5/25/2018 Implementasi snort
1/73
PEMANFAATAN SNORT IDS UNTUK MENINGKATKAN
KEAMANAN JARINGAN DI KANTOR DINAS KOMUNIKASI
DAN INFORMATIKA (DISKOMINFO) BANDUNG
Kerja Praktek
Diajukan sebagai Laporan Pelaksanaan Kerja Praktek
Jurusan Teknik Informatika
Oleh :
Wesly Sibagariang
0610U051
JURUSAN TEKNIK INFORMATIKA
FAKULTAS TEKNIK UNIVERSITAS WIDYATAMA
BANDUNG
2013
5/25/2018 Implementasi snort
2/73
i
LEMBAR PENGESAHAN
PEMANFAATAN SNORT IDS UNTUK MENINGKATKAN KEAMANAN
JARINGAN DI KANTOR DINAS KOMUNIKASI DAN INFORMATIKA
(DISKOMINFO) BANDUNG
KERJA PRAKTEK
Jurusan Teknik Informatika
Fakultas Teknik
Universitas Widyatama
Oleh :
Nama : Wesly SibagariangNPM : 0610U051
Telah disetujui dan disahkan di Bandung Tanggal Desember 2013
Pembimbing Kampus,
Ulil S. Zulpratita, S.T.,M.T.
Pembimbing Lapangan,
Bambang Indra Rachmawan, Amd.
5/25/2018 Implementasi snort
3/73
ii
SURAT PERNYATAAN
Saya yang bertanda tangan dibawah ini :
Nama : WESLY SIBAGARIANG
Tempat dan Tanggal Lahir : Siborongborong, 22 Maret 1991
Alamat Orang Tua : Jl. Makmur gg.GPDI no 11
Kec.Siborongboronng, Kab.Tapanuli
Utara, Sumatera Utara
Menyatakan bahwa laporan kerja praktek ini benar merupakan hasil karya
saya sendiri. Bila terbukti tidak demikian, saya bersedia menerima sanksi yang
berlaku.
Bandung, Desember 2013
WESLY SIBAGARIANG
5/25/2018 Implementasi snort
4/73
iii
ABSTRAK
Teknologi internet sekarang ini semakin berkembang, dimana kita dengan mudah
dapat bertukar informasi dengan orang lain dimana saja dan kapan saja. Tetapi
kemudahan dalam berkomunikasi ini tidak disertai dengan keamanan untuk setiap
informasi yang kita pertukarkan. Masih tingginya tingkat pelanggaran seperti
percobaan pembobolan oleh orang yang tidak bertanggung jawab membuktikan
masih kurangnya keamanan dalam jarinagn komputer. Penggunaan firewall juga
dianggap masih kurang dalam mengamankan sebuah jaringan komputer. Untuk itu
diperlukan sebuah alat yang membantu meningkatkan keamanan jaringan yang
mampu memantau semua trafik jaringan, yaitu dengan menggunakan Snort IDS.
Penelitian ini bertujuan untuk memantau pola trafik jaringan di kantor Dinas
Komunikasi dan Informatika (DISKOMINFO) Bandung. Hasil penelitian
menunjukkan bahwa aplikasi Snort IDS dapat digunakan untuk memantaujaringan secara realtime, dimana paket data TCP lebih banyak digunakan daripada
paket data UDP dan ICMP di jaringan komputer DISKOMINFO Bandung.
Kata Kunci : IDS, jaringan komputer, keamanan jaringan, Snort
5/25/2018 Implementasi snort
5/73
iv
ABSTRACT
Internet technology nowadays is developing, where people can easily change
informations each other everywhere and everytime. But the ease in
communication is not followed by the security of informations. The high rate of
violation such as network attack trial by unresponsible people proves that
computer network security is less. Firewall is also considered not quite to secure a
computer network. Therefore, an application to increase network security that can
monitoring all of network traffics is needed, such as using Snort IDS. This works
aim is to monitoring network trafficpattern at Dinas Komunikasi dan Informatika
(DISKOMINFO) Bandung. The result shows that Snort IDS application can be
used to monitoring network in realtime, which is TCP is used more than UDP and
ICMP at DISKOMINFO Bandung network.
Keywords : computer network, IDS , network security, Snort,
5/25/2018 Implementasi snort
6/73
v
KATA PENGANTAR
Puji dan syukur penulis panjatkan kepada Tuhan Yang Maha Esa atas berkat
dan rahmat-Nya penulis dapat menyelesaikan laporan Kerja Praktek yang berjudul
Pemanfaatan SnortIDS untuk Meningkatkan Keamanan Jaringan di Dinas
Komunikasi dan Informatika (DISKOMINFO) Bandung ini dengan baik.Laporan ini juga diajukan sebagai salah satu syarat menyelesaikan mata
kuliah Kerja Praktek di Jurusan Teknik Informatika Universitas Widyatama.
Laporan ini disusun dalam enam bab sebagai laporan hasil kerja praktek yangtelah dilakukan. Bab 1 membahas tentang latarbelakang, rumusan masalah,
batasan masalah, tujuan, dan metode penelitian yangdilakukan serta sistematikapenulisan laporan. Adapun bab 2 mendeskripsikan profil perusahaan atau instansi
tempat dilaksakannya kerja praktek. Bab 3 menekankan pada landasan teori,
sedangkan bab 4 menjelaskan analisis dan perancangan. Sebagai hasil penelitian
dan kesimpulan, dibahas pada bab 5 dan bab 6 disertai dengan lampiran yangmenyertakan data-data yang tidak ditampilkandalam bab 5.
Dalam penulisan laporan ini, penulis menyadari masih jauh darikesempurnaan. Untuk itu penulis mengharapkan saran dan kritik yangmembangun dari pembaca. Penulis juga berharap semoga laporan ini dapat
bermanfaat bagi kemajuan ilmu pengetahuan.
Bandung, Desember 2013
Penulis
5/25/2018 Implementasi snort
7/73
vi
DAFTAR ISI
LEMBAR PENGESAHAN ....................................................................... i
SURAT PERNYATAAN ........................................................................... ii
ABSTRAK .................................................................................................. iii
ABSTRACT ................................................................................................ iv
KATA PENGANTAR ................................................................................ v
DAFTAR ISI ............................................................................................... vi
DAFTAR GAMBAR .................................................................................. ix
DAFTAR TABEL ...................................................................................... xi
BAB I PENDAHULUAN
1.1.Latar Belakang ................................................................................ 11.2.Identifikasi Masalah ........................................................................ 41.3.Rumusan Masalah ........................................................................... 41.4.Batasan Masalah ............................................................................. 51.5.Tujuan ............................................................................................. 51.6.Metode Penelitian ........................................................................... 51.7.Sistematika Penulisan ..................................................................... 61.8.Lokasi dan Waktu Pelaksanaan ...................................................... 7
BAB II PROFIL PERUSAHAAN
2.1.Sejarah Perusahaan ......................................................................... 82.2.Visi dan Misi
2.2.1.Visi ....................................................................................... 112.2.2.Misi ...................................................................................... 11
2.3.Struktur Organisasi ......................................................................... 112.4.Produk dan Layanan Perusahaan .................................................... 13
BAB III LANDASAN TEORI
3.1.Jaringan Komputer .......................................................................... 143.1.1.TopologiBus......................................................................... 143.1.2. Topologi Token Ring(Cincin) .............................................. 153.1.3.Topologi Star ................................................................................ 163.1.4.TopologiMesh ............................................................................... 17
3.1.5.TopologiHybrid............................................................................ 18
5/25/2018 Implementasi snort
8/73
vii
3.1.6.TopologiPeer to Peer Network ..................................................... 19
3.2.Intrusion Detection System(IDS) ................................................... 193.2.1. JenisIntrusion Detection System(IDS) ................................ 21
3.2.2. Skema AnalisisIntrusion Detection System(IDS) ............... 23
3.2.3.Rule Intrusion Detection System (IDS) ................................ 24
3.3.Arsitektur Jaringan Komputer ......................................................... 253.4.SnortIDS ........................................................................................ 27
3.4.1. Komponenkomponen Snort.............................................. 27
3.4.2. Proses Deteksi pada SnortSebagaiIntrusion Detection
System(IDS) ......................................................................... 28
3.4.3. Penempatan Snort................................................................ 30
3.5.Basic Analisys and Security Engine(BASE) .................................. 313.6.Jenis serangan terhadap jaringan komputer .................................... 32
3.6.1.Port Scanning ....................................................................... 32
3.6.2. Teardrop ............................................................................... 32
3.6.3. IPSpoofing ........................................................................ 33
3.6.4.Land Attack ........................................................................... 33
3.6.5. Smurf Attack ......................................................................... 34
3.6.6. UDPFlood............................................................................ 34
3.6.7.Packet Interception ............................................................... 34
3.6.8. ICMPFlood .......................................................................... 35
BAB IV ANALISIS DAN PERANCANGAN
4.1.Sistem KerjaFirewall ..................................................................... 364.2. Identifikasi Masalah ....................................................................... 364.3. Identifikasi Penyebab Masalah ...................................................... 374.4. Analisis .......................................................................................... 37
4.4.1. Analisis Kebutuhan ............................................................... 38
4.5. Perancangan ................................................................................... 404.5.1. Deskripsi dari Sistem ............................................................ 42
4.6. Skenario Uji Coba .......................................................................... 43BAB V IMPLEMENTASI DAN UJI COBA
5.1.Implementasi ................................................................................... 455.1.1. Konfigurasi SnortIDS .......................................................... 45
5.1.2. KonfigurasiAcidatau BASE ................................................ 47
5.2.Pengambilan Data dan Analisis ...................................................... 485.2.1.TrafficJaringan ..................................................................... 48
5.3.Skenario Uji Coba ........................................................................... 51
5/25/2018 Implementasi snort
9/73
viii
BAB VI KESIMPULAN
6.1.1.Kesimpulan ................................................................................... 53
DAFTAR PUSTAKA ................................................................................. 54
LAMPIRAN ................................................................................................ 55
5/25/2018 Implementasi snort
10/73
ix
DAFTAR GAMBAR
Gambar 1.1 Statistik data model serangan dari report
CSI/FBI tahun 2005 ............................................................. 2
Gambar 1.2 Statistik pelanggaran yang terjadi dari
reportCSI/FBI tahun 2008 .................................................. 2
Gambar 2.1 Struktur Organisasi DISKOMINFO Bandung ..................... 12
Gambar 3.1 TopologiBus........................................................................ 15
Gambar 3.2 Topologi Token Ring (Cincin) ............................................. 16
Gambar 3.3 Topologi Star ....................................................................... 16
Gambar 3.4 TopologiMesh ..................................................................... 17
Gambar 3.5 TopologiHybrid................................................................... 19
Gambar 3.6 Topologi Peer to Peer Network............................................ 19
Gambar 3.7 HostBasedIDS ................................................................. 21
Gambar 3.8 NetworkBasedIDS ........................................................... 22
Gambar 3.9 ContohRulepada SnortIDS ................................................ 25
Gambar 3.10 Proses Deteksi Snort ............................................................ 29
Gambar 3.11 ProsesRuleMengenali Suatu Paket ..................................... 29
Gambar 3.12 LifecycleSerangan ............................................................... 32
Gambar 4.1 Topologi NOC Jarkom Pemprov Jabar 2013 ....................... 40
Gambar 4.2 Topologi Tempat SnortIDSAkan Dipasang ....................... 41
Gambar 4.3 Topologi Rancangan SnortIDS ........................................... 41
Gambar 4.4 Skenario Uji Coba Kinerja SnortIDS .................................. 43
Gambar 5.1 KonfigurasiNetworkInternal danNetworkEksternal ......... 44Gambar 5.2 Konfigurasi Untuk Menempatkan Sensor SnortIDS ........... 44
Gambar 5.3 Path Ruleyang Akan Digunakan ......................................... 45
Gambar 5.4 Acidatau BASE MenggunakanMysqlSebagaiDatabase ... 46
Gambar 5.5 Register Acidatau BASE TerhadapDatabase Server ......... 46
Gambar 5.6 TampilanAcidatau BASE ................................................... 47
Gambar 5.7 Grafik Trafik Jaringan Dalam 5 Hari Kerja ......................... 48
Gambar 5.8 Grafik Jumlah dan JenisAnomaly yang Terdeteksi Oleh
5/25/2018 Implementasi snort
11/73
x
Snort IDS .............................................................................. 49
Gambar 5.9 Perintah Untuk Menjalankan nmap ...................................... 51
Gambar 5.10 Hasil Scanningdengan Menggunakan nmap ....................... 51
Gambar 5.11 Perintah Menjalankan SnortIDSModeConsole ................. 52
Gambar 5.12 HasilRunning SnortIDS ...................................................... 52
5/25/2018 Implementasi snort
12/73
xi
DAFTAR TABEL
Tabel 3.1 Perbedaan NIDS dan HIDS .................................................. 23
Tabel 4.1 Spesifikasi Sistem yang Akan Dibanngun ........................... 38
Tabel 4.2 Spesifikasi Software(Perangkat Lunak) yang Digunakan ... 39
Tabel 4.3 SpesifikasiHardware(Perangkat Keras)
yang Akan Diguanakan ........................................................ 39
Tabel 5.1 Akses Jaringan yang Terjadi Selama 5 Hari Kerja ............... 48
Tabel 5.2 JenisAnomalyyang Terdeteksi Oleh Snort IDS .................. 49
5/25/2018 Implementasi snort
13/73
1
BAB I
PENDAHULUAN
1.1Latar BelakangDi era globalisasi seperti sekarang ini, adalah saat dimana proses peradaban
manusia mulai berubah, manusia memiliki gaya hidup berinteraksi dengan cepat
dan tepat untuk meningkatkan kualitas hidup. Information Techonology (IT)
merupakan gaya hidup yang tidak dapat dipisahkan dalam bermasyarakat.
