53
BAB 4 IMPLEMENTASI DAN EVALUASI
4.1 Spesifikasi Kebutuhan Sistem Untuk membangun sebuah network intrusion detection system (NIDS), dapat menggunakan aplikasi open source SNORT yang di install pada PC dengan OS Windows 7. Pada dasarnya SNORT merupakan sebuah aplikasi yang mirip penggabungan dasar monitoring anti virus dan firewall, sehingga memerlukan Winpcap aplikasi untuk meng-capture paket tersebut. Winpcap dibutuhkan SNORT untuk menangkap paket data pada jaringan yang sedang berlangsung.
Berikut adalah daftar piranti lunak yang dibutuhkan dalam pemasangan SNORT: •
SNORT-2.9.2.3
•
Winpcap
•
Windows 7 64bit
•
ARP-Scan-1.7
•
MySQL 64bit
Agar dalam penggunaanya dapat berjalan dengan baik maka hardware yang digunakan setidaknya seperti berikut: •
Prosesor 2GHz dual/multi core
•
MOBO dengan slot PCI
•
RAM 2GB
54
•
Hardisk 80GB
•
NIC
4.2 Prosedur Operasional. 4.2.1Pengujian Keamanan Jaringan Pengujian keamanan pada sistem yang berjalan menggunakan metode Denial of Services (DoS) dengan aplikasi Nmap Console dan Loic. Sebelum melakukan implementasi SNORT,
pengujian dilakukan untuk mengetahui kondisi jaringan
mengenai celah dari suatu keamanan jaringan. Dalam penelitian ini menggunakan Nmap Console yang dijalankan melalui Windows 7 64bit. Berikut merupakan hasil dari pengujian keamanan jaringan :
55
Gambar 4.1 Penyerangan Pada Komputer Server Dapat terlihat ip pada server 192.168.2.100 teradapat sejumlah port terbuka yang bisa dipakai untuk melakukan penyerangan pada komputer server, namun untuk memastikan port benar - terbuka maka dilakukan intense scan pada semua tcp port.
Gambar 4.2 Penyerangan Pada Router Mikrotik
56
Terlihat port port 21/tcp pada router mikrotik terbuka, maka selanjutnya port tersebut akan
dipakai
untuk
mengaudit
kebenaran
port
yang
terbuka
tersebut.
Pada penelitian ini dilakukan penyerangan server memakai flooding thread dengan metode DDoS pada port 21 pada protocol TCP.
Sebelum melakukan penyerangan pada port tersebut , maka dilakukanlah ping ke ip server untuk mengetahui kondisi lalu lintas jaringannya.
Gambar 4.3 Proses Ping
Setelah penyerangan berlangsung server tidak mampu menangani paket data lagi setelah DDoS melakukan serangan dengan mengirim paket data dengan pembacaan per 1000 threads sebanyak 72980 request. Sehingga dapat disimpulkan bahwa port tersebut memang terbuka dan perlu untuk di lakukan perhatian lebih lanjut.
57
Gambar 4.4 Hasil Penyerangan 4.2.2
Instalasi SNORT Sebelum menginstal SNORT disarankan menginstal WinPcap terlebih
dahulu. Berikut adalah langkah – langkah yang harus dilakukan.
1. Install WicPcap dengan memilih next
Gambar 4.5 Tampilan WinPcap
58
2. Pilih Finish untuk mengakhiri.
Gambar 4.6 Akhir penginstallan WinPcap Setelah menginstal winpcap lalu instal SNORT. Berikut adalah langkah-langkah yang harus dilakukan. 1. Install SNORT dengan memilih I Agree
Gambar 4.7 Penginstallan SNORT
59
Maka akan terlihat tampilan berikut. Ada 3 pilihan yang bisa diambil : 1.
Memakai database server built in atau mysql.
2.
Memakai Microsoft SQL Server
3.
Memakai database server dari Oracle. Dalam penelitian ini adalah yang pertama karena dukungan mysql
sebagai server yang agak mudah penggunaanya.
Gambar 4.8 Contain pada SNORT yang dapat dipilih 2.
