bab ii tinjauan pustaka - sinta.unud.ac.id 2.pdf · 2.1 aspek dasar keamanan jaringan garfinkel...
Post on 06-Mar-2019
220 Views
Preview:
TRANSCRIPT
6
BAB II
TINJAUAN PUSTAKA
2.1 Aspek Dasar Keamanan Jaringan
Garfinkel mengemukakan bahwa keamanan komputer (computer security)
melingkupi empat aspek, yaitu privacy, integrity, authentication dan availability.
Selain hal tersebut, ada dua aspek yang ada kaitannya dengan electronic
commerce, yaitu access control dan non-repudiation (Budi Rahardjo, 1999).
1. Privacy atau Confidentiality
Merupakan suatu usaha unutk menjaga informasi dari orang yang tidak
memiliki hak akses. Privacy lebih kearah data-data yang sifatnya privat
sedangkan confidentiality berhubungan dengan data yang diberikan ke
pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari
pendaftaran sebuah servis). Serangan terhadap aspek privacy misalnya
adalah usaha untuk melakukan penyadapan. Usaha yang dapat dilakukan
untuk meningkatkan privacy dan confidentiality adalah dengan
menggunakan teknologi kriptografi.
2. Integrity
Aspek yang menekankan bahwa informasi atau data tidak boleh diubah
tanpa seizin pemilik informasi. Adanya virus, trojan horse atau pemakai
lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang
harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah
jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. Dengan
kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan
enkripsi dan digital signature misalnya, dapat mengatasi masalah ini.
Contoh serangan lain adalah “man in the middle attack” dimana seseorang
menempatkan diri ditengah pembicaraan dan menyamar sebagai orang
lain.
7
3. Authentication
Aspek ini berhubungan dengan metode untuk menyatakan bahwa
informasi betul-betul asli, orang yang mengakses atau memberikan
informasi adalah betul-betul orang yang dimaksud. Dalam hal ini
pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna
yang sah, misalnya penggunakan password, keamanan biometric dan
sejenisnya.
4. Availability
Aspek ini berhubungan dengan ketersediaan informasi ketika dibutuhkan.
Sistem informasi yang diserang atau dijebol dapat menghambat atau
meniadakan askes ke informasi. Contoh hambatan adalah serangan “denial
of service attack” atau lebih dikenal dengan sebutan DoS Attack, dimana
server dikirimi permintaan (biasanya palsu) yang bertubi-tubi sehingga
tidak dapat melayani permintaan lain tau bahkan sampai down, hang,
crash.
5. Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi.
Hal ini biasanya berhubungan dengan masalah authentication dan juga
privacy. Access control seringkali dilakukan dengan menggunakan
kombinasi user id, password atau dengan menggunakan mekanisme.
6. Non Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah
melakukan suatu transaksi. Sebagai contoh, seseorang yang mengirimkan
e-mail untuk memesan barang tidak dapat menyangkal bahwa dia telah
mengirimkan email tersebut. Aspek ini sangat penting dalam electronic
commerce. Penggunaan digital signature dan teknologi kriptografi secara
umum dapat menjaga aspek ini.
2.2 Dasar TCP/IP
TCP/IP (Transmission Control Protocol/ Internet Protocol) adalah standar
komunikasi data yang digunakan oleh komunitas internet dalam proses tukar-
8
menukar data dari satu komputer ke komputer lain di dalam jaringan internet.
Protokol TCP/IP dibangun mengikuti model referensi OSI (Open System
Interconnect), adapun perbandingan model referensi OSI dengan implementasi
TCP/IP dapat dilihat pada Gambar 2.1
Gambar 2.1 Perbandingan TCP/IP dengan ISO OSI model
(Sumber: Dostalek dan Kabelova, 2006)
Protokol TCP/IP memeiliki empat layer, yaitu:
1. Physical Layer (Network Interface Layer)
Pada lapisan ini, didefiniskan bagaimana penyaluran data dalam bentuk frame-
frame data pada media fisik. Media fisiknya dapat berupa ethernet, token ring,
kabel, serat optit, frame delay atau gelombang radio.