Hampir di semua aspek kehidupan kita menggunakan teknologi informasi. Gaya
hidup yang menuntut berkomunikasi dan melakukan pertukaran data dengan cepat
dan tepat membuat hal ini tidak dapat dipisahkan dari teknologi telepon seluler,
komputer, dan internet.
Dengan semakin berkembangnya teknologi komputer dan internet
mengakibatkan pengguna teknologi tersebut semakin meluas, begitu juga dengan
ancaman yang timbul dari proses kegiatan tersebut dimana dalam hal ini
kerahasian data pengguna harus dijaga. Di sebuah perusahaan atau organisasi,
keamanan jaringan komputer merupakan bagian yang tidak terpisahkan dari
keamanan sistem informasi. Berbagai teknik atau mekanisme pertahanan dalam
suatu jaringan bergantung kepada seorang administrator (admin) yang mengelola
jaringannya. Seorang admin harus mengetahui betul kondisi jaringan. Usaha untuk
mengamankan suatu jaringan harus dipandang secara keseluruhan, tidak bisa
secara parsial, setiap lapisan dalam jaringan harus dapat melakukan fungsinya
secara aman.
Melihat dari tahun ke tahun perkembangan serangan terhadap sebuah jaringan
semakin meningkat dengan teknik yang semakin berkembang juga.Ini dibuktikan
dari reporttahunan CSI/FBI tentang perkembangan dari tahun ke tahun dan model
model serangan yang semakin beragam yang cenderung terus mengarah pada
serangan internet[12].
5/25/2018 Implementasi snort
14/73
2
Gambar 1.1 Statistik data model serangan dari reportCSI/FBI tahun 2005
Gambar 1.2 Statistik pelanggaran yang terjadi dari reportCSI/FBI tahun 2008
Dalam usaha untuk meningkatkan keamanan jaringan, sebagian besar
perusahaan atau organisasi telah mengimplementasikan teknologifirewallsebagai
tembok penghalang yang dapat mencegah ancaman serangan dari jaringan luar.
Akan tetapi, teknologi firewall sebagai tembok penghalang dirasa tidak selalu
efektif terhadap percobaan intrusi karena biasanya teknologi firewall dirancang
hanya untuk memblokir traffic mencurigakan tanpa membedakan mana traffic
5/25/2018 Implementasi snort
15/73
3
berbahaya dan mana traffic yang tidak berbahaya sehingga semua paket yang
dianggap mengancam langsung ditindak, akibatnya seorang admin dapat tertipu
terhadap serangan yang tidak dapat diklasifikasikan.Begitu juga dengan prosedur
untuk mengizikan paket untuk lewat jika sesuai dengan policy dari firewall.
Masalahnya adalah banyak program exploit konsentrasi serangannya
memanfaatkan firewall. Sebagai contoh, percobaan attacker untuk melakukan
penetrasi melalui port 23 (telnet). Tetapi policy dari firewall memblokir
permintaan untuk port23. Dalam hal ini attackertidak bisa melakukan telnetke
komputer target karena rule dari firewall yang ketat. Tetapi firewall ternyata
mengizikan request (permintaan) dari luar untuk port 80 (http). Dengan ini
attacker dapat memanfaatkan port 80 untuk eksploitasi http. Ketika webserver
telah berhasil dikuasai, firewall dapat dikatakan sudah di-bypass dan tidak
berguna lagi.
Untuk itu diperlukan teknologi lain yang dapat membantu meningkatkan
keamanan jaringan, seperti penggunaanIntrusion Detection System (IDS) ataupun
Intrusion Prevention System (IPS). Salah satu cara memantu hasil kerja alat
tersebut adalah dengan cara memantau log logdan alert yang dihasilkan alat.
Semakin banyak alat yang dipasang semakin banyak pula log log yang
dihasilkan. Maka dengan begitu akan membutuhkan banyak waktu dan kesulitan
untuk menganalisa seluruh log dan alert yang ada. Salah satu penyebab
kegagalan system keamanan jaringan adalah kesalahan pengelolaan dalam
melakukan analisa seluruh log dan alert yang ada. Kesalahan analisa dapat
menjadikan pengelolaan yang lambat sehingga tidak tepatnya dalam menanggapi
dan melakukan tindakan pada saat terjadi serangan. Untuk mempermudah
menganalisa log logdan alertyang dihasilkan, dirancang sebuah database dan
web yang menampilkan hasil log dan alert alert yang ditemukan sehingga
admin dapat lebih mudah menganalisa paket data yang masuk dan keluar jaringan
dan melakukan pananganan terhadap trafficyang mencurigakan.
5/25/2018 Implementasi snort
16/73
4
Dan pada laporan kerja praktek ini penulis mengimplementasikan Intrusion
Detection System(IDS) dengan menggunakansoftwaresnortyang diintegrasikan
dengan BASEpada jaringan Dinas Komunikasi dan Informatika (DISKOMINFO)
Provinsi Jawa Barat.
1.2Identifikasi MasalahBerdasarkan latar belakang yang dikemukakan seperti di atas, maka
permasalahan yang dihadapi adalah :
1. Masih kurangnya alat yang mampu merekam aktivitas jaringan secara realtime.
2. Sulit menganalisa pola trafficjaringan yang sedang terjadi.3. Sulit mengenali adanya ancaman, gangguan, atau serangan yang sedang
terjadi pada jaringan.
4. Tidak mampu mengidentifikasi jenis ancaman, gangguan, atau seranganyang sedang terjadi terhadap jaringan.
1.3Rumusan MasalahBerdasarkan latar belakang yang dikemukakan seperti di atas, maka
dirumuskan beberapa masalah sebagai berikut :
1. Apakah Snort IDS dapat digunakan untuk merekam semua aktivitasjaringan secara real time?
2. Apakah SnortIDS dapat digunakan untuk menganalisa aktivitas jaringan?3. Bagaimana Snort IDS dapat digunakan untuk mendeteksi ancaman,
ganggugan, atau serangan hackerterhadap jaringan?
4. Bagaimana mengidentifikasi jenis ancamaman, gangguan, atau seranganhackeryang terjadi ?
5/25/2018 Implementasi snort
17/73
5
1.4Batasan MasalahPenulisan laporan kerja praktek ini dibatasi oleh halhal berikut :
1. Implementasi dilakukan pada jaringan komputer di gedung kator DinasKomunikasi Dan Informatika (DISKOMINFO) Provinsi Jawa Barat.
2. Parameter yang dilihat adalah trafficjaringan yang dihasilkansnort selama5 hari.
3. Trafficjaringan yang diamati adalah protokol TCP, UDP, dan ICMP.4. Akan dilakukan skenario serangan ping dengan menggunakan nmap
selama kurang lebih 10 menit dan akan dilakukan analisis jaringan saat
terjadi serangan.
1.5TujuanTujuan kerja praktek ini adalah memanfaatkan snortterintegrasi denganAcid
atau BASE di jaringan kantor Dinas Komunikasi dan Informatika
(DISKOMINFO) Provinsi Jawa Barat. Melalui Intrusion Detection System(IDS)
ini akan dilakukan pemantauan terhadap trafficjaringan dan pemantauan terhadap
serangan terhadap jaringan.
1.6Metode PenelitianMetode yang digunakan dalam penelitian ini adalah :
1. Studi literatur dengan mempelajari informasi dari berbagai sumberliteratur seperti buku, jurnal dan artikel yang berkaitan dengan sistem
dibuat, dan memanfaat internet untuk mencari tambahan tambahan
informasi.
2. Mendefinisikan masalah dan kebutuhan sistem.3. PerancanganIntrusion Detection System(IDS).4. Implementasi Intrusion Detection System (IDS) dengan menggunakan
softwareSnort
5. Pengambilan data :a. Trafficprotocol TCP, UDP, dan ICMP.b. Pengambilan data skenario serangan.
6. Menganalisa berdasarkan hasil pengambilan data.
5/25/2018 Implementasi snort
18/73
6
1.7Sistematika PenulisanBerikut adalah sistematika penulisan dalam laporan implementasiIntrusion
Detection System (IDS) menggunakansoftwareSnortdiintegrasikan denganAcid
atauBased:
BAB I : PENDAHULUAN
Menjelaskan tentang latar belakang masalah yang dihadapi, identifikasi
masalah, perumusan masalah, batasan masalah, tujuan, sistematika penulisan, dan
lokasi dan waktu pelaksaan.
BAB II : PROFIL PERUSAHAAN
Menjelaskan tentang data profil perusahaan yang dikutip
BAB III : LANDASAN TEORI
Menguraikan landasan teori yang digunakan sebagai data pendukung untuk
menyelesaikan laporan kerja praktek ini yang berisi tentang pengertian jaringan
dan jenisjenis topologi jaringan, pengenalan Intrusion Detection System(IDS),
penjelasan tentang arsitektur jaringan komputer, pengenalan Snort IDS,
pengenalan BASE, dan jenisjenis serangan terhadap jaringan.BAB IV : ANALISIS DAN PERANCANGAN
Berisi tentang identifikasi masalah, identifikasi penyebab masalah, analisis
dan perancangan dalam pengimplementasian SnortIDS serta skenario uji coba
yang akan dilaksanakan.
BAB V : IMPLEMENTASI DAN UJI COBA
Membahasa tentang implementasi Intrusion Detection System (IDS) dengan
menggunakan software Snort pada sistem operasi linux yang diintegrasikan
dengan Acid atau Baseddan melakukan uji coba dengan menggunakan aplikasi
nmap.
