PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS) SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR SISTEM JARINGAN

PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS) SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR SISTEM JARINGAN (STUDI KASUS : PT. PLN (PERSERO) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

IMAM SUTANTO 205091000057

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA 2010

PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS) SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR SISTEM KEAMANAN JARINGAN (Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

Oleh : Imam Sutanto NIM 205091000057

Skripsi Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer

Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA JAKARTA 2010 M / 1431 H

i

PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS) SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR SISTEM KEAMANAN JARINGAN (Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

Skripsi Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer Pada Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh : Imam Sutanto NIM. 205091000057

Menyetujui, Pembimbing I

Pembimbing II

Wahyudi, S.Si, MT NIP.19760904 200910 1 001

Viva Arifin, MMSI NIP. 19730810 200604 2 001

Mengetahui, Ketua Program Studi Teknik Informatika

Yusuf Durachman, M.Sc, MIT NIP. 19710522 200604 1 002

ii

LEMBAR PENGESAHAN UJIAN

Skripsi yang berjudul ”Penerapan Easy Intrusion Detection System (EASYIDS) Sebagai Pemberi Peringatan Dini Kepada Administrator Sistem Keamanan Jaringan (Studi Kasus : PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang)” telah diuji dan dinyatakan lulus dalam sidang Munaqosyah, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta pada hari Rabu, 23 Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar Sarjana Strata Satu (S1) Jurusan Teknik Informatika.

Jakarta, Juni 2010 Menyetujui, Penguji I

Penguji II

Herlino Nanang, MT NIP. 19731209 200501 1 002

Victor Amrizal, M.Kom NIP. 150411288

Dosen Pembimbing I

Dosen Pembimbing II

Wahyudi, S.Si, MT NIP. 19760904 200910 1 001

Viva Arifin, MMSI NIP. 19730810 200604 2 001 Mengetahui, Dekan Fakultas Sains dan Teknologi

Ketua Prodi Teknik Informatika

Dr. Syopiansyah Jaya Putra, M.Sis NIP. 19680117 200112 1 001

Yusuf Durachman, M.Sc, MIT NIP. 19710522 200604 1 002

iii

LEMBAR PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.

Jakarta, Juni 2010

Imam Sutanto NIM. 205091000057

iv

KATA PENGANTAR

Puji syukur penulis panjatkan kehadirat Allah SWT, karena berkat rahmat dah

ridhonyalah

penulis

dapat

menyelesaikan

Skripsi

yang

berjudul

Pengembangan Intruder Detection System (IDS) Sebagai Solusi Keamanan Jaringan (Studi Kasus : PT.PLN (Persero) Distribusi Jakarta Raya dan Tangerang). Skripsi ini penulis ajukan untuk memenuhi salah satu syarat mata kuliah program studi S1 Teknik Informatika Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta. Pada kesempatan ini, penulis ingin mengucapkan terima kasih sebesarbesarnya atas bimbingan dan pengarahan yang diberikan pada penulis selama menyusun skripsi ini. Oleh karena itu, izinkanlah penulis menyampaikan ucapan terima kasih kepada : 1. Bapak Dr.Syopiansyah Jayaputra, M.Sis, Dekan Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta. 2. Bapak Yusuf Durachman, M.Sc, MIT selaku ketua Program Studi Teknik Informatika Fakultas Sains dan Teknologi. 3. Ibu Viva Arifin, MMSI, selaku dosen Pembimbing I sekaligus selaku Koordinator Teknis Non Reguler karena beliaulah penulis dapat menyelesaikan skripsi ini dengan sebagaimana mestinya yang telah banyak membantu dan membimbing penulis dalam mengerjakan skripsi ini.

vi

4. Bapak Wahyudi, S.Si, MT, selaku dosen pembimbing II yang juga banyak membantu dan membimbing penulis dalam menyusun dan mengerjakan skripsi ini. 5. Seluruh dosen, staff akademik TI/SI dan karyawan Universitas Islam Negeri Syarif Hidayatullah Jakarta Fakultas Sains dan Teknologi. 6. Kepada kedua orangtua dan kedua kakak saya yaitu Hary Nughroho dan Gatot Sujianto yang telah memberikan banyak dukungan kepada penulis. Terima kasih atas doa, kasih sayang dan dukungannya. 7. Teman-teman TI/SI diantaranya Uswatun Hasanah, Dian Puspita Sari, Nurmalia, Rosa Rachtyani, Husin, Firman Hairulansa, Ihsandy, Julfi Rizona, Syahroni, Hasnul Arief, Syaifurrahman, Irma Yuliawati, dan kepada badrotul muniroh yang selalu berdoa, memberi inspirasi, dorongan, semangat, waktu, bantuan segala hal dan kasih buat penulis. 8. Kepada semua pihak yang telah membantu penyusunan skripsi ini yang tidak dapat penulis sebutkan satu-persatu. Penulis menyadari bahwa sebagai manusia tidak dapat luput dari kesalahan dan kekurangan sehingga masih jauh dari sempurna sehingga segala saran dan kritik akan sangat membangun demi kesempurnaan skripsi ini. Jakarta, 23 Juni 2010 Penulis

Imam Sutanto

vii

DAFTAR ISI

Halaman Judul .................................................................................................. i Lembar pengesahan Pembimbing ..................................................................... ii Lembar pengesahan Ujian ................................................................................. iii Pernyataan ......................................................................................................... iv Abstrak .............................................................................................................. v Kata Pengantar .................................................................................................. vi Daftar Isi ........................................................................................................... viii Daftar Gambar .................................................................................................. xiv Daftar Tabel ...................................................................................................... xvii Daftar Istilah ..................................................................................................... xviii

BAB I

PENDAHULUAN 1.1

Latar belakang ........................................................................... 1

1.2

Rumusan Masalah ..................................................................... 3

1.3

Batasan Masalah ....................................................................... 4

1.4

Tujuan dan Manfaat Penelitian ................................................. 4 1.4.1 Tujuan ............................................................................. 4 1.4.2 Manfaat ........................................................................... 5

1.5

Metodologi Penelitian ............................................................... 6

viii

1.6

Sistematika Penulisan ............................................................... 7

BAB II LANDASAN TEORI 2.1

Pengertian Penerapan EasyIDS, Peringatan Dini, Administrator Sistem, Jaringan, Keamanan Jaringan ................................................................... 9

2.2

Model Referensi TCP/IP ........................................................... 10

2.3

User Datagram Protocol ............................................................ 11

2.4

Jenis Serangan ........................................................................... 11 2.4.1 Port Scanning ................................................................ 11 2.4.2 Teardrop ........................................................................ 12 2.4.3 Spoofing ........................................................................ 13 2.4.4 Land Attack ................................................................... 16 2.4.5 Smurf Attack.................................................................. 16 2.4.6 UDP Flood .................................................................... 17 2.4.7 Packet Interception ........................................................ 17 2.4.8 ICMP Flood .................................................................. 18 2.4.9 Traceroute ..................................................................... 19

2.5

Tujuan Keamanan Komputer .................................................... 19

2.6

Access Control .......................................................................... 20

2.7

Definisi Firewall ....................................................................... 21

ix

2.7.1 Karakteristik Firewall ................................................... 21 2.7.2 Jenis-jenis Firewall ........................................................ 22 2.7.3 Firewall Check Point atau Firewall-1 ............................ 24 2.8

Intrusion Detection System ....................................................... 25

2.9

Intrusion Prevention System ..................................................... 26

2.10 Skema Analisis IDS dan IPS .................................................... 31 2.11 Prinsip Kerja IDS Pada Jaringan Internal ................................. 32 2.11.1 Memonitor Akses Database .......................................... 32 2.11.2 Melindungi E-mail Server ............................................. 34 2.11.3 Memonitor Policy Security ........................................... 34 2.12 Tujuan Penggunaan IDS ........................................................... 35 2.12.1 Tipe Intrusion Detection System (IDS) ........................ 37 2.12.1.1 Host-Based ..................................................... 41 2.12.1.2 Network-Based .............................................. 44 2.12.1.3 Distrubusi Intrusion Detection System ............................................................ 50 2.12.1.4 Hibrid Intrusion Detection System ................ 51 2.12.1.5 Skema Analisis IDS ....................................... 53 2.13 Snort .......................................................................................... 54 2.13.1 Fitur-fitur Snort ............................................................. 55 2.13.2 Komponen Snort ........................................................... 56

x

BAB III METODOLOGI PENELITIAN 3.1

Metode Pengumpulan Data ....................................................... 59 3.1.1 Studi Lapangan / Observasi .......................................... 59 3.1.2 Studi Pustaka atau Literatur .......................................... 60 3.1.3 Wawancara .................................................................... 61

3.2

Metode Pengembangan Sistem NDLC ..................................... 62 3.2.1 Analysis ......................................................................... 63 3.2.2 Design ........................................................................... 63 3.2.3 Simulation Prototype .................................................... 64 3.2.4 Implementation ............................................................. 64 3.2.5 Monitoring .................................................................... 64 3.2.6 Management .................................................................. 65

BAB IV HASIL DAN PEMBAHASAN 4.1

Sejarah Singkat Berdirinya PT. PLN ........................................ 67

4.2

Struktur Organisasi PT. PLN .................................................... 72

4.3

Visi dan Misi PT. PLN .............................................................. 73

4.4

Tujuan dan Sasaran PT. PLN .................................................... 73

4.5

Selayang Pandang ..................................................................... 74

4.6

Sekilas Tentang Teknologi PT. PLN ........................................ 77

4.7

Sistem Jaringan di PT. PLN ...................................................... 78

xi

4.8

Data PT. PLN ............................................................................ 78

4.9

Peta Wilayah PT. PLN .............................................................. 79

4.10 Infrakstruktur Sistem Teknologi Informasi .............................. 80 4.11 Analysis ..................................................................................... 81 4.11.1 Identify .......................................................................... 82 4.11.2 Understand .................................................................... 83 4.11.3 Analyze ......................................................................... 83 4.11.4 Report ............................................................................ 85 4.12 Design ....................................................................................... 87 4.12.1 Perancangan Topologi .................................................. 88 4.12.2 Perancangan Sistem ...................................................... 90 4.13 Simulation Prototype ................................................................ 91 4.14 Implementation ......................................................................... 92 4.14.1 Implementasi Sistem Operasi ....................................... 92 4.14.2 Impelementasi dan Konfigurasi Mesin Sensor ............. 99 4.15 Impelementation BASE ............................................................. 109 4.16 Monitoring ................................................................................. 110 4.16.1 Pengujian Fungsionalitas Komponen IDS .................... 111 4.16.2 Analisa Data BASE ....................................................... 114 4.16.3 Solusi Mengatasi Serangan Ping Attack dan Port Scanning ......................................................... 119

xii

4.17 Management ............................................................................... 128

BAB V PENUTUP 5.1 Kesimpulan .................................................................................. 130 5.2 Saran ............................................................................................ 131

DAFTAR PUSTAKA ...................................................................................... 132 LAMPIRAN-LAMPIRAN

xiii

DAFTAR GAMBAR

Gambar 2.1

Standar Proses IPS .................................................................... 30

Gambar 2.2

Hubungan Antara Aktivitas Jaringan Baseline dan Anomalous ................................................................................ 32

Gambar 2.3

Host-Based IDS ........................................................................ 41

Gambar 2.4

Network-Based IDS .................................................................. 45

Gambar 2.5

Distribusi Intrusion Detection System ...................................... 51

Gambar 3.1

Tahapan NDLC ......................................................................... 62

Gambar 3.2

Diagram Metode Penelitian ...................................................... 66

Gambar 4.1

Struktur Organisasi PT. PLN .................................................... 72

Gambar 4.2

Peta Wilayah PT. PLN .............................................................. 79

Gambar 4.3

Struktur Organisasi Bidang Perencanaan .................................. 80

Gambar 4.4

Topologi Jaringan Sebelumnya ................................................. 88

Gambar 4.5

Topologi Jaringan yang Diusulkan ........................................... 89

Gambar 4.6

Proses Instalasi Sistem Operasi EasyIDS ................................. 93

Gambar 4.7

Jenis Keyboard .......................................................................... 94

Gambar 4.8

Root Password dibutuhkan Saat Login Mesin Sensor .............. 94

Gambar 4.9

Setting Time Zone ..................................................................... 95

Gambar 4.10 Format Harddisk ....................................................................... 96 Gambar 4.11 Package Installation .................................................................. 96

xiv

Gambar 4.12 Instalasi Snort ............................................................................ 97 Gambar 4.13 Ekstrak Rule Snort .................................................................... 98 Gambar 4.14 Login Mesin Sensor IDS ........................................................... 98 Gambar 4.15 Setelah Login Mesin Sensor EassyIDS ..................................... 99 Gambar 4.16 Tampilan Login Web Based ke Mesin Sensor .......................... 100 Gambar 4.17 Tampilan Welcome EasyIDS .................................................... 101 Gambar 4.18 Tampilan Change Password MySQL ........................................ 102 Gambar 4.19 Tampilan Setelah Passwords Dimasukkan ............................... 102 Gambar 4.20 Tampilan Awal EasyIDS Berbasis Web GUI ........................... 103 Gambar 4.21 Snort Configuration .................................................................. 104 Gambar 4.22 Snort Network Settings ............................................................. 104 Gambar 4.23 Snort Rule Updates ................................................................... 105 Gambar 4.24 Notify Settings .......................................................................... 106 Gambar 4.25 Snort Rulesets ........................................................................... 107 Gambar 4.26 Systems Status .......................................................................... 108 Gambar 4.27 System Information ................................................................... 109 Gambar 4.28 Tampilan Halaman BASE ......................................................... 110 Gambar 4.29 Ping Attack ................................................................................ 112 Gambar 4.30 Ujicoba Nmap Client ke Mesin Sensor IDS ............................. 113 Gambar 4.31 Halaman Utama BASE ............................................................. 114 Gambar 4.32 Diagram Batang Berdasarkan Time dan Jumlah Alert ............ 116

xv

Gambar 4.33 Tampilan Daftar Alert Berdasarkan Protokol TCP ................... 117 Gambar 4.34 Detail Profile Traffic Alert ........................................................ 119 Gambar 4.35 Memblok Client Dalam Melakukan Ping Attack ...................... 120 Gambar 4.36 Nmap Pada Mesin Client .......................................................... 121 Gambar 4.37 Grafik Dropped Packet dan Alert Per Second Snort ................. 122 Gambar 4.38 Grafik Mbits Per Second dan Kpackets Per Second Snort ....... 123 Gambar 4.39 Grafik SYN+SYN/ACK Packet Session Event Snort .............. 124 Gambar 4.40 Grafik Open Session dan Stream Event .................................... 125 Gambar 4.41 Grafik Frag Event dan Average Byte Per Packet ...................... 126 Gambar 4.42 Grafik Sistem ............................................................................ 127 Gambar 4.43 Network Graphs ........................................................................ 128

xvi

DAFTAR TABEL

Tabel 2.1 Point dan Jenis Serangan ................................................................ 19 Tabel 2.2 Perbedaan IDS dan IPS ................................................................... 30 Tabel 2.3 Perbedaan NIDS dan HIDS ............................................................ 50 Tabel 3.1 Studi Literatur ................................................................................. 60 Tabel 4.1 Spesifikasi Sistem Yang Akan Dibangun ....................................... 85 Tabel 4.2 Spesifikasi Perangkat Lunak (Software) ......................................... 86 Tabel 4.3 Spesifikasi Perangkat Keras (Hardware) ........................................ 87 Tabel 4.4 Komponen Sistem ........................................................................... 91

xvii

DAFTAR ISTILAH

BASE

: Suatu aplikasi berbasis web based untuk monitoring dan analisis alert.

Detection Engine

: Menggunakan detection plugins, jika ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan.

Decoder

: Sesuai dengan paket yang di capture dalam

bentuk

struktur

data

dan

melakukan identifikasi protokol, decode IP dan kemudian TCP atau UDP tergantung informasi yang dibutuhkan Distribusi IDS

: Mengatur atau arsitekstur probe dengan menggunakan lebih dari satu NIDS.

Global Section

: Mengizinkan untuk mapping file untuk IIS Unicode, Configure alert untuk proxy server dengan proxy_alert (jika menggunakan

proxy

server)

atau

konfigurasi deteksi lalu-lintas HTTP pada

nonauthorized

port

dengan

menggunakan detect_anomalous_traffic. Host Based IDS

: Mendeteksi serangan yang tidak dapat dikenali oleh network-based IDS.

Host-Target Co-Location

: IDS yang dijalankan pada sistem yang akan di lindungi. xviii

Host-Target Separation

: IDS diletakkan pada komputer yang berbeda dengan yang akan di lindungi.

Hibrid IDS

: Solusi network-base dan host-based IDS yang memliki keunggulan dan manfaat yang saling berbeda.

Inline Mode

: Snort membaca, menganalisis traffic, logging dan berinteraksi dengan firewall untuk memblok traffic intrusi memicu.

Intruder

: Orang yang melakukan penyusupan

Network Based IDS

: Menampilkan

network

traffic

untuk

beragam sistem yang akan diamati sehingga sistem ini tidak memerlukan perangkat lunak untuk digunakan dan diatur pada banyak host. Network intrusion detection mode

: Snort membaca dan menganalisis traffic menggunakan ruleset/signatures untuk mendeteksi

aktivitas

intrusi

dan

melakukan logging aktivitas sensor. Nmap

: Program untuk melakukan uji coba port scanning.

Output Plugins

: Merupakan suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa di akses dengan berbagai cara, seperti console, exteren files, database dan sebagainya. xix

Packet Logger Mode

: Snort membaca traffic dan melakukan logging (pencatatan dan penyimpanan) aktivitas sensor.

Pre Processors

: Suatu jaringan yang mengindentifikasi berbagai hal yang harus diperiksa seperti Detection Engine.

Rules Files

: Merupakan suatu file teks yang berisi daftar aturan yang sintaksnya sudah diketahui. Sintaks ini meliputi protocol, address, output plugins dan hal-hal yang berhubungan dengan berbagai hal. Rules file akan selalu diperbaharui setiap ada kejadian di dunia maya.

Server Section

: Mengizinkan untuk setting HTTP server profiles yang berbeda untuk beberapa server yang berbeda. Konfigurasi tipe serangan

dan

menormalisasikan

berdasarkan server yang ada. Sniffer Mode

: Snort membaca traffic atau paket-paket yang berada di dalam sistem jaringan dan menampilkan ke layar console.

Snort

: Suatu perangkat lunak untuk mendeteksi penyusup

dan

mampu

menganalisis

paket yang melintas jaringan secara real time traffic dan logging ke dalam database

serta

mampu

mendeteksi

berbagai serangan yang berasal dari luar jaringan. xx

BAB I PENDAHULUAN

1.1 Latar Belakang Keamanan jaringan komputer sebagai bagian dari sebuah sistem sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak. Sistem pertahanan terhadap aktivitas gangguan saat ini umumnya

dilakukan

secara

manual

oleh

administrator.

Hal

ini

mengakibatkan integritas sistem bergantung pada ketersediaan dan kecepatan administrator dalam merespons gangguan. Apabila gangguan tersebut berhasil membuat suatu jaringan mengalami malfungsi, administrator tidak dapat lagi mengakses sistem secara remote sehingga ia tidak akan dapat melakukan pemulihan sistem dengan cepat. Intrusion Detection System (IDS) adalah suatu perangkat lunak (software) atau suatu sistem perangkat keras (hardware) yang bekerja secara otomatis untuk memonitor kejadian pada jaringan komputer dan dapat menganalisis masalah keamanan jaringan. Serangan yang terjadi terhadap jaringan komputer selalu meningkat pada infrakstruktur keamanan perusahaan dan organisasi yang menggunakan komputer sebagai alat bantu untuk menyelesaikan pekerjaan. Bagaimana mendeteksi intruder yang menyerang suatu jaringan, serta bagaimana

1

2

mengatur Intrusion Detection System yang berfungsi sebagai level keamanan di tingkat aplikasi setelah suatu paket melewati suatu firewall. Deteksi penyusup adalah aktivitas untuk mendeteksi penyusup secara cepat dengan menggunakan program khusus yang otomatis dan real-time respons. (Ariyus, 2007). PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang merupakan salah satu Perusahaan milik Negara yang bergerak di bidang penjualan tenaga listrik dan pelayanan pelanggan dalam melayani pelanggan diwilayah DKI Jakarta, Kotamadya Tangerang, Kabupaten Tangerang. PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang saat ini sistem jaringan pada kantor distribusi Gambir sering terjadinya serangan dari pihak dalam (internal) yaitu serangan DDos attack. Dimana PC Router hanya dapat melihat paket apa saja yang lewat, tetapi tidak dapat mengenali jenis serangan jika terjadi serangan atau adanya suatu intruder dari pihak dalam maupun luar. Pada saat terjadi serangan administrator sistem jaringan hanya mengandalkan berupa log-log file PC Router dan firewall. Log-log file tersebut berupa text. Disinilah fungsi EasyIDS (Easy Intrusion Detection System) dibutuhkan. EasyIDS (Easy Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika terjadi serangan atau kegiatan-kegiatan yang mencurigakan pada jaringan, maka EasyIDS akan memberikan alert (peringatan) kepada administrator sistem jaringan.

3

Dengan demikian, pengamanan sistem firewall dan EasyIDS sangat diperlukan bagi PT. PLN Persero Distibusi Jakarta Raya dan Tangerang untuk mendeteksi adanya penyusup baik dari dalam maupun luar, karena itu dibutuhkan sistem pendeteksi, sistem yang secara intensif dapat mendeteksi terjadinya aktivitas intrusi terhadap sumber daya perusahaan. Berdasarkan hal-hal tersebut, maka penulis tertarik mengambil topik penulisan dengan judul Penerapan EASYIDS Sebagai Pemberi Peringatan Dini Kepada Administrator Sistem Jaringan (Studi Kasus : PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang).

1.2 Rumusan Masalah Atas dasar Latar belakang dikemukakan diatas, maka rumusan masalah yang di bahas untuk Skripsi ini adalah : 1. Bagaimana melakukan konfigurasi EasyIDS, sehingga EasyIDS yang dapat mendeteksi adanya intrusi (penyusup) pada firewall. 2. Bagaimana menerapkan EasyIDS sehingga dapat bekerjasama dengan firewall dalam melakukan monitoring jaringan dari serangan pihak dalam dan luar.

4

1.3 Batasan Masalah Sesuai dengan inti dari penulisan skripsi maka penulis akan membatasi ruang lingkup agar penelitian lebih terarah. Dengan demikian permasalahan penelitian ini dibatasi pada : 1. Menggunakan software open source yaitu EasyIDS. 2. Pengguna EasyIDS adalah administrator jaringan. 3. Peringatan dini untuk administrator jaringan dalam bentuk berbasis web GUI (Grafic User Interface). 4. Sistem operasi yang digunakan untuk mesin sensor adalah Centos. 5. Hasil diperlihatkan dalam bentuk diagram batang (chart).

1.4 Tujuan dan Manfaat Penelitian 1.4.1 Tujuan Penerapan EasyIDS yang digunakan agar dapat memberikan alert (peringatan) kepada administrator sistem jaringan dalam mengetahui adanya suatu intruder dari sistem jaringan PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang.

