Bab 3 Metode dan Perancangan Sistem Pada bab ini, berisikan tentang perancangan IDS Snort dan metode yang digunakan dalam melakukan proses investigasi serangan. Metode yang digunakan adalah model proses forensik (The Forensic Process Model).
Gambar 3.1 The Forensic Process Model
Berikut ini merupakan tahapan dalam The Forensic Process Model yang menjadi dasar penelitan: 1.
Tahap Collection Pada tahap ini yang dilakukan adalah mencari bukti-bukti,
pengenalan terhadap bukti-bukti penyusupan dan pengumpulan bukti-bukti. IDS Snort digunakan untuk mendeteksi adanya aktifitas yang mencurigakan pada jaringan. Bukti-bukti ini diambil dari file 33
log Snort dan file access log pada Squid. Pada Snort terdapat signature atau rule yang mengekstrak ciri dari paket data yang melewati jaringan, sehingga jika ada paket data yang mencurigakan dan sesuai dengan signature atau rule pada Snort, maka Snort engine akan meng-capture dan mengirimkan pesan alert untuk disimpan ke dalam file log. 2.
Tahap Examination Pada tahap ini meliputi pemeriksaan dan pencarian informasi-
informasi yang tersembunyi pada file log Snort dan file access log yang sebelumnya telah dikumpulkan pada tahap collection. File log Snort akan dipilah-pilah berdasarkan karakteristik dari sebuah serangan. Adapun file access log akan dipilah-pilah berdasarkan elemen-elemen penyusunnya. 3.
Tahap Analysis Pada tahap ini akan terlihat hasil pemeriksaan dan penelitian
yang dilakukan pada file log Snort dan access log sebagai pembuktian adanya penyusupan. Tahap analysis ini, dapat digunakan untuk menjawab pertanyaan investigasi forensik yaitu serangan apa yang terjadi, IP siapa yang melakukan serangan, kapan serangan itu terjadi, dimana serangan itu terjadi. 4.
Tahap Reporting Tahapan ini meliputi penulisan laporan dari tahap awal sampai
tahap
akhir
dalam
suatu
penelitian.
Dimulai
dari
proses
pengumpulan bukti-bukti, pemeriksaan dan analisis data yang diperoleh dari semua penyelidikan. Dari hasil analisis bukti-bukti pada file log Snort dan access log dapat dibuat laporan dan kesimpulan tentang serangan yang terjadi (Putri, 2012). 34
3.1 Perencanaan Topologi Jaringan Pada tahap ini dilakukan perancangan topologi jaringan sesuai dengan rancangan penelitian yang akan dilakukan. Perancangan dimulai dengan melakukan skenario penyerangan terhadap sistem IDS yang akan dibuat. Skenario penyerangan dibagi menjadi dua, yaitu: 1.
Skenario serangan SQL Injection.
2.
Skenario serangan Cross Site Scripting (XSS). Langkah selanjutnya yaitu menentukan desain topologi
jaringan. Pada Gambar 3.2 merupakan gambar rancangan jaringan yang akan digunakan menggunakan aplikasi Edraw Max. Perangkat jaringan yang digunakan terdiri dari sebuah PC yang akan difungsikan sebagai Intrusion Detection System (IDS) berbasis Snort, sebuah Router Mikrotik yang digunakan untuk menghubungkan setiap segmen interface yang berbeda dan sebuah laptop pada jaringan lokal yang berfungsi sebagai attacker. Router Mikrotik ini nantinya akan dikonfigurasi port mirroring. Port mirroring berfungsi untuk melakukan sniffing trafik dalam jaringan yaitu dengan cara melakukan copy trafik dari interface asli (MirrorSource) kemudian mengarahkan trafik tersebut ke port lain (MirrorTarget).
35
Gambar 3.2 Topologi Jaringan IDS
Gambar 3.2 menunjukkan desain topologi jaringan yang ada dalam penelitian. Gambar 3.2 juga menjelaskan tentang skenario penyerangan yang akan dilakukan dalam penelitian. Attacker akan melakukan serangan SQL Injection dan Cross Site Scripting (XSS) melalui sebuah laptop pada jaringan lokal. Selanjutnya IDS Snort akan mendeteksi serangan tersebut sesuai dengan signature atau rule yang sebelumnya telah dimasukan ke dalam rules Snort. Jika pola serangan sesuai dengan signature yang ada pada Snort, maka Snort akan menampilkan alerts dan menyimpannya pada file log.
