PERANCANGAN KEAMANAN JARINGAN KOMPUTER MENGGUNAKAN SNORT DENGAN NOTIFIKASI SMS
PERANCANGAN KEAMANAN JARINGAN KOMPUTER MENGGUNAKAN SNORT DENGAN NOTIFIKASI SMS Teguh Wahyudi1, Rissal Efendi2 12
Program Studi Teknik Informatika STMIK ProVisi Semarang
[email protected],
[email protected]
Abstract Network security system using snort with SMS notification is used to increase the security by monitoring all incoming traffic into the local network, is applied in the field of network security technology. Use of this system aims to detect attacks from intruders who disturb the local network, so it can accommodate the needs of network administrators manage computer network and its security. The report generated from this system can be used as a basis for decision-making by administrators in order to improve network security. Methods in the design of this system, among others, by examining the object of study, methods of data collection and system development methods. In the data collection methods used methods of literature study, observation, documentation methods. System development method using the method PPDIOO (Prepare, Plan, Design, Implement, Operate and Optimize) that was developed by Cisco Systems. The result obtained is a computer network security system integrated with database and SMS. The system is designed to provide early notification to administrators when an attack from an intruder. A case study conducted in PT. Asia Pacific Fibers Tbk Kaliwungu Kendal. Key words: Security network, snort, IDS, SMS notification
1. Pendahuluan Perkembangan dunia teknologi dan informatika saat ini sangat pesat seiring dengan peningkatan kebutuhan layanan yang cepat dan efisien. Peningkatan pengguna teknologi internet sudah tidak mungkin dapat dibendung lagi. Lima tahun yang lalu jika ingin menggunakan internet, harus meluangkan waktu untuk duduk didepan komputer. Internet dapat diakses dimana saja dan kapan saja melalui notebook, tablet dan smartphone yang sudah dibekali dengan koneksi internet. Pada saat jaringan internet sudah digunakan orang di berbagai belahan dunia, timbul masalah yang mengancam yaitu masalah keamanan jaringan. Ancaman keamanan ini banyak sekali ditemukan oleh pengguna internet seperti virus, Malicious, Trojan, Worm, DoS, Hacker, Spoofing, Sniffing, Spamming, Crackers dan lainnya, yang membuat tidak nyaman serta mengancam sistem dan data pada saat kejadian ini menyerang jaringan. Semakin besar suatu jaringan maka akan semakin kompleks administrasi dari jaringan itu. Perkembangan teknologi yang cepat seiring dengan berkembangnya pengguna internet didunia dalam berbagai bidang menuntut keamanan yang terjamin dalam transaksi data. Iwan Sofana (2009) menjelaskan bahwa Keamanan jaringan komputer sebagai bagian dari
sebuah sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usahausaha penyusupan oleh pihak yang tidak berhak. Sistem keamanan komputer, dalam beberapa tahun ini telah menjadi fokus utama dalam dunia jaringan komputer, hal ini disebabkan tingginya ancaman yang mencurigakan (Suspicious Threat) dan serangan dari internet. Menurut Alamsyah (2011) Keamanan jaringan yang menggunakan firewall dan proxy tidak semuanya dapat terkendali dan memberikan jaminan terhadap keamanan jaringan. Terdapat celah dalam firewall dan proxy yang dapat dimanfaatkan oleh hacker untuk masuk kedalam jaringan. Firewall dirancang hanya untuk memblokir traffic/packet mencurigakan tanpa membedakan mana traffic yang berbahaya dan mana yang tidak berbahaya sehingga semua paket yang di anggap mengancam lansung ditindaki, akibatnya seorang admin dapat tertipu terhadap beberapa serangan yang tidak dapat diklasifikasikan. Begitu juga dengan prosedur untuk mengizinkan paket untuk lewat jika sesuai dengan policy dari firewall. PT. Asia Pasific Fibers, tbk. Sebagai perusahaan manufacturing berskala internasional 1
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 6 Nomor 1 Maret 2015
