Analisis Integrasi Intrusion Detection System Snort dengan Firewall Mikrotik Sebagai Sistem Keamanan Jaringan Artikel Ilmiah Peneliti : Triwibowo Priadinal (672014220) Teguh Indra Bayu, S.Kom., M.Cs. Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Salatiga Januari 2018
20
Embed
Analisis Integrasi Intrusion Detection System Snort dengan ...repository.uksw.edu/bitstream/123456789/16845/2/T1_672014220_Full...Analisis Integrasi Intrusion Detection System Snort
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Analisis Integrasi Intrusion Detection System Snort dengan
Firewall Mikrotik Sebagai Sistem Keamanan Jaringan
Artikel Ilmiah
Peneliti :
Triwibowo Priadinal (672014220)
Teguh Indra Bayu, S.Kom., M.Cs.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Januari 2018
1. Pendahuluan
Peran teknologi saat ini tidak diragukan lagi dimana hampir seluruh pekerjaan manusia dapat
dilakukan dengan menggunakan teknologi. Dalam lingkup teknologi informasi semakin maraknya
ancaman salah satunya dapat memantau, melihat atau bahkan merubah komunikasi data yang
ditransmisikan. Sebuah firewall (tidak seperti sebuah router biasa yang hanya mengarahkan lalu
lintas network) adalah sebuah sistem atau kelompok sistem yang menerapkan sebuah access
control policy terhadap lalu lintas network yang melewati titik-titik akses network. Setelah
menentukan level connectivity yang disediakan, tugas firewall adalah untuk memastikan bahwa
tidak ada akses tambahan dari luar ruang lingkup yang diizinkan[1].
Firewall Mikrotik dianggap belum mampu untuk melindungi suatu jaringan, menanggulangi
kekurangan dari fungsi firewall dapat diimplementasikan Intrusion Detection System (IDS). IDS
sangat membantu firewall dalam melakukan tugasnya. IDS berfungsi sebagai pemberi alert ketika
ada paket yang dikategorikan sebagai ancaman dan langsung memerintahkan firewall untuk
memblokir koneksi tersebut sebelum masuk ke jaringan. Rumusan masalah pada penilitian ini
adalah bagaimana merancang sistem IPS yang dapat berintegrasi dengan IDS dan menganalisis
integrasi sistem IPS menggunakan Snort dan Mikrotik sebagai sistem keamanan jaringan.
Snort merupakan perangkat lunak yang digunakan untuk mendeteksi dan mencegah terhadap
lalu lintas yang dikategorikan sebagai ancaman dalam sebuah jaringan, Snort akan bekerja sebagai
pihak ketiga yang membantu kinerja dari firewall Mikrotik. Tentang batasan pengujian yaitu
menganalisis CPU-Load dan memori yang digunakan. Berdasarkan latar belakang masalah,
penelitian ini bertujuan untuk menghasilkan analisis kinerja dari Snort itu sendiri dan tetap
menggunakan Mikrotik sebagai firewall sebagai sistem keamanan suatu jaringan.
2. Tinjauan Pustaka
Penelitian terdahulu yang pernah dilakukan adalah implementasi Snort sebagai alat
pendeteksi intrusi menggunakan Linux. Dalam penelitian ini, IDS yang digunakan yakni Snort dan
perancangannya masih menggunakan Ubuntu 10.04 pada percobaannya menggunakan ping, nmap
port scan, eksploitasi, SQL Injection hingga pengaksesan database terjadi kenaikan alert dengan
serangan yang dilakukan. Pada bagian saran, terdapat kesimpulan yakni IDS memberikan manfaat
jika diintegrasikan dengan firewall akan tetapi belum dapat mencegah atau memblokir sesuatu
yang dianggap mengancam. [2].
Pada penelitian yang berjudul analisis dan implementasi IDS menggunakan Snort pada
Cloud server di Jogja Digital Valley, membahas tentang IDS yang dihubungkan dengan Internet
Protocol (IP) Tables yang memuat semua service (seperti web, FTP, DNS, dll) berjalan melalui
jalur yang dinamakan port, sehingga dapat dilakukan penyaringan traffic network dalam mencegah
dari hal-hal yang bersifat membahayakan jaringan. [3].