2. Network Layer (Internet Layer)
Lapisan ini bertugas unutk menjamin agar suatu paket dikirimkan dapat
menemukan tujuannya. Lapisan ini memiliki peranan penting terutama dalam
mewujudkan internetworking yang meliputi wilayah luas (worldwide internet).
Pada layer initerdapat tiga macam protocol, yaitu IP (Internet Protocol), ARP
9
(Address Resolution Protocol), ICMP (Internet Control Message Protocol).
Beberapa tugas penting pada network layer adalah :
Pengalamatan (addressing), yakni melengkapi setiap paket data dengan
alamat internet atau yang dikenal dengan internet protocol address (IP
address) sehingga jaringan TCP/IP independent dari jenis media, sistem
operasi dan komputer yang digunakan.
Routing, yakni menentukan rute kemana paket data akan dikirim agar
mencapai tujuan yang diinginkan. Router-router pada jaringan TCP/IP-lah
yang menentukan penyampaian paket data dari pengirim ke penerima.
3. Transpot Layer
Berisi protokol yang bertanggung jawab untuk mengadakan komunikasi antara
dua komputer. Kedua protokol tersebut adalah :
User Datagram Protocol (UDP), protokol process-to-process yang
menambahkan hanya alamat port, check-sum error control dan panjang
informasi data dari lapisan di atasnya.
Transmission Control Protocol (TCP), menyediakan layanan penuh lapisan
transport untuk aplikasi.
4. Application Layer
Application layerdalam TCP adalah kombinasi lapisan-lapisan session,
presentation dan application pada model OSI. Lapisan ini mendefinisikan
aplikasi-aplikasi yang dijalankan pada jaringan. Beberapa protokol yang telah
dikembangkan pada lapisan ini , yaitu:
- SMTP (Simple Mail Transfer Protocol) untuk pengirimiman electronic mail
(e-mail).
- FTP (File Tranfer Protocol) untuk transfer file.
- HTTP (Hyper Text Transfer Protocol) untuk aplikasi berbasis web atau
WWW (World Wide Web).
- NNTP (Network News Transfer Protocol) untuk distribusi news group.
10
2.2.1 IP (Internet Protocol)
IP address dibentuk oleh sekumpulan bilangan biner sepanjang 32 bit,
yang dibagi atas empat bagian. Setiap bagian panjangnya 8 bit. IP address
merupakan identifikasi setiap host pada jaringan internet sehingga tidak boleh ada
host lain (yang tergabung ke intenet) menggunakan IP address yang sama.
Dilihat dari keprluan jaringan, IP address dapat dibag menjadi dua kelompok,
yaitu private IP address dan public IP address. Private IP address digunakan
untuk jaringan lokal (LAN). Sedangakn Public IP address digunakan untuk
jaringan public (Internet).
Gambar 2.2 IP Datagram
(Sumber: Dostalek dan Kabelova, 2006)
Gambar 2.2 menunjukkan IP datagram. Umunmya header mempunyai 20
bytes. Tetapi header dapat juga berisi entries yang lebih panjang. Pada header IP
ada field berisi informasi internet address, IP address asal dan tujuan dari paket
data.
2.2.2 ICMP (Internet Control Message Protocol)
ICMP (Internet Control Message Protocol) adalah salah satu protokol
utama dari protokol internet. ICMP utamanya digunakan oleh sistem operasi
komputer jaringan untuk mengirim pesan kesalahan. Sebagai contoh, bila
komputer tujuan tidak bisa dijangkau maka ICMP akan mengirim pesan
11
“Destination unreachable”. ICMP berbeda tujuan dengan TCP dan UDP. ICMP
tidak digunakan secara langsung oleh aplikasi jaringan milik pengguna. Salah satu
pengecualian adalah aplikasi ping yang mengirim pesan ICMP Echo Request (dan
menerima Echo Reply) untuk menentukan apakah komputer tujuan dapat
dijangkau dan berapa lama paket yang dikirimkan dibalas oleh komputer tujuan.
