BAB 4 HASIL DAN PEMBAHASAN 4.1. Spesifikasi System yang digunakan Dalam penilitian ini kami hanya menggunakan software saja yang ditunjukan sebagai IDS ( Intrusion Detection System ) , yang dalam hal ini kami menggunakan aplikasi snort sebagai IDS itu sendiri. 4.1.1 Software yang Digunakan Berikut ini merupakan cara penginstallan dan pemakaian aplikasi yang kami gunakan : -
SNORT Snort merupakan IDS yang Open source yang terdiri dari beberapa komponen yang saling bekerja sama. Bagi pengguna yang terbiasa dengan lingkungan Graphical User Interface (GUI) maka akan mengalami sedikit kesulitan dalam menggunakan IDS snort ini karena memang snort ini merupakan software yang masih berbasis pada command line, maka diperlukan beberapa software pihak ketiga yang memberikan GUI untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan BASE yang berbasis PHP yang dapat diakses melalui web browser. Snort ini dapat diperoleh atau didownload pada situs resminya
yaitu
http://www.snort.org
.
Snort
ini
dapat
diimplementasikan dalam jaringan yang multiplatform. Berikut ini adalah cara menginstallasi Snort dan Rules Snort : 1. Dowload Snort http://www.snort.org/download/ 2. Setelah mendapatkan installer untuk snort, maka lakukan proses instalasi dengan men-duoble klik ikon pada snort tersebut.
43
44
3. Pilih I agree
Gambar 4.1.1 Installasi snort 1 4. Klik Next
Gambar 4.1.2 Installasi snort 2
45
5. Klik Next
Gambar 4.1.3 Installasi snort 3 6. Setelah completed pilih close
Gambar 4.1.4 Installasi snort 4
46
7. Klik close atau ok
Gambar 4.1.5 Installasi snort 5
8.
Duoble klik snortrules, pilih rules
Gambar 4.1.6 Installasi snort 6
47
9.
Block isi rules, lalu extract to rules di file snort
Gambar 4.1.7 Installasi snort 7
10. Pilih preproc_rules
Gambar 4.1.8 Installasi snort 8
48
11. Blog lalu extract di snort file preproc_rules
Gambar 4.1.9 Installasi snort 9
12.
Buka command prompt
Gambar 4.1.10 Installasi snort 10
49
13. Pada command prompt ketik cd \snort lalu enter
Gambar 4.1.11 Konfigurasi Snort 1
14. Selanjutnya ketik cd bin
Gambar 4.1.12 Konfigurasi Snort 2
50
15.
Selanjutnya ketik snort –V(upper case)
Gambar 4.1.13 Konfigurasi Snort 3 16. Selanjutnya ketik snort –W
Gambar 4.1.14 Konfigurasi Snort 4 -W disini digunakan untuk melihat interface, dari situ akan terlihat di interface mana yang mau kita pilih untuk mengaktifkan snort.
51
17. Kembali ke file snort lalu pilih etc , setelah itu klik kanan open with word pad
Gambar 4.1.15 Konfigurasi Snort 5 18. Find and replace ipvar jadi var
Gambar 4.1.16 Konfigurasi Snort 6 19. Cari var RULE_PATH ../rules
Gambar 4.1.17 Konfigurasi Snort 7
52
20. Ubah ../ pada var RULE_PATH dan var PREPROC_RULE_PATH menjadi seperti gambar
Gambar 4.1.18 Konfigurasi Snort 8 21. Ganti var HOME_NET any jadi ip kita, dan var EXTERNAL_NET jadi !$HOME_NET
Gambar 4.1.19 Konfigurasi Snort 9 22. Pada var RULE_PATH dan Var PREPROC_RULE_PATH masukan c:\snort\ dan buatlah spasi pada var SO_RULE_PATH seperti pada gambar di bawah
Gambar 4.1.20 Konfigurasi Snort 10
53
23. Kali ini gantilah var WHITE_LIST_PATH dan var BLACK_LIST_PATH seperti gambar dibawah
Gambar 4.1.21 Konfigurasi Snort 11 24. Pada config logdir hapuslah tanda pagar lalu tambahkan dengan c:\Snort\log
Gambar 4.1.22 Konfigurasi Snort 12 25. Selanjutnya pada path to dynamic preprocessor gantilah seperti gambar berikut
Gambar 4.1.23 Konfigurasi Snort 13 26. Pada path to base preprocessor engine dynamicengine gantilah seperti pada gambar yang di blok