5

1.4.2 Manfaat a. Bagi Mahasiswa : 1. Mahasiswa

mampu menerapkan

EasyIDS (easy

intrusion

detection system) dalam meningkatkan kualitas aspek sistem keamanan jaringan komputer. 2. Memperluas wawasan dan memperdalam pemahaman penulis terhadap penggunaan sistem operasi berbasis Unix yaitu Centos dan Windows serta pemanfaatan program keamanan jaringan berbasis open source. 3. Menerapkan ilmu yang pernah di dapat penulis di perkuliahan. b. Bagi Institusi Perguruan Tinggi 1. Sebagai sarana pengenalan, perkembangan ilmu pengetahuan dan teknologi dan khususnya jurusan Teknik Informatika konsentrasi Networking di Universitas Islam Negeri Syarif Hidayatullah Jakarta. 2. Sebagai bahan masukan dan evaluasi program Teknik Informatika di Universitas Islam Negeri Syarif Hidayatullah Jakarta untuk menghasilkan tenaga-tenaga terampil sesuai dengan kebutuhan. c. Bagi Perusahaan Dengan dapat memanfaatkan fasilitas yang ada pada EasyIDS untuk diterapkan sebagai pemberi peringatan dini kepada

6

administrator jaringan sehingga dapat mengetahui sekiranya ada penyusup.

1.5 Metodologi Penelitian Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. Berikut penjelasan kedua metode tersebut : 1. Metode Pengumpulan data Merupakan metode yang digunakan penulis dalam melakukan analisis data dan menjadikannya informasi yang akan digunakan untuk mengetahui permasalahan yang dihadapi. a. Studi Lapangan Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi. b. Wawancara Metode pengumpulan data dengan melakukan wawancara adalah proses memperoleh keterangan untuk tujuan penelitian dengan cara tanya jawab, sambil bertatap muka antara si penanya atau pewawancara dengan si penjawab atau responden.

7

c. Studi Pustaka atau literatur Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan. 2. Metode

Pengembangan

Sistem

menggunakan

NDLC

(Network

Development Life Cycle). a. Analysis b. Design c. Simulation Prototyping d. Implementation e. Monitoring f. Management

1.6 SISTEMATIKA PENULISAN Dalam penyusunan tugas akhir ini, penulis mensajikan dalam 5 bab yang digambarkan sebagai berikut :

BAB I

PENDAHULUAN Pada bab ini akan diuraikan tentang Latar Belakang, Permasalahan, Tujuan dan Manfaat Penelitian, Metodologi Penelitian, Sistematika Penulisan laporan penelitian skripsi.

BAB II

LANDASAN TEORI Pada bab ini akan diuraikan secara singkat teori yang mendukung penyusunan dan penulisan tugas akhir ini.

8

BAB III METODOLOGI PENELITIAN Pada bab ini akan dibahas mengenai pemaparan metode yang penulis pakai dalam pencarian data maupun pengembangan sistem yang dilakukan pada penelitian. BAB IV ANALISIS DAN PEMBAHASAN Pada bab ini akan membahas mengenai penerapan dan pengujian sistem IDS (Intrusion Detection System) dalam mengatasi adanya intruder. BAB V

KESIMPULAN DAN SARAN Pada bab ini penulis memberikan kesimpulan dari apa yang telah dibahas dalam bab-bab sebelumnya dan memberikan saran untuk pengembangan yang lebih baik lagi.

BAB II LANDASAN TEORI

2.1 Pengertian Penerapan, EasyIDS, Peringatan Dini, Administrator Sistem Jaringan dan Keamanan Jaringan Penerapan adalah proses, cara, perbuatan untuk menerapkan. (KBBI, 2008). EasyIDS adalah sistem deteksi intrusi yang mudah untuk diinstal dan dikonfigurasi untuk Snort. Berdasarkan panduan instalasi Patrick Harper's Snort dan dimodelkan setelah instalasi cd trixbox, EasyIDS dirancang untuk keamanan jaringan Linux pemula dengan pengalaman minimal. (Patrick, 2009). Peringatan adalah nasihat untuk memperingatkan, sesuatu yang dipakai memperingati, catatan. (KBBI, 2008). Sedangkan dini adalah awal, lekas, diagnosis. Jadi Peringatan dini adalah suatu peringatan/catatan yang dipakai untuk memperingatkan adanya kesalahan yang lebih awal. Administrator Sistem Jaringan adalah orang atau tim yang bertanggung jawab dalam administrasi dan pengelolaan sistem level pada level root. Untuk lingkungan workstation tunggal, penggunanya adalah juga sistem administrator dari workstation tersebut pada saat bekerja pada level root. Seorang administrator dapat juga disebut sebagai sistem manajer atau sistem programmer. (Doss, 2000). Sedangkan Keamanan jaringan secara umum adalah komputer yang terhubung ke network, mempunyai ancaman

9

10

keamanan lebih besar daripada komputer yang tidak terhubung ke manamana. (Ariyus, 2007)

2.2 Model Referensi TCP/IP TCP/IP adalah singkatan dari Transmission Control Protocol/Internet Protocol. Meskipun TCP/IP baru-baru ini saja menjadi protocol standard, namun umumnya telah lebih dari 20 tahun, digunakan pertama kali untuk menghubungkan komputer-komputer pemerintah (USA) dan sekarang telah menjadi dasar bagi internet, jaringan terbesar dari jaringan komputer diseluruh dunia. Pada saat ini, TCP/IP memiliki keunggulan sehubungan dengan kompatibilitasnya dengan beragam perangkat keras dan sistem operasi. Tugas utama TCP adalah menerima pesan elektronik dengan panjang sembarang dan membaginya ke dalam bagian-bagian, maka perangkat lunak yang mengontrol komunikasi jaringan dapat mengirim tiap bagian dan menyerahkan ke prosedur pemeriksaan bagian demi bagian. Apabila suatu bagian mengalami kerusakan selama transmisi, maka program pengirim hanya perlu mengulang transmisi bagian itu dan tidak perlu mengulang dari awal. Sedangkan

Internet

Protocol

(IP)

mengambil

bagian-bagian,

memeriksa ketepatan bagian-bagian, mengalamatkan ke sasaran yang dituju dan memastikan apakah bagian-bagian tersebut sudah dikirim dengan urutan

11

yang benar. IP memiliki informasi tentang berbagai skema pengalamatan yang berbeda-beda. (Wahana, 2003).

2.3 User Datagram Protocol (UDP) Menurut Ariyus (2007). Sebagai tambah dari TCP, terdapat satu protocol level transport lain yang umum digunakan sebagai bagian dari suite protocol TCP/IP yang disebut dengan User Datagram Protocol (UDP). UDP menyediakan layanan nirkoneksi untuk prosedur-prosedur pada level aplikasi. Pada dasarnya UDP merupakan suatu layanan protokol yang kurang bisa diandalkan karena kurang memberikan perlindungan dalam pengiriman dan duplikasi data. Datagram merupakan suatu paket switching, sebuah paket yang terpisah-pisah dari paket lain yang membawa informasi yang memadai untuk routing dari Data Terminal Equipment (DTE) sumber ke DTE tujuan tanpa harus menetapkan koneksi antara DTE dan jaringan.

2.4 Jenis Serangan Menurut Ariyus (2007). Jenis dan serangan yang mengganggu jaringan komputer beraneka macam. Serangan-serangan yang terjadi pada sistem komputer di antaranya adalah : 2.4.1 Port Scanning : merupakan suatu proses untuk mencari dan membuka port pada suatu jaringan komputer. Dari hasil scanning akan didapat

12

letak kelemahan sistem tersebut. Pada dasarnya sistem port scanning mudah untuk dideteksi, tetapi penyerang akan menggunakan berbagai metode untuk menyembunyikan serangan. Sebagai contoh, banyak jaringan tidak membuat file log koneksi, sehingga penyerang dapat mengirimkan initial packet dengan suatu SYN tetapi tidak ada ACK, dan mendapatkan respons kembali (selain SYN jika suatu port terbuka) dan kemudian berhenti di port tersebut. Hal ini sering disebut dengan SYN scan atau half open scan. Walaupun tidak mendapatkan log, sebagai contoh, mungkin akan berakhir sebagai serangan denial service attack pada host atau device lain yang terhubung dengan jaringan atau port untuk koneksi terbuka. Penyerang akan mengirimkan paket lain pada port yang masih belum ada pada jaringan tersebut tetapi tidak terjadi respons apapun pada file log, kesalahan file atau device lainnya. Beberapa kombinasi dari flag selain SYN dengan sendirinya dapat di gunakan untuk tujuan port scanning. Berbagai kemungkinan yang kadang disebut dengan Christmas tree (beberapa jaringan decive menampilkan option seperti Christmas tree) dan null yang akan memberikan efek kepada jaringan TCP/IP, sehingga protokol TCP/IP akan mengalami down (out of service), banyak tool yang ada yang bisa membuat suatu protokol TCP/IP menjadi crash atau tidak bisa berfungsi sebagaimana mestinya. 2.4.2 Teardrop : merupakan suatu teknik yang dikembangkan dengan mengeksploitasi proses disassembly-reassembly paket data. Dalam

13

jaringan internet seringkali data harus dipotong kecil-kecil untuk menjamin reliabilitas dan proses multiple akses jaringan. Potongan paket data ini kadang harus dipotong ulang menjadi lebih kecil lagi pada saat disalurkan melalui saluran Wide Area Network (WAN) agar pada saat melalui saluran WAN tidak reliable maka proses pengiriman data itu menjadi reliable. Pada proses pemotongan data paket yang normal, setiap potongan diberi informasi offset data yang kira-kira berbunyi ”potongan paket ini merupakan potongan 600 byte dari total 800 byte paket yang dikirim”. Program teardrop akan memanipulasi offset potongan data sehingga akhirnya terjadi overlapping antara paket yang diterima di bagian penerima setelah potongan-potongan paket

ini

disassembly-reassembly.

Seringkali

overlapping

ini

menimbulkan sistem yang crash, hang dan reboot diujung sebelah sana. 2.4.3 Spoofing : adalah suatu serangan teknis yang rumit yang terdiri dari beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja dengan menipu komputer, seolah-olah yang menggunakan komputer tersebut adalah orang lain. Hal ini terjadi karena design flaw (salah rancang). Lubang keamanan yang dapat dikategorikan ke dalam kesalahan desain adalah desain urutan nomor (sequence numbering) dari paket TCP/IP. Kesalahan ini dapat dieksploitasi sehingga timbul masalah.

14

IP Spoofing melakukan aktivitasnya dengan menulis ke raw socket. Program dapat mengisi header field dari suatu paket IP apapun yang diingini. Dalam sistem linux, user yang melakukan proses ini memerlukan ijin dari root. Karena routing hanya berdasarkan IP destination address (tujuan), maka IP source address (alamat IP sumber) dapat diganti dengan alamat apa saja. Dalam beberapa kasus, attacker menggunakan satu IP source address yang spesifik pada semua paket IP yang keluar untuk membuat semua pengembalian paket IP dan ICMP message ke pemilik address tersebut untuk menyembunyikan lokasi mereka pada jaringan. Pada bahasan Smurf: ICMP Flood memperlihatkan serangan dengan menggunakan IP spoofing untuk membanjiri korban dengan ECHO REQUEST. Filterisasi yang ditempatkan pada router dapat mengeliminasi secara efektif IP Spoofing. Router mencocokkan IP source address dari masing-masing paket keluar terhadap IP address yang ditetapkan. Jika IP source address ditemukan tidak cocok, paket dihilangkan. Sebagai contoh, router di MIT, rute paket keluar hanya dari IP source address dari subnet 18.0.0.0/8. Walaupun IP Spoofing adalah suatu senjata bagi attacker untuk melakukan penyerangan, dalam banyak kasus penggunaan IP spoofing ini oleh attacker hanya sebatas dalam pemakaian sementara IP address tersebut. Banyak attacker dilibatkan dalam suatu serangan, masing-masing operasi dari jaringan yang berbeda, sehingga kebutuhan IP spoofing menjadi berkurang.

15

Filterisasi Ingress dan Egress membuat seorang attacker lebih sulit melakukan serangan, walaupun cara ini belum menjamin dapat mengatasi IP spoofing. Sebuah host memalsukan diri seolah-olah menjadi host lain dengan membuat paket palsu setelah mengamati urutan paket dari host yang hendak di serang. Bahkan dengan mengamati cara mengurutkan nomor paket bisa dikenali sistem yang digunakan. Ada tiga jawaban yang tidak dipedulikan oleh penyerang pada kasus IP spoofing ke anataran adalah : 1. Penyerang bisa menginterupsi jawaban dari komputer yang dituju : Jika suatu penyerang pada suatu tempat ke antara jaringan yang dituju dengan jaringan yang dipakai penyerang, dengan ini penyerang akan bisa melihat jawaban yang dari komunikasi suatu jaringan tanpa diketahui oleh orang lain. Hal ini merupakan dasar dari hijacking attack. 2. Penyerang tidak harus melihat jawaban dari komputer yang dituju : Penyerang kadang-kadang tidak begitu memperdulikan jawaban apa yang diberikan suatu komputer korban. Penyerang bisa membuat perubahan

yang

diinginkan

dari

komputer

korban

tanpa

memperdulikan jawaban atau tanggapan dari jaringan tersebut. 3. Penyerang tidak ingin jawaban, dan pokok dari suatu serangan untuk membuat jawaban ke tempat lain : Beberapa serangan bisa

16

membuat respons yang diberikan tidak masuk ke komputer penyerang. Hal ini penyerang tidak ingin tahu respons apa yang diberikan oleh komputer korban. Jadi respons atau jawaban akan dikirim secara otomatis ke komputer lain sehingga penyerang bisa dengan leluasa menjalankan misinya karena penyerang yang dikenal oleh komputer korban adalah komputer lain. 2.4.4 Land

Attack

:

merupakan

serangan

kepada

sistem

dengan

menggunakan program yang bernama land. Apabila serangan yang ditujukan pada sistem Windows 95, maka sistem yang tidak diproteksi akan menjadi hang (dan bisa keluar layar biru). Demikian pula apabila serangan diarahkan ke beberapa jenis UNIX versi lama, maka sistem akan hang. Jika serangan diarahkan ke sistem Windows NT, maka sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk beberapa saat sehingga sistem seperti macet. Dapat dibayangkan apabila hal ini dilakukan secara berulang-ulang. Serangan land ini membutuhkan nomor IP dan nomor port dari server yang dituju. Untuk sistem berbasis Windows, port 139 merupakan jalan masuknya serangan. 2.4.5 Smurf Attack : Serangan jenis ini biasanya dilakukan dengan menggunakan IP spoofing, yaitu mengubah nomor IP dari datangnya request. Dengan menggunakan IP spoofing, respons dari ping tadi di alamatkan ke komputer yang IP-nya di-spoof. Akibatnya, komputer tersebut akan menerima banyak paket. Hal ini dapat mengakibatkan

17

pemborosan penggunaan (bandwidth) jaringan yang menghubungkan komputer tersebut. 2.4.6 UDP Flood : Pada dasarnya mengaitkan dua sistem tanpa di sadari. Dengan cara spoofing, User Datagram Protocol (UDP) flood attack akan menempel pada servis UDP chargen disalah satu mesin, yang untuk keperluan “percobaan” akan megirimkan sekelompok karakter ke mesin lain, yang diprogram untuk meng-echo setiap kiriman karakter yang diterima melalui servis chargen. Karena paket UDP tersebut dispoofing diantara kedua mesin tersebut maka yang terjadi adalah banjir tanpa henti kiriman karakter yang tidak berguna di antara kedua mesin tersebut. Untuk menanggulangi UDP flood, dapat mendisable semua servis UDP disemua mesin jaringan, atau yang lebih mudah adalah dengan memfilter pada firewall semua servis UDP yang masuk. 2.4.7 Packet Interception : Membaca suatu paket disaat paket tersebut dalam perjalanan disebut dengan packet sniffing. Ini adalah suatu cara penyerang untuk mendapatkan informasi yang ada didalam paket tersebut. Ada baiknya suatu paket yang akan dikirim di enkripsi terlebih dahulu sehingga penyerang mengalami kesulitan untuk membuka paket tersebut. Untuk dapat membaca suatu paket yang sedang lewat suatu jaringan, penyerang berusaha untuk mendapatkan paket yang diinginkan dengan berbagai cara. Yang paling mudah bagi penyerang adalah dengan mendapatkan kontrol lalu-lintas jaringan,

18

bisa dengan menggunakan tool yang disediakan untuk melakukan serangan yang banyak tersedia diinternet. Tool ini akan mencari dan dengan mudah memanfaatkan kelemahan dari protokol yang ada. 2.4.8 ICMP Flood : Seorang penyerang melakukan eksploitasi sistem dengan tujuan untuk membuat suatu target host menjadi hang, yang disebabkan oleh pengiriman sejumlah paket yang besar ke arah target host. Exploting sistem ini dilakukan dengan mengirimkan suatu command ping dengan tujuan broadcast atau multicast dimana si pengirim dibuat seolah-olah adalah target host. Hal inilah yang membuat target host menjadi hang dan menurunkan kinerja jaringan. Bahkan hal ini dapat mengakibatkan terjadinya denial of service. 2.4.9 Traceroute : Suatu tool (alat bantu) yang digunakan untuk memetakan konfigurasi suatu target adalah dengan menggunakan sebuah command sederhana yang dikenal dengan traceroute. Kegunaannya adalah untuk mengirimkan

secara

serempak

sebuah

urutan

paket

dengan

menambahkan nilai TTL (Time to Live). Ketika sebuah router lanjutan menerima sebuah paket terusan maka mengurangi nilai TTL sebelum meneruskannya ke router berikutnya. Pada saat itu jika nilai TTL pada sebuah paket mencapai nilai nol maka pesan time exceeded akan dikirim balik ke host asal. Dengan mengirimkan paket dengan nilai TTL 1 akan memperbolehkan router pertama di dalam jalur paket untuk mengembalikan pesan time exceeded yang akan mengizinkan penyerang untuk mengetahui IP address router pertama. Paket

19

berikutnya kemudian dikirimkan dengan menambahkan nilai 1 pada TTL, sehingga penyerang akan mengetahui setiap loncatan antara host asal dengan host target. Tabel 2.1 Point dan Jenis Serangan Point Serangan Internal User

External User

Denial of Service

Menganggu

Menganggu

Increase Privilege ( Superuser Priviliege

Serius menganggu

Resiko yang serius

Sangat serius

Bencana

(Sumber : Ariyus, 2007)

2.5 Tujuan Keamanan Komputer Menurut Ariyus (2007), Mengapa Intrusion Detection Sistem (IDS) ditambahkan untuk meningkatkan keamanan komputer? Pada dasarnya tujuan dari keamanan komputer, yang disingkat dengan CIA, yang merupakan singkatan dari : 1. Confidentiality : Merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Confidentiality biasanya berhubungan dengan informasi yang diberikan ke pihak lain. 2. Integrity : Keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak di modifikasi oleh orang yang tidak dalam perjalanan informasi tersebut.

20

3. Availability : Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.

2.6 Access Control Menurut Rafiudin (2005). Access Control adalah proses pembatasan privilege (hak istimewa) untuk user atas penggunaan sumber daya sistem. Terdapat tiga tipe pengendalian akses : 1. Administrative Control : Pengendalian berdasarkan kebijakan (policy), informasi kebijakan sekuriti harus sejalan dengan sasaran-sasaran bisnis organisasi. 2. Physical Control : Pengontrolan akses terhadap perangkat-perangkat fisik jaringan, termasuk node-node, pengkabelan, ruangan/bangunan dan assetaset privat lainnya. 3. Logical Control : Kendali hardware dan software, pembatasan akses atas konfigurasi-konfigurasi Access Control List (ACL) protokol-protokol komunikasi dan sistem kriptografi.

21

2.7 Definisi Firewall Menurut Stallings (2003). Firewall merupakan suatu perangkat yang dapat melindungi sebuah sistem lokal jaringan dan sistem jaringan secara efektif dari ancaman keamanan sementara pada waktu mengakses keluar jaringan lewat Wide Area Network dan melalui jaringan internet. 2.7.1 Karakterikstik Firewall Berikut adalah tujuan desain untuk firewall : 1. Semua traffic dari dalam ke luar jaringan, dan sebaliknya harus melewati firewall. Dengan firewall ini adalah untuk menghalangi semua akses kepada jaringan lokal kecuali melalui firewall. Mungkin macam konfigurasi firewall sebagai menjelaskan didalam section. 2. Hanya memberikan hak akses traffic sebagai kebijakan keamanan jaringan yang diizinkan lewat. Tipe macam firewall yang digunakan tipe firewall security policy. 3. Firewall itu sendiri mempertahankan. Firewall sistem yang dipercaya dengan sebuah operating system yang aman. Empat teknik umum yang firewall gunakan untuk control akses dan melaksanakan security policy. Sesungguhnya, firewall diutamakan focus dalam service control, tetapi firewall telah menyediakan empat dalam service control :

22

a. Service Control : Menentukan tipe dari internet service yang dapat diakses

dalam

ataupun

luar

jaringan

internet.

Firewall

membolehkan filter packet dalam basis IP address dan TCP nomor port: software proxy yang menerima dan setiap sebelum meminta service melewati proxy atau mungkin host server yang di buat sendiri, seperti web atau mail service. b. Direction Control : Menentukan petunjuk dimana teliti dalam meminta service mungkin mengizinkan melewati firewall. c. User Control : Mengendalikan akses ke sebuah service yang user yang inginkan. Biasanya menerapkan user didalam parameter firewall (local users). Ini mungkin juga menerapkan incoming traffic dari external users, yang belakangan memerlukan dari keamanan teknologi authentication seperti disediakan IPsec. d. Behavior Control : Mengontrol dengan teliti bagaimana service yang digunakan. Untuk contoh, firewall membolehkan filter email untuk membersihkan SPAM atau membolehkan mengaktifkan akses eksternal ke hanya informasi sebuah web server. 2.7.2 Jenis-jenis Firewall Firewall terbagi menjadi tiga jenis, yakni sebagai berikut : a. Packet-Filtering

Router

:

Sebuah

packet-filtering

router

menerapkan aturan (rule) ke setiap paket IP yang masuk atau datang

23

dan kemudian diforward atau dibuang paket tersebut. Biasanya konfigurasi router untuk memfilter paket dikedua arah (dari dan ke jaringan internal). Filtering rules didasarkan atas informasi yang terdapat dipaket jaringan. b. Application-Level Gateway : Application-level gateway juga disebut sebuah proxy server, yang bertindak sebagai meletakkan dari application-level gateway yang menggunakan apliaksi TCP/IP, seperti Telnet atau FTP dan gateway meminta user untuk mengakses yaitu meremote host. Bila user dan informasi otentikasi. Application Gateway dalam remote host dan meletekakan pada bagian segment TCP yang berisi aplikasi data diantara kedua endpoint (titik terakhir). c. Circuit-Level Gateway : Ketiga dari jenis firewall adalah circuitlevel gateway. Circuit-level gateway sistem yang dapat berdiri sendiri atau bisa merupakan suatu fungsi yang melakukan dengan application-level gateway untuk aplikasi. Circuit-level gateway pintu gerbang tidak mengizinkan end-to-end koneksi TCP, satu diantaranya adalah kumpulan

dua koneksi. Satu diantaranya

gateway dan sebuah user TCP diluar host. Dalam hal ini penulis menggunakan jenis Firewall Check Point atau Firewall-1 yaitu Firewall Nokia IP 390.