Gambar 2.3 Paket ICMP
(Sumber: Dostalek dan Kabelova, 2006)
Gambar 2.3 menunjukkan struktur paket ICMP. Panjang header paket
ICMP selalu 8 byte. Empat byte pertama selalu memiliki arti yang sama dan isinya
dari 4 byte yang tersisa tergantung pada jenis paket ICMP. Empat byte pertama
dari header selalu berisi jenis pesan, kode pesan dan sebuah checksum 16 bit.
Format pesan tergantung pada nilai dari type field. Field code kemudian
menetapkan masalah yang sedang ditandai oleh ICMP.
2.2.3 TCP (Transmission Control Protocol)
TCP (Transmission Control Protocol) merupakan protokol yang bersifat
connection oriented karena sebelum proses transmisi data terjadi, dua aplikasi
12
TCP harus melakukan pertukaran kontrol informasi (handshaking). TCP bersifat
reliable karena menerapkan fitur deteksi kesalahan dan retransmisi apabila data
yang rusak, sehingga keutuhan data dapat terjamin.
Gambar 2.4 TCP header
(Sumber: Dostalek dan Kabelova, 2006)
Gambar 2.4 menunjukkan TCP header. Panjang TCP header adalah 20
bytes dan diikuti dengan item opsional. Item opsional terdiri dari tipe item
opsional, panjang item opsional dan nilainya.
Protokol TCP bertanggung jawab untuk mengirimkan data dari sumber ke
tujuan dengan benar. TCP dapat medeteksi kesalahan atau hilangnya data dan
melakukan pengiriman kembali sampai data diterima dengan lengkap. TCP selalu
meminta konfirmasi setiap kali data terkirim, untuk memastikan apakah data telah
sampai di tempat tujuan. Kemudian TCP akan mengirimkan data berikutnya atau
pengiriman ulang (retransmisi) apabila data sebelumnya tidak sampai atau rusak.
Data yang dikirm dan diterima kemudian diatur berdasarkan nomor urut. Protokol
TCP sangat cocok digunakan untuk koneksi yang membutuhkan kehandalan
tinggi, seperti aplikasi telnet, SSH, FTP, HTTP.
13
2.2.4 UDP (User Datagram Protocol)
UDP merupaka protokol yang bersifat connectionless, yang berarti dimana
protokol ini saat melakukan pengiriman data tidak melakukan proses
handshaking, tidak ada sequence datagram dan tidak ada jaminan bahwa paket
data (datagram) yang dikirim akan tiba dengan selamat di tujuan. UDP juda tidak
menyediakan fitur koreksi kesalahan.
UDP hanya menyediakan fasilitas multiplexing aplikasi (via nomor port)
dan deteksi kesalahan (via checksum) yang tersedia pada header dan muatan.
Deteksi kesalahan pada UDP hanya bersifat opsional. Transmisi data yang
reliable, dilakukan ditingkat aplikasi. Tidak bisa dikerjakan ditingkat protokol
UDP.
Gambar 2.5 UDP datagram header
(Sumber: Dostalek dan Kabelova, 2006)
Gambar 2.5 menunjukkan UDP headeryang berisi jumlah kedua sumber
dan port tujuan sama dengan TCP. Nomor port dari protokol UDP tidak ada
hubungannya dengan nomor port TCP. UDP menggunakan himpunan
independent nomor port. Panjang field UDP menunjukkan panjang datagram UDP
(panjang header + panjang data). Panjang minimum adalah 8 bytes, sebuah
datagram UDP hanya berisi header dan tidak ada data.
Layanan yang menggunakan UDP yaitu transmisi audio/video, seperti:
VoIP, audio/video streaming. UDP tidak cocok untuk pengiriman paket data
berukuran besar karena peluang jumlah paket yang hilang atau rusak sangat besar.