36
3.1.1 Alur Kerja IDS
Gambar 3.3 Alur Kerja IDS
Gambar 3.3 merupakan alur kerja IDS. Dimulai dari paket data yang memasuki interface jaringan yang sudah dikonfigurasi dalam Snort. Paket data tersebut akan dibaca oleh Snort engine untuk kemudian dicocokkan dengan signature yang ada dalam rules Snort. Jika paket data tersebut sesuai dengan signature yang ada pada rules Snort, maka Snort akan mengangap itu sebagai sebuah intruisi dan Snort akan menyimpan alert tersebut ke file log. Namun jika paket data tersebut bukan merupakan intruisi, maka paket data akan diteruskan. 37
3.2 Kebutuhan Sistem Tahap selanjutnya yaitu menentukan apa saja kebutuhan yang diperlukan untuk membangun sistem ini. Analisis kebutuhan dilakukan untuk menganalisa apa saja yang harus diperlukan dalam membangun sistem tersebut supaya sistem yang dibangun sesuai dengan yang diharapkan sehingga sistem dapat memberikan layanan terbaik dalam mendeteksi serangan pada jaringan. 3.2.1 Spesfikasi Sistem Pada penelitian yang dilakukan ini, membutuhkan beberapa aspek kebutuhan yang harus dipenuhi untuk implementasi sistem. Kebutuhan yang utama yaitu kebutuhan dari perangkat keras dan perangkat lunak. a)
Kebutuhan Hardware Untuk membangun sistem yang akan diimplementasikan dalam
penelitian ini, spesifikasi perangkat keras yang dibutuhkan meliputi: 1.
Dua buah laptop yang akan difungsikan sebagai attacker dan Intrusion Detection System (IDS) berbasis Snort dengan spesifikasi sebagai berikut: a) Laptop (IDS Snort) Processor Intel dual Core 1.8 Ghz Ram 2GB Hard disk 500 GB b) Laptop (Attacker) Processor core i5 RAM 2 GB 38
Hard disk 500 GB 2.
Sebuah router Mikrotik RB750 dengan konfigurasi port mirroring yang memiliki spesifikasi sebagai berikut: Processor AR7241 400MHz RAM 32 MB Main Storage 64 MB LAN Ports 5 Operating System RouterOS
3.
Kabel UTP untuk menghubungkan perangkat jaringan.
b)
Kebutuhan Software Disamping kebutuhan terhadap hardware, terdapat pula
software yang tentunya diperlukan dalam mendukung perancangan jaringan dalam penelitian ini. Software yang diperlukan antara lain. 1.
Operating System (OS) Sistem operasi yang digunakan dalam penelitian ini adalah Linux Ubuntu 12.04 LTS untuk IDS Snort, Windows 7 untuk laptop penyerang dan Mikrotik RouterOS.
2.
Winbox Perangkat lunak yang digunakan untuk melakukan konfigurasi pada mikrotik.
3.
Wireshark Wireshark digunakan sebagai perangkat lunak yang membantu dalam proses capture pada interface yang melakukan proses data.
39
4.
Edraw Max Perangkat lunak yang akan digunakan untuk mendesain topologi jaringan dalam penelitian ini.
3.3 Konfigurasi Sistem Pada tahapan ini akan dilakukan alur kerja sesuai dengan persiapan
sistem
yang
sudah
dirancang
dan
dipersiapkan
sebelumnya untuk kemudian akan direalisasikan dalam suatu sistem jaringan yang nyata sesuai dengan desain yang telah dibuat. Konfigurasi sistem ini bertujuan untuk melakukan pengecekan apabila terdapat permasalahan dalam sistem sebelum sistem diterapkan secara nyata. 3.3.1 Konfigurasi IDS Snort Pada tahap awal yaitu melakukan instalasi dan konfigurasi pada mesin IDS yang akan dibuat. Tahap awal dimulai dengan menginstal paket-paket yang dibutuhkan oleh sistem IDS. Setelah itu dilakukan instalasi paket Snort. Selanjutnya dilakukan konfigurasi pada Snort engine. Snort engine akan dimodifikasi sesuai dengan kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort. Langkah selanjutnya adalah melakukan uji coba Snort engine, jika berhasil maka Snort engine siap digunakan untuk mendeteksi serangan, tetapi jika gagal kembali lagi ke proses konfigurasi Snort engine. Pada mesin IDS ini juga dilengkapi dengan Squid access log yang berguna untuk merekam segala aktifitas user pada jaringan. Konfigurasi dari Squid ini dimulai dengan menginstal Squid dan 40
paket-paket lain yang dibutuhkan. Setelah itu konfigurasi file pada squid.conf sesuai dengan kondisi jaringan yang ada dalam penelitian. 3.3.2 Konfigurasi Dasar Router Mikrotik Untuk membangun jaringan IDS Snort, akan dilakukan konfigurasi pada router Mikrotik. Router Mikrotik RB750 mempunyai lima buah interface list, yang mana lima buah interface tersebut mampu berdiri sendiri dengan membentuk lima segment network yang berbeda. Sesuai topologi yang dibuat dalam penelitian, tiga buah interface Mikrotik akan dibutuhkan, pertama menuju modem ADSL (internet), kedua menuju IDS Snort, dan yang ketiga menuju interface jaringan lokal. Selanjutnya akan dilakukan penandaan pada interface dengan mengganti nama default ketiga interface agar mudah dikenali.
