dan tehubung kedalam
sebuah jaringan, itu dapat melihat semua kejadian yang sedang terjadi
didalamnya.
Selain keuntungan yang didapat dalam penerapan IDS ini, penulis
juga mendapatkan hasil dari sistem IDS dalam mengamankan jaringan,
yaitu jika terdapat sebuah masalah pada jaringan (proses intrusi) maka
dapat diketahui secara langsung oleh IDS ini yang menggunakan Snort.
Dari mana serangan itu datang, melalui port berapa, dan protokol apa
yang digunakan.
4.6 Manajemen
Tahap akhir ini tidak ada tindakan yang dilakukan, sehingga pada
skripsi ini tahap yang dilakukan hanya sampai pada tahap monitoring.
107
BAB 5
KESIMPULAN DAN SARAN
Dari hasil pembahasan yang terdapat dari bab sebelumnya maka penulis
menarik kesimpulan apa yang sudah didapat dari hasil praktek atau percobaan
terhadap sistem IDS (Intrusion Detection System).
5.1 Kesimpulan
1. Sistem IDS dalam mendeteksi serangan yang terjadi adalah dengan
melakukan scanning terhadap sejumlah source dan lalu-lintas yang terjadi
didalam jaringan, sehingga seluruh kejadian yang dianggap sah maupun
tidak sah dapat dilihat melalui kegiatan monitoring dengan menggunakan
aplikasi yang digunakan untuk melakukan pemantauan jaringan, ini dapat
dilihat pada gambar 4.15 yang merupakan hasil capture menggunakan
Snort.
2. Pertahanan yang digunakan adalah dengan melakukan konfigurasi
terhadap router yang bertindak sebagai gateway dengan menggunakan
MAC Filtering serta konfigurasi pada mesin firewall dengan
menggunakan fitur iptables yang dapat dilihat pada gambar 4.32 dan
gambar 4.33.
3. Sistem IDS ini akan memberikan informasi atau peringatan kepada penulis
melalui mesin sensor, yang kemudian akan dilalukan analisa terhadap
source yang telah diperoleh dan dilakukiannya pencegahan, dapat dilihat
pada gambar 4.28.
108
5.2 Saran
1. Pada tempat dimana penulis melakukan penelitian, sistem intrusi yang
digunakan sudah cukup merespon terhadap lalulintas dan serangan yang
terjadi pada jaringan, akan tetapi lebih baik lagi jika menggunakan sistem
intrusi yang memiliki respon yang lebih sensitif terhadap berbagai jenis
serangan, sehingga dapat diketahui jenis serangan yang sedang terjadi.
2. Dalam segi pendeteksian yang dilakukan dengan baik karena dapat
melihat lalulintas jaringan yang sedang terjadi, akan tetapi dari sisi
pencegahan masih harus dikembangkan lagi dalam melindungi aset yang
terdapat pada komputer yang menjadi tujuan dari penyerangan.
109
DAFTAR PUSTAKA
Ali Zaki. “Laws And Regulations On Consumer Protection”, Salemba, Jakarta, 1999.
ali pangera dan dony ariyus. “sistem operasi”, Andi, Yogyakarta, 2005.
Angela Orebaugh,Gilbert Ramirez,Josh Burke and Jay Beale. “Wireshark & Ethereal network protocol analyzer toolkit”, syngress publihing, canada, 2007.
Becky Pinkard and Angela Orebaugh. “Nmap in the Enterprise: Your Guide to Network Scanning”, syngress, United State Of America, 2008.
Carl Endorf, Eugene Schultz and Jim Mellander. “Instrusion Detection & Prevention”, Emeryville, California, 2004.
Djon Irwanto. “Membangun Object Oriented Software Dengan Java dan Object Database”, PT Alex media komputindo, Jakarta, 2007.
Dony Ariyus. “Intrusion Detection System”, ANDI, Yogyakarta, 2007.
Edhy Sutanta. “Komunikasi Data Dan Jaringan Komputer”, Graham Ilmu, Yogyakarta, 2005.
Edi S. Mulyanta. “Pengenalan Protokol Jaringan Wireless Komputer”, ANDI, yogyakarta, 2005.
Hendra Wijaya. “Belajar Sendiri : Exchange Server 2007”, PT.elex media komputindo, Jakarta, 2007.
http://cahyoedi.files.wordpress.com/2008/03/layer-protocol-standar-ieee-80216.jpg
Kenneth C Laudon dan Jean P laudon. “Sistem Informasi Manajemen 2 (ed.10)”,salemba empat, jakarta, 2008.
Lammle, Todd. “CCNA : Cisco Certified Network Associate Study Guide”, Sybex, Canada, 2007.
Lia Kuswayatno. “Mahir Berkomputer”, Grafindo Media Pratama, Jakarta, 2006.
Lukas Tanutama. “Jaringan Computer”, PT. Alex Media Komputindo, Jakarta, 1995.
110
Mcreynolds. “Networking Basics CCNA 1 Labs and Study Guide”, cisco systems, india, 2007.
Melwin Syafrizal. “Pengantar Jaringan Komputer”, Andi, Yogyakarta, 2005.
Murti Martoyo. “Lahirnya tahun Indonesia untuk ilmu pengetahuan 2005-2006: buku eksklusif”, Lembaga Ilmu Pengetahuan Indonesia,Indonesia, 2005.
Naproni. “Seri Penuntun Praktis : Membangun Lan Dengan Windows Xp”,PT.elex media komputindo, Jakarta, 2007.
Onno W Purbo. “Buku Pintar Internet TCP/IP”, PT. Alex Media Komputindo, Jakarta, 2007.
Rahmat Rafiudin. “Panduan Membangun Jaringan Komputer Untuk Pemula”,PT.elex media komputindo, Jakarta, 2003
Rahmat Rafiudin. “MengupasTuntas Cisco Router”, PT.elex media komputindo, Jakarta, 2003.
Telkom.net. “Packet-switched”, artikel ini diakses tanggal 23 februari 2010 pada jam 20.07, dari http://www.telkom.net/index.php?option= com_glossary&func=display&letter=P&Itemid=86&catid=39&page=1
Wahana Komputer. “SPP Menginstal Jaringan Komputer”, PT. Alex Media Komputindo, Jakarta, 2006.
Wikipedia bahasa Indonesia, ensiklopedia bebas. “Topologi Jaringan”, artikel ini diakses tanggal 23 februari 2010 pada jam 19.24, dari http://clickmusab.blogspot.com/2010/04/perangkat-perangkat-wan.html
Wikipedia bahasa Indonesia, ensiklopedia bebas. “Topologi Jaringan”, artikel ini diakses tanggal 23 februari 2010 pada jam 15:29, dari http://id.wikipedia.org/wiki/Jaringan_komputer
Wikipedia bahasa Indonesia, ensiklopedia bebas. “Analisis”, artikel ini diakses tanggal 24 februari 2010 pada jam 12:24, dari http://id.wikipedia.org/wiki/Analisis
Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Circuit switching”, artikel ini diakses tanggal 28 April 2010, dari http://id.wikipedia.org/wiki/Circuit_switching
111
Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Sistem Deteksi Instruksi”, artikel ini diakses tanggal 12 September 2008, dari http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi
Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Jaringan Komputer”, artikelini diakses tanggal 23 Mei 2010, dari http://id.wikipedia.org/wiki/Jaringan_komputer
Yuni Sare dan P. Citra. “Antropologi SMA/MA Kls XII (Diknas)”, PT. Grasindo, Jakarta, 2006.