membutuhkan keamanan data yang terjamin dari serangan hacker maupun cracker. Jaringan lokal di PT. Asia Pasific Fibers, tbk menggunakan kelas subnet /21, dengan jumlah maksimal 2046 host, namun saat ini baru digunakan 550 host baik untuk komputer maupun perangkat aktif lainnya. Sistem Operasi yang digunakan adalah Microsoft Windows XP, Microsoft Windows Seven, Microsoft Windows Server 2000, Microsoft Windows Server 2003, dan Microsoft Windows Server 2008. Antivirus yang digunakan adalah Symantec EndPoint versi 12 berlisensi serta semua sistem operasi yang terinstal adalah software original. Penggunaan firewall pada proxy server saja dirasa kurang, hal ini terindikasi adanya latency yang tinggi (>100ms) dari klien ke server pada jaringan lokal, pada kondisi normal latency <25 hal ini mungkin disebabkan adanya broadcast yang berlebihan atau terjadi lalulintas jaringan yang padat. Serangan dari virus conficker, worm, trojan, dan backdoor serta intrusion lain yang belum terdeskripsi oleh antivirus pada jaringan lokal turut memberikan dampak negatif pada kinerja jaringan. Dengan terdeteksinya conficker yang menginfeksi komputer pada jaringan menunjukan bahwa jaringan tersebut masih rentan terhadap serangan virus, sebab conficker merupakan keluarga dari worm yang dapat menonaktifkan beberapa layanan penting Windows dan produk keamananakan. Conficker juga dapat men-download file dan menjalankan kode berbahaya pada komputer jika file sharing diaktifkan. Conficker menginfeksi komputer melalui jaringan dengan memanfaatkan kerentanan dalam file sistem Windows. Conficker akan mem-broadcast dirinya untuk menginfeksi komputer lain. Dari fakta tersebut, terlihat bahwa jaringan komputer pada PT. Asia Pasific Fibers, tbk memiliki keandalan dan performa yang kurang. Hal ini ditunjukan tingginya latency pada jaringan dan serangan conficker serta serangan lain yang belum teridentifikasi. Oleh karena itu dibutuhkan sebuah sistem yang dapat mendeteksi adanya intrusi dari luar (internet) yang menyebabkan menurunnya kinerja jaringan lokal. 2. Tinjauan Pustaka 2.1 Keamanan Jaringan Komputer Jaringan komputer adalah sekelompok komputer yang saling terhubung satu dengan yang lainnya menggunakan protokol komunikasi melalui media komunikasi sehingga dapat saling berbagi informasi, aplikasi, dan perangkat keras secara bersama-sama. Jaringan komputer dapat diartikan juga sebagai kumpulan sejumlah terminal komunikasi yang berada diberbagai lokasi yang terdiri dari dua atau lebih komputer yang saling berhubungan. (Sukamaaji & Rianto,2008:1) 2
Secara umum komputer yang terhubung dalam sebuah jaringan komputer memiliki ancaman keamanan lebih besar daripada komputer yang tidak terhubung dalam sebuah jaringan (standalone computer). Keamanan komputer menjadi tantangan tersendiri dalam sebuah jaringan komputer karena network security bertolak belakang dengan network access, bilamana network access semakin mudah maka network security akan semakin rawan, dan bila network security semakin baik maka network access semakin susah. (Ariyus, 2007 :3). 2.2
Aspek-aspek Keamanan Komputer Menurut Ariyus (2006:2) aspek keamanan komputer dibagi menjadi 8 aspek diantaranya : a. Authentication: Agar penerima informasi dapat memastikan keaslian pesan tersebut datang dari orang yang dimintai informasi. Dengan kata lain informasi tersebut benar-benar dari orang yang dikehendaki. b. Integrity: keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi tersebut. c. Nonreprudiation: merupakan hal yang bersangkutan dengan si pengirim. Si pengirim tidak dapat mengelak bahwa dialah yang mengirim informasi tersebut. d. Authority: informasi yang berada pada system jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas akses tersebut. e. Confidentiality: merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Confidentiality biasanya berhubungan dengan informasi yang diberikan kepada pihak lain. f. Privacy: merupakan lebih kearah data-data yang bersifat pribadi. g. Availability: aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi. h. Access control: aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan masalah authentification dan juga privacy. Access control sering kali dilakukan menggunakan kombinasi user id dan password atau dengan menggunakan mekanisme lainnya. 2.3
Jenis Serangan Jaringan Komputer Menurut Ariyus (2007:12) Jenis dan serangan jaringan komputer beraneka macam. Seranganserangan yang terjadi pada sistem jaringan komputer diantaranya adalah:
PERANCANGAN KEAMANAN JARINGAN KOMPUTER MENGGUNAKAN SNORT DENGAN NOTIFIKASI SMS