24

2.7.3

Firewall Check Point atau Firewall-1 Menurut (Baroto, 2003) Pembuatan firewall-1 berbasis pada teknologi arsitektur stateful Inspection yang akan menjamin keamanan jaringan hingga tingkat tertinggi. Modul inpeksi pada Firewall-1 berisi mesin inspeksi (INSPECT) yang mampu dengan seksama memeriksa seluruh muatan paket pada lapisan komunikasi serta mengambil sari informasi dari kondisi komunikasi dan aplikasi yang sesuai. (Baroto : 2003) Produk Firewall-1 Entreprise : 1. Modul Manajemen : Manajemen sistem keamanan terpusat berbasis grafis baik untuk satu atau lebih hingga tak terbatas terhadap titik-titik penyelengaraan (enforcement) keamanan atau modul Firewall itu sendiri. 2. Modul Inspeksi : Kontrol akses, Autentikasi klien dan session, Network Address Translation (NAT) dan Auditing. 3. Modul Firewall : Termasuk Modul Inspeksi. Autentikasi User, Sinkronisasi Firewall jamak dan Keamanan Muatan (Content Security). 4. Modul Enkripsi : Menyediakan metode enkripsi DES dan enkripsi FWZ-1. 5. Manajemen Keamanan Router : Manajemen keamanan bagi kegiatan control akses baik terhadap satu router hingga lebih.

25

6. Manajer Keamanan Terbuka : Manajemen keamanan terpusat baik bagi router produksi 3Com, Cisco dan server Microsoft NT hingga ke Firewall PLX Cisco.

2.8 Intrusion Detecction System Menurut (Stalling, 2003). Penyusupan (intruders) salah satu dari dua yang paling mempubilkasikan ancaman keamanan dari intruder/penyusup (virus-virus lainnya), biasanya menunjukan sebagai hacker atau cracker. Pentingnya diawal mempelajari intrusion (gangguan), ada tiga kelas dari intruder : 1. Masquerader : Seseorang yang tidak diberikan hak untuk menggunakan komputer dan siapa yang memasuki sistem, akses control mengeksploitasi penggunaan account. 2. Misfeasor :

User yang mengakses data, program atau sumber daya

dimana tidak diberikan hak akses tersebut. Atau seseorang yang diberikan hak akses tetapi disalahgunakan. 3. Clandestine user : Seseorang yang mengambil kendali pengawasan sistem dan menggunakan control untuk menghindari atau mengontrol, menahan pemeriksaan. Menurut (Stallings, 2003) Teknik Intrusion detection adalah secara objektif intruder memperoleh hak akses ke sebuah sistem. Biasanya, intruder

26

memerlukan informasi dari password user dengan beberapa pengetahuan lain dari password user. Intruder dapat masuk kedalam sebuah sistem dan semua latihan untuk memperoleh hak akses. Menurut Ariyus (2007). Intrusion Detection System (IDS) merupakan penghambat semua serangan yang akan menganggu sebuah jaringan. Kemampuan dari IDS memberika peringatan kepada administrator server saat terjadi sebuah aktivitas tertentu yang tidak diinginkan administrator sebagai penanggung jawab sebuah sistem. Selain memberikan peringatan, IDS juga mampu melacak jenis aktivitas yang merugikan sebuah sistem. Suatu IDS akan melakukan pengamatan (monitoring) terhadap paket-paket yang melewati jaringan dan berusaha menemukan apakah terdapat paketpaket yang berisi aktivitas mencurigakan sekaligus melakukan tindak lanjut pencegahan. Hal-hal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut: 1. Memonitor akses database. 2. Melindungi e-mail server. 3. Memonitor Policy Security.

2.9 Intrusion Detection System (IPS) Menurut Ariyus (2007). Teknologi Intrusion Detection System (IDS) diperkirakan kadaluarsa dalam dekat karena digantikan Intrusion Prevention

27

System (IPS) yang memiliki kemampuan lebih lengkap. IDS hanya mampu mendeteksi adanya penyusupan dalam jaringan, lalu mengaktifkan peringatan kepada pengguna untuk segera mengambil langkah-langkah mitigasi, sementara IPS langsung mengatasi penyusupan tersebut. Awalnya IDS adalah pengembangan dari firewall, yakni sistem yang memisahkan antara jaringan internal dan eksternal. Firewall dinilai tidak cukup karena hanya sebagai pemisah saja, tidak memeriksa paket-paket data yang berbahaya sehingga bisa lolos. Pada pengembangannya kemudian IDS tidak berguna karena pada saat alarm berbunyi, jaringan sudah terinfeksi dan pengguna tidak bisa berbuat banyak. IDS berkembang karena pada awalnya kelahirannya, pasar saat itu memandang skeptic terhadap keberhasilan teknologi IPS yang menggunakan filter dalam menangkal serangan dan penyusupan. Pada 2002, lembaga riset Gartner merilis laporan yang isinya mengingatkan para pengguna untuk menunda investasi IDS yang dinilai gagal. IDS bahkan dinilai investasi mahal namun tidak efektif untuk meningkatkan keamanan jaringan. Saat itu active IDS, teknologi cikal-bakal IPS yang mampu secara aktif mendeteksi serangan dan mengubah aturan firewall dan router untuk menggantisipasi serangan, dinilai mengganggu sehingga tidak diterima oleh para administrator jaringan. Pada perkembangannya, frekuensi serangan terhadap jaringan meningkat sementara rentang waktu antara ditemukannya celah keamanan dan tersediannya patch untuk menutup celah itu, semakin sempit. Akibatnya, para administrator jaringan tidak memiliki cukup waktu untuk

28

menggantisipasi serangan dengan memasang patch disebut Zero Day Attack semakin dekat. Kemudian perkembangan teknologi memungkinkan IPS bekerja lebih cepat dalam menganalisis pola-pola serangan. Salah satu merek peranti IPS bahkan memiliki kecepatan maksimal hingga 5 Gigabit per detik (Gbps). IPS pertama kali diperkenalkan One Secure yang kemudian dibeli NetScreen Technologies sebelum akhirnya diakusisi Juni per Networks pada 2004. Salah satu produsen IPS Tip-ping Point juga dibeli penyedia peranti jaringan 3Com Corp. IPS memutuskan memberikan akses kepada jaringan berdasarkan isi paket data, bukan berdasarkan alamat IP (Internet Protocol) atau port seperti firewall. Sistem setup pada IPS sama dengan sistem setup pada IDS. IPS bisa sebagai hostbased IPS (HIPS) yang bekerja untuk melindungi aplikasi dan juga sebagai network-based IPS (NIPS). Mengapa IPS lebih unggul dari IDS ? Karena IPS mampu mencegah serangan yang datang dengan bantuan administrator secara minimal atau bahkan tidak sama sekali. Tidak seperti IDS, secara logik IPS akan menghalangi suatu serangan sebelum terjadi eksekusi pada memori, metode lain dari IPS membandingkan file Checksum yang tidak semestinya dengan file checksum yang semestinya mendapatkan izin untuk dieksekusi dan juga bisa menginterupsi sistem call. Secara khusus IPS memiliki empat komponen utama : 1. Normalisasi traffic 2. Service scanner

29

3. Detection engine 4. Traffic shaper Normalisasi traffic akan menginterupsikan lalu-lintas jaringan dan melakukan analisis terhadap paket yang disusun kembali, seperti halnya fungsi block sederhana. Lalu-lintas bisa dideteksi dengan detection engine dan service scanner. Service scanner membangun suatu table acuan untuk mengelompokkan informasi dan membantu pembentukkan lalu-lintas informasi. Detection engine melakukan pattern matching terhadap

table acuan

dan

respons yang sesuai.

Gambar 2.1

mengilustrasikan proses tersebut secara garis besarnya. Teknologi IDS dan IPS masing-masing mempunyai kemampuan dalam melindungi suatu sistem. Teknologi IPS merupakan teknologi yang diperbaharui dari IDS. Perbedaan dari program itu adalah seperti tabel 2.2.

30

Traffic normalizer

System scanner

Detection engine Signature matching

Response manager

Alert manager

Traffic shaping

Reference table

GUI

Long-term storage

Gambar 2.1 Standar Proses IPS

Tabel 2.2 Perbedaan IDS dan IPS Intrusion Detection System (IDS)

Intrusion Prevention System (IPS

Install pada segmen jaringan Install pada segmen jaringan (NIDS) dan pada host (HIDS) (NIPS) dan pada host (HIPS) Berada pada jaringan sistem yang pasif

sebagai Berada pada jaringan sistem yang aktif

sebagai

Tidak bisa menguraikan lalu-lintas Lebih baik melindungi aplikasi enkripsi Manajemen kontrol terpusat

Manajemen kontrol terpusat

Baik untuk mendeteksi serangan

Ideal untuk perusakan web

Alerting (reaktif)

Blocking (proaktif) (Sumber : Ariyus, 2007)

memblocking

31

2.10

Skema Analisis IDS dan IPS IDS dan IPS melakukan analisis terhadap data dan mengidentifikasi aktivitas yang anomalous (ganjil) pada ruang lingkup jaringan dan host. Analisis real time merupakan analisis suatu paket yang akan masuk ke jaringan. Dengan kata lain paket masih dalam lalu-lintas jaringan internet atau jaringan lokal. Pada dasarnya tujuan dari analisis yang dilakukan IDS dan IPS adalah untuk meningkatkan keamanan pada sistem. Tujuan yang bisa dilakukan oleh IDS dan IPS adalah : 1. Create record yang aktivitas yang relevan untuk follow-up. 2. Menentukan kekurangan dari jaringan dengan mendeteksi aktivitas khusus. 3. Merekam aktivitas yang tidak sah untuk digunakan untuk keperluan forensic atau criminal prosecution (tuntutan pidana) dari serangan penyusup. 4. Meningkatkan tanggung jawab dengan menghubungkan aktivitas dari individu dari sistem yang lain. Gambar dibawah ini mengilustrasikan analisis yang ideal. IDS atau IPS mengidentifikasi anomalous aktivitas yang berasal dari luar jaringan, dan menyesuaikan dengan aktivitas normal dari baseline. Perbedaan dari aktivitas anomalous dan baseline sangat besar sehingga mudah terdeteksi.

32

Dengan alasan ini analisis yang dilakukan IDS atau IPS menjadi lebih mudah untuk mencapai tujuan keamanan yang lebih ideal.

Baseline activity Anomalous activity

Gambar 2.2 Hubungan antara Aktivitas jaringan Baseline dan Anomalous

2.11 Prinsip Kerja IDS pada Jaringan Internal Istilah intrusion detection system merupakan suatu visi dari alat yang diletakkan pada parameter jaringan untuk memberitahu adanya penyusup. IDS juga mempunyai peran penting untuk mendapatkan arsitektur defence-indepth (pertahanan yang mendalam) dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Banyak dari fungsi jaringan internal yang bisa dimonitor demi keamanan yang maksimal. Halhal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut : 2.11.1 Memonitor akses database : ketika mempertimbangkan pemilihan kandidat untuk menyimpan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data-data yang berharga. Pentingnya data sama dengan penelitian suatu perusahaan dalam mengembangkan suatu produk unggulan. Jika data yang disimpan di

33

dalam database bisa diakses oleh orang-orang yang tidak berhak, maka akan terjadi bencana. Oleh karena itu database server selalu diletakkan pada posisi yang paling dalam dari suatu jaringan dan hanya bisa diakses oleh sumber daya internal. Bagaimanapun statistik dari FBI bahwa akses ke database untuk mencuri data banyak berasal dari jaringan internal, oleh karena itu penggunaan IDS memberikan solusi untuk melindungi database dari exploit seperti contoh : a. ORACLE drop table attempt b. ORACLE EXECUTE_SYSTEM attempt c. MYSQL root login attempt d. MYSQL show database attempt Memonitor fungsi dari DNS : Beranjak dari pertanyaan “Apa yang ada

pada

nama

server?”

Jawabannya

konfigurasi

jaringan.

Memasukkan domain name server yang meliputi nama dari komponen jaringan internal, IP address, dan informasi private lain yang memberikan tentang jaringan. Dengan informasi ini penyusup bisa melakukan pemetaan jaringan dengan mengambil kesimpulan dari DNS zone transfer. Langkah pertama melakukan pengintaian terhadap versi dari DNS server, IDS bisa mendeteksi rule DNS name version attempt. Langkah kedua melakukan deteksi terhadap eksploitasi dengan menggunakan rule DNS zone transfer attempt. Penempatan IDS pada sistem jaringan bisa menjaga terjadinya eksploitasi DNS.

34

2.11.2 Melindungi e-mail server : Jika berbicara tentang melindungi e-mail account, banyak user menggunakan software antivirus untuk melakukan scanning terhadap kemungkinan adanya virus. Program antivirus tidak sepenuhnya bisa mendeteksi malicious code. IDS dapat berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD worm, dan versi terbaru dari ExploreZip. IDS dapat dimodifikasi sedemikian rupa untuk mengatasi masalah malicious code. Software antivirus selalu diperbaharui (update) oleh vendornya sehingga akan ada biaya tambahan untuk hal tersebut. Perkembangan dari teknologi malicious code perlunya dipertimbangkan untuk masalah e-mail security dari serangan terhadap mail server. IDS mampu mendeteksi e-mail secara simultan untuk menghindari serangan ke mail server. IDS dapat di atur untuk mendeteksi dan menghalangi e-mail bomb yang bisa melumpuhkan mail server. 2.11.3 Memonitor policy security : Security policy merupakan suatu aturan yang diberikan untuk melindungi suatu jaringan dari hal-hal yang tidak diinginkan. IDS juga bisa di atur untuk memonitor policy security. Jika ada pelanggaran terhadap policy security maka IDS akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang ada.

35

2.12 Tujuan Penggunaan IDS IDS merupakan software atau hardware yang melakukan otomatisasi proses monitoring kejadian yang muncul disistem komputer atau jaringan, menganalisanya untuk menemukan permasalahan keamanan.

IDS adalah

pemberi sinyal pertama jika seorang penyusup mencoba membobol sistem keamanan komputer kita. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sebuah sistem keamanan yang dilakukan oleh seseorang dari internet maupun dari dalam sistem. IDS tidak dibuat untuk menggantikan fungsi firewall karena kegunaanya berbeda. Sebuah sistem firewall tidak bisa mengetahui apakah sebuah serangan sedang terjadi atau tidak. tetapi IDS mengetahuinya. Dengan meningkatnya jumlah serangan pada jaringan, IDS merupakan sesuatu yang diperlukan pada infrastruktur keamanan di kebanyakan organisasi. Secara singkat, fungsi IDS adalah pemberi peringatan kepada administrator atas serangan yang terjadi pada sistem kita. Alasan mempergunakan IDS : 1. Untuk mencegah resiko timbulnya masalah. 2. Untuk mendeteksi serangan dan pelanggaran keamanan lainnya yang tidak dicegah oleh perangkat keamanan lainnya. Biasanya penyusupan berlangsung dalam tahapan yang bisa diprediksi. Tahapan pertama adalah

36

probing, atau eksploitasi pencarian titik masuk. Pada sistem tanpa IDS, penyusup memiliki kebebasan melakukannya dengan resiko lebih kecil. IDS yang mendapati probing, bisa melakukan blok akses , dan memberitahukan tenaga keamanan yang selanjutnya mengambil tindakan lebih lanjut. 3. Untuk mendeteksi usaha yang berkaitan dengan serangan misal probing dan aktivitas dorknob rattling. 4. Untuk mendokumentasikan ancaman yang ada ke dalam suatu organisasi. IDS akan mampu menggolongkan ancaman baik dari dalam maupun dari luar organisasi. Sehingga membantu pembuatan keputusan untuk alokasi sumber daya keamanan jaringan. 5. Untuk bertindak sebagai pengendali kualitas pada adminitrasi dan perancangan keamanan, khususnya pada organisasi yang besar dan kompleks.

Saat ini IDS dijalankan dalam waktu tertentu, pola dari

pemakaian sistem dan masalah yang ditemui bisa nampak. Sehingga akan membantu pengelolaan keamanan dan memperbaiki kekurangan sebelum menyebabkan insiden. 6. Untuk memberikan informasi yang berguna mengenai penyusupan yang terjadi, peningkatan diagnosa, recovery, dan perbaikan dari faktor penyebab. Meski jika IDS tidak melakukan block serangan, tetapi masih bisa mengumpulkan informasi yang relevan mengenai serangan, sehingga membantu penanganan insiden dan recovery. Hal itu akan membantu konfigurasi atau kebijakan organisasi.

37

Meskipun vendor dan administrator berusaha meminimalkan vulnerabilitas yang memungkinkan serangan, ada banyak situasi yang tidak memungkinkan hal ini : 1. Pada banyak sistem,

tidak bisa dilakukan patch atau update sistem

operasi. 2. Administrator tidak memiliki waktu atau sumber daya yang mencukupi untuk melacak dan menginstall semua patch yang diperlukan. Umumnya ini terjadi dalam lingkungan yang terdiri dari sejumlah besar host dengan hardware dan software yang berbeda. 3. User mempergunakan layanan protokol yang merupakan sumber vulnerabilitas. 4. Baik user maupun administrator bisa membuat kesalahan dalam melakukan konfigurasi dan penggunaan sistem. 5. Terjadi disparitas policy yang memungkinkan user melakukan tindakan yang melebihi kewenangannya. Salah satu tujuan dari pengelolaan keamanan komputer adalah mempengaruhi perilaku dari user dengan suatu jalan yang akan melindungi sistem informasi dari permasalahan keamanan. IDS membantu organisasi mencapai tujuan ini dengan meningkatkan kemampuan penemuan resiko. 2.12.1 Tipe Intrusion Detection System (IDS) Pada dasarnya terdapat dua macam IDS, yaitu :

38

1. Host-Based : IDS host-based bekerja pada host yang akan dilindungi. IDS jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi serangan yang dilakukan pada host tersebut. Keunggulan IDS host-based adalah pada tugas-tugas yang berhubungan dengan keamanan file yang telah di ubah atau ada usaha untuk mendapatkan akses ke file-file yang sensitive. 2. Network-Based : IDS network-based biasanya berupa suatu mesin yang khusus dipergunakan untuk melakukan monitoring seluruh segmen dari jaringan. IDS network-based akan mengumpulkan paket-paket data yang terdapat pada jaringan dan kemudian menganalisanya serta menentukan apakah paket-paket itu berupa suatu paket yang normal atau suatu serangan atau berupa aktivitas yang mencurigakan. Yang akan dikembangkan tipe IDS adalah NIDS Pembagian jenis-jenis IDS yang ada pada saat sekarang ini didasarkan atas beberapa terminology, di antaranya : 1. Arsitektur Sistem Dibedakan menurut komponen fungsional IDS, bagaimana diatur satu sama lainnya. a. Host-Target Co-Location : IDS yang dijalankan pada sistem yang akan dilindungi. Kelemahan dari sistem ini adalah jika penyusup berhasil memperoleh akses ke sistem

39

maka penyusup dapat dengan mudah mematikan IDS tipe ini. b. Host-Target Separation : IDS diletakkan pada komputer yang berbeda dengan yang akan dilindungi. 2. Tujuan Sistem Walaupun banyak tujuan berhubungan dengan mekanisme keamanan secara umum, ada dua bagian tujuan Intrusion Detection System (IDS), diantaranya adalah : a. Tanggung

jawab

menghubungkan

:

suatu

adalah

kemampuan

kegiatan

dan

kejadian

untuk dan

bertanggung jawab terhadap semua yang terjadi. Hal ini sangat penting saat terjadi suatu serangan. Administrator bertanggung jawab terhadap sistem yang dikelola. b. Respons : Suatu kemampuan untuk mengendalikan aktivitas yang merugikan dalam suatu sistem komputer. Jika terjadi serangan maka harus mampu menghalangi atau mengendalikan serangan tersebut. 3. Strategi Pengendalian IDS dibedakan menurut bagaimana IDS-IDS yang ada dikendalikan, baik input maupun outputnya. Jenis-jenis IDS menurut terminology ini adalah :

40

a. Terpusat : Seluruh kendali pada IDS, baik monitoring, deteksi dan pelaporannya dikendalikan secara terpusat. b. Terdisribusi parsial : Monitoring dan deteksi dikendalikan dari node lokal dengan hierarki pelaporan pada satu atau beberapa pusat lokasi. c. Terdistibusi total : Monitoring dan deteksi menggunakan pendekatan berbasis agen, dimana keputusan respons dibuat pada kode analisis. 4. Waktu Waktu dalam hal ini berarti waktu antara kejadian, baik monitoring ataupun analisis. Jenis IDS menurut terminology ini adalah : a. Interval-Based (Batch mode) : informasi dikumpulkan terlebih dahulu dan kemudian dievaluasi menurut interval waktu yang telah ditentukan. b. Realtime (Continues) : IDS memperoleh data secara terus menerus dan dapat mengetahui bahwa penyerangan sedang terjadi sehingga secara cepat dapat melakukan respons terhadap penyerangan.

41

5. Sumber informasi IDS ini dibedakan menurut sumber daya yang diperoleh. Terminologi ini sering digunakan untuk membagi jenis-jenis IDS. Jenis-jenis IDS menurut terminologi ini di antaranya : 2.12.1.1 Host-Based : IDS memperoleh informasi dari sebuah

sistem

komputer.

Host-based

IDS

memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host-based IDS biasanya berupa log yang dihasilkan dengan memonitor sistem file event, dan keamanan pada Windows NT dan syslog pada lingkungan sistem operasi UNIX. Saat terjadi perubahan pada log tersebut maka dilakukan analisis apakah sama dengan pola serangan yang ada pada basis data IDS.

Gambar 2.3 Host-Based IDS (Ariyus: 2007)

42

Teknik yang sering digunakan pada hostbased IDS adalah dengan melakukan pengecekan pada kunci file sistem dan file eksekusi dengan checksum pada interval waktu tertentu untuk mendapatkan perubahan yang tidak diharapkan (unexpected changes). Pewaktuan atas respons berkolerasi didefinisikan

dengan untuk

interval

waktu

melakukan

yang polling

pengumpulan data. Host-based IDS tidak secepat network-based IDS dalam mendeteksi adanya serangan. Hostbased IDS memiliki beberapa kelebihan yang tidak dapat dimiliki network-based IDS. Kelebihan tersebut termasuk analisis forensic yang lebih kuat, fokus terhadap sebuah host, dan lainnya. Beberapa kelebihan host-based IDS itu sendiri antara lain : a. Menguji keberhasilan atau kegagalan serangan. Karena sistem ini menggunakan logs berisi event yang telah terjadi, sehingga dapat diukur apakah serangan telah berhasil atau tidak dengan akurasi yang lebih tinggi dibanding

43

dengan network-based IDS. Metode ini menjadi sebuah komplemen yang baik untuk networkbased IDS. b. Memonitor aktivitas sistem tertentu. Sistem ini memonitor terhadap

aktivitas file,

penggantian

pengguna

termasuk

atribut

file,

dan

pengaksesan percobaan

akses file, untuk

instalasi file eksekusi baru dan /atau percobaan untuk mengakses service privileged. c. Mendeteksi serangan yang lolos dari networkbased

IDS.

