IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK FILTERING PAKET DATA (Studi Kasus : Yayasan Pembinaan Pendidikan Nusantara)
Oleh : Muhammad Satria Nugraha 205091000064
PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGRI SYARIF HIDAYATULLAH JAKARTA 2010 i
PENGESAHAN UJIAN
Skripsi yang berjudul “Implementasi Intrusion Detection System Untuk Filtering Paket Data (Studi Kasus : Yayasan Pembinaan Pendidikan Nusantara)” telah diuji dan dinyatakan lulus dalam Sidang Munaqosah Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta, pada hari Selasa tanggal 3 Agustus 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer pada Program Teknik Informatika
Jakarta, 3 Agustus 2010 Tim Penguji, Penguji I
Penguji II
Husni Teja Sukmana, Ph.d NIP. 1977 1030 200112 1 003
Victor Amrizal, M.Kom NIP. 150 411 288
Tim Pembimbing, Pembimbing I
Pembimbing II
Arini, MT NIP. 19760131 200910 2 001
Wahyudi, S.Si, MT NIP. 19760904 200910 1 001
Mengetahui, Dekan Fakultas Sains Dan Teknologi
DR. Syopiansyah Jaya Putra, M.Sis ii NIP. 19680117 200112 1 001
Ketua Program Studi Teknik Informatika
Yusuf Durrachman M.Sc, MIT NIP. 19710522 200604 1 002
ABSTRAKSI
Muhammad Satria Nugraha, Implementasi Intrusion Detection System Untuk Filtering Paket Data (Studi Kasus : Yayasan Pembinaan Pendidikan Nusantara). Dibawah bimbingan Arini MT dan Wahyudi, Ssi, MT. Gangguan keamanan dapat dibagi menjadi dua kategori, gangguan internal dan gangguan eksternal. Gangguan internal terjadi dari pihak yang sudah mengetahui kondisi jaringan, dan gangguan eksternal terjadi dari pihak yang sengaja ingin menjatuhkan dinding keamanan. Gangguan keamaan yang terjadi pada tempat yang menjadi studi kasus ini terjadi dari pihak internal yang ingin menjatuhkan sistem kerja jaringan dan ingin mencoba ketahanan dari keamanan jaringan yang ada pada tempat tersebut. Dengan menggunakan IDS (Intrusion Detection System) hal tersebut dapat diatasi dengan cara mengenali setiap pola serangan yang dilakukan oleh intruder. Untuk mendeteksi setiap gejala serangan tersebut, sistem menggunakan pola pengenalan terhadap source yang didapat dari pihak yang dianggap sebagai ancaman dalam sistem jaringan komputer. Metode pengembangan sistem yang digunakan dalam penelitian ini adalah Network Development Life Cycle. Penulis menggunakan Snort, Barnyard, dan BASE yang diimplementasikan pada mesin sensor berbasis Open Source. Keseluruhan sistem dibangun dalam simulasi WAN yang merepresentasikan sistem produksi. Hasil penelitian skripsi ini menyimpulkan bahwa setiap tindakan yang dilakukan oleh penyerang terhadap jaringan dapat diketahui oleh mesin sensor, sehingga dapat dilakukan pencegahan sebelum terjadi kerusakan data yang lebih luas. Kata Kunci : Intrusion Detection System, Snort, BASE
iii
KATA PENGANTAR
Alhamdulillah, segala puja dan puji syukur saya panjatkan kehadirat Allah SWT, atas segala rahmat dan hidayahnya, shalawat serta salam kepadaNya sehingga saya dapat menyelesaikan skripsi ini sesuai dengan apa yang saya harapkan. skripsi ini disusun sebagai suatu syarat untuk mencapai tahap kelulusan dalam proses perkuliahan, mudah-mudahan menjadi karya yang spektakuler. Skripsi ini disusun untuk memenuhi sebagian syarat yang ditetapkan dalam rangka mengakhiri studi pada jenjang Strata Satu (S1) Fakultas Sains dan Teknologi UIN Syarif Hidayatullah Jakarta. Dengan selesainya penyusunan skripsi ini, saya tidak lupa menyampaikan terima kasih yang sebesar-besarnya kepada pihak-pihak yang telah mendukung dalam penyusunan skripsi saya ini, antara lain kepada : 1.
Orang tua saya, yang telah membesarkan saya dan mendoakan serta memberikan dukungan yang sangat besar terhadap saya, sehingga tersusunnya skripsi yang menjadi persyaratan mencapai suatu kelulusan.
2.
Prof. Dr. Komaruddin Hidayat, MA, selaku Rektor Universitas Islam Negeri (UIN) Jakarta.
3.
Dr. Ir Syopiansyah Jaya Putra, M.Sis, selaku Dekan Fakultas Sains dan Teknologi.
4.
Arini, MT selaku dosen pembimbing I yang telah memberikan masukan, semangat, dan bimbingan dengan kesabaran dan ketabahannya. iv
5.
Wahyudi, M.Si, MT, selaku dosen pembimbing II yang telah memberikan masukan dalam proses penyusunan skripsi saya dengan sabar dan penuh keikhlasan.
6.
Seluruh dosen yang berada di Fakultas Sains dan Teknologi khususnya jurusan teknik informatika yang memiliki peran yang sangat besar bagi saya dalam proses perkuliahan.
7.
Seluruh staf akademik Fakultas Sains dan Teknologi yang telah bekerja dengan baik melayani para mahasiswa, semoga amalnya diterima Allah SWT.
8.
Teman spesialku Fitria Dewi, yang sudah menemaniku dalam suka dan duka dalam merintis dikehidupan yang semu ini, dan terus memberikan semangat, bantuan, dan kesetiaan dalam menyelesaikan skripsi saya.
9.
Raihan Achyar Rusdiansyah S.Kom, Husin, dan Reza Andi Pradana, yang telah memberikan semangat dan dukungan kepada saya hingga selesainya skripsi saya, “Moga kita semua bisa menjadi penyemangat satu sama lainnya”.
10. Kawan-kawanku
di
TI.A
maupun
TI.B,
yang
sudah
menjadi
pendorong/motivasi semangat saya, dalam menyelesaikan skripsi ini. 11. Pihak-pihak lain, yang saya tidak dapat sebutkan namanya satu persatu. Thanks All. Saya menyadari sekali bahwa dalam penulisan skripsi ini masih jauh dari kesempurnaan. Dengan segala kerendahan hati saya mohon maaf dan berharap skripsi ini dapat berguna dan bermanfaat bagi semua. Dan saya berharap skripsi yang saya susun ini menjadi suatu karya yang baik serta menjadi suatu v
persembahan terbaik bagi para dosen-dosen dan teman-teman yang berada di Fakultas Sains dan Teknologi. Demikianlah kata pengantar dari saya dan sebagai suatu introspeksi diri, saya mohon maaf atas kekurangan dan kesalahannya. Dan kekurangan hanya terdapat pada diri saya, karena kebenaran sejati hanya milik Allah SWT saya ucapkan terima kasih.
Jakarta, 23 juli 2010
(Muhammad Satria Nugraha)
vi
DAFTAR ISI Cover .........................................................................................................
i
Lembar Pengesahan ............…………………………………………….
ii
Abstrak …………………………………………………………………..
iii
Kata Pengantar ……………………………………………...…………..
iv
Daftar Isi …………………………………………………………………
vii
Daftar Tabel ………………………………………………………….….
xi
Daftar Gambar ………………………………………………………..…
xii
BAB I
BAB II
PENDAHULUAN ……………...………….…......................
1
1.1 Latar Belakang …………………...………..…………….
1
1.2 Rumusan Masalah ……………………...………..………
2
1.3 Batasan Masalah ………………………………………...
3
1.4 Tujuan dan Manfaat Penelitian ………...…......................
3
1.4.1 Tujuan Penelitian ………..………...………………...
3
1.4.2 Manfaat Penelitian ……………………………….....
4
1.5 Metodologi Penelitian …………………………………...
4
1.5.1 Metode Pengumpulan Data ………..…………..…….
4
1.5.2 Metode Pengembangan Sistem …………………......
5
1.6 Sistematika Penulisan …………………………………...
5
LANDASAN TEORI ...………………………......…………
7
2.1 Penerapan ...…………………...…..…...……………...…
7
2.2 Intrusion Detection System (IDS) ……………………….
7
2.2.1 Fungsi IDS (Intrusion Detection System) …............
8
2.2.2 Peran IDS (Intrusion Detection System) ……..…....
9
2.2.3 Tipe IDS (Intrusion Detection System) ……………
10
2.2.4 Keuntungan dan Kekurangan IDS ………………...
14
vii
2.3 Konsep dan Arsitektur Protokol .…………………….
15
2.3.1 TCP/IP (Transfer Control Protokol / Internet Protocol) …..............................................................
16
2.3.1.1 TCP (Transmission Control Protocol) ……
18
2.3.1.2 UDP (User Datagram Protocol) ………….
20
2.4 Konsep dan Arsitektur Jaringan ……………………….
21
2.4.1 LAN (Local Area Network) ……………………….
23
2.4.1.1 Konsep LAN ………………………………
23
2.4.1.2 Perangkat LAN ……………………………
23
2.4.1.3 Arsitektur LAN ……………………………
24
2.4.2 WAN (Wide Area Network) ……………………….
25
2.4.2.1 Konsep WAN (Wide Area Network) ……...
25
2.4.2.2 Perangkat WAN (Wide Area Network) ……
26
2.4.2.3 Teknologi WAN (Wide Area Network) …...
27
2.4.3 Gateway …………………………………………...
29
2.5 Packet Filtering ………………………………………...….
30
2.5.1 Keuntungan Packet filter ………………........……...
31
2.5.2 Dasar Packet Filtering …………………………….
31
2.5.3 Packet Filter Dinamis ……………………………..
32
2.5.4 Protocol Checking ………………………………...
33
2.6 Wireless ………………………………………………...….
33
2.6.1 Sistem Pengamanan Pada Jaringan Wireless LAN ……………………………………………….
35
2.6.2 Pengamanan Berbasis WEP Key ………………….
36
2.7 Perangkat Keras dan Perangkat Lunak ..………...…..
37
2.7.1
Router Wireless
…............……….……….……..
37
2.7.2
Wireshark atau Ethereal …………………………
39
2.7.3
Auditor Security Collection ………….………..…
40
2.7.4
VM Ware …………………………………..…….
41
2.7.5
Digital Blaster …………………………………....
43
2.7.6
Snort ……………………….…………………….
44
viii
2.7.7
BASE (Basic Analysis and Security Engine) ……
45
2.7.8
Yersinia ……………..……………………………
46
2.7.9
MRTG (Multi Router Traffic Grapher) ……….....
46
2.7.10 IPTables ………………………………………….
47
2.8 Metode Pengumpulan Data
...........................................
47
2.8.1. Interview (wawancara)
............................................
48
2.8.2 Kuesioner (Angket) ...................................................
49
2.8.3 Observasi (Pengamatan)
..........................................
49
..........................................................
49
2.8.5 Studi Pustaka ………………………………………
50
2.9 Metode Pengembangan Sistem .......................................
50
2.9.1 Analisis .....................................................................
51
2.9.2 Perancangan ..............................................................
51
2.9.3 Simulasi Prototyping ................................................
52
2.9.4 Implementasi .............................................................
52
2.9.5 Monitoring ................................................................
52
2.9.6 Manajemen ................................................................
53
METODOLOGI PENELITIAN ............................................
54
3.1 Metodologi Pengumpulan Data …………………...….....
54
2.8.4 Studi Literatur
BAB III
3.1.1 Studi Pustaka …………………….……………...
54
3.1.2 Observasi
……………………………………
54
3.1.3 Studi Literatur …………………………………..
55
3.2 Metode Pengembangan Sistem ………………………..
57
BAB 1V HASIL DAN PEMBAHASAN ...............................................
62
4.1 Analisis …………………………………………...….….
62
4.1.1 Identifikasi ………………………………………...
62
4.1.2 Understand ………………………………………...
63
4.1.3 Analyze …………………………………………….
64
4.1.4 Report ……………………………………………...
64
ix
4.2 Design (Perancangan) …………………………...….….
65
4.2.1 Perancangan Topologi Jaringan …………………..
65
4.2.2 Perancangan Sistem ……………………………….
67
4.3 Simulation Prototyping …………………………………
68
4.4 Implementasi ……………………………………………
70
4.4.1 Implementasi Topologi Jaringan ………………….
70
4.4.1.1 Konfigurasi Router ………………………..
71
4.4.1.2 Pemasangan Hub/Switch ………………….
74
4.4.2 Implementasi IDS (Intrusion Detection System) ….
75
4.4.3 Snort ……………………...………………………..
75
4.4.4 Barnyard ………………………...…………………
78
4.4.5 BASE (Basic Analysis Security Engine) ….……….
78
4.5 Monitoring ……………………………………………...
81
4.5.1 Pengujian Sistem IDS (Intrusion Detection System) …………………………………………….
81
4.5.1.1 Pengujian IDS dengan Serangan Bandwidth Flooding …………………………………...
81
4.5.1.2 PING Attack (ICMP Traffic) ………………
86
4.5.1.3 Pengujian IDS dengan Serangan DOS Attack (Denial Of Services) ……………………….
89
4.5.2 Analisis Data Menggunakan BASE .........................
96
4.5.3 Pencegahan
terhadap
Serangan
menggunakan
IPTables dan MAC Filtering ....……….........……...
98
4.5.4 Keuntungan dan Hasil Menggunakan IDS (Intrusion
BAB V
Detection System) …………………………………
106
4.6 Manajemen ……………..........………………………….
106
KESIMPULAN DAN SARAN ...............................................
107
5.1 Kesimpulan …………………...……………………..….
107
5.2 Saran …………………………………………………….
108
x
DAFTAR PUSTAKA ................................................................................ LAMPIRAN
xi
109
DAFTAR TABEL Tabel 2.1 Tabel 2.2 Tabel 4.1
Topologi jaringan Rincian Topologi Fisik Rincian IP Topologi Fisik
xii
8 25 67
DAFTAR GAMBAR
Gambar 2.1
Layer TCP/IP
18
Gambar 2.2
Siklus NDLC (Network Development Life Cycle)
51
Gambar 3.1
Diagram Alur Penelitian
61
Gambar 4.1
Topologi Jaringan
65
Gambar 4.2
Sistem Operasi Auditor Security Collection Pada VM-Ware
69
Gambar 4.3
Tampilan Mesin Sensor Menggunakan Ubuntu 9.10
70
Gambar 4.4
Konfigurasi Internet Protokol Pada Router
72
Gambar 4.5
Konfigurasi Basic Setting Physical Wireless
73
Gambar 4.6
Konfigurasi Wireless Security
73
Gambar 4.7
Ping Client ke Router
74
Gambar 4.8
Proses Instalasi Snort
76
Gambar 4.9
Halaman Utama Instalasi BASE
80
Gambar 4.10
Halaman Database Setup BASE
80
Gambar 4.11
Halaman Konfirmasi Status Instalasi Database BASE
80
Gambar 4.12
Flooding Komputer Client
82
Gambar 4.13
Hasil Capture Pada Wireshark
83
Gambar 4.14
Hasil Konfersi Paket Data Pada Wireshark
83
Gambar 4.15
Capture pada Mesin Sensor IDS Mencatat File yang Berukuran Besar
84
Gambar 4.16
Ping dari Client kedalam Mesin Sensor
86
Gambar 4.17
Hasil Dump Ping Traffic Client ke Sensor
87
Gambar 4.18
Hasin Capture Snort dengan Modus Sniffing
87
Gambar 4.19
Hasil Caputre pada Mesin Sensor
89
Gambar 4.20
Auditor Security Collection
91
Gambar 4.21
Proses Penyerangan Dengan Yersinia
92
Gambar 4.22
Proses Monitoring Serangan
92
Gambar 4.23
Konversi Paket Data 1
93
Gambar 4.24
Konversi Paket Data 2
93
Gambar 4.25
Display Statistik Pada Server Setelah Serangan
95
xiii
Gambar 4.26
Halaman Utama BASE
96
Gambar 4.27
Diagram Batang Source IP dan Jumlah Alert
97
Gambar 4.28
Tampilan Daftar Alert Pada Traffic Profile By Protocol
98
Gambar 4.29
Data
Yang
Diperoleh
dari
Komputer
Penyusup
Berdasarkan Model Sniffing Gambar 4.30
Gambar 4.31
Data Yang Diperoleh dari Komputer Penyusup
99 dengan
TCPDump
99
Traffic Serangan Yang Ditangkap Pada Firewall Dengan
100
MRTG (Multi Router Traffic Grapher) Gambar 4.32
Blok Target Dengan IPTables
101
Gambar 4.33
Pemilihan Alamat MAC Peyerang
102
Gambar 4.34
Alamat MAC Peyerang Yang Sudah Terdaftar Dalam MAC Filtering
Gambar 4.35
102
Sensor Snort Berhenti Mendeteksi Setelah Serangan Berhasil di Blok Dengan IPTables
Gambar 4.36
Grafik Pengiriman Serangan Dari Penyerang Setelah Dilakukan Pemblokiran Dengan IPTables
Gambar 4.37
104
Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
Gambar 4.39
104
Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
Gambar 4.38
103
105
Grafik Pemenerima Data Serangan Pada Sensor IDS Setelah Diblok Dengan IPTables
xiv
105
BAB 1 PENDAHULUAN
1.1 Latar Belakang Gangguan pada dasarnya dapat dibagi menjadi dua bagian, pertama adalah gangguan internal dan kedua adalah gangguan eksternal. Gangguan internal merupakan gangguan yang berasal dari lingkup dalam jaringan infrastruktur tersebut, dalam hal ini adalah pihak-pihak yang telah mengetahui kondisi keamanan dan kelemahan dari jaringan tersebut. Gangguan eksternal adalah gangguan yang berasal dari pihak luar yang ingin mencoba atau dengan sengaja ingin membobol dinding keamanan yang ada. Pada yayasan yang menjadi tempat studi kasus penulis, terdapat gangguan keamanan yang terjadi dari pihak internal yaitu seorang pengguna yang ingin menjatuhkannya kinerja dari jaringan dan melakukan pengujian ketahanan terhadap sistem keamanan yang terdapat pada tempat penelitian penulis. Penulis melakukan pemantauan terhadap jaringan menemukan adanya tingkat lalu-lintas yang cukup tinggi. Proses tersebut terjadi melalui koneksi jaringan wireless yang disediakan oleh pihak yayasan yang berhasil diakses oleh pihak yang ingin melakukan pengerusakan. Sistem untuk mendeteksi gangguan dari segi-segi yang telah dipaparkan diatas memang telah banyak dibuat, tetapi sistem yang mampu melakukan pendeteksian seperti halnya manusia sangatlah jarang, dalam hal ini mampu melakukan analisa serta mempelajari kondisi yang ada. Keamanan jaringan 1
bergantung pada kecepatan pengaturan jaringan dalam menindaklanjuti sistem saat terjadi gangguan. Salah satu komponen dari jaringan komputer yang perlu dikelola dengan menggunakan manajemen jaringan adalah Intrusion Detection System (IDS). Penerapan IDS diusulkan sebagai salah satu solusi yang dapat digunakan untuk membantu pengaturan jaringan untuk memantau kondisi jaringan dan menganalisa paket-paket berbahaya yang terdapat dalam jaringan tersebut. IDS diterapkan karena mampu medeteksi paket-paket berbahaya pada jaringan dan langsung memberikan peringatan kepada pengatur jaringan tentang kondisi jaringannya saat itu. Sudah terdapat banyak software IDS seperti Snort yang merupakan open source IDS yang juga digunakan dalam penelitian khususnya untuk filtering paket data. Namun belum terdapat sistem antar muka yang membantu para pengguna dalam mengatur sistem sehingga penerapan IDS ini masih sulit dilakukan. Oleh karena itu pada YAYASAN PEMBINAAN PENDIDIKAN NUSANTARA
diusulkan untuk membuat
sistem IDS lengkap dengan tampilan antar muka berbasiskan web dengan beberapa fitur tambahan yang diharapkan dapat membantu administrator dalam memonitor kondisi jaringannya serta meningkatkan mutu jaringan tersebut.
1.2 Rumusan Masalah 1. Bagaimana cara IDS mendeteksi setiap gangguan yang terjadi didalam sistem jaringan? 2
2. Bagaimana cara mengatasi serangan dari para intruder dengan melihat source yang diperoleh dari penyusup ? 3. Bagaimana keuntungan atau hasil dengan menerapkan IDS?
1.3 Batasan Masalah Dalam penulisan skripsi ini penulis hanya membatasi permasalahan pada: 1. Melakukan proses monitoring terhadap jaringan atas serangan yang terjadi pada jaringan wireless. 2. Tools yang digunakan untuk melakukan monitoring antara lain Snort, BASE, dan Wireshark. 3. Aplikasi untuk melakukan proses penyerangan yang digunakan dalam penulisan skripsi ini adalah Auditor Security Collection dan Digital Blaster. 4. Tingkat keamanan diterapkan pada mesin sensor yang bertugas melakukan monitoring, konfigurasi Router Wireless (MAC Filtering), dan IPTables untuk melakukan pencegahan. 5. Tidak mengfokuskan permasalahan keamanan jaringan pada konfigurasi firewall yang lebih lanjut.
1.4 Tujuan dan Manfaat Penelitian 1.4.1 Tujuan Penelitian Adapun tujuan dari penelitian ini adalah sebagai berikut: 1. Menerapkan konsep yang digunakan dalam IDS (Intrusion Detection System). 3
2. Melakukan analisis dan mencari bukti dari percobaan intrusi. 3. Menemukan usaha-usaha tidak sah untuk mengakses resource komputer seseorang. 4. Mengetahui serangan yang terjadi didalam jaringan sehingga dapat melakukan pendeteksian.
1.4.2 Manfaat Penelitian 1. Dapat memahami cara kerja dari IDS. 2. Mengetahui jalur mana saja yang mungkin digunakan penyusup agar dapat dilakukan pemblokiran sehingga tidak dimanfaatkan lagi. 3. Menyediakan informasi yang akurat terhadap gangguan secara langsung.
1.5 Metodelogi Penelitian 1.5.1 Metode Pengumpulan Data 1. Studi Pustaka Melakukan penelitian terhadap dokumen dan artikel yang berkaitan dengan tema yang penulis angkat. Baik berupa artikel, jurnal, hingga buku-buku yang menjadi dasar penelitian. 2. Studi Lapangan Pada metode pengumpulan data yang berdasar pada studi lapangan terdapat 3 (tiga) metode, yaitu : observasi, wawancara, dan kuisioner. Metode yang digunakan penulis adalah metode observasi, yaitu dengan melakukan pengamatan terhadap aktivitas yang sedang 4
terjadi didalam jaringan tempat penulis melakukan penelitian. Kemudian, penulis melakukan pengumpulan data yang didapat dari hasil pemantauan tersebut terhadap proses-proses yang terjadi pada jaringan tersebut. 3. Studi Literatur Metode ini dilakukan untuk melihat konsep yang sudah ada dari IDS. Ini diambil dari penelitian-penelitian yang sudah ada sebelumnya.
1.5.2 Metode Pengembangan Sistem Dalam penelitian skripsi ini, penulis menggunakan pendekatan terhadap model NDLC (Network Development Life Cycle), fase-fase model NDLC meliputi : 1. Analisis 2. Design. 3. Simulation Prototyping. 4. Implimentation. 5. Monitoring. 6. Management.