a. Port Scanning : merupakan suatu proses untuk mencari port yang terbuka pada suatu jaringan komputer. Dari hasil scanning akan didapatkan letak kelemahan jaringan komputer tersebut (Vulnerability). b. Teardrop: merupakan suatu teknik yang dikembangkan dengan mengeskpoitasi proses disassembly-reassembly paket data. Dalam jaringan internet seringkali paket data dipotong kecil-kecil untuk manjamin reliabilitas dalam pengiriman paket data. Pada proses pemotongan paket data yang normal, setiap potongan akan diberi informasi offset data yang menyatakan besar potongan data dan total paket data yang dikirimkan. Program teardrop akan memanipulasi offset potongan data sehingga akhirnya terjadi overlapping antara paket yang diterima dibagian penerima setelah potongan-potongan paket data tersebut disassembly-reassembly. Seringkali overlapping ini menimbulkan crash, hang, dan reboot system. c. Spoofing : merupakan suatu serangan teknis yang rumit, terdiri dari beberapa komponen. Spoofing mengeksploitasi keamanan yang bekerja dengan menipu komputer, seolah-olah yang menggunakan komputer tersebut adalah orang lain. Hal ini terjadi karena design flaw. Lubang keamanan yang dapat dikategorikan kedalam kesalahan desain adalah desain urutan nomor (sequence numbering) dari paket TCP/IP. Kesalahan ini dapat dieksploitasi sehingga timbul masalah. (Ariyus. 2007:15). d. Land Attack : merupakan serangan kepada system dengan menggunakan program yang bernama land. Program ini melakukan serangangan yang menyembabkan meningkatnya penggunaan CPU yang sangat drastis bahkan sampai 100%, hal ini bisa menyebabkan sistem menjadi macet bahkan hang. Serangan land membutuhkan nomor IP dan nomor Port dari komputer yang dituju, dalam sistem berbasis windows port 139 merupakan jalan masuknya serangan. Karena port ini umumnya terbuka untuk windows file and printer sharing (Ariyus, 2007:17) e. Smurf Attack : serangan ini biasanya dilakukan dengan menggunakan IP Spoofing, yaitu merubah nomor IP dari datangnya request. Dengan menggunakan IP Spoofing respons dari ping tadi dialamatkan ke komputer yang IPnya di Spoof. Akibat dari serangan ini adalah meningkatnya penggunaan bandwidth yang menghubungkan komputer tersebut (Ariyus, 2007:19) f. Denial of service (DoS) merupakan serangan yang dilakukan secara individual menggunakan satu mesin komputer. Biasanya serangan ini dapat dijalankan ketika mesin penyerang lebih kuat dibandingkan dengan targetnya, sehingga penyerang mampu membanjiri targetnya dengan paket-paket yang dia kirimkan. Kuat yang
g.
h.
i.
j.
k.
l.
dimaksud pada definisi tersebut adalah dalam hal besarnya bandwith, kecepatan processor, dan kapasitas memori. Jika mesin komputer penyerang lebih lemah dibandingkan dengan targetnya maka akan terjadi sebaliknya. Penyerang tidak mampu melakukan koneksi karena jaringannya penuh dengan paket yang dia kirimkan kepada penyerang (Mirkovic,2004). DoS mempunyai beberapa tipe serangan. Berikut ini akan dijelaskan mengenai tipe-tipe serangan DoS. Logical, merupakan tipe serangan yang memanfaatkan kelemahan aplikasi, Operating System atau kesalahan Syntax pada mesin target. Contohnya: SMBNUKE Flooding, merupakan tipe serangan yang menggunakan protokol TCP, UDP, atau ICMP untuk membanjiri targetnya dengan paket-paket request yang dikirimkan oleh penyerang. Contohnya: Tcp-Flood UDP Flood : merupakan sebuah serangan denial of service (DoS) yang menggunakan User Datagram Protocol (UDP). Menggunakan UDP untuk melakukan serangan denial of service tidak sesederhana dengan Transmission Control Protocol (TCP). Namun, serangan UDP flood dapat dimulai dengan mengirimkan sejumlah besar paket UDP ke port acak pada komputer tujuan. Attacker mungkin juga akan melakukan spoof pada IP address dari paket UDP tersebut sehingga akan terjadi banjir paket yang tidak berguna. Untuk menanggulangi UDP flood, dapat mendisable semua servis UDP di semua system pada jaringan atau dengan memfilter semua servis UDP yang masuk melalui firewall (Ariyus, 2007:20). Packet Interception : membaca paket disaat paket tersebut dalam perjalanan disebut dengan packet sniffing ini adalah suatu cara attacker mendapatkan informasi yang ada didalam paket tersebut. Penyadapan seperti ini membutuhkan sebuah aplikasi yang mampu membaca setiap paket yang lewat dalam sebuah jaringan. Salah satunya adalah wireshark. Cara paling mudah untuk mencegah terjadinya sniffing dengan mengenkripsi paket yang akan dikirim. (Ariyus,2007:21) ICMP Flood : attacker melakukan eksploitas sistem yang bertujuan membuat target hang/down dengan mengirimkan paket ICMP/Ping dengan ukuran besar. Hal ini menyebabkan kinerja jaringan menurun.