BAB VI : PENUTUP
Membahas mengenai kesimpulan dan saran untuk pengembangan Intrusion
Detection System (IDS) di kantor Dinas komunikasi dan Informatika
(DISKOMINFO) Provinsi Jawa Barat.
5/25/2018 Implementasi snort
19/73
7
1.8Lokasi dan Waktu PelaksanaanProgram kerja praktek ini dilaksanakan di kantor Dinas Komunikasi dan
Informatika (DISKOMINFO) Provinsi Jawa Barat, Jl. Tamansari No.55,
Bandung.
Waktu pelaksanaan kerja praktek ini dimulai dari tanggal 29 Juli 2013 s/d 30
Agustus 2013.
5/25/2018 Implementasi snort
20/73
8
BAB II
PROFIL PERUSAHAAN
2.1 Sejarah Perusahaan
Kantor Pengolahan Data Elektronik (KPDE)Provinsi Daerah Tingkat I Jawa
Barat adalah kelanjutan dari organisasi sejenis yang semula sudah ada di
lingkungan Pemerintah Provinsi Daerah Tingkat I Jawa Barat dengan nama Pusat
Pengolahan Data (PUSLAHTA) Provinsi Daerah Tingkat I Jawa Barat.
Keberadaan PUSLAHTA di Jawa Barat dimulai pada tahun 1977, yaitu
dengan adanya Proyek Pembangunan Komputer Pemerintah Provinsi Daerah
Tingkat I Jawa Barat. Proyek tersebut dimaksudkan untuk mempersiapkan sarana
prasarana dalam rangka memasuki era komputer. Dalam perkembangan
selanjutnya, pada tanggal 8 April 1978 dengan Surat Keputusan Gubernur Kepala
Daerah Tingkat I Jawa Barat Nomor : 294/Ok.200-Oka/SK/78 diresmikan
pembentukan/pendirian Kantor Pusat Pengolahan Data (PUSLAHTA) Provinsi
Daerah Tingkat I Jawa Barat yang berkedudukan di jalan Tamansari No. 57
Bandung.
Sebagai tindak lanjut dari Surat Keputusan Gubernur Nomor : 294/Ok.200-
Oka/SK/78, maka pada tanggal 29 Juni 1981 pendirian Kantor PUSLAHTA
dikukuhkan dengan Peraturan Daerah Nomor : 2 Tahun 1981 tentang
Pembentukan Pusat Pengolahan Data(PUSLAHTA)Provinsi Daerah Tingkat I
Jawa Barat dan Peraturan Daerah Nomor : 3 Tahun 1981 tentang Susunan
Organisasi dan Tata Kerja Pusat Pengolahan Data Provinsi Daerah Tingkat I Jawa
Barat. Dengan kedua Peraturan Daerah tersebut keberadaan PUSLAHTA di
lingkungan Pemerintah Provinsi Daerah Tingkat I Jawa Barat semakin berperan,
khususnya dalam melaksanakan kebijaksanaan Gubernur Kepala Daerah di bidang
komputerisasi. Akan tetapi keberadaan kedua Peraturan Daerah tersebut tidak
mendapat pengesahan dari pejabat yang berwenang dalam hal ini Menteri Dalam
Negeri, sehingga keberadaan PUSLAHTA di lingkungan Pemerintah Daerah
Tingkat I Jawa Barat kedudukan organisasi menjadi non structural. Akan tetapi
dengan keberadaan Puslahta Provinsi Daerah Tingkat I Jawa Barat pada masa itu
5/25/2018 Implementasi snort
21/73
9
telah banyak dirasakan manfaatnya selain oleh lingkungan Pemerintah Provinsi
Jawa Barat juga oleh instansi lain dalam bentuk kerja sama penggunaan mesin
komputer IBM S-370/125 seperti :
1. IPTN2. PJKA ITB3. Dan pihak Swasta lainnya.Dalam perjalanan waktu yang cukup panjang, yaitu lebih kurang 14 tahun
sejak PUSLAHTA didirikan, pada tanggal 27 Juni 1992 dengan Surat Keputusan
Gubernur Kepala Daerah Tingkat I Jawa Barat Nomor : 21 Tahun 1992
Organisasi PUSLAHTA Provinsi Daerah Tingkat I Jawa Barat dibubarkan. Di
dalam salah satu pasal Surat Keputusan Gubernur No. 21 tahun 1992 dinyatakan
bahwa tugas dan wewenang PUSLAHTA dialihkan ke Kantor Bappeda Provinsi
Daerah Tingkat I Jawa Barat.
Pada tanggal yang sama dengan terbitnya Surat Keputusan Gubernur No. 21
tahun 1992 tentang Pembubaran PUSLAHTA Provinsi Daerah Tingkat I Jawa
Barat, keluar Keputusan Gubernur Kepala Daerah Tingkat I Jawa Barat Nomor :
22 Tahun 1992 tentang Pembentukan Kantor Pengolahan Data
Elektronik (KPDE) Provinsi Daerah Tingkat I Jawa Barat sebagai pelaksana dari
Instruksi Menteri Dalam negeri Nomor : 5 tahun 1992 tentang Pembentukan
Kantor Pengolahan Data Elektronik Pemerintah Daerah di seluruh Indonesia.
Sebagai tindak lanjut dari Instruksi Menteri Dalam Negeri Nomor : 5 Tahun
1992 tentang Pembentukan Kantor Pengolahan Data Elektronik, pada tanggal 30
Juni 1993 keluar persetujuan Menteri Negara Pendayagunaan Aparatur
Negara (Menpan) dengan Nomor : B-606/I/93 perihal Persetujuan Pembentukan
Kantor Pengolahan Data Elektronik untuk Provinsi Daerah Tingkat I Kalimantan
Selatan, Jawa Barat, Sumatera Barat dan Daerah Istimewa Yogyakarta.
Dengan keluarnya Surat Persetujuan Menteri Pendayagunaan Aparatur
Negara (Menpan) tersebut, maka untuk mengukuhkan Keputusan Gubernur
Nomor 22 Tahun 1992 diajukan Rancangan Peraturan Daerahnya, dan akhirnya
pada tanggal 21 Juni 1994 berhasil ditetapkan Peraturan Daerah Provinsi Daerah
Tingkat I Jawa Barat Nomor : 4 tahun 1994 tentang Pengukuhan Dasar Hukum
5/25/2018 Implementasi snort
22/73
10
Pembentukan Kantor Pengolahan Data Elektronik Provinsi Daerah Tingkat I Jawa
Barat dan Nomor 5 tahun 1994 tentang Organisasi dan Tata Kerja Kantor
Pengolahan Data Elektronik Provinsi Daerah Tingkat I Jawa Barat.
Selanjutnya kedua Peraturan Daerah tersebut diajukan ke Menteri Dalam
Negeri untuk mendapat pengesahan, dan pada tanggal 10 Juli 1995 keluar
Keputusan Menteri Dalam Negeri Nomor : 59 Tahun 1995 tentang Pengesahan
Peraturan Daerah Nomor : 4 dan Nomor : 5 Tahun 1994, dengan demikian KPDE
Provinsi Daerah Tingkat I Jawa Barat secara resmi menjadi salah satu Unit
Pelaksana Daerah yang struktur al.
Berdasarkan Peraturan Daerah Provinsi Jawa Barat Nomor : 16 Tahun 2000
tanggal 12 Desember 2000 tentang Lembaga Teknis Daerah Provinsi Jawa Barat
telah ditetapkan Badan Pengembangan Sistem I nformasi dan Telematika
Daerah disingkat BAPESITELDA sebagai pengembangan dari Kantor
Pengolahan Data Elektronik yang dibentuk berdasarkan Keputusan Gubernur
Nomor : 22 Tahun 1992 dan dikukuhkan dengan Peraturan Daerah Nomor : 5
Tahun 1994. Sedangkan Kantor Pengolahan Data Elektronik itu sendiri
merupakan pengembangan dari Pusat Pengolahan Data (PUSLAHTA) Provinsi
Jawa Barat yang berdiri pada tanggal 8 April 1978 melalui Surat Gubernur KDH
Tingkat I Jawa Barat No. 294/OK.200-Oka/SK/78, dan keberadaannya
dikukuhkan dengan Peraturan Daerah No. 2 Tahun 1981 tanggal 29 Juni 1981.
Dasar Hukum :
1. Keputusan Presiden RI Nomor 50 Tahun 2000 tentang Tim Koordinasi
Telematika Indonesia ;
2. Peraturan Daerah Provinsi Jawa Barat No. 16 Tahun 2000 tentang Lembaga
Teknis Daerah Provinsi Jawa Barat.
Nomenklatur :
BAPESITELDA adalah singkatan dari Badan Pengembangan Sistem
Informasi dan Telematika Daerah. Telematika singkatan dari Telekomunikasi,
Multimedia dan Informatika .
Selanjutnya, berdasarkan Perda Nomor 21 Tahun 2008 tentang Organisasi dan
Tata Kerja Dinas Daerah Provinsi Jawa Barat, maka Bapesitelda Prov. Jabar
5/25/2018 Implementasi snort
23/73
11
diganti menjadi Dinas Komunikasi dan I nformatika ProvinsiJawa Barat
disingkat DISKOMINFO, yang berlokasi di Jalan Tamansari no. 55 Bandung.
Perubahan ini merupakan kenaikan tingkat dan memiliki ruang lingkup serta
cakupan kerja lebih luas. Sasarannya tidak hanya persoalan teknis, tapi juga
kebijakan, baik hubungannya kedalam maupun menyentuh kepentingan publik
khususnya dibidang teknologi informasi. Dengan platform dinas, maka
Diskominfo dapat mengeluarkan regulasi mengenai teknologi informasi dalam
kepentingan Provinsi Jawa Barat, terutama pencapaian Jabar Cyber Province
Tahun 2012.
2.2 Visi dan Misi
2.2.1 Visi
Terwujudnya masyarakat informasi Jawa Barat melalui penyelenggaran
komunikasi dan Informatika yang efektif dan efisien.
2.2.2 Misi
1. Meningkatkan sarana dan prasana dan profesionalisme sumber dayaaparatur bidang Komunikasi dan Informatika.
2. Mengoptimalkan pengelolaan pos dan telekomunikasi.3. Mengoptimalkan pemanfaatan sarana Komunikasi dan Informasi
pemerintah dan masyarakat, serta melaksanakan diseminasi informasi.