14
2.3 Intrusion Detection System (IDS)
Intrusion Detection System atau Sistem Deteksi Gangguan atau yang
dikenal dengan IDS, adalah proses pemantauan peristiwa yang terjadi dalam suatu
sistem komputer atau jaringan dan menganalisis adanya kemungkinan tanda-tanda
insiden, pelanggaran atau ancaman terhadap kebijakan keamanan komputer,
kebijakan keamanan legal atau praktek-praktek standar keamanan (Scarfone &
Mell, 2010). Insiden memiliki banyak penyebab, seperti malware (misalnya,
worm, spyware), penyerang mendapatkan akses tidak sah ke sistem dari internet,
dan pengguna resmi yang menyalahgunakan hak-hak mereka atau mencoba untuk
mendapatkan hak tambahan yang bukan kewenangan mereka. Intrusion Detection
System (IDS) memiliki beberapa kegunaan utama, dianataranya (Scarfone & Mell,
2010) :
1. Merekam informasi yang berkaitan dengan peristiwa yang diamati.
Informasi biasanya direkam secara local, dan mungkin juga dikirim ke
sistem yang terpisah, seperti server logging terpusat dan sistem
manajemen perusahaan.
2. Memberitahukan administrator akan adanya peristiwa keamanan yang
penting. Pemberitahuan ini dikenal sebagai peringatan, dapat dilakukan
melalui salah satu dari beberapa metode, seperti: e-mail, pages, pesan pada
tampilan tatap muka pengguna, Simple Network Management Protocol
(SNMP), dan pesan syslog. Sebuah pesan pemberitahuan biasanya hanya
mencakup informasi dasar tentang suatu kejadian, administrator perlu
mengakses IDS untuk mendapatkan informasi tambahan.
3. Membuat laporan. Laporan merangkum peristiwa yang dimonitor atau
memberikan rincian tentang kejadian-kejadian tertentu yang menarik.
2.4 Metode Pendeteksian Intrusion Detection System (IDS)
Teknologi Intrusion Detection System (IDS) menggunakan banyak
metodologi untuk mendeteksi adanya insiden atau gangguan. Kebanyakan
teknologi IDS menggunakan metodologi deteksi ganda, baik secara terpisah atau
terintegrasi, untuk memberikan tingkat deteksi yang lebih luas dan akurat. Metode
15
umum yang digunakan, antara lain Misuse/Signature-based Detection dan
Anomaly-based Detection (Scarfone & Mell, 2010).
2.4.1 Misuse/Signature-Based Detection
Signature adalah sebuah pola yang dibentuk sesuai dengan ancaman atau
serangan yang telah diketahui karakteristiknya. Signature-based detection adalah
proses mebandingkan signature terhadap kejadian yang diamati untuk
mengidentifikasi kemungkinan insiden. Contoh signature adalah sebagai berikut:
1. Sebuah usaha telnet dengan username “root”, yang merupakan
pelanggaran terhadap kebijakan keamanan organisasi.
2. Sebuah e-mail dengan subjek “gambar gratis!” dan nama filie lampiran
“freepics.exe”, ynang merupakn karakteristik dari bentuk yang dikenal
dari malware.
Deteksi yang bebasis signature sangant efektif dalam mendeteksi
ancaman yang telah dikenal tetapi sebagian besar tidak efektif dalam mendeteksi
ancaman yang belum diketahui sebelumnya. Sebagai contoh, jika seorang
penyerang mengubah nama malware dalam contoh sebelumnya menggunakan
nama file “freepics2.exe”, dan sistem akan mencari file dengan nama
“freepics.exe” maka file “freepics.exe” tidak akan terdeteksi.
Keunggulan dari metode pendeteksian ini adalah memiliki tingkat
akurasi yang tinggi dalam mengenali suatu ancaman yang telah dikenal.
Disamping itu terdapat kelemahannya yakni pola-pola serangan baru rentan lolos
dari pendeteksian sistem, maka untuk menanggulangi kelemahan ini, database
sistem yang berisikan informasi-informasi serangan yang telah teridentifikasi
harus terus diperbaharui.
2.4.2 Anomaly-Based Detection
Anomal-based detection adalah proses membandingkan suatu kondisi
aktivitas yang dianggap normal terhadap kejadian yang diamati untuk
mengidentifikasi adanya penyimpangan yang signifikan (Scarfone & Mell, 2010).