1.6 Sistematika Penulisan Sistemaika dalam penulisan skripsi ini terdiri dari 5 bab, dimana setiap bab berisi penjelasan yang saling berkaitan, antara lain: 5
BAB I PENDAHULUAN Menguraikan tentang latar belakang permasalahan, tujuan penulisan, ruang lingkup permasalahan. BAB II LANDASAN TEORI Pada bab ini akan di perkenalkan serta di jelaskan teori-teori yang di pakai dalam penulisan ini. BAB III METODOLOGI PENELITIAN Berisi analisis terhadap penggunaan IDS dalam mendeteksi seranggan yang mungkin terjadi didalam jaringan wireless. BAB IV ANALISIS DAN PEMBAHASAN Pada bab ini menjelaskan cara kerja dari IDS itu sendiri dalam melakukan proses pemantauan terhadap kemungkinan serangan didalam jaringan. BAB V KESIMPULAN DAN SARAN Pada bab ini penulis akan menyimpulkan apa yang telah dilakukan pada bab ini, pada bab sebelumnya, dan juga memberikan saran dalam mengembangkan sistem yang lebih baik.
6
BAB II LANDASAN TEORI
2.1 Penerapan Penerapan adalah pemanfaatan hasil penelitian, pengembangan, dan atau ilmu pengetahuan dan teknologi yang telah ada ke dalam kegiatan perekayasaan, inovasi, serta difusi teknologi. ( Martoyo, 2005:47) 2.2 Intrusion Detection System (IDS) Webster's mendefinisikan sebuah intrusi sebagai "tindakan pemaksaan, memasuki tempat atau negara tanpa adanya undangan, dibenarkan, atau sambutan". Ketika kita berbicara tentang deteksi intrusi kita mengacu kepada tindakan mendeteksi suatu gangguan yang tidak sah oleh komputer di sebuah jaringan. Tindakan ini (intrusi), merupakan upaya untuk kompromi, atau dinyatakan merugikan, ke perangkat jaringan lainnya. (Kohlenberg, 2007:2) Dalam melakukan tugasnya IDS (intrusion detection system) berada pada lapisan jaringan OSI (Open System Interconnection) model yang terdapat pada lapisan ketiga yaitu pada lapisan network dan sensor jaringan pasif yang secara khusus diposisikan pada choke point pada jaringan metode dari lapisan OSI.
7
2.2.1 Fungsi IDS (Intrusion Detection System) Beberapa alasan untuk memperoleh dan menggunakan IDS (intrusion detection system) (Ariyus, 2007:31), diantaranya adalah: 1.
Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang tidak bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.
2.
Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang tidak bisa dicegah oleh sistem umum pakai, seperti firewall. Sehingga banyak menyebabkan adanya begitu banyak lubang keamanan, seperti:
Banyak dari legacy sistem, sistem operasi tidak patch maupun update.
Patch
tidak
diperhatikan
dengan
baik,
sehingga
menimbulkan masalah baru dalam hal keamanan.
User yang tidak memahami sistem, sehingga jaringan dan protokol yang mereka gunakan memiliki lubang keamana.
User
dan
administrator
membuat
kesalahan
dalm
konfigurasi dan dalam menggunakan sistem. 3. Mendeteksi serangan awal. Penyerang akan menyerang suatu siste yang biasanya melakukan langkah-langkah awal yang mudah diketahui yaitu dengan melakukan penyelidikan atau menguji sistem jaringan yang akan menjadi target, untuk mendapatkan titiktitik dimana mereka akan masuk. 8
4. Mengamankan file yang keluar dari jaringan. 5. Sebagai pengendali untuk rancangan keamanan dan administrator, terutama bagi perusahaan yang besat 6. Menyediakan informasi yang akurat terhadap ganguan secara langsung, meningkatkan diagnosis, recovery,
dan mengoreksi
faktor-faktor penyebab serangan.
2.2.2 Peran IDS (Intrusion Detection System) IDS (intrusion detection system) juga memiliki peran penting untuk mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Hal-hal yang dilakukan IDS (intrusion detection system) pada jaringan internal adalah sebagai berikut: (Ariyus, 2007:34)
Memonitor akses database : ketika mempetimbangkan pemilihan kandidat untuk penyimpanan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data-data yang berharga.
Melindungi e-mail server : IDS (intrusion detection system) juga berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD Worm, dan versi terbaru dari ExploreZip.
Memonitor policy security : jika ada pelanggaran terhadap policy security maka IDS (intrusion detection system) akan memberitahu
9
bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang ada.
2.2.3 Tipe IDS (Intrusion Detection System) Pada dasarnya terdapat tiga macam IDS (intrusion detection system), yaitu: (Ariyus, 2007:36)
1. Network based Intrusion Detection System (NIDS) : Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. 2. Host based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet. 10
3. Distributed Intrusion Detection System (DIDS) : sekumpulan sensor IDS yang saling terhubung satu sama lain dan berfungsi sebagai remotet sensor (sensor jarak jauh) yang memberikann pelaporanpada manajemen sistem terpusat.
Pembagian jenis-jenis IDS yang ada saat sekarang ini didasarkan pada beberapa terminologi, di antaranya: (Ariyus, 2007:36) 1.
Arsitektur sistem Dibedakan menurut komponen fungsional IDS (intrusion detection system), bagaimana diatur satu sama lainnya.
Host-Target Co-Location : IDS dijalankan pada sistem yang akan dilindungi. Kelemahan sistem ini adalah jika penyusup berhasil memperoleh akses ke sistem maka penyusup dapat dengan mudah mematikan IDS tipe ini.
Host-Target Separation : IDS diletakkan pada komputer yang berbeda dengan komputer yang akan dilindungi.
2.
Tujuan Sistem Ada dua bagian tujuan intrusion detection system (IDS), diantaranya adalah:
Tanggung jawab : adalah kemampuan untuk menghubungkan suatu kegiatan dan bertanggung jawab terhadap semua yang terjadi, diantaranya adalah serangan.
11
Respons : suatu kemampua untuk mengendalikan aktivitas yang merugikan dalam suatu sistem komputer.
3.
Strategi Pengendalian Pada
tahap
ini
IDS
dibedakan
berdasarkan
yang
dikendalikan, baik input maupun outputnya. Jenis-jenis IDS menurut terminologi ini adalah:
Terpusat : seluruh kendalai pada IDS, baik monitoring, deteksi, dan pelaorannya dikendalikan secara terpusat.
Terdistribusi Parsial : monitoring dan deteksi dikendalikan dari node lokal dengan hierarki pelaporan pada satu atau beberapa pusat lokasi.
Terdistribusi Total : monitoring dan deteksi menggunakan pendekatan berbasis agen, dimana keputusan respons dibuat pada kode analisis.
4.
Waktu Waktu dalam hal ini berarti waktu antara kejadian, baik monitoring atau analisis. Jenisnya adalah:
Interval-Based (Batch Mode) : informasi dikumpulka terlebih dahulu, kemudian dievaluasi menurut interval waktu yang telah ditemtukan.
Realtime (Continues) : IDS memperoleh data terus menerus dan dapat mengetahui bahwa penyerangan sedang terjadi 12
sehingga secara cepat dapat melekukan respons terhadap penyerangan. 5.
Sumber Informasi IDS (intrusion detection system) dibedakan menurut sumber daya yang diperoleh. Jenis-jenis IDS menurut terminologi ini di antaranya:
Host-Based : IDS memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Biasanya informasi yang diperoleh berupa log yang dihasilkan dengan memonitor sistem file, event, dan keamanan pada Windows NT san syslog pada lingkungan sistem opersi UNIX.
Network-Based : IDS memperoleh informasi dari paket-paket jaringan yang ada. Network-Based menggunakan raw packet yang ada pada jaringan sebagai sumber datanya, menggunakan network adapter yang bejalan pada mode prosmicuous sebagai alat untuk menangkap paket-paket yang akan di pantau. Dari jenis-jenis IDS tersebut, sistem IDS yang digunakan
adalah yang berbasis pada jaringan (Network-Based) untuk memantau paket-paket data yang berjalan didalam jaringan. Snort merupakan aplikasi yang dapat digunakan pada tingkat network, karena cara kerja snort hampir sama dengan alarm yaitu memberitahukan adanya penyusup yang akan masuk kejaringan. 13
2.2.4 Keuntungan dan Kekurangan IDS Berikut ini beberapa keuntungan dari penerapan IDS pada sistem jaringan komputer : 1.
Secara efektif mendeteksi aktifitas penyusupan, penyerangan atau tindak pelanggaran lainnya yang mengacam aset atau sumber daya sistem jaringan.
2.
IDS membuat
administrator
diinformasikan
tentang
status
keamanan. 3.
IDS secara berkesinambungan mengamati traffic
dari sistem
jaringa komputer dan secara rinci menginformasikan setiap event yang berhubungan dengan aspek keamanan. 4.
IDS menyediakan informasi akurat terhadap gangguan secara langsung,
meningkatkan
diagnosis,
pemulihan,
mengoreksi
sejumlah faktor penyebab intursi atau serangan. 5.
Sejumlah file log yang berisi catatan aktifitas kinerja IDS adalah bagian penting dari forensik komputer yang dapat digunakan sebagai sumber informasi untuk proses penelusuran aktivitas serangan yang terjadi, analisis dan audit kinerja sensor IDS serta sebagai barang bukti untuk tindakan hukum. Ada pula kekeurangan yang terdapat pada penerapan sensor IDS,
sebagai berikut : 1. Rentang waktu antara pengembangan teknik penyerangan atau intrusi dan pembuatan signature, memungkinkan penyerang untuk 14
mengeksploitasi IDS yang tidak mengenali jenis serangan spesifik. Karena signature tidak dapat dibuat tanpa mempelajari traffic seranagan. 2. False Negative adalah serangan sesungguhnya yang tidak terdeteksi maka tidak ada peringatan atau notification mengenai peristiwa ini. 3. False Positive adalah kesalahan IDS
dalam mendeteksi
traffic
network normal sebagai suatu serangan. Jika terjadi dalam jumlah besar berkemungkinan menutupi kejadian intrusi sesungguhnya.
2.3 Konsep dan Arsitektur Protokol Dalam komunikasi data ada tata cara dan prosedur yang harus diikuti oleh dua buah atau lebih sistem yang ingin saling berhubungan dan berkomunikasi. Prodesur ini dikenal sebagai protokol.(Tanutama, 1995:2) ada pula standar potokol, yaitu suatu himpunan petunjuk yang mengatur bagaiman asebuah perangkat keras dan perangkat lunak akan dioperasikan dan bagaimana kedua perangkat tersebut dapat saling dihubungkan dengan perangkat keras dan perangkat lunak lainnya. Ada dua macam standar protokol, yaitu: (Sutanta, 2005:21) 1. Standar protokol de facto, merupakan standar-standar protokol yang tidak diadopsi oleh bangunan protokol standar. Ini ditetapkan oleh masingmasing perusahaan pembuat perangkat keras dan perangkat lunak. 2. Standar protokol de jure, merupakan standar protokol yang diasopsi oleh bangunan protokol standar. 15
Sedangkan protokol jaringan adalah kumpulan standar yang mengatur tata
cara
suatu
informasi
atau
data
ditransmisikan
melalui
jaringan.(Kurniawan, 2007:11) protokol jaringan ada bebrapa macam yang utama diantaranya adalah TCP/IP, IPX/SPX, UDP, Apple Talk.
Standar
protokol komunikasi data yang digunakan dan diakui dunia adalah TCP/IP dan Model Referensi OSI.
2.3.1 TCP/IP (Transfer Control Protokol / Internet Protocol) Pada tahun 1969, lembaga riset Departemen Pertahanan Amerika, DARPA (Defence Advance Research Project Agency), mendanai sebuah riset untuk mengembangkan jaringan komunikasi data antara komputer. Riset ini bertujuan untuk mengembangkan jaringan komunikasi data yang transparan, dimana komunikasi data dapat berhubungan dengan jaringan lainnya, serta tahan terhadap berbagai gangguan. Pengembangan jaringan ini ternyata berhasil dan melahirkan ARPANET pada tahun 1972.(Purbo, 1998:8) Pada dasarnya, komunikasi data merupakan proses mengirimkan dara dari satu komputer ke komputer lain. Unutk mengirimkan data, pada komputer harus ditambahkan alat khusus, yang dikenala sebagai network interface. Untuk dapat mengirimkan data, ada hal yang harus diperhatikan untuk sampainya data ketujuan, salah satunya dengan menggunakan TCP/IP sebagai protokol yang menjadi identitas pada setiap komputer. (Purbo, 1998:21) 16
TCP/IP adalah sekumpulan protokol yang dirancang untuk melakukan funsi-fungsi komunikasi data pada Wide Area Network (WAN). TCP/IP terdiri dari sekumpulan protokol yang masing-masing bertanggung jawab atas bagian-bagian tertentu dari komunikasi data. Sekumpulan protokol TCP/IP ini dimodelkan dengan empat layer TCP/IP.
Gambar 2.1 Layer TCP/IP (Sumber : http://docstore.mik.ua/orelly/networking/tcpip/figs/tcp2_0102.gif)
Layer aplikasi adalah layer yang menyediakan komunikasi antar pengguna dengan layanan komunikasi standar seperti transfer data dan surat elektronik. Beberapa perangkat lunak yang dapat bekerja pada lapisan ini adalah Simple Mail Transfer Protocol (SMTP), Hypertext
17
Transfer
Protcol
(HTTP),
dan
File
Transfer
Protocol(FTP).
(Mulyanta, 2005:32) Layer transport atau biasa disebut host-to-host adalah layer yang memberikan layanan transfer data secara transparan antar host serta bertanggung jawab terhadap metode recovery kesalahan end-to-end. Lapisan ini juga berfungsi sebagai pengatur aliran data serta memastikan
kelengkapan
data
saat
dilakukan
proses
transfer.
(Mulyanta, 2005:32) Layer Internet adalah sekelompok metode internetworking dalam protokol TCP / IP yang merupakan dasar dari internet. Ini adalah kelompok metode, protokol, dan spesifikasi yang digunakan untuk mengangkut datagrams (paket) dari host yang melintasi batas-batas jaringan, jika perlu host tujuan ditentukan oleh alamat jaringan (Internet Protocol). Network layer menyediakan proses penentuan rute pengiriman paket dijaringan dari pengirim ke penerima. Lapisan ini juga menyediakan teknologi untuk melakukan proses switching dan routing, membuat path secara logika yang disebut sirkuit virtual, dan melakukan tranfer data dari node ke node. (Mulyanta, 2005:31)
2.3.1.1 TCP (Transmission Control Protocol) TCP merupakan protokol yang terletak pada layer transport. Protokol ini juga menyediakan layanan yang dikenal 18
sebagai connection oriented, reliable, byte stream service. (Purbo, 1998:51) TCP bersifat connection-oriented dengan membangun dan menjaga koneksi end-to-end antara entitas yang sedang berkomunikasi dengan menggunakan mekanisme threeway
handshake,
yaitu
mekanisme
negoisasi
untuk
mensinkronisasikan parameter koneksi dua entitas ketika membangun
koneksi
komunikasi.
Reliable
berarti
TCP
menerapkan proses deteksi kesalahan paket dan transmisi. Sedangkan Byte Stream Service berarti paket dikirimkan dan sampai ketujuan secara berurutan. TCP memilki 3 macam tugas dasar, sebagai berikut: (Sutanta, 2005:138) 1. Menyediaka komunikasi proses-ke-proses. 2. Menyediakan kendali aliran (flow control) sebagai pembeda dengan UDP 3. Menyediakan kendali kesalahan (error control) sebagai pembeda dengan UDP. Dalam melakukan tugasnya TCP dibantu oleh IP address. IP address adalah alamat logika yang diberikan ke peralatan jaringan
yang
menggunakan
protokol
TCP/IP
untuk
memberikan identitas kepada perangkat tersebut.(Wijaya, 2007:136) Setiap komputer yang terhubung dengan jaringan komputer pasti memiliki alamat IP address yang berbeda antara satu komputer dengan komputer lainnya. 19
Dalam satu jaringan terdapat ID host dan ID jaringan. Penjelasan ID Host dan ID jaringan Sebagai berikut: (Kurniawan, 2007:13)
ID Host (Host ID) ID
Host
merupakan
ID
yang
digunakan
untuk
mendefinisikan suatu host secara spesifik pada jaringan komputer, seperti alamat yang menunjukan alamat rumah pada suatu kota. Dalam setiap jaringan (subnet) setiap komputer memiliki ciri khas yang berbeda dari komputer lain, berupa identitas yang ada pada LAN Card. Setiap LAN Card mempunyai ID yang berbeda-beda.
ID Jaringan (Network ID) ID jaringan digunakan untuk melanjutkan kiriman paketpaket data yang melewati jaringan. Ketika mengirimkan paket-paket
data
pada
jaringan,
setiap
host
harus
mempunyai dan menggunakan alamat dari ID host. Semua host yang mempunyai ID jaringan yang sama harus terletak pada segmen jaringan yang sama pula.
2.3.1.2 UDP (User Datagram Protocol) UDP merupakan komunikasi proses-ke-proses. UDP juga telah
diketahui
(connectionless),
membuat artinya
komunikasi
tidak
memiliki
tanpa
koneksi
koneksi
atau 20
transminasi tambahan.(Sutanta, 2005:121) UDP menjadi perantara antara lapisan application layer dan network layer. UDP menggunakan nomor port untuk mengidentifikasi aplikasi dalam satu kesatuan komunikasi, yang dalam keadaan biasa dikenal dengan Client-Server. UDP bersifat connectionless. Dalam UDP tidak ada sequencing
(pengurutan
kembali)
paket
yang
datang,
acknowledgement terhadap paket yang datang, atau retransmisi jika paket mengalami masalah ditengah jalan. Karena sifatnya yang connectionless dan unreliable, UDP digunakan oleh aplikasi-aplikasi yang secara periodik melakukan aktifitas tertentu, serta hilangnya satu data dapat diatasi pada query periode berikutnyadan melakukakan pengiriman data ke jaringan lokal.
2.4 Konsep dan Arsitektur Jaringan Komputer adalah sistem elektronik untuk memanipulasi data secara tepat dan tepat.(Kuswayatno, 2006:24) Kata komputer semula dipergunakan untuk mengambarkan orang yang pekerjaannya melakukan perhitungan aritmatika, dengan atau tanpa alat bantu, tetapi arti kata ini kemudian dipindahkan kepada mesin itu sendiri. Asal mulanya, pengolahan informasi hampir ekslusif berhubungan dengan masalah aritmatika, tetapi komputer modern digunkan untuk banyak tugas yang tidak berkaitan dengan aritmatika. 21
Jaringan komputer merupakan gabungan antara teknologi komputer dan teknologi komunikasi.(Sopandi, 2006:5) gabungan teknologi ini melahirkan pengolahan data yang dapat didistribusikan, mencakup pemakaian database, software aplikasi dan aplikasi peralatan hardware secara bersamaan, untuk membantu proses otomatisasi perkantoran dan peningkatan kearah efisiensi kerja. Tujuan dari jaringan komputer adalah: 1. Membagi sumber daya, seperti printer, CPU (Central Processing Unit), memori, dan Harddisk. 2. Komunikasi, contohnya surat elektronik, instant messaging, chatting 3. Akses informasi, contohnya web browsing Client-server Client-server adalah jaringan komputer dengan komputer yang didedikasikan khusus sebagai server. (Irwanto, 2007:205) Sebuah layanan bisa diberikan oleh sebuah komputer atau lebih. Peer-to-peer Peer-to-peer adalah jaringan komputer dimana setiap host dapat menjadi server dan juga menjadi client secara bersamaan.(Syafrizal, 2005:2)
22
2.4.1 LAN (Local Area Network) 2.4.1.1 Konsep LAN LAN (Local Area Network) adalah jaringan yang menghubungkan beberapa komputer dan perangkat didalam wilayah geografis yang terbatas, seperti rumah, labolaturium komputer,
gedung
kantor
atau
berupa
gedung
yang
berdekatan.(Naproni, 2007:4) LAN menyediakan jaringan komunikasi berkecepatan tinggi pada komputer-komputer dan terminal-terminal yang dihubungkan satu sama lain dan terletak pada beberapa tempat yang terpisahdan biasanya tidak terlalu jauh, seperti bangunan kantor.
2.4.1.2 Perangkat LAN 1. Switch
:
menyaring
dan
menyampaikan
paket
data
berdasarkan alamat tujuan dari setiap frame data. Bekerja pada Data Link Layer. 2. Router : menggunakan satu atau lebih matrik untuk menentukan
jalur
yang
efektif
dan
efisien
dalam
menyampaikkan paket ke node tujuan. Bekerja pada Network Layer. 3. Hub : berperan sebagai titik pemberhentian sejumlah node. Dapat melakukan pengaturan dan pengiriman ulang sinyal ke node tujuan. Bekerja pada Data Link Layer. 23
4. Repeater : menerima, memperbaharui ulang waktu dan sinyal serta melanjutkan proses pengiriman sinyalnya ke node tujuan. Bekerja pada Data Link Layer. 5. Bridge : menghubungkan dan melewatkan paket diantara dua segmen jaringan yang menggunakan protokol komunikasi yang sama. Bekeraja pada Data Link Layer. 2.4.1.3 Arsitektur LAN Topologi jaringan adalah hal yang menjelaskan hubungan geometris
antara
unsur-unsur
dasar
penyusun jaringan
yaitu node, link, dan station. Topologi jaringan dapat dibagi menjadi 5 kategori utama seperti di bawah ini : Tabel 2.2 Topologi jaringan (Sumber : http://id.wikipedia.org/wiki/Jaringan_komputer) Topologi
Keterangan Jaringan hanya terdiri dari satu saluran kabel yang menggunakan kabel UTP (Unshielded Twisted Pair). Keunggulan topologi Bus adalah pengembangan jaringan atau penambahan workstation baru dapat dilakukan dengan mudah tanpa mengganggu workstation lain. Sedangkan kelemahan dari topologi ini adalah bila terdapat gangguan di sepanjang kabel pusat maka keseluruhan jaringan akan mengalami gangguan.
24
Topologi ring adalah topologi jaringan berbentuk rangkaian titik yang masing-masing terhubung ke dua titik lainnya, sehingga membentuk jalur melingkar membentuk ring (cincin). Pada topologi ring, komunikasi data dapat terganggu jika satu titik mengalami gangguan. Merupakan bentuk topologi jaringan yang berupa konvergensi dari node tengah ke setiap node atau pengguna. Topologi jaringan ini disebut juga sebagai topologi jaringan bertingkat. Topologi ini biasanya digunakan untuk interkoneksi antar sentral denganhirarki yang berbeda. Untuk hirarki yang lebih rendah digambarkan pada lokasi yang rendah dan semakin keatas mempunyai hirarki semakin tinggi. sejenis topologi jaringan yang menerapkan hubungan antarsentral secara penuh. Jumlah saluran harus disediakan untuk membentuk jaringan ini adalah jumlah sentral dikurangi 1 (n-1, n = jumlah sentral).