1
IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK FILTERING PAKET DATA
(Implementation Intrusion Detection System For Filtering Data Packets)
Muhammad Satria NugrahaMahasiswa Program Studi Teknik Informatika
Universitas Islam Negeri Syarif Hidayatullah JakartaE-mail : [email protected]
ABSTRAKGangguan keamanan dapat dibagi menjadi dua kategori, gangguan internal dan gangguan eksternal. Gangguan internal terjadi dari pihak yang sudah mengetahui kondisi jaringan, dan gangguan eksternal terjadi dari pihak yang sengaja ingin menjatuhkan dinding keamanan. Gangguan keamaan yang terjadi pada tempat yang menjadi studi kasus ini terjadi dari pihak internal yang ingin menjatuhkan sistem kerja jaringan dan ingin mencoba ketahanan dari keamanan jaringan yang ada pada tempat tersebut. Dengan menggunakan IDS (Intrusion Detection System) hal tersebut dapat diatasi dengan cara mengenali setiap pola serangan yang dilakukan oleh intruder. Untuk mendeteksi setiap gejala serangan tersebut, sistem menggunakan pola pengenalan terhadap source yang didapat dari pihak yang dianggap sebagai ancaman dalam sistem jaringan komputer. Metode pengembangan sistem yang digunakan dalam penelitian ini adalah Network Development Life Cycle. Penulis menggunakan Snort, Barnyard, dan BASE yang diimplementasikan pada mesin sensor berbasis Open Source. Keseluruhan sistem dibangun dalam simulasi WAN yang merepresentasikan sistem produksi. Hasil penelitian skripsi ini menyimpulkan bahwa setiap tindakan yang dilakukan oleh penyerang terhadap jaringan dapat diketahui oleh mesin sensor, sehingga dapat dilakukan pencegahan sebelum terjadi kerusakan data yang lebih luas.Kata Kunci : Intrusion Detection System (IDS), Snort, BASE
1. PENDAHULUANGangguan pada dasarnya dapat dibagi menjadi
dua bagian, pertama adalah gangguan internal dan kedua adalah gangguan eksternal. Gangguan internal merupakan gangguan yang berasal dari lingkup dalam jaringan infrastruktur tersebut, dalam hal ini adalah pihak-pihak yang telah mengetahui kondisi keamanan dan kelemahan dari jaringan tersebut. Gangguan eksternal adalah gangguan yang berasal dari pihak luar yang ingin mencoba atau dengan sengaja ingin membobol dinding keamanan yang ada.
Pada yayasan yang menjadi tempat studi kasus penulis, terdapat gangguan keamanan yang terjadi dari pihak internal yaitu seorang pengguna yang ingin menjatuhkannya kinerja dari jaringan dan melakukan pengujian ketahanan terhadap sistem keamanan yang terdapat pada tempat penelitian penulis. Penulis melakukan pemantauan terhadap jaringan menemukan adanya tingkat lalu-lintas yang cukup tinggi. Proses tersebut terjadi melalui koneksi jaringan wireless yang disediakan oleh pihak yayasan yang berhasil diakses oleh pihak yang ingin melakukan pengerusakan.
Sistem untuk mendeteksi gangguan dari segi-segi yang telah dipaparkan diatas memang telah banyak dibuat, tetapi sistem yang mampu melakukan pendeteksian seperti halnya manusia sangatlah jarang, dalam hal ini mampu melakukan analisa sertamempelajari kondisi yang ada. Keamanan jaringan
bergantung pada kecepatan pengaturan jaringan dalam menindaklanjuti sistem saat terjadi gangguan. Salah satu komponen dari jaringan komputer yang perlu dikelola dengan menggunakan manajemen jaringan adalah Intrusion Detection System (IDS). Penerapan IDS diusulkan sebagai salah satu solusi yang dapat digunakan untuk membantu pengaturan jaringan untuk memantau kondisi jaringan dan menganalisa paket-paket berbahaya yang terdapat dalam jaringan tersebut.
IDS diterapkan karena mampu medeteksi paket-paket berbahaya pada jaringan dan langsung memberikan peringatan kepada pengatur jaringan tentang kondisi jaringannya saat itu. Sudah terdapat banyak software IDS seperti Snort yang merupakan open source IDS yang juga digunakan dalam penelitian khususnya untuk filtering paket data. Namun belum terdapat sistem antar muka yang membantu para pengguna dalam mengatur sistem sehingga penerapan IDS ini masih sulit dilakukan. Oleh karena itu padaYAYASAN PEMBINAAN PENDIDIKAN NUSANTARA diusulkan untuk membuat sistem IDS lengkap dengan tampilan antar muka berbasiskan web dengan beberapa fitur tambahan yang diharapkan dapat membantu administrator dalam memonitor kondisi jaringannya serta meningkatkan mutu jaringan tersebut.
2
2. LANDASAN TEORI2.1 Intrusion Detection System (IDS)
Webster's mendefinisikan sebuah intrusi sebagai "tindakan pemaksaan, memasuki tempatatau negara tanpa adanya undangan, dibenarkan, atau sambutan". Ketika kita berbicara tentang deteksi intrusi kita mengacu kepada tindakan mendeteksi suatu gangguan yang tidak sah oleh komputer di sebuah jaringan. Tindakan ini (intrusi), merupakan upaya untuk kompromi, atau dinyatakan merugikan, ke perangkat jaringan lainnya.(Kohlenberg, 2007:2)
2.1.1 Fungsi Intrusion Detection SystemBeberapa alasan untuk memperoleh
dan menggunakan IDS (intrusion detectionsystem) (Ariyus, 2007:31), diantaranya adalah:
1. Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang tidak bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.
2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang tidak bisa dicegah oleh sistem umum pakai, seperti firewall. Sehingga banyak menyebabkan adanya begitu banyak lubang keamanan, seperti: Banyak dari legacy sistem, sistem
operasi tidak patch maupun update.
Patch tidak diperhatikan dengan baik, sehingga menimbulkan masalah baru dalam hal keamanan.
User yang tidak memahami sistem, sehingga jaringan dan protokol yang mereka gunakan memiliki lubang keamana.
User dan administrator membuat kesalahan dalm konfigurasi dan dalam menggunakan sistem.
3. Mendeteksi serangan awal. Penyerang akan menyerang suatu siste yang biasanya melakukan langkah-langkah awal yang mudah diketahui yaitu dengan melakukan penyelidikan atau menguji sistem jaringan yang akan menjadi target, untuk mendapatkan titik-titik dimana mereka akan masuk.
4. Mengamankan file yang keluar dari jaringan.
5. Sebagai pengendali untuk rancangan keamanan dan administrator, terutama bagi perusahaan yang besat
Menyediakan informasi yang akurat terhadap ganguan secara langsung, meningkatkan diagnosis, recovery, dan mengoreksi faktor-faktor penyebab serangan.
2.1.2 Peran Intrusion Detection SystemIDS (intrusion detection system) juga
memiliki peran penting untuk mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Hal-hal yang dilakukan IDS (intrusion detection system) pada jaringan internal adalah sebagai berikut: (Ariyus, 2007:34) Memonitor akses database : ketika
mempetimbangkan pemilihan kandidat untuk penyimpanan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data-data yang berharga.
Melindungi e-mail server : IDS (intrusiondetection system) juga berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD Worm, dan versi terbaru dari ExploreZip.
Memonitor policy security : jika ada pelanggaran terhadap policy security maka IDS (intrusion detection system) akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang ada.