Adapula tentang pembahasan implementasi intrusion detection system menggunakan Snort,
Barnyard2 dan Base pada sistem operasi Linux membahas tentang Snort IDS yang digunakan
sebagai pemantau aktifitas lalu lintas jaringan dan mengindentifikasi ancaman serangan dan Base
yang nantinya akan digunakan sebagai interface dari log serangan, akan tetapi tidak membahas
mengenai penanggulangan secara langsung terhadap gangguan yang masuk atau yang terbaca oleh
Snort IDS [4].
Pada penelitian yang berjudul keamanan jaringan dengan firewall filter berbasis Mikrotik
pada Laboratorium komputer STIKOM Bali berisi dimana penggunaan komputer tidak dapat
dipantau dalam melakukan penggunaannya. Sistem yang dirancang dapat memenuhi kebutuhan
khususnya dalam melakukan paket filter dan mampu mengamankan jaringan pada laboratorium
komputer dengan melakukan filter terhadap lalu lintas data yang melewati router sesuai ketentuan
yang telah dirancang[5].
Berdasarkan penelitian terdahulu terkait IDS, maka akan dilakukan penelitian tentang
analisis integrasi sistem IPS menggunakan Snort dan Mikrotik sebagai sistem keamanan jaringan.
Tujuannya menganalisis kinerja dari CPU-Load Mikrotik dan memori. Intrusion Detection System
(IDS) dan Instrusion Prevention System (IPS) memiliki tujuan yang sama yakni untuk
meningkatkan keamanan suatu jaringan. Snort adalah salah satu software yang bertindak sebagai
IDS, Snort dapat mampu berperan untuk membantu firewall dalam menjaga keamanan suatu
jaringan yang berkerja berdasarkan rule. Penggunaan Mikrotik juga mampu membantu kinerja
dari Snort dalam melakukan tugasnya, atau dengan kata lain Snort dan Mikrotik melakukan suatu
integritas dengan tujuan yang sama yakni melindungi lalu lintas sebuah jaringan.
Intrusion Detection System (IDS) merupakan suatu sistem yang dapat memonitor lalu lintas
jaringan dari aktivitas paket data yang mencurigakan atau yang melanggar aturan keamanan
jaringan dan kemudian membuat laporan dari aktivitas jaringan tersebut [6]. Terdapat 3 macam
konsep IDS, yaitu: Network-based Intrusion Detection System (NIDS): semua lalu lintas yang
mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau
penyusup ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting
dimana server berada atau terdapat pada “pintu masuk” jaringan. Host-based Intrusion Detection
System (HIDS): aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah
percobaan serangan atau penyusup ke dalamnya atau tidak. HIDS seringnya diletakkan pada
server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi
dengan internet. Distributed Intrusion Detection System (DIDS), tipe ini merupakan kombinasi
sensor NIDS dan sensor HIDS dalam jaringan yang lebih besar dan kemudian mengirim log pada
sistem terpusat.
Snort merupakan salah satu contoh program Network-based Intrusion Detection System,
yaitu sebuah program yang dapat mendeteksi suatu usaha penyusupan pada sistem jaringan
komputer. Snort bersifat open source dengan lisensi GNU General Purpose License sehingga
software ini dapat dipergunakan untuk mengamankan sistem server tanpa harus membayar biaya
lisensi[7]. Saat rule pada Snort dijalankan, Snort IDS mengecek sesuai dengan traffic yang berjalan
jika terdapat aktifitas yang membahayakan atau telah masuk kedalam aktifitas yang terdapat
didalam rule maka Snort akan menyimpan log tersebut.
Firewall adalah sebuah sistem atau kelompok sistem yang menerapkan sebuah access
control policy terhadap lalu lintas network yang melewati titik-titik akses network. Adapun fungsi
umum dari sebuah firewall adalah static packet filtering (penyaringan paket secara statis), dynamic
packet filtering (penyaringan paket secara dinamis), stateful filtering (penyaringan berdasarkan
status), dan proxy [9].