2.4.2 WAN (Wide Area Network) 2.4.2.1 Konsep WAN (Wide Area Network) Wide Area Network adalah jaringan yang biasanya sudah menggunakan media wireless, sarana satelit, ataupun kabel serat optik, karena jangkauannya yang sangat luas, bukan meliputi satu kota atau antarkota tetapi bisa mencakup otoritas negara lain. (Syafrizal, 2005:17)
25
2.4.2.2 Perangkat WAN (Wide Area Network) Dalam
menerapkan
teknologi
WAN,
dibutuhkan
fungsionliatas dari sejumlah perangkat WAN, antara lain : (http://clickmusab.blogspot.com/2010/04/perangkatperangkat-wan.html) 1. Switch
:
adalah
sebuah
alat
jaringan
yang
melakukan bridging transparan (penghubung segementasi banyak jaringan dengan forwarding berdasarkan alamat MAC). 2. Modem
:
Modem
berasal
dari
singkatan MOdulator DEModulator. Modulator merupakan bagian yang mengubah sinyal informasi kedalam sinyal pembawa (Carrier) dan siap untuk dikirimkan, sedangkan Demodulator adalah bagian yang memisahkan sinyal informasi (yang berisi data atau pesan) dari sinyal pembawa (carrier) yang diterima sehingga informasi tersebut dapat diterima dengan baik. Modem merupakan penggabungan kedua-duanya, artinya modem adalah alat komunikasi dua arah. 3. CSU / DSU (Channel Service Unit / Digital Service Unit) : perangkat
digital
interface
yang
digunakan
untuk
menghubungkan router ke digital circuit. 26
4. ISDN Terminal Adapter : perangkat yang digunakan untuk menghubungkan koneksi BRI (Basic Rate Interface) ISDN ke interface lainnya. 5. Communication /Access Server : mengkonsentrasikan atau memusatkan proses dial-in atau dial-up pengguna layanan WAN dan remote access ke sebuah LAN. 2.4.2.3 Teknologi WAN (Wide Area Network) Teknologi WAN mendefinisikan bagaiman suatu frame data dibawa melintasi suatu sistem ke sistem lainnya dalam suatu
data-link
mendefinisikan
layer.
Protokol
bagimana
pada
menyediakan
physical koneksi
layer elektris,
mekanis dan fungsional ke layanan yang disediakan oleh penyedia layanan komunikasi. Protokol pada data-link layer mendefinisikan
data
dienkapsulasi
untuk
kemudian
ditransmisikan ke sistem tujuan dan bagaimana mengelola mekanisme transmisi frame yang dihasilkan ke sistem tujuan. WAN memiliki beberapa layanan, antara lain: 1. Jaringan Packet-switched : teknologi yang memecah pesan menjadi paket data yang berukuran kecil dan mengarahkan paket tersebut seekonomis mungkin melalui jalur komunikasi yang
tersedia.(Sungkono,
2008:386)
Hal
ini
memungkinkan sejumlah besar potongan-potongan data dari berbagai
sumber
dikirimkan
secara
bersamaan 27
melalui saluran
yang sama, untuk kemudian diurutkan
dan diarahkan ke rute yang berbeda melalui router. 2. Jaringan circuit-switched : jaringan yang mengalokasikan sebuah sirkuit yang dedicated diantara node dan terminal untuk digunakan oleh pengguna untuk berkomunikasi. ( http://id.wikipedia.org/wiki/Circuit_switching) 3. Dedicated Point-to-Point : mekanisme penyediaan jalur khusus, dimana communication loop disediakan untuk pelanggan pribadi. Bandwidth yang disediakan adalah leased line. Terdapat pula protokol yang digunakan pada jaringan WAN, antara lain : 1. Frame Relay : suatu layanan paket data yang memungkinkan beberapa user menggunakan satu jalur transmisi secara bersama-sama.(Syafrizal, 2005:201) 2. HDLC (High Level Data Link Control) : Protokol HDLC ini merupakan protokol synchronous bit-oriented yang berada pada lapisan data-link (Message packaging) model ISO Open System Interconnection (OSI) untuk komunikasi komputer ke komputer.(Lammle, 2007:787) Di bawah HDLC, pesan dikirimkan dalam unit yang disebut dengan frame, yang masing-masingnya dapat mengandung jumlah data yang variabel, namun harus diatur secara khusus. 28
3. PPP (Point-To-Point) : data link protokol yang menyediakan akses dial-up melalui port serial.(Syafrizal, 2005:69) Protokol ini merupakan standar industri yang berjalan pada lapisan data-link dan dikembangkan pada awal tahun 1990an sebagai respon terhadap masalah-masalah yang terjadi pada protokol Serial Line Internet Protocol (SLIP), yang hanya
mendukung pengalamatan
IP statis
kepada
para kliennya. 4. ISDN (Integrated Service Digital Network) : protokol komunikasi yang ditawarkan oleh perusahaan telepon, yang mengizinkan dan memungkinkan jaringan telepon untuk dapat membawa muatan data, suara, vidoe, dan paket data lainnya.
2.4.3 Gateway Gateway adalah sebuah istilah umum untuk sebuah sistem internetworking yang menghubungkan dua buah network secara bersamaan.(Rafiudin, 2003:126) Gateway juga merupakan perangkat lunak atau perangkat keras yang bekerja pada lapisan aplikasi model OSI (Open System Interconnection) yang berfungsi menggabungkan dua jaringan komunikasi dengan protokol yang berbeda sehingga memungkinkan data dapat melewati keduanya.
29
Gateway juga memiliki fungsi sebagai penghubung antara jaringan yang satu dengan yang lainnya, ini berbeda dengan router yang berfungsi untuk mencari “the best path” atau jalur terbaik untuk meneruskan paket data. Dalam suatu sistem networking terlebih dalam bentuk implementasi dari jaringan WAN mutlak diperlukan sebuah gateway yang fungsinya sebagai penghubung jaringan LAN ke jaringan WAN, tetapi untuk jaringan LAN sendiri tidak perlu gateway karena LAN berada dalam satu network dan kita tahu sendiri bahwa di dalam WAN itu sendiri pasti terdapat LAN. Peran gateway sebagai penghubung dan perantara sangat berperan penting sebagai komunikasi dari satu jaringan ke jaringan yang lainnya.
2.5 Packet Filtering Paket filtering yang disebut juga screening router, yaitu suatu router yang melakukan routing paket antara jaringan internal dengan jaringan eksternal sesuai dengan kebijakan keamanan yang digunakan pada suatu jaringan. (Kurniawan, 2007:203) Informasi
yang digunakan untuk
menyeleksi paket-paket tersebut antara lain alamat IP sumber dan tujuan, protokol yang digunakan (TCP, UDP, atau ICMP), dan alamat port sumber dan tujuan. Sistem packet filtering memeriksa beberapa field dalam judul paket data yang mengalir diantara jaringan legal dengan internet.(Sungkono, 2008:386)
30
Packet filtering yang mmenetukan apakah suatu packet diizinkan atau diblok hal ini tergantung dari kebijakan keamanan (Security Policy).
2.5.1 Keuntungan Packet filter Keuntungan yang utama dari packet filter bisa dapat mempengaruhi : (Ariyus, 2006:118) 1. Mengizinkan untuk menyediakan layanan pribadi, karena bisa melindungi jaringan secara keseluruhan. 2. Tidak mendizinkan atau memblok semua host menggunakan telnet service ke server. 3. Menyaring semua packet yang akan keluar dari suatu workstation baik ke internet atau ke jaringan lokal kalau packet tersebut memenuhi standar kebijakan keamanan yang sudah disepakati. 4. Menyaring paket yang datang dari luar jaringan yang tidak memenuhi syarat security policy (kebijakan keamanan). Perlindungan tertentu bisa dilayani dengan menggunakan filtering roauter dan hanya penyerang menyerang lokasi khusus pada suatu jaringan. Filtering roauter merupakan suatu alat deteksi yang bagus untuk menyaring paket yang tidak sah.
2.5.2 Dasar Packet Filtering Pada dasarnya pemakai packet filtering yang bisa mengontrol paket yang datang dan keluar serta katagori paket mana yang 31
diizinkan dan mana yang diblok. (Ariyus, 2006:120) Transfer data berdasarkan hal-hal berikut : Alamat dari mana data datang Alamat dari mana data akan dikirimkan Aplikasi port yang digunakan untuk transferdata Dasar sistem packet filter tidak melakukan perubahan terhadap data yang akan dikirim, packet filter juga tidak membuat keputusan sendiri terhadap paket-paket yang masuk maupun keluar, tetapi dikontrol oleh seorang administrator yang dapat melakukan apa saja terhadap masuk keluarnya suatu paket.
2.5.3 Packet Filter Dinamis Sistem packet filter advance (tingkat lanjut) menawarkan status track (jejak) dan melakukan pengecekan terhadap protokol, status tracking mengizinkan untuk membuat aturan sebagaimana di bawah ini : (Ariyus, 2006:121) Membiarkan paket UDP masuk ke jaringan jika jaringan hanya memiliki respon untuk mengeluarkan paket UDP, bukan jenis paket lain seperti TCP dan Telnet. Akses paket TCP hanya dengan mengatur SYN yang merupakan bagian dari koneksi initial TCP. Hal diatas disebut juga dengan stateful packet filtering karena paket filter harus menjejaki status transaksi, tapi hal ini disebut juga dengan 32
dynamic packet filtering karena alasan dari prilaku perubahan sistem tergantung pada laulintas jaringan.
2.5.4 Protocol Checking Protocol
Checking
mengizinkan
untuk
membuat
aturan
kebijakan keamanan sebgai berikut : (Ariyus, 2006:122) Paket yang dibiarkan masuk dari port DNS (Domai Name Server), tetapi hanya jika paket tersebut mempunyai format seperti paket DNS. Pemeriksaan protokol untuk membantu dan menghindari situasi diman penyerang bisa saja sudah membuat suatu protokol yang akan dituju tidak dalam keadaan aman, pemeriksaan protokol yang akan dikirim paket merupakan suatu pekerjaan yang harus diakukan untuk menghindari adanya paket misformatted (paket yang digunakan untuk menyerang suatu host).
2.6 Wireless Wireless merupakan jaringan nirkabel yang menggunakan frekuensi radio untuk komunikasi antar komputer. (Wahana Komputer, 2006:171) Jaringan nirkabel memungkinkan orang melakukan komunikasi dan mengakses informasi dan aplikasi tanpa kabel (nirkabel). Hal tersebut memberikan kebebasan bergerak dan kemampuan memperluas aplikasi keberbagi gedung, kota, datau hampir ke semua tempat 33
diseluruh dunia. Berdasarkan arsitektur referensi OSI layer, teknologi wireless bekerja pada layer 2. Teknologi wireless menggunakan protokol 802.11 antara lain : (Arifin, 2008 : 1) a. 802.11a, menggunakan frekuensi 5 GHz, kecepatan tinggi dan interferensi sedikit. b. 802.11b, revolusi protokol WiFi, 11 Mbps. c. 802.11g, sama halnya dengan 802.11b tetapi lebih cepat hingga 54 Mbps. d. 802.11n, memiliki data rate hingga 108-120 Mbps. Terdapat alasan mengapa kita menggunakan teknologi wireless dibandingkan dengan jaringan kabel, (Arifin, 2008 : 1) antara lain : 1. Jaringan wireless bersifat mobile. Kita dapat mengakses resource dari manapun dan dapat dilakukan secara berpindah-pindah, terhindar dari masalah-masalah yang ditimbulkan oleh kabel. 2. Perangkat wireless saat ini sudah relatif murah dan cepat, sehingga mengimbangi atau menyaingi kemampuan teknologi kabel. Selain beberapa keuntungan yang didapat dari menggunakan teknologi wireless, tentunya juga masih terdapat beberapa kekurangan yang perlu diperhatikan. Beberapa permasalah yang muncul ketika kita menggunakan teknologi wireless antara lain : (Arifin, 2008 : 2) 1. Tingkat keandalan dari teknologi wireless saat ini masih belum sebaik teknologi kabel. 34
2. Pengiriman data melalui jaringan wireles menggunakan media radio frekuensi, dimana media tersebut dapat diakses secara bebas oleh setiap orang. Akibatnya data data yang kita kirimkan melalui media tersebut kurang begitu aman.
2.6.1 Sistem Pengamanan Pada Jaringan Wireless LAN Beberapa solusi pengamanan yang muncul memiliki tujuan yang sama yakni menjaga informasi. Sistem yang mampu menjaga informasi adalah sistem pengamanan yang memiliki fitur sebgai berikut : (Arifin, 2008 : 5) 1. Confidentality : sistem dapat menjamin dan menjaga kerahasian dari informasi secara optimal. 2. Integrity : sistem dapat menjamin integritas data (informasi) secara optmal. 3.
Availability : sistem dapat menjamin ketersediaan informasi secara optimal. Ancaman terhadap jaringan wireless dapat datang dari dalam
ataupun dari luar. Beberapa jenis ancaman atau serangan tersebut diantaranya sebagai berikut : 1. Access point palsu. 2. Pengintaian. 3. Denial of service (DOS)
35
Pengamanan data pada jaringan wireless dengan cara enkripsi dapat dilakukan dengan menerapkan teknologi WEP (Wired Equivalent Privacy). Enkripsi yang dilakukan oleh WEP dilakukan secara simetrik. Kunci dipasangkan pada Access Point dan juga terdapat pada masing-masing wireless client. Kunci yang terpsaang pada kedua device rtersebut harus sama. Kunci tersebut memiliki panjang 40 bit atau 104 bit. Saat ini pengamanan menggunakan WEP sudah dapat ditembus oleh para hacker. Sehingga muncul teknologi baru berikutnya yaitu WAP (Wired Protected Access). Mekanisme otentikasi WAP menggunakan algoritma enkripsi AES (Advanced Encryption Standart) mengantikan enkripsi RC4 yang
sebelumnya
digunakan
oleh
WEP
atau
juga
dapat
menggantikan TKIP. Panjang bit yang digunakan untuk kuncinya pun lebih panjang yaitu 256 bit, sehingga diharapkan dapat mempersulit hacker dalam melakukan usaha untuk membongkar data yang dienkripsi dengan menggunakan otentikasi WAP.
2.6.2 Pengamanan Berbasis WEP Key WEP bertindak sebagai kunci, diimplementasikan pada device client dan infrastruktur jaringan wireless LAN berupa sebuah karakter alphanumerik yang digunakan untuk : (Arifin, 2008 : 8) 1. Memverifikasi identitas dari station yang akan diotentikan. 2. Mengenkripsi data. 36
WEP disediakan dalam beberapa jenis, natara lain : 1. 64 bit (40 bit kunci + 24 bit Initial Vector) 2. 128 bit (104 bit kunci + 24 bit Initial Vector) Ketika sebuah client yang mengktifkan WEP berusaha untuk mengontentikasi dan menghubungi sebuah access point, access point akan menentukan apakah client memiliki WEP key yang sama atau tidak. Jumlah karakter yang dimasukan tergantung pada konfigurasi software, menggunakan ASCII atau HEXA dan WAP key 64 atau 128 bit. Advanced Encryption Standart (AES), merupakan sebuah algoritma yang digunakan untukmemperkuat algoritma enkripsi RC4 yang digunakan dalam WEP. AES menggunakan algoritma Rijndale dan menetapkan panjang kunci 128, 192, dan 256 bit.
2.7 Perangkat Keras dan Perangkal Lunak 2.7.1 Router Wireless Router merupakan perangkat jaringan yang bekerja pada tingkat network layer yang menggunakan satu atau lebih sistem metrik untuk menentukan path-path optimal guna mem-forward traffic suatu jaringan. (Rafiudin, 2003:1) Router berfungsi sebagai penghubung antar dua atau lebih jaringan untuk meneruskan data dari satu jaringan ke
jaringan
lainnya,
sedangkan
router
wireless
berfungsi
mengintegrasikan WAP, switch ethernet, dan aplikasi firmware internal 37
router. Router wireless menyediakan IP routing, NAT, dan DNS forwarding melalui antarmuka WAN. (Zaki, 1999:25) Router sangat banyak digunakan dalam jaringan berbasis teknologi protokol TCP/IP, dan router jenis itu disebut juga dengan IP Router. Selain IP Router, ada lagi AppleTalk Router, dan masih ada beberapa jenis router lainnya. Internet merupakan contoh utama dari sebuah jaringan yang memiliki banyak router IP. Router dapat digunakan untuk menghubungkan banyak jaringan kecil ke sebuah jaringan yang lebih besar, yang disebut dengan internetwork, atau untuk membagi sebuah jaringan besar ke dalam beberapa subnetwork untuk meningkatkan kinerja dan juga mempermudah manajemennya. Router juga kadang digunakan untuk mengoneksikan dua buah jaringan yang menggunakan media yang berbeda (seperti halnya router wireless yang pada umumnya dapat menghubungkan komputer dengan menggunakan media transmisi radio, router wireless juga mendukung penghubungan komputer dengan kabel UTP), atau berbeda arsitektur jaringan, seperti halnya dari Ethernet ke Token Ring. Router juga dapat digunakan untuk menghubungkan LAN ke sebuah layanan telekomunikasi seperti halnya telekomunikasi leased line atau Digital Subscriber Line (DSL). Router yang digunakan untuk menghubungkan LAN ke sebuah koneksi leased line seperti T1, atau T3, sering disebut sebagai access server. Sementara itu, router yang digunakan untuk menghubungkan jaringan lokal ke sebuah koneksi 38
DSL disebut juga dengan DSL router. Router-router jenis tersebut umumnya memiliki fungsi firewall untuk melakukan penapisan paket berdasarkan alamat sumber dan alamat tujuan paket tersebut, meski beberapa router tidak memilikinya. Router yang memiliki fitur penapisan paket disebut juga dengan packet-filtering router. Router umumnya memblokir lalu lintas data yang dipancarkan secara broadcast sehingga dapat mencegah adanya broadcast storm yang mampu memperlambat kinerja jaringan.
2.7.2 Wireshark atau Ethereal Wireshark adalah aplikasi penganalisis jaringan. wireshark membaca bentuk paket jaringan, men-decodes, kemudian menunjukan hasilnya dalam sebuah format yang mudah dimengerti.(Orebaugh, 2007:52) Fiturnya yang powerfull menjadikannya pilihan utama untuk pemecahan masalah pada jaringan, pengembangan protokol, dan edukasi diseluruh dunia. Wireshark dikembangkan para ahli jaringan yang dapat berjalan dalam sistem operasi Windows, Linux, Unix, dan platform lainnya. Dalam melakukan penelitian ini, penulis menggunakan wireshark versi 0.99.4 atau biasa disebut dengan nama ethereal pada sistem operasi linux, karena terdapat permasalahan hukum, ethereal berganti nama menjadi wireshark. Seperti namanya, Wireshark atau Ethereal mampu menangkap paket-paket data atau informasi yang lalu-lalang 39
dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Karenanya tidak jarang tool ini juga dapat dipakai untuk melakukan sniffing (memperoleh informasi penting seperti password email atau account lain) dengan menangkap paket-paket yang lalulalang didalam jaringan dan menganalisanya.
2.7.3 Auditor Security Collection Auditor
Security
Collection
adalah
Live-System
berbasis
Knoppix.(Auditor readme.txt) Tanpa instalasi apapun, platform analisis dimulai secara langsung dari CD-Rom dan sepenuhnya dapat diakses
dalam
hitungan
menit.
Untuk
cepat
mahir
dalam
mengoperasikan Auditor Security Collection, struktur menu didukung oleh tahap yang diakui cek keamanan. Antara lain : 1. Foot-printing : Aplikasi untuk mendapatkan pengetahuan awal tentang server, seperti Whois dan Dig. 2. Analysis : Alat untuk menganalisis jaringan, seperti Ethereal. 3. Scanning : Alat untuk memindai jaringan, seperti Nmap. 4. Wireless : Aplikasi untuk menguji jaringan nirkabel. 5. Brute Forcing : Fitur yang dapat menampung 64.000.000 entri kata pada daftar brute-force password cracking. 6. Cracking : Alat yang akan digunakan bersamaan dengan daftar kata brute-force. 40
2.7.4 VM Ware Virtual Machine (VM) adalah sebuah mesin yang mempunyai dasar logika yang menggunakan pendekatan lapisan-lapisan (layers) dari sistem komputer. Sehingga sistem komputer dengan sendirinya dibangun atas lapisan-lapisan tersebut, dengan urutan lapisannya mulai dari lapisan terendah sampai lapisan teratas adalah sebagai berikut:
Perangkat keras (semua bagian fisik komputer)
Kernel (program untuk mengontrol disk dan sistem file, multitasking, load-balancing, networking dan security)
Sistem program (program yang membantu general user) Kernel yang berada pada lapisan kedua ini, menggunakan
instruksi perangkat keras untuk menciptakan seperangkat system call yang dapat digunakan oleh komponen-komponen pada level sistem program. Sistem program kemudian dapat menggunakan system call dan perangkat keras lainnya seolah-olah pada level yang sama. Meskipun sistem program berada di level tertinggi, namun program aplikasi bisa melihat segala sesuatu pada tingkatan dibawahnya seakanakan mereka adalah bagian dari mesin. Pendekatan dengan lapisanlapisan inilah yang kemudian menjadi kesimpulan logis pada konsep Virtual Machine (VM). Ada beberapa kesulitan utama dari konsep VM, diantaranya adalah:
Dalam sistem penyimpanan. Sebagai contoh kesulitan dalam sistem penyimpanan adalah sebagai berikut: Andaikan kita mempunyai 41
suatu mesin yang memiliki tiga disk drive namun ingin mendukung tujuh VM. Keadaan ini jelas tidak memungkinkan bagi kita untuk dapat mengalokasikan setiap disk drive untuk tiap VM, karena perangkat lunak untuk mesin virtual sendiri akan membutuhkan ruang disk secara substansi untuk menyediakan memori virtual dan spooling. Solusinya adalah dengan menyediakan disk virtual atau yang dikenal pula
dengan
minidisk,
dimana
ukuran
daya
penyimpanannya identik dengan ukuran sebenarnya. Dengan demikian, pendekatan VM juga menyediakan sebuah antarmuka yang identik dengan underlying bare hardware.
Dalam hal pengimplementasian. Meski konsep VM cukup baik, namun VM sulit diimplementasikan. Terlepas dari segala kekurangannya, VM memiliki beberapa
keunggulan, antara lain:
Dalam hal keamanan. VM memiliki perlindungan yang lengkap pada berbagai sistem sumber daya, yaitu dengan meniadakan pembagian resources secara langsung, sehingga tidak ada masalah proteksi dalam VM. Sistem VM adalah kendaraan yang sempurna untuk penelitian dan pengembangan sistem operasi. Dengan VM, jika terdapat suatu perubahan pada satu bagian dari mesin, maka dijamin tidak akan mengubah komponen lainnya.
Memungkinkan untuk mendefinisikan suatu jaringan dari Virtual Machine (VM). Tiap-tiap bagian mengirim informasi melalui 42
jaringan komunikasi virtual. Sekali lagi, jaringan dimodelkan setelah komunikasi fisik jaringan diimplementasikan pada perangkat lunak.