Pilih next untuk melanjutkan
Gambar 4.9 Components yang diinginkan
60
Penelitian ini menggunakan semua komponen yang tertera di gambar 4.5
3. Pilih next untuk melanjutkan
Gambar 4.10 Letak folder penginstallan. Saat pemilihan direktori instalan disarankan default C:\SNORT dikarenakan untuk mempermudah dalam proses pengaturan rule nya. 4. Pilih close untuk mengakhiri.
Gambar 4.11 Akhir penginstallan SNORT 5. Penginstallan SNORT sudah selesai.
61
o Flowchart SNORT Network Security
Decoder Engine
Preprocessor
Detection Engine
Output Engine
Log File
Response
Gambar 4.12 Flowchart SNORT Flowchart diatas membahas lebih dalam mengenai cara kereja SNORT. Network traffic yang berisi paket data, akan diambil oleh Snort decoder. Snort decoder mendecode paket ke dalam data struktur SNORT untuk dianalisis. Kemudian paket data diteruskan ke preprocessor untuk dilihat paket header-nya dan informasi didalamnya. Kemudian paket data diteruskan menuju detection engine. Dengan menggunakan rule, detection engine membandingkan antara paket data dan rule dan memutuskan apakah paket data bisa lewat atau akan di drop. Output engine memberikan hasil dari detection engine dalam format terpisah seperti log file dan database. Berdasarkan hasil dari
62
detection engine, SNORT bisa mengambil tindakan lebih lanjut untuk merespon paket tersebut.
4.2.3 Konfigurasi sistem 4.2.3.1 Konfigurasi Rule Untuk menentukan konfigurasi SNORT, ubah file SNORT.conf yang berada di “c:\SNORT\SNORT.conf.” disarankan memakai wordpad untuk konfigurasi pada SNORT.conf untuk tampilan yang maksimal. Terdapat beberapa hal yang harus diperhatikan dalam menentukan konfigurasi SNORT, yaitu •
var HOME_NET Digunakan untuk menentukan alamat IP yang digunakan pada jaringan lokal. Nilai awal dari variabel ini adalah any. ganti variabel any dengan 192.168.2.0/24, yang berarti alamat 192.168.2.0 - 192.168.2.255 adalah IP address yang didaftarkan sebagai jaringan lokal. sehingga menjadi var HOME_NET 192.168.2.0/24
•
var DNS_SERVERS Digunakan untuk menentukan alamat IP server DNS yang
digunakan di dalam jaringan. pada penelitian ini diganti dengan alamat IP 192.168.0.1
63
•
var RULE_PATH Digunakan untuk menentukan letak direktori rules. Pada
penelitian ini path nya C:\SNORT\rules
Gambar 4.13 var RULE_PATH
•
Output alert_csv : /var/log/csv.out timestamp, sig_id, src, dst, msg. Pada penelitian ini menggunakan csv (coma separated values) sebagai output dari data alert. /var/log/csv.out merupakan lokasi dimana file output nanti akan disimpan. setelah menentukan lokasi maka ditentukan timestamp, sig_id, src, dst, msg sebagai isi dari file csv.out timestamp merupakan catatan waktu kapan alert dihasilkan, sig_id merupakan id rule dari alert
64
tersebut, src merupakan IP address pengirim yang mengirimkan paket data yang dianggap serangan, dst merupakan IP address dari tujuan paket data tersebut, dan msg merupakan isi dari alert.
•
Include classification.config Classification.config merupakan file klasifikasi dari rule SNORT. dan lokasi dari classification.config harus dicantumkan, sehingga menjadi include c:\SNORT\rules\classification.config
•
Include c:\SNORT\rules\reference.config Reference.config merupakan file dari referensi rules yang ada, berisi alamat website tentang file rule tersebut. dan lokasi dari reference.config harus dicantumkan, sehingga menjadi include c:\SNORT\rules\reference.config
65
Setelah selesai konfigurasi semua rule pada SNORT maka untuk mengujinya ketik SNORT –V pada jendela command prompt.
Gambar 4.14 Pengujian SNORT
4.2.3.2 Konfigurasi SNORT Rule Rule pada SNORT digunakan untuk menentukan paket tersebut dianggap serangan atau bukan. rule terdiri dari dua bagian yaitu rule header dan rule option. rule header terdiri dari tindakan (action), IP address source dan IP address destination, protokol dan Port. sedangkan pada rule option memiliki beberapa keyword yang memiliki fungsi yang berbeda-beda. pada penelitian ini hanya menggunakan. Beberapa kata kunci pada rule option, diantaranya :
66
- msg
: Mencetak pesan dari alert yang ditnjukan pada file log.