Host-based

IDS

mendeteksi

serangan yang tidak dapat dikenali oleh network-based IDS. Sebagai contoh adalah serangan melalui sistem lokal yang tidak melalui jaringan. d. Cocok untuk lingkungan encrypt dan switch. Pada perusahaan yang besar biasanya digunakan enkripsi dalam komunikasi data dan untuk mempercepat komunikasi digunakan dengan tipe switch sehingga sulit bagi network-based IDS untuk mengenali serangan dan memerlukan overhead untuk membaca paketnya.

44

Beberapa kelemahan dari host-based di antaranya adalah : a. Manajemen

yang

rumit,

informasi

harus

dikonfigurasi untuk setiap host yang ada. b. Sedikit sumber informasi (dan kadang, bagian dari analisis engine), karena host-based berada pada host yang menjadi target suatu serangan. Jika suatu IDS host-based dilumpuhkan oleh penyerang maka penyerang bisa mendapatkan akses terhadap host tersebut. c. Host-based tidak cocok untuk mendeteksi jaringan atau melakukan monitoring terhadap suatu jaringan karena IDS hanya memonitor paket yang diterima pada host tersebut. d. Host-based dapat dilumpuhkan oleh serangan denial of service. 2.12.1.2 Network-based : IDS memperoleh informasi dari paket-paket jaringan yang ada. Network-based IDS menggunkan raw packet yang ada di jaringan sebagai

sumber

datanya.

Network-based

IDS

menggunakan network adapter sebagai alat untuk menangkap

paket-paket

yang

akan

dipantau.

45

Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paketpaket yang ada yang berjalan di jaringan.

Gambar 2.4 Network-Based IDS (Ariyus, 2007)

Beberapa cara yang digunakan untuk mengenali serangan pada Network-based IDS ini antara lain : a. Pola data, ekpresi atau pencocokan secara bytecode. b. Frekuensi atau pelanggaran ambang batas. c. Korelasi yang dekat dengan sebuah event. d. Deteksi anomaly secara statistic.

46

Network-based IDS memiliki kelebihan yang tidak dapat diberikan oleh IDS yang lain. Di bawah ini beberapa kelebihan dari Network-based IDS : a. Biaya yang lebih rendah. Network-based IDS memungkinkan pengawasan yang strategis pada titik akses yang kritis untuk menampilkan network traffic untuk beragam sistem yang akan diamati sehingga sistem ini tidak memerlukan perangkat lunak untuk digunakan dan diatur pada banyak host. Karena kebutuhan titik deteksi yang lebih sedikit, maka biayanya lebih rendah. b. Deteksi serangan yang tidak terdeteksi oleh Hostbased IDS. Sistem ini memeriksa semua packet header

untuk

mencari

aktivitas

yang

mencurigakan. Beberapa serangan yang tidak dapat dideteksi oleh Host-based IDS adalah IPbased DoS dan Fragmented Packet (Tear Drop). Serangan tersebut dapat diidentifikasi dengan membaca header dari paket yang ada. Kekurangan dari Network –based IDS adalah sebagai berikut :

47

a. Network-based IDS sulit untuk memproses semua paket yang besar dan jaringan yang sibuk sehingga akan gagal dalam mendeteksi serangan yang terjadi jika suatu jaringan sangat sibuk (aktivitas yang tinggi). Beberapa dari vendor IDS mencoba memecahkan masalah ini dengan menerapkan IDS dalam perangkat keras, yang mana bisa mendeteksi serangan dalam lalu-lintas yang sibuk sekali. b. Banyak keuntungan IDS tidak berlaku untuk jaringan yang menggunakan metode switchbased yang lebih modern. c. Network-based IDS tidak bisa menganalisis paket yang telah dienkripsi. d. Kebanyakan network-based IDS tidak bisa memberitahukan apakah suatu serangan telah berhasil

mendapatkan

sistem,

hanya

dapat

memberitahukan bahwa serangan sedang terjadi. Network-based IDS hanya memberitahukan ke administrator bahwa serangan telah terjadi dan administrator

akan

melakukan

pemeriksaan

48

secara manual untuk mencari kemungkinan host mana yang terserang. e. Banyak dari network-based IDS mempunyai masalah bila berhadapan dengan serangan yang menggunakan paket fragmentasi. Paket seperti ini menyebabkan suatu network-based IDS menjadi tidak stabil dan crash. Salah satu contoh dari network-based adalah snort. Snort merupakan suatu NIDS (Network-base Intrusion Detection System). Snort merupakan suatu program yang berfungsi untuk memeriksa data-data yang masuk dan melaporkan ke administrator apabila ada “gerak-gerik” yang mecurigakan. Bekerja dengan prinsip program sniffer, yaitu mengawasi paket-paket yang melewati jaringan. Snort merupakan suatu NIDS (Network-based Intrusion Detection System). Sebuah NIDS akan memperhatikan seluruh segmen jaringan tempat dia berada, berbeda dengan host-based IDS yang hanya memperhatikan sebuah mesin software host based IDS tersebut dipasang. Secara sederhana sebuah IDS akan mendeteksi semua serangan yang dapat melalui

jaringan

komputer

(internet

maupun

49

intranet) ke jaringan atau komputer yang kita miliki.

Sebuah

NIDS

biasanya

digunakan

bersamaan dengan firewall. Hal ini untuk menjaga supaya snort tidak terancam oleh serangan. Respons serangan pada IDS network-based di antaranya adalah : 1. Notifikasi a. Alarm ke console b. E-mail c. SNMP Trap d. Melihat sesi yang aktif 2. Logging a. Summary Report b. Raw Network Data 3. Respons aktif a. TCP reset b. Konfigurasi ulang firewall c. User-defined.

50

Tabel 2.3 Perbedaan NIDS dan HIDS : NIDS

HIDS

Ruang lingkup yang luas Ruang lingkup yang terbatas (mengamati semua aktivitas (mengamati hanya aktivitas pada jaringan) host tertentu). Lebih mudah melakukan setup

Setup yang kompleks

Lebih baik untuk mendeteksi Lebih baik untuk mendeteksi serangan yang berasal dari serangan yang berasal dari dalam luar jaringan. jaringan. Pendeteksian berdasarkan Pendeteksian berdasarkan pada pada apa yang direkam dari single host yang diamati semua aktivitasnya. aktivitas jaringan. Menguji packet header

Packet header tidak diperhatikan

Respons yang real time

Selalu merespons setelah apa yang terjadi.

OS-independent

OS-specific

Mendeteksi serangan terhadap Mendeteksi serangan local sebelum jaringan serta payload untuk mereka memasuki jaringan. di analisis Mendeteksi usaha serangan yang gagal

dari Menverifikasikan sukses gagalnya suatu serangan.

atau

Sumber (Ariyus, 2007) 2.12.1.3 Distrubusi Intrusion Detection System Fungsi standar dari DIDS adalah mengatur atau arsitekstur probe. Sensor dari NIDS sedikitnya ditempatkan

dan

melaporkan

ke

pusat

dari

managemen station NIDS. Serangan terhadap log

51

pada waktu tertentu atau upload secara terusmenerus ke managemen station NIDS. Pendistribusian IDS menggunakan lebih dari satu NIDS pada suatu jaringan komputer, sehingga lebih mudah untuk mendeteksi semua jaringan. Hal ini sangat membantu jika tejadi traffic pada lalulintas jaringan tersebut.

Gambar 2.5 Distribusi Intrusion Detection System (Ariyus : 2007) 2.12.1.4 Hibrid IDS : Solusi network-base dan host-based IDS yang memliki keunggulan dan manfaat yang saling

berbeda.

Generasi

lanjutan

dari

IDS

merupakan gabungan dari kedua komponen solusi tersebut.

52

Gabungan dari kedua teknologi tersebut meningkatkan resistantsi jaringan terhadap serangan dan

penyalagunaan,

kebijakan

meningkatkan

keamanan

dan

pelaksanaan

kelebihan

dalam

fleksibilitas ketersebaran sistem. Beberapa fitur yang diharapkan pada generasi lanjut IDS antara lain : 1. Integrasi antara network-based IDS dan Hostbased IDS 2. Manajemen konsol yang generic untuk semua produk. 3. Integrasi basisdata event. 4. Integrasi system report. 5. Kemampuan

menghubungkan

event

dengan

serangan. 6. Integrasi dengan on-line help untuk respons insiden. 7. Prosedur instalasi yang ringkas dan terintegrasi seluruh produk yang ada.

53

Proses dasar dari IDS, baik pada NIDS atau HIDS, adalah mengumpulkan data, melakukan preproses,

dan

mengklasifikasikan

data

tersebut.

Dengan analisis statistic suatu aktivitas yang tidak normal akan bisa dilihat, sehingga IDS bisa mencocokkan dengan data dan pola yang sudah ada. Jika pola yang ada cocok dengan keadaan yang tidak normal maka akan dikirim respons tentang aktivitas tersebut. 2.12.1.5 Skema Analisis IDS IDS melakukan analisis terhadap data dan mengidentifikasi aktivitas yang anomalous (ganjil) pada ruang lingkup jaringan dan host. Analisis real time merupakan analisis suatu paket yang akan masuk ke jaringan. Dengan kata lain paket masih dalam lalu-lintas jaringan internet atau jaringan lokal. Pada dasarnya tujuan dari analisis yang dilakukan IDS adalah untuk meningkatkan keamanan pada sistem. Tujuan yang bisa dilakukan IDS adalah: 1. Create record yang aktivitas yang relevan untuk follow-up.

54

2. Menentukan kekurangan dari jaringan dengan mendeteksi aktivitas khusus. 3. Merekam digunakan

aktivitas untuk

yang

tidak

keperluan

sah

untuk

forensik

atau

criminal prosecution (tuntutan pidanan) dari serangan penyusup. 4. Bertindak sebagai penghalang aktivitas malicious code. 5. Meningkatkan

tanggung

jawab

dengan

menghubungkan aktivitas dari individu dari sistem yang lain.

2.13

Snort Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup dan mampu menganalisis paket yang melintas jaringan secara real time traffic dan logging ke dalam database serta mampu mendeteksi berbagai serangan yang berasal dari luar jaringan. Snort bisa digunakan pada platform sistem operasi Linux, BSD, Solaris, Windows dan sistem operasi lainnya.

55

Snort bisa dioperasikan dengan empat mode (Roesch, 2009) : a.

Sniffer Mode : Snort membaca traffic atau paket-paket yang berada di dalam sistem jaringan dan menampilkan ke layar console.

b.

Packet Logger Mode : Snort membaca traffic dan melakukan logging (pencatatan dan penyimpanan) aktivitas sensor.

c.

Network

Intrusion

Detection

Mode

:

Snort

membaca

dan

menganalisis traffic menggunakan ruleset/signatures untuk mendeteksi aktivitas intrusi dan melakukan logging aktivitas sensor. d.

Inline Mode : Snort membaca, menganalisis traffic, logging dan berinteraksi dengan firewall untuk memblok traffic intrusi memicu.

2.13.1 Fitur-Fitur Snort Berikut ini adalah beberapa fitur snort (Kohlenberg) : a. Merupakan program IDS/IPS berbasis signature open-source yang menyediakan fungsionalitas yang terdapat pada NIDS komersil. b. Merupakan network sniffer yang terintegrasi dengan packet logger yang berkemampuan untuk melakukan real-time traffic analysis

melalui

mekanisme

pattern

matching

terhadap

sejumlah signature/rules intrusi, alerting, blocking, packet sniffer dan packet logging.

56

c. Membutuhkan resource yang relatif kecil dan mendukung berbagai platform sistem operasi, baik terbuka (Linux/Unix) atau komersial (MacOS, Windows). d. Merupakan program modular dimana komponennya terdiri dari plugin yang memiliki fungsi yang spesifik. Hal ini membuat snort, mudah dikelola, mudah dimodifikasi, dan mudah dikembangkan. e. Mempermudah proses analisis sistem jaringan, mencakup pengujian yang lebih mendetail pada konten serangan (NIDS), live traffic sampling terhadap traffic yang diamati (packet sniffer), serta data-data dari event jaringan masa lampau (packet logger). 2.13.2 Komponen Snort Snort mempunyai enam komponen dasar yang bekerja saling berhubungan satu dengan yang lain seperti berikut ini (Ariyus, 2007) : 1. Decoder : Sesuai dengan paket yang di capture dalam bentuk struktur data dan melakukan identifikasi protokol, decode IP dan kemudian

TCP

atau

UDP

tergantung

informasi

yang

dibutuhkan, seperti port number, IP Address. Snort akan memberikan alert jika menemukan suatu paket yang cacat.

57

2. Preprocessors

:

Merupakan

suatu

jaringan

yang

mengindentifikasi berbagai hal yang harus diperiksa seperti Detection Engine. Pada dasarnya preprocessors berfungsi mengambil paket yang mempunyai potensi yang berbahaya yang kemudian dikirim ke detection engine untuk dikenali polanya. 3. Global Section : Mengizinkan untuk mapping file untuk IIS Unicode,

Configure

alert

untuk

proxy

server

dengan

proxy_alert (jika menggunakan proxy server) atau konfigurasi deteksi lalu-lintas HTTP pada nonauthorized port dengan menggunakan detect_anomalous_traffic. 4. Server Section : Mengizinkan untuk setting HTTP server profiles yang berbeda untuk beberapa server yang berbeda. Konfigurasi tipe serangan dan menormalisasikan berdasarkan server yang ada. 5. Rules Files : Merupakan suatu file teks yang berisi daftar aturan yang sintaksnya sudah diketahui. Sintaks ini meliputi protocol, address, output plugins dan hal-hal yang berhubungan dengan berbagai hal. Rules file akan selalu diperbaharui setiap ada kejadian di dunia maya.

58

6. Detection Engine : Menggunakan detection plugins, jika ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan. 7. Output Plugins : Merupakan suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa di akses dengan berbagai cara, seperti console, exteren files, database dan sebagainya.

BAB III METODOLOGI PENELITIAN

3.1

Metode Pengumpulan Data Menurut Nazir (2005) metode pengumpulan data tidak lain dari suatu proses pengadaan data primer untuk keperluan penelitian. Pengumpulan data merupakan langkah yang amat penting dalam metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk menguji hipotesis yang telah dirumuskan. Data yang dikumpulkan harus cukup valid untuk digunakan. Pengumpulan data adalah prosedur yang sistematis dan standar untuk memperoleh data yang diperlukan. Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem. Berikut penjelasan kedua metode tersebut : 3.1.1 Studi Lapangan/Observasi Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi adalah cara pengambilan data dengan menggunakan mata tanpa ada pertolongan alat standar lain untuk keperluan tersebut. Penulis melakukan penelitian di PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang, Gambir.

59

60

3.1.2 Studi Pustaka atau literature Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi tersebut sebagai acuan untuk membuat landasan teori. Dan referensi-referensi apa saja yang digunakan oleh penulis dapat dilihat pada Daftar Pustaka. Studi literatur yang penulis gunakan sebagai referensi yaitu : Tabel 3.1 Studi Literatur No. JUDUL 1. Pengembangan Intrusion Detection System dan Active Response Pada Transparent SingleHomed Bastion Host Http Proxy Server Firewall Sebagai Keamanan Sistem Proxy

PENULIS Rachmat Hidayat Al-Anshar

PEMBAHASAN TAHUN 2008 HTTP proxy server yang bertugas sebagai penyedia layanan protokol HTTP (akses internet) yang dibangun sebagai server terintegrasi dari sejumlah layanan spesifik, berperan sangat penting didalam sistem jaringan komputer. membangun suatu sistem HTTP proxy server terpadu (integrated server) yang dapat mengotomatisasi konfigurasi client sistem proxy, memaksimalkan sistem proxy sebagai application-layer gateway firewall dan implementasi terpisah dari sistem gateway dan mendeteksi intrusi (penyusup) pada sistem proxy.

61

2.

Perancangan dan implementasi Intrusion Detection System Pada Jaringan Nirkabel BINUS University.

Abraham Nethanel Setiawan Junior, Agus Harianto, Alexander.

2009

3.

INTRUSION DETECTION DAN REPORTING SYSTEM BERBASIS MOBILE AGENT

P. Tri Riska Ferawati Widiasrini

2006

Merancang IDS menggunakan Snort dengan tampilan antarmuka berbasiskan web dan implementasi sistem untuk memantau aktifitas para pengguna HotSpot BINUS University. Penelitian ini berisi analisa gangguan pada jaringan nirkabel BINUS, usulan solusi keamanan pada jaringan, proses dan cara kerja sistem IDS yang dibuat dengan basis web, serta evaluasi penerapan sistem IDS pada jaringan. Penekanan skirpsi ini terarah pada intrusion detection and reporting system (IDRS) berbasis mobile agent (MA) yang bisa diterapkan pada setiap platform sistem operasi di setiap konfigurasi jaringan

3.1.3 Wawancara Metode pengumpulan data dengan melakukan wawancara adalah proses memperoleh keterangan untuk tujuan penelitian dengan cara tanya jawab, sambil bertatap muka antara si penanya atau pewawancara dengan si penjawab atau responden. Keterangan lebih jelasnya penulis membahas proses ini pada daftar lampiran wawancara.

62

3.2

Metode

Pengembangan

Sistem

menggunakan NDLC

(Network

Development Life Cycle). Menurut (Goldman et all, 2001), NDLC adalah kunci dibalik proses perancangan jaringan komputer. NDLC merupakan model mendefinisikan siklus proses pembangunan atau pengembangan sistem jaringan komputer. Kata cyle (siklus) adalah kata kunci deskriptif dari siklus hidup pengembangan sistem jaringan yang menggambarkan secara eksplisit seluruh proses dan tahapan pengembangan sistem jaringan yang berkesinambungan. Dalam hal ini metode yang pengembangan sistem yang digunakan adalah Network Development Life Cycle (NDLC). Berkaitan dengan skripsi ini, penerapan dari setiap tahap NDLC adalah sebagai berikut : ANALYSIS

Management

Design

Monitoring

Simulation Prototyping Implementation

Gambar 3.1 Tahapan NDLC

63

3.2.1 Analysis Model Pengembangan sistem NDLC dimulai pada fase analisis. Pada tahap ini penulis mengidentifikasi konsep Snort IDS, Barnyard, BASE dan Firewall. Mengumpulkan dan mengidentifikasi kebutuhan seluruh kebutuhan sistem tersebut. Sehingga kebutuhan sistem IDS dapat diperjelas dan diperinci. Tahap-tahap ini meliputi : a. Identify Aktivitas

mengidentifikasikan

permasalahan

yang

dihadapi sehingga dibutuhkan proses pengembangan sistem. Dapat dilihat pada subbab 4.11.1. b. Understand Aktivitas untuk memahami mekanisme kerja sistem yang akan dibangun atau dikembangkan. Dapat dilihat pada subbab 4.11.2. c. Analyze Menganalisis sejumlah elemen atau komponen dan kebutuhan sistem yang akan dibangun atau dikembangkan. Dapat dilihat pada subbab 4.11.3. d. Report Aktivitas merepresentasikan proses hasil analisis. Secara jelas tahap analysis dapat dilihat pada subbab 4.11.4. 3.2.2 Design Tahapan selanjutnya dari metode pengembangan sistem NDLC adalah Design. Tahap design ini adalah membuat sebuah sistem yang akan dibangun, diharapkan dalam membangun sistem yang didesign akan memberikan gambaran seutuhnya dari kebutuhan yang ada. Pada fase ini, penulis merancang topologi sistem jaringan

64

untuk simulasi LAN sebagai representasi sistem nyata dan merancang sistem solusi IDS. Topologi yang spesifik dapat dilihat pada subbab 4.12.1. 3.2.3 Simulation prototype Tahap selanjutnya adalah pembuatan protipe sistem yang akan dibangun, yaitu dengan menggunakan tools VMware version 6.0 dengan mempertimbangkan bahwa proses kesalahan dalam menerapkan EasyIDS (Easy Intrusion Detection system) tidak akan mempengaruhi pada lingkungan nyata. Dapat dilihat pada subbab 4.13. 3.2.4 Implementation Tahap

selanjutnya

adalah

implementasi,

pada

fase

perancangan digunakan sebagai panduan implementasi pada lingkungan simulasi LAN. Ini melingkupi instalasi dan konfigurasi terhadap rancangan topologi, komponen sistem sensor IDS yaitu snort. Dapat dilihat pada subbab 4.14. 3.2.5 Monitoring Setelah tahap implementasi adalah tahap monitoring dimana tahap ini penting. Proses pengujian dilakukan melalui aktivitas pengoperasian dan pengamatan sistem yang sudah dibangun dan diterapkan apakah sistem firewall dan EasyIDS sudah berjalan

65

dengan baik dan benar. Dalam hal ini penulis melakukan pengujian pada : Fungsionalitas (interkoneksi) perangkat jaringan komputer. Dalam hal menguji interkoneksi antar komponen EasyIDS dan Firewall, penulis metode studi kasus untuk mempermudah pengujian. Dapat dilihat pada subbab 4.16. 3.2.6 Management Pada fase ini, aktivitas perawatan, pemeliharaan dan pengelolaan. Karena proses manajemen sejalan dengan aktivitas perawatan atau pemeliharan sistem. Pada tahap ini untuk menghasilkan keluaran berupa jaminan fleksibilitas dan kemudahan pengelolaan serta pengembangan sistem EasyIDS dan Firewall dimasa yang akan datang. Dapat dilihat pada subbab 4.17.