2.7.5 Digital Blaster Digital Blaster adalah sebuah Flooder internet dan jaringan komputer yang bisa didapatkan melalui beberapa media seperti CD/DVD, maupun di situs internet. Digital Blaster disingkat menjadi DigiBlast merupakan hack tool gratis dan bebas untuk disebarluaskan dengan syarat tidak untuk konsumsi profit seperti menjual atau membelinya dari seseorang. Prinsip kerja program ini adalah mengirimkan paket secara berkala ke sebuah alamat IP dan port-port yang ditentukan. DigiBlast dapat mengirimkan paket ke alamat IP target ke sebuah port yang ditentukan oleh user (“Single Port Flooder”) maupun ke banyak port yang terbuka (“Multi Port Flooder”). Yang perlu dilakukan untuk mengirimkan paket ke alamat IP target adalah Memastikan bahwa alamat IP target aktif dan terhubung ke internet. Dapat anda lakukan di mirc dengan mengetikkan perintah di kolom status /dns nickname atau /dns domainsitus. Contoh : /dns poni atau /dns www.yogyafree.net. Mengetahui port yang terbuka pada komputer target. Anda membutuhkan port scanner. Digital Blaster pada mode Multi Port Flooder bisa menjadi sebuah port scanner.
43
2.7.6 Snort Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup dan mampu menganalisis paket yang melintasi jaringan secara real time traffic dan logging kedalam database serta mampu mengidentifikasi
berbagai
serangan
yang
berasal
dari
luar
jaringan.(Ariyus, 2007:145) Program snort dapat dioperasikan dengan tiga mode : 1. paket sniffer : untuk melihat paket yang lewat di jaringan. 2. paket logger : untuk mencatat semua paket yang lewat di jaringan untuk dianalisis dikemudian hari. 3. NIDS (Network Intrusion Detection System) : pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Snort memiliki komponen yang bekerja saling berhubungan satu dengan yang lainnya seperti berikut ini.(Ariyus, 2007:146) 1. Decoder : sesuai dengan paket yang di-capture dalam bentuk struktur data dan melakukan identifikasi protokol, decode IP dan kemudian TCP atau UDP tergantung informasi yang dibutuhkan, seperti port number, dan IP address. Snort akan memberikan peringatan jika menemukan paket yang cacat. 2. Preprocessors : suatu saringan yang mengidentifikasi berbagai hal yang harus diperiksa seperti Detection Engine. Preprocessors 44
berfungsi mengambil paket yang berpotensi membahayakan, kemudian dikkirin ke detection engine untuk dikenali polanya. 3. Rules File : merupakan suatu file teks yang berisi daftara aturan yang sintaks-nya sudah diketahui. Sintaks ini meliputi protokol, address, output plug-ins dah hal-hal yang berhubungan dengan berbagai hal. 4. Detection Engine : menggunakan detection plug-ins, jika ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan. 5. Output Plug-ins : suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa diakses dengan berbagai cara, seperti console, extern files, database, dan sebagainya.
2.7.7 BASE (Basic Analysis and Security Engine) BASE adalah sebuah interface web untuk melakukan analisis dari intrusi yang snort telah deteksi pada jaringan. (Orebaugh, 2008:217) BASE ditulis oleh kevin johnson adalah program analisis sistem jaringan berbasis PHP yang mencari dan memproses database dari security event yang dihasilkan oleh berbagai program monitoring jaringan, firewall, atau sensor IDS.(Kohlenberg, 2007:424) Ini menggunakan otentikasi pengguna dan sistem peran dasar, sehingga Anda sebagai admin keamanan dapat memutuskan apa dan 45
berapa banyak informasi yang setiap pengguna dapat melihat. Ini juga mudah untuk digunakan, program setup berbasis web bagi orang-orang tidak nyaman dengan mengedit file secara langsung.
2.7.8 Yersinia Yersinia adalah alat jaringan yang dirancang untuk mengambil keuntungan dari beberapa kelamahan di dua lapisan protokol yang berbeda. Ini pura-pura menjadi kerangka kerja yang kuat untuk menganalisis dan menguji jaringan digunakan dan sistem. Berikut ini merupakan protokol yang digunakan dalam melakukan penyerangan. Antara lain: Spanning Tree Protocol (STP), Cisco Discovery Protocol (CDP),
Dynamic
Trunking
Protocol
(DTP),
Dynamic
Host
Configuration Protocol (DHCP), Hot Standby Router Protocol (HSRP), IEEE 802.1q, Inter-Switch Link Protocol (ISL), VLAN Trunking Protocol (VTP)
2.7.9 MRTG (Multi Router Traffic Grapher) MRTG (Multi Router Traffic Grapher) Adalah aplikasi yang digunakan untuk memantau beban trafik pada link jaringan. MRTG akan membuat halaman HTML yang berisi gambar GIF yang mengambarkan trafik melalui jaringan secara harian, mingguan, bulanan dan tahunan.
46
2.7.10 IPTables IPTables adalah firewall yang secara default diinstal pada semua distribusi linux, seperti Ubuntu, Kubuntu, Xubuntu, Fedora Core, dan lainnya. Pada saat melakukan instalasi pada ubuntu, iptables sudah langsung ter-install, tetapi pada umumnya iptables mengizinkan semua traffic untuk lewat. (Purbo, 2008:188) IPTables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD., dan IPTables juga memiliki 3 buah tabel, yaitu NAT, MANGLE dan FILTER.
2.8 Metode Pengumpulan Data Metode pengumpulan data adalah cara yang dilakukan seorang peneliti dalam untuk mendapatkan data-data dari masyarakat, agar dapat menjelaskan pemasalahan penelitiannya.(Sare, 2006 :117) Terdapat dua hal utama yang mempengaruhi kualitas data hasil penelitian, yaitu : kualitas instrumen penelitian, dan kualitas pengumpulan data.(Sugiyono, 2009:137) kualitas instrumen penelitian berkenaan dengan validitas dan reliabilitas instrumen dan kualitas pengumpulan berkenaan terhadap ketepatan cara-cara yang digunakan untuk mengumpulkan data. Bila dilihat dari sumber datanya, maka pengumpulan data dapat menggunakan sumber primer dan sumber sekunder. Sumber primer adalah 47
sumberdata yang langsung memberikan data kepada oengumpul data, dan sumber sekunder merupakan sumber yang tidak langsung memberikan data kepada pengumpul data, tetapi melalui pihak ketiga. Selanjutnya bila dilihat dari segi car dan teknik pengumpulan data, maka pengumpulan data dapat dilakukan dengan interview (wawancara), kuisioner (angket), observasi (pengamatan), dan gabungan ketiganya. (Sugiyono, 2009:137) 2.8.1. Interview (wawancara) Wawancara adalah suatu proses tanya jawab lisan, dalam mana dua orang atau lebih berhadapan secara fisik, yang satu dapat melihat muka yang lain dan mendengar dengan telinga sendiri dari suaranya. (Sukandarrumidi, 2002:88) Wawancara digunakan sebagai teknik pengumpulan data apabila peneliti ingin melakukan studi pendahuluan untuk menemukan permasalaha yang harus diteliti, dan juga apabila peneliti ingin mengetahui hal-hal dari responden yang lebih mendalam dan jumlah respondennya sedikit/kecil. (Sugiyono, 2009:137) Wawancara dapat dilakukan secara terstruktur maupun tidak tersetruktur, dan dapat dilakukan melalui tatap muka (face to face) maupu dengan menggunakan telepon.
48
2.8.2 Kuesioner (Angket) Kuesioner merupakan teknik pengumpulan data yang dilakukan dengan cara memberikan seperangkat pertanyaan atau pernyataan tertulis kepada responden untuk dijawabnya. (Sugiyono, 2009:142) Kuesioner merupakan teknik pengumpulan data yang efisien bila peneliti tahu dengan pasti variabel yang akan diukur dan tahu apa yang bisa diharapkan dari responden.
2.8.3 Observasi (Pengamatan) Observasi adalah pengamatan dan pencatatan suatu objek dengan sistematika fenomena yang diselidiki. (sukandarrumidi, 2002:69) Observasi sebagai teknik pengumpulan data mempunyai ciri yang spesifik bila dibandingkan dengan teknik yang lain, yaitu wawancara dan kuesioner. (Sugiyono, 2009:145) Kalau wawancara dan kuesioner selelu berkomunikasi dengan orang, maka observasi tidak terbatas pada orang, tetapi juga obyek-obyek alam yang lain. Teknik pengumpulan data dengan observasi ddigunakan bila, penelitian berkenaan dengan prilaku manusia, proses kerja, gejalagejala alam, dan bilaresponden yang diamati tidak terlalu besar.
2.8.4 Studi Literatur Studi literatur dalam sebuah penelitian untuk mendapatkan gambaran yang menyeluruh tentang apa yang sudah dikerjakan orang lain dan bagaimana orang mengerjakannya, kemudian seberapa berbeda 49
penelitian yang akan kita lakukan. Tujuan utama melakukan studi literatur ialah: 1. Menemukan variable-variabel yang akan diteliti. 2. Membedakan hal-hal yang sudah dilakukan dan menentukan hal-hal yang perlu dilakukan. 3. Melakukan sintesa dan memperoleh perspektif baru. 4. Menentukan makna dan hubungan antar variable.
2.8.5 Studi Pustaka Studi pustaka (desk study) merupakan suatu metode pengumpulan data berupa laporan-laporan studi terdahulu seperti paper atau makalah, serta data sekunder yang dibutuhkan dalam mendisain riset, serta menganalisis hasil studi. Studi pustaka terkait dengan berbagai sumber informasi tentang dasar dari IDS serta perancangan dan sistem kerja dari IDS tersebut.
2.9 Metode Pengembangan Sistem NDLC (Network Development Life Cycle) adalah menetapkan strategi untuk melakukan pembaharuan suatu organisasi dari sistem jaringan. (Goldman, 2001 : 470) Tahapan-tahapan dari NDLC yang diambil oleh penulis dalam melakukan penelitian pengembangan aplikasi ini adalah:
50
Gambar 2.2 Siklus NDLC (Network Development Life Cycle) (Sumber : Goldman, 2001 : 470)
2.9.1 Analisis Analisis sistem adalah penelitian sistem yang telah ada dengan tujuan untuk merancang sistem yang baru atau diperbaharui. Tahapan dari analisi adalah sebagai berikut : 1.
Identify : aktivitas mengidentifikasi permasalahan yang dihadapi sehingga dibutuhkan proses pengembangan sistem.
2.
Understand : aktivitas untuk memahami mekanisme kerja sistem yang akan dibangun atau dikembangkan.
3.
Analyze : menganalisa sejumlah elemen atau komponen dan kebutuhan sistem yang dibangun atau dikembangkan.
4.
Report : aktivitas merepresentasikan proses hasil analisis.
2.9.2 Perancangan Perancangan sistem adalah proses pengembangan spesifikasi sistem baru berdasarkan hasil rekomendasi analisis sistem. Dalam tahap 51
perancangan, tim kerja design harus merancang spesifikasi yang dibutuhkan dalam berbagai kertas kerja. Kertas kerja itu harus memuat berbagai uraian mengenai input, proses, dan output dari proses yang diusulkan.
2.9.3 Simulasi Prototyping Prototyping merupakan pembuatan model system (prototype) yang pembangunan atau pengembangannya dapat dilakukan dengan cepat.
Prototyping
mengakibatkan
proses
pembangunan
atau
pengembangan lebih cepat dan mudah. Tujuan utama prototyping adalah melibatkan pengguna dalam mendesain sistem dan merespon umpan balik dari pengguna pada tahap awal pembangunan/pengembangan sistem. Akibatnya waktu dan biaya akan lebih hemat.
2.9.4 Implementasi Implementasi merupakan kegiatan akhir dari proses penerapan sistem baru dimana sistem yang baru ini akan dioperasikan secara menyeluruh. Terhadap sistem yang baru itu sudah harus dilakukan proses analisis dan desain secara rinci.
2.9.5 Monitoring Pemantauan yang dapat dijelaskan sebagai kesadaran tentang apa yang ingin diketahui, pemantauan berkadar tingkat tinggi dilakukan 52
agar dapat membuat pengukuran melalui waktu yang menunjukkan pergerakan ke arah tujuan atau menjauh dari itu. Monitoring akan memberikan informasi tentang status dan kecenderungan bahwa pengukuran dan evaluasi yang diselesaikan berulang dari waktu ke waktu. Pemantauan umumnya dilakukan untuk tujuan tertentu, untuk memeriksa terhadap proses berikut objek atau untuk mengevaluasi kondisi atau kemajuan menuju tujuan hasil manajemen atas efek tindakan
dari
beberapa
jenis
antara
lain
tindakan
untuk
mempertahankan manajemen yang sedang berjalan.
2.9.6 Management Manajemen adalah pengendalian dan pemanfaatan dari dapa semua faktor dan sumberdaya yang menurut suatu perencanaan, diperlukan untuk mencapai atau menyelesaikan suatu obyek atau tujuan-tujuan tertentu.
53
BAB III METODOLOGI PENELITIAN
3.1 Metodologi Pengumpulan Data 3.1.1 Studi Pustaka Untuk melengkapi kebutuhan informasi yang diperlukan dalam penulisan skripsi ini, penulis mendapatkan informasi dari beberapa referensi yang diperoleh dari buku-buku yang terdapat didalam perpustakaan dan beberapa artikel atau buku elektronik yang diperoleh dari media Internet.
3.1.2 Observasi Observasi atau pengamatan merupakan salah satu teknik pengumpulan data atau fakta yang cukup efektif untuk mempelajari suatu sistem. Observasi adalah pengamatan langsung para pembuat keputusan berikut lingkungan fisiknya dan atau pengamatan langsung suatu kegiatan yang sedang berjalan. Guna mengumpulkan informasi mengenai kebutuhan sistem maka penulis melakukan pengumpulan data dengan cara observasi ditempat penelitian, yaitu pada YAYASAN PEMBINAAN PENDIDIKAN NUSANTARA, tanggal 14 Desember 2009, dengan saudara Raihan Achyar Rusdiasyah, S.Kom yang bertindak sebagai kepala labolaturium jaringan, tentang implementasi Intrusion Detection System untuk 54
filtering paket data. Dalam penelitian ini, Penulis terjun langsung kelapangan untuk melihat sistem apa yang digunakan. Hal ini dilakukan agar penulis dapat melakukan analisis terhadap sistem yang telah berjalan serta menentukan sistem baru yang akan diterapkan agar cocok dengan sistem yang sudah ada apabila ada ketidak cocokan pada sistem yg digunakan sebelumnya.
3.1.3
Studi Literatur Berikut adalah bahan pertimbangan dalam penulisan skripsi : Hidayat (2008) dengan judul skripsi “Pengembangan Intrusion Detction system dan Active Respone pada Transparent Single-Homed Bastion Host HTTP Proxy Server Firewall Sebagai Solusi Keamanan Sistem Proxy. Berikut adalah abstrak dari saudara Hidayat: HTTP proxy server yang bertugas sebagai penyedia layanan protocol http (akses internet) yang dibangun sebagai server terintegrasi dari sejumlah layanan spesifik, berperan sangat penting didalam suatu sistem jaringan komputer. Berbagai aset informasi penting yang berada didalamnya membuat aspek keamanan sistem proxy menjadi sangat krusial sedemikian sehingga dibutuhkan suatu system yang dapat mendeteksi sekaligus mencegah aktifitas intruksi dan serangan yang mengancam sistem proxy. Transparent single-homed bastion HTTP proxy server firewall merupakan server HTTP proxy berjenis transparan yang ditempatkan 55
sebagai satu-satunya host internal yang dapat berkomunikasi dengan internet (eksternal) melalui satu network adapter, IDS adalah sistem yang secara intensif melakukan pendeteksian aktifitas instruksi dan penyerangan terhadap aset/sumber daya sistem jaringan komputer. Active respone adalah mekanisme yang produktif merespon dan mencegah network traffic yang mendeteksi IDS sebagai sebagai suatu aktifitas instruksi/serangan. Metode pengembangan sistem yang digunakan dalam penelitian ini adalah NDLC. Penulis menggunakan Squid (proxy server) yang di implementasikan pada mesin server berbasis Trustux Secure Linux (TSI) yang juga bertindak sebagai web server (Apace), database server (MYSQI), SSH server (open SSH), FTP Server (USFTP) dan NDS Server (BIND), Snort, barnyard BASE dan oinkmaster diimplementasikan pada mesin sensor berbasis open BSD, Agen Snortsam (active respone) diimplementasikan pada mesin sensor, server dan firewall (berbasis TSI). Keseluruhan sistem dibangun didalam simulasi WAN yang mempresentasikan sistem produksi. Hasil penelitian skripsi ini mengumpulkan bahwa sistem proxy yang secara transparan dengan menggunakan NIC tunggal dan berperan sebagai paket filtering firewall dapat menjadi solusi sistem proxy yang praktis, tangguh dan bermanfaat. Integritas IDS dan active respon dapat
berfungsi
mendeteksi
sekaligus
mencegah
aktifitas
instruksi/serangan terhadap sistem proxy. 56
Pada skripsi yang menjadi bahan pertimbangan penulis dalam melakukan penelitian, metode yang digunakan adalah NMAP Port Scanning Attack dan URL Exploit Attack (HTTP Traffic). Sedangkan yang penulis lakukan pada skripsi ini adalah pendeteksian dan pemantauan terhadap jaringan komputer dengan menggunakan aplikasi Snort dan beberapa aplikasi pendukung seperti BASE (Basic Analysis
and
Security
Engine),
Wireshark
/
Ethereal,
Bandwidthd, dan MRTG (Multi Router Traffic Grapher) dengan tujuan mengetahui bagaimana proses serangan dapat terjadi dan bagaimana cara penaggulangannya serta yang membedakan skripsi penulis dengan skripsi sebelumnya adalah dalam penerapan sistem keamanan yang digunakan yaitu dengan menggunakan metode MAC Filtering dan IPTables.
3.2 Metode Pengembangan Sistem NDLC (Network Development Life Cycle) adalah menetapkan strategi untuk melakukan pembaharuan suatu organisasi dari sistem jaringan. Tahapan-tahapan dari NDLC yang diambil oleh penulis dalam melakukan penelitian pengembangan aplikasi ini adalah: 1. Analysis. Pada tahap ini dilakukan perumusan masalah, mengidentifikasi konsep
dari
mengumpulkan
IDS, Ethereal, data
dan
dan
beberapa
mengidentifiksikan
perangkat kebutuhan
jaringan., seluruh
komponen sistem tersebut, sehingga spesifikasi kebutuhan sistem IDS dan 57
Snort dapat diperjelas dan perinci. Pada tahapan analisis penulis melakukan: a. Identifikasi : penulis mencoba mengidentifikasi permasalahan yang ada, seperti mencari dari mana serangan itu datang beserta caranya, dan bagaimana cara mengatasi terhadap serangan tersebut. b. Understand : penulis melakukan pemahaman dari berbagai sumber mengenai proses penyerangan dilakukan, serta mencari cara dalam pencegahan. c.
Analyze : penulis melakukan analisa terhadap perangkat lunak yang ada, apa sudah memenuhi syarat atau harus membutuhkan tambahan perangkat lunak.
d. Report : setelah tahapan yang sebelumnya dilakukan maka penulis melakukan pelaporan hasil dari fase analisis ini. 2. Design. Tahap ini merupakan perancangan mendefinisiskan “bagaimana cara sistem tersebut dapat melakukannya”. Pada fase ini, spesifikasi perancangan sistem yang akan dibangun merupakan hasil dari tahapan analisis
yang
akan
digunakan
untuk
menghasilkan
spesifikasi
perancangansistem yang akan dikembangkan. Pada tahap perancangan penulis melakukan : a. Merancang
topologi
jaringan
untuk
simulasi
WAN
sebagai
representasi lingkungan jaringan sebenarnya. b. Merancang penggunaan sistem operasi dan aplikasi pada server, client, dan komputer penyusup. 58
3. Simulation Prototyping. Tahapan selanjutnya adalah pembuatan prototype sistem yang akan dibangun sebagai simulasi dari implementasi sistem produksi. Dengan demikian dapat diketahui gambaran umum dari proses komunikasi, keterhubungan dan mekanisme kerja dari interkoneksi keseluruhan elemen sistem yang akan dikembangkan. Pada tahap ini penulis dalam melakukan pengembangan sistem menggunakan media virtualisasi yaitu VM-Ware untuk menghindari kesalahan dan kerusakan data. Pada tahap ini yang dilakukan penulis adalah membangun jaringan virtual. 4. Implementation. Dimana fase ini, rancangan solusi pada fase perancangan digunakan sebagai panduan instruksi implementasi pada ruanglingkup WAN (Wide Area Notwork). Aktivitas yang dilakukan pada fase ini diantaranya adalah instalasi dan konfigurasi terhadap topologi jaringan, IDS, Snort, dan perangkat lainnya. 5. Monitoring. Hal ini mengingat proses yang dilakukan melalui aktivitas pengoperasian dan pengamatan terhadap sistem yang sudah dibangun atau dikembangkan dan sudah diterapkan untuk memastikan dimana IDS, Wireshark, dan server pendukung sudah berjalan dengan baik pada ruang lingkup jaringan WAN. Yang dilakukan pada fase ini adalah melakukan pengujian untuk memastikan apakah sistem IDS yang dikembangkan sudah sesuai dengan kebutuhan atau menjawab semua spesifikasi pertanyaan dan permasalahan yang dirumuskan. 59
6. Management. Pada NDLC proses manajemen atau pengelolaan sejalan dengan aktivitas perawatan atau pemeliharaan sistem, jaminan efektivitas dan interkoneksi sistem menjadi masukan pada tahap ini untuk mendapatkan keluaran berupan jaminan fleksibelitas dan kemudahan pengelolaan serta pengembangan sistem IDS dan Snort dimasa yang akan datang.
60
Gambar 3.1 Diagram Alur Penelitian 61
BAB IV ANALISA DAN PEMBAHASAN
Pada bab ini penulis akan menjelaskan proses implementasi sistem monitoring keamanan jaringan yang mengintegrasikan IDS dan Snort yang berbasis open source, dalam studi kasus pengamanan diterapkan pada mesin sensor dengan menerapkan landasan teori dan metode penelitian yang sudah dibahas pada bab-bab sebelumnya. Metode penelitian yang penulis gunakan adalah metode NDLC. Dengan NDLC, siklus hidup pengembangan sistem jaringan didefinisikan pada sejumlah fase, antara lain :
analysis, design, simulation prototyping, implementation,
monitoring, dan management.
4.1 Analisis Model NDLC memulai siklus pengembangan sistem jaringannya pada tahap analisis. Penulis membagi aktifitas pada tahap analisis ini menjadi beberapa fase, yaitu : identifikasi (mengidentifikasi rumusan masalah), pemahaman
(memahami
rumusan
masalah
dan
memahami
bentuk
penyelesaian permasalahan), analisis (analisis kebutuhan sistem rancangan), dan report (pelaporan yang berisi spesifikasi dari hasil analisis)
4.1.1 Identifikasi Identifikasi dari terjadinya aktivitas penyusupan dan penyerangan pada aset atau sumberdaya sistem adalah tidak adanya sistem yang 62
intensif
mengamati dan analisis arus paket penyusupan atau
penyerangan sehingga tidak ada tindakan pencegahan lebih lanjut untuk mengurangi resiko terjadinya berbagai dampak buruk penyusupan dan penyerangan terhadap aset-aset sumber daya pada YAYASAN PEMBINAAN PENDIDIKAN NUSANTARA
khususnya dalam
penelitian ini.