Gambar 4.1.24 Konfigurasi Snort 14 Lalu tambahkan pagar pada dynamicdetection directory di depanya
Gambar 4.1.25 Konfigurasi Snort 15
54
Tambahkan pagar juga di depan preprocessor seperti pada gambar
Gambar 4.1.26 Konfigurasi Snort 16
Gambar 4.1.27 Konfigurasi Snort 17 27. Gantilah white_list menjadi white.list dan black_list menjadi black.list
Gambar 4.1.28 Konfigurasi Snort 18 Lalu save 28. Buka notepad ketik seperti gambar lalu save as di rules(format save all)
Gambar 4.1.29 Konfigurasi Snort 19
55
29. Buka notepad ketik seperti gambar lalu save as di rules(format save all)
Gambar 4.1.30 Konfigurasi Snort 20 30. Buka cmd ketik snort –i1 –c c:\snort.conf –A console –T i1 disini maksudnya adalah interface ke 5, pada –W tadi kan juga terlihat interfacenya. Jadi i disini untuk mengaktifkan snortnya di interface keberapa. 31. Setelah snort di exit
Gambar 4.1.31 Konfigurasi Snort 21 32. Untuk menjalankan Snort gunakan command berikut Gambar 4.1.32 Konfigurasi Snort 22 33. Untuk mengaktifkan alert pada snort gunakan command berikut
56
Gambar 4.1.33 Konfigurasi Snort 23 -
WireShark WireShark merupakan salah satu tools atau aplikasi “Network Analyzer” atau penganalisa jaringan. Penganalisaan kinerja jaringan itu dapat melingkupi berbagai hal, mulai dari proses menangkap paket – paket data atau informasi yang berlalu – lalang dalam jaringan, sampai pada digunakan untuk sniffing ( memperoleh informasi penting seperti password email, dan lainnya ). Wireshark sendiri merupakan free tools untuk Network Analyzer yang ada saat ini. Dan tampilan dari wireshark ini sendiri terbilang sangat bersahabat dengan user karena menggunakan tampilan grafis atau GUI ( Graphical User Interface ). Dan berikut ini cara menginstall wireshark : 1.
Download WireShark di http://www.wireshark.org/download.html
2. Setelah mendapatkan istaller wireshark. Double klik icon wireshark.
3. Pilih Next saja.
Gambar 4.1.34 Install WireShark 1
57
4. Pilih I agree.
Gambar 4.1.35 Install WireShark 2 5. Pilih Next
Gambar 4.1.36 Install WireShark 3
58
6. Pilih next
Gambar 4.1.37 Install WireShark 4 7. Pilih next
Gambar 4.1.37 Install WireShark 5
59
8. Sebelum pilih Install dilihat terlebih dahulu sudah memiliki WinPcap atau belum, bila belum di checklist seperti pada gambar lalu pilih Install, bila sudah di unchecklist saja lalu install.
Gambar 4.1.38 Install WireShark 6 9. Tunggu sampai selesai, lalu pilih Next
Gambar 4.1.39 Install WireShark 7
60
10. Pilih Finish
Gambar 4.1.40 Install WireShark 8 4.2.
Implementasi
Pada bagian ini akan dilakukan implementasi sistem yang sudah dibuat berdasarkan perancangan bab sebelumnya. Pengujian sistem dilakukan dengan melakukan beberapa serangan untuk mengetahui apakah snort sebagai IDS dapat bekerja dengan baik. 4.1.1 Metode dan Skenario Implementasi Hari Pertama Uji Coba (20 Desember 2013) Pengujian IDS pada skripsi ini dilakukan untuk menguji apakah sistem dapat berfungsi dengan baik dan juga memiliki tingkat realibility yang sesuai. Terlebih dahulu kami mencoba kemampuan snort dalam mendeteksi, terlihat seperti pada gambar berikut :
61
Gambar 4.2.1 hasil capture snort dari ping google.com Gambar diatas merupakan hasil dari ping google.com, terlihat packet ICMP yang langsung terdeteksi oleh IDS. Yang terdeteksi bukan hanya packetnya saja tetapi juga IP, dan waktu pengiriman. Ini membuktikan bahwa snort sudah berfungsi sebagai IDS.