2.1.3 Tipe Intrusion Detection SystemPada dasarnya terdapat tiga macam IDS (intrusion detection system), yaitu: (Ariyus, 2007:36)1. Network based Intrusion Detection
System (NIDS) : Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switchEthernet, meskipun beberapa vendorswitch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
2. Host based Intrusion Detection System(HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
3. Distributed Intrusion Detection System (DIDS) : sekumpulan sensor IDS yang saling terhubung satu sama lain dan berfungsi sebagai remotet sensor (sensor jarak jauh) yang memberikann
3
pelaporanpada manajemen sistem terpusat.
2.1.4 Keuntungan dan Kekurangan IDSBerikut ini beberapa keuntungan dari penerapan IDS pada sistem jaringan komputer :1.Secara efektif mendeteksi aktifitas
penyusupan, penyerangan atau tindak pelanggaran lainnya yang mengacam aset atau sumber daya sistem jaringan.
2.IDS membuat administratordiinformasikan tentang status keamanan.
3.IDS secara berkesinambungan mengamati traffic dari sistem jaringa komputer dan secara rinci menginformasikan setiap event yang berhubungan dengan aspek keamanan.
4.IDS menyediakan informasi akurat terhadap gangguan secara langsung, meningkatkan diagnosis, pemulihan, mengoreksi sejumlah faktor penyebab intursi atau serangan.
5.Sejumlah file log yang berisi catatan aktifitas kinerja IDS adalah bagian penting dari forensik komputer yang dapat digunakan sebagai sumber informasi untuk proses penelusuran aktivitas serangan yang terjadi, analisis dan audit kinerja sensor IDS serta sebagai barang bukti untuk tindakan hukum.
Ada pula kekeurangan yang terdapat pada penerapan sensor IDS, sebagai berikut :1. Rentang waktu antara pengembangan
teknik penyerangan atau intrusi dan pembuatan signature, memungkinkan penyerang untuk mengeksploitasi IDS yang tidak mengenali jenis serangan spesifik. Karena signature tidak dapat dibuat tanpa mempelajari traffic seranagan.
2. False Negative adalah serangan sesungguhnya yang tidak terdeteksi maka tidak ada peringatan atau notification mengenai peristiwa ini.
3. False Positive adalah kesalahan IDS dalam mendeteksi traffic network normal sebagai suatu serangan. Jikaterjadi dalam jumlah besar berkemungkinan menutupi kejadian intrusi sesungguhnya.
2.2 SnortSnort merupakan suatu perangkat lunak
untuk mendeteksi penyusup dan mampu menganalisis paket yang melintasi jaringan secara real time traffic dan logging kedalam databaseserta mampu mengidentifikasi berbagai serangan yang berasal dari luar jaringan.(Ariyus, 2007:145)Program snort dioperasikan dengan tiga mode :
1. paket sniffer : untuk melihat paket yang lewat di jaringan.
2. paket logger : untuk mencatat semua paket yang lewat di jaringan untuk dianalisis dikemudian hari.
3. NIDS (Network Intrusion Detection System) : pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer.
Snort memiliki komponen yang bekerja saling berhubungan satu dengan yang lainnya seperti berikut ini.(Ariyus, 2007:146)1. Decoder : sesuai dengan paket yang di-
capture dalam bentuk struktur data dan melakukan identifikasi protokol, decode IP dan kemudian TCP atau UDP tergantung informasi yang dibutuhkan, seperti port number, dan IP address. Snort akan memberikan peringatan jika menemukan paket yang cacat.
2. Preprocessors : suatu saringan yang mengidentifikasi berbagai hal yang harus diperiksa seperti Detection Engine.Preprocessors berfungsi mengambil paket yang berpotensi membahayakan, kemudian dikkirin ke detection engine untuk dikenali polanya.
3. Rules File : merupakan suatu file teks yang berisi daftara aturan yang sintaks-nya sudah diketahui. Sintaks ini meliputi protokol, address, output plug-ins dah hal-hal yang berhubungan dengan berbagai hal.
4. Detection Engine : menggunakan detection plug-ins, jika ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan.
5. Output Plug-ins : suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa diakses dengan berbagai cara, seperti console, extern files, database, dan sebagainya.
2.3 BASE (Basic Analysis and Security Engine)BASE adalah sebuah interface web untuk
melakukan analisis dari intrusi yang snort telah deteksi pada jaringan. (Orebaugh, 2008:217) BASE ditulis oleh kevin johnson adalah program analisis sistem jaringan berbasis PHP yang mencari dan memproses database dari security event yang dihasilkan oleh berbagai program monitoring jaringan, firewall, atau sensor IDS.(Kohlenberg, 2007:424)
Ini menggunakan otentikasi pengguna dan sistem peran dasar, sehingga Anda sebagai admin keamanan dapat memutuskan apa dan berapa banyak informasi yang setiap pengguna dapat melihat. Ini juga mudah untuk digunakan, program setup berbasis web bagi orang-orang tidak nyaman dengan mengedit file secara langsung.
3. METODOLOGI PENELITIAN3.1 Metode Pengumpulan Data
3.1.1 Studi PustakaUntuk melengkapi kebutuhan informasi
yang diperlukan dalam penulisan skripsi ini, penulis mendapatkan informasi dari beberapa
4
referensi yang diperoleh dari buku-buku yang terdapat didalam perpustakaan dan beberapa artikel atau buku elektronik yang diperoleh dari media Internet.
3.1.2 ObservasiObservasi atau pengamatan merupakan
salah satu teknik pengumpulan data atau fakta yang cukup efektif untuk mempelajari suatu sistem. Observasi adalah pengamatan langsung para pembuat keputusan berikut lingkungan fisiknya dan atau pengamatan langsung suatu kegiatan yang sedang berjalan.
Guna mengumpulkan informasi mengenai kebutuhan sistem maka penulis melakukan pengumpulan data dengan cara observasi ditempat penelitian, yaitu pada YAYASAN PEMBINAAN PENDIDIKAN NUSANTARA, tanggal 14 Desember 2009, dengan saudara Raihan Achyar Rusdiasyah, S.Kom yang bertindak sebagai kepala labolaturium jaringan, tentang implementasi Intrusion Detection System untuk filteringpaket data. Dalam penelitian ini, Penulis terjun langsung kelapangan untuk melihat sistem apa yang digunakan. Hal ini dilakukan agar penulis dapat melakukan analisis terhadap sistem yang telah berjalan serta menentukan sistem baru yang akan diterapkan agar cocok dengan sistem yang sudah adaapabila ada ketidak cocokan pada sistem yg digunakan sebelumnya.
3. 1.3 Studi LiteraturBerikut adalah bahan pertimbangan dalam penulisan skripsi :
Hidayat (2008) dengan judul skripsi “Pengembangan Intrusion Detction system dan Active Respone pada Transparent Single-Homed Bastion Host HTTP Proxy Server Firewall Sebagai Solusi Keamanan Sistem Proxy. Berikut adalah abstrak dari saudara Hidayat:
HTTP proxy server yang bertugas sebagai penyedia layanan protocol http (akses internet) yang dibangun sebagai server terintegrasi dari sejumlah layanan spesifik, berperan sangat penting didalam suatu sistem jaringan komputer. Berbagai aset informasi penting yang berada didalamnya membuat aspek keamanan sistem proxy menjadi sangat krusial sedemikian sehingga dibutuhkan suatu system yang dapat mendeteksi sekaligus mencegah aktifitas intruksi dan serangan yang mengancam sistem proxy.