66

Perencanaan Judul Skripsi Perumusan Masalah dan Batasan Masalah Perumusan Hipotesis

Metode Pengembangan Sistem Network Development Life Cycle Analysis

Metode Pengumpulan Data Identify

Observasi

Understand Studi Pustaka Analyze Wawancara Report

Design

Simulation Prototype

Perancangan Topologi Jaringan (Simulasi LAN)

Perancangan Sistem Sensor IDS

Membangun Simulasi dengan VMWare 6.0

Implementation

Implementasi Topologi Jaringan

Monitoring

Pengujian Sistem Jaringan

Pengujian Komponen IDS

Management

Pengelolaan Sistem Jaringan

Pengelolaan Sistem IDS

Perumusan Kesimpulan

Implementasi Sistem Operasi IDS

Pembuatan Laporan

Gambar 3.2 Diagram Metode Penelitian

Pengujian Interkoneksi IDS dan Firewall

BAB IV HASIL DAN PEMBAHASAN

4.1

Sejarah Singkat Berdirinya PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang Sejarah berdirinya PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang diawali pada tahun 1897, yaitu dengan mulai digarapnya bidang listrik oleh salah satu perusahaan Belanda (NV NIGM) yang ditandai dengan pendirian pusat pembangkitan tenaga listrik (PLTU) yang berlokasi di Gambir. Sejalan dengan pasang surutnya sejarah perjuangan bangsa, maka pada masa pemerintahan Jepang NV NIGM (Belanda) diambil alih oleh Pemerintah Jepang yang pada akhirnya dialihkan ke perusahaan Djawa Denki Jogyosha Djakarta Shisha. Dengan berakhirnya kekuasaan Jepang pada 17 Agustus 1945, maka dibentuklah Djawatan Listrik dan Gas Tjabang Djakarta yang selanjutnya dikembalikan lagi kepada pemilik asal (NV NIGM) pada tahun 1947 dan namanya berubah menjadi NV OGEM. Kemudian dengan berakhirnya masa konsesi NV OGEM Cabang Jakarta yang selanjutnya diikuti dengan nasionalisasi oleh Pemerintah Indonesia sesuai Keputusan Menteri PU dan

67

68

Tenaga No. U 16/9/1 tanggal 30 Desember 1953, maka pada tanggal 1 Januari 1954 dilakukan serah terima dan pengelolaannya diserahkan ke Perusahaan Listrik Jakarta dengan wilayah kerjanya adalah meliputi Jakarta Raya dan Ranting Kebayoran & Tangerang. Seiring dengan berjalannya waktu, maka perubahan pun terus bergulir sesuai kronologi berikut ini : 1. Berdasarkan UU No. 19 tahun 1960 dan PP No. 67 tahun 1961, dibentuk Badan Pimpinan Umum Perusahaan Listrik Negara (BPU PLN) khusus untuk wilayah Jakarta dengan nama Perusahaan Listrik Negara Exploitasi XII. 2. Berdasarkan SK Direksi BPU PLN No. Ktps/30/DIRPLN/62 tanggal 21 Desember 1962, wilayah kerja PLN Exploitasi XII dibagi menjadi 7 buah distrik dengan kelas yang berbeda-beda. 3. Pada tahun 1965 terjadi perubahan tanggung jawab, dimana PLN Exploitasi XII meliputi Cabang Gambir & Cempaka Putih, Jakarta Kota, Kebayoran, Jatinegara & Cawang, Tangerang dan Cabang Tanjung Priok pada tahun 1970. 4. Berdasarkan PP No. 18 tahun 1972, status Perusahaan Listrik Negara dirubah menjadi Perusahaan Umum Listrik Negara. 5. Berdasarkan Peraturan Menteri PUTL No. 01/Prt/1973 tanggal 23 Maret 1973, PLN Exploitasi XII dirubah menjadi Perum Listrik Negara Distribusi

69

IV yang meliputi Cabang Gambir, Kota, Kebayoran, Jatinegara, Tanjung Priok, Tangerang dan Bengkel Karet. 6. Berdasarkan SK Menteri PUTL No. 45/Ktps/1976 tanggal 8 Agustus 1976, nama PLN Distribusi IV dirubah menjadi PLN Distribusi Jakarta Raya dan Tangerang (sesuai SE Direksi PLN No. 025/PST/1976 tanggal 17 April 1976). 7. Berdasarkan penjelasan dan pengumuman Pemerintah tentang pembentukan Kabinet Pembangunan III tanggal 29 Maret 1978, PLN yang semula bernaung dibawah naungan Departemen Pertambangan dan Energi. 8. Pada kurun waktu 1984 s/d 1988 terjadi beberapa penambahan Unit Kerja, sehingga PLN Distribusi Jakarta Raya dan Tangerang memiliki tujuh cabang sebagai unsur pelaksana, satu unit pengatur distribusi dan satu bengkel pemeliharaan kelistrikan. Dua yang disebut terakhir adalah sebagai unsur penunjang. 9. Berdasarkan PP No. 23 tahun 1994 tanggal 16 Juni 1994, PLN yang dulunya dikenal sebagai PERUM berubah statusnya menjadi PERSERO, sehingga namanya berubah menjadi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang. 10. Berdasarkan White Paper Mentamben Agustus 1998, maka Pemerintah meluncurkan kebijakan Restrukturisasi Sektor Ketenagalistrikan sesuai Keputusan Menko WASPAN No. 39/KEP/MK.WASPAN/9/1998 serta kebijakan PT PLN (Persero) Kantor Pusat, maka PT PLN (Persero)

70

Distrisbusi Jakarta Raya dan Tangerang diarahkan kepada Strategic Business Unit/Investment Centre. 11. Sehubungan dengan butir No. 10 diatas, maka Direksi PLN telah mengeluarkan SK No. 161.K/010.DIR/2000 tanggal 5 September 2000 tentang organisasi PT PLN (Persero) Unit Bisnis Distribusi Jakarta Raya dang Tangerang. Sesuai SK Direksi tersebut, maka susunan organisasi PT PLN (Persero) Unit Bisnis Distribusi Jakarta Raya dan Tangerang adalah sebagai berikut : a. Unsur Pimpinan adalah General Manager. b. Unsur pembantu pimpinan, meliputi bidang-bidang : 1. Pemasaran dan Pengembangan Usaha. 2. Pelayanan Pelanggan. 3. Komersil. 4. Perencanaan. 5. Operasi dan Pelayanan Gangguan. 6. Pemeliharaan. 7. Logistik. 8. Teknologi Informasi. 9. Keuangan. 10. Akuntansi. 11. Organisasi dan Sumber Daya Manusia (SDM). 12. Hukum.

71

13. Hubungan Masyarakat. 14. Umum. c. Unsur Pengawasan, oleh Auditor Intern. d. Unit Pelayanan (UP). e. Unit Pengelola Jaringan (UPJ). f. Unit Gardu Induk. g. Unit Pengatur Distribusi (UPD). 12. Selanjutnya berdasarkan Keputusan Direksi PT PLN (Persero) No. 010.K/010/DIR/2003 tanggal 16 Januari 2003 tentang Organisasi PT PLN (Persero) Distribusi se Jawa-Bali, maka susunan organisasi PT PLN (Persero) Distribusi se Jawa-Bali sebagai berikut : a. Unsur Pimpinan adalah General Manager. b. Unsur pembantu pimpinan, meliputi bidang-bidang : 1. Perencanaan. 2. Distribusi. 3. Niaga. 4. Keuangan. 5. Sumber Daya Manusia (SDM) dan Organisasi. 6. Komunikasi Hukum dan Administrasi. c. Unsur Pengawasan, oleh Auditor Intern. d. Area Pelayanan (AP). e. Area Jaringan (AJ).

72

f. Area Pengatur Distribusi (APD). g. Area Pelayanan dan Jaringan : 1. Unit Pelayanan 2. Unit Pelayanan Jaringan 3. Unit Pelayanan dan Jaringan

4.2

Stuktur Organisasi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang

GENERAL MANAJER AUDITOR INTERNAL

MANAJER NIAGA

MANAJER DISTRIBUSI

MANAJER PERENCANAAN

MANAJER KEUANGAN

MANAJER SDM & ORGANISASI

MANAJER AJ (WIRE)

MANAJER APD (DCC)

MANAJER APL (RETAIL)

6 unit

1 unit

35 unit

MANAJER KOMUNIKASI, HUKUM & ADMINISTRASI

Gambar 4.1 Struktur Organisasi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang (plnjaya.co.id)

73

4.3

Visi dan Misi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang Sebagai satu kesatuan usaha PLN, PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang memiliki visi “Menjadi perusahaan distribusi tenaga listrik yang handal, tangguh dan berkembang”. Misi yang diemban adalah : a. Melaksanakan bisnis distribusi tenaga listrik yang berorientasi kepada pelanggan, karyawan dan pemilik. b. Meningkatkan profesionalisme Sumber Daya Manusia (SDM). c. Menjadikan bisnis tenaga listrik sebagai sarana pendorong pertumbuhan ekonomi nasional. d. Melaksanakan usaha sesuai dengan kaidah bisnis.

4.4

Tujuan dan Sasaran PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang Tujuan PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang adalah : a. Korporatisasi (kelayakan keuangan) sebagai perusahaan yang mendiri. b. Transparasi/akuntabilitas dalam bidang peran, tugas, tanggung jawab dan wewenang. c. Peningkatan efisiensi dan pengembangan usaha.

74

Sasaran PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang adalah : a. Menyiapkan Strategi Unit Bisnis menjadi anak perusahaan yang mandiri. b. Meningkatkan Customer Value, Share Holder Value dan Employee Value. Meningkatkan kompetensi dan efektifitas kinerja SDM. c. Mengupayakan penerapan tarif tenaga listrik sesuai dengan nilai ekonominya (Customer Oriented Company). d. Menyediakan tenaga listrik dengan jumlah dan kualitas yang memadai sesuai dengan kaidah bisnis yang wajar.

4.5

Selayang Pandang Jakarta sebagai ibukota negara, pusat pemerintahan dan barometer perekonomian nasional memerlukan dukungan energi listrik yang besar, bermutu dan handal. PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang merupakan salah satu ujung tombak PLN dalam melayani pelanggan diwilayah DKI Jakarta. Kotamadya Tangerang, Kabupaten Tangerang, serta sebagian Kabupaten Bogor, Kabupaten Depok dan Kabupaten Bekasi. Total luas wilayah operasi adalah 2.067 km2. Tugas pokok PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang. meliputi distribusi, penjualan tenaga listrik dan pelayanan pelanggan.

75

Operasionalisasi tugas pokok tersebut dikendalikan melalui unsur pelaksana yang terdiri dari 35 Area Pelayanan yang tersebar dipenjuru Jakarta dan Tangerang, didukung oleh 4 Area Jaringan dan 1 Area Pengatur Distribusi. Pengembangan bisnis dilakukan dengan berpedoman pada konsep retail dan wire, dimana retail menekankan pada aktivitas bisnis berorientasi pelanggan dan wire memfokuskan pada pengembangan jaringan fisik untuk mendukung layanan bagi pelanggan. Dari sisi retail kegiatan dilaksanakan oleh Area Pelayanan dengan tujuan untuk meningkatkan kualitas dan kecepatan layanan melalui peningkatan efektivitas dan efisiensi proses bisnis yang saling berkaitan. Model pelayanan yang dibangun adalah one stop service. Dari sisi wire kegiatan dilaksanakan oleh Area Jaringan dengan tujuan menjaga mutu dan keandalan pasokan tenaga listrik. Dengan didukung oleh aplikasi sistem informasi yang berbasis teknologi mutakhir, menjadikan sistem pelayanan pelanggan PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang menjadi lebih mudah, sehingga pelanggan dapat menikmati kemudahan-kemudahan proses pelayanan seperti : a. Komunikasi antara Area Pelayanan (AP) dan Area Jaringan (AJ), serta tempat pembayaran (bank), sehingga program pelayanan satu atap (one stop services) dapat dengan mudah dilaksanakan.

76

b. Pelanggan dapat mengetahui atai memonitor status rekening (berjalan atau tunggakan) secara online melalui aplikasi info rekening yang tersedia. c. Penelusuran data lebih mudah, terutama jika ada keluhan dari pelanggan. Sesuai dengan visi PLN, yaitu menjadi perusahaan pelayanan berkelas dunia yang bertumbuh kembang, unggul dan terpercaya dengan bertumbuh pada potensi insani, PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang terus berusaha meningkatkan kualitas manajemen mutu dan memberikan pelayanan terbaik kepada seluruh pelanggannya. Berkat keseriusan menjalankan proses bisnisnya, PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang berhasil dalam meningkatkan prestasi kerja dan mendapatkan beberapa penghargaan, diantaranya: a. Memperoleh Sertifikat ISO 9001: 2000 oleh sepuluh unit Area Pelayanan (APL) dan Area Jaringan (AJ) di akhir Desember 2004 oleh Badan Sertifikasi SAI Global Indonesia (SAI Global) dan PT PLN (Persero) Jasa Sertifikasi. Pemberian sertifikat ISO 9001: 2000 diberikan sehubungan dengan prestasi yang telah dicapai oleh unit Area Pelayanan di bidang pelayanan pelanggan, pembacaan meter, pembuatan rekening, pembukuan pelanggan, penagihan dan pengawasan kredit. b. Di Bulan Maret 2005, berdasarkan riset yang dilakukan oleh Quadrant Positioning and Branding, Call Center 123 PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang memperoleh penghargaan sebagai call center

77

terbaik pada kategori perusahaan public service oleh Majalah Marketing dan Center of Customer Satisfaction and Loyalty.

4.6

Sekilas Tentang Teknologi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang yang bergerak dibidang penyediaan jasa perlistrikan, telah mencakup hampir seluruh wilayah Indonesia. Pada awal beroperasinya yaitu tahun 1954 (penyerahan pertama kali oleh pihak OGEM kepada pihak Indonesia yang diwakili oleh Bapak Ir. R.M. Saljo) dapat dikatakan cukup lumayan dikarenakan pertama kali dikelola oleh OGEM (Overseesche Gas en Electriciteits Maatschapij). Pada sekitar tahun 1966, teknologi yang digunakan mulai difasilitasi oleh komputer. Tapi komputer yang digunakan masih berbentuk komputer yang sangat besar atau sering disebut dengan komputer mainframe. Dengan komputer mainframe ini, dapat dioperasikan jalannya arus listrik namun ruangan yang digunakan untuk menyimpan komputer mainframe tersebut harus besar dan luas. Namun pada tahun 2000 yang lalu, komputer mainframe sudah tidak digunakan lagi. Untuk meningkatkan efisiensi, efektivitas, dan kemudahan penggunaan maka komputer mainframe ini diganti dengan Personal Computer (PC).

78

4.7

Sistem Jaringan di PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang Sekarang ini, karena telah banyak penggunaan komputer di dalam perusahaan PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang baik pusat maupun dicabang-cabang pembantu, maka di dalan divisi TI telah dikembangkan penggunaan jaringan yang bermula dari sistem jaringan Local Area Network (LAN) dimana sistem tersebut hanya dapat berhubungan antara gedung satu dengan gedung lainnya tetapi masih dalam satu kawasan. Seiring dengan perkembangan teknologi yang semakin pesat, divisi TI PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang melakukan pengembangan pemakaian jaringan dari sistem LAN, kemudian Wide Area Network (WAN).

4.8

Data PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang Nama

: PT

PLN

(Persero)

Distribusi

Jakarta

Raya

dan

Tangerang. Ditetapkan

: 16 Januari 2003, sesuai SK Direksi PT PLN (Persero) No. 010.K/010/DIR/2003

Kantor Induk

: Jl. M.I. Ridwan Rais No. 1 Jakarta 10110 Indonesia

79

Bisnis Utama

:  Penjualan Tenaga Listrik 

Pengoperasian,

pemeliharaan

&

pengembangan

Jaringan Tenaga Listrik Sistem Tegangan Menengah (20 KV) dan Jaringan Tegangan Rendah (220 V) Total Asset

: Rp. 2,8 Trilyun

SDM

: 3.475 Orang ( status Agustus 2005 )

Jumlah Pelanggan : 3.073.413 pelanggan ( status Maret 2005 )

4.9

Peta Wilayah PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang

AP = Area Pelayanan, AJ = Area Jaringan, APD = Area Pengatur Distribusi Gambar 4.2 Peta Wilayah PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang (plnjaya.co.id)

80

4.10 Infrakstruktur Sistem Teknologi Informasi (ISTI) Subbidang Infrakstruktur Sistem Teknologi Informasi (ISTI) adalah tempat penulis melaksanakan kegiatan riset atau penelitian. Subbidang ISTI merupakan salah satu dari dua subbidang yang terdapat pada Bidang Perencanaan yang berhubungan dengan permasalahan infrakstruktur jaringan PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang. Berikut ini adalah bagan struktur organisasi yang ada pada Bidang Perencanaan : Bidang Perencanaan

Perencanaan Korporat

Perencanaan Sistem

Teknologi Informasi (TI)

Aplikasi Sistem Teknologi Informasi (ASTI)

Infrastruktur Sistem Teknologi Informasi (ISTI)

Gambar 4.3 Struktur Organisasi Bidang Perencanaan (plnjaya.co.id)

81

Pada bab ini, penulis akan menjelaskan proses pengembangan sistem keamanan jaringan yang terintegrasi IDS (Intrusion Detection System) berbasis open source, dalam studi pengembangan Intrusion Detection System (IDS) dengan menerapkan landasan teori dan metode penelitian yang sudah dibahas pada bab-bab sebelumnya. Metode Penelitian yang penulis gunakan adalah metode NDLC (Network Development Life Cycle). Siklus hidup pengembangan sistem jaringan didefinisikan dalam sejumlah fase-fase, yaitu : analysis (analisis), design (perancangan), simulation prototyping

(prototipe

simulasi),

implementation

(penerapan),

monitoring

(pengamatan), dan management (pengaturan).

4.11 Analysis (Analisis) Pada bab ini, penulis akan menjelaskan bagaimana cara melakukan konfigurasi EasyIDS. Pada tahap analisis ini dibagi menjadi beberapa fase yaitu : identify (mengidentifikasi rumusan masalah), understand (memahami rumusan permasalahan), analyze (analisis kebutuhan sistem) dan report (pelaporan dari hasil analisis).

82

4.11.1 Identify Tujuan dikembangkannya sistem pendeteksi penyusup adalah untuk mencatat atau mengetahui jenis serangan yang dilakukan dengan mencatat atau mengetahui jenis serangan, sistem pendeteksi penyusup atau biasa dikenal dengan sebutan Instrusion Detection System (IDS) memiliki banyak perbedaan, berdasarkan kemampuan yang dimiliki masing-masing jenis sistem pendeteksi penyusup. Penulis yang dibahas dalam skripsi ini adalah Network IDS (NIDS), dimana NIDS akan memantau semua lalu lintas jaringan pada segmen dimana sensor terpasang, aktif pada suatu hal yang mencurigakan atau aktifitasaktifitas berdasarkan tindakan. Identifikasi permasalahan lebih lanjut dari terjadinya aktivitas penyusup pada aset atau sumber daya sistem yang dimiliki adalah sistem yang secara intensif mengamati dan menganalisis paket-paket penyusup yang lewat disebuah jaringan, sehingga tidak terjadinya tindakan preventif (pencegahan) untuk mengatasi resiko terjadinya penyusup. Permasalahannya timbul ketika suatu penyerangan terjadi di suatu jaringan internal, dimana firewall hanya memblok paket-paket yang di anggap mencurigakan dari pihak luar.

83

4.11.2 Understand Hasil identifikasi rumusan permasalahan diatas membutuhkan pemahaman yang baik agar dapat menghasilkan solusi tepat dan berguna. Dengan menggunakan metode studi pustaka atau studi literatur penulis memanfaatkan perpustakaan dan internet untuk mengumpulkan sejumlah data dan informasi dari berbagai sumber dalam bentuk buku, makalah, literature, artikel dan berbagai situs web mengenai topik permasalahan yang terkait. Hasilnya digunakan untuk memahami permasalahan yang terjadi untuk merumuskan solusi yang efektif dalam menyelesaikan berbagai perumusan permasalahan. Pemahaman tersebut, maka

penulis

gunakan

untuk

merancang,

membangun

dan

mengimplementasikan sistem keamanan jaringan yang diharapkan dan juga dapat mengatasi berbagai perumusan permasalahan yang ada. Penulis berfokus untuk memahami konsep-konsep dari sistem keamanan jaringan dan sistem pendeteksi penyusup atau Intrusion Detection System (IDS). 4.11.3 Analyze Hasil pemahaman penulis akan digunakan sebagai masukan untuk menganalisis sistem solusi yang dapat mengatasi rumusan permasalahan. Hasil analisis sebagai berikut :

84

a. Penulis menerapkan EasyIDS berbasis signature/rules open source, dengan menggunakan intergrasi Snort, Barnyard, Oinkmaster dan BASE. Dimana penulis menggunakan sistem operasi UNIX yaitu EasyIDS, EasyIDS tersebut menggunakan sistem UNIX Centos 5.4 Final. Snort

bertugas

untuk

melakukan

pemberitahuan

saat

mendeteksi sesuatu yang dianggap aktivitas yang mencurigakan atau tindakan illegal. Snort tidak melakukan pencegahan terjadinya penyusupan pada sistem jaringan komputer tetapi akan memicu alert (peringatan). b. Jika terjadi aktivitas penyusup, Barnyard bertugas untuk menangani file output snort (unified file format) sehingga snort dapat bekerja jauh lebih fokus mengamati lalu lintas atau traffic jaringan. Barnyard juga bertugas memformat ulang output file Snort agar dapat di manfaatkan untuk keperluan analisis. Oinkmaster bertugas untuk memperbaharui (Update) secara berkala signature/rules yang digunakan Snort dalam mendeteksi jenis serangan spesifik. BASE (Basic Analysis Security Engine) bertugas untuk mempresentasikan log file Snort kedalam format berbasis GUI yaitu web yang lebih user-friendly hingga dapat mempermudah seorang admin jaringan untuk proses analisis suatu penyusup pada mesin sensor IDS.

85

4.11.4 Report Proses akhir pada fase analisis adalah pelaporan yang berisi detail atau rincian dari berbagai komponen atau elemen sistem yang dibutuhkan. Adapun peralatan atau perangkat yang digunakan dalam penelitian dapat digolongkan menjadi dua jenis, yaitu perangkat lunak (software) dan perangkat keras (hardware) yaitu : a. Spesifikasi Sistem Yang Akan Dibangun Tabel 4.1 Spesifikasi Sistem Yang Akan Dibangun Sistem

Keterangan

Intrusion Detection System

Berjenis NIDS (Network Intrusion Detection System) : Dapat mengawasi segmen jaringan internal.

Client

Bertindak sebagai sistem client segmen jaringan internal. Difungsikan sebagai sistem penyerang untuk menguji fungisonalitas IDS dari dalam jaringan segmen.

b. Spesifikas perangkat lunak (Software) Perangkat lunak (software) yang digunakan penulis dalam penelitian tugas akhir ini adalah :

86

Tabel 4.2 Spesifikasi Perangkat Lunak (Software) yang digunakan No.

Software

Keterangan

Sistem Operasi Mesin Sensor IDS dan Manajemen Sensor IDS 1.

Centos 5.4 Final

Sistem Operasi digunakan.

IDS

yang

2.

Microsoft Windows 7 Profesional

Sistem Operasi sensor IDS.

manajemen

Sistem Operasi Client 1.

Microsoft Windows COOPARATE

XP

SP

3 Sistem Operasi client difungsikan sebagai penyerang dan menguji fungsionalitas mesin sensor IDS.

Software Perancangan Topologi 1.

Microsoft Office Visio 2003

Program topologi

untuk

merancang

Sensor Intrusion Detection System (IDS) 1.

EasyIDS

EasyIDS version 4.

2.

Snort 2.8.5.1

Program IDS/IPS open source.

3.

Barnyard 1.9

Program handler.

4.

BASE (Basic Analysis and Security Program representasi mesin Engine) 1.4.4 analisis dan keamanan berbasis web based.

5.

Oinkmaster 2.0

Program update.

Snort’s

snort

Output-

signature

Software Pengujian Sensor IDS 1.

Nmap 5.0

Program network scanner untuk pengujian sistem IDS pada client LAN.

87

c. Spesifikasi perangkat keras (Hardware) Tabel 4.3 Spesifikasi Perangkat Keras (Hardware) yang digunakan No.