Gambar 4.2.2 hasil capture wireshark dari ping google.com
Dan gambar diatas merupakan hasil screenshoot/capture dari wireshark, dari capture wireshark ini terlihat waktu yang sama dengan packet yang di deteksi oleh snort pada saat mengirim ping dan menerima packet dari google.com. Wireshark mecapture semua traffic jaringan yang sedang berjalan secara realtime, berbeda dengan snort yang hanya mendeteksi packet yang dianggap berbahaya. Berikutnya kami mencoba kemampuan snort dalam mendeteksi ping of death atau memberikan packet secara berturut – turut dan terus – menerus tanpa henti.
62
Gambar 4.2.3 Snort Mendeteksi ping of death Dari gambar diatas terlihat bahwa IP 174.100.10.05 mengirim ICMP packet secara terus menerus ke IP IDS ( 174.100.10.105),dan membuktikan IDS meresponse dan mendeteksi dengan cepat. Contoh packet yang dikirim juga terlihat pada wireshark berikut ini.
Gambar 4.2.4 Capture / screenshoot wireshark untuk ping of death
Dari gambar tersebut terlihat bahwa wireshark tidak dapat mengcapture semua packet ping of death secepat snort. Terlihat dari packet ICMP yang trdapat pada gambar diatas yang di warnai dengan kotak merah. Hal tersebut disebabkan karena wireshark berfungsi sebagai monitoring traffic secara realtime yang artinya wireshark memngcapture semua packet yang lewat di jaringan yang ada, baik itu packet yang jelas sumbernya, ataupun packet yang berpotensi bad traffic.
63
Dan gambar berikut ini menunjukan jumlah packet yang terdeteksi dan jumlah alert yang di deteksi oleh snort
Gambar 4.2.5 Screenshoot alert yang berhasil terdeteksi oleh snort Dari gambar di atas teradapat alerts 42, ini dimaksudkan bahwa yang terdeksi dan berpotensi bad traffic sekitar 42 packet. Jumlah alert diatas belum dijumlahkan dengan hasil alert lain pada percobaan hari pertama ini. Gambar 4.2.5 itu hanya menunjukan jumlah alert setelah snort di non aktifkan akan muncul data apa saja yang telah dideteksi oleh snort. Hari Kedua Uji Coba ( 7 Januari 2014 ) Di hari kedua, kami mencoba kembali kemampuan snort untuk lebih meyakinkan apakah IDS snort ini bekerja dengan baik. Uji coba yang kami lakukan pada hari kedua ini adalah menguji apakah kemampuan snort dalam menyimpan alert ke log berajalan dengan semestinya atau berjalan dengan baik. Uji coba di hari kedua bisa dilihat dari gambar berikut :
Gambar 4.2.6 log yang berhasil terdeteksi oleh snort Pada gambar di atas dapat terlihat paket yang terdeteksi oleh snort lalu di simpan di lognya. Gambar 4.2.6 tersebut membuktikan bila snort berfungsi
64
sebagai packet logger mode. Di gambar diatas terlihat yang terdeteksi kembali oleh snort dan disimpan di lognya adalah ICMP packet yang di kirim oleh IP 172.16.1.11 -> 173.194.38.179. Hari ketiga Uji Coba (23 Januari 2014) Di hari ketiga ini kami melakukan uji coba snort yang terakhir untuk membuktikan kembali yang terakhir kalinya bila snort sebagai IDS akan berjalan dengan baik di Kementrian Komunikasi dan Informatika. Berikut merupakan hasil dari Uji coba terakhir di hari ketiga ini.
Gambar 4.2.7 Hasil packet yang terdeteksi oleh snort Gambar 4.2.8 Hasi packet ICMP yang berhasil terdeteksi oleh snort
Dari gambar 4.2.7 diatas dapat terlihat bila paket yang di deteksi oleh snort sebagai IDS hanya packet ICMP yang di kirim oleh 192.168.0.102 dan diterima oleh 31.1.3.79.128 lalu yang dikirim kembali oleh 31.1.3.79.128 diterima 192.168.0.102 . sedangkan pada gambar 4.2.8 snort telah mendeteksi packet ICMP yang berpotensi sebagai bad traffic. Packet ICMP yang berpotensi sebagai bad traffic kami tandai dengan kotak merah. Packet bad traffic ini dikirim oleh IP 202.73.99.3 ke IP 192.168.0.102.