4. Mewujudkan layanan online dalam penyelenggaraan pemerintah berbasisTeknologi Informasi dan Komunikasi serta mewujudkan Pengadaan
Barang dan Jasa Secara Elektronik
5. Mewujudkan pengelolaan data menuju satu data pembangunan untuk Jawabarat. Motto : West Java Cyber Province Membangun Masyarakat
Informasi
2.3 Struktur Organisasi
Berdasarkan Perda Nomor 21 Tahun 2008 tentang Organisasi dan Tata Kerja
Dinas Daerah Provinsi Jawa Barat, Dinas Komunikasi dan Informatika berada di
peringkat 20 dengan struktur organisasi seperti pada gambar berikut ini:
5/25/2018 Implementasi snort
24/73
12
Gambar 2.1 Struktur Organisasi DISKOMINFO Bandung
1. Kepala2. Sekretaris, membawahkan
a. Sub. Bagian Perencanaan dan Progamb. Sub. Bagian Keuanganc. Sub. Bagian Kepegawaian dan Umum
3. Bidang Pos dan Telekomunikasi, membawahkan :a. Seksi Pos dan Telekomunikasi
b. Seksi Monitoring dan Penerbitan Spektrum Frekuensic. Seksi Standarisasi Pos dan Telekomunikasi
4. Bidang Sarana Komunikasi dan Diseminasi Informasi, membawahkan:a. Seksi Komunikasi Sosial
b. Seksi Komunikasi Pemerintah dan Pemerintah Daerahc. Seksi Penyiaran dan Kemitraan Media
5. Bidang Telematika, membawahkan :a. Seksi Pengembangan Telematika
b. Seksi Penerapan Telematikac. Seksi Standarisasi dan Monitoring Evaluasi Telematika
6. Bidang Pengolahan Data Elektronik, membawahkan :
5/25/2018 Implementasi snort
25/73
13
a. Seksi Kompilasi Datab. Seksi Integrasi Datac. Seksi Penyajian Data dan Informasi
7. Balai LPSEa. Tata Usaha LPSE
b. Layanan Informasi LPSec. Dukungan dan Pendayagunaan TIK LPSE
2.4 Produk dan Layanan Perusahaan
Dinas Komunikasi dan Informatika (DISKOMINFO) Provinsi Jawa Barat
menyediakan pelayanan publik bagi masyarakat Jawa Barat yang terdiri atas :
1. LPSE (Layanan Pengadaan Secara Elektronik) Regional Jawa Barat2. M-CAP (Mobile Community Access Point)3. Internet Publik4. Perizininan Jasa Titipan5. Hotspot 3 titik6. Izin jaringan komunikasi bawah tanah7. Video conference
5/25/2018 Implementasi snort
26/73
14
BAB III
LANDASAN TEORIPada bagian landasan teori ini akan dibahas mengenai jaringan komputer,
Intrusion Detection System(IDS), arsitektur jaringan komputer, SnortIDS,Basic
Analysis and Security Engine (BASE), dan jenis serangan terhadap jaringan
komputer.
3.1Jaringan KomputerJaringan komputer adalah sebuah sistem yang terdiri dari komputer
komputer yang di design untuk dapat berbagi sumber daya, berkomunikasi, dandapat mengakses informasi. Tujuan dari jaringan komputer ini agar setiap bagian
komputer dapat meminta dan memberikan layanan (service). Pihak yang
meminta/menerima layanan disebut client dan pihak yang memberi layanan
disebut server. Berikut jenis jenis topologi jaringan komputer yang sering
digunakan :
1. Topologi bus2.
Topologi token ring (cincin)
3. Topologistar4. Topologi mesh5. Topologi hybrid6. Topologipeer to peer network
3.1.1Topologi BusPada Topologi ini digunakan sebuah kabel tunggal atau kabel Pusat dimana
seluruh Workstation dan Server dihubungkan. Merupakan Topologi fisik yang
mengunakan Kabel Coaxial dengan mengunakan T-Connector dengan terminal 50
omh pada ujung Jaringan. Topologi Bus mengunakan satu kabel yang kedua
ujungnya ditutup dimana sepanjang kabel terdapat node-node.
5/25/2018 Implementasi snort
27/73
15
Gambar 3.1 TopologiBus
Keuntungan menggunakan topologi bus :
Hemat kabel Layoutkebel sederhana Mudah dikembangkan
Kerugian menggunakan topologi bus :
Deteksi dan isolasi kesalahan sangat kecil Kepadatan lalu lintas Bila salah satu client rusak, maka jaringan tidak berfungsi Diperlukan repeateruntuk jarak jauh
3.1.2Topologi Token Ring (Cincin)Di dalam Topologi Ring semua Workstation dan Server dihubungakn
sehingga terbentuk suatu pola lingkaran atau cincin. Tiap Workstation atau Server
akan menerima dan melewatkan informasi dari satu komputer ke komputer yang
lainnya, bila alamat-alamat yang di maksud sesuai maka informasi diterima danbila tidak informasi akan di lewatkan.
5/25/2018 Implementasi snort
28/73
16
Gambar 3.2 Topologi Token Ring(Cincin)
Keuntungan menggunakan topologi jaringan token ring(cincin) :
Hemat kabelKerugian menggunakan topologi jaringan token ring(cincin) :
Peka kesalahan Pengembangan jaringan leibih kaku
3.1.3Topologi StarPada Topologi Star, masing-masing Workstation dihubungkan secara
langsung ke ServeratauHub/Swich.Hub/Swichberfungsi menerima sinyal -sinyal
dari komputer dan meneruskannya ke semua komputer yang terhubung dengan
Hub/Swich tersebut. Jaringan dengan topologi ini lebih mahal dan cukup sulit
pemasangannya. Setiap komputer mempunyai kabel sendiri-sendiri sehingga lebih
mudah dalam mencari kesalahan pada jaringan. Kabel yang digunakan biasanya
menggunakan Kabel UTP CAT5.
Gambar 3.3 Topologi Star
5/25/2018 Implementasi snort
29/73
17
Keuntungan menggunakan topologi jaringanstar:
Paling fleksibel
Pemasangan / perubahan stasiun sangat mudah dan tidak mengganggubagian jaringan lain.
Kontrol terpusat Kemudahan deteksi dan isolasi kesalahan/kerusakan. Kemudahan pengelolaan jaringan.
Kerugian menggunakan topologi jaringanstar:
Boros kabel
Perlu penanganan khusus Kontrol terpusat (HUB) jadi elemen kritis
3.1.4Topologi MeshJaringan dengan Topologi Mesh mempunyai jalur ganda dari setiap peralatan
di jaringan komputer. Semakin banyak komputer yang terhubung semakin sulit
untuk pemasangan kabelnya. Karena itu, Topologi Mesh yang murni, yaitu setiap
peralatan dihubungkan satu dengan yang lainya.
Gambar 3.4 TopologiMesh
5/25/2018 Implementasi snort
30/73
18
Keuntungan menggunakan topologi jaringan mesh :
Jika ingin mengirimkan data ke komputer tujuan, tidak membutuhkankomputer lain (langsung sampai ke tujuan)
Memiliki sifat robust, yaitu : jika komputer A mengalami gangguankoneksi dengan komputer B, maka koneksi komputer A dengan komputer
lain tetap baik
Lebih aman Memudahkan proses identifikasi kesalahan
Kerugian menggunakan topologi jaringan mesh:
Membutuhkan banyak kabel Instalasi dan konfigurasi sulit Perlunyaspaceyang memungkinkan
3.1.5 Topologi Hybrid
Hybrid network adalah network yang dibentuk dari berbagai topologi dan
teknologi. Sebuah hybrid network mungkin sebagai contoh, diakibatkan olehsebuah pengambilan alihan suatu perusahaan. Sehingga ketika digabungkan maka
teknologi teknologi yang berbeda tersebut harus digabungkan dalam network
tunggal. Sebuah hybrid networkmemiliki semua karakterisasi dari topoligi yang
terdapat dalam jaringan tersebut.
Karena topologi ini merupakan gabungan dari banyak topologi, maka
kelebihan / kekurangannya adalah sesuai dengan kelebihan/kekurangan dari
masing-masing jenis topologi yang digunakan dalam jaringan bertopologi hybrid
tersebut.
5/25/2018 Implementasi snort
31/73
19
Gambar 3.5 TopologiHybrid
3.1.5Topologi Peer to Peer Network
Peer artinya rekan sekerja. Peer to peer network adalah jaringan komputer
yang terdiri dari beberapa computer. Dalam system jaringan ini yang diutamakan
adalah penggunaan program, data, dan printer secara bersama sama biasanya
tidak lebih dari 10 komputer dengan 12printer.
Gambar 3.6 TopologiPeer to Peer Network
3.2I ntr usion Detection System(IDS)Intrusion Detection System (IDS) dapat didefenisikan sebagai tool, metode,
sumber daya yang memberikan bantuan untuk melakukan identifikasi,
memberikan laporan terhadap aktivitas jaringan komputer dan mendeteksi
aktivitas pada lalu lintas jaringan yang tidak layak terjadi. IDS secara khusus
berfungsi sebagai proteksi secara keseluruhan dari sistem yang telah diinstall IDS.
Secara umumIntrusion Detection System(IDS) bekerja pada lapisan jaringan
dari OSI layer dan sensor jaringan pasif yang secara khusus diposisikan pada
5/25/2018 Implementasi snort
32/73
20
choke point pada jaringan metode dari lapisan OSI. Hal ini untuk menganalisis
paket dan menemukan pola dari suatu lalu lintas jaringan. Semua pola yang
dicatat akan disimpan dalam bentukfile log.
Ada beberapa alasan untuk menggunakan IDS :
1. Mencegah risiko keamanan yang terus meningkat, karena banyakditemukan kegiatan ilegal yang diperbuat oleh orang yang tidak
bertanggung jawab.
2. Mendeteksi serangan dan pelanggaran keamanan system jaringan yangtidak bisa dicegah oleh sistem yang umum dipakai, seperti firewall.
Penyerang menggunkan teknik yang telah dipublikasikan, yang bisa
diakses dengan mudah ke suatu sistem. Jika sistem yang terhubung dengan
jaringan public tidak mempunyai pertahanan yang baik, bila tidak
diperhatikan dengan baik maka akan banyak situasi yang menyebabkan
ada begitu banyak lubang keamanan.
3. Mendeteksi serangan awal. Penyerang yang akan menyerang suatu sistembiasanya melakukan langkah langkah awal yang mudah diketahui.
Langkah awal dari suatu serangan pada umumnya adalah dengan
melakukan penyelidikan atau pengujian terhadap sistem jaringan yang
akan dijadikan target, untuk mendapatkan titik titik dimana mereka akan
bisa masuk.
4. Mengamankanfileyang keluar dari jaringan. Kebanyakan serangan yangterjadi pada awalnya berasal dari dalam jaringan itu sendiri, karena
keteledoran para pemakai, sehingga file file yang akan dikirim ke
jaringan eksternal tidak memenuhi policy yang ada. File file tersebut
kemudian dimanfaatkan oleh penyerang untuk batu loncatan mendapat
akses yang lebih besar, seperti Syn Attack, IP spoofing, teardrop, dan
sebagainya.
5. Sebagai pengendali untuksecurity designdan administrator, terutama bagiperusahaan yang besar. IDS yang dipasang pada suatu jaringan yang besar
akan sangat membantu untuk mendapat system yang tidak mudah diserang
oleh jaringan internal maupun eksternal.
5/25/2018 Implementasi snort
33/73
21
6. Menyediakan informasi yang akurat terhadap gangguan secara langsung,meningkatkan diagnosis, recovery, dan mengoreksi faktor faktor
penyebab serangan.
3.2.1Jenis I ntr usion Detection System(IDS)Pada dasarnya terdapat dua jenis IDS, yaitu :
1. Host Based: IDS host basedbekerja pada host yang akan dilindungi.IDS jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi
serangan yang dilakukan pada host tersebut. Keunggulannya adalah pada
tugastugas yang berhubungan dengan keamanan file. Untuk melakukan
analisis terhadap paket data IDS memperoleh data informasi dari data yang
dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host
basedIDS biasanya berupa logyang dihasilkan dengan memonitor sistem
file, event, dan keamanan pada Windows NT dan syslogpada lingkungan
sistem operasi UNIX. Saat terjadi perubahan pada log tersebut makan
dilakukan ananlisis apakah sama dengan pola serangan yang ada pada
basis data IDS.