- gid
: Merupakan bagian mana saja dari SNORT yang menghasilkan alert, untuk gid =1 berhubungan dengan SNORT, pada gid >100 berhubungan dengan prepocessor dan decoder.
- sid
: Digunakan untuk identifikasi SNORT rules.
- rev
: Mengidentifikasikan revisi dari SNORT rules.
- classtype
: Mengklasifikasikan serangan.
- content
: Digunakan untuk mencari isi yang spesifik pada paket payload dan memicu tanggapan (response) berdasarkan paket tersebut.
- metadata
: Menambahkan informasi mengenai alert melalui angka.
- flow
: Digunakan untuk menghubungkan TCP stream reassembly dan berlaku untuk arah tertentu pada lalu lintas jaringan.
- reference
: Digunakan untuk mencari informasi lebih detail mengenai rule tersebut.
Pada IP 192.168.2.100 dilakukan proses pemberian rule. Berikut implementasi alert pada rule SNORT :
alert tcp !192.168.2.100/24 any -> 192.168.2.176/24 111 Rule diatas merupakan petunjuk peringatan bila ada paket tcp yang bukan dari alamat ip.
67
192.168.2.100 - 192.168.2.176 log udp any any -> 192.168.2.100/24 1:1024 Dari penelitian ini destinasi log port udp dibatasi dari 1 sampai 1024.
log tcp any any -> 192.168.2.100/24 :6000 Maka dapat terlihat destinasi log port tcp kurang dari 1024. log tcp any :1024 -> 192.168.1.0/24 500:
SNORT memiliki fitur untuk membantu pengguna atau administrator dalam membuat rule sendiri yang disesuaikan pada tipe serangan dan tanggapan yang akan dilakukan ketika serangan terjadi. Dengan fitur ini, memungkinkan untuk membuat rule yang mampu mendeteksi teknik-teknik pada serangan MITM terutama pada jaringan LAN. Pada Snort, rule action dapat dibuat menjadi drop maka akan memanggil IPTables untuk men-drop paket dan mencatat ke log file. Sedangkan sdrop, akan memanggil IPTables tetapi dicatat dalam log file dan pada reject akan men-drop paket lalu mencatat ke file log dan kemudian mengirimkan TCP reset jika protokolnya TCP atau ICMP port unreachable message jika protokolnya UDP.
SNORT akan memantau paket yang
datang dan disesuaikan dengan rule yang telah dibuat. Apabila sesuai, maka akan menampilkan pesan melalui msg rule option.
68
4. 3 Konsep Implementasi. Desain Topologi IDS
Gambar 4.15 IDS
Data awal masuk melalui external firewall, disanalah data yang terjadi dijaringan dianalisa apakah data tersebut legal dengan menggunakan rule yang sudah diset sebelumnya pada SNORT.Setelah dianalisa, SNORT akan menampilkan informasi mengenai data tersebut dan di dalam internal firewall. Apabila data tersebut illegal maka akan diproses oleh admin namun apabila data legal akan diteruskan. Dalam penelitian ini, dilakukan percobaan selama 3 hari dengan kurun waktu 813 jam / hari. Di hari pertama, waktu yang di yang ditentukan selama ± 13 jam. Berikut print screen di hari pertama penelitian.
69
Gambar 4.16 Hasil penelitian dihari pertama
70
Dihari kedua, penelitian yang dilakukan selama ± 8 jam. Berikut print screen penelitian dihari kedua.
Gambar 4. 17 Hasil penelitian dihari kedua
71
Di hari ketiga, penelitian yang dilakukan selama kurun waktu ± 9 jam. Berikut print screen penelitian di hari ketiga.