4.1.2 Understand Hasil identifikasi rumusan permasalahan diatas membutuhkan pemahaman yang baik agar dapat menghasilkan solusi yang tepat guna. Dengan menggunakan metode studi pustaka penulis memanfaatkan perpustakaan dan internet untuk mengumpulkan sejumlah data dan informasi dari berbagai sumber dalam bentuk buku, makalah, literatur, artikel dan berbagai situs web mengenai topik permasalahan terkait. Hasilnya digunakan untuk memahami permasalah yang terjadi untuk merumuskan solusi efektif dalam menyelesaikan berbagai rumusan permasalahan. Pemahaman ini pulalah yang penulis gunakan untuk merancang, membangun dan mengimplementasikan sistem yang diharapkan dapat mengatasi berbagai perumusan permasalahan yang ada. Penulis terfokus untuk memahami konsep-konsep dari sistem IDS (Intrusion Detection System), dan sistem pencegah intrusi.
63
4.1.3 Analyze Analisa kebutuhan perangkat sistem IDS (Intrusion Detection System) merupakan faktor penunjang sebagai pondasi awal untuk mempeorleh suatu keluaran yang diinginkan dalam penulisan ini. Penulis akan membangun dan mengimplementasikan
IDS berbasis
signature/rules pen source, dengan menggunakan integrasi dari Snort, Barnyard, dan BASE. Snort bertugas mendeteksi berbagai aktifitas intrusi dan penyerangan yang terjadi pada jaringan komputer dan akan memicu alert bila terjadi aktifitas intrusi. Barnyard bertugas mengenali file output Snort, sehingga snort dapat bekerja jauh lebih fokus mengamati traffic. BASE (Basic Analysis Security Engine) bertugas untuk merepresentasikan log file snort kedalam format berbasis web yang lebih bersahabat hingga dapat mempermudah proses audit dan analisis.
4.1.4 Report Dari tahapan identifikasi, understandi, hingga pada tahap analyze maka dapat disimpulkan, bahwa pada tempat penulis melakukan penelitian dibutuhkan sistem penunjang keamanan yang dapat merespon tindakan-tindakan intrusi. Sehingga penulis mengambil keputusan untuk menerapkan sistem IDS yang dapat menangkap tindakan tersebut dan diharapkan dapat dilakukannya tahap pencegahan.
64
4.2 Design (Perancangan) Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan rancangan sistem yang akan dibangun. Dalam penelitian ini, penulis menggunakan simulasi WAN sebagai representasi sistem jaringan lingkungan produksi. Dengan kata lain, proses pengujian sistem aplikasi IDS (Intrusion Detection System) tidak menggunakan lingkungan nyata atau lingkungan internet. Penulis membagi proses perancangan menjadi:
4.2.1 Perancangan Topologi Jaringan Perancangan ini berdasarkan konsep dan gambaran yang menjelaskan perangkat sebenarnya dalam suatu sistem yang penulis gambarkan dengan topologi sebagai berikut:
Gambar 4.1 Topologi Jaringan
65
Rincian keterangan dari gambar topologi jaringan komputer diatas adalah sebagai berikut : 1.
Jenis topologi yang diterapkan adalah Star.
2.
Seluruh alamat internet protocol yang digunakan adalah kelas C.
3.
Kabel straight untuk menghubungkan switch atau hub dengan host, router dengan hub atau switch. Pada skripsi ini kedua jenis kabel tersebut dibutuhkan untuk
menghubungkan perangkat-perangkat jaringan yang digunakan. Berikut penjelasan jenis kabel yang digunakan untuk menghubungkan setiap perangkatnya. 1. Jenis kabel yang digunakan dari router untuk menghubungkan kesebuah komputer sensor adalah tipe straight. 2. Dari komputer sensor menuju switch menggunakan tipe kabel straight. 3. Jenis kabel yang digunakan untuk menyambungkan antara switch dengan client adalah tipe straigh. 4. Tipe koneksi yang digunakan dari router menuju komputer hacker adalah melalui media transmisi wireless. Berdasarkan uraian diatas, maka dapat lebih diperinci kedalam sebuah tabel. Rincian tersebut adalah sebagai berikut:
66
Tabel 4.3 Rincian Topologi Fisik No
Sumber
Tujuan
Interface
Tipe Koneksi
1
Penyerang
Router
-
Wireless
2
Router
Firewall
Eth 1-1
Stright
3
Firewall
Switch
Eth 2-1
Stright
4
Switch
Client / Sensor
Eth 2,3,4
Stright
Tabel 4.4 Rincian IP Topologi Fisik No
Device
IP Address
Subnet Mask
Gateway
1
192.168.0.1
255.255.255.0
---
2
Router Wireless Penyerang
192.168.0.2
255.255.255.0
192.168.0.1
3
Firewall
192.168.0.2 – 192.168.0.3
255.255.255.0
192.168.0.1
4
Mesin IDS / Sensor
192.168.0.4
255.255.255.0
192.168.0.1
5
Client
192.168.0.5-6
255.255.255.0
192.168.0.1
4.2.2 Perancangan Sistem Setelah rancangan topologi jaringan dibuat, langkah selanjutnya adalah membuat rancangan sistem baru yang akan dibangun dan diimplementasikan, yang akan menjadi solusi berbagai rumusan masalah. Pada tahap ini penulis mengidentifikasikan seluruh komponen atau elemen yang dibutuhkan untuk membangun sistem IDS (Intrusion
67
Detection System) serta merancang interkoneksi antar komponen atau elemen sistem. Pada mesin sensor dengan menggunakan sistem operasi linux, digunakan aplikasi snort versi 2.8.4.1 serta pada mesin server ditempatkan aplikasi wireshark sebagai pendeteksi terjadinya intrusi yang disebabkan oleh penyusup yang masuk kedalam jaringan komputer server, sedangkan pada komputer penyerang menggunakan sistem operasi open source bernama auditor security collection yang berjalan diluar sistem windows (Open Source).
4.3 Simulation Prototyping Pada tahap ini penulis membangun prototipe dati sistem baru yang akan dibangun dan dimplementasikan pada lingkungan simulasi WAN (Wide Area Network) dengan menggunakan mesin virtual pada lingkungan virtual. Simulation prototyping mendemonstrasikan fungsionalitas sistem yang akan dibangun. Penulis
menggunkan
Vmware
Workstation
versi
6.0.0
untuk
memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan prototipe, dimaksudkan untuk memenuhi sejumlah tujuan: 1. Menjamin efektivitas fungsionalitas dari interkoneksi antar elemen atau komponen sistem. 2. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi sistem pada lingkungan nyata.
68
3. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi perancangan sistem dan sudah menjadi solusi dari rumusan permasalahan. 4. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan, pembangunan
dan
implementasi
tidak
mengganggu
dan
tidak
mempengaruhi lingkungan sistem nyata. Berikut ini adalah beberapa tampilan dari sistem operasi yang digunakan sebagai pendukung dalam penulisan skripsi yang berjalan pada mesin virtual.
Gambar 4.2 Sistem Operasi Auditor Security Collection Pada VM-Ware
69
Gambar 4.3 Tampilan Mesin Sensor Menggunakan Ubuntu 9.10
4.4 Implementasi Fase selanjutnya adalah implementasi atau penerapan detail rancangan topologi dan rancangan sistem pada lingkungan nyata sebagai simulasi WAN. Detail rancangan akan digunakan sebagai instruksi atau panduan tahap implementasi agar sistem yang dibangun dapat relevan dengan sistem yang sudah dirancang. Proses implementasi terdiri dari instalasi dan konfigurasi.
4.4.1 Implementasi Topologi Jaringan Penulis mengumpulkan seluruh perangkat yang dibutuhkan di laboraturium riset. Perangkat ini meliputi hardware dan software. Setelah itu, penulis menempatkan seluruh perangkat sesui dengan topologi yang sudah dibuat. Setelah semua unit terhubung satu sama 70
lain, proses selanjutnya adalah mengkonfigurasi setiap unit agar dapat berkomunikasi satu dengan lainnya. Detail perintah konfigurasi router, penulis lampirkan pada lembar lampiran. Perangkat
switch
yang
digunakan
tidak
membutuhkan
konfigurasi, karena perangkat tersebut tidak dapat di konfigurasi. Sejumlah parameter dari unit mesin host yang harus dikonfigurasi adalah alamat internet protocol, subnet mask, alamat IP gateway, dan alamat IP DNS. Setelah instalasi dan konfigurasi selesai dilakukan, proses selanjutnya adalah pengujian untuk memastikan fungsionalitas koneksi, hal ini dimaksudkan untuk menjamin agar mesin yang satu dapat berkomunikasi dengan unit mesin lain.
4.4.1.1 Konfigurasi Router Router bertugas untuk meneruskan paket data melewati network yang berbeda yang dianalogikan dengan kondisi yang sesungguhnya di internet. Pada skripsi ini penulis menggunakan satu buah router untuk menghubungkan antara mesin sensor dengan client yang terhubung pada switch.
71
Gambar 4.4 Konfigurasi Internet Protokol Paada Router
72
Gambar 4.5 Konfigurasi Basic Setting Physical Wireless
Gambar 4.6 Konfigurasi Wireless Security
73
Pada konfigurasi router terlihat bahwa routing protokol yang digunakan adalah DHCP (Dynamic Host Configuration Protocol). Pengunaan IP address DHCP ini digunakan karena jaringan yang digunakan adalah jaringan yang berbasis clientserver, dan jenis keamanan yang digunakan pada jaringan ini menggunakan mode WAP (Wireless Application Protocol) yang disertai dengan WAP algoritma TKIP, memiliki empat kunci dan memiliki panjang kunci 64 bit sampai dengan 128 bit.
Gambar 4.7 Ping Client ke Router
4.4.1.2 Pemasangan Hub/Switch Hub/Switch
digunakan
sebagai
konsentrator
yang
menghubungkan antar komputer. Switch yang digunakan pada skripsi ini adalah zonet ZFS3008 10/100 Fast Ethernet Switch, mempunyai 8 port. Untuk konfigurasi tidak ada pengaturan khusus, hanya konfigurasi hostname dan memastikan tidak terdapat VLAN (Virtual LAN). 74
4.4.2 Implementasi IDS (Intrusion Detection System) IDS atau sistem pendeteksi intrusi penulis bangun dengan mengunakan beberapa komponen utama, yaitu : Snort (mesin inti IDS), Barnyard ( menangani ouput plug-in Snort) dan BASE (mempresentasikan output Snort). IDS dibangun pada mesin sensor dengan menggunakan sistem operasi berbasis open source yaitu linux Ubuntu 9.10. berikut ini adalah sejumlah proses yang dikerjakan sebelum mengimplementasikan komponen IDS : Instalasi paket pendukung mesin sensor apt-get install libpcre3 apt-get install libpcre3-dev apt-get install libpcrecpp0 apt-get install libpcap0.8 apt-get install libpcap0.8-dev apt-get install mysql-server apt-get install libmysqlclient15-dev 01 apt-get install libphp-adodb apt-get install libgd2-xpm apt-get install libgd2-xpm-dev apt-get install php5-mysql apt-get install php5-gd apt-get install php-image-graph apt-get install php-image-canvas apt-get install php-pear
4.4.3
Snort aplikasi terbaru dari snort pada saat skirpsi ini ditulis adalah Snort versi 2.8.4.1. Keseluruhan instalasi sebagai root agar setiap file yang dihasilkan memiliki permission root. Berikut adalah prosesnya :
75
Mempersiapkan Database Snort # aktifkan MYSQL 01 mysql -u root -p # membuat database untuk snort 02 create database snort; # set hak akses untuk user root 03 grant INSERT,SELECT on root.* to snort@localhost; # set password untuk user ‘snort’ dengan ‘password’ 04 SET PASSWORD FOR snort@localhost = PASSWORD(‘password’); # set hak akses untuk user ‘snort’ di localhost 05 grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost; Proses Instalasi Snort 01 sudo apt-get install snort-mysql 02 ./configure --with-mysql 03 make 04 make install
Gambar 4.8 Proses Instalasi Snort Sampai disini proses instalasi snort sudah selesai. Selanjutnya adalah deskripsi sejumlah proses setelah instalasi snort.
76
Membuat direktori Snort # membuat group snort 01 groupadd snort # membuat user ‘snort’ didalam group ‘snort’ 02 useradd -g snort snort # membuat direktori snort 03 mkdir /etc/snort # membuat direktori rules snort 04 mkdir /etc/snort/rules # membuat direktori untuk logging snort 05 mkdir /var/log/snort Konfigurasi Rules Snort # salin file kedalam direktoro /etc/snort 01 cp snortrules-snapshot-CURRENT.tar.gz /etc/snort/ # masuk kedalam direktori /etc/snort 02 cd /etc/snort # mengekstrak file Rules Snort pada direktori /etc/snort 03 tar zxvf snortrules-snapshot-CURRENT.tar.gz
Selanjutnya adalah proses konfigurasi snort. File konfigurasi snort berada di /etc/snort/snort.conf. berikut adalah sejumlah baris direktif yang perlu dikonfigurasi. Konfigurasi Snort.Conf # masuk kedalam direktori /etc/snort 01 cd /etc/snort/ # buka file konfigurasi snort.conf 02 vi /etc/snort/snort.conf # rubah path lokasi signature / rules snort var RULE_PATH /etc/snort/rules 03 output database: log, mysql, user=snort password=snort dbname=snort host=localhost # rubah path lokasi preprocessor rules 04 var PREPROC_RULE_PATH /etc/snort/preproc_rules # set alamat IP sistem jaringan Internal 05 var HOME_NET [10.1.1.0/24,192.168.1.0/24] # set alamat IP sistem jaringan Eksternal 05 var EXTERNAL_NET !$HOME_NET # set direktif output snort 06 output database: log, mysql, user=snort \ password=snort dbname=snort host=localhost 77
4.4.4
Barnyard Versi aplikasi Barnyard yang digunakan pada waktu penulisan skripsi ini adalan Barnyard2 versi 1.7. Kelseluruhan proses instalasi dilakukan sebagai root agar setiap file yang dihasilkan secara otomatis memiliki permission root. 01 02 03 03
# compile barnyard dengan fitur logging MYSQL ./configure --with-mysql # instalasi Barrnyard make && make install # masuk kedalam direktori Barnyard2 cd /usr/local/ barnyard2-1.7 # salin file konfigurasi Barnyard.conf ke /etc/snort cp etc/barnyard2.conf /etc/snort
Tahap instalasi sudah selesai, selanjutnya adalah konfigurasi file barnyard dengan nama barnyard.conf yang berada pada direktori /etc/snort/barnyard.conf. 01 02
03
# buka file konfigurasi barnyard.conf vim /etc/snort/barnyard2.conf # rubah konfigurasi hostname dan interface config hostname : localhost config interface : eth0 # rubah output database output database: alert, mysql, user=snort password=password dbname=snort host=localhost
4.4.5 BASE (Basic Analysis Security Engine) Aplikasi BASE yang digunakan adalah BASE versi 1.4.4. Kelseluruhan proses instalasi dilakukan sebagai root agar setiap file yang dihasilkan secara otomatis memiliki permission root.
78
Instalasi PEAR dan Modul PEAR # instalasi PEAR 01 pear install PEAR-1.9.1 # instalasi modul PEAR pear install image-graph-0.7.2 02 pear install image-canvas-0.3.2 pear install image-color-1.0.4 Instalasi BASE 1.4.4 # ekstrak dan instal paket PHP 4 dan PHP 5 kedalam # direktori /var 01 tar zxvf adodb4991.tgz # masuk ke direktori /var/www 02 cd /var/www # ekstrak dan instal paket BASE 03 tar zxvf base-1.4.4.tar.gz # masuk kedalam direktori BASE 04 cd /var/www/base # salin dan rubah nama file bernama base_conf 05 cp base_conf.php.dist base_conf.php # edit konfigurasi BASE bernama base_conf.php 06 vim base_conf.php # rubah nilai dari sejumlah parameter yang terdapat pada # base_conf.php dengan variabel dibawah ini : $BASE_urlpath = "/base"; $DBlib_path = "/var/adodb/"; $DBtype = "mysql"; $alert_dbname = 'snort'; $alert_host = 'localhost'; $alert_port = ; 07 $alert_user = 'snort'; $alert_password = 'snort'; $archive_exists = 0; $archive_dbname = 'snort'; $archive_host = 'localhost'; $archive_port = ; $archive_user = 'snort'; $archive_password = 'snort';
79
Gambar 4.9 Halaman Utama Instalasi BASE
Gambar 4.10 Halaman Database Setup BASE
Gambar 4.11 Halaman Konfirmasi Status Instalasi Database BASE 80
4.5 Monitoring Dalam skripsi ini tahap monitoring digunakan untuk proses pengetesan dari sistem IDS (Intrusion Detection System) yang telah dibuat. Dimulai dari melakukan pengetesan koneksi antar perangkat yang saling terhubung, pengujicobaan terhadap aplikasi yang digunakan hingga melakukan proses penyadapan data yang berada di jaringan yang ada. Berikut adalah deskripsi proses pengujiannya :
4.5.1 Pengujian Sistem IDS (Intrusion Detection System) Pada pembahasan ini, penulis menggunakan beberapa aplikasi yang digunakan untuk melakukan penyerangan terhadap jaringan yang ada. Hal ini ditujukan untuk mengetahui jenis serangan apa saja yang sering dilakukan oleh para hacker serta serangan tersebut dilakukan melalui port mana saja yang sering digunakan. Jenis serangan yang akan penulis coba lakukan adalah berupa pembebanan bandwidth, DHCP Spoofing, dan ICMP attack.
4.5.1.1 Pengujian IDS dengan Serangan TCP Flooding Tahapan ini penulis melakukan penyerangan terhadap komputer client dengan metode penyerangan terhadap pembebanan jalur komunikasi TCP/IP atau biasa dikenal dengan teknik TCP flooding. Penulis melakukan serangan melalui jaringan wireless kedalam jaringan LAN dengan menggunakan aplikasi Digital Blaster. 81
Hasil yang akan didapat dari proses penyerangan ini adalah proses kerja pada komputer target akan menjadi berat dan lama, terutama pada saat melakukan koneksi kedalam jaringan internet. Aktivitas ini akan didetaksi oleh aplikasi sniffing dan mesin sensor yang terpasang pada jaringan komputer yang menjadi target. a. proses pembebenan terhadap komputer korban melalui komputer penyerang.
Gambar 4.12 Flooding Komputer Client b. perekaman data dari proses penyerangan oleh penyusup yang berhasil direkam dengan menggunakan wireshark.
82
Gambar 4.13 Hasil Capture Pada Wireshark c. hasil konfersi dari data yang berhasil direkam oleh wireshark.
Gambar 4.14 Hasil Konfersi Paket Data Pada Wireshark
83
Gambar 4.15 Capture pada Mesin Sensor IDS Mencatat Aktivitas dari TCP Flooding
Pada gambar 4.15 merupakan hasil perekaman data yang ditangkap dengan menggunakan aplikasi wireshark terhadap serangan TCP flooding. Terlihat dari serangan tersebut besarnya paket dan protokol apa yang digunakan. Pada gambar tersebut data yang tertangkap merupakan data yang melalui protokol UDP dan ICMP, karena pada gambar sebelumnya yaitu pada gambar 4.9 jenis serangan yang digunakan adalah Dual Protocol Flood, jadi serangan menggunakan dua buah protokol sekaligus yaitu protokol UDP dan TCP. Dari proses scanning terlihat semua aktifitas yang telah terekam pada aplikasi wireshark, yaitu : 1. source : merupakan sumber dari paket data yang terkirim.
84
2. destination : merupakan tujuan dari paket data yang terkirim. 3. protocol : merupakan jalur aktifitas yang digunakan dalam proses penyerangan. 4. info : merupakan catatan apa saja yang terjadi pada aktifitas tersebut. Pada gambar 4.16 terlihat bahwa serangan yang dilakukan oleh penyusup dapat terlihat dengan menggunakan aplikasi wireshark, yaitu serangan dengan menggunakan protokol UDP dan TCP yang memiliki source port 1133 dan destination port 80. Port 1133 yang termasuk kedalam jenis protokol TCP dan UDP. Sedangkan port 80 merupakan protokol yang biasa digunakan pada jalur internet atau HTTP (Hypertext Transfer Protocol) yang termasuk kedalam protokol TCP. Dari serangan dengan menggunakan teknik ini dapat menyebabkan suatu jaringan komputer menjadi berat dalam melakukan koneksi antar komputer baik dalam
jaringan
internet atau jaringan lokal. Untuk tahapan ini sumber daya yang dapat diambil masih dalam katagori kecil, karena yang diserang hanya koneksi jaringannya saja dan tidak ada data atau file yang dicuri.
85
4.5.1.2 PING Attack (ICMP Traffic) Pada kasus ini penulis menganalisis jenis serangan berprotokol ICMP. Pada dasarnya, traffic ICMP yang diproduksi oleh perintah ping, dianggap sebagai satu serangan karena dapat dipergunakan penyerang atau penyusup untuk mendapatkan informasi mengenai mesin target, memastikan apakah host target dalam keadaan aktif atau tidak. Yang pertama dilakukan penulis adalah melakukan ping dari mesih client ataupun dari mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4
Gambar 4.16 Ping dari Client kedalam Mesin Sensor Tahap kedua penulis menggunakan tcpdump yang terdapat pada kebanyakan instalasi default distro linux/Unix untuk mengkap dan menganalisa traffic data yang dihasilkan perintah ping mesin penyerang atau client kedalam mesin 86
server. Berikut ini merupan tampilan dari dump dari traffic ping :
Gambar 4.17 Hasil Dump Ping Traffic Client ke Sensor
Gambar 4.18 Hasin Capture Snort dengan Modus Sniffing
87
Dari data yang didapat menggunakan tcpdump, jelas terlihat bahwa ping selalu menggunakan protocol unik ICMP dan
memuat
beberapa
karakter
unik
seperti
abcdefghijklmnopqrstuvwxyzabcdefghi. Tahap yang selanjutnya yaitu membuat sebuah signature dengan menggunkan parameter spesifik yang mendefinisikan traffic serangan. Dalam hal ini, penulis menggunakan protocol spesifik (ICMP), arah sumber traffic (any), dan arah tujuan traffic (192.168.0.4) sebagai parameter untuk mendefinisikan jenis serangan ini, contoh dari signature-nya adalah “alert icmp any any -> 192.168.0.4 any (msg:”ICMP ping attack”;sid:10001;)”. signature tersebut akan mendeteksi traffic protokol ICMP yang diisukan dari segmen jaringan manapun, melalui port berapapun ke alamat IP mesin sensor 192.168.0.4 pada port manapun. Penulis kembali melakukan serangan ini dengan kondisi IDS diaktifkan, proses pengujian dapat dikatakan berhasil jika signature dapat merespon dari serangan tersebut. Kemudian, penulis melakukan perintah ping dari mesin client atau dari mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4. Hasilnya adalah sistem IDS berhasil mendeteksi traffic ping yang dilancarkan pada mesin 88
penyerang dan menjelaskan bahwa terjadi “ICMP Ping Attack”.
Gambar 4.19 Hasil Caputre pada Mesin Sensor
4.5.1.3 Pengujian IDS dengan Serangan DOS Attack (Denial Of Services) DoS attack adalah jenis serangan terhadap sebuah komputer atau server atau router atau mesin didalam jaringan internet dengan cara menghabiskan resource yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar, sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diseranga (server) tersebut.