Mikrotik Router adalah salah satu sistem operasi dan perangkat yang dapat digunakan
sebagai router jaringan, mencakup berbagai fitur jaringan dan wireless. Mikrotik sudah memiliki
sistem firewall sendiri. Pada mikrotik terdapat berbagai jenis Firewall diantaranya adalah Packet
Filtering Gateway dapat diartikan sebagai firewall yang bertugas melakukan filterisasi terhadap
paket-paket yang datang dari luar jaringan yang dilindunginya. Aplication Layer Gateway dapat
disebut sebagai Proxy Firewall. Cara kerjanya tidak hanya memfilter berdasarkan sumber, tujuan
dan atribut paket, tetapi hingga isi (content) paket tersebut dapat terfilter. Circuit Level Gateway
model firewall ini bekerja pada bagian Lapisan transport dari model OSI TCP/IP. Firewall ini
akan melakukan pengawasan terhadap awal hubungan TCP yang biasa disebut sebagai TCP
Handshaking, yaitu proses untuk menentukan apakah sesi hubungan tersebut diperbolehkan atau
tidak. Bentuknya hampir sama dengan Application Layer Gateway, hanya saja bagian yang difilter
terdapat ada lapisan yang berbeda, yaitu berada pada layer Transport. Statefull Multilayer
Inspection Firewall model firewall ini adalah gabungan dari ketiga jenis firewall di atas. Firewall
jenis ini akan bekerja pada lapisan Aplikasi, Transport dan Internet. Dengan penggabungan ketiga
model, dapat dibilang firewall jenis ini adalah firewall yang memberikan tingkat keamanan yang
paling tinggi[8].
Pada penelitian ini traffic yang akan keluar dan masuk dalam jaringan akan diarahkan ke
Mikrotik, sehingga Mikrotik akan mengirimkan paket tersebut untuk diperiksa oleh sistem dari
IDS sendiri. Setelah IDS memeriksa paket tersebut maka IDS akan mengirimkan alert ke
Mikrotik, sehingga ketika ada alert yang masuk akan ditindak lanjuti langsung oleh firewall
yang ada pada Mikrotik.
3. Metode dan Perancangan Sistem
Tahapan penelitian yang digunakan terbagi kedalam lima, yaitu: 1) Identifikasi masalah, 2)
1. : ip global 2. local time ([/system clock get time]+(“00:05:00”)) 3. if ($time > “23:59:59”) do={: local time “00:05:00” } 4. /ip firewall address-list add list=blacklist address=$ip comment=$time
Kode Program 3 Sricpt pada IDS Snort
Setelah sistem diimplementasikan kemudian sistem tersebut akan diuji. Pada proses
pengujiannya dengan mencoba untuk melakukan blok terhadap Torent, web streaming dan sosial
media, pemilihan pengujian dengan memblok pada layer 7 yang digunakan, yaitu untuk menjadi
pertimbangan dalam pembatasan akses entah dalam lingkup kantor ataupun sekolah yang dimana
untuk koneksi ketiganya diblok. Pengujian disisi IDS dengan memasukan rule agar dapat
mendeteksi adanya akses untuk Torent, web streaming dan sosial media. Dari hasil deteksi akan
menghasilkan alert, saat itu Mikrotik mulai melakukan kerjanya dengan mengambil isi alert dan
mengambil IP untuk dimasukkan kedalam address list. IP didalam address list kemudian akan
didrop oleh filter rule yang disiapkan. Berbeda dengan firewall Mikrotik, yang menerapkan sebuah
access control policy terhadap lalu lintas network. Dari ketiga proses pengujian tujuannya sama
melakukan perbandingan atau analisis IDS Snort yang bekerja sama dengan firewall dari Mikrotik.
Pengujian ini untuk mengetahui apakah hasil dari sistem yang dibuat sudah menjawab
1. <?php
2.
3. $blocked=array();
4.
5. function sendMikrotik($mt,$user,$pass,$filter) {