Perangkat

Jumlah

Keterangan Spesifikasi

1.

PC Mesin Sensor

1

Intel Core 2 Duo E 6550 2,33 GHz, RAM 2 GB Harddisk 200 GB.

2.

PC Client

1

Intel Pentium Dual Core T2310 1,46 GHz, RAM 1,5GB , Harddisk 80 GB.

Spesifikasi Perangkat Jaringan 1.

Router

1

Cisco Router packet teer 2500

2.

Switch

2

Catalyst 2950 (24 Port) dan Catalyst 2940 (8 port).

3.

Kabel UTP

4

Kabel UTP AMP cat 5e

4.12 Design (Perancangan) Tahap analisis menghasilkan sebuah rincian spesifikasi kebutuhan dari sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi rancangan sistem yang dibangun. Dalam penelitian ini, penulis menggunakan simulasi LAN sebagai representasi sistem jaringan. Proses perancangan di bagi menjadi :

88

4.12.1 Perancangan Topologi Pada tahap ini penulis menentukan jenis topologi yang digunakan dari simulasi LAN yang akan dibangun dan mendefinisikan konfigurasi yang dibutuhkan untuk menjamin sistem jaringan komputer yang akan dibangun dapat berjalan dengan baik.

Gambar 4.4 Topologi Jaringan Sebelumnya

89

Gambar 4.5 Topologi Jaringan yang Diusulkan Rincian keterangan gambar rancangan topologi jaringan komputer diatas adalah sebagai berikut : 1. Jenis topologi yang digunakan adalah topologi hybrid. 2. Alamat IP yang digunakan menggunakan kelas A. 3. Mesin sensor : mendefinisikan mesin sensor IDS. Mesin sensor terdiri dari dua unit Ethernet. Ethnernet-0 adalah interface eth0 untuk memanajemen sensor IDS dan Ethernet-1 adalah eth1 untuk memonitor sebuah sistem jaringan yang terhubung dengan Switch melalui media kabel UTP berjenis straight.

90

4. Manajemen Sensor IDS : mendefinisikan untuk memanajemen sensor IDS yang memiliki satu buah ethernet, dimana dihubungkan langsung ke switch. 5. Client : mendefinisikan client dari LAN dan juga sebagai pengujian sistem mesin sensor IDS, client memliki satu buah Ethernet yaitu eth0. 6. Switch, media ini penulis gunakan untuk menghubungkan seluruh host pengguna sistem jaringan komputer dan penulis juga mengkonfigurasi sebuah switch yang bisa di manage yang memiliki fitur SPAN port (Port yang bertugas menjadi mirror untuk membroadcast traffic). Pada sensor IDS ini sangat dibutuhkan dalam menangkap data yang lewat jaringan yang dapat diamati dan dianalisis oleh sensor IDS. 4.12.2 Perancangan Sistem Setelah

perancangan

topologi

jaringan

(simulasi

LAN),

selanjutnya adalah membuat perancangan sistem baru yang akan dibangun

dan

diimplementasikan.

Pada

tahap

ini

penulis

menspesifikasikan seluruh komponen mesin sensor yang dibutuhkan. Penulis mendefinisikan dan menspesifikasikan seluruh komponen yang dibutuhkan dapat dilihat pada tabel 4.4.

91

Tabel 4.4 Komponen sistem Mesin

Komponen

Keterangan Mesin sensor ini mengintergrasikan fungsi menganalisis traffic sebuah sistem jaringan dan deteksi aktivitas intruder (Snort), pengelola output Snort (Barnyard), pengelolaan Signature/rules Snort (Oinkmaster), Management console dan alert dari Snort adalah BASE.

1. Snort 2. Barnyard 3. Oinkmaster Sensor IDS

4. BASE

Mendefinisikan sebagai client dan juga untuk pengujian sistem sensor IDS.

1. Nmap 2. Commandprompt (pinger)

Client

4.13 Simulation Prototyping (Prototipe Simulasi) Pada tahap ini penulis membuat prototipe dari sistem baru yang akan dibangun, dimana diimplementasikan pada simulasi LAN. Simulasi prototipe menggunakan

software

memvirtualisasikan

aplikasi

sistem

yang

yaitu

VMware

akan

diterapkan.

version Simulasi

6.0

untuk

prototipe

dimaksudkan untuk memenuhi sejumlah tujuan : a. Menjamin efektivitas fungsionalitas dari interkoneksi antar elemen atau komponen sistem.

92

b. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi sistem pada lingkungan nyata.

4.14 Implementation (Implementasi) Tahap selanjutnya adalah implementasi detail rancangan topologi dan rancangan sistem lingkungan LAN. Proses implementasi terdiri dari instalasi mesin sensor dan konfigurasi mesin sensor IDS. 4.14.1 Impelemntasi Sistem Operasi Sebelum membangun dan menerapkan rancangan sebuah sistem mesin sensor. Penulis

menginstalasi sistem operasi yang nantinya

digunakan dalam proses penelitian. Pada mesin sensor penulis menggunakan sistem operasi UNIX bernama EasyIDS versi 4 yang dimana sistem operasi yang digunakan EasyIDS adalah Centos 5.4 Final dan pada client menggunakan Microsoft Windows XP SP3 Cooperate dan manajemen menggunakan sistem operasi Microsoft Windows 7 Professional. Untuk langkah-langkah instalasi dapat sebagai berikut : 1. Proses booting EasyIDS. Dimana tampilan saat booting EasyIDS, untuk melakukan install EasyIDS option yang dipilih adalah tekan enter, pada proses booting tersebut diberikan peringatan (warning)

93

bahwa saat proses install format harddisk dan akan menghapus semua data pada komputer, seperti pada gambar 4.6.

Gambar 4.6 Proses instalasi Sistem Operasi EasyIDS 2. Setelah proses booting EasyIDS, maka akan tampil jenis keyboard yang dipilih, pada proses instalasi menggunakan type keyboard us, karena sistem keyboard yang digunakan dalam penelitian ini adalah sesuai dengan keyboard us yang dijual dipasaran. Seperti pada gambar 4.7.

94

Gambar 4.7 Jenis Keyboard 3. Pada proses instalasi dimana saat proses instalasi root password dibutuhkan pada saat login mesin sensor. Dimana sensor ini menggunakan root password imam87, fungsi root password ini untuk menjaga keamanan ke mesin sensor IDS. Seperti pada gambar 4.8.

Gambar 4.8 Root password dibutuhkan saat login mesin sensor

95

4. Setelah

proses

memasukkan

root

password,

maka

langkah

selanjutnya adalah pengaturan Time Zone Selection adalah lokasi benua dan Negara, dimana pada penelitian ini pemilihan zona waktu adalah Asia/Jakarta seperti pada gambar 4.9.

Gambar 4.9 Setting Time Zone 5. Selanjutnya adalah proses dimana semua partisi yang ada dalam harddisk akan dihapus semua seperti pada gambar 4.10.

96

Gambar 4.10 Format Harddisk 6. Terakhir adalah Proses instalasi paket-paket pada sistem operasi EasyIDS dimana software-software yang dibutuhkan oleh snort, seperti pada gambar 4.11.

Gambar 4.11 Package Installation

97

7. Setelah proses paket intalasi selesai maka proses selanjutnya adalah proses instalasi snort pada mesin sensor IDS, dimana pada penelitian ini menggunakan versi snort 2.8.5.1 sepert pada gambar 4.12.

Gambar 4.12 Instalasi snort

8. Proses ekstrak rules snort, difungsikan agar snort dapat bekerja sesuai dengan rules dan dapat mendeteksi jenis-jenis serangan. Seperti pada gambar 4.13.

98

Gambar 4.13 Ekstrak Rule Snort 9. Login pada mesin sensor IDS dimana login adalah dengan username root dan passwordnya adalah imam87 seperti pada gambar 4.14.

Gambar 4.14 Login Mesin Sensor IDS

99

10. Setelah berhasil login ke mesin sensor, maka untuk akses mesin sensor IDS yaitu EasyIDS dengan web GUI dengan alamt URL https://10.3.4.221. Seperti pada gambar 4.15.

Gambar 4.15 Setelah Login Mesin Sensor EasyIDS

4.14.2 Impelementasi dan konfigurasi Mesin Sensor Konfigurasi mesin sensor, dimana mesin sensor bernama EasyIDS, untuk akses mesin sensor dengan web Graffic User Interface (GUI) menggunakan browser yaitu Mozilla firefox pada alamat URL https://10.3.4.221 Login dengan web based dengan username dan password adalah default, dimana username adalah admin dan password adalah password, seperti pada gambar 4.16.

100

Gambar 4.16 Tampilan Login Web Based ke Mesin Sensor Pada gambar 4.17 setelah memasukkan username dan password ke alamat mesin sensor yang diakses oleh komputer manajemen mesin sensor IDS, maka akan tampil Welcome to EasyIDS menjelaskan tentang licenses software tersebut untuk setuju (accept) kemudian beri tanda checklist (√) kemudian klik submit.

101

Gambar 4.17 Tampilan Welcome EasyIDS Pada gambar 4.18 setelah itu akan tampilan untuk mengubah passwords root Mysql, pada mesin sensor ini menggunakan password root imamsutanto. Difungsikan saat adanya perubahan database maka username root dengan passwords yang telah diganti dan juga untuk menjaga sisi keamanan database Mysql.

102

Gambar 4.18 Tampilan Change Passwords MySQL Pada gambar 4.19 setelah proses memasukkan username dan paswword, sehingga password yang telah diganti telah berhasil.

Gambar 4.19 Tampilan Setelah Passwords Dimasukkan Pada gambar 4.20 setelah proses konfigurasi maka tampilan awal EasyIDS, dimana saat tampilan awal EasyIDS menjelaskan tentang apa itu EasyIDS, Getting started, Arpwatch, BASE, NTOP dan NMAP.

103

Gambar 4.20 Tampilan Awal EasyIDS Berbasis GUI Pada gambar 4.21 Setting EasyIDS mempunyai beberapa konfigurasi yaitu snort configuration antara lain Network Settings, Notify Settings, Rulesets, Thresholds, Rule Updates, Edit Config File.

.

104

Gambar 4.21 Snort Configuration Pada gambar 4.22 EasyIDS mempunyai beberapa pengaturan antara lain Snort Network Settings pada snort network setting untuk mengatur koneksi jaringan internal maupun eksternal, maupun beberapa server. Pada skripsi ini Penulis memberikan alamat IP pada Home Network dengan IP 10.3.1.0/24 dimana /24 adalah subnet 255.255.255.0, DNS Server dengan IP 10.3.0.30, Mail Server 10.3.0.40, Web Server dengan IP 10.3.9.10, FTP Server 10.3.0.4.

Gambar 4.22 Snort Network Settings

105

Pada gambar 4.23 snort configuration, mesin sensor IDS perlu adanya update rules secara berkala agar snort dapat mendeteksi atau mengenali jenis serangan baru. Cara update rule yaitu ruleset Sourcefire VRT certified register user rules dengan memasukkan Oink Code yaitu 97c79acd042fb5d386d07a1a3ace7148ab6398fd.

Untuk

mendapatkan

Oink Code tersebut, sebelum harus melakukan registrasi ke situs www.snort.org.

Gambar 4.23 Snort Rule Updates Pada

gambar

4.24

Notify

Settings

difungsikan

untuk

memberitahukan alert selama waktu yang di inginkan oleh user atau administrator jaringan dan dikirim lewat email, dimana fungsi ini bisa di

106

nonaktifkan atau diaktifkan, pengaturan bisa dilakukan dengan sesuai dengan hari.

Gambar 4.24 Notify Settings Pada gambar 4.25 Snort Rulesets dimana rule-rule snort tersebut digunakan oleh snort. Rule tersebut bisa di aktifkan atau di nonaktifkan sesuai dengan keinginan adiministrator jaringan. Setiap mengkonfigurasi rule snort, harus melakukan restart snort.

107

Gambar 4.25 Snort Rulesets Pada

gambar

4.26

System

Status

pada

EasyIDS

untuk

menginformasikan service apa saja yang sedang berjalan ataupun berhenti. Bahwa sistem snort dan barnyard sedang running atau berjalan.

108

Gambar 4.26 System Status Pada gambar 4.27 EasyIDS mempunyai status informasi pada sebelah kiri menunjukkan System vital yaitu menjelaskan tentang software yang digunakan dan sebagainya. Pada Network Usage menunjukkan device network apa saja yang digunakan yaitu lo, eth0, eth1. Pada sebelah kanan menunjukkan status hardware informasi tersebut memberikan status spesifikasi hardware yang digunakan, status memory yang dipakai dan juga kapasitas harddisk yang terpakai secara detail.

109

Gambar 4.27 System Information

4.15 Implementasi BASE (Basic Analysis and Security Engine) Versi BASE pada sistem EasyIDS yang digunakan oleh penulis adalah versi BASE 1.4.4. Dimana BASE sudah ada didalam proses instalasi sistem operasi EasyIDS yang sudah include BASE 1.4.4. Pengujian Base yang dilakukan penulis adalah dengan melakukan pada browser yaitu menggunakan

110

browser Mozilla firefox dengan memasukkan alamat URL https://10.3.4.221 cara pilih analysis kemudian pilih BASE maka tampilan halaman BASE seperti pada gambar di bawah ini :

Gambar 4.28 Tampilan Halaman BASE (Basic Analysis and Security Engine)

4.16 Monitoring (Pengawasan) Model Pengawasan sistem jaringan komputer NDLC mengkategorikan proses pengujian pada tahap pengawasan (monitoring). Hal ini dikarenakan pengawasan sistem yang sudah dibangun atau dikembangkan. Proses pengujian

111

(testing) yaitu untuk menjamin apakah sistem yang dibangun atau dikembangkan dapat berjalan dan sesuai dengan kebutuhan. Aktivitas pengujian yang dilakukan pada penelitian ini adalah pengujian bersifat fungsionalitas, dimana pengujian tersebut menghasilkan output yang valid dan yang invalid. Tahap monitoring (pengawasan) yang diterapkan oleh penulis apakah sudah dapat bekerja dengan baik. Tahap monitoring mencakup sejumlah proses seperti : Melakukan penyerangan terhadap mesin sensor yaitu dengan mengamati dan menganalisis alert BASE (Basic Analysis and Security Engine). Pengujian komponen sistem mesin sensor IDS dilakukan dilingkungan LAN, berikut ini adalah proses pengujian terhadap sistem yang sudah dibangun dan dikembangkan : 4.16.1 Pengujian Fungsionalitas Komponen IDS a. Pengujian Snort Pengujian snort pada mesin sensor IDS dilakukan dengan menggunakan rule yang sudah ada. Dimana pengujian tersebut dengan melakukan serangan ke mesin sensor IDS. 1. Percobaan 1 : PING Attack (TCP Traffik) Pada kasus ini, penulis mensimulasikan dan menganalisis jenis serangan berprotokol TCP. Pada mesin sensor IDS, dimana client

112

mencoba ping attack ke alamat IP mesin sensor IDS yaitu 10.3.4.221 dengan menggunakan command prompt dengan mengirimkan paket sebesar 65500. Seperti pada gambar 4.29.

Gambar 4.29 Ping Attack 2. Percobaan Kedua : NMAP Port Scanning Attack Pada kasus ini, penulis mendefinisikan akan mesimulasikan dan menganalisis jenis aktivitas port scanning dengan menggunakan program nmap, yang dilakukan dari client atau mesin penyerang. Pada percobaan ini penulis, pada client mencoba port scanning dengan menggunakan nmap yaitu ke mesin sensor IDS dengan IP 10.3.4.221. Pada program nmap yang sudah diinstall

113

dimesin client difungsikan untuk menguji coba mesin sensor IDS yaitu dengan target IP 10.3.4.221 (mesin sensor IDS) dengan profile Intense scan, all TCP ports. Pada gambar 4.24 saat scanning yang dilakukan oleh client ke mesin sensor IDS, bahwa mesin sensor IDS pada port scanning yang client lakukan dengan menggunakan program nmap ke mesin sensor bahwa adanya port yang terbuka pada mesin sensor IDS yaitu port 80, 443 dan 22.

Gambar 4.30 Uji coba Nmap Client ke mesin sensor IDS

114

4.16.2 Analisa Data BASE (Basic analysis and security engine) Pada Sub bab ini penulis akan menjelaskan proses analisis data kejadian melalui fungsionalitas BASE. Berikut ini adalah langkah analisa BASE :

Gambar 4.31 Halaman Utama BASE Pada gambar 4.31 halaman utama BASE, kuadran sisi kiri atas terdapat link yang menjelaskan sejumlah informasi seperti alert yang terjadi hari ini, 24 jam terakhir dan 72 jam terakhir yang dapat di tampilkan berdasarkan parameter unique, listing, alamat IP berdasarkan sumber dan tujuan.

115

Pada kuadran sisi kanan terdapat informasi search dimana pencarian berdasarkan waktu, jam, dan bulan. Pada graph alert data menjelaskan informasi berdasarkan grafik alert dan pada graph alert detection time grafik berdasarkan waktu yang sudah di konfigurasi. Pada kuadran kanan bawah menginformasikan traffic profile by protocol (traffic berdasarkan protokol), dan pada kuadran kiri bawah menginformasikan jumlah sensor, alert unik, jumlah alert, alamat IP berdasarkan sumber, tujuan dan unik alert. Pada traffic profile by protocol dilihat dari protokol TCP dan Portscan traffic terjadi peningkatan sinyal berwarna merah yaitu pada protokol TCP terjadi presentase alert sebesar 69% dan pada portscan traffic presentase sebesar 31%. Penulis memanfaatkan fitur grafik pada BASE (Basic Analysis and Security Engine) untuk menginformasikan alamat IP sumber dengan jumlah alert yang dihasilkan. Berikut hasilnya pada tampilan diagram batang (Bar chart) memiliki presentase alert sebesar 78,7% pada alamat IP 10.3.4.223, presentase alert sebesar 4,9% pada alamat IP 10.3.4.224 dan presentase alert sebesar 16,4% pada alamat IP 68.180.217.33 dari jumlah alert yang paling terdeteksi oleh mesin sensor IDS. Seperti pada gambar 4.32.

116

Gambar 4.32 Diagram Batang Berdasarkan Time dan Jumlah Alert Pada gambar 4.33 fitur yang menampilkan profil traffic by protocol yaitu protokol TCP, BASE menginformasikan sejumlah alert dan log pada protokol TCP.

117

Gambar 4.33 Tampilan Daftar Alert Berdasarkan Protokol TCP

118

Terlihat pada daftar alert berdasarkan protokol TCP yaitu informasi dari kiri ke kanan adalah informasi identitas alert, informasi signature yang tergenerate, timestamp (waktu terjadinya alert), alamat IP sumber, alamat IP tujuan (target) dan protokol yang digunakan. Dimana ID nomor 1 (1-3) dengan signature snort dengan nama ssh Protocol mismatch, waktu tahun 2010 bulan 05 tanggal 24 pukul 06:04:44 dengan alamat IP sumber 10.3.4.223 dengan tujuan (target) 10.3.4.221 pada protokol TCP. Pada gambar 4.34 adalah Detail rincian dari setiap kejadian pada mesin sensor IDS, dimana BASE mempresentasikan secara rinci komponen dari traffic alert yang meliputi : metadata terdiri dari nomor ID yaitu 1 dengan waktu 2010-05-24 05:31:05 dengan signature snort_decoder : TCP Window Scale Option Scale Invalid (>14) lebih dari 14 time to live. Pada sensor terdiri dari alamat sensor yaitu easyids, interface pada Ethernet 1, Filter tidak ada. Pada informasi protocol IP terdapat alamat sumber yaitu 10.3.4.223 dengan tujuan 10.3.4.221 version IP address adalah IP version 4, pada header length (panjang header 20 dan length 60, ID 26596, Time To Live 56 dan checksum 64790= 0xfd16. Pada informasi protocol TCP adalah sumber port dan tujuan port yaitu 33069 dan 30170.

119

Gambar 4.34 Detail Profile Traffic Alert

4.16.3 Solusi Mengatasi Serangan Ping Attack dan Port Scanning Untuk mengatasi serangan dari intruder yaitu dengan cara ping attack ke sebuah mesin sensor IDS, maka penulis menuliskan sebuah rule iptable, dimana rule tersebut untuk memblok berdasarkan alamat IP Address. [root@easyids ~]# iptables –I INPUT –s 10.3.4.223 –j DROP

120

Saat rule iptables dimasukkan ke dalam rule iptables maka akan terlihat pada mesin client atau penyerang yaitu request time out, seperti gambar dibawah ini :

Gambar 4.35 Memblok Client Dalam Melakukan Ping Attack Pada mesin client atau penyerang saat melakukan port scanning dengan menggunakan tools Nmap, maka pada Nmap tidak terlihat adanya port yang terbuka, seperti pada gambar di bawah ini :

121

Gambar 4.36 Nmap Pada Mesin Client

EasyIDS memiliki sistem grafik yang mempermudah seorang admin untuk menganalisa sebuah paket jaringan yaitu grafik system, grafik network, grafik snort network settings. Pada Network Graphs ada dua interface Ethernet dimana eth0 berfungsi untuk memanajemen jaringan, terdiri dari dua warna yaitu hijau untuk traffic incoming dan biru untuk traffic outgoing.

122

Pada gambar 4.37 Snort Performance Graphs yaitu Dropped Packets percentage adalah untuk menunjukkan paket yang didrop atau dijatuhkan ke mesin sensor, bahwa pada grafik tersebut tidak ada pergerakan grafik. Pada Alerts per second adalah untuk menunjukkan pergerakan adanya alert atau peringatan kepada mesin sensor, bahwa terjadi pergerakan grafik per second (detik). Seperti gambar dibawah ini :

Gambar 4.37 Grafik Dropped Packet dan Alert Per Second Snort

Pada gambar 4.38 grafik Mbit per second menunjukan adanya pergerakan grafik dalam megabit yaitu pada grafik terdiri dari 3 warna yaitu hijau, biru dan merah. Dimana hijau menunjukkan total on wire, biru

123

menunjukkan Application layer dan merah menunjukkan fragmented on wire. Pada grafik terjadi pergerakan yaitu terjadi jumlah paket yang lewat dan application layer. Pada Kpackets Per Second adalah menunjukkan grafik paket per kilobyte paket yang terdeteksi oleh mesin sensor. Seperti pada gambar dibawah ini :

Gambar 4.38 Grafik Mbits per second dan Kpackets Per Second Snort

Pada gambar 4.39 grafik SYN + SYN/ACK Packets per second adalah grafik yang terjadi peningkatan grafik dan session events per second yang ditunjukkan dengan warna biru.

124

Pada grafik Sessions event per second adalah grafik yang menunjukkan sessions baru dan yang terhapus atau deleted, dimana new ditunjukkan dengan warna biru dan deleted ditunjukkan dengan warna merah. Seperti gambar di bawah ini :

Gambar 4.39 Grafik SYN + SYN/ACK Packet dan Session Event Snort

Pada gambar 4.40 grafik open sessions adalah session yang terbuka saat sessions, dimana open sessions ditunjukkan dengan warna biru dan max sessions ditunjukkan dengan warna hijau.