Sebuah IDS yang berbasis deteksi anomaly akan memiliki suatu baseline yang
dapat mewakili keadaan normal dari suatu jaringan. Baseline ini berisikan
16
informasi hal-hal seperti pengguna, host, koneksi jaringan atau aplikasi. Baseline
dikembangkan dengan memantau karakteristik suatu aktifitas tertentu selama
beberapa periode waktu. sebagai contoh, sebuah baseline pada suatu jaringan
yang menunjukkan bahwa rata-rata penggunaan bandwidth jaringan selama jam
kerja untuk aktifitas web sebesar 13%. Kemudian IDS akan menggunakan metode
statistik untuk membandingkan karakteristik kegiatan saat ini dengan threshold
(ambang batas) dari baseline, jika nilai yang diperoleh melebihi threshold dari
baseline yang ditetapkan maka sistem akan mendeteksi adanya anomali dalam
jaringan.
Keunggulan dari metode deteksi ini adalah efektif dalam mendeteksi
ancaman yang tidak diketahui sebelumnya. Misalnya, komputer terinfeksi dengan
jenis baru dari malware, namun metode ini memiliki false alarm yang cukup besar
serta diperlukannya kemampuan analisis yang baik untuk menentukan baseline
yang tepat (Scarfone & Mell, 2010).
2.4.3 Packet Header Anomaly Detector (PHAD)
Packet Header Anomaly Detector (PHAD) adalah pendekatan berbasis
anomali yang berbeda dari sistem anomali deteksi berbasisi jaringan lainnya
karena dua alasan. Pertama, memodelkan protokol daripada perilaku pengguna
karena sebagian besar serangan mengeksploitasi implementasi protokol bug dan
hanya dapat dipahami dengan mendeteksi masukan yang tidak biasa dan output.
Kedua, menggunakan model berbasis waktu, dengan asumsi perubahan cepat
dalam waktu singkat waktu dalam statistik jaringan. PHAD mengurangi tingkat
alarm palsu dengan menandai hanya anomali pertama sebagai alarm.
Untuk menerapkan pemodelan berbasis waktu untuk anomali deteksi
dengan pelatihan eksplisit dan periode uji, skor anomali dihitung dengan
menggunakan formula sebagai berikut:
T = tn / r …………………… (1)
dimana,
n = jumlah paket termasuk field atribut terkait di mana nilai abnormal dicari.
17
r = nomor nilai diterima sebagai normal (dihitung selama periode pelatihan).
t = adalah waktu sejak anomali terakhir.
Dalam hal ini, model nilai normal adalah nilai-nilai yang terlihat pada saat
pelatihan (training). Penyimpangan dari nilai-nilai ini terdeteksi pada fase
pengujian (testing).
Misalnya, kita diberi urutan pelatihan dan pengujian berikut: pelatihan
(waktu 0-20): 000000000000000111122, dan uji (waktu 21-27): 0122334. Selama
pelatihan, himpunan nilai normal {0 , 1 , 2} dicatat. Ukuran dari himpunan ini, r ,
adalah 3 dan jumlah pengamatan, n , adalah 21. Jika pengamatan dilakukan pada
interval waktu satuan mulai pada 0, maka anomali terakhir dalam pelatihan ''2"
pada waktu ke-19. Nilai-nilai ''3", ''3", dan ''4" pada waktu 25, 26, dan 27 dalam
pengujian adalah anomali karena mereka tidak ada pada training set.
- Skor anomali pertama dari ''3" adalah tn/r = (25 - 19) 21/3 = 42
- Skor anomali kedua dari ''3" adalah tn/r ( 26 - 25 ) 21/3 = 7
- Skor anomali dari ''4" adalah tn/r ( 27 - 26 ) 21/3 = 7
Skor anomali ''0", ''1" , dan ''2" adalah 0 karena nilai-nilai terjadi setidaknya sekali
dalam pelatihan. Rerata anomali dari sebuah contoh dengan lebih dari satu atribut
anomali adalah ∑tn / r, dimana penjumlahan adalah atas atribut anomali
2.4.4 Atribut yang digunakan oleh PHAD untuk deteksi anomali.
PHAD menghitung skor anomali untuk setiap paket dan tidak membuat
perbedaan antara lalu lintas masuk dan keluar. Ini model 33 atribut yang sesuai
dengan bidang header paket dengan 1-4 byte. Fields yang lebih kecil dari satu
byte (seperti TCP flags) digabungkan menjadi satu byte. Fields yang lebih besar
maka empat byte (seperti enam alamat Ethernet byte) dibagi. Atribut adalah
sebagai berikut: Ethernet header, header IP, TCP header, UDP header,
dan ICMP Header.