89
Pada tahap ini penulis mengguanakan tiga buah komputer yang masing-masing terdiri komputer penyusup yang menggunakan aplikasi Auditior Security Collection yang berbasis sistem operasi open source yaitu linux yang berjalan pada mesin virtual, komputer client yang menggunakan sistem operasi Windows XP Sp 2 yang nantinya akan menjadi korban secara tidak langsung dari proses penyerangan ini, dimana client akan meminta IP address pada komputer server yang diserang menggunakan metode DOS attack dan jenis sserangan yang digunakan adalah DHCP spoofing oleh penyusup, yang terakhir adalah komputer server yang menggunakan sistem operasi Windows Server 2003 yang merupakan target dari proses DOS attack ini. Pada tahapan ini yang menjadi tujuan dari seorang penyusup adalah mencuri semua IP address yang disediakan oleh server dan membuat sebuah server baru agar para client yang tersambung kepada komputer tersebut tidak bisa mendapatkan IP yang diberikan oleh server yang asli, tetapi mereka menjadi terjebak oleh IP yang disediakan oleh komputer server palsu yang dibuat oleh penyusup.
90
Gambar 4.20 Auditor Security Collection Aplikasi ini yang digunakan oleh hacker untuk melakukan serangang DoS Attack kedalam komputer server dengan menggunakan tools yang tersedia didalamnya, salah satu tools yang digunakan adalah yersinia yang berjalan menggunakan console, serta menggunakan aplikasi ethereal sebagai media monitoring jaringan untuk melihat serangan-serangan yang dilakukan oleh sang penyusup.
91
Gambar 4.21 Proses Penyerangan Dengan Yersinia
Gambar 4.22 Proses Monitoring Serangan
92
Gambar 4.23 Konversi Paket Data 1
Gambar 4.24 Konversi Paket Data 2 Serangan dilakukan oleh penyusup dengan mengetikankan perintah yersinia dhcp –i eth0 –attack 3, terlihat tulisan pada console
“starting
DOS
attack
sending
DISCOVER
packet...”, menandakan bahwa proses DOS attack sedang berlangsung kedalam komputer server. Dampak ini akan 93
dirasakan oleh dua pihak, pertama akan dirasakan oleh komputer server dan kedua akan dirasakan oleh beberapa komputer client. Sedangkan pada gambar 4.21, serangan yang dilancarkan oleh penyusup terlihat melalui aplikasi ethereal. Serangan tersebut terdeteksi oleh sensor, bahwa serangan yang dilakukan tersebut menggunakan protokol UDP. Gambar 4.22 dan gambar 4.23 merupakan hasil konversi dari data yang berhasil didapat yaitu konversi dari gambar 4.24, yang terlihat dari serangan sudah mulai terlihat sedikit demi sedikit dimana hal tersebut dapat diketahui dari interaksi yang terjadi antara DHCP Discover dengan DHCP Offer. Aktifitas ini terus berlanjut hingga seluruh alamat IP yang disediakan oleh server habis terambil seluruhnya, bukan hanya alamat IP yang kosong saja tetapi alamat IP yang sedang digunakan oleh client juga dapat diambil, sehingga client yang sedang terhubung dengan komputer server akan putus secara tiba-tiba dan pada saat client meminta kembali layanan untuk mendapatkan
alamat
IP
tersebut
server
tidak
dapat
membalasnya, dikarenakan seluruh alamat IP yang tersedia sudah habis direbut oleh penyusup. Pada display statistic yang terdapat pada komputer server akan menunjukan bahwa serangan itu benar-benar terjadi dilihat seluruh IP yang disediakan oleh server telah habis direbut oleh 94
hacker. Sampai dengan serangan ini selesai, server belum dapat memberikan layana penyewaan alamat IP kepada client hingga waktu yang tidak dapat di tentukan, apabila dari waktu tersebut server belum bisa bangkit juga, maka keputusan terakhir yang harus diambil oleh server adalah membangun atau membuat ulang layanan dari sebuah scope DHCP yang baru agar dapat memberikan layanan kepada komputer client.
Gambar 4.25 Display Statistik Pada Server Setelah Serangan
Dapat dilihat pada gambar 4.25, seluruh IP yang di sediakan oleh server menjadi 0% (nol persen) atau tidak tersedia sama sekali dan total dari IP yang digunakan sebanyak 100% (seratus persen). Ini menujukan bahwa serangan DOS attack itu benar-benar terjadi menyerang komputer server, sehingga server tidak dapat memberikan layanan penyewaan IP kepada komputer client.
95
4.5.2 Analisis Data Menggunakan BASE Pada sub-bab ini spenulis akan mendeskripsikan proses analisi data kejadian melalui fungsionalitas BASE.
Gambar 4.26 Halaman Utama BASE Pada kuadran kiri atas terdapat link yang mendeskripsikan sejumlah informasi seperti alert yang terjadi selama 24 jam terakhir dan 72 jam terakhir yang dapat ditampilkan berdasarkan parameter unik, listing, alamat IP sumber dan tujuan. Selain itu terdapat juga informasi seperti 15 alert terbaru, port sumber atau tujuan terbaru. Pada kuadran kanan atas terdapat informasi waktu pengambilan data ke database, nama database, versi skema, dan informasi waktu tambahan. Sealain itu juga terdapat tiga link yang mendefinisikan fitur
96
pencarian, pembuatan grafik data alert, dan pembuatan grafik untuk terdeteksinya alert. Pada kuadran kanan bawah terdapat deskripsi profil traffic berdasarkan protokol, dan pada kuadran kiri bawah terdapat berbagai informasi seperti jumlah sensor, alert unik, kategorisasi, jumlah total alert, dan sebaginya. Penulis
memanfaatkan
fitur
pembuatan
grafis
untuk
mendeskripsikan alamat IP sumber dengan jumlah serangan yang dihasilkan. Contoh, alamat IP 192.168.0.4 memiliki jumlah alert sebesar 74.6% (tujuh puluh empat koma enam persen) dari 175 (seratus tujuh puluh lima) total alert yang terdetaksi.
Gambar 4.27 Diagram Batang Source IP dan Jumlah Alert
97
Pada fitur yang menampilkan profil traffic berdasarkan protokol TCP, BASE mendeskripsikan sejumlah daftar log dan alert pada protokol TCP.
Gambar 4.28 Tampilan Daftar Alert Pada Traffic Profile By Protocol
Terlihat berturut-turut dari kira ke kanan adalah nomer identitas alert, informasi signature alert yang ter-generate, timestamp (waktu terjadinya alert), alamat IP sumber, alamat IP tujuan, dan protokol yang digunakan.
4.5.3 Pencegahan Serangan Menggunakan IPTables dan MAC Filtering Setelah penulis melakukan beberapa proses penyerangan dan menganalisa baik terhadap komputer target maupun terhadap komputer sensor, penulis menemukan data dari komputer penyerang yang dapat digunakan untuk melakukan pencegahan terhadap penyeranganpenyerangan tersebut. Data yang berhasil diperoleh penulis adalah
98
metode yang digunakan, alamat internet protokol, alamat MAC, dan port yang digunakan untuk melakukan penyerangan.
Gambar 4.29 Data Yang Diperoleh dari Komputer Penyusup dengan Mode Sniffing dari Snort
Gambar 4.30 Data Yang Diperoleh dari Komputer Penyusup dengan TCPDump
99
Gambar 4.31 Traffic Serangan Yang Ditangkap Pada Firewall Dengan MRTG (Multi Router Traffic Grapher)
Dari data yang diperoleh, maka penulis dapat melakukan pencengahan terhadap penyerangan tersebut. Dalam melakukan pencegahan ini, penulis melakukannya dengan dua cara yaitu dengan IPTables dan MAC Filtering. Cara pertama, yang penulis lakukan adalah konfigurasi pada komputer firewall yang bertindak sebagai gateway sangat diperlukan dalam proses ini, dengan cara memasukan source yang diperoleh dari komputer penyusup seperti alamat IP, alamat MAC, dan protokol yang digunakan dengan menggunakan fitur dari mesin firewall yaitu dengan iptables. Sehingga, yang dihasilkan dari konfigurasi ini adalah penyerang tidak dapat melakukan aktivitas yang sama terhadap komputer target seperti melakukan PING terhadap komputer yang dituju.
100
Gambar 4.32 Blok Target Dengan IPTables
Pada gambar diatas penulis mengisukan sebuah perintah untuk melakukan pemblokiran terhadap komputer penyerang. Penulis menggunakan perintah “iptables –I FORWARD –s 192.168.0.2 –j DROP” yang berjalan pada konsole. “–I” atau Insert digunakan oleh penulis untuk memasukan perintah pada baris chain, perintah akan berada pada posisi rules teratas sehingga proses dapat dijalankan lebih awal. Dapat dilihat dengan menggunakan perintah iptables –L, pada tabel chain FORWARD perintah yang dimasukan tadi terdapat pada awal baris rules. “FORWARD” pada iptables digunakan untuk meneruskan paket dari jaringan eksternal ke dalam jaringan inernal melalui mesin firewall. Perintah ini digunakan karena serangan ini berasal dari luar jaringan yang masuk kedalam jaringan internal melalui mesin firewall. “–s” untuk mencocokan paket berdasarkan alamat IP sumber. “192.168.0.2” merupakan source dari komputer penyerang
101
yang akan diblokir. “–j DROP” men-drop paket dan menolak untuk diproses lebih lanjut. Cara
kedua,
selain
dengan
menggunakan
iptables,
cara
pencegahan yang dilakukan oleh penulis juga dengan menggunakan MAC Filtering yang merupakan fitur dari router access point yang digunakan dalam peneltian ini. Tahapan ini dilakukan dengan mengfokuskan pada alamat MAC yang dimiliki oleh komputer penyerang.
Gambar 4.33 Pemilihan Alamat MAC Peyerang
Gambar 4.34 Alamat MAC Peyerang Yang Sudah Terdaftar Dalam MAC Filtering
102
Secara otomatis komputer yang memiliki alamat MAC yang sudah didaftarkan pada konfigurasi router tidak dapat lagi terhubung dengan jaringan wireless dan melakukan tindakan-tindakan intrusi. Pencegahan dengan cara ini dilakukan penulis untuk melumpuhkan koneksi penyerang secara total untuk menjaga sumber daya yang terdapat pada komputer target agar dapat selalu terlindungi dari hal-hal yang tidak diharapkan. Ini dapat dilihat dari proses scanning pada mesin sensor akan berhenti, itu menandakan proses pemblokiran terhadap mesin penyerang berhasil dilakukan.
Gambar 4.35 Sensor Snort Berhenti Mendeteksi Setelah Serangan Berhasil di Blok Dengan IPTables
103
Gambar 4.36 Grafik Pengiriman Serangan Dari Penyerang Setelah Dilakukan Pemblokiran Dengan IPTables
Gambar 4.37 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
104
Gambar 4.38 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
Gambar 4.39 Grafik Pemenerima Data Serangan Pada Sensor IDS Setelah Diblok Dengan IPTables Jika salah cara penceegahan yang dilakukan oleh penulis yaitu dengan menggunakan iptables dan MAC Filtering telah dilakukan, maka akan mendapatkan hasil yang dapat dilihat pada gambar 4.36 hingga gambar 4.39. Gambar-gambar tersebut
memperlihatkan proses pada mesin
sensor yang menggunakan snort berhenti mendeteksi adanya serangan 105
dan grafik yang menunjukan jumlah serangan secara drastis turun karna adanya pencegahan yang dilakukan dengan menggunakan IPTables dan MAC Filtering.
4.5.4 Keuntungan dan Hasil Menggunakan IDS (Intrusion Detection System) Setelah penulis melakukan berbagai proses dalam penerapan IDS, maka penulis mendapatkan kemudahan dalam penerapannya. Dapat diperoleh hasil dari penerapan IDS ini, yaitu suatu jaringan komputer dapat dipantau hanya dengan melalui sebuah mesin atau komputer yang bertindak sebagai sensor didalam jaringan dan tehubung kedalam sebuah jaringan, itu dapat melihat semua kejadian yang sedang terjadi didalamnya. Selain keuntungan yang didapat dalam penerapan IDS ini, penulis juga mendapatkan hasil dari sistem IDS dalam mengamankan jaringan, yaitu jika terdapat sebuah masalah pada jaringan (proses intrusi) maka dapat diketahui secara langsung oleh IDS ini yang menggunakan Snort. Dari mana serangan itu datang, melalui port berapa, dan protokol apa yang digunakan.
4.6 Manajemen Tahap akhir ini tidak ada tindakan yang dilakukan, sehingga pada skripsi ini tahap yang dilakukan hanya sampai pada tahap monitoring.
106
BAB 5 KESIMPULAN DAN SARAN
Dari hasil pembahasan yang terdapat dari bab sebelumnya maka penulis menarik kesimpulan apa yang sudah didapat dari hasil praktek atau percobaan terhadap sistem IDS (Intrusion Detection System). 5.1 Kesimpulan 1. Sistem IDS dalam mendeteksi serangan yang terjadi adalah dengan melakukan scanning terhadap sejumlah source dan lalu-lintas yang terjadi didalam jaringan, sehingga seluruh kejadian yang dianggap sah maupun tidak sah dapat dilihat melalui kegiatan monitoring dengan menggunakan aplikasi yang digunakan untuk melakukan pemantauan jaringan, ini dapat dilihat pada gambar 4.15 yang merupakan hasil capture menggunakan Snort. 2. Pertahanan yang digunakan adalah dengan melakukan konfigurasi terhadap router yang bertindak sebagai gateway dengan menggunakan MAC
Filtering
serta
konfigurasi
pada
mesin
firewall
dengan
menggunakan fitur iptables yang dapat dilihat pada gambar 4.32 dan gambar 4.33. 3. Sistem IDS ini akan memberikan informasi atau peringatan kepada penulis melalui mesin sensor, yang kemudian akan dilalukan analisa terhadap source yang telah diperoleh dan dilakukiannya pencegahan, dapat dilihat pada gambar 4.28. 107
5.2 Saran 1. Pada tempat dimana penulis melakukan penelitian, sistem intrusi yang digunakan sudah cukup merespon terhadap lalulintas dan serangan yang terjadi pada jaringan, akan tetapi lebih baik lagi jika menggunakan sistem intrusi yang memiliki respon yang lebih sensitif terhadap berbagai jenis serangan, sehingga dapat diketahui jenis serangan yang sedang terjadi. 2. Dalam segi pendeteksian yang dilakukan dengan baik karena
dapat
melihat lalulintas jaringan yang sedang terjadi, akan tetapi dari sisi pencegahan masih harus dikembangkan lagi dalam melindungi aset yang terdapat pada komputer yang menjadi tujuan dari penyerangan.
108
DAFTAR PUSTAKA
Ali Zaki. “Laws And Regulations On Consumer Protection”, Salemba, Jakarta, 1999. ali pangera dan dony ariyus. “sistem operasi”, Andi, Yogyakarta, 2005. Angela Orebaugh,Gilbert Ramirez,Josh Burke and Jay Beale. “Wireshark & Ethereal network protocol analyzer toolkit”, syngress publihing, canada, 2007. Becky Pinkard and Angela Orebaugh. “Nmap in the Enterprise: Your Guide to Network Scanning”, syngress, United State Of America, 2008. Carl Endorf, Eugene Schultz and Jim Mellander. “Instrusion Detection & Prevention”, Emeryville, California, 2004. Djon Irwanto. “Membangun Object Oriented Software Dengan Java dan Object Database”, PT Alex media komputindo, Jakarta, 2007. Dony Ariyus. “Intrusion Detection System”, ANDI, Yogyakarta, 2007. Edhy Sutanta. “Komunikasi Data Dan Jaringan Komputer”, Graham Ilmu, Yogyakarta, 2005. Edi S. Mulyanta. “Pengenalan Protokol Jaringan Wireless Komputer”, ANDI, yogyakarta, 2005. Hendra Wijaya. “Belajar Sendiri : Exchange Server 2007”, PT.elex media komputindo, Jakarta, 2007. http://cahyoedi.files.wordpress.com/2008/03/layer-protocol-standar-ieee80216.jpg Kenneth C Laudon dan Jean P laudon. “Sistem Informasi Manajemen 2 (ed.10)”, salemba empat, jakarta, 2008. Lammle, Todd. “CCNA : Cisco Certified Network Associate Study Guide”, Sybex, Canada, 2007. Lia Kuswayatno. “Mahir Berkomputer”, Grafindo Media Pratama, Jakarta, 2006. Lukas Tanutama. “Jaringan Computer”, PT. Alex Media Komputindo, Jakarta, 1995. 109
Mcreynolds. “Networking Basics CCNA 1 Labs and Study Guide”, cisco systems, india, 2007. Melwin Syafrizal. “Pengantar Jaringan Komputer”, Andi, Yogyakarta, 2005. Murti Martoyo. “Lahirnya tahun Indonesia untuk ilmu pengetahuan 2005-2006: buku eksklusif”, Lembaga Ilmu Pengetahuan Indonesia,Indonesia, 2005. Naproni. “Seri Penuntun Praktis : Membangun Lan Dengan Windows Xp”, PT.elex media komputindo, Jakarta, 2007. Onno W Purbo. “Buku Pintar Internet TCP/IP”, PT. Alex Media Komputindo, Jakarta, 2007. Rahmat Rafiudin. “Panduan Membangun Jaringan Komputer Untuk Pemula”, PT.elex media komputindo, Jakarta, 2003 Rahmat Rafiudin. “MengupasTuntas Cisco Router”, PT.elex media komputindo, Jakarta, 2003. Telkom.net. “Packet-switched”, artikel ini diakses tanggal 23 februari 2010 pada jam 20.07, dari http://www.telkom.net/index.php?option= com_glossary&func=display&letter=P&Itemid=86&catid=39&page=1 Wahana Komputer. “SPP Menginstal Jaringan Komputer”, PT. Alex Media Komputindo, Jakarta, 2006.
Wikipedia bahasa Indonesia, ensiklopedia bebas. “Topologi Jaringan”, artikel ini diakses tanggal 23 februari 2010 pada jam 19.24, dari http://clickmusab.blogspot.com/2010/04/perangkat-perangkat-wan.html
Wikipedia bahasa Indonesia, ensiklopedia bebas. “Topologi Jaringan”, artikel ini diakses tanggal 23 februari 2010 pada jam 15:29, dari http://id.wikipedia.org/wiki/Jaringan_komputer
Wikipedia bahasa Indonesia, ensiklopedia bebas. “Analisis”, artikel ini diakses tanggal 24 februari 2010 pada jam 12:24, dari http://id.wikipedia.org/wiki/Analisis Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Circuit switching”, artikel ini diakses tanggal 28 April 2010, dari http://id.wikipedia.org/wiki/Circuit_switching 110
Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Sistem Deteksi Instruksi”, artikel ini diakses tanggal 12 September 2008, dari http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Jaringan Komputer”, artikel ini diakses tanggal 23 Mei 2010, dari http://id.wikipedia.org/wiki/Jaringan_komputer Yuni Sare dan P. Citra. “Antropologi SMA/MA Kls XII (Diknas)”, PT. Grasindo, Jakarta, 2006.
111
IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK FILTERING PAKET DATA (Implementation Intrusion Detection System For Filtering Data Packets)
Muhammad Satria Nugraha Mahasiswa Program Studi Teknik Informatika Universitas Islam Negeri Syarif Hidayatullah Jakarta E-mail :
[email protected]
ABSTRAK Gangguan keamanan dapat dibagi menjadi dua kategori, gangguan internal dan gangguan eksternal. Gangguan internal terjadi dari pihak yang sudah mengetahui kondisi jaringan, dan gangguan eksternal terjadi dari pihak yang sengaja ingin menjatuhkan dinding keamanan. Gangguan keamaan yang terjadi pada tempat yang menjadi studi kasus ini terjadi dari pihak internal yang ingin menjatuhkan sistem kerja jaringan dan ingin mencoba ketahanan dari keamanan jaringan yang ada pada tempat tersebut. Dengan menggunakan IDS (Intrusion Detection System) hal tersebut dapat diatasi dengan cara mengenali setiap pola serangan yang dilakukan oleh intruder. Untuk mendeteksi setiap gejala serangan tersebut, sistem menggunakan pola pengenalan terhadap source yang didapat dari pihak yang dianggap sebagai ancaman dalam sistem jaringan komputer. Metode pengembangan sistem yang digunakan dalam penelitian ini adalah Network Development Life Cycle. Penulis menggunakan Snort, Barnyard, dan BASE yang diimplementasikan pada mesin sensor berbasis Open Source. Keseluruhan sistem dibangun dalam simulasi WAN yang merepresentasikan sistem produksi. Hasil penelitian skripsi ini menyimpulkan bahwa setiap tindakan yang dilakukan oleh penyerang terhadap jaringan dapat diketahui oleh mesin sensor, sehingga dapat dilakukan pencegahan sebelum terjadi kerusakan data yang lebih luas. Kata Kunci : Intrusion Detection System (IDS), Snort, BASE
1. PENDAHULUAN Gangguan pada dasarnya dapat dibagi menjadi dua bagian, pertama adalah gangguan internal dan kedua adalah gangguan eksternal. Gangguan internal merupakan gangguan yang berasal dari lingkup dalam jaringan infrastruktur tersebut, dalam hal ini adalah pihak-pihak yang telah mengetahui kondisi keamanan dan kelemahan dari jaringan tersebut. Gangguan eksternal adalah gangguan yang berasal dari pihak luar yang ingin mencoba atau dengan sengaja ingin membobol dinding keamanan yang ada. Pada yayasan yang menjadi tempat studi kasus penulis, terdapat gangguan keamanan yang terjadi dari pihak internal yaitu seorang pengguna yang ingin menjatuhkannya kinerja dari jaringan dan melakukan pengujian ketahanan terhadap sistem keamanan yang terdapat pada tempat penelitian penulis. Penulis melakukan pemantauan terhadap jaringan menemukan adanya tingkat lalu-lintas yang cukup tinggi. Proses tersebut terjadi melalui koneksi jaringan wireless yang disediakan oleh pihak yayasan yang berhasil diakses oleh pihak yang ingin melakukan pengerusakan. Sistem untuk mendeteksi gangguan dari segisegi yang telah dipaparkan diatas memang telah banyak dibuat, tetapi sistem yang mampu melakukan pendeteksian seperti halnya manusia sangatlah jarang, dalam hal ini mampu melakukan analisa serta mempelajari kondisi yang ada. Keamanan jaringan
bergantung pada kecepatan pengaturan jaringan dalam menindaklanjuti sistem saat terjadi gangguan. Salah satu komponen dari jaringan komputer yang perlu dikelola dengan menggunakan manajemen jaringan adalah Intrusion Detection System (IDS). Penerapan IDS diusulkan sebagai salah satu solusi yang dapat digunakan untuk membantu pengaturan jaringan untuk memantau kondisi jaringan dan menganalisa paketpaket berbahaya yang terdapat dalam jaringan tersebut. IDS diterapkan karena mampu medeteksi paketpaket berbahaya pada jaringan dan langsung memberikan peringatan kepada pengatur jaringan tentang kondisi jaringannya saat itu. Sudah terdapat banyak software IDS seperti Snort yang merupakan open source IDS yang juga digunakan dalam penelitian khususnya untuk filtering paket data. Namun belum terdapat sistem antar muka yang membantu para pengguna dalam mengatur sistem sehingga penerapan IDS ini masih sulit dilakukan. Oleh karena itu pada YAYASAN PEMBINAAN PENDIDIKAN NUSANTARA diusulkan untuk membuat sistem IDS lengkap dengan tampilan antar muka berbasiskan web dengan beberapa fitur tambahan yang diharapkan dapat membantu administrator dalam memonitor kondisi jaringannya serta meningkatkan mutu jaringan tersebut.