Intrusion Detection System (IDS) Sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu-lintas inbound dan outbound dalam sebuah sistem atau 3 2.4
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 6 Nomor 1 Maret 2015
jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan). Menurut Ariyus (2007:27) IDS dapat didefinisikan sebagai tool, metode, sumber daya yang memberikan bantuan untuk melakukan identifikasi, memberikan laporan terhadap aktifitas jaringan komputer. Namun secara bahasa, sebenarnya nama IDS tidak sesuai dengan pengertiannya, sebab IDS tidaklah mendeteksi penyusup, melainkan hanya mendeteksi aktifitas aktifitas pada lalu lintas jaringan yang tidak layak terjadi. IDS secara khusus berfungsi sebagai proteksi secara keseluruhan dari sistem yang telah diinstal IDS, IDS tidak berdiri sendiri dalam melindungi suatu sistem. 2.5
SNORT Konsep Dasar Intrusion Detection System (IDS) Menurut Onno Purbo (2010) adalah usaha mengidentifikasi adanya penyusup yang memasuki sistem tanpa otorisasi (misal cracker) atau seorang user yang sah tetapi menyalahgunakan (abuse) sumber daya sistem. IDS merupakan program atau aplikasi yang dapat mendeteksi adanya gangguan pada sistem. Pada saat ini ada beberapa IDS yang umum digunakan pada jaringan, salah satunya adalah SNORT. Adapun tujuan dari tools ini diantaranya: mengawasi jika terjadi penetrasi kedalam sistem, mengawasi traffic yang terjadi pada jaringan, mendeteksi anomali terjadinya penyimpangan dari sistem yang normal atau tingkah laku user, mendeteksi signature dan membedakan pola antara signature user dengan attacker. IDS juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai intrusion oleh intruder. Cara kerja IDS dibagi menjadi dua, yaitu : Knowledge Based Knowledge Based pada IDS adalah cara kerja IDS dengan mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule pada IDS tersebut. Database rule tersebut dapat berisi signature-signature paket serangan. Jika pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS, maka paket data tersebut dianggap sebagai serangan dan demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada database rule pada IDS, maka paket data tersebut tidak akan dianggap serangan. Behavior Based Behavior Base adalah cara kerja IDS dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan-kejanggalan pada sistem, serta adanya keanehan dan kejanggalan dari kondisi pada saat sistem normal, sebagai contoh: adanya penggunaan memori yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap 4
kejanggalan yang selanjutnya oleh IDS Anomaly Based ini dianggap sebagai serangan. Gammu Gammu adalah nama sebuah project yang ditujukan untuk membangun aplikasi, script dan drivers yang dapat digunakan untuk semua fungsi yang memungkinkan untuk mengontrol telepon seluler dan modem GSM. Gammu menyediakan codebase yang stabil dan mapan untuk berbagai macam model telepon yang tersedia di pasaran dibandingkan dengan project sejenis. Fungsi-fungsi yang dapat dikelola oleh Gammu antara lain adalah fungsi nomor kontak (phonebook) dan fungsi SMS. Namun, sistem yang akan dikembangkan ini akan lebih banyak menggunakan fungsi SMS dari Gammu. 2.6
3. Implementasi Konfigurasi server snort menggunakan metode network intrusion detection system (NIDS), server akan meng-capture semua paket data yang melewati jaringan dan akan mencocokan dengan rules yang sudah didefinisikan. Aplikasi gammu hanya digunakan untuk mengirimkan notifikasi jika terjadi kesamaan paket/serangan dengan rules database. Penambahan hub pada jaringan agar semua paket di broadcast ke server snort. Penempatan server snort diantara modem internet dan server proxy bertujuan agar snort dapat menangkap semua paket yang melewati jalur tersebut yang di-broadcast oleh hub. Pada saat terjadi match antara rule dan serangan maka, snort akan mengirimkan notifikasi dan disimpan dalam basis data, basis data inilah yang akan digunakan oleh gammu untuk dikirimkan ke administrator. Jika paket data yang di-capture tidak sesuai dengan rules maka sistem tidak akan memberikan respon apapun. Diagram alur kerja sistem dapat dilihat pada Gambar 1.