Gambar 4.18 Hasil penelitian dihari ketiga
72
4.4 Evaluasi/Analisis Hasil Percobaan.
Dari penelitian ini, hasil yang didapat selama 3 hari masa penelitian adalah terlihatnya sejumlah aktifitas jaringan yang dilansirkan merupakan aktifitas yang tidak wajar atau aktifitas yang tidak diketahui oleh user. Dalam penelitian ini, SNORT yang digunakan merupakan SNORT yang bermetode sniffer. Karena informasi permasalah yang ditampilkan dapat dianalisis oleh user dalam mengatasi permasalahan yang terjadi. Selain itu juga penggunaan SNORT bermetode sniffer bertujuan untuk mengurangi dari kemungkinan terjadinya false alert. Dari penelitaian ini, dihasilkan bebrapa aktifitas tidak wajar yang berada di Ethernet, IP4, UDP, TCP, IP6, ARP dan lain-lain. Berikut adalah penjabaran dari beberapa aktifitas yang terjadi di hari ketiga. 1. Ethernet Ethernet merupakan area yang sering terjadinya pertukaran transmisi data antar komputer. Namun jika dilihat dari hasil penelitian ini, diketahui bahwa WEP (Wired Equivalent Privacy) yang merupakan keamanan jaringan wireless beranalisis aktifitas tersebut merupakan aktifitas yang wajar atau tidak. 2. IP4 Ada beberapa aktifitas yang terjadi di IP4, dapat diwaspadai sebagai serangan man-in-the-middle. Dikarenakan jaringan tersebut dapat dimanfaatkan menggunakan kemampuan IP6. Serangan tersebut hanya dengan memperkenalkan serta menggabungkan router IP6 ke jaringan IP4 yang bertujuan membuat alamat melalui proses yang dikenal sebagai Stateless Auto Configuration (SLACC). 3. UDP UDP tidak berorientasi koneksi dan tidak memerlukan proses sinkronisasi seperti TCP. Paket UDP bagaimanapun rentan terhadap intersepsi, sehingga dapat diserang. Serangan UDP biasanya melibatkan banyaknya paket UDP yang dipaksa mengirimkan paket ICMP yang mengarah ke user lain.
73
4. TCP Berbeda halnya dengan UDP, TCP beroperasi menggunakan koneksi disinkronisasi yang sudah rentan terhadap serangan. Serangan ini mungkin umum terjapada saat proses koneksi TCP. Serangan yang sangat rentan terhadap serangan DoS disebut juga serangan TCP SYN. Dimana SYN merupakan jenis paket dalam protokol Transmisi Control Protocol yang bertujuan untuk membuat koneksi antar dua host. 5. IP6 IP6 merupakan perbaikan terhadap IP4, namun tidak ada mekanisme penganaman melekat yang ditambahkan di IP6 terkait dengan serangan ARP dan DHCP. Serangan tersebut masih harus diwaspadai dan tetap memiliki peluang besar untuk terjadinya serangan tersebut. Dikarenakan sampai saat ini masih sulit diperoleh tool yang dapat membantu mendeteksi penyalah gunaan DHCP (Dynamic Host Configuration Protocol), Auto Configuration atau Neighbor Discovery dalam IP6 dengan memalsukan pesan-pesan yang dilakukan oleh penyerang. DHCP digunakan agar komputer yang terdapat pada suatu jaringan bisa mengambil konfigurasi (IP address dan DNS address) dan Neighbour Discovery adalah protokol yang digunakan oleh IP6 untuk mencari node lain, menentukan alamat node lain dan mencari router dalam satu link. 6. ARP ARP adalah kegiatan memanipulasi paket ARP. Karena protokol ini bersifat stateless maka pada beberapa implementasi (di dalam sistem operasi) dimungkinkan terjadinya update terhadap entri di dalam cache ARP selama pengguna. Nodes didalam LAN dengan bebas dapat mengirmkan pesan ARP Reply ke node lain tanpa melihat apakah node tujuan telah mengirim pesan ARP Request sebelumnya. Sehingga ini merupakan titik kunci dari serangan. ARP Request digunakan untuk meminta MAC address dari suatu IP address. Pesan ini biasanya dibroadcast ke semua host pada jaringan melalui alamat broadcast ethernet. ARP Reply adalah jawaban dari ARP Request dimana setiap hostnya menerima ARP
74
Request akan memeriksa request tersebut mengetahui apakah dirinya adalah pemilik IP address yang ada didalamnya.