Transparent single-homed bastion HTTP proxy server firewall merupakan server HTTP proxy berjenis transparan yang ditempatkan sebagai satu-satunya host internal yang dapat berkomunikasi dengan internet (eksternal) melalui satu network adapter, IDS adalah sistem yang secara intensif melakukan pendeteksian aktifitas instruksi dan penyerangan terhadap
aset/sumber daya sistem jaringan komputer. Active respone adalah mekanisme yang produktif merespon dan mencegah network traffic yang mendeteksi IDS sebagai sebagai suatu aktifitas instruksi/serangan.
Metode pengembangan sistem yang digunakan dalam penelitian ini adalah NDLC. Penulis menggunakan Squid (proxy server) yang di implementasikan pada mesin server berbasis Trustux Secure Linux (TSI) yang juga bertindak sebagai web server(Apace), database server (MYSQI), SSH server (open SSH), FTP Server (USFTP) dan NDS Server (BIND), Snort, barnyardBASE dan oinkmaster diimplementasikan pada mesin sensor berbasis open BSD, Agen Snortsam (active respone) diimplementasikan pada mesin sensor, server dan firewall (berbasis TSI). Keseluruhan sistem dibangun didalam simulasi WAN yang mempresentasikan sistem produksi.
Hasil penelitian skripsi ini mengumpulkan bahwa sistem proxy yang secara transparan dengan menggunakan NIC tunggal dan berperan sebagai paket filtering firewall dapat menjadi solusi sistem proxyyang praktis, tangguh dan bermanfaat. Integritas IDS dan active respon dapat berfungsi mendeteksi sekaligus mencegah aktifitas instruksi/serangan terhadap sistem proxy.
Pada skripsi yang menjadi bahan pertimbangan penulis dalam melakukan penelitian, metode yang digunakan adalah NMAP Port Scanning Attack dan URL Exploit Attack (HTTP Traffic). Sedangkan yang penulis lakukan pada skripsi ini adalah pendeteksian dan pemantauan terhadap jaringan komputer dengan menggunakan aplikasi Snort dan beberapa aplikasi pendukung seperti BASE (Basic Analysis and Security Engine), Wireshark / Ethereal, Bandwidthd, danMRTG (Multi Router Traffic Grapher) dengan tujuan mengetahui bagaimana proses serangan dapat terjadi dan bagaimana cara penaggulangannya serta yang membedakan skripsi penulis dengan skripsi sebelumnya adalah dalam penerapan sistem keamananyang digunakan yaitu dengan menggunakan metode MAC Filtering dan IPTables.
3.2 Metode Pengembangan SistemNDLC (Network Development Life Cycle)
adalah menetapkan strategi untuk melakukan pembaharuan suatu organisasi dari sistem jaringan. Tahapan-tahapan dari NDLC yang diambil oleh penulis dalam melakukan penelitian pengembangan aplikasi ini adalah:1. Analysis. Pada tahap ini dilakukan perumusan
masalah, mengidentifikasi konsep dari IDS, Ethereal, dan beberapa perangkat jaringan., mengumpulkan data dan mengidentifiksikan kebutuhan seluruh komponen sistem tersebut,
5
sehingga spesifikasi kebutuhan sistem IDS dan Snort dapat diperjelas dan perinci. Pada tahapan analisis penulis melakukan:a. Identifikasi : penulis mencoba
mengidentifikasi permasalahan yang ada, seperti mencari dari mana serangan itu datang beserta caranya, dan bagaimana cara mengatasi terhadap serangan tersebut.
b. Understand : penulis melakukan pemahaman dari berbagai sumber mengenai proses penyerangan dilakukan, serta mencari cara dalam pencegahan.
c. Analyze : penulis melakukan analisa terhadap perangkat lunak yang ada, apa sudah memenuhi syarat atau harus membutuhkan tambahan perangkat lunak.
d. Report : setelah tahapan yang sebelumnya dilakukan maka penulis melakukan pelaporan hasil dari fase analisis ini.
2. Design. Tahap ini merupakan perancangan mendefinisiskan “bagaimana cara sistem tersebut dapat melakukannya”. Pada fase ini, spesifikasi perancangan sistem yang akan dibangun merupakan hasil dari tahapan analisis yang akan digunakan untuk menghasilkan spesifikasi perancangansistem yang akan dikembangkan. Pada tahap perancangan penulis melakukan :a. Merancang topologi jaringan untuk simulasi
WAN sebagai representasi lingkungan jaringan sebenarnya.
b. Merancang penggunaan sistem operasi dan aplikasi pada server, client, dan komputer penyusup.
3. Simulation Prototyping. Tahapan selanjutnya adalah pembuatan prototype sistem yang akan dibangun sebagai simulasi dari implementasi sistem produksi. Dengan demikian dapat diketahui gambaran umum dari proses komunikasi, keterhubungan dan mekanisme kerja dari interkoneksi keseluruhan elemen sistem yang akan dikembangkan. Pada tahap ini penulis dalam melakukan pengembangan sistem menggunakan media virtualisasi yaitu VM-Wareuntuk menghindari kesalahan dan kerusakan data. Pada tahap ini yang dilakukan penulis adalah membangun jaringan virtual.
4. Implementation. Dimana fase ini, rancangan solusi pada fase perancangan digunakan sebagai panduan instruksi implementasi pada ruanglingkup WAN (Wide Area Notwork). Aktivitas yang dilakukan pada fase ini diantaranya adalah instalasi dan konfigurasi terhadap topologi jaringan, IDS, Snort, dan perangkat lainnya.
5. Monitoring. Hal ini mengingat proses yang dilakukan melalui aktivitas pengoperasian dan pengamatan terhadap sistem yang sudah dibangun atau dikembangkan dan sudah diterapkan untuk memastikan dimana IDS, Wireshark, dan server pendukung sudah berjalan dengan baik pada ruang lingkup jaringan WAN. Yang dilakukan pada fase ini adalah melakukan pengujian untuk memastikan apakah sistem IDS yang dikembangkan sudah
sesuai dengan kebutuhan atau menjawab semua spesifikasi pertanyaan dan permasalahan yang dirumuskan.
6. Management. Pada NDLC proses manajemen atau pengelolaan sejalan dengan aktivitas perawatan atau pemeliharaan sistem, jaminan efektivitas dan interkoneksi sistem menjadi masukan pada tahap ini untuk mendapatkan keluaran berupan jaminan fleksibelitas dan kemudahan pengelolaan serta pengembangan sistem IDS dan Snort dimasa yang akan datang.
4. ANALISA DAN PEMBAHASAN4.1 ANALISIS
Model NDLC memulai siklus pengembangan sistem jaringannya pada tahap analisis. Penulis membagi aktifitas pada tahap analisis ini menjadi beberapa fase, yaitu : identifikasi (mengidentifikasi rumusan masalah), pemahaman (memahami rumusan masalah dan memahami bentuk penyelesaian permasalahan), analisis (analisis kebutuhan sistem rancangan), dan report (pelaporan yang berisi spesifikasi dari hasil analisis)
4.1.1 IdentifikasiIdentifikasi dari terjadinya aktivitas
penyusupan dan penyerangan pada aset atau sumberdaya sistem adalah tidak adanya sistem yang intensif mengamati dan analisis arus paket penyusupan atau penyerangan sehingga tidak ada tindakan pencegahan lebih lanjut untuk mengurangi resiko terjadinya berbagai dampak buruk penyusupan dan penyerangan terhadap aset-aset sumber daya pada YAYASAN PEMBINAAN PENDIDIKAN NUSANTARA khususnya dalam penelitian ini.