18
Gambar 2.6 Atribut Packet Header Anomaly Detector (PHAD)
(Sumber: Laskov)
2.5 SNORT
Martin Roesch, seorang insinyur perangkat lunak yang bekerja pada topik
keamanan komputer, mengembangkan Snort pada tahun 1990 untuk mendeteksi
serangan yang menargetkan jaringan rumahnya. Snort yang cepat, signature-
based dan open source IDS. Ini menghasilkan alarm menggunakan aturan
penyalahgunaan (misuse) yang ditetapkan sebelumnya. Menggunakan tcpdump
file berformat biner atau file teks biasa untuk menangkap paket jaringan. tcpdump
adalah sebuah program perangkat lunak yang menangkap paket jaringan dari
jaringan komputer dan menyimpannya dalam file tcpdump-formatted. Snort
merupakan berbasis aturan dan memiliki bahasa untuk mendefinisikan aturan
baru. Snort adalah sebuah proyek open-source dan memiliki pembuatan arsitektur
memungkinkan untuk mengintegrasikan fungsionalitas baru pada saat kompilasi.
Snort memiliki beberapa komponen yang tiap komponennya mempunyai
tugas masing-masing. Pada saat ada paket network yang melewati Ethernet di
tempat snort dipasang, maka ada beberapa hal yang dilalui:
1) Packet capture library (libcap)
Packet capture library akan memisahkan paket data yang melalui ethernet
card untuk selanjutnya digunakan oleh snort.
2) Packet decoder
Packet decoder mengambil data di layer 2 yang dikirim dari Packet
capture library. Pertama ia akan memisahkan data link (seperti ethernet,
19
Token Ring, 802.11) kemudian protocol IP dan selanjutnya paket TCP dan
UDP. Setelah pemisahan data selesai, Snort telah memiliki informasi
protokol yang dapat diproses lebih lanjut.
3) Preprocessor plug-ins
Selanjutnya akan dilakukan analisis, paket akan melewati sejumlah
preprocessor. Langkah ini bertujuan menyelidiki dan pengolahan paket-
paket sebelum dilewatkan ke detection engine. Setiap preprocessor lain
memeriksa paket untuk berbeda atribut dan membuat keputusan untuk
melewatkan paket ke mesin deteksi tanpa membuat modifikasi,
memodifikasi dan kemudian menyerahkannya pada detection engine atau
tidak melewatkan dan menghasilkan peringatan untuk paket.
4) Detection Engine
Merupakan jantung dari Snort. Paket yang datang dari packet decoder
akan diuji dan dibandingkan dengan rule yang telah ditetapkan
sebelumnya.
5) Output plug-ins
Output yang dihasilkan berupa report dan alert. Ada banyak variasi output
yang dihasilkan snort, seperti teks (ASCI), XML, syslog, tcpdump, binary
format atau database (MySQL, MsSQL, PostgreSQL, dsb)
Sebuah ilustrasi pengolahan paket Snort ditunjukkan pada Gambar 2.7
20
Gambar 2.7 Aliran paket pada Snort
(Sumber: Aydn et all, 2009)
2.6 Trafik Baseline
Aktivitas trafik jaringan satu dengan lainnya tentunya berbeda satu
dengan lainnnya, dimana perbedaan ini dipengaruhi oleh beberapa faktor.
Beberapa faktor dapat berpengaruh pada nilai yang dihasilkan untuk dijadikan
sebagai baseline. Beberapa faktor dapat berpengaruh pada nilai yang dihasilkan
untuk dijadikan sebagai baseline adalah (Flickenger & Team, 2007):
1. Kapasitas dari koneksi internet.
2. Jumlah pengguna yang memiliki akses ke jaringan.
3. Kebijakan social (pengisian byte, kuota, dll).
4. Jumlah, jenis dan tingkat layanan yang ditawarkan.
21
5. Kesehatan jaringan (adanya virus, broadcast yang berlebihan, routing
loops, relay buka email, dll).