Gambar 3.7HostBasedIDS
2. Network Based: IDS network based biasanya berupa suatu mesin yangkhusus dipergunakan untuk melakukan seluruh segmen dari jaringan. IDS
5/25/2018 Implementasi snort
34/73
22
network based akan mengumpulkan paket paket data yang terdapat
pada jaringan dan kemudian menganalisisnya serta menentukan apakah
paketpaket itu berupa suatu paket yang normal atau suatu serangan atau
berupa suatu aktivitas yang mencurigakan. IDS memperoleh informasi
dari paketpaket jaringan yang ada. Network based IDS menggunakan
raw packet yang ada di jaringan sebagai sumber datanya dengan
menggunakan network adapter sebagai alat untuk menangkap paket
paket yang akan dipantau. Network adapter berjalan pada mode
prosmicuous untuk memonitor dan melakukan analisis paket paket yang
ada yang berjalan di jaringan.
Gambar 3.8NetworkBasedIDS
Beberapa cara yang digunakan untuk mengenali serangan pada network based IDS antara lain :
Pola data, ekspresi atau pencocokan secara bytecode Frekuensi atau pelanggaran ambang batas Korelasi yang dekat dengan sebuah event Deteksi anomalysecara static
5/25/2018 Implementasi snort
35/73
23
Tabel 3.1 Perbedaan NIDS dan HIDS
NIDS HIDS
Ruang lingkup yang luas (mengamati
semua aktivitas jaringan)
Ruang lingkup yang terbatas
(mengamati hanya aktivitas pada host
tertentu)
Lebih mudah melakukan setup Setup yang kompleks
Lebih baik untuk mendeteksi serangan
yang berasal dari luar jaringan
Lebih baik untuk mendeteksi serangan
yang berasal dari dalam jaringan
Lebih murah untuk diimplementasikan Lebih mahal untuk diimplementasikan
Pendeteksian berdasarkan pada apa
yang direkam dari aktivitas jaringan
Pendeteksian berdasarkan pada single
hostyang diamati semua aktivitasnya
Mengujipacket headers Packet headerstidak diperhatikan
Respon yang real time Selalu merespon setelah apa yang terjadi
OSindependent OSspecific
Mendeteksi serangan terhadap jaringan
sertapayloaduntuk dianalisis
Mendeteksi serangan local sebelum
mereka memasuki jaringan
Mendeteksi usaha dari serangan yang
gagal
Memverifikasi sukses atau gagalnya
serangan
3.2.2 Skema Analisis I ntr usion Detection System(IDS)
Proses dasar dari IDS, baik pada NIDS atau HIDS adalah mengumpulkan
data, melakukan pre-proses, dan mengklisifikasikan data tersebut. Dengan hasil
static suatu aktivitas yang tidak normal akan bisa dilihat, sehingga IDS bisa
mencocokkan dengan data dan pola yang sudah ada. Jika pola yang ada cocok
dengan keadaan yang tidak normalmakan akan dikirim respon tentang aktivitas
tersebut.
5/25/2018 Implementasi snort
36/73
24
Dalam menganalisis paket data yang melintas di dalam jaringan, IDS
melakukan beberapa tahap, antara lain :
1. Prepocessyang dilakukan dalam tahap ini adalah mengumpulkan data tentang pola
dari serangan dan meletakkannya pada skema klasifikasi atau pattern
descriptor. Dari skema klasifikasi, suatu model akan dibangun dan
kemudian dimasukkan ke dalam bentuk format yang umum, seperti
signature name, signature ID, signature description, kemungkinan
deskripsi yang palsu, informasi yang berhubungan dengan Vurnerability,
dan user notes.
2. AnalisisData dan formatnya akan dibandingkan dengan pattern yang ada untuk
keperluan analisis engine patternmatching. Analisis enginemencocokan
dengan pola serangan yang sudah dikenal.
3. ResponseJika ada yang cocok dengan pola serangan, analisis engine akan
mengirimkan alarm ke server.
3.2.3Rule I ntr usion Detection System(IDS)Rule IDS merupakan database yang berisi pola pola serangan berupa
signature jenis jenis serangan yang akan dijadikan acuan untuk menganalisis
dan mengidentifikasi setiap packetdata yang keluar masuk jaringan. Berikut ini
pola ruledalam Intrusion Detection System (IDS):
Action | Protokol | Source IP | Source Port -> Destination IP | Destination
Port| (option keyword | option argument | option separator)
5/25/2018 Implementasi snort
37/73
25
Gambar 3.9 ContohRulepada SnortIDS
Dari rule seperti gambar di atas IDS dapat menentukan apakah sebuah paket
data dianggap sebagai penyusup/serangan atau bukan dan akan menindaklanjuti
setiap hasil identifikasi sesuai dengan actionyang telah dibuat.
3.3 Arsitektur Jaringan KomputerStandar yang paling popular dan sering digunakan untuk menggambarkan
arsitektur jarigan computer adalah model referensi Open System Interconnect
(OSI) yang dikembangkan oleh International Organization for Standarization
(ISO) pada tahun 1977 dan diperkenalkan pada tahun 1984[2]. Pada model OSI
terdapat tujuh lapisan yang menggambarkan fungsifungsi jaringan antara lain :
1. Lapisan ke-7ApplicationLapisan yang paling dekat dengan pengguna dan memiliki fungsi untuk
menyediakan sebuah jaringan kepada pengguna aplikasi. Contoh : Simple
Mail Transfer Protocol (SMTP), Hypertext Transfer Protocol (HTTP),
File Transfer Protocol(FTP), dan POP[1].
Lapisan ini berfungsi untuk menentukan format data yang dipindahkan
antar aplikasi dan menawarkan pada program program aplikasi seiring
pada layanan transformasi data. Lapisan ini menyediakan layanan berupa
transformasi format data, enkripsi, dan kompresi[5].
2. Lapisan ke-6PresentationLapisan ini menetukan format data yang dipindahkan di antara aplikasi
dan mengelola informasi yang disediakan oleh lapisan Applicationsupaya
informasi yang dikirimkan dapat dibaca oleh lapisan Application pada
sistem lain[5]. Lapisan Presentation menentukan syntax yang digunakan
5/25/2018 Implementasi snort
38/73
26
antara aplikasi. Contoh layanan dari lapisan Presentationadalah kompresi
data dan enkripsi data[1].
3. Lapisan ke-5SessionLapisan ini bertanggung jawab atas sesi komunikasi antara berbagai
tingkat yang lebih tinggi dalam komunikasi program, proses, dan user.
Lapisan ini membuat suatu virtual circuit yang proses komunikasinya
pada sistem jaringan bertugas menyampaikan informasi. Bertugas
menyediakan layanan kepada lapisan presentation dan juga
mensinkronisasi dialog di antara dua komputer lapisan presentation dan
mengukur pertukaran data[5].
4. Lapisan ke-4TransportLapisan ini berfungsi sebagai pemecah informasi menjadi paket paket
data yang akan dikirim dan menyusun kembali paket paket data menjadi
sebuah informasi yang dapat diterima. Dua protokol umum pada lapisan
ini adalah Transfer Control Protocol(TCP) yang berorientasi koneksi dan
User Datagram Protocol(UDP) yang tidak berorientasi koneksi[5].
5. Lapisan ke-3NetworkLapisan jaringan ini bertanggung jawab atas pengalamatan, paket, dan
transmisi data[1], menyediakan transfer informasi di antara ujung sistem
melewati beberapa jaringan komunikasi berurutan. Lapisan ini melakukan
pemilihan jalur terbaik dalam komunikasi jaringan yang terpisah secara
goegrafis[5].
6. Lapisan ke-2Data LinkLapisan ini berfungsi untuk mengubah paket paket data menjadi bentuk
frame, menghasilkan alamat fisik, pesan pesan kesalahan, pemesanan
pengiriman data. LapisanData Linkmengupayakan agar lapisan Physical
dapat bekerja dengan baik dengan menyediakan layanan untuk
mengaktifkan, mempertahankan, dan menonaktifkan hubungan[5]. Contoh
standar dari lapisan ini adalah HDLC, LAPB, LLC, dan LAPD[1].
7. Lapisan ke-1Physical
5/25/2018 Implementasi snort
39/73
27
Lapisan Physical bertugas menangani transmisi data dalam bentuk bit
melalui jalur komunikasi. Lapisan ini menjamin transmisi data berjalan
dengan baik dengan cara mengatur karakteristik tinggi tegangan, periode
perubahan tegangan, lebar jalur tegangan, jarak maksimum komunikasi
dan koneksi[5].
3.4 SnortIDSSnort IDS merupakan IDS open sourceyang secara defacto menjadi standar
IDS di industri[4]. Snort mampu menganalisis paket yang melintas di jaringan
secara real time traffic dan logging ke dalam database serta mampu mendeteksi
berbagai macam serangan yang berasal dari luar jaringan.
Snortdapat dioperasikan dengan tiga mode[1]:
1. Paketsniffer : untuk melihat paket yang lewat di jaringan.Contoh : . / Snortv , . / Snortvd , . / Snortvde, . / Snortvde
2. Paket logger : untuk mencatat semua paket yang lewat di jaringan untukdianalisis di kemudian hari.
Contoh : . / Snortdevl . / log, . / Snortdevl . / logh 192.168.1.0/24
3. NIDS, deteksi penyusup pada network : pada mode ini Snort akanberfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan
komputer dengan tambahan ruleyang akan digunakan untuk membedakan
sebuah paket normal dan tidak normal.
Contoh : . / Snortdevl . / logh 192.168.1.0/24c Snort.conf
3.4.1 Komponen
komponenSnort
Snort mempunyai tujuh komponen dasar yang bekerja saling berhubungan
satu dengan yang lain[1]seperti berikut ini :
1. DecoderSesuai dengan paket yang di-capture dalam bentuk struktur data dan
melakukan identifikasi protokol, decodeIP dan kemudian TCP atau UDP
tergantung informasi yang dibutuhkan, seperti port number, IP address.
Snortakan memberikan alert jika menemukan suatu paket yang cacat.
5/25/2018 Implementasi snort
40/73
28
2. PreprocessorsPada dasarnyapreprocessorsberfungsi mengambil paket yang mempunyai
potensi yang berbahaya yang kemudian dikirim ke detection engineuntuk
dikenali polanya.
3. Global SectionBertugas mengizinkan mapping file untuk IIS Unicode, configure alert
untuk proxy server dengan proxy_alert (jika menggunakan proxy server)
atau konfigurasi deteksi lalu - lintas HTTP pada nonauthorizedport
dengan menggunakan detect_anomalous_traffic.
4. Server SectionMengizinkan untuk setting HTTP server profiles yang berbeda untuk
beberapa server yang berbeda. Konfigurasi tipe serangan dan
monormalisasikan berdasarkan server yang ada.
5. Rules FilesMerupakan suatufileteks yang berisi daftar aturan yang sintaksnya sudah
diketahui. Sintaks ini meliputi protokol, address, output plug-ins, dan hal
hal yang berhubungan dengan berbagai hal.
6. Detection EngineMenggunakan detection plug-ins, jika ditemukan paket yang cocok maka
Snortakan menginisialisasi paket tersebut sebagai suatu serangan.
7. Output Plug-insMerupakan suatu modul yang mengatur format dari keluaran untuk alert
dan file logs yang bisa diakses dengan berbagai cara, seperti console,
extern files, database, dan sebagainya.