4.1.2 UnderstandHasil identifikasi rumusan permasalahan
diatas membutuhkan pemahaman yang baik agar dapat menghasilkan solusi yang tepat guna. Dengan menggunakan metode studi pustaka penulis memanfaatkan perpustakaan dan internet untuk mengumpulkan sejumlah data dan informasi dari berbagai sumber dalam bentuk buku, makalah, literatur, artikel dan berbagai situs web mengenai topik permasalahan terkait. Hasilnya digunakan untuk memahami permasalah yang terjadi untuk merumuskan solusi efektif dalam menyelesaikan berbagai rumusan permasalahan.
Pemahaman ini pulalah yang penulis gunakan untuk merancang, membangun dan mengimplementasikan sistem yang diharapkan dapat mengatasi berbagai perumusan permasalahan yang ada. Penulis terfokus untuk memahami konsep-konsep dari sistem IDS (Intrusion Detection System), dan sistem pencegah intrusi.
4.1.3 AnalyzeAnalisa kebutuhan perangkat sistem IDS
(Intrusion Detection System) merupakan faktor penunjang sebagai pondasi awal untuk mempeorleh suatu keluaran yang diinginkan
6
dalam penulisan ini. Penulis akan membangun dan mengimplementasikan IDS berbasis signature/rules pen source, dengan menggunakan integrasi dari Snort, Barnyard, dan BASE.
Snort bertugas mendeteksi berbagai aktifitas intrusi dan penyerangan yang terjadi pada jaringan komputer dan akan memicu alertbila terjadi aktifitas intrusi. Barnyard bertugas mengenali file output Snort, sehingga snort dapat bekerja jauh lebih fokus mengamati traffic. BASE (Basic Analysis Security Engine) bertugas untuk merepresentasikan log file snort kedalam format berbasis web yang lebih bersahabat hingga dapat mempermudah proses audit dan analisis.
4.1.4 ReportDari tahapan identifikasi, understandi,
hingga pada tahap analyze maka dapat disimpulkan, bahwa pada tempat penulis melakukan penelitian dibutuhkan sistem penunjang keamanan yang dapat merespon tindakan-tindakan intrusi. Sehingga penulis mengambil keputusan untuk menerapkan sistem IDS yang dapat menangkap tindakan tersebut dan diharapkan dapat dilakukannya tahap pencegahan.
4.2 PERANCANGANTahap analisis menghasilkan rincian
spesifikasi kebutuhan dari sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan rancangan sistem yang akan dibangun. Dalam penelitian ini, penulis menggunakan simulasi WAN sebagai representasi sistem jaringan lingkungan produksi. Dengan kata lain, proses pengujian sistem aplikasi IDS (Intrusion Detection System) tidak menggunakan lingkungan nyata atau lingkungan internet.
4.3 SIMULATION PROTOTYPING Pada tahap ini penulis membangun prototipe
dati sistem baru yang akan dibangun dan dimplementasikan pada lingkungan simulasi WAN (Wide Area Network) dengan menggunakan mesin virtual pada lingkungan virtual. Simulation prototyping mendemonstrasikan fungsionalitas sistem yang akan dibangun.
Penulis menggunkan Vmware Workstation versi 6.0.0 untuk memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan prototipe, dimaksudkan untuk memenuhi sejumlah tujuan:1. Menjamin efektivitas fungsionalitas dari
interkoneksi antar elemen atau komponen sistem.2. Memperkecil resiko kegagalan saat proses
pembangunan dan implementasi sistem pada lingkungan nyata.
3. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi perancangan sistem dan sudah menjadi solusi dari rumusan permasalahan.
4. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan, pembangunan dan
implementasi tidak mengganggu dan tidak mempengaruhi lingkungan sistem nyata.
4.4 IMPLEMENTASIFase selanjutnya adalah implementasi atau penerapan detail rancangan topologi dan rancangan sistem pada lingkungan nyata sebagai simulasi WAN. Detail rancangan akan digunakan sebagai instruksi atau panduan tahap implementasi agar sistem yang dibangun dapat relevan dengan sistem yang sudah dirancang. Proses implementasi terdiri dari instalasidan konfigurasi.
4.4.1 Implementasi Topologi JaringanPenulis mengumpulkan seluruh
perangkat yang dibutuhkan di laboraturium riset. Perangkat ini meliputi hardware dan software. Setelah itu, penulis menempatkan seluruh perangkat sesui dengan topologi yang sudah dibuat. Setelah semua unit terhubung satu sama lain, proses selanjutnya adalah mengkonfigurasi setiap unit agar dapat berkomunikasi satu dengan lainnya. Detail perintah konfigurasi router, penulis lampirkan pada lembar lampiran.
Perangkat switch yang digunakan tidak membutuhkan konfigurasi, karena perangkat tersebut tidak dapat di konfigurasi. Sejumlah parameter dari unit mesin host yang harus dikonfigurasi adalah alamat internet protocol, subnet mask, alamat IP gateway, dan alamat IP DNS. Setelah instalasi dan konfigurasi selesai dilakukan, proses selanjutnya adalah pengujian untuk memastikan fungsionalitas koneksi, hal ini dimaksudkan untuk menjamin agar mesin yang satu dapat berkomunikasi dengan unit mesin lain.
4.4.2 Implementasi IDS (Intrusion Detection System)
IDS atau sistem pendeteksi intrusi penulis bangun dengan mengunakan beberapa komponen utama, yaitu : Snort (mesin inti IDS), Barnyard ( menangani ouput plug-in Snort) dan BASE (mempresentasikan output Snort). IDS dibangun pada mesin sensor dengan menggunakan sistem operasi berbasis open source yaitu linux Ubuntu 9.10.
4.4.3 Snortaplikasi terbaru dari snort pada saat
skirpsi ini ditulis adalah Snort versi 2.8.4.1. Keseluruhan instalasi sebagai root agar setiap file yang dihasilkan memiliki permission root.
4.4.4 BarnyardVersi aplikasi Barnyard yang digunakan
pada waktu penulisan skripsi ini adalan Barnyard2 versi 1.7. Kelseluruhan proses instalasi dilakukan sebagai root agar setiap fileyang dihasilkan secara otomatis memiliki permission root.
7
4.4.5 BASE (Basic Analysis Security Engine)Aplikasi BASE yang digunakan adalah
BASE versi 1.4.4. Kelseluruhan proses instalasi dilakukan sebagai root agar setiap file yang dihasilkan secara otomatis memiliki permission root.
4.5 MONITORING4.5.1 Pengujian Sistem IDS (Intrusion Detection
System)4.5.1.1 Pengujian IDS dengan Serangan TCP
FloodingTahapan ini penulis melakukan
penyerangan terhadap komputer clientdengan metode penyerangan terhadap pembebanan jalur komunikasi TCP/IP atau biasa dikenal dengan teknik TCP flooding. Penulis melakukan serangan melalui jaringan wireless kedalam jaringan LAN dengan menggunakan aplikasi Digital Blaster.
Hasil yang akan didapat dari proses penyerangan ini adalah proses kerja pada komputer target akan menjadi berat dan lama, terutama pada saat melakukan koneksi kedalam jaringan internet. Aktivitas ini akan didetaksi oleh aplikasi sniffing dan mesin sensor yang terpasangpada jaringan komputer yang menjadi target.a. proses pembebenan terhadap komputer
korban melalui komputer penyerang.
Gambar 4.12 Flooding Komputer Client
b. perekaman data dari proses penyerangan oleh penyusup yang berhasil direkam dengan menggunakan wireshark.