6. Kompetensi pengguna komputer.
7. Lokasi dan konfigurasi struktur control (firewall, server proxy, cache,
dan lain sebagainya).
2.6.1 Membangun Baseline
Baseline adalah tindakan pengukuran dan penilaian kinerja dari jaringan
berdasarkan kondisi real-time. Untuk membangun suatu baseline dibutuhkan
adanya uji coba dan pelaporan dari konektivitas secara fisik, penggunaan jaringan
yang normal, penggunaan protokol, puncak penggunaan jaringan dan rata-rata
penggunaan troughput jaringan (Flickenger & Team, 2007). Ketika baseline telah
dibangun, adanya perubahan signifikan dari parameter baseline dapat
mengindikasikan adanya masalah atau masalah potensial yang sedang atau akan
terjadi pada jaringan, dimana situasi ini dapat mengindikasikan terdapatnya
anomaly dalam jaringan.
Misalnya, bahwa suatu jaringan menunjukkan tanda-tanda menurunnya
kinerja seperti akses internet, dan penyebabnya masih belum diketahui.
Untungnya, sistem telah dilengakapi dengan kemampuan untuk menyimpan
informasi broadcast dalam bentuk grafik sebagai persentase dari lalu lintas
jaringansecara keseluruhan. Jika grafik ini menunjukkan peningakatan mendadak
dalam jumlah lalu lintas broadcast, hal ini dapat mengindikasikan bahwa jaringan
mungkin telah terinfeksi virus. Grafik dan angka dari baseline juga berguna ketika
menganalisi efek perubahan yang dibuat pada jaringan. Percobaan dapat
dilakukan dengan melakukan perubahan pada nilai baseline dan melihat hasilnya
apakah perubahan yang dilakukan telah menyelesaikan masalah atau malah
memperburuk.
Kondisi normal dari jaringan bisa juga dilihat dari kinerja dari perangkat
jaringan seperti dengan mengamati penggunaan RAM atau CPU server sebagai
salah satu perangkat jaringan meyediakan layanan penting yang harus selalu
tersedia. Server menerima dan merespon permintaan dari mesin client. Oleh
22
karena itu, server harus memiliki kemampuan hardware yang cukup untuk
mengakomodasi beban kerja. Ini berarti harus memiliki RAM yang memadai
penyimpanan dan pengolahan kekuatan untuk mengakomodasi permintaan client.
Jika tidak, server akan memakan waktu lebih lama untuk bertindak atau kasus
terburuk, mungkin tidak mampu menanggapi sama sekali. Karena sumber daya
perangkat terbatas, adalah penting untuk menjaga melacak bagaimana sumber
sistem yang digunakan. Jika server inti (seperti proxy server atau email server)
kewalahan oleh permintaan, waktu akses menjadi lambat. Hal ini sering dirasakan
oleh pengguna sebagai masalah jaringan.
Dalam menentukan nilai baseline dari suatu jaringan komputer, hal yang
perlu diperhatikan adalah waktu dari pengambilan baseline serta kondisi jairngan
pada saat nilai baseline diambil. Waktu pengambilan inforamsi baseline akan
berpengaruh pada informasi dari kondisi jaringan yang dapat dikatakan “normal”.
Inforamsi baseline yang diperoleh pada rentang waktu jaringan yang penuh
dengan trafik jaringan dibandingkan pada saat jaringan sepi dengan data trafik,
tentunya akan menghasilkan informasi mengenai kondisi “normal” yang berbeda.
Tujuan awal dari seorang network administrator dalam membangun
baseline adalah untuk mengetahui kinerja dari jaringan serta dasar awal dalam
mengidentifikasi adanya gangguan melalui adanya perubahan atau
ketidaknormalan berdasarkan informasi baseline yang telah dibangun.
Gambar 2.8 Periodisasi baseline
Pada Gambar 2.8, meskipun sudah mempunyai informasi trafik yang dapat
dijadikan sebagai baseline, tetapi tidak menjamin baseline ini akan sesuai untuk
setiap kondisi jaringan mengingat kondisi jaringan komputer yang dinamis, maka
dari itu diperlukan suatu prosses training dan testing secara berkelanjutan. Proses