1
2. LANDASAN TEORI 2.1 Intrusion Detection System (IDS) Webster's mendefinisikan sebuah intrusi sebagai "tindakan pemaksaan, memasuki tempat atau negara tanpa adanya undangan, dibenarkan, atau sambutan". Ketika kita berbicara tentang deteksi intrusi kita mengacu kepada tindakan mendeteksi suatu gangguan yang tidak sah oleh komputer di sebuah jaringan. Tindakan ini (intrusi), merupakan upaya untuk kompromi, atau dinyatakan merugikan, ke perangkat jaringan lainnya. (Kohlenberg, 2007:2) 2.1.1
Fungsi Intrusion Detection System Beberapa alasan untuk memperoleh dan menggunakan IDS (intrusion detection system) (Ariyus, 2007:31), diantaranya adalah: 1. Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang tidak bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut. 2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang tidak bisa dicegah oleh sistem umum pakai, seperti firewall. menyebabkan Sehingga banyak adanya begitu banyak lubang keamanan, seperti: Banyak dari legacy sistem, sistem operasi tidak patch maupun update. Patch tidak diperhatikan dengan baik, sehingga menimbulkan hal masalah baru dalam keamanan. User yang tidak memahami sistem, sehingga jaringan dan protokol yang mereka gunakan memiliki lubang keamana. User dan administrator membuat kesalahan dalm konfigurasi dan dalam menggunakan sistem. 3. Mendeteksi serangan awal. Penyerang akan menyerang suatu siste yang biasanya melakukan langkah-langkah awal yang mudah diketahui yaitu dengan melakukan penyelidikan atau menguji sistem jaringan yang akan menjadi target, untuk mendapatkan titik-titik dimana mereka akan masuk. 4. Mengamankan file yang keluar dari jaringan. 5. Sebagai pengendali untuk rancangan keamanan dan administrator, terutama bagi perusahaan yang besat Menyediakan informasi yang akurat terhadap ganguan secara langsung, meningkatkan diagnosis, recovery, dan mengoreksi faktor-faktor penyebab serangan.
2.1.2 Peran Intrusion Detection System IDS (intrusion detection system) juga memiliki peran penting untuk mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Hal-hal yang dilakukan IDS (intrusion detection system) pada jaringan internal adalah sebagai berikut: (Ariyus, 2007:34) Memonitor akses database : ketika mempetimbangkan pemilihan kandidat untuk penyimpanan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data-data yang berharga. Melindungi e-mail server : IDS (intrusion detection system) juga berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD Worm, dan versi terbaru dari ExploreZip. Memonitor policy security : jika ada pelanggaran terhadap policy security maka IDS (intrusion detection system) akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang ada. 2.1.3 Tipe Intrusion Detection System Pada dasarnya terdapat tiga macam IDS (intrusion detection system), yaitu: (Ariyus, 2007:36) 1. Network based Intrusion Detection System (NIDS) : Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. 2. Host based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet. 3. Distributed Intrusion Detection System (DIDS) : sekumpulan sensor IDS yang saling terhubung satu sama lain dan berfungsi sebagai remotet sensor (sensor jarak jauh) yang memberikann
2
pelaporanpada manajemen sistem terpusat. 2.1.4 Keuntungan dan Kekurangan IDS Berikut ini beberapa keuntungan dari penerapan IDS pada sistem jaringan komputer : 1.Secara efektif mendeteksi aktifitas penyusupan, penyerangan atau tindak pelanggaran lainnya yang mengacam aset atau sumber daya sistem jaringan. 2.IDS membuat administrator diinformasikan tentang status keamanan. 3.IDS secara berkesinambungan mengamati traffic dari sistem jaringa komputer dan secara rinci menginformasikan setiap event dengan aspek yang berhubungan keamanan. 4.IDS menyediakan informasi akurat terhadap gangguan secara langsung, meningkatkan diagnosis, pemulihan, mengoreksi sejumlah faktor penyebab intursi atau serangan. 5.Sejumlah file log yang berisi catatan aktifitas kinerja IDS adalah bagian penting dari forensik komputer yang dapat digunakan sebagai sumber informasi untuk proses penelusuran aktivitas serangan yang terjadi, analisis dan audit kinerja sensor IDS serta sebagai barang bukti untuk tindakan hukum. Ada pula kekeurangan yang terdapat pada penerapan sensor IDS, sebagai berikut : 1. Rentang waktu antara pengembangan teknik penyerangan atau intrusi dan pembuatan signature, memungkinkan penyerang untuk mengeksploitasi IDS yang tidak mengenali jenis serangan spesifik. Karena signature tidak dapat dibuat tanpa mempelajari traffic seranagan. 2. False Negative adalah serangan sesungguhnya yang tidak terdeteksi maka tidak ada peringatan atau notification mengenai peristiwa ini. 3. False Positive adalah kesalahan IDS traffic network dalam mendeteksi normal sebagai suatu serangan. Jika terjadi dalam jumlah besar berkemungkinan menutupi kejadian intrusi sesungguhnya. 2.2 Snort Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup dan mampu menganalisis paket yang melintasi jaringan secara real time traffic dan logging kedalam database serta mampu mengidentifikasi berbagai serangan yang berasal dari luar jaringan.(Ariyus, 2007:145) Program snort dioperasikan dengan tiga mode : 1. paket sniffer : untuk melihat paket yang lewat di jaringan.
2.
paket logger : untuk mencatat semua paket yang lewat di jaringan untuk dianalisis dikemudian hari. 3. NIDS (Network Intrusion Detection System) : pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Snort memiliki komponen yang bekerja saling berhubungan satu dengan yang lainnya seperti berikut ini.(Ariyus, 2007:146) 1. Decoder : sesuai dengan paket yang dicapture dalam bentuk struktur data dan melakukan identifikasi protokol, decode IP dan kemudian TCP atau UDP tergantung informasi yang dibutuhkan, seperti port number, dan IP address. Snort akan memberikan peringatan jika menemukan paket yang cacat. 2. Preprocessors : suatu saringan yang mengidentifikasi berbagai hal yang harus diperiksa seperti Detection Engine. Preprocessors berfungsi mengambil paket yang berpotensi membahayakan, kemudian dikkirin ke detection engine untuk dikenali polanya. 3. Rules File : merupakan suatu file teks yang berisi daftara aturan yang sintaks-nya sudah diketahui. Sintaks ini meliputi protokol, address, output plug-ins dah hal-hal yang berhubungan dengan berbagai hal. 4. Detection Engine : menggunakan detection plug-ins, jika ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan. 5. Output Plug-ins : suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa diakses dengan berbagai cara, seperti console, extern files, database, dan sebagainya.
2.3 BASE (Basic Analysis and Security Engine) BASE adalah sebuah interface web untuk melakukan analisis dari intrusi yang snort telah deteksi pada jaringan. (Orebaugh, 2008:217) BASE ditulis oleh kevin johnson adalah program analisis sistem jaringan berbasis PHP yang mencari dan memproses database dari security event yang dihasilkan oleh berbagai program monitoring jaringan, firewall, atau sensor IDS.(Kohlenberg, 2007:424) Ini menggunakan otentikasi pengguna dan sistem peran dasar, sehingga Anda sebagai admin keamanan dapat memutuskan apa dan berapa banyak informasi yang setiap pengguna dapat melihat. Ini juga mudah untuk digunakan, program setup berbasis web bagi orang-orang tidak nyaman dengan mengedit file secara langsung. 3. METODOLOGI PENELITIAN 3.1 Metode Pengumpulan Data 3.1.1 Studi Pustaka Untuk melengkapi kebutuhan informasi yang diperlukan dalam penulisan skripsi ini, penulis mendapatkan informasi dari beberapa
3
referensi yang diperoleh dari buku-buku yang terdapat didalam perpustakaan dan beberapa artikel atau buku elektronik yang diperoleh dari media Internet. 3.1.2 Observasi Observasi atau pengamatan merupakan salah satu teknik pengumpulan data atau fakta yang cukup efektif untuk mempelajari suatu sistem. Observasi adalah pengamatan langsung para pembuat keputusan berikut lingkungan fisiknya dan atau pengamatan langsung suatu kegiatan yang sedang berjalan. Guna mengumpulkan informasi mengenai kebutuhan sistem maka penulis melakukan pengumpulan data dengan cara observasi ditempat penelitian, yaitu pada YAYASAN PEMBINAAN PENDIDIKAN NUSANTARA, tanggal 14 Desember 2009, dengan saudara Raihan Achyar Rusdiasyah, S.Kom yang bertindak sebagai kepala labolaturium jaringan, tentang implementasi Intrusion Detection System untuk filtering paket data. Dalam penelitian ini, Penulis terjun langsung kelapangan untuk melihat sistem apa yang digunakan. Hal ini dilakukan agar penulis dapat melakukan analisis terhadap sistem yang telah berjalan serta menentukan sistem baru yang akan diterapkan agar cocok dengan sistem yang sudah ada apabila ada ketidak cocokan pada sistem yg digunakan sebelumnya. 3. 1.3 Studi Literatur Berikut adalah bahan pertimbangan dalam penulisan skripsi : Hidayat (2008) dengan judul skripsi “Pengembangan Intrusion Detction system dan Active Respone pada Transparent Single-Homed Bastion Host HTTP Proxy Server Firewall Sebagai Solusi Keamanan Sistem Proxy. Berikut adalah abstrak dari saudara Hidayat: HTTP proxy server yang bertugas sebagai penyedia layanan protocol http (akses internet) yang dibangun sebagai server terintegrasi dari sejumlah layanan spesifik, berperan sangat penting didalam suatu sistem jaringan komputer. Berbagai aset informasi penting yang berada didalamnya membuat aspek keamanan sistem proxy menjadi sangat krusial sedemikian sehingga dibutuhkan suatu system yang dapat mendeteksi sekaligus mencegah aktifitas intruksi dan serangan yang mengancam sistem proxy. Transparent single-homed bastion HTTP proxy server firewall merupakan server HTTP proxy berjenis transparan yang ditempatkan sebagai satu-satunya host internal yang dapat berkomunikasi dengan internet (eksternal) melalui satu network adapter, IDS adalah sistem yang secara intensif melakukan pendeteksian aktifitas instruksi dan penyerangan terhadap
aset/sumber daya sistem jaringan komputer. Active respone adalah mekanisme yang produktif merespon dan mencegah network traffic yang mendeteksi IDS sebagai sebagai suatu aktifitas instruksi/serangan. Metode pengembangan sistem yang digunakan dalam penelitian ini adalah NDLC. Penulis menggunakan Squid (proxy server) yang di implementasikan pada mesin server berbasis Trustux Secure Linux (TSI) yang juga bertindak sebagai web server (Apace), database server (MYSQI), SSH server (open SSH), FTP Server (USFTP) dan NDS Server (BIND), Snort, barnyard BASE dan oinkmaster diimplementasikan pada mesin sensor berbasis open BSD, Agen Snortsam (active respone) diimplementasikan pada mesin sensor, server dan firewall (berbasis TSI). Keseluruhan sistem dibangun didalam simulasi WAN yang mempresentasikan sistem produksi. Hasil penelitian skripsi ini mengumpulkan bahwa sistem proxy yang secara transparan dengan menggunakan NIC tunggal dan berperan sebagai paket filtering firewall dapat menjadi solusi sistem proxy yang praktis, tangguh dan bermanfaat. Integritas IDS dan active respon dapat berfungsi mendeteksi sekaligus mencegah aktifitas instruksi/serangan terhadap sistem proxy. Pada skripsi yang menjadi bahan pertimbangan penulis dalam melakukan penelitian, metode yang digunakan adalah NMAP Port Scanning Attack dan URL Traffic). Exploit Attack (HTTP Sedangkan yang penulis lakukan pada skripsi ini adalah pendeteksian dan pemantauan terhadap jaringan komputer dengan menggunakan aplikasi Snort dan beberapa aplikasi pendukung seperti BASE (Basic Analysis and Security Engine), Wireshark / Ethereal, Bandwidthd, dan MRTG (Multi Router Traffic Grapher) dengan tujuan mengetahui bagaimana proses serangan dapat terjadi dan bagaimana cara penaggulangannya serta yang membedakan skripsi penulis dengan skripsi sebelumnya adalah dalam penerapan sistem keamanan yang digunakan yaitu dengan menggunakan metode MAC Filtering dan IPTables. 3.2 Metode Pengembangan Sistem NDLC (Network Development Life Cycle) adalah menetapkan strategi untuk melakukan pembaharuan suatu organisasi dari sistem jaringan. Tahapan-tahapan dari NDLC yang diambil oleh penulis dalam melakukan penelitian pengembangan aplikasi ini adalah: 1. Analysis. Pada tahap ini dilakukan perumusan masalah, mengidentifikasi konsep dari IDS, Ethereal, dan beberapa perangkat jaringan., mengumpulkan data dan mengidentifiksikan kebutuhan seluruh komponen sistem tersebut,
4
2.
3.
4.
5.
sehingga spesifikasi kebutuhan sistem IDS dan Snort dapat diperjelas dan perinci. Pada tahapan analisis penulis melakukan: a. Identifikasi : penulis mencoba mengidentifikasi permasalahan yang ada, seperti mencari dari mana serangan itu datang beserta caranya, dan bagaimana cara mengatasi terhadap serangan tersebut. b. Understand : penulis melakukan pemahaman dari berbagai sumber mengenai proses penyerangan dilakukan, serta mencari cara dalam pencegahan. c. Analyze : penulis melakukan analisa terhadap perangkat lunak yang ada, apa sudah memenuhi syarat atau harus membutuhkan tambahan perangkat lunak. d. Report : setelah tahapan yang sebelumnya dilakukan maka penulis melakukan pelaporan hasil dari fase analisis ini. Design. Tahap ini merupakan perancangan mendefinisiskan “bagaimana cara sistem tersebut dapat melakukannya”. Pada fase ini, spesifikasi perancangan sistem yang akan dibangun merupakan hasil dari tahapan analisis yang akan digunakan untuk menghasilkan spesifikasi perancangansistem yang akan dikembangkan. Pada tahap perancangan penulis melakukan : a. Merancang topologi jaringan untuk simulasi WAN sebagai representasi lingkungan jaringan sebenarnya. b. Merancang penggunaan sistem operasi dan aplikasi pada server, client, dan komputer penyusup. Simulation Prototyping. Tahapan selanjutnya adalah pembuatan prototype sistem yang akan dibangun sebagai simulasi dari implementasi sistem produksi. Dengan demikian dapat diketahui gambaran umum dari proses komunikasi, keterhubungan dan mekanisme kerja dari interkoneksi keseluruhan elemen sistem yang akan dikembangkan. Pada tahap ini penulis dalam melakukan pengembangan sistem menggunakan media virtualisasi yaitu VM-Ware untuk menghindari kesalahan dan kerusakan data. Pada tahap ini yang dilakukan penulis adalah membangun jaringan virtual. Implementation. Dimana fase ini, rancangan solusi pada fase perancangan digunakan sebagai panduan instruksi implementasi pada ruanglingkup WAN (Wide Area Notwork). Aktivitas yang dilakukan pada fase ini diantaranya adalah instalasi dan konfigurasi terhadap topologi jaringan, IDS, Snort, dan perangkat lainnya. Monitoring. Hal ini mengingat proses yang dilakukan melalui aktivitas pengoperasian dan pengamatan terhadap sistem yang sudah dibangun atau dikembangkan dan sudah diterapkan untuk memastikan dimana IDS, Wireshark, dan server pendukung sudah berjalan dengan baik pada ruang lingkup jaringan WAN. Yang dilakukan pada fase ini adalah melakukan pengujian untuk memastikan apakah sistem IDS yang dikembangkan sudah
sesuai dengan kebutuhan atau menjawab semua spesifikasi pertanyaan dan permasalahan yang dirumuskan. 6. Management. Pada NDLC proses manajemen atau pengelolaan sejalan dengan aktivitas perawatan atau pemeliharaan sistem, jaminan efektivitas dan interkoneksi sistem menjadi masukan pada tahap ini untuk mendapatkan keluaran berupan jaminan fleksibelitas dan kemudahan pengelolaan serta pengembangan sistem IDS dan Snort dimasa yang akan datang. 4. ANALISA DAN PEMBAHASAN 4.1 ANALISIS Model NDLC memulai siklus pengembangan sistem jaringannya pada tahap analisis. Penulis membagi aktifitas pada tahap analisis ini menjadi beberapa fase, yaitu : identifikasi (mengidentifikasi rumusan masalah), pemahaman (memahami rumusan masalah dan memahami bentuk penyelesaian permasalahan), analisis (analisis kebutuhan sistem rancangan), dan report (pelaporan yang berisi spesifikasi dari hasil analisis) 4.1.1 Identifikasi Identifikasi dari terjadinya aktivitas penyusupan dan penyerangan pada aset atau sumberdaya sistem adalah tidak adanya sistem yang intensif mengamati dan analisis arus paket penyusupan atau penyerangan sehingga tidak ada tindakan pencegahan lebih lanjut untuk mengurangi resiko terjadinya berbagai dampak buruk penyusupan dan penyerangan terhadap aset-aset sumber daya pada YAYASAN PEMBINAAN PENDIDIKAN NUSANTARA khususnya dalam penelitian ini. 4.1.2 Understand Hasil identifikasi rumusan permasalahan diatas membutuhkan pemahaman yang baik agar dapat menghasilkan solusi yang tepat guna. Dengan menggunakan metode studi pustaka penulis memanfaatkan perpustakaan dan internet untuk mengumpulkan sejumlah data dan informasi dari berbagai sumber dalam bentuk buku, makalah, literatur, artikel dan berbagai situs web mengenai topik permasalahan terkait. Hasilnya digunakan untuk memahami permasalah yang terjadi untuk merumuskan solusi efektif dalam menyelesaikan berbagai rumusan permasalahan. Pemahaman ini pulalah yang penulis gunakan untuk merancang, membangun dan mengimplementasikan sistem yang diharapkan dapat mengatasi berbagai perumusan permasalahan yang ada. Penulis terfokus untuk memahami konsep-konsep dari sistem IDS (Intrusion Detection System), dan sistem pencegah intrusi. 4.1.3 Analyze Analisa kebutuhan perangkat sistem IDS (Intrusion Detection System) merupakan faktor penunjang sebagai pondasi awal untuk mempeorleh suatu keluaran yang diinginkan
5
dalam penulisan ini. Penulis akan membangun dan mengimplementasikan IDS berbasis dengan signature/rules pen source, menggunakan integrasi dari Snort, Barnyard, dan BASE. Snort bertugas mendeteksi berbagai aktifitas intrusi dan penyerangan yang terjadi pada jaringan komputer dan akan memicu alert bila terjadi aktifitas intrusi. Barnyard bertugas mengenali file output Snort, sehingga snort dapat bekerja jauh lebih fokus mengamati traffic. BASE (Basic Analysis Security Engine) bertugas untuk merepresentasikan log file snort kedalam format berbasis web yang lebih bersahabat hingga dapat mempermudah proses audit dan analisis. 4.1.4 Report Dari tahapan identifikasi, understandi, hingga pada tahap analyze maka dapat disimpulkan, bahwa pada tempat penulis melakukan penelitian dibutuhkan sistem penunjang keamanan yang dapat merespon tindakan-tindakan intrusi. Sehingga penulis mengambil keputusan untuk menerapkan sistem IDS yang dapat menangkap tindakan tersebut dan diharapkan dapat dilakukannya tahap pencegahan. 4.2 PERANCANGAN Tahap analisis menghasilkan rincian spesifikasi kebutuhan dari sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi kebutuhan untuk menghasilkan rancangan sistem yang akan dibangun. Dalam penelitian ini, penulis menggunakan simulasi WAN sebagai representasi sistem jaringan lingkungan produksi. Dengan kata lain, proses pengujian sistem aplikasi IDS (Intrusion Detection System) tidak menggunakan lingkungan nyata atau lingkungan internet. 4.3 SIMULATION PROTOTYPING Pada tahap ini penulis membangun prototipe dati sistem baru yang akan dibangun dan dimplementasikan pada lingkungan simulasi WAN (Wide Area Network) dengan menggunakan mesin virtual pada lingkungan virtual. Simulation mendemonstrasikan fungsionalitas prototyping sistem yang akan dibangun. Penulis menggunkan Vmware Workstation versi 6.0.0 untuk memvirtualisasikan sistem yang akan dibangun sebagai prototipe simulasi. Fase pembangunan prototipe, dimaksudkan untuk memenuhi sejumlah tujuan: 1. Menjamin efektivitas fungsionalitas dari interkoneksi antar elemen atau komponen sistem. 2. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi sistem pada lingkungan nyata. 3. Menjamin bahwa sistem sudah memenuhi kriteria spesifikasi perancangan sistem dan sudah menjadi solusi dari rumusan permasalahan. 4. Menjamin bahwa kesalahan yang terjadi pada saat proses perancangan, pembangunan dan
implementasi tidak mengganggu dan mempengaruhi lingkungan sistem nyata.
tidak
4.4 IMPLEMENTASI Fase selanjutnya adalah implementasi atau penerapan detail rancangan topologi dan rancangan sistem pada lingkungan nyata sebagai simulasi WAN. Detail rancangan akan digunakan sebagai instruksi atau panduan tahap implementasi agar sistem yang dibangun dapat relevan dengan sistem yang sudah dirancang. Proses implementasi terdiri dari instalasi dan konfigurasi. 4.4.1 Implementasi Topologi Jaringan Penulis mengumpulkan seluruh perangkat yang dibutuhkan di laboraturium riset. Perangkat ini meliputi hardware dan software. Setelah itu, penulis menempatkan seluruh perangkat sesui dengan topologi yang sudah dibuat. Setelah semua unit terhubung satu sama lain, proses selanjutnya adalah mengkonfigurasi setiap unit agar dapat berkomunikasi satu dengan lainnya. Detail perintah konfigurasi router, penulis lampirkan pada lembar lampiran. Perangkat switch yang digunakan tidak membutuhkan konfigurasi, karena perangkat tersebut tidak dapat di konfigurasi. Sejumlah parameter dari unit mesin host yang harus dikonfigurasi adalah alamat internet protocol, subnet mask, alamat IP gateway, dan alamat IP DNS. Setelah instalasi dan konfigurasi selesai dilakukan, proses selanjutnya adalah pengujian untuk memastikan fungsionalitas koneksi, hal ini dimaksudkan untuk menjamin agar mesin yang satu dapat berkomunikasi dengan unit mesin lain. 4.4.2 Implementasi IDS (Intrusion Detection System) IDS atau sistem pendeteksi intrusi penulis bangun dengan mengunakan beberapa komponen utama, yaitu : Snort (mesin inti IDS), Barnyard ( menangani ouput plug-in Snort) dan BASE (mempresentasikan output Snort). IDS dibangun pada mesin sensor dengan menggunakan sistem operasi berbasis open source yaitu linux Ubuntu 9.10. 4.4.3 Snort aplikasi terbaru dari snort pada saat skirpsi ini ditulis adalah Snort versi 2.8.4.1. Keseluruhan instalasi sebagai root agar setiap file yang dihasilkan memiliki permission root. 4.4.4 Barnyard Versi aplikasi Barnyard yang digunakan pada waktu penulisan skripsi ini adalan Barnyard2 versi 1.7. Kelseluruhan proses instalasi dilakukan sebagai root agar setiap file yang dihasilkan secara otomatis memiliki permission root.