Gambar 3.4 Interface List
Pada Gambar 3.4 terlihat pengaturan nama interface dimana hanya tiga buah interface Mikrotik saja yang akan digunakan. Pemberian nama interface ini memiliki penjelasan sebagai berikut: Interface 1 dengan nama ether1-toINT yang berarti interface tersebut menuju ke modem speedy atau menuju ke internet. 41
Interface 2 dengan nama ether2-toSnort yang berarti interface tersebut menuju ke IDS Snort. Interface 3 dengan nama ether3-toLAN yang berarti interface tersebut menuju ke jaringan lokal. Setelah pemberian nama pada setiap interface selesai, selanjutnya dilakukan pemberian IP jaringan dengan segmen berbeda pada setiap interface sesuai dengan fungsi masing-masing.
Gambar 3.5 Address List
Pada Gambar 3.5 merupakan konfigurasi pemberian IP address sesuai dengan fungsi masing-masing dari setiap interface yang berbeda. Interface ether1-toINT mempunyai IP address 192.168.1.100/24 karena mengikuti network dari modem speedy menuju ke jaringan public. Interface ether2-toSnort yang menuju IDS Snort memiliki IP 192.168.2.1/24. Sedangkan jaringan lokal yang diwakili ether3-toLokal dengan IP address 192.168.0.1/24. Selanjutnya konfigurasi default gateway dengan IP address 192.168.1.1 yang merupakan segment network pada modem ISP speedy yang terhubung pada interface ether1-toINT Mikrotik. Konfigurasi dapat dilihat pada Gambar 3.6 baris pertama. Pada penelitian ini router ISP memiliki alamat 192.168.1.1 dan internet akan diwakili dengan IP address 0.0.0.0/0. 42
Gambar 3.6 Route List
Konfigurasi firewall NAT dilakukan agar semua segmen interface pada jaringan dapat mengakses internet. Konfigurasi tersebut dapat dilihat pada Gambar 3.7.
Gambar 3.7 Konfigurasi NAT
Pada gambar 3.7 baris pertama dan kedua menjelaskan konfigurasi dari firewall NAT menggunakan mode masquerade dengan ether1-toINT sebagai gateway menuju internet. Artinya semua paket data yang berasal dari source address 192.168.2.2 dan 192.168.0.0/24 dapat mengkases internet. Selanjutnya pada baris ketiga, merupakan konfigurasi firewall NAT untuk membelokan
43
(redirect) semua trafik HTTP yang menuju internet ke Squid Proxy dengan IP address 192.168.2.2 melalui port 3128. Hal terakhir yang dilakukan adalah konfigurasi port mirroring pada Mikrotik. Konfigurasi port mirroring ini berfungsi untuk melakukan sniffing trafik dalam jaringan yaitu dengan melakukan copy
trafik
dari
interface
asli
(Mirror-Source)
kemudian
mengarahkan trafik tersebut ke port lain (Mirror-Target).
Gambar 3.8 Konfigurasi Port Mirroring
Pada Gambar 3.8 dapat dilihat konfigurasi port mirroring. Semua trafik dari ether3-to-LAN akan di-mirrorkan ke ether2-toSnort, dimana ether2-to-Snort sudah terhubung dan terpasang alat sniffing (IDS Snort).
44