PERANCANGAN KEAMANAN JARINGAN KOMPUTER MENGGUNAKAN SNORT DENGAN NOTIFIKASI SMS
Mulai
SNORT (Capture Packet)
Detection
Cocok ? Ya
Rules
Kirim SMS
Tidak
Selesai
Gambar 1. Diagram alur pendeteksian paket
4. Hasil dan Pembahasan Hasil rancang bangun sistem pendeteksi IDS adalah server yang terintegrasi dengan sms gateway sebagai media notifikasi. Implementasi yaitu bagaimana mewujudkan hasil dari perancangan sehingga menghasilkan suatu sistem yang dapat bekerja sebagaimana mestinya. Pada implementasi aplikasi yang akan diinstall antara lain Snort, MySql server, Barnyard2, Pulledpork, Snort Report, BASE, dan Gammu. Tahap Pengujian dilakukan untuk mengetahui keberhasilan dari sistem pendeteksi yang telah di buat, sehingga sistem bisa bekerja dengan baik. Sistem yang digunakan dalam pembuatan server adalah ubuntu server 12.04. Alasan pemakaianya karena user interface yang mudah dipahami dan mendukung semua tools yang dibutuhkan. Instalasi ubuntu menggunakan paket instalasi dari CD booting Ubuntu server 12.04. Snort sebagai aplikasi IDS berfungsi untuk membaca semua traffic dan membandingkan dengan database rules yang ada. Snort membutuhkan paket-paket pendukung agar dapat berjalan dengan normal. Snort di-install pada mode NIDS sehingga dapat membaca semua traffic yg melintas di jaringan. Langkah kedua adalah Instalasi dan konfigurasi Barnyard2, Barnyard2 sebagai tool pendukung dari snort yang memberi kemungkinan bagi snort untuk menuliskan log ke database mysql dengan efisien tanpa melewatkan traffic pada network.Barnyard2 di konfigurasi untuk membaca log yang dihasilkan oleh snort kemudian menulisnya di database mysql secara terus menerus. Langkah ketiga adalah instalasi dan Konfigurasi Pulledpork. Pulledpork berfungsi sebagai pengunduh rules yang di-release oleh snort.org dengan menggunakan oink code sehingga setiap ada update rules dari snort.org maka rules yang ada di server juga ter-update secara otomatis.
Pulledpork di-konfigurasi agar melakukan update rules secara berkala sesuai waktu yang sudah didefinisikan. Langkah keempat adalah instalasi dan konfigurasi Snortreport dan BASE. Snortreport dan BASE merupakan tool untuk menganalisa log yang dihasilkan oleh snort. Kedua tools ini memiliki fungsi yang sama yaitu sebagai antarmuka untuk membaca log dari snort, namun memiliki tampilan yang berbeda. Kedua tools ini berbasis web sehingga dapat diakses dengan mudah. Snortreport dan BASE di konfigurasi agar memudahkan administrator jaringan dalam menganalisa serangan, sehingga pengambilan keputusan dilakukan dengan tepat. Langkah kelima adalah Instalasi dan konfigurasi gammu. Gammu merupakan tool yang berfungsi sebagai sms gateway, disini gammu hanya digunakan sebagai jembatan antara server dengan modem. Gammu tidak dikonfigurasi secara khusus, hanya di install untuk menghubungkan modem dengan server. langkah terakhir adalah Konfigurasi database disini agar snort dapat mengirimkan notifikasi berupa sms kepada administrator. Database dari Acid_base direkayasa agar dapat memberikan perintah kepada gammu untuk mengirimkan notifikasi sms kepada administrator saat terjadi serangan. Restart server sebelum tahap operate agar semua service dapat berjalan secara bersama-sama dengan perintah #reboot. Pemeriksaan snort sudah berjalan dengan melihat daemon yang dibuat menggunakan perintah: # ps -A | grep snort 1229 ? 