Gambar 4.13 Hasil Capture Pada Wireshark
c. hasil konfersi dari data yang berhasil direkam oleh wireshark.
Gambar 4.14 Hasil Konfersi Paket Data Pada Wireshark
Gambar 4.15 Capture pada Mesin Sensor IDS Mencatat Aktivitas dari TCP Flooding
Pada gambar 4.15 merupakan hasil perekaman data yang ditangkap dengan menggunakan aplikasi wireshark terhadap serangan TCP flooding. Terlihat dari serangan tersebut besarnya paket dan protokol apa yang digunakan. Pada gambar tersebut data yang tertangkap merupakan data yang melalui protokol UDP dan ICMP, karena pada gambar sebelumnya yaitu pada gambar 4.9 jenis serangan yang digunakan adalah Dual Protocol Flood, jadi serangan menggunakan dua buah protokol sekaligus yaitu protokol UDP dan TCP. Dari proses scanning terlihat semua aktifitas yang telah terekam pada aplikasi wireshark, yaitu :1. source : merupakan sumber dari paket data yang
terkirim.2. destination : merupakan tujuan dari paket data
yang terkirim.3. protocol : merupakan jalur aktifitas yang
digunakan dalam proses penyerangan.4. info : merupakan catatan apa saja yang terjadi
pada aktifitas tersebut.Pada gambar 4.16 terlihat bahwa serangan
yang dilakukan oleh penyusup dapat terlihat dengan menggunakan aplikasi wireshark, yaitu serangan
8
dengan menggunakan protokol UDP dan TCP yang memiliki source port 1133 dan destination port 80.Port 1133 yang termasuk kedalam jenis protokol TCP dan UDP. Sedangkan port 80 merupakan protokol yang biasa digunakan pada jalur internet atau HTTP (Hypertext Transfer Protocol) yang termasuk kedalam protokol TCP.
Dari serangan dengan menggunakan teknik ini dapat menyebabkan suatu jaringan komputer menjadi berat dalam melakukan koneksi antar komputer baik dalam jaringan internet atau jaringan lokal. Untuk tahapan ini sumber daya yang dapat diambil masih dalam katagori kecil, karena yang diserang hanya koneksi jaringannya saja dan tidak ada data atau file yang dicuri.
4.5.1.2 PING Attack (ICMP Traffic)Pada kasus ini penulis menganalisis
jenis serangan berprotokol ICMP. Pada dasarnya, traffic ICMP yang diproduksi oleh perintah ping, dianggap sebagai satu serangan karena dapat dipergunakan penyerang atau penyusup untuk mendapatkan informasi mengenai mesin target, memastikan apakah host target dalam keadaan aktif atau tidak.
Yang pertama dilakukan penulis adalah melakukan ping dari mesih client ataupun dari mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4
Gambar 4.16 Ping dari Client kedalam Mesin Sensor
Tahap kedua penulis menggunakan tcpdump yang terdapat pada kebanyakan instalasi defaultdistro linux/Unix untuk mengkap dan menganalisa traffic data yang dihasilkan perintah ping mesin penyerang atau client kedalam mesin server. Berikut ini merupan tampilan dari dump dari traffic ping :
Gambar 4.17 Hasil Dump Ping Traffic Client ke Sensor
Gambar 4.18 Hasin Capture Snort dengan Modus Sniffing
Dari data yang didapat menggunakan tcpdump, jelas terlihat bahwa ping selalu menggunakan protocol unik ICMP dan memuat beberapa karakter unik seperti abcdefghijklmnopqrstuvwxyzabcdefghi.
Tahap yang selanjutnya yaitu membuat sebuah signature dengan menggunkan parameter spesifik yang mendefinisikan traffic serangan. Dalam hal ini, penulis menggunakan protocol spesifik (ICMP), arah sumber traffic (any), dan arah tujuan traffic (192.168.0.4) sebagai parameter untuk mendefinisikan jenis serangan ini, contoh dari signature-nya adalah “alert icmp any any -> 192.168.0.4 any (msg:”ICMP ping attack”;sid:10001;)”.
signature tersebut akan mendeteksi trafficprotokol ICMP yang diisukan dari segmen jaringan manapun, melalui port berapapun ke alamat IP mesin sensor 192.168.0.4 pada port manapun.
Penulis kembali melakukan serangan ini dengan kondisi IDS diaktifkan, proses pengujian dapat dikatakan berhasil jika signature dapat merespon dari serangan tersebut. Kemudian, penulis melakukan perintah ping dari mesin client atau dari mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4. Hasilnya adalah sistem IDS berhasil mendeteksi traffic ping yang dilancarkan pada mesin penyerang dan menjelaskan bahwa terjadi “ICMP Ping Attack”.
9
Gambar 4.19 Hasil Caputre pada Mesin Sensor
4.5.1.3 Pengujian IDS dengan Serangan DOS Attack (Denial Of Services)
DoS attack adalah jenis serangan terhadap sebuah komputer atau server atau router atau mesin didalam jaringan internet dengan cara menghabiskan resource yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar, sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diseranga (server) tersebut.
Pada tahap ini penulis mengguanakan tiga buah komputer yang masing-masing terdiri komputer penyusup yang menggunakan aplikasi Auditior Security Collection yang berbasis sistem operasi open source yaitu linux yang berjalan pada mesin virtual, komputer client yang menggunakan sistem operasi Windows XP Sp 2 yang nantinya akan menjadi korban secara tidak langsung dari proses penyerangan ini, dimana client akan meminta IP address pada komputer serveryang diserang menggunakan metode DOS attack dan jenis sserangan yang digunakan adalah DHCP spoofing oleh penyusup, yang terakhir adalah komputer server yang menggunakan sistem operasi Windows Server 2003 yang merupakan target dari proses DOS attack ini.
Pada tahapan ini yang menjadi tujuan dari seorang penyusup adalah mencuri semua IP addressyang disediakan oleh server dan membuat sebuah server baru agar para client yang tersambung kepada komputer tersebut tidak bisa mendapatkan IP yang diberikan oleh server yang asli, tetapi mereka menjadi terjebak oleh IP yang disediakan oleh komputer server palsu yang dibuat oleh penyusup.
Gambar 4.20 Auditor Security Collection
Aplikasi ini yang digunakan oleh hackeruntuk melakukan serangang DoS Attack kedalam komputer server dengan menggunakan tools yang tersedia didalamnya, salah satu tools yang digunakan adalah yersinia yang berjalan menggunakan console, serta menggunakan aplikasi ethereal sebagai media monitoring jaringan untuk melihat serangan-serangan yang dilakukan oleh sang penyusup.
Gambar 4.21 Proses Penyerangan Dengan Yersinia
Gambar 4.22 Proses Monitoring Serangan
10
Gambar 4.23 Konversi Paket Data 1
Gambar 4.24 Konversi Paket Data 2
Serangan dilakukan oleh penyusup dengan mengetikankan perintah yersinia dhcp –i eth0 –attack 3, terlihat tulisan pada console “starting DOS attack sending DISCOVER packet...”, menandakan bahwa proses DOS attack sedang berlangsung kedalam komputer server. Dampak ini akan dirasakan oleh dua pihak, pertama akan dirasakan oleh komputer server dan kedua akan dirasakan oleh beberapa komputer client. Sedangkan pada gambar 4.21, serangan yang dilancarkan oleh penyusup terlihat melalui aplikasi ethereal. Serangan tersebut terdeteksi oleh sensor, bahwa serangan yang dilakukan tersebut menggunakan protokol UDP. Gambar 4.22 dan gambar 4.23 merupakan hasil konversi dari data yang berhasil didapat yaitu konversi dari gambar 4.24, yang terlihat dari serangan sudah mulai terlihat sedikit demi sedikit dimana hal tersebut dapat diketahui dari interaksi yang terjadi antara DHCP Discover dengan DHCP Offer.