3.4.2 Proses Deteksi Pada SnortSebagai I ntr usion Detection System(IDS)
Proses deteksi Snort sebagai intrusion detection system secara menyeluruh
digambarkan sebagai berikut :
5/25/2018 Implementasi snort
41/73
29
Gambar 3.10 Proses Deteksi Snort[1]
Pada Snort sebagai IDS, rule merupakan suatu hal yang penting karena
dengan adanya suatu rule maka IDS bisa berfungsi untuk mendeteksi suatu
kejadian. Suatu ruledapat mengenali suatu paket digambarkan sebagai berikut :
Gambar 3.11 ProsesRuleMengenali Suatu Paket
5/25/2018 Implementasi snort
42/73
30
Sifat dari ruleSnortadalah seperti berikut[7]:
1. Dynamic2. Activation3. Alert4. Pass5. logDan sebagai tambahan, jika kita menjalankan Snort dalam mode inline, kita
memiliki beberapa opsi tambahan, yaitu : drop, reject,sdrop[10].
3.4.3 Penempatan Sensor Snort
Sensor merupakan komponen yang sangat penting dari suatu Intrusion
Detection System (IDS). Sensor networkuntuk IDS biasanya terinstall pada lokasi
berikut :
1. Antara routerdanfirewallPenempatan sensor diantara router dan firewall berfungsi untuk
melindungi jaringan dari serangan ekstenal, termasuk melindungin
demilitarized zone[1].
2. Pada demilitarized zone (DMZ)Penempatan sensor Snort pada lokasi ini untuk melindungi
demilitarized zone yang meliputi Web, FTP, dan SMTP server,
externalDNS server dan hostyang diakses oleh externaluser[1].
3. Di belakangfirewallSensor Snortbisa diletakkan di belakangfirewallbersebelahan dengan
LAN. Keuntungan dari penempatan ini adalah bahwa semua lalu-lintas
jaringan biasanya melitasfirewall[1].
4. Dekat akses remoteserverBila sensor Snort berada pada lokasi dekat dengan remote access
server maka akan mudah untuk mengontrol serangan yang berasal dari
user yang mempunyai akses ke jaringan melalui server. Metode ini
jarang digunakan karena administrator bisa mendeteksi unauthorized
5/25/2018 Implementasi snort
43/73
31
activityberasal dari user yang mana (siapa yang menggunakan modem
untuk koneksi)[1].
5. Pada network backbone6. Dengan key segment internal network7. Pada remote office
3.5 Basic Analysis and Secur ity Engine(BASE)
BASE merupakanBasic Analysis and Security. Hal ini berdasarkan pada kode
dari hasil Analysis for Intrusion Database (ACID). Aplikasi ini menyediakan web
front-enduntuk query dan menganalisis alertyang berasal dari sistem SnortIDS.
BASE merupakan web antarmuka yang berfungsi untuk menganalisis
gangguan yang terdeteksi oleh Snort IDS dalam jaringan. Ini menggunakan
autentikasi pengguna dan sistem role base, sehingga admin keamanan jaringan
dapat memutuskan apa dan berapa banyak informasi yang pengguna bisa lihat[6].
BASE adalah mesin analisis berbasis PHP untuk mengelola database hasil dari
peristiwa keamanan. Peristiwa ini bisa dari IDS (seperti Snort) serta darifirewall,
alat monitor jaringan dan bahkanfile pcap.Fitur dari BASE sendiri adalah :
1. Sebuah antarmuka untuk mencari database dan pembangunan query.Pencarian dapat dilakukan antara parameter jaringan tertentu seperti
penyerang terhadap protokol IP address, dengan meta parameter seperti
waktu atau tanggal peristiwa[8].
2. Sebuah paket browser yang dapat memutuskan dan menampilkaninformasi layer3 dan layer4 dari paket logger[8].
3. Kemampuan memanajemen data termasuk pengelompokan alert(sehinggamemungkinkan mengelompokkan semua eventyang berhubungan dengan
sebuah insiden gangguan), penghapusan alert, dan pengarsipan dan
mengimpor pesan e-mail[8].
4. Generasi dengan berbagai garik grafis dan statistik berdasarkan parametertertentu[8].
5/25/2018 Implementasi snort
44/73
32
3.6 Jenis Serangan Terhadap Jaringan Komputer
Menurut Ariyus[1] ada berbagai macam teknik yang dilakukan seorang
attacker dalam menyerang sebuah jaringan. Dalam melakukan percobaan
penyerangan terhadap sebuah jaringan tersebut ada beberapa tahap yang
dilakukan, seperti pada gambar berikut :
Gambar 3.12LifecycleSerangan
Seranganserangan yang terjadi pada sistem komputer diantaranya adalah :
3.6.1 Port Scanning
Port Scanningmerupakan suatu proses untuk mencari dan membuakportpada
suatu jaringan komputer. Dari hasil pencarian akan didapat letak kelemahan
system tersebut. Pada dasarnya port scanning mudah untuk dideteksi, tetapi
penyerang akan menggunakan berbagai metode untuk menyembunyikan serangan.
Sebagai contoh, banyak jaringan penyerang dapat mengirimkan initial packet
dengan suatu SYN tetapi tidak ada ACK, dan mendapat respon kembali dankemudian berhenti diporttersebut. Hal ini sering disebut dengan SYNscanatau
half open scan[1].
3.6.2 Teardrop
Teardrop merupakan suatu teknik yang digunakan untuk mengeksploitasi
proses disassembly reassembly paket data. Dalam jaringan internet seringkali
data harus dipotong kecil kecil untuk menjamin reliabilitas dan proses multiple
akses jaringan. Pada proses pemotongan paket data yang normal, setiap potongan
5/25/2018 Implementasi snort
45/73
33
diberi informasi offsetdata yang kira kira berbunyi demikian potongan paket
ini merupakan potongan 600 byte dari 800 bytepaket yang dikirim. Disinilah
program teardrop bekerja untuk memanipulasi offset potongan data sehingga
akhirnya terjadi overlapping antara paket yang diterima di bagian penerima
setelah potongan potongan paket ini di-reassemblyyang menyebabkan system
menjadi crash, hangdan reboot[1].
3.6.3 IPspoofing
IP spoofingmerupakan suatu serangan teknis yang rumit yang terdiri dari
beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja dengan
menipu komputer, seolah-olah yang menggunakan komputer tersebut adalah
orang lain. Hal ini terjadi karena design flaw(salah rancang). Lubang keamanan
yang dapat dikategorikan ke dalam kesalahan design adalah design urutan nomor
(sequence numbering) dari paket TCP/IP.
IPspoofingmelakukan aktivitasnya dengan menulis ke raw socket. Program
dapat mengisi header fielddari suatu paket IP apapun yang diingini. IPspoofing
juga sering digunakan untuk menyembunyikan lokasi attackerpada jaringan[1]
.
3.6.4 LandAttack
Land attackmerupakan serangan kepada sebuah sistem dengan menggunakan
program yang bernama land. Apabila serangan ditujukan pada sistem Windows
95, maka sistem yang tidak diproteksi akan menjadi hang (dan bisa keluar layar
biru). Demikian pula apabila serangan diarahkan ke beberapa UNIX versi lama,
maka sistem akan hang. Jika serangan diarahkan ke sistem Windows NT, maka
sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk beberapa saat
sehingga sistem seperti macet. Serangan land ini membutuhkan nomor IP dan
nomor port dari serveryang dituju. Untuk sistem yang berbasis Windows, port
139 merupakan jalan masuknya serangan[1].
5/25/2018 Implementasi snort
46/73
34
3.6.5 Smurf Attack
Smurf attack biasanya dilakukan dengan menggunakan IP spoofing, yaitu
mengubah nomor IP dari datangnya request. Dengan menggunakan IPspoofing,
respon dari ping tadi dialamatkan ke komputer yang IP-nya di-spoof. Akibatnya,
komputer tersebut akan menerima banyak paket. Hal ini dapat mengakibatkan
pemborosan penggunaan (bandwidth) jaringan yang menghubungkan komputer
tersebut.
Serangan jenis ini juga merupakan serangan secara paksa pada fitur spesifikasi
IP yang kita kenal sebagai direct broadcast addressing. Seorang smurf hacker
biasanya membanjiri router dengan paket permintaan echo Internet Control
Message Protocol (ICMP) yang kita kenal sebagai aplikasi ping[1].
Untuk menjaga agar jaringan tidak menjadi perantara bagi serangan ini maka
broadcast addressingharus dimatikan di router. Alternatif lain adalah dengan cara
memasang upstream firewall yang di-set untuk menyaring ICMP echo atau
membatasi traffic echo agar persentasenya kecil dibandingkan traffic jaringan
keseluruhan.
3.6.6 UDP Flood
Pada dasarnya mengaitkan dua system tanpa disadari. Dengan cara spoofing,
User Datagram Protocol (UDP)flood attackakan menempel pada layanan UDP
chargen di salah satu mesin, yang untuk keperluan percobaan akan
mengirimkan sekelompok karakter ke mesin lain, yang deprogram untuk meng-
echo setiap kiriman karakter yang diterima melalui layanan chargen. Karena
paket UDP tersebut di-spoofingdi antara ke dua mesin tersebut maka yang terjadiadalah banjir tanpa henti kiriman karakter yang tidak berguna di antara kedua
mesin tersebut.
3.6.7 Packet Interception
Sistem kerja dari packet interception ini adalah dengan cara membaca suatu
paket disaat paket tersebut dalam perjalanan. Cara ini sering disebut dengan
packet sniffing. Ini adalah suatu cara penyerang untuk mendapatkan informasi
yang ada di dalam paket tersebut.
5/25/2018 Implementasi snort
47/73
35
3.6.8 ICMP Flood
Seorang penyerang melakukan eksploitasi sistem dengan tujuan untuk
membuat target host menjadi hang, yang disebabkan oleh pengiriman sejumlah
paket yang besar ke arah target host.Exsploting systemini dilakukan dengan cara
mengirimkan suatu comman ping dengan tujuan broadcast adalah target host.
Semua pesan balasan dikembalikan ke target host. Hal inilah yang membuat target
host menjadi hang dan menurunkan kinerja jaringan[1]. Bahkan hal ini dapat
mengakibatkan terjadinya denial of service[9].
5/25/2018 Implementasi snort
48/73
36
BAB IV
ANALISIS DAN PERANCANGAN
Kebutuhan akan sebuah tools (alat) untuk mendukung meningkatkan
keamanan dalam sebuah jaringan sangatlah penting. Berbagai alat telah digunakan
untuk mengingkatkan keamanan jaringan komputer dari segala ancaman,
gangguan, atau serangan. Masih banyak perusahaan hanya mengandalkanfirewall
sebagai alat keamanan dalam jaringan computer dengan berfungsi sebagai tembok
yang menyaring semua paket data yang akan dilewatkan. Tetapi dengan hanya
menggunakanfirewalltersebut jaringan komputer masih belum aman dari segala
ancaman, gangguan, dan serangan dikarenakan firewall tidak dapat memberikan
reportsecara real timekepada administratortentang aktivitas jaringan.
4.1Sistem Kerja FirewallFirewall adalah suatu sistem perangkat lunak yang mengizinkan lalu lintas
jaringan yang dianggap aman untuk bisa melaluinya dan mencegah lalu lintas
jaringan yang dianggap tidak aman. Umumnya, sebuahfirewallditerapkan dalam
sebuah mesin terdedikasi, yang berjalan pada gateway antara jaringan local
dengan jaringan Internet[11].
Fungsifirewalladalah sebagai berikut :
1. Mengatur dan mengontrol lalu lintas jaringan.2. Melakukan autentikasi terhadap akses.3. Melindungi sumber daya dalam jaringanprivate.Secara umum dapat dijelaskan bahwa firewall bekerja sesuai rules yang
diberikan administrator tanpa memberikan report hasil kerja kepada
administrator.