65
Jadi dari pecobaan di hari ketiga ini snort sebagai IDS masih berjalan dengan baik dan mampu mendeteksi jaringan di Kementrian Komunikasi dan Informatika. Dari ketiga hari percobaan yang kami lakukan di Kementrian Komunikasi dan Informatika, snort sebagai IDS mampu mendeteksi intruder atau penyusup yang masuk ke di dalam Jaringan Kementrian Komunikasi dan Informatika, dan berikut jumlah alert yang dideteksi oleh snort sebagai IDS: Tabel 4.1 Jumlah Alert Terhadap Jaringan
Waktu Percobaan
Jumlah Alert
Hari Pertama
1432
Hari Kedua
1678
Hari Ketiga
1295
Jumlah Alert 2000 1500 1000 500 0 Hari Pertama
Hari Kedua
Hari Ketiga
Jumlah Alert
Gambar 4.2.9 Diagram Jumlah Alert Terhadap Jaringan
Pada gambar dan table di atas maka dapat menunjukan perbandingan Antara jumlah alert terhadap serangan setiap harinya. Untuk hari pertama jumlah alert yang terdata yaitu 1432 alert, untuk hari kedua jumlah alert yang terdata yaitu 1678 alert dan untuk hari ketiga jumlah alert yang terdata yaitu 1295 alert.
66
Rule Yang Di Implementasikan Dari hasil implementasi diatas kami mengelompokan kembali rule mana yang digunakan dan serangan yang terdeteksi oleh snort yang dapat dilihat sebagai berikut : •
dos.rule Berikut ini merupakan Test dari dos.rules
Gambar 4.3.10 Screen Shoot DoS attack Dari gambar 4.3.10 diatas kami kelompokan termasuk DoS attack karena sesuai dengan rule sebgai berikut : alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"DOS Microsoft IP Options denial of service"; sid:10127; gid:3; rev:2; classtype: attempted-dos; reference: url, technet.microsoft.com/enus/security/bulletin/ms06-032; reference: cve,2006-2379; metadata: engine shared, soid 3|10127;) •
bad-traffic.rules Berikut merupakan test dari potensial bad traffic :
Gambar 4.3.11 Potensial Bad Traffic attack
67
Gambar 4.3.11 diatas kami kelompokan pada rule bad-traffic karena sesuai dengan rule bad-traffic.rule sebagai berikut : alert udp $HOME_NET 67 -> $HOME_NET 68 (msg:"BAD-TRAFFIC invalid dhcp offer denial of service attempt"; sid:13450; gid:3; rev:4; classtype:attempted-dos; reference:cve,2008-0084; reference:url,technet.microsoft.com/en-us/security/bulletin/ms08-004; metadata: engine shared, soid 3|13450;) 4.3. Evaluasi Mendasar dari identifikasi masalah dan kebutuhan user, kami melakukan evaluasi sebagai berikut : -
Untuk mendeteksi serangan yang terjadi di jaringan Kementrian Komunikasi dan Informatika kami melakukan uji coba penggunaan IDS snort. Dan dari uji coba tersebut kinerja IDS snort yang kami rancang dapat mendeteksi serangan yang datang dari dalam ataupun dari luar jaringan yang terdapat di Kementrian Kominfo dan mencatatnya dalam log.
-
Tingkat Keamanan pada LAN di Kominfo setelah pemasangan IDS snort ini mengalami beberapa perubahan, ini disebabkan karena adanya IDS, keamanannya menjadi bertambah dua kali lebih baik dari sebelumnya yang hanya menggunakan firewall, atau pengamanan awal.
Dari perancangan dan Implementasi yang kami lakukan, kami berhasil mengatasi kebutuhan user yang dalam hal ini adalah Kementrian Komunikasi dan Informatika, tentang snort sebagai IDS yang bekerja dengan baik dalam mendeteksi serangan dari dalam maupun luar jaringan. Dan IDS yang kami rancang juga mampu melihat darimana asal serangan terjadi dan tujuannya. Dari Implementasi diatas juga teruji bagaimana IDS mampu memberikan peringatan atau pengamanan ganda dari serangan, sebelum serangan itu menyentuh firewall. Untuk membaca packet apa saja yang dikirim dan di terima oleh IDS, kami menggunakan wireshark. Dengan wireshark ini lah kami mampu menganalisa tentang packet – packet yang diterima oleh IDS.
68