Aktifitas ini terus berlanjut hingga seluruh alamat IP yang disediakan oleh server habis terambil seluruhnya, bukan hanya alamat IP yang kosong saja tetapi alamat IP yang sedang digunakan oleh client juga dapat diambil, sehingga client yang sedang terhubung dengan komputer server akan putus secara
tiba-tiba dan pada saat client meminta kembali layanan untuk mendapatkan alamat IP tersebut servertidak dapat membalasnya, dikarenakan seluruh alamat IP yang tersedia sudah habis direbut oleh penyusup.
Pada display statistic yang terdapat pada komputer server akan menunjukan bahwa serangan itu benar-benar terjadi dilihat seluruh IP yang disediakan oleh server telah habis direbut oleh hacker. Sampai dengan serangan ini selesai, server belum dapat memberikan layana penyewaan alamat IP kepada client hingga waktu yang tidak dapat di tentukan, apabila dari waktu tersebut server belum bisa bangkit juga, maka keputusan terakhir yang harus diambil oleh server adalah membangun atau membuat ulang layanan dari sebuah scope DHCP yang baru agar dapat memberikan layanan kepada komputer client.
Gambar 4.25 Display Statistik Pada Server Setelah Serangan
Dapat dilihat pada gambar 4.25, seluruh IP yang di sediakan oleh server menjadi 0% (nol persen) atau tidak tersedia sama sekali dan total dari IP yang digunakan sebanyak 100% (seratus persen). Ini menujukan bahwa serangan DOS attack itu benar-benar terjadi menyerang komputer server, sehingga server tidak dapat memberikan layanan penyewaan IP kepada komputer client.
4.5.2 Analisis Data Menggunakan BASEPada sub-bab ini spenulis akan mendeskripsikan proses analisi data kejadian melalui fungsionalitas BASE.
Gambar 4.26 Halaman Utama BASE
Pada kuadran kiri atas terdapat link yang mendeskripsikan sejumlah informasi seperti alertyang terjadi selama 24 jam terakhir dan 72 jam
11
terakhir yang dapat ditampilkan berdasarkan parameter unik, listing, alamat IP sumber dan tujuan. Selain itu terdapat juga informasi seperti 15 alertterbaru, port sumber atau tujuan terbaru.
Pada kuadran kanan atas terdapat informasi waktu pengambilan data ke database, nama database, versi skema, dan informasi waktu tambahan. Sealain itu juga terdapat tiga link yang mendefinisikan fitur pencarian, pembuatan grafik data alert, dan pembuatan grafik untuk terdeteksinya alert.
Pada kuadran kanan bawah terdapat deskripsi profil traffic berdasarkan protokol, dan pada kuadran kiri bawah terdapat berbagai informasi seperti jumlah sensor, alert unik, kategorisasi, jumlah total alert,dan sebaginya.
Penulis memanfaatkan fitur pembuatan grafis untuk mendeskripsikan alamat IP sumber dengan jumlah serangan yang dihasilkan. Contoh, alamat IP 192.168.0.4 memiliki jumlah alert sebesar 74.6% (tujuh puluh empat koma enam persen) dari 175 (seratus tujuh puluh lima) total alert yang terdetaksi.
Gambar 4.27 Diagram Batang Source IP dan Jumlah Alert
Pada fitur yang menampilkan profil trafficberdasarkan protokol TCP, BASE mendeskripsikan sejumlah daftar log dan alert pada protokol TCP.
Gambar 4.28 Tampilan Daftar Alert Pada Traffic Profile By Protocol
Terlihat berturut-turut dari kira ke kanan adalah nomer identitas alert, informasi signature alert yang ter-generate, timestamp (waktu terjadinya alert), alamat IP sumber, alamat IP tujuan, dan protokol yang digunakan.
4.5.3 Pencegahan Serangan Menggunakan IPTables dan MAC Filtering
Setelah penulis melakukan beberapa proses penyerangan dan menganalisa baik terhadap komputer target maupun terhadap komputer sensor, penulis menemukan data dari komputer penyerang yang dapat digunakan untuk melakukan pencegahan terhadap penyerangan-penyerangan tersebut. Data yang berhasil diperoleh penulis adalah metode yang digunakan, alamat internet protokol, alamat MAC, dan portyang digunakan untuk melakukan penyerangan.
Gambar 4.29 Data Yang Diperoleh dari Komputer Penyusup dengan Mode Sniffing
dari Snort
Gambar 4.30 Data Yang Diperoleh dari Komputer Penyusup dengan TCPDump
12
Gambar 4.31 Traffic Serangan Yang Ditangkap Pada Firewall Dengan MRTG
(Multi Router Traffic Grapher)
Dari data yang diperoleh, maka penulis dapat melakukan pencengahan terhadap penyerangan tersebut. Dalam melakukan pencegahan ini, penulis melakukannya dengan dua cara yaitu dengan IPTables dan MAC Filtering.
Cara pertama, yang penulis lakukan adalah konfigurasi pada komputer firewall yang bertindak sebagai gateway sangat diperlukan dalam proses ini, dengan cara memasukan sourceyang diperoleh dari komputer penyusup seperti alamat IP, alamat MAC, dan protokol yang digunakan dengan menggunakan fitur dari mesin firewall yaitu dengan iptables. Sehingga, yang dihasilkan dari konfigurasi ini adalah penyerang tidak dapat melakukan aktivitas yang sama terhadap komputer target seperti melakukan PING terhadap komputer yang dituju.
Gambar 4.32 Blok Target Dengan IPTables
Pada gambar diatas penulis mengisukan sebuah perintah untuk melakukan pemblokiran terhadap komputer penyerang. Penulis menggunakan perintah “iptables –I FORWARD –s 192.168.0.2 –j DROP” yang berjalan pada konsole. “–I” atau Insert digunakan oleh penulis untuk memasukan perintah pada baris chain, perintah akan berada pada posisi rules teratas sehingga proses dapat dijalankan lebih awal. Dapat dilihat dengan menggunakan perintah iptables –L, pada tabel chain FORWARDperintah yang dimasukan tadi terdapat pada awal baris rules. “FORWARD” pada iptables digunakan untuk meneruskan paket dari jaringan eksternal ke dalam jaringan inernal melalui mesinfirewall. Perintah ini digunakan karena serangan ini berasal dari luar jaringan yang masuk kedalam jaringan internal melalui mesin firewall. “–s”
untuk mencocokan paket berdasarkan alamat IP sumber. “192.168.0.2” merupakan source dari komputer penyerang yang akan diblokir. “–j DROP” men-drop paket dan menolak untuk diproses lebih lanjut.
Cara kedua, selain dengan menggunakan iptables, cara pencegahan yang dilakukan oleh penulis juga dengan menggunakan MAC Filtering yang merupakan fitur dari router access point yang digunakan dalam peneltian ini. Tahapan ini dilakukan dengan mengfokuskan pada alamat MAC yang dimiliki oleh komputer penyerang.