4.2Identifikasi masalahDari penjelasan di atas, maka permasalahan yang dihadapi yang
mengakibatkan kurangannya keamanan jaringan adalah sebagai berikut:
1. Masih kurangnya pengimplementasian tools(alat) yang mampu merekamaktivitas jaringan secara real time.
5/25/2018 Implementasi snort
49/73
37
2. Sulit menganalisa pola trafficjaringan yang terjadi.3. Sulit mengenali adanya ancaman, gangguan, atau serangan terhadap
jaringan.
4. Sulit mengidentifikasi jenis ancaman, gangguan, atau serangan yangterjadi terhadap jaringan.
4.3Identifikasi penyebab masalahDari hasil indentifikasi masalah diatas, terdapat beberapa penyebab masalah
yang menguragi keamanan dalam sebuah jaringan komputer :
1. Tools (alat) tidak mampu merekam setiap aktivitas jaringan secara realtime.
2. Tidak ada report kepada administrator dari hasil rekaman yang terjaditerhadap jaringan komputer.
3. Kurangnya rules yang mengidentifikasi setiap jenis ancaman, gangguan,atau serangan terhadap jaringan.
4.4AnalisisDari hasil identifikasi masalah dan indentifikasi penyebab masalah yang telah
dibahas di atas dapat disimpulkan, bahwa untuk meningkatkan keamanan dalam
sebuah jaringan dibutuhkan sebuah tools (alat) yang sistem kerjanya mampu
merekam semua aktivitas jaringan secara real time dan menampilkan semua
reportdari hasil rekaman aktivitas jaringan yang sudah dikelola tersebut kepada
administrator, sehingga administrator dapat dengan mudah memahami setiap
hasil laporan yang ditampilkan. Dengan demikian, administratorakan lebih cepat
mengambil tindakan apabila terjadi ancaman, gangguan, atau serangan terhadap
jaringan tanpa melakukan analisis terlebih dahulu, karena hasil yang ditampilkan
kepada administrator sudah dianalisis terlebih dahulu oleh sistem.
Sistem pendeteksian penyusupan pada sistem jaringan komputer ini dibuat
untuk kebutuhan sebagai berikut :
a. Mampu mengawasi traffic jaringan yang terdiri dari paket data TCP,UDP, dan ICMP.
5/25/2018 Implementasi snort
50/73
38
b. Mampu mengidentifikasi anomali traffic jaringan atau traffic yangdianggap tidak normal dan dikelompokkan sesuai jenisnya
c. Menampilkan informasi trafficjaringan kepada administrator.d. Informasi yang ditampilkan kepada administrator berupa alert dan
informasi aktivitas jaringan secara spesifik.
4.4.1Analisis KebutuhanAnalisis kebutuhan sangat penting dalam mendukung kinerja sistem yaitu
untuk mendukung tercapainya tujuan keakuratan data informasi.
a. Spesifikasi sistem yang akan dibangun.Tabel 4.1 Spesifikasi Sistem yang akan Dibangun
Sistem Keterangan
Intrusion Detection System
Berjenis NIDS (Network Intrusion
Detection System) yang akan
mengawasi setiap segmen jaringan.
Client
Difungsikan sebagai sistem yang
menerima serangan atau gangguan
dari attacker / intruder pada saat
skenario uji coba
Intruder /Attacker Difungsikan sebagai sistem yang
melakukan serangan terhadap client
pada saat skenario uji coba
b. Spesifikasisoftware(perangkat lunak)Perangkat lunak yang digunakan dalam sistem ini adalah sebagai berikut :
Tabel 4.2 Spesifikasi Software(Perangkat Lunak) yang Digunakan
No Jenis perangkat lunak Keterangan
1 Ubuntu 10.10Sistem operasi yang akan digunakan di
mesinIntrusion Detection System(IDS).
2 Backtrack 5 Genome r3
Sistem operasi yang digunakan sebagai
intruder/ attackeryang berfungsi untuk
menyerang client
3 Windows XP SP2Sistem operasi yang digunakan sebagai
client.
5/25/2018 Implementasi snort
51/73
39
4 Snort
Intrusion Detection System (IDS) yang
digunakan sebagai sensor yang
merekam semua trafficdalam jaringan.
5 Acidatau BASE
Aplikasi yang digunakan untuk
mengelola database logyang dihasilkan
oleh sensor Snortdan menampilkannya
ke administrator.
6 Nmap
Sebuah aplikasi yang terdapat dalam
sistem operasi Backtrack yang berfungsi
untuk mengidentifikasi IP yang sedang
up, port yang terbuka serta spesifikasi
sistem operasi yang digunakan olehkorban.
7 MySql
Applikasi yang berguna untuk
menyimpan ke database hasil report
yang dilakukan oleh SnortIDS dan akan
digunakan oleh BASE sebagai acuan
untuk menampilkan setiap informasi
tentang jaringan kepada administrator
8 Apache
Applikasi sebagai server agar BASE
bisa menampilkan informasi tentangjaringan kepada administrator dalam
mode local host.
c. SpesifikasiHardware(Perangkat Keras)Perangkat keras yang digunaka dalam sistem ini adalah sebagai berikut :
Tabel 4.3 SpesifikasiHardware(Perangkat Keras) yang Akan Digunakan
No Jenis perangkat keras Spesifikasi
1 PC Mesin Sensor
ProcessorIntel Pentium 4 3,2 GHz
Memory2.00 GB
Hard disk32 GB
2port network interface
1 buah monitor
1 buah keyboard
1 buah mouse
2 PC Mesin Client
ProcessorIntel Pentium 4 3,2 GHz
Memory1.00 GB
Hard disk128 GB
1port network interface
5/25/2018 Implementasi snort
52/73
40
1 buah monitor
1 buah keyboard
1 buah mouse
3 Switch 8port network interface
4 Kabel UTP 3 buah kabelstraight
4.5PerancanganSetelah melakukan identifikasi masalah, identifikasi penyebab masalah, serta
analisis, penulis memberikan solusi yaitu dengan pengimplementasian Intrusion
Detection System (IDS) dengan menggunakan software Snort yang terintegrasi
dengan BASE sebagai alat yang merekam aktivitas jaringan secara real timedan
menampilkan hasil analisanya terhadap administrator.
Penulis akan memasang sebuah sensor SnortIDS pada sebuah bagian jaringan
kantor dan melakukan konfigurasi agar sensor tersebut dapat berjalan dengan
baik. Berikut topologi jaringan Dinas Komunikasi dan Informatika
(DISKOMINFO) Jawa Barat di Bandung secara keseluruan :
Gambar 4.1 Topologi NOC Jarkom Pemprov Jabar 2013
Dan berikut gambar topologi jaringan tempat dimana Snort IDS akan dipasang
dan diuji.
5/25/2018 Implementasi snort
53/73
41
Gambar 4.2 Topologi Tempat SnortIDS Akan Dipasang.
Sebagai topologi rancangan untuk implementasi Snort IDS adalah sebagai
gambar berikut ini :
Gambar 4.3 Topologi Rancangan SnortIDS
Dibagian topologi jaringan inilah akan diamati setiap aktivitas jaringan dan
setiap informasi akan ditampilkan ke administratordengan menggunakan BASE.
4.5.1Deskripsi dari SistemPada implementasi Snortterintegrasi degan BASE ini, setiap aktivitas jaringan
yang direkam oleh Snortberupa log tersebut akan dikirimkan ke sensor. Sensor
akan melakukan analisis dengan melakukan perbandingan setiap detail aktivas
5/25/2018 Implementasi snort
54/73
42
jaringan dengan rules yang telah disediakan. dari hasil analisis tersebut, jika
terjadi kesamaan antara aktivitas dengan rulesyang ada, akan menghasilkan alert.
Setelah proses analisis selasai, hasilnya akan dikirimkan ke databaseyang telah
disediakan untuk menampung semua hasil analisis Snort IDS. Kemudian BASE
mengakses database tersebut untuk mengambil data data hasil analisis Snort
untuk ditampilkan kepada administrator.
Pada tampilan tersebut BASE akan menampilkan sesuai pengelompokan.
Berikut fiturfitur yang dimiliki BASE sesuai dengan pengelompokannya
1. Menampilkan persentasi paket data TCP, UDP, dan ICMP serta spesifikasimasingmasing.
2. Menampilkan persentasi dan spesifikasiportscanyang terjadi.3. Menampilkan jumlah host yang dipantau berserta IP address masing
masing.
4. Menampilkan total jumlah alert yang dihasilkan oleh sensor Snort sertamenampilkan jenisjenis alert.
5. Menampilkan alertyang dianggap unik.6. MenampilkansourceIP addressdan destinationIP address.7. Menampilkansource portdan destination port.
4.6Skenario Uji CobaSelain implementasi Snort IDS, penulis juga melakukan uji coba terhadap
kinerja SnortIDS dengan melakukan sebuah skenario yang telah dirancang.
Pada uji coba kali ini akan dilakukan sebuah skenario dimana sebuah
komputer intruder/ attackerakan melakukan serangan terhadap sebuah komputer
client dengan menggunakan aplikasi nmap dimana serangan tersebut melalui
SnortIDS sebelum sampai ke komputer client.
Seorang hacker sebelum melakukan penetrasi terhadap korbannya, hacker
tersebut terlebih dahulu harus mengetahui spesifikasi korban yang akan diserang,
mulai dari IP addreses, system operation yang digunakan korban, serta
kemungkinanportyang digunakan sebagai jalan untuk dilakukan serangan[1].
5/25/2018 Implementasi snort
55/73
43
Disini nmapberfungsi untuk mengidentifikasi halhal yang sudah disebutkan
di atas mulai IP addressyang up (sedang digunakan ) dalam sebuah network, jenis
system operatiaonyang digunakan client, sertaportportyang terbuka[3].
Untuk itu penulis menganggap penggunaan nmap dalam sebuah jaringan
merupakan sebuah intrusion (gangguan) dalam jaringan tersebut. Maka dari itu
penulis memilih menggunakan nmap sebagai tools untuk menguji kinerja Snort
IDS apakah mampu mendeteksi seranga awal yang dilakukan oleh hacker.
Gambar berikut menjelaskan skenario yang dilukakan penulis untuk
membuktikan kinerja SnortIDS.
Gambar 4.4 Skenario Uji Coba Kinerja SnortIDS
Dari gambar diatas dapat dimengerti ketika intruder melancarkan serangan
terhadap client, semua paket data yang dikirim terlebih dahulu melewati Snort
IDS sebelum diteruskan ke client. Ketika paket data melewati Snort IDS, semua
paket data akan di-capture dan dianalisis. Kemudian data yang dikirimkan oleh
intruderakan dibandingkan dengan rulesyang ada di dalam SnortIDS, dan jikaterdapat kesamaan Snort IDS akan mengirimkan hasil analisa ke BASE untuk
ditampilkan ke administrator.
5/25/2018 Implementasi snort
56/73
44
BAB V
IMPLEMENTASI DAN UJI COBA
5.1Implementasi5.1.1Konfigurasi SnortIDS
Pada implementasi Snort IDS ini, penulis melakukan konfigurasi sesuai
dengan deskripsi sistem yang ada pada bab sebelumnya. Tahap pertama yang
dilakukan adalah mengkonfigurasi network yang akan diawasi oleh Snort IDS,
dengan mendaftarkan network atau beberapa IP address yang akan diawasi dan
juga network atau IP address eksternal. Biasanya selain alamat network internal
diinisialisasikan sebagai eksternal, seperti yang terlihat pada gambar berikut ini
Gambar 5.1 KonfigurasiNetwork Internal danNetworkEksternal
Setelah mengkonfigurasi networkyang akan diawasi, tahap selanjutnya adalah
konfigurasi untuk menentukan dimana sensor SnortIDS akan ditempatkan, seperti
pada gambar berikut ini :
Gambar 5.2 Konfigurasi Untuk Menempatkan Sensor SnortIDS
5/25/2018 Implementasi snort
57/73
45
Penempatan mesin sensor Snort IDS untuk mengawasi sebuah jaringan
sangatlah penting. menempatkan sensor SnortIDS dengan tepat membuat kinerja
sensor menjadi baik dan data yang dihasilkan pun menjadi akurat[1]. Pada
implementasi ini, penulis menempatkan sensor Snort IDS di interfaceeth0 yang
digunakan sebagaigateway.