6
4.4.5 BASE (Basic Analysis Security Engine) Aplikasi BASE yang digunakan adalah BASE versi 1.4.4. Kelseluruhan proses instalasi dilakukan sebagai root agar setiap file yang dihasilkan secara otomatis memiliki permission root. 4.5 MONITORING 4.5.1 Pengujian Sistem IDS (Intrusion Detection System) 4.5.1.1 Pengujian IDS dengan Serangan TCP Flooding Tahapan ini penulis melakukan penyerangan terhadap komputer client dengan metode penyerangan terhadap pembebanan jalur komunikasi TCP/IP atau biasa dikenal dengan teknik TCP flooding. Penulis melakukan serangan melalui jaringan wireless kedalam jaringan LAN dengan menggunakan aplikasi Digital Blaster. Hasil yang akan didapat dari proses penyerangan ini adalah proses kerja pada komputer target akan menjadi berat dan lama, terutama pada saat melakukan koneksi kedalam jaringan internet. Aktivitas ini akan didetaksi oleh aplikasi sniffing dan mesin sensor yang terpasang pada jaringan komputer yang menjadi target. a. proses pembebenan terhadap komputer korban melalui komputer penyerang.
c. hasil konfersi dari data yang berhasil direkam oleh wireshark.
Gambar 4.14 Hasil Konfersi Paket Data Pada Wireshark
Gambar 4.15 Capture pada Mesin Sensor IDS Mencatat Aktivitas dari TCP Flooding
Gambar 4.12 Flooding Komputer Client b. perekaman data dari proses penyerangan oleh penyusup yang berhasil direkam dengan menggunakan wireshark.
Gambar 4.13 Hasil Capture Pada Wireshark
Pada gambar 4.15 merupakan hasil perekaman data yang ditangkap dengan menggunakan aplikasi wireshark terhadap serangan TCP flooding. Terlihat dari serangan tersebut besarnya paket dan protokol apa yang digunakan. Pada gambar tersebut data yang tertangkap merupakan data yang melalui protokol UDP dan ICMP, karena pada gambar sebelumnya yaitu pada gambar 4.9 jenis serangan yang digunakan adalah Dual Protocol Flood, jadi serangan menggunakan dua buah protokol sekaligus yaitu protokol UDP dan TCP. Dari proses scanning terlihat semua aktifitas yang telah terekam pada aplikasi wireshark, yaitu : 1. source : merupakan sumber dari paket data yang terkirim. 2. destination : merupakan tujuan dari paket data yang terkirim. 3. protocol : merupakan jalur aktifitas yang digunakan dalam proses penyerangan. 4. info : merupakan catatan apa saja yang terjadi pada aktifitas tersebut. Pada gambar 4.16 terlihat bahwa serangan yang dilakukan oleh penyusup dapat terlihat dengan menggunakan aplikasi wireshark, yaitu serangan
7
dengan menggunakan protokol UDP dan TCP yang memiliki source port 1133 dan destination port 80. Port 1133 yang termasuk kedalam jenis protokol TCP dan UDP. Sedangkan port 80 merupakan protokol yang biasa digunakan pada jalur internet atau HTTP (Hypertext Transfer Protocol) yang termasuk kedalam protokol TCP. Dari serangan dengan menggunakan teknik ini dapat menyebabkan suatu jaringan komputer menjadi berat dalam melakukan koneksi antar komputer baik dalam jaringan internet atau jaringan lokal. Untuk tahapan ini sumber daya yang dapat diambil masih dalam katagori kecil, karena yang diserang hanya koneksi jaringannya saja dan tidak ada data atau file yang dicuri.
Gambar 4.17 Hasil Dump Ping Traffic Client ke Sensor
4.5.1.2 PING Attack (ICMP Traffic) Pada kasus ini penulis menganalisis jenis serangan berprotokol ICMP. Pada dasarnya, traffic ICMP yang diproduksi oleh perintah ping, dianggap sebagai satu serangan karena dapat dipergunakan penyerang atau penyusup untuk mendapatkan informasi mengenai mesin target, memastikan apakah host target dalam keadaan aktif atau tidak. Yang pertama dilakukan penulis adalah melakukan ping dari mesih client ataupun dari mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4 Gambar 4.18 Hasin Capture Snort dengan Modus Sniffing
Gambar 4.16 Ping dari Client kedalam Mesin Sensor Tahap kedua penulis menggunakan tcpdump yang terdapat pada kebanyakan instalasi default distro linux/Unix untuk mengkap dan menganalisa traffic data yang dihasilkan perintah ping mesin penyerang atau client kedalam mesin server. Berikut ini merupan tampilan dari dump dari traffic ping :
Dari data yang didapat menggunakan tcpdump, jelas terlihat bahwa ping selalu menggunakan protocol unik ICMP dan memuat beberapa karakter unik seperti abcdefghijklmnopqrstuvwxyzabcdefghi. Tahap yang selanjutnya yaitu membuat sebuah signature dengan menggunkan parameter spesifik yang mendefinisikan traffic serangan. Dalam hal ini, penulis menggunakan protocol spesifik (ICMP), arah sumber traffic (any), dan arah tujuan traffic (192.168.0.4) sebagai parameter untuk mendefinisikan jenis serangan ini, contoh dari signature-nya adalah “alert icmp any any -> any (msg:”ICMP ping 192.168.0.4 attack”;sid:10001;)”. signature tersebut akan mendeteksi traffic protokol ICMP yang diisukan dari segmen jaringan manapun, melalui port berapapun ke alamat IP mesin sensor 192.168.0.4 pada port manapun. Penulis kembali melakukan serangan ini dengan kondisi IDS diaktifkan, proses pengujian dapat dikatakan berhasil jika signature dapat merespon dari serangan tersebut. Kemudian, penulis melakukan perintah ping dari mesin client atau dari mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4. Hasilnya adalah sistem IDS berhasil mendeteksi traffic ping yang dilancarkan pada mesin penyerang dan menjelaskan bahwa terjadi “ICMP Ping Attack”.
8
Gambar 4.20 Auditor Security Collection Gambar 4.19 Hasil Caputre pada Mesin Sensor 4.5.1.3 Pengujian IDS dengan Serangan DOS Attack (Denial Of Services) DoS attack adalah jenis serangan terhadap sebuah komputer atau server atau router atau mesin didalam jaringan internet dengan cara menghabiskan resource yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar, sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diseranga (server) tersebut. Pada tahap ini penulis mengguanakan tiga buah komputer yang masing-masing terdiri komputer penyusup yang menggunakan aplikasi Auditior Security Collection yang berbasis sistem operasi open source yaitu linux yang berjalan pada mesin virtual, komputer client yang menggunakan sistem operasi Windows XP Sp 2 yang nantinya akan menjadi korban secara tidak langsung dari proses penyerangan ini, dimana client akan meminta IP address pada komputer server yang diserang menggunakan metode DOS attack dan jenis sserangan yang digunakan adalah DHCP spoofing oleh penyusup, yang terakhir adalah komputer server yang menggunakan sistem operasi Windows Server 2003 yang merupakan target dari proses DOS attack ini. Pada tahapan ini yang menjadi tujuan dari seorang penyusup adalah mencuri semua IP address yang disediakan oleh server dan membuat sebuah server baru agar para client yang tersambung kepada komputer tersebut tidak bisa mendapatkan IP yang diberikan oleh server yang asli, tetapi mereka menjadi terjebak oleh IP yang disediakan oleh komputer server palsu yang dibuat oleh penyusup.
Aplikasi ini yang digunakan oleh hacker untuk melakukan serangang DoS Attack kedalam komputer server dengan menggunakan tools yang tersedia didalamnya, salah satu tools yang digunakan adalah yersinia yang berjalan menggunakan console, serta menggunakan aplikasi ethereal sebagai media monitoring jaringan untuk melihat serangan-serangan yang dilakukan oleh sang penyusup.
Gambar 4.21 Proses Penyerangan Dengan Yersinia
Gambar 4.22 Proses Monitoring Serangan
9
Gambar 4.23 Konversi Paket Data 1
tiba-tiba dan pada saat client meminta kembali layanan untuk mendapatkan alamat IP tersebut server tidak dapat membalasnya, dikarenakan seluruh alamat IP yang tersedia sudah habis direbut oleh penyusup. Pada display statistic yang terdapat pada komputer server akan menunjukan bahwa serangan itu benar-benar terjadi dilihat seluruh IP yang disediakan oleh server telah habis direbut oleh hacker. Sampai dengan serangan ini selesai, server belum dapat memberikan layana penyewaan alamat IP kepada client hingga waktu yang tidak dapat di tentukan, apabila dari waktu tersebut server belum bisa bangkit juga, maka keputusan terakhir yang harus diambil oleh server adalah membangun atau membuat ulang layanan dari sebuah scope DHCP yang baru agar dapat memberikan layanan kepada komputer client.
Gambar 4.25 Display Statistik Pada Server Setelah Serangan
Gambar 4.24 Konversi Paket Data 2 Serangan dilakukan oleh penyusup dengan mengetikankan perintah yersinia dhcp –i eth0 – attack 3, terlihat tulisan pada console “starting DOS sending DISCOVER packet...”, attack menandakan bahwa proses DOS attack sedang berlangsung kedalam komputer server. Dampak ini akan dirasakan oleh dua pihak, pertama akan dirasakan oleh komputer server dan kedua akan dirasakan oleh beberapa komputer client. Sedangkan pada gambar 4.21, serangan yang dilancarkan oleh penyusup terlihat melalui aplikasi ethereal. Serangan tersebut terdeteksi oleh sensor, bahwa serangan yang dilakukan tersebut menggunakan protokol UDP. Gambar 4.22 dan gambar 4.23 merupakan hasil konversi dari data yang berhasil didapat yaitu konversi dari gambar 4.24, yang terlihat dari serangan sudah mulai terlihat sedikit demi sedikit dimana hal tersebut dapat diketahui dari interaksi yang terjadi antara DHCP Discover dengan DHCP Offer. Aktifitas ini terus berlanjut hingga seluruh alamat IP yang disediakan oleh server habis terambil seluruhnya, bukan hanya alamat IP yang kosong saja tetapi alamat IP yang sedang digunakan oleh client juga dapat diambil, sehingga client yang sedang terhubung dengan komputer server akan putus secara
Dapat dilihat pada gambar 4.25, seluruh IP yang di sediakan oleh server menjadi 0% (nol persen) atau tidak tersedia sama sekali dan total dari IP yang digunakan sebanyak 100% (seratus persen). Ini menujukan bahwa serangan DOS attack itu benarbenar terjadi menyerang komputer server, sehingga server tidak dapat memberikan layanan penyewaan IP kepada komputer client. 4.5.2 Analisis Data Menggunakan BASE Pada sub-bab ini spenulis akan mendeskripsikan proses analisi data kejadian melalui fungsionalitas BASE.
Gambar 4.26 Halaman Utama BASE Pada kuadran kiri atas terdapat link yang mendeskripsikan sejumlah informasi seperti alert yang terjadi selama 24 jam terakhir dan 72 jam
10
terakhir yang dapat ditampilkan berdasarkan parameter unik, listing, alamat IP sumber dan tujuan. Selain itu terdapat juga informasi seperti 15 alert terbaru, port sumber atau tujuan terbaru. Pada kuadran kanan atas terdapat informasi waktu pengambilan data ke database, nama database, versi skema, dan informasi waktu tambahan. Sealain itu juga terdapat tiga link yang mendefinisikan fitur pencarian, pembuatan grafik data alert, dan pembuatan grafik untuk terdeteksinya alert. Pada kuadran kanan bawah terdapat deskripsi profil traffic berdasarkan protokol, dan pada kuadran kiri bawah terdapat berbagai informasi seperti jumlah sensor, alert unik, kategorisasi, jumlah total alert, dan sebaginya. Penulis memanfaatkan fitur pembuatan grafis untuk mendeskripsikan alamat IP sumber dengan jumlah serangan yang dihasilkan. Contoh, alamat IP 192.168.0.4 memiliki jumlah alert sebesar 74.6% (tujuh puluh empat koma enam persen) dari 175 (seratus tujuh puluh lima) total alert yang terdetaksi.
Gambar 4.27 Diagram Batang Source IP dan Jumlah Alert
Terlihat berturut-turut dari kira ke kanan adalah nomer identitas alert, informasi signature alert yang ter-generate, timestamp (waktu terjadinya alert), alamat IP sumber, alamat IP tujuan, dan protokol yang digunakan. 4.5.3 Pencegahan Serangan Menggunakan IPTables dan MAC Filtering Setelah penulis melakukan beberapa proses penyerangan dan menganalisa baik terhadap komputer target maupun terhadap komputer sensor, penulis menemukan data dari komputer penyerang yang dapat digunakan untuk melakukan pencegahan terhadap penyeranganpenyerangan tersebut. Data yang berhasil diperoleh penulis adalah metode yang digunakan, alamat internet protokol, alamat MAC, dan port yang digunakan untuk melakukan penyerangan.
Gambar 4.29 Data Yang Diperoleh dari Komputer Penyusup dengan Mode Sniffing dari Snort
Pada fitur yang menampilkan profil traffic berdasarkan protokol TCP, BASE mendeskripsikan sejumlah daftar log dan alert pada protokol TCP.
Gambar 4.30 Data Yang Diperoleh dari Komputer Penyusup dengan TCPDump Gambar 4.28 Tampilan Daftar Alert Pada Traffic Profile By Protocol
11
Gambar 4.31 Traffic Serangan Yang Ditangkap Pada Firewall Dengan MRTG (Multi Router Traffic Grapher) Dari data yang diperoleh, maka penulis terhadap dapat melakukan pencengahan penyerangan tersebut. Dalam melakukan pencegahan ini, penulis melakukannya dengan dua cara yaitu dengan IPTables dan MAC Filtering. Cara pertama, yang penulis lakukan adalah konfigurasi pada komputer firewall yang bertindak sebagai gateway sangat diperlukan dalam proses ini, dengan cara memasukan source yang diperoleh dari komputer penyusup seperti alamat IP, alamat MAC, dan protokol yang digunakan dengan menggunakan fitur dari mesin firewall yaitu dengan iptables. Sehingga, yang dihasilkan dari konfigurasi ini adalah penyerang tidak dapat melakukan aktivitas yang sama terhadap komputer target seperti melakukan PING terhadap komputer yang dituju.
untuk mencocokan paket berdasarkan alamat IP sumber. “192.168.0.2” merupakan source dari komputer penyerang yang akan diblokir. “–j DROP” men-drop paket dan menolak untuk diproses lebih lanjut. Cara kedua, selain dengan menggunakan iptables, cara pencegahan yang dilakukan oleh penulis juga dengan menggunakan MAC Filtering yang merupakan fitur dari router access point yang digunakan dalam peneltian ini. Tahapan ini dilakukan dengan mengfokuskan pada alamat MAC yang dimiliki oleh komputer penyerang.
Gambar 4.33 Pemilihan Alamat MAC Peyerang
Gambar 4.34 Alamat MAC Peyerang Yang Sudah Terdaftar Dalam MAC Filtering
Gambar 4.32 Blok Target Dengan IPTables Pada gambar diatas penulis mengisukan sebuah perintah untuk melakukan pemblokiran terhadap komputer penyerang. Penulis menggunakan perintah “iptables –I FORWARD –s 192.168.0.2 –j DROP” yang berjalan pada konsole. “–I” atau Insert digunakan oleh penulis untuk memasukan perintah pada baris chain, perintah akan berada pada posisi rules teratas sehingga proses dapat dijalankan lebih awal. Dapat dilihat dengan menggunakan perintah iptables –L, pada tabel chain FORWARD perintah yang dimasukan tadi terdapat pada awal baris rules. “FORWARD” pada iptables digunakan untuk meneruskan paket dari jaringan eksternal ke dalam jaringan inernal melalui mesin firewall. Perintah ini digunakan karena serangan ini berasal dari luar jaringan yang masuk kedalam jaringan internal melalui mesin firewall. “–s”
Secara otomatis komputer yang memiliki alamat MAC yang sudah didaftarkan pada konfigurasi router tidak dapat lagi terhubung dengan jaringan wireless dan melakukan tindakan-tindakan intrusi. Pencegahan dengan cara ini dilakukan penulis untuk melumpuhkan koneksi penyerang secara total untuk menjaga sumber daya yang terdapat pada komputer target agar dapat selalu terlindungi dari hal-hal yang tidak diharapkan. Ini dapat dilihat dari proses scanning pada mesin sensor akan berhenti, itu menandakan proses pemblokiran terhadap mesin penyerang berhasil dilakukan.
12
Gambar 4.35 Sensor Snort Berhenti Mendeteksi Setelah Serangan Berhasil di Blok Dengan IPTables Gambar 4.39 Grafik Pemenerima Data Serangan Pada Sensor IDS Setelah Diblok Dengan IPTables
Gambar 4.36 Grafik Pengiriman Serangan Dari Penyerang Setelah Dilakukan Pemblokiran Dengan IPTables
Jika salah cara penceegahan yang dilakukan oleh penulis yaitu dengan menggunakan iptables dan MAC Filtering telah dilakukan, maka akan mendapatkan hasil yang dapat dilihat pada gambar 4.36 hingga gambar 4.39. Gambar-gambar tersebut memperlihatkan proses pada mesin sensor yang menggunakan snort berhenti mendeteksi adanya serangan dan grafik yang menunjukan jumlah serangan secara drastis turun karna adanya pencegahan yang dilakukan dengan menggunakan IPTables dan MAC Filtering. 4.6 Manajemen Tahap akhir ini tidak ada tindakan yang dilakukan, sehingga pada skripsi ini tahap yang dilakukan hanya sampai pada tahap monitoring
Gambar 4.37 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
5. PENUTUP Sistem IDS dalam mendeteksi serangan yang terjadi adalah dengan melakukan scanning terhadap sejumlah source dan lalu-lintas yang terjadi didalam jaringan, sehingga seluruh kejadian yang dianggap sah maupun tidak sah dapat dilihat melalui kegiatan monitoring dengan menggunakan aplikasi yang digunakan untuk melakukan pemantauan jaringan, ini dapat dilihat pada gambar 4.15 yang merupakan hasil capture menggunakan Snort. Pertahanan yang digunakan adalah dengan melakukan konfigurasi terhadap router yang bertindak sebagai gateway dengan menggunakan MAC Filtering serta konfigurasi pada mesin firewall dengan menggunakan fitur iptables yang dapat dilihat pada gambar 4.32 dan gambar 4.33. Sistem IDS ini akan memberikan informasi atau peringatan kepada penulis melalui mesin sensor, yang kemudian akan dilalukan analisa terhadap source yang telah diperoleh dan dilakukiannya pencegahan, dapat dilihat pada gambar 4.28.
Gambar 4.38 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
13
6. DAFTAR PUSTAKA [1] Ali Zaki. “Laws And Regulations On Consumer Protection”, Salemba, Jakarta, 1999. [2] ali pangera dan dony ariyus. “sistem operasi”, Andi, Yogyakarta, 2005. [3] Angela Orebaugh,Gilbert Ramirez,Josh Burke and Jay Beale. “Wireshark & Ethereal network protocol analyzer toolkit”, syngress publihing, canada, 2007.
[19] Onno W Purbo. “Buku Pintar Internet TCP/IP”, PT. Alex Media Komputindo, Jakarta, 2007. [20] Rahmat Rafiudin. “Panduan Membangun Jaringan Komputer Untuk Pemula”, PT.elex media komputindo, Jakarta, 2003 [21] Rahmat Rafiudin. “MengupasTuntas Cisco Router”, PT.elex media komputindo, Jakarta, 2003.
[4] Becky Pinkard and Angela Orebaugh. “Nmap in the Enterprise: Your Guide to Network Scanning”, syngress, United State Of America, 2008.
[22] Telkom.net. “Packet-switched”, artikel ini diakses tanggal 23 februari 2010 pada jam 20.07, dari http://www.telkom.net/index.php?option= com_glossary&func=display&letter=P&Itemid=86 &catid=39&page=1
[5] Carl Endorf, Eugene Schultz and Jim Mellander. “Instrusion Detection & Prevention”, Emeryville, California, 2004.
[23] Wahana Komputer. “SPP Menginstal Jaringan Komputer”, PT. Alex Media Komputindo, Jakarta, 2006.
[6] Djon Irwanto. “Membangun Object Oriented Software Dengan Java dan Object Database”, PT Alex media komputindo, Jakarta, 2007.
[24] Wikipedia bahasa Indonesia, ensiklopedia bebas. “Topologi Jaringan”, artikel ini diakses tanggal 23 februari 2010 pada jam 19.24, dari http://clickmusab.blogspot.com/2010/04/perangkatperangkat-wan.html
[7] Dony Ariyus. “Intrusion Detection System”, ANDI, Yogyakarta, 2007. [8] Edhy Sutanta. “Komunikasi Data Dan Jaringan Komputer”, Graham Ilmu, Yogyakarta, 2005. [9] Edi S. Mulyanta. “Pengenalan Protokol Jaringan Wireless Komputer”, ANDI, yogyakarta, 2005. [10] Hendra Wijaya. “Belajar Sendiri : Exchange Server 2007”, PT.elex media komputindo, Jakarta, 2007. [11] Kenneth C Laudon dan Jean P laudon. “Sistem Informasi Manajemen 2 (ed.10)”, salemba empat, jakarta, 2008. [12] Lammle, Todd. “CCNA : Cisco Certified Network Associate Study Guide”, Sybex, Canada, 2007. [13] Lia Kuswayatno. “Mahir Berkomputer”, Grafindo Media Pratama, Jakarta, 2006. [14] Lukas Tanutama. “Jaringan Computer”, PT. Alex Media Komputindo, Jakarta, 1995. [15] Mcreynolds. “Networking Basics CCNA 1 Labs and Study Guide”, cisco systems, india, 2007. [16] Melwin Syafrizal. “Pengantar Jaringan Komputer”, Andi, Yogyakarta, 2005.
[25] Wikipedia bahasa Indonesia, ensiklopedia bebas. “Topologi Jaringan”, artikel ini diakses tanggal 23 februari 2010 pada jam 15:29, dari http://id.wikipedia.org/wiki/Jaringan_komputer
[26] Wikipedia bahasa Indonesia, ensiklopedia bebas. “Analisis”, artikel ini diakses tanggal 24 februari 2010 pada jam 12:24, dari http://id.wikipedia.org/wiki/Analisis [27] Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Circuit switching”, artikel ini diakses tanggal 28 dari April 2010, http://id.wikipedia.org/wiki/Circuit_switching [28] Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Sistem Deteksi Instruksi”, artikel ini diakses tanggal 12 September 2008, dari http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi [29] Wikipedia Bahasa Indonesia, Ensiklopedia Bebas. “Jaringan Komputer”, artikel ini diakses tanggal 23 Mei 2010, dari http://id.wikipedia.org/wiki/Jaringan_komputer [30] Yuni Sare dan P. Citra. “Antropologi SMA/MA Kls XII (Diknas)”, PT. Grasindo, Jakarta, 2006.
[17] Murti Martoyo. “Lahirnya tahun Indonesia untuk ilmu pengetahuan 2005-2006: buku eksklusif”, Lembaga Ilmu Pengetahuan Indonesia,Indonesia, 2005. [18] Naproni. “Seri Penuntun Praktis : Membangun Lan Dengan Windows Xp”, PT.elex media komputindo, Jakarta, 2007.
14