125

Pada gambar 4.40 grafik Stream Events adalah grafik yang menunjukkan terjadi urutan-urutan event yang terjadi per second (detik), dimana flushes ditunjukkan dengan warna merah jambu (pink).

Gambar 4.40 Grafik Open Session dan Stream Event

Pada gambar 4.41 frag event adalah terdiri dari creates yang ditunjukkan dengan warna pink (merah jambu), Completes yang ditunjukkan dengan warna hijau, inserts yang ditunjukkan dengan warna biru, deletes yang ditunjukkan dengan warna biru muda dan timeouts yang ditunjukkan dengan warna merah.

126

Pada gambar 4.41 grafik Average Byte Per Packet adalah rata-rata paket dalam byte yang melewati mesin sensor IDS.

Gambar 4.41 Grafik Frag Event dan Average Byte Per Packet

Pada gambar 4.42 sistem grafik EasyIDS yaitu System Graphs menunjukkan suatu sistem memakai CPU Usage per hari dimana User CPU Usage adalah pemakaian CPU oleh user atau pemakai ditunjukkan dengan warna biru, pada system CPU ditunjukkan dengan warna merah dan Idle CPU Usage adalah pemakaian CPU waktu menganggur CPU ditunjukkan dengan warna hijau.

127

Pada gambar 4.42 Grafik memory terjadi pemakaian memory yang ditunjukkan dengan warna biru dan cache memory terjadi pemakaian yang ditunjukkan dengan warna merah. Free memory atau memory yang kosong ditunjukkan dengan warna hijau.

Gambar 4.42 Grafik Sistem

Pada gambar 4.43 Network Graphs ada dua interface Ethernet dimana traffic eth0 berfungsi untuk memanajemen mesin sensor IDS dan Pada eth1 difungsikan untuk memonitor sistem jaringan pada mesin sensor IDS, dimana incoming traffic ditunjukkan dengan warna hijau dan outgoing traffic ditunjukkan dengan warna biru.

128

Gambar 4.43 Network Graphs

4.17 Management (Pemeliharaan) Pada Fase management atau pemeliharaan meliputi aktivitas pemeliharaan dan perawatan terhadap sistem yang telah dibangun. Pada fase manajemen mempunyai serangkaian proses pengelolaan, pemeliharaan atau perawatan dilakukan untuk sejumlah tujuan :

129

a. Memperbaiki beberapa kesalahan terhadap sistem yang sudah dibangun. b. Mengadaptasi sistem yang sudah dibangun terhadap platform dan teknologi baru dalam mengatasi sejumlah perkembangan permasalahan yang muncul Pada tahap perancangan, pembangunan dan pengembangan sistem mesin sensor IDS, fase manajemen dipresentasikan dengan beberapa cara yaitu : a.

Memperbaharui rules dari snort, hal ini agar IDS dapat selalu mengenali jenis serangan.

b.

Memperbaharui versi setiap komponen mesin sensor IDS yaitu Snort, Barnyard, Oinkmaster dan BASE ke versi rilis terbaru, karena versi terbaru menjamin perbaikan dan penambahan fitur yang kurang dari versi sebelumnya. Dengan demikian fase manajemen dapat efektif untuk menjamin

kekurangan kinerja dari sistem mesin sensor IDS.

BAB V KESIMPULAN DAN SARAN

5.1 Kesimpulan Rumusan kesimpulan dari keseluruhan proses penelitian yang telah Dari pembahasan yang sudah di uraikan maka penulis mencoba membuat kesimpulan dan saran sebagai berikut : 1. Sistem IDS (Intrusion Detection System) yang diterapkan telah berhasil dibangun dan dikembangkan dengan baik. Keseluruhan sistem mesin sensor IDS dapat bekerja dengan efektif sebagai sistem keamanan jaringan komputer yang berbasis open source dalam mendeteksi sebuah intruder atau penyusup pada mesin sensor IDS, dimana dalam mendeteksi ada suatu serangan dianalisis pada BASE (Basic Security Engine). Untuk lebih jelasnya dapat dilihat di subbab 4.16.2. 2. EasyIDS (Easy Intrusion Detection System) yang diterapkan adalah mekanisme sistem kerja snort dan BASE yang telah berhasil di implementasikan dengan baik. Dalam pengujian sistem snort dan BASE yaitu dengan Ping attack dan Port scanning (Nmap). Untuk lebih jelasnya dapat dilihat di subbab 4.16.2.

130

131

3. Adanya fungsionalitas atas komponen spesifik yang dapat memblok traffic

dari

akses

penyerang

untuk

melakukan

aktivitas

yang

mencurigakan.

5.2 Saran Pada penelitian ini penulis menerapkan dan mengimplementasikan sistem EasyIDS. Penulis menemukan Saran-saran yang diberikan pada penilitian ini adalah sebagai berikut : 1. Penulis menyarankan untuk mengembangkan Sistem IDS ini agar dapat mendeteksi aktivitas intrusi atau penyusup pada jaringan wireless. 2. Sistem EasyIDS yang ada saat skripsi ini ditulis, belum dapat melakukan pendeteksian pada traffic jaringan yang terenkripsi. Akan jauh lebih baik, jika sistem EasyIDS selanjutnya, dapat mendeteksi serangan yang dilancarkan tidak hanya pada sistem jaringan normal (non-enkripsi) tetapi juga pada sistem jaringan terenkripsi.

DAFTAR PUSTAKA

Ariyus, Dony. M.Kom. (2007). “Intrusion Detection System”. Yogyakarta : Penerbit ANDI. Ariyus, Dony (2009). “Keamanan Multimedia”. Yogyakarta : Penerbit ANDI. Baroto, Wisnu. (2003). “Memahami Dasar-Dasar Firewall Keluaran Check Point Next Generation”. Jakarta : Penerbit PT Elex Media Komputindo.. Goldman, James E. dan Rawles, Phillip T. (2001). “Applied Data Communications A Business Oriented Approach, 3th Edition”. Penerbit John Wiley & Sons, Inc. Kohlenberg, Toby. (2007). “Snort Intrusion Detection and Prevent Toolkit”. http://books.google.com/books=kohlenberg+snort+intrusion+detec tion+and+prevent+toolkit Diakses tanggal 25-05-2010 jam 18:05 WIB M Doss, George. (2000). “Tips Sistem Operasi Red Hat Linux”. Jakarta: Penerbit PT. Elex Media Komputindo.

132

133

Nazir, Mohammad. (2005). “Metode Penelitian” Bogor : Penerbit Ghalia Indonesia. Patrick,

(2009).

“What

about

EasyIDS”

http://www.skynet-

solutions.net/easyids/about.asp. Diakses tanggal 30 Mei 2010 Pukul 11:34 WIB Rafiudin, Rahmat. (2005). “Konfigurasi Sekuriti Jaringan Cisco”. Jakarta : Penerbit PT. Elex Media Komputindo. Rafiudin, Rahmat. (2006). “Cisco Router Konfigurasi Voice, Video, dan Fax”. Yogyakarta : Penerbit Andi. Rafiudin, Rahmat. (2006). “Membangun Firewall dan Traffic Filtering berbasis Cisco”. Yogyakarta : Penerbit Andi. Roesch, Martin. (2009) “Snort Manual 2.8.5” http://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf Diakses tanggal 12 Desember 2009 Pukul 09:53 WIB Stallings,

William.

(2003).

“Crytography

and

Network

Security

PRINCIPLES AND PRACTICES Third Edition”. New Jersey : Prentice Hall Pearson Education International. Stiawan, Deris. (2009).“Internetworking Cycle”

Development & Design Life

134

http://deris.unsri.ac.id/materi/jarkom/network_development_cycles .pdf Diakses tanggal 18 Januari 2010 Pukul 17:00 WIB Wahana

Komputer.

(2003).

“Konsep

Jaringan

Komputer

Pengembangannya”. Jakarta : Penerbit Salemba Infotek. http://pusatbahasa.diknas.go.id/kbbi/index.php Diakses tanggal 30 Mei 2010 Pukul 11:31 WIB http://www.plnjaya.co.id/profil/Profil.asp Diakses tanggal 13 April 2010 Pukul 09:25 WIB

dan

LAMPIRAN I WAWANCARA I

Responden

: Bapak Hiltanto Sidik (Admin Jaringan PT.PLN (Persero) Distribusi Jakarta Raya dan Tangerang.

Penanya

: Imam Sutanto

Tanggal

: 23 Maret 2010

Tema

: Sistem Jaringan LAN PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang dan Firewall.

Tujuan

: Mengetahui dan mengamati sistem keamanan jaringan PT. PLN (Persero) Jakarta Raya dan Tangerang.

Pertanyaan : 1. Permasalahan apa yang pernah dihadapi pada Sistem keamanan jaringan komputer PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang, Gambir ? 2. Apakah sudah ada sistem Intrusion Detection System di PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang, Gambir ? 3. Apakah yang diandalkan dari PT.PLN jika adanya suatu intruder ? 4. Apakah dengan melihat log-log file dapat dilihatnya suatu intruder ?

135

136

Hasil Wawancara : Berdasarkan pertanyaan-pertanyaan yang diajukan oleh penulis pada wawancara, penulis dapat mengetahui bahwa sering terjadi adanya ip spoffing dari jaringan internal PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang. Belum adanya sistem intrusion detection system untuk mendeteksi adanya intruder dan Sistem keamanan yang digunakan oleh PT. PLN (Persero) adalah PC Router dan firewall. Dalam penjelasannya dijelaskan juga tentang kekurangan dari sistem PC Router yaitu untuk kondisi tertentu dapat terlihat tetapi lebih banyak yang tidak terekam. Jenis Firewall yang digunakan adalah Firewall Nokia IP 390. Untuk memantau dan melihat log-log file Jika terjadi gangguan baru dilakukan pengecekan. Log-log filenya berupa text yang berisi ip dan paket serta keterangan-keterangan spesifik seperti not a local network. Dengan penerapan Intrusion Detection System, log file berupa tampilan GUI (Grafic User Friendly) yang dapat mempermudah pemantauan adanya intruder.

LAMPIRAN II WAWANCARA II

Responden

: Bapak Hiltanto Sidik (Admin Jaringan PT.PLN (Persero) Distribusi Jakarta Raya dan Tangerang.

Penanya

: Imam Sutanto

Tanggal

: 28 April 2010

Tema

: Sistem EasyIDS yang diterapkan pada Jaringan LAN PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang.

Tujuan

: Mengetahui apakah EasyIDS yang diterapkan dapat berjalan dengan baik sesuai dengan kebutuhan sistem keamanan jaringan PT. PLN (Persero) Jakarta Raya dan Tangerang.

Pertanyaan : 1. Apakah sistem yang saat ini dapat berjalan dengan baik ? 2. Apakah sistem EasyIDS ini dapat membantu pekerjaan anda ?

Hasil Wawancara : Berdasarkan pertanyaan-pertanyaan yang diajukan oleh penulis kepada Bapak Hiltanto Sidik (Admin jaringan PT. PLN (Persero) Distribusi Jakarta Raya Tangerang) bahwa sistem EasyIDS yang diterapkan sudah dapat berjalan dengan baik. Dimana EasyIDS tersebut dapat memberikan suatu alert (peringatan) adanya

137

138

suatu intruder pada jaringan PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang dengan tampilan web based untuk mempermudah dalam menganalisis log-log file dan lebih user friendly dalam penggunaannya.

INTERNET ICON +

INTERNET SISTELINDO

SWICTH 2950

ROUTER PACKETEER 2500

PC router 10.3.1.12

FIREWALL NOKIA IP 350 10.3.9.11

` Sensor IDS 10.3.4.221

Switch 2940

` Management Sensor IDS 10.3.4.222

` Client 10.3.4.223

Mail Server 10.3.0.40

Web Server FTP Server 10.3.9.10 10.3.0.4

LAMPIRAN VI BARNYARD.CONF

# http://www.snort.org #

Barnyard 0.1.0 configuration file

Contact: [email protected]

#------------------------------------------------------------# $Id: barnyard.conf,v 1.9 2004/05/01 16:43:29 andrewbaker Exp $ ######################################################## # Currently you want to do two things in here: turn on # available data processors and turn on output plugins. # The data processors (dp's) and output plugin's (op's) # automatically associate with each other by type and # are automatically selected at run time depending on # the type of file you try to load. ########################################################

# Step 1: configuration declarations # To keep from having a commandline that uses every letter in the alphabet # most configuration options are set here

# enable daemon mode config daemon

# use localtime instead of UTC (*not* recommended because of timewarps) config localtime

# set the hostname (currently only used for the acid db output plugin) config hostname: easyids

# set the interface name (currently only used for the acid db output plugin) config interface: eth1

167

168

# set the filter (currently only used for the acid db output plugin) #config filter: not port 22 # Step 2: setup the output plugins # alert_fast #----------------------------# Converts data from the dp_alert plugin into an approximation of Snort's # "fast alert" mode. Argument: output alert_fast # log_dump #----------------------------# Converts data from the dp_log plugin into an approximation of Snort's # "ASCII packet dump" mode. Argument: output log_dump # alert_csv (experimental) #--------------------------# Creates a CSV output file of alerts (optionally using a user specified format) # Arguments: filepath [format] # # The format is a comma-seperated list of fields to output (no spaces allowed) # The available fields are: # sig_gen

- signature generator

# sig_id

- signature id

# sig_rev

- signatrue revision

# sid

- SID triplet

# class

- class id

# classname

- textual name of class

# priority

- priority id

# event_id

- event id

# event_reference - event reference # ref_tv_sec

- reference seconds

# ref_tv_usec

- reference microseconds

# tv_sec

- event seconds

# tv_usec

- event microseconds

169

# timestamp

- prettified timestamp (2001-01-01 01:02:03) in UTC

# src

- src address as a u_int32_t

# srcip

- src address as a dotted quad

# dst

- dst address as a u_int32_t

# dstip

- dst address as a dotted quad

# sport_itype

- source port or ICMP type (or 0)

# sport

- source port (if UDP or TCP)

# itype

- ICMP type (if ICMP)

# dport_icode

- dest port or ICMP code (or 0)

# dport

- dest port

# icode

- ICMP code (if ICMP)

# proto

- protocol number

# protoname

- protocol name

# flags

- flags from UnifiedAlertRecord

# msg

- message text

# hostname # interface

- hostname (from barnyard.conf) - interface (from barnyard.conf)

# # Examples: # output alert_csv: /var/log/snort/csv.out # output alert_csv: /var/log/snort/csv.out timestamp,msg,srcip,sport,dstip,dport,protoname,itype,icode # output alert_csv: csv.out timestamp,msg,srcip,sport,dstip,dport,protoname,itype,icode

# alert_syslog #----------------------------# Converts data from the alert stream into an approximation of Snort's # syslog alert output plugin. Same arguments as the output plugin in snort.

#output alert_syslog

# alert_syslog2 #------------------------------# Generates a syslog alert. This supports considerably more features than

170

# the original syslog output plugin. # # output alert_syslog2

# log_pcap #----------------------------# Converts data from the dp_log plugin into standard pcap format # Argument:

#output log_pcap

# acid_db #------------------------------# Available as both a log and alert output plugin. Used to output data into # the db schema used by ACID # Arguments: #

$db_flavor

- what flavor of database (ie, mysql)

#

sensor_id $sensor_id - integer sensor id to insert data as

#

database $database - name of the database

#

server $server

#

user $user

#

password $password - password for database authentication

- server the database is located on - username to connect to the database as

output alert_acid_db: mysql, sensor_id 1, database snort, server localhost, user snort, password AXdcizcWp96y output log_acid_db: mysql, database snort, server localhost, user snort, password AXdcizcWp96y, detail full

# sguil #---# This output plug-in is used to generate output for use with the SGUIL user # interface. To learn more about SGUIL, go to http://sguil.sourceforge.net # # output sguil: mysql, sensor_id 0, database sguildb, server syn, user root,\ #

password dbpasswd, sguild_host syn, sguild_port 7736

LAMPIRAN VI FOTO PROSES RISET

1. Perangkat Firewall

2. Perangkat Router

167

168

3. Perangkat Switch

4. Mesin Sensor IDS

169

5. Mesin management sensor

LAMPIRAN III KONFIGURASI SWITCH PORT MIRROR

Switch>enable Password : cisco Switch# configure terminal Switch (config)# Switch (config)# monitor session 1 source interface fastethernet 0/1 Switch (config)# monitor session 1 destination interface fastethernet 0/2 Switch (config)# exit Switch# show monitor session 1 Session 1 --------Source Ports: RX Only: None None TX Only: Both: Fa0/1 Destination Ports: Fa0/2

139

LAMPIRAN IV LOG FILE PC ROUTER

May 15 00:00:00 gateway newsyslog[24940]: logfile turned over due to size>100K May 15 00:13:35 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 00:18:43 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1 May 15 00:25:07 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1 May 15 00:33:41 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 00:33:41 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 00:45:32 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network May 15 00:53:51 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 01:14:00 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 01:31:34 gateway kernel: rl1: watchdog timeout May 15 01:31:44 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1 May 15 01:34:07 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 01:34:07 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 01:36:52 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1 May 15 01:54:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 01:54:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 02:16:21 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 02:16:21 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 02:20:04 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1 May 15 02:29:13 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1 May 15 02:36:27 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 02:36:27 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 02:56:33 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 02:56:33 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 03:04:15 gateway sendmail[25592]: o4EK4Fiq025592: Losing ./qfo4EK4Fiq025592: savemail panic May 15 03:04:15 gateway sendmail[25592]: o4EK4Fiq025592: SYSERR(root): savemail: cannot save rejected email anywhere May 15 03:04:15 gateway sendmail[25638]: o4EK4FPi025638: Losing ./qfo4EK4FPi025638: savemail panic May 15 03:04:15 gateway sendmail[25638]: o4EK4FPi025638: SYSERR(root): savemail: cannot save rejected email anywhere

140

141

May 15 03:16:42 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 03:16:42 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 03:24:20 gateway kernel: rl1: watchdog timeout May 15 03:24:50 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network May 15 03:24:52 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network May 15 03:36:45 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 03:36:45 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 03:56:58 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 03:56:58 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 04:17:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 04:17:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 04:17:55 gateway sendmail[25863]: o4ELHshZ025863: Losing ./qfo4ELHshZ025863: savemail panic May 15 04:17:55 gateway sendmail[25863]: o4ELHshZ025863: SYSERR(root): savemail: cannot save rejected email anywhere May 15 04:37:15 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 04:37:15 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 04:57:19 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 04:57:19 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 05:14:38 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network May 15 05:17:25 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 05:17:25 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 05:37:29 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 05:37:29 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 05:43:12 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network May 15 05:57:38 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 05:57:38 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 06:11:34 gateway kernel: arp: 10.3.4.190 moved from 00:13:46:3a:ef:d2 to 00:15:60:a4:29:d2 on rl1 May 15 06:17:46 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 06:17:46 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 06:37:53 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 06:37:53 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 06:45:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 06:46:30 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network May 15 06:50:10 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

142

May 15 06:50:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 06:55:10 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 06:55:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 06:58:00 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 06:58:00 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 07:16:05 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 07:18:06 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 07:18:06 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 07:20:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 07:25:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 07:25:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 07:30:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 07:30:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 07:35:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 07:35:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 07:38:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 07:38:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 07:40:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 07:40:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 07:45:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 07:45:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 07:50:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 07:50:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 07:55:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 07:55:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 07:58:16 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 08:00:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:00:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 08:05:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:05:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 08:10:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:10:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 08:15:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:15:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

143

May 15 08:18:23 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 08:18:23 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 08:18:32 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network May 15 08:20:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:20:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 08:25:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:25:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 08:36:58 gateway kernel: arp: 10.3.4.9 moved from 00:24:81:16:31:e7 to 00:1a:64:e5:fa:aa on rl1 May 15 08:38:29 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 08:39:24 gateway kernel: arp: 10.3.4.9 moved from 00:1a:64:e5:fa:aa to 00:24:81:16:31:e7 on rl1 May 15 08:45:36 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:45:37 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 08:50:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:50:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 08:55:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 08:55:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 08:58:38 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1 May 15 08:58:38 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 15 09:00:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 09:00:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 09:05:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 09:05:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 09:10:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 15 09:10:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1 May 15 09:15:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1 May 17 01:53:57 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1 May 17 02:00:00 gateway newsyslog[31759]: logfile turned over due to size>100K

LAMPIRAN V SNORT.CONF

#-------------------------------------------------# http://www.snort.org #

Snort 2.8.5.1 Ruleset

Contact: [email protected]

#-------------------------------------------------# $Id$ # ################################################### # This file contains a sample snort configuration. # You can take the following steps to create your own custom configuration: # # 1) Set the variables for your network # 2) Configure dynamic loaded libraries # 3) Configure preprocessors # 4) Configure output plugins # 5) Add any runtime config directives # 6) Customize your rule set # ################################################### # Step #1: Set the network variables: # # You must change the following variables to reflect your local network. The # variable is currently setup for an RFC 1918 address space. # # You can specify it explicitly as: # # var HOME_NET 10.1.1.0/24 # # if Snort is built with IPv6 support enabled (--enable-ipv6), use: # ipvar HOME_NET 10.1.1.0/24

144

145

# # or use global variable $_ADDRESS which will be always # initialized to IP address and netmask of the network interface which you run # snort at. Under Windows, this must be specified as # $(_ADDRESS), such as: # $(\Device\Packet_{12345678-90AB-CDEF-1234567890AB}_ADDRESS) # # var HOME_NET $eth0_ADDRESS # # You can specify lists of IP addresses for HOME_NET # by separating the IPs with commas like this: # # var HOME_NET [10.1.1.0/24,192.168.1.0/24] # # MAKE SURE YOU DON'T PLACE ANY SPACES IN YOUR LIST! # # or you can specify the variable to be any IP address # like this: var HOME_NET 10.3.1.0/24 # Set up the external network addresses as well. A good start may be "any" var EXTERNAL_NET !$HOME_NET # Configure your server lists. This allows snort to only look for attacks to # systems that have a service up. Why look for HTTP attacks if you are not # running a web server? This allows quick filtering based on IP addresses # These configurations MUST follow the same configuration scheme as defined # above for $HOME_NET. # List of DNS servers on your network var DNS_SERVERS 10.3.0.30 # List of SMTP servers on your network var SMTP_SERVERS 10.3.0.40

# List of web servers on your network var HTTP_SERVERS 10.3.9.10 # List of sql servers on your network

146

var SQL_SERVERS $HOME_NET # List of telnet servers on your network var TELNET_SERVERS $HOME_NET # List of telnet servers on your network var FTP_SERVERS 10.3.0.4 # List of snmp servers on your network var SNMP_SERVERS $HOME_NET # Configure your service ports. This allows snort to look for attacks destined # to a specific application only on the ports that application runs on. For # example, if you run a web server on port 8180, set your HTTP_PORTS variable # like this: # # portvar HTTP_PORTS 8180 # # Ports you run web servers on portvar HTTP_PORTS 80 # NOTE: If you wish to define multiple HTTP ports, use the portvar # syntax to represent lists of ports and port ranges. Examples: ## portvar HTTP_PORTS [80,8080] ## portvar HTTP_PORTS [80,8000:8080] # And only include the rule that uses $HTTP_PORTS once. # # The pre-2.8.0 approach of redefining the variable to a different port and # including the rules file twice is obsolete. See README.variables for more # details. # Ports you want to look for SHELLCODE on. portvar SHELLCODE_PORTS !80 # Ports you might see oracle attacks on portvar ORACLE_PORTS 1521 # Ports for FTP servers portvar FTP_PORTS 21 # other variables # # AIM servers. AOL has a habit of adding new AIM servers, so instead of