Selanjutnya adalah mengaktifkan rule rule yang akan digunakan. Pada saat
implementasi, penulis mengaktifkan semua ruleruleyang tersedia.
Gambar 5.3Path Ruleyang Akan Digunakan
Rule yang tersedia dapat kita nonaktifkan dengan cara menambah karakter #
pada awal baris ruleyang kita inginkan sesuai dengan kebutuhan kita.
Sampai tahap ini, Snort IDS sudah dapat dijalankan dengan modesniffer
ataupun console.
5/25/2018 Implementasi snort
58/73
46
5.1.2 Konfigurasi Acidatau BASE
Hasil yang didapatkan oleh Snortketika dijalankan dengan mode snifferatau
console belum sepenuhnya dapat membantu administrator dalam menganalisa
trafficjaringan yang sedang terjadi. Untuk itu dibutuhkan sebuah aplikasi analisis
yang dapat menganalisa hasil kerja SnortIDS tersebut yaitu dengan menggunakan
Acidatau BASE.
Acid atau BASE membutuhkan sebuah database yang dapat menampung
semua hasil capture Snort IDS terhadap traffic jaringan dan mengelola semua
hasil captureSnortIDS untuk dianalisis dan ditampilkan kepada administrator.
Gambar 5.4Acidatau BASE MenggunakanMysqlSebagaiDatabase
Pada implementasi ini, penulis menggunakan MySql sebagai databaseuntuk
menyimpan semua hasil captureSnortIDS terhadap sebuah jaringan.
Gambar 5.5Register Acidatau BASE TerhadapDatabase Server
Setelah Acid atau BASE ter-install dan sudah dikonfigurasi, maka untuk
menjalankannya kita dapat membukanya dengan menggunakan browser dan
memasukkan alamat URLhttps://localhost/acid.Dan berikut adalah tampilannya
https://localhost/acidhttps://localhost/acidhttps://localhost/acidhttps://localhost/acid5/25/2018 Implementasi snort
59/73
47
Gambar 5.6 TampilanAcidatau BASE
5.2Pengambilan Data dan Analisis5.2.1 TrafficJaringan
Dalam lalu lintas jaringan biasanya menggunakan beberapa tipe protocol.
Protocol ini digunakan untuk berkomunikasi antar komputer. Komputer dapat
berkomunikasi dan bertukar informasi atau data satu sama lain harus dengan
menggunakan protocolyang sama. Sehingga dapat disimpulkan lalu lintas yang
terjadi dalam sebuah jaringan adalah banyaknya traffic protocolyang ada dalam
jaringan tersebut.
Pada implementasi ini, penulis mengamati dan mengambil data tingkat
komunikasi antara jaringan internal dan jaringan eksternal dengan menggunakan
protocolTCP, UDP, maupun ICMP yang terdeteksi oleh SnortIDS. Pengambilan
data ini dilakukan selama lima hari kerja.
Dari hasil pengamatan komunikasi jaringan internal dan jaringan eksternal
dengan menggunakan protocol TCP, UDP, maupun ICMP yang dilakukan selama
lima hari kerja diperoleh data sebagai berikut.
5/25/2018 Implementasi snort
60/73
48
Tabel 5.1 Akses Jaringan yang Terjadi Selama 5 Hari Kerja
Harike- ProtocolTCP Protocol UDP ProtocolICMP
1 105 45 0
2 21 2 0
3 37 1 0
4 10 3 0
5 38 10 0
Gambar 5.7 Grafik Trafik Jaringan Dalam 5 Hari Kerja
Pada grafik di atas dapat dilihat bahwa komunikasi jaringan internal dan
jaringan eksternal dapat dideteksi oleh Snort IDS, yaitu dengan mendeteksi
komunikasi dengan menggunakanprotocolTCP, UDP, dan ICMP.
Berdasarkan grafik di atas dilihat bahwa protocol TCP lebih banyak
digunakan jaringan komputer internal untuk berkomunikasi dengan jaringan
eksternal dan dapat disimpulkan bahwa jaringan komputer kantor Dinas
Komunikasi dan Informatika (DISKOMINFO) Bandung lebih banyak
menggunakan protocol TCP untuk berkomunikasi dan bertukar data dengan
jaringan eksternal dengan kebanyak menggunakan application layer HTTP,
SMTP ataupun FTP.
0
20
40
60
80
100
120
0 1 2 3 4 5 6
Jumlahakses
Hari ke-
Network Traffic
Protocol UDP
Protocol ICMP
Protocol TCP
5/25/2018 Implementasi snort
61/73
49
Ketika terjadi komunikasi antara jaringan internal dan eksternal, Snort IDS
juga mendeteksi beberapa anomaly yang dianggap dapat mengganggu jaringan
internal. Jenis anomalytersebut disajikan pada table berikut ini.
Tabel 5.2 JenisAnomalyyang Terdeteksi Oleh SnortIDS
Jenis Anomaly Jumlah
Community SIP TCP/IP message flooding directed to
SIP Proxy 210
Openport443 51
Openport80 7
TCPPortsweep 3
Double Decoding Attack 7DNS Spoof 45
http_inspect 9
Gambar 5.8 Grafik Jumlah dan JenisAnomalyyang Terdeteksi Oleh SnortIDS
Berdasarkan grafik di atas, kita melihat jenis anomaly CommunitySIP TCP/IP
lebih banyak dideteksi oleh Snort IDS ketika terjadi komunikasi antara jaringan
internal dan jaringan eksternal. Terdapat 63,25% jumlah anomalyCommunitySIP
TCP/IP yang terdeteksi. Apabila dilihat dari jumlah akses data dengan
menggunakanprotocolTCP maupunprotocolUDP yang terjadi terjadi sebanyak
272 kali, sementara jumlah anomaly Community SIP TCP/IP yang terdeteksi
sebanyak 210, hal ini menandakan anomaly Community SIP TCP/IP terdeteksi
0
50
100
150
200
250
Community
SIP TCP/IP
Open port
443
Open port 80 TCP
Portsweep
Double
DecodingAttack
DNS Spoof http_inspect
5/25/2018 Implementasi snort
62/73
50
hampir setiap kali terjadi komunikasi antar jaringan dengan menggunakan
protocol TCP maupun protocol UDP.Dalam hal ini Community SIP/IP tidak
berbahaya karena Community SIP/IP hanya menentukan jalur terpendek untuk
mengirimkan informasi.
Dalam hasil kerja praktek ini juga ditemukan tingkat open port443 dan DNS
Spoof yang cukup tinggi. Open port 443 dimaksudkan bahwa Snort IDS dapat
mampu mendeteksi adanya request dari dan ke port http yang bersifat secure.
Yang perlu diwaspadai adalah DNS Spoof. Seperti yang kita ketahui DNS Spoof
adalah salah satu cara untuk menyamarkan IP addresssuatu domain. Teknik DNS
Spoof ini juga sering digunakan oleh para intruder untuk melakukan serangan
sebagai penyamaran sehingga host victim tidak dapat mengetahui informasi
tentang intruder. Tetapi teknik DNS Spoof ini juga digunakan untuk
mengamankan sebuah domain dari serangan intruder agar intruder tidak
mengetahui informasi tentang domain tersebut karena informasi yang diperoleh
intruderadalah informasi yang sudah disamarkan. Dalam hasil kerja praktek ini,
tingkat DNS Spoof yang penulis dapatkan dari hasil analisa Snort IDS adalah
tidak sebuah ancaman bagi jaringan karena karena dari hasil analisa Snort IDS
sebuah hostdari jaringan internal mengakses sebuah domaindan domaintersebut
merespon dengan menyamarkan IP addressdari domaintersebut.
5.3.Skenario Uji CobaPada skenario uji coba yang penulis lakukan, penulis menggunakan aplikasi
nmap yang sudah ter-install di sebuah sistem operasi, yaitu Backtrack 5 R3.
Nmapadalah sebuah aplikasi yang sering digunakan ketika seorang hackeringin
melakukan tindakan hacking. Sebelum seorang hacker menyerang korbannya,
hacker tersebut terlebih dahulu harus mengetahui kondisi korban yang akan
diserang. Di sinilah aplikasi nmap digunakan. Nmap berfungsi untuk
mengidentifikasi IP addressyang sedang digunakan dalam sebuah jaringan, port
port dari host yang terbuka, dan bahkan sistem operasi yang digunakan oleh
korban.
5/25/2018 Implementasi snort
63/73
51
Berikut ini adalah gambar hasil running nmap
Gambar 5.9 Perintah Untuk Menjalankan nmap
Pada gambar 5.9 seperti di atas, penulis menggunakan perintah nmapv A
192.168.5.0/24 untuk mengidentifikasi IP addressyang sedang digunakan dalam
network192.168.5.0/24. n digunakan untuk mengidentifikasi portyang sedang
terbuka danA untuk mengidentifikasi jenis sistem operasi yang digunakan oleh
host.Berikut adalah gambar hasilscanningdengan menggunakan nmap
Gambar 5.10 Hasil Scanningdengan Menggunakan nmap
Dari gambar dapat dilihat hasilscanningdengan menggunakan nmapterhadap
sebuah hostdengan alamat host 192.168.5.10. Dari hasil scanningdiketahuiport
135, 139, 445 dalam kondisi terbuka dengan menggunakan sistem operasi
Microsoft WindowsXP|2003.
5/25/2018 Implementasi snort
64/73
52
Untuk menguji apakah sebuah Snort IDS dapat digunakan untuk mendeteksi
sebuah serangan nmap, penulis menjalakan Snort IDS dengan mode console
seperti pada gambar berikut.
Gambar 5.11 Perintah Menjalankan SnortIDSMode Console
Gambar 5.12 Hasil runningSnortIDS
Dari gambar di atas membuktikan bahwa Snort IDS dapat digunakan untuk
mendeteksi serangan nmapdengan menginformasikan jenis serangan yaitu ICMP
PINGNMAP, asal IP addressseranganan, dan IP addresstujuan serangan.
5/25/2018 Implementasi snort
65/73
53
BAB VI
PENUTUP6.1.Kesimpulan
Dari pelaksanaan kerja praktek Pemanfaatan SnortIDS Untuk Meningkatkan
Keamanan Jaringan di Kantor Dinas Komunikasi dan Informatika
(DISKOMINFO) Bandungini, mulai dari tahap persiapan, analisa, perancangan
sampai implementasi sistem, dapat diambil kesimpulan sebagai berikut :
1. SnortIDS dapat diimplementasikan dan digunakan untuk merekam semuaaktivitas jaringan secara real-timedengan cara meng-capturesemua paket
data yang masuk maupun keluar jaringan, kemudian menganalisa setiap
paket tersebut dan hasilnya dilaporkan kepada administrator.
2. Snort IDS juga dapat digunakan untuk mengidentifikasi jenis serangan,gangguan, dan ancaman yang berasal dari luar jaringan internal dengan
cara data yang keluar ataupun masuk jaringan di-captureSnortIDS. Setiap
paket data yang di-captureoleh sensor SnortIDS disamakan dengan rules
yang tel