Gambar 4.33 Pemilihan Alamat MAC Peyerang
Gambar 4.34 Alamat MAC Peyerang Yang Sudah Terdaftar Dalam MAC Filtering
Secara otomatis komputer yang memiliki alamat MAC yang sudah didaftarkan pada konfigurasi router tidak dapat lagi terhubung dengan jaringan wireless dan melakukan tindakan-tindakan intrusi. Pencegahan dengan cara ini dilakukan penulis untuk melumpuhkan koneksi penyerang secara total untuk menjaga sumber daya yang terdapat pada komputer target agar dapat selalu terlindungi dari hal-hal yang tidak diharapkan. Ini dapat dilihat dari proses scanning pada mesin sensor akan berhenti, itu menandakan proses pemblokiran terhadap mesin penyerang berhasil dilakukan.
13
Gambar 4.35 Sensor Snort Berhenti Mendeteksi Setelah Serangan Berhasil di
Blok Dengan IPTables
Gambar 4.36 Grafik Pengiriman Serangan Dari Penyerang Setelah Dilakukan
Pemblokiran Dengan IPTables
Gambar 4.37 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok
Dengan IPTables
Gambar 4.38 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok
Dengan IPTables
Gambar 4.39 Grafik Pemenerima Data Serangan Pada Sensor IDS Setelah Diblok
Dengan IPTables
Jika salah cara penceegahan yang dilakukan oleh penulis yaitu dengan menggunakan iptables dan MAC Filtering telah dilakukan, maka akan mendapatkan hasil yang dapat dilihat pada gambar 4.36 hingga gambar 4.39.
Gambar-gambar tersebut memperlihatkan proses pada mesin sensor yang menggunakan snort berhenti mendeteksi adanya serangan dan grafik yang menunjukan jumlah serangan secara drastis turun karna adanya pencegahan yang dilakukan dengan menggunakan IPTables dan MAC Filtering.
4.6 ManajemenTahap akhir ini tidak ada tindakan yang
dilakukan, sehingga pada skripsi ini tahap yang dilakukan hanya sampai pada tahap monitoring
5. PENUTUPSistem IDS dalam mendeteksi serangan yang
terjadi adalah dengan melakukan scanning terhadap sejumlah source dan lalu-lintas yang terjadi didalam jaringan, sehingga seluruh kejadian yang dianggap sah maupun tidak sah dapat dilihat melalui kegiatan monitoring dengan menggunakan aplikasi yang digunakan untuk melakukan pemantauan jaringan, ini dapat dilihat pada gambar 4.15 yang merupakan hasil capture menggunakan Snort.
Pertahanan yang digunakan adalah dengan melakukan konfigurasi terhadap router yang bertindak sebagai gateway dengan menggunakan MAC Filtering serta konfigurasi pada mesin firewall dengan menggunakan fitur iptables yang dapat dilihat pada gambar 4.32 dan gambar 4.33.
Sistem IDS ini akan memberikan informasi atau peringatan kepada penulis melalui mesin sensor, yang kemudian akan dilalukan analisa terhadap source yang telah diperoleh dan dilakukiannya pencegahan, dapat dilihat pada gambar 4.28.
14
6. DAFTAR PUSTAKA
[1] Ali Zaki. “Laws And Regulations On Consumer Protection”, Salemba, Jakarta, 1999.
[2] ali pangera dan dony ariyus. “sistem operasi”, Andi, Yogyakarta, 2005.
[3] Angela Orebaugh,Gilbert Ramirez,Josh Burke and Jay Beale. “Wireshark & Ethereal network protocol analyzer toolkit”, syngress publihing, canada, 2007.
[4] Becky Pinkard and Angela Orebaugh. “Nmap in the Enterprise: Your Guide to Network Scanning”, syngress, United State Of America, 2008.
[5] Carl Endorf, Eugene Schultz and Jim Mellander. “Instrusion Detection & Prevention”, Emeryville, California, 2004.
[6] Djon Irwanto. “Membangun Object Oriented Software Dengan Java dan Object Database”, PT Alex media komputindo, Jakarta, 2007.
[7] Dony Ariyus. “Intrusion Detection System”, ANDI, Yogyakarta, 2007.
[8] Edhy Sutanta. “Komunikasi Data Dan Jaringan Komputer”, Graham Ilmu, Yogyakarta, 2005.
[9] Edi S. Mulyanta. “Pengenalan Protokol Jaringan Wireless Komputer”, ANDI, yogyakarta, 2005.
[10] Hendra Wijaya. “Belajar Sendiri : Exchange Server 2007”, PT.elex media komputindo, Jakarta, 2007.
[11] Kenneth C Laudon dan Jean P laudon. “Sistem Informasi Manajemen 2 (ed.10)”, salemba empat, jakarta, 2008.
[12] Lammle, Todd. “CCNA : Cisco Certified Network Associate Study Guide”, Sybex, Canada, 2007.
[13] Lia Kuswayatno. “Mahir Berkomputer”, Grafindo Media Pratama, Jakarta, 2006.
[14] Lukas Tanutama. “Jaringan Computer”, PT. Alex Media Komputindo, Jakarta, 1995.
[15] Mcreynolds. “Networking Basics CCNA 1 Labs and Study Guide”, cisco systems, india, 2007.
[16] Melwin Syafrizal. “Pengantar Jaringan Komputer”, Andi, Yogyakarta, 2005.
[17] Murti Martoyo. “Lahirnya tahun Indonesia untuk ilmu pengetahuan 2005-2006: buku eksklusif”, Lembaga Ilmu Pengetahuan Indonesia,Indonesia, 2005.
[18] Naproni. “Seri Penuntun Praktis : Membangun Lan Dengan Windows Xp”, PT.elex media komputindo, Jakarta, 2007.
[19] Onno W Purbo. “Buku Pintar Internet TCP/IP”, PT. Alex Media Komputindo, Jakarta, 2007.
[20] Rahmat Rafiudin. “Panduan Membangun Jaringan Komputer Untuk Pemula”, PT.elex media komputindo, Jakarta, 2003
[21] Rahmat Rafiudin. “MengupasTuntas Cisco Router”, PT.elex media komputindo, Jakarta, 2003.
[22] Telkom.net. “Packet-switched”, artikel ini diakses tanggal 23 februari 2010 pada jam 20.07, dari http://www.telkom.net/index.php?option= com_glossary&func=display&letter=P&Itemid=86&catid=39&page=1
[23] Wahana Komputer. “SPP Menginstal Jaringan Komputer”, PT. Alex Media Komputindo, Jakarta, 2006.
[24] Wikipedia bahasa Indonesia, ensiklopedia bebas. “Topologi Jaringan”, artikel ini diakses tanggal 23februari 2010 pada jam 19.24, dari http://clickmusab.blogspot.com/2010/04/perangkat-perangkat-wan.html
[25] Wikipedia bahasa Indonesia, ensiklopedia bebas. “Topologi Jaringan”, artikel ini diakses tanggal 23februari 2010 pada jam 15:29, dari http://id.wikipedia.org/wiki/Jaringan_komputer
[26] Wikipedia bahasa Indonesia, ensiklopedia bebas. “Analisis”, artikel ini diakses tanggal 24 februari 2010 pada jam 12:24, dari http://id.wikipedia.org/wiki/Analisis
[27] Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Circuit switching”, artikel ini diakses tanggal 28 April 2010, dari http://id.wikipedia.org/wiki/Circuit_switching
[28] Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Sistem Deteksi Instruksi”, artikel ini diakses tanggal 12 September 2008, dari http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi
[29] Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Jaringan Komputer”, artikel ini diakses tanggal 23 Mei 2010, dari http://id.wikipedia.org/wiki/Jaringan_komputer
[30] Yuni Sare dan P. Citra. “Antropologi SMA/MA Kls XII (Diknas)”, PT. Grasindo, Jakarta, 2006.