147

# modifying the signatures when they do, we add them to this list of servers. var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,2 05.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24] # Path to your rules files (this can be a relative path) # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\rules var RULE_PATH /etc/snort/rules var PREPROC_RULE_PATH /etc/snort/preproc_rules # Configure the snort decoder # ============================ # # Snort's decoder will alert on lots of things such as header # truncation or options of unusual length or infrequently used tcp options # # # Stop generic decode events: # # config disable_decode_alerts # # Stop Alerts on experimental TCP options # # config disable_tcpopt_experimental_alerts # # Stop Alerts on obsolete TCP options # # config disable_tcpopt_obsolete_alerts # # Stop Alerts on T/TCP alerts # # In snort 2.0.1 and above, this only alerts when a TCP option is detected # that shows T/TCP being actively used on the network. If this is normal # behavior for your network, disable the next option. # # config disable_tcpopt_ttcp_alerts

148

# # Stop Alerts on all other TCPOption type events: # # config disable_tcpopt_alerts # # Stop Alerts on invalid ip options # # config disable_ipopt_alerts # # Alert if value in length field (IP, TCP, UDP) is greater than the # actual length of the captured portion of the packet that the length # is supposed to represent: # # config enable_decode_oversized_alerts # # Same as above, but drop packet if in Inline mode # enable_decode_oversized_alerts must be enabled for this to work: # # config enable_decode_oversized_drops # # Configure the detection engine # =============================== # # Use a different pattern matcher in case you have a machine with very limited # resources: # # config detection: search-method lowmem # Configure Inline Resets # ======================== # # If running an iptables firewall with snort in InlineMode() we can now # perform resets via a physical device. We grab the indev from iptables # and use this for the interface on which to send resets. This config # option takes an argument for the src mac address you want to use in the

149

# reset packet. This way the bridge can remain stealthy. If the src mac # option is not set we use the mac address of the indev device. If we # don't set this option we will default to sending resets via raw socket, # which needs an ipaddress to be assigned to the int. # # config layer2resets: 00:06:76:DD:5F:E3 ################################################### # Step #2: Configure dynamic loaded libraries # # If snort was configured to use dynamically loaded libraries, # those libraries can be loaded here. # # Each of the following configuration options can be done via # the command line as well. # # Load all dynamic preprocessors from the install path # (same as command line option --dynamic-preprocessor-lib-dir) # dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ # # Load a specific dynamic preprocessor library from the install path # (same as command line option --dynamic-preprocessor-lib) # # dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libdynamicexample.so # # Load a dynamic engine from the install path # (same as command line option --dynamic-engine-lib) # dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so # # Load all dynamic rules libraries from the install path # (same as command line option --dynamic-detection-lib-dir) # # dynamicdetection directory /usr/local/lib/snort_dynamicrule/

150

# # Load a specific dynamic rule library from the install path # (same as command line option --dynamic-detection-lib) # # dynamicdetection file /usr/local/lib/snort_dynamicrule/libdynamicexamplerule.so # ################################################### # Step #3: Configure preprocessors # # General configuration for preprocessors is of # the form # preprocessor :

# frag3: Target-based IP defragmentation # -------------------------------------# # Frag3 is a brand new IP defragmentation preprocessor that is capable of # performing "target-based" processing of IP fragments. Check out the # README.frag3 file in the doc directory for more background and configuration # information. # # Frag3 configuration is a two step process, a global initialization phase # followed by the definition of a set of defragmentation engines. # # Global configuration defines the number of fragmented packets that Snort can # track at the same time and gives you options regarding the memory cap for the # subsystem or, optionally, allows you to preallocate all the memory for the # entire frag3 system. # # frag3_global options: # max_frags: Maximum number of frag trackers that may be active at once. #

Default value is 8192.

# memcap: Maximum amount of memory that frag3 may access at any given time. #

Default value is 4MB.

151

# prealloc_frags: Maximum number of individual fragments that may be processed #

at once. This is instead of the memcap system, uses static

#

allocation to increase performance. No default value. Each

#

preallocated fragment typically eats ~1550 bytes. However,

#

the exact amount is determined by the snaplen, and this can

#

go as high as 64K so beware!

# # Target-based behavior is attached to an engine as a "policy" for handling # overlaps and retransmissions as enumerated in the Paxson paper. There are # currently five policy types available: "BSD", "BSD-right", "First", "Linux" # and "Last". Engines can be bound to standard Snort CIDR blocks or # IP lists. # # frag3_engine options: # timeout: Amount of time a fragmented packet may be active before expiring. #

Default value is 60 seconds.

# ttl_limit: Limit of delta allowable for TTLs of packets in the fragments. #

Based on the initial received fragment TTL.

# min_ttl: Minimum acceptable TTL for a fragment, frags with TTLs below this #

value will be discarded. Default value is 0.

# detect_anomalies: Activates frag3's anomaly detection mechanisms. # policy: Target-based policy to assign to this engine. Default is BSD. # bind_to: IP address set to bind this engine to. Default is all hosts. # # Frag3 configuration example: #preprocessor frag3_global: max_frags 65536, prealloc_frags 65536 #preprocessor frag3_engine: policy linux \ #

bind_to [10.1.1.12/32,10.1.1.13/32] \

#

detect_anomalies

#preprocessor frag3_engine: policy first \ #

bind_to 10.2.1.0/24 \

#

detect_anomalies

#preprocessor frag3_engine: policy last \ #

bind_to 10.3.1.0/24

152

#preprocessor frag3_engine: policy bsd preprocessor frag3_global: max_frags 65536 preprocessor frag3_engine: policy first detect_anomalies overlap_limit 10 # stream5: Target Based stateful inspection/stream reassembly for Snort # --------------------------------------------------------------------# Stream5 is a target-based stream engine for Snort. It handles both # TCP and UDP connection tracking as well as TCP reassembly. # # See README.stream5 for details on the configuration options. # # Example config preprocessor stream5_global: max_tcp 8192, track_tcp yes, \ track_udp no preprocessor stream5_tcp: policy first, use_static_footprint_sizes # preprocessor stream5_udp: ignore_any_rules # Performance Statistics # ---------------------# Documentation for this is provided in the Snort Manual. You should read it. # It is included in the release distribution as doc/snort_manual.pdf # preprocessor perfmonitor: time 60 file /var/log/snort/snort.stats pktcnt 500 # http_inspect: normalize and detect HTTP traffic and protocol anomalies # # lots of options available here. See doc/README.http_inspect. # unicode.map should be wherever your snort.conf lives, or given # a full path to where snort can find it. preprocessor http_inspect: global \ iis_unicode_map unicode.map 1252 preprocessor http_inspect_server: server default \ profile all ports { 80 8080 8180 } oversize_dir_length 500 # # Example unique server configuration # #preprocessor http_inspect_server: server 1.1.1.1 \

153

#

ports { 80 3128 8080 } \

#

server_flow_depth 0 \

#

ascii no \

#

double_decode yes \

#

non_rfc_char { 0x00 } \

#

chunk_length 500000 \

#

non_strict \

#

oversize_dir_length 300 \

#

no_alerts

# rpc_decode: normalize RPC traffic # --------------------------------# RPC may be sent in alternate encodings besides the usual 4-byte encoding # that is used by default. This plugin takes the port numbers that RPC # services are running on as arguments - it is assumed that the given ports # are actually running this type of service. If not, change the ports or turn # it off. # The RPC decode preprocessor uses generator ID 106 # # arguments: space separated list # alert_fragments - alert on any rpc fragmented TCP data # no_alert_multiple_requests - don't alert when >1 rpc query is in a packet # no_alert_large_fragments - don't alert when the fragmented #

sizes exceed the current packet size

# no_alert_incomplete - don't alert when a single segment #

exceeds the current packet size

preprocessor rpc_decode: 111 32771 # bo: Back Orifice detector # ------------------------# Detects Back Orifice traffic on the network. # # arguments: # syntax: # #

preprocessor bo: noalert { client | server | general | snort_attack } \ drop

{ client | server | general | snort_attack }

154

# example: #

preprocessor bo: noalert { general server } drop { snort_attack }

# # # The Back Orifice detector uses Generator ID 105 and uses the # following SIDS for that GID: # SID

Event description

# ----- ------------------# 1

Back Orifice traffic detected

# 2

Back Orifice Client Traffic Detected

# 3

Back Orifice Server Traffic Detected

# 4

Back Orifice Snort Buffer Attack

preprocessor bo # ftp_telnet: FTP & Telnet normalizer, protocol enforcement and buff overflow # --------------------------------------------------------------------------# This preprocessor normalizes telnet negotiation strings from telnet and # ftp traffic. It looks for traffic that breaks the normal data stream # of the protocol, replacing it with a normalized representation of that # traffic so that the "content" pattern matching keyword can work without # requiring modifications. # # It also performs protocol correctness checks for the FTP command channel, # and identifies open FTP data transfers. # # FTPTelnet has numerous options available, please read # README.ftptelnet for help configuring the options for the global # telnet, ftp server, and ftp client sections for the protocol. ##### # Per Step #2, set the following to load the ftptelnet preprocessor # dynamicpreprocessor file # or use commandline option # --dynamic-preprocessor-lib preprocessor ftp_telnet: global \ encrypted_traffic yes \

155

inspection_type stateful preprocessor ftp_telnet_protocol: telnet \ normalize \ ayt_attack_thresh 200 # This is consistent with the FTP rules as of 18 Sept 2004. # CWD can have param length of 200 # MODE has an additional mode of Z (compressed) # Check for string formats in USER & PASS commands # Check nDTM commands that set modification time on the file. preprocessor ftp_telnet_protocol: ftp server default \ def_max_param_len 100 \ alt_max_param_len 200 { CWD } \ cmd_validity MODE < char ASBCZ > \ cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \ chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \ telnet_cmds yes \ data_chan preprocessor ftp_telnet_protocol: ftp client default \ max_resp_len 256 \ bounce yes \ telnet_cmds yes # smtp: SMTP normalizer, protocol enforcement and buffer overflow # --------------------------------------------------------------------------# This preprocessor normalizes SMTP commands by removing extraneous spaces. # It looks for overly long command lines, response lines, and data header lines. # It can alert on invalid commands, or specific valid commands. It can optionally # ignore mail data, and can ignore TLS encrypted data. # # SMTP has numerous options available, please read README.SMTP for help # configuring options.

##### # Per Step #2, set the following to load the smtp preprocessor # dynamicpreprocessor file

156

# or use commandline option # --dynamic-preprocessor-lib preprocessor smtp: \ ports { 25 587 691 } \ inspection_type stateful \ normalize cmds \ normalize_cmds { EXPN VRFY RCPT } \ alt_max_command_line_len 260 { MAIL } \ alt_max_command_line_len 300 { RCPT } \ alt_max_command_line_len 500 { HELP HELO ETRN } \ alt_max_command_line_len 255 { EXPN VRFY } # sfPortscan # ---------# Portscan detection module. Detects various types of portscans and # portsweeps. For more information on detection philosophy, alert types, # and detailed portscan information, please refer to the README.sfportscan. # -configuration options#

proto { tcp udp icmp ip all }

#

The arguments to the proto option are the types of protocol scans that

#

the user wants to detect. Arguments should be separated by spaces and

#

not commas.

#

scan_type { portscan portsweep decoy_portscan distributed_portscan all }

#

The arguments to the scan_type option are the scan types that the

#

user wants to detect. Arguments should be separated by spaces and not

#

commas.

#

sense_level { low|medium|high }

#

There is only one argument to this option and it is the level of

#

sensitivity in which to detect portscans. The 'low' sensitivity

#

detects scans by the common method of looking for response errors, such

#

as TCP RSTs or ICMP unreachables. This level requires the least

#

tuning. The 'medium' sensitivity level detects portscans and

#

filtered portscans (portscans that receive no response). This

#

sensitivity level usually requires tuning out scan events from NATed

#

IPs, DNS cache servers, etc. The 'high' sensitivity level has

157

#

lower thresholds for portscan detection and a longer time window than

#

the 'medium' sensitivity level. Requires more tuning and may be noisy

#

on very active networks. However, this sensitivity levels catches the

#

most scans.

#

memcap { positive integer }

#

The maximum number of bytes to allocate for portscan detection. The

#

higher this number the more nodes that can be tracked.

#

logfile { filename }

#

This option specifies the file to log portscan and detailed portscan

#

values to. If there is not a leading /, then snort logs to the

#

configured log directory. Refer to README.sfportscan for details on

#

the logged values in the logfile.

#

watch_ip { Snort IP List }

#

ignore_scanners { Snort IP List }

#

ignore_scanned { Snort IP List }

#

These options take a snort IP list as the argument. The 'watch_ip'

#

option specifies the IP(s) to watch for portscan. The

#

'ignore_scanners' option specifies the IP(s) to ignore as scanners.

#

Note that these hosts are still watched as scanned hosts. The

#

'ignore_scanners' option is used to tune alerts from very active

#

hosts such as NAT, nessus hosts, etc. The 'ignore_scanned' option

#

specifies the IP(s) to ignore as scanned hosts. Note that these hosts

#

are still watched as scanner hosts. The 'ignore_scanned' option is

#

used to tune alerts from very active hosts such as syslog servers, etc.

#

detect_ack_scans

#

This option will include sessions picked up in midstream by the stream

#

module, which is necessary to detect ACK scans. However, this can lead to

#

false alerts, especially under heavy load with dropped packets; which is why

#

the option is off by default.

# preprocessor sfportscan: proto { all } \ memcap { 10000000 } \ sense_level { low } # arpspoof

158

#---------------------------------------# Experimental ARP detection code from Jeff Nathan, detects ARP attacks, # unicast ARP requests, and specific ARP mapping monitoring. To make use of # this preprocessor you must specify the IP and hardware address of hosts on # the same layer 2 segment as you. Specify one host IP MAC combo per line. # Also takes a "-unicast" option to turn on unicast ARP request detection. # Arpspoof uses Generator ID 112 and uses the following SIDS for that GID: # SID

Event description

# ----- ------------------# 1

Unicast ARP request

# 2

Etherframe ARP mismatch (src)

# 3

Etherframe ARP mismatch (dst)

# 4

ARP cache overwrite attack

#preprocessor arpspoof #preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00 # ssh # -----------------------------# The SSH preprocessor detects the following exploits: Challenge-Response # Authentication overflow, CRC 32 overflow, Secure CRT version string overflow, # and protocol version mismatches. # # Both Challenge-Response Auth and CRC 32 attacks occur after the key exchange, # and are therefore encrypted. Both attacks involve sending a large payload # (20kb+) to the server immediately after the authentication challenge. # To detect the attacks, the SSH preprocessor counts the number of bytes # transmitted to the server. If those bytes exceed a pre-defined limit, # set by the option "max_client_bytes", an alert is generated. Since # the Challenge-Response Auth overflow only affects SSHv2, while CRC 32 only # affects SSHv1, the SSH version string exchange is used to distinguish # the attacks. # # The Secure CRT and protocol mismatch exploits are observable before # the key exchange. #

159

# SSH has numerous options available, please read README.ssh for help # configuring options. ##### # Per Step #2, set the following to load the ssh preprocessor # dynamicpreprocessor file # or use commandline option # --dynamic-preprocessor-lib # preprocessor ssh: server_ports { 22 } \ max_client_bytes 19600 \ max_encrypted_packets 20 \ enable_respoverflow enable_ssh1crc32 \ enable_srvoverflow enable_protomismatch # DCE/RPC #---------------------------------------# # The dcerpc preprocessor detects and decodes SMB and DCE/RPC traffic. # It is primarily interested in DCE/RPC data, and only decodes SMB # to get at the DCE/RPC data carried by the SMB layer. # # Currently, the preprocessor only handles reassembly of fragmentation # at both the SMB and DCE/RPC layer. Snort rules can be evaded by # using both types of fragmentation; with the preprocessor enabled # the rules are given a buffer with a reassembled SMB or DCE/RPC # packet to examine. # # At the SMB layer, only fragmentation using WriteAndX is currently # reassembled. Other methods will be handled in future versions of # the preprocessor. # # Autodetection of SMB is done by looking for "\xFFSMB" at the start of # the SMB data, as well as checking the NetBIOS header (which is always # present for SMB) for the type "SMB Session". #

160

# Autodetection of DCE/RPC is not as reliable. Currently, two bytes are # checked in the packet. Assuming that the data is a DCE/RPC header, # one byte is checked for DCE/RPC version (5) and another for the type # "DCE/RPC Request". If both match, the preprocessor proceeds with that # assumption that it is looking at DCE/RPC data. If subsequent checks # are nonsensical, it ends processing. # # DCERPC has numerous options available, please read README.dcerpc for help # configuring options. ##### # Per Step #2, set the following to load the dcerpc preprocessor # dynamicpreprocessor file # or use commandline option # --dynamic-preprocessor-lib # #preprocessor dcerpc: \ #

autodetect \

#

max_frag_size 3000 \

#

memcap 100000

# DCE/RPC 2 #---------------------------------------# See doc/README.dcerpc2 for explanations of what the # preprocessor does and how to configure it. # preprocessor dcerpc2 preprocessor dcerpc2_server: default # DNS #---------------------------------------# The dns preprocessor (currently) decodes DNS Response traffic # and detects a few vulnerabilities. # # DNS has a few options available, please read README.dns for

161

# help configuring options. ##### # Per Step #2, set the following to load the dns preprocessor # dynamicpreprocessor file # or use commandline option # --dynamic-preprocessor-lib preprocessor dns: \ ports { 53 } \ enable_rdata_overflow # SSL #---------------------------------------# Encrypted traffic should be ignored by Snort for both performance reasons # and to reduce false positives. The SSL Dynamic Preprocessor (SSLPP) # inspects SSL traffic and optionally determines if and when to stop # inspection of it. # # Typically, SSL is used over port 443 as HTTPS. By enabling the SSLPP to # inspect port 443, only the SSL handshake of each connection will be # inspected. Once the traffic is determined to be encrypted, no further # inspection of the data on the connection is made. # # If you don't necessarily trust all of the SSL capable servers on your # network, you should remove the "trustservers" option from the configuration. # # Important note: Stream5 should be explicitly told to reassemble #

traffic on the ports that you intend to inspect SSL

#

encrypted traffic on.

# # To add reassembly on port 443 to Stream5, use 'port both 443' in the # Stream5 configuration. preprocessor ssl: noinspect_encrypted, trustservers #################################################################### # Step #4: Configure output plugins #

162

# Uncomment and configure the output plugins you decide to use. General # configuration for output plugins is of the form: # # output : # # alert_syslog: log alerts to syslog # ---------------------------------# Use one or more syslog facilities as arguments. Win32 can also optionally # specify a particular hostname/port. Under Win32, the default hostname is # '127.0.0.1', and the default port is 514. # # [Unix flavours should use this format...] # output alert_syslog: LOG_AUTH LOG_ALERT # # [Win32 can use any of these formats...] # output alert_syslog: LOG_AUTH LOG_ALERT # output alert_syslog: host=hostname, LOG_AUTH LOG_ALERT # output alert_syslog: host=hostname:port, LOG_AUTH LOG_ALERT # log_tcpdump: log packets in binary tcpdump format # ------------------------------------------------# The only argument is the output file name. # # output log_tcpdump: tcpdump.log # database: log to a variety of databases # --------------------------------------# See the README.database file for more information about configuring # and using this plugin. # # output database: log, mysql, user=root password=test dbname=db host=localhost # output database: alert, postgresql, user=snort dbname=snort # output database: log, odbc, user=snort dbname=snort # output database: log, mssql, dbname=snort user=snort password=test # output database: log, oracle, dbname=snort user=snort password=test # unified: Snort unified binary format alerting and logging

163

# ------------------------------------------------------------# The unified output plugin provides two new formats for logging and generating # alerts from Snort, the "unified" format. The unified format is a straight # binary format for logging data out of Snort that is designed to be fast and # efficient. Used with barnyard (the new alert/log processor), most of the # overhead for logging and alerting to various slow storage mechanisms such as # databases or the network can now be avoided. # # Check out the spo_unified.h file for the data formats. # # Two arguments are supported. #

filename - base filename to write to (current time_t is appended)

#

limit - maximum size of spool file in MB (default: 128)

# output alert_unified: filename snort.alert, limit 128 output log_unified: filename snort.log, limit 128 # prelude: log to the Prelude Hybrid IDS system # --------------------------------------------# # profile = Name of the Prelude profile to use (default is snort). # # Snort priority to IDMEF severity mappings: # high < medium < low < info # # These are the default mapped from classification.config: # info = 4 # low

=3

# medium = 2 # high = anything below medium # # output alert_prelude # output alert_prelude: profile=snort-profile-name # You can optionally define new rule types and associate one or more output # plugins specifically to that type.

164

# # This example will create a type that will log to just tcpdump. # ruletype suspicious #{ # type log # output log_tcpdump: suspicious.log #} # # EXAMPLE RULE FOR SUSPICIOUS RULETYPE: # suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";) # # This example will create a rule type that will log to syslog and a mysql # database: # ruletype redalert #{ # type alert # output alert_syslog: LOG_AUTH LOG_ALERT # output database: log, mysql, user=snort dbname=snort host=localhost #} # # EXAMPLE RULE FOR REDALERT RULETYPE: # redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \ # (msg:"Someone is being LEET"; flags:A+;) # # Include classification & priority settings # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\etc\classification.config # include classification.config # # Include reference systems # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\etc\reference.config #

165

include reference.config #################################################################### # Step #5: Configure snort with config statements # # See the snort manual for a full set of configuration references # # config flowbits_size: 64 # # New global ignore_ports config option from Andy Mullican # # config ignore_ports: <list of ports separated by whitespace> # config ignore_ports: tcp 21 6667:6671 1356 # config ignore_ports: udp 1:17 53

#################################################################### # Step #6: Customize your rule set # # Up to date snort rules are available at http://www.snort.org # # The snort web site has documentation about how to write your own custom snort # rules.

#========================================= # Include all relevant rulesets here # # The following rulesets are disabled by default: # # web-attacks, backdoor, shellcode, policy, porn, info, icmp-info, virus, # chat, multimedia, and p2p # # These rules are either site policy specific or require tuning in order to not # generate false positive alerts in most enviornments. #

166

# Please read the specific include file for more information and # README.alert_order for how rule ordering affects how alerts are triggered. #=========================================

# Include any thresholding or suppression commands. See threshold.conf in the # <snort src>/etc directory for details. Commands don't necessarily need to be # contained in this conf, but a separate conf makes it easier to maintain them. # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\etc\threshold.conf # Uncomment if needed. include threshold.conf

# Modified for EasyIDS to allow web editing. include snort_rules.conf