00:00:00 snort Untuk memvalidasi konfigurasi snort dengan perintah : # snort -c /usr/local/snort/etc/snort.conf -T …………… Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13> Preprocessor Object: SF_SDF Version 1.1 <Build 1> Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1> Snort successfully validated the configuration! Snort exiting Pemeriksaan barnyard2 sudah berjalan dengan melihat daemon yang dibuat menggunakan perintah: # ps -A | grep barnyard2 1290 ? 00:00:00 barnyard2 Untuk memvalidasi konfigurasi barnyard2 dengan perintah : # barnyard2 -T -c /etc/snort/barnyard.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo …………… (C) Copyright 1998-2007 Sourcefire Inc., et al. Barnyard2 successfully loaded configuration file! Snort exiting 5
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 6 Nomor 1 Maret 2015
database: Closing connection to database "snortdb" Pemeriksaan pulledpork dan konfigurasinya dengan perintah : # /usr/local/snort/pulledpork/pulledpork.pl -c /usr/local/snort/pulledpork/etc/pulledpork.conf ............ Done Rule Stats... New:-------45 Deleted:---16 Enabled Rules:----5207 Dropped Rules:----0 Disabled Rules:---15734 Total Rules:------20941 No IP Blacklist Changes Done Please review /var/log/sid_changes.log for additional details Fly Piggy Fly! Pengujian snortreport dengan cara mengakses halaman web http://125.8.15.3/snortreport/ (Gambar 2) :
Tes gammu untuk mengirimkan sms dengan melakukan insert pada table outbox dengan perintah: # echo "insert into smsdb.outbox (destinationnumber, textdecoded) values ('08572587772', 'Test kirim sms dengan gammu')" |mysql -u root -p Hasil sms yang diterima pada Gambar 4.
Gambar 4. SMS yang diterima Setelah semua daemon berjalan normal, server dapat diintegrasikan dengan pada jaringan real sesuai dengan rancangan topologi. Pengujian dilakukan dalam rentang waktu 10 Menit, 20 menit, 60 menit, 120 Menit, 9 hari. Dengan sampel tersebut diharapkan dapat menguji kestabilan sistem (Tabel 1). Gambar 2. Snortreport web page Sedangkan Pengujian BASE dengan cara mengakses halaman web http://125.8.15.3/base/ (Gambar 3) :
Gambar 3. BASE web page Pemeriksaan gammu-smsd yang berjalan sebagai daemon dapat dilihat menggunakan perintah: # ps -A | grep gammu-smsd 1777 ? 00:00:01 gammu-smsd 6
Tabel 1. Hasil pengujian snort pada jaringan real
PERANCANGAN KEAMANAN JARINGAN KOMPUTER MENGGUNAKAN SNORT DENGAN NOTIFIKASI SMS
Pada tahap pengujian dengan rentang waktu 10 menit terdapat false alarm yang cukup banyak, hal ini perlu dioptimasi dengan cara menambahkan script berikut pada file /usr/local/snort/etc/threshold.conf dengan perintah # nano/usr/local/snort/etc/threshold.conf #BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt suppress gen_id 1, sig_id 19187, track by_dst, ip 203.130.243.96/29 suppress gen_id 3, sig_id 19187, track by_dst, ip 203.130.243.96/29 #stream5: Reset outside window suppress gen_id 129, sig_id 15, track by_src, ip 203.130.243.96/29 suppress gen_id 129, sig_id 15, track by_dst, ip 203.130.243.96/29 #stream5: Bad segment, overlap adjusted size less than/equal 0 suppress gen_id 129, sig_id 5, track by_src, ip 203.130.243.96/29 suppress gen_id 129, sig_id 5, track by_dst, ip 203.130.243.96/29 #stream5: TCP Small Segment Threshold Exceeded suppress gen_id 129, sig_id 12, track by_dst, ip 203.130.243.96/29 suppress gen_id 129, sig_id 12, track by_src, ip 203.130.243.96/29 #suppress gen_id 122, sig_id 19, track by_dst, ip 203.130.243.96/29 suppress gen_id 122, sig_id 19, track by_src, ip 203.130.243.96/29 #sensitive_data: sensitive data global threshold exceeded suppress gen_id 139, si#(ssp_ssl) Invalid Client HELLO after Server HELLO Detected suppress gen_id 137, sig_id 1 #(http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE suppress gen_id 120, sig_id 3 #(http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE suppress gen_id 120, sig_id 8 #(http_inspect) SIMPLE REQUEST suppress gen_id 119, sig_id 32 #(http_inspect) HTTP RESPONSE GZIP DECOMPRESSION FAILED suppress gen_id 120, sig_id 6 #(http_inspect) UNKNOWN METHOD - 0 suppress gen_id 119, sig_id 31 #(smtp) 7bit/8bit/binary/text Extraction failed. suppress gen_id 124, sig_id 12 #(smtp) Base64 Decoding failed. suppress gen_id 124, sig_id 10 #(smtp) Quoted-Printable Decoding failed suppress gen_id 124, sig_id 11g_id 1
5. Kesimpulan dan Saran Hasil dari Perancangan Keamanan Jaringan Komputer Menggunakan SNORT dengan notifikasi SMS di PT. Asia Pasific Fibers, tbk perlu disimpulkan : 1. Sistem deteksi berjalan sesuai dengan rancangan, rules efektif untuk medeteksi serangan yang masuk diantaranya: port scanning, dos, ddos, icmp sweep, dan brute force attack. Sehingga hasil deteksi menjadi dasar dalam pengambilan keputusan oleh administrator jaringan. 2. Antarmuka web yang dibangun berjalan sesuai rancangan dan memudahkan administrator jaringan untuk menganalisa serangan sebelum melakukan blocking. 3. Notifikasi SMS berjalan sesuai dengan rancangan dalam memberikan peringatan dini kepada administrator saat terjadi serangan. 4. Script update berjalan sesuai racangan sehingga dapat melakukan update secara otomatis baik rule, keamanan, maupun update sistem operasi. 5. Sistem yang dibangun stabil paling lama 7 hari sejak server menyala, setelah itu server akan reboot otomatis sesuai jadwal setelah melakukan update. DAFTAR PUSTAKA Alamsyah, 2011. Implementasi Keamanan Instrusion Detection System (IDS) Dan Instrusion Prevention System (IPS) Menggunakan ClearOS. Jurnal SMARTek Vol 9, No. 3 Ariyus, D.2006. Computer Security. Yogyakarta : Penerbit Andi Ariyus, D. 2007. Intrusion Detection System. Yogyakarta : Penerbit Andi Brenton, Chris dan Cameron Hunt. 2005. Network Security. Jakarta: PT. Elex Media Komputindo Information Sciences Institute University of Southern California. 1981. RFC 793 :TRANSMISSION CONTROL PROTOCOL. IETF. Tersedia : https://www.ietf.org/rfc/rfc793.txt Mansfield, Niall. 2004. Practical TCP/IP: Mendesain, Menggunakan, dan Troubleshooting Jaringan TCP/IP di Linux dan Windows (jilid 1). Yogyakarta: Penerbit Andi Mirkovic, Jelena, dkk. 2004. Internet Denial of Service. Prentice Hall. Parziale, Lydia, et al. 2006. TCP/IP Tutorial and Technical Overview. New York : IBM Coorporation
7
Jurnal Teknologi Informasi dan Komunikasi, ISSN:2087-0868, Volume 6 Nomor 1 Maret 2015
Postel, J. 1980. RFC 768 : User Datagram Protocol. IETF. Tersedia : https://tools.ietf.org/rfc/rfc768.txt
Sofana, Iwan. 2011. Teori dan Modul Praktikum Jaringan Komputer. Bandung : Modula.
Purbo, Onno, 2010. Keamanan Jaringan Komputer. Jakarta : Handry Pratama.
Sukmaaji, Anjik, S. Kom dan Rianto, S. Kom. 2008. Konsep Dasar Pengembangan Jaringan dan Keamanan Jaringan. Yogyakarta: Penerbit Andi
Sofana, Iwan. 2008. Membangun Komputer. Bandung : Informatika.
Jaringan
Sofana, Iwan. 2009. CISCO CCNA & JARINGAN KOMPUTER. Bandung : Informatika.
Stallings, William. 2000. Data and Computer Communications, 6th edition. New Jersey : Prentice Hall. Tasmil, 2012. Kajian Wireless Intrusion Detection System (WIDS) Terhadap Keamanan Jaringan Nirkabel IEEE 802.11. JURNAL PEKOMMAS Volume. 15 (No. 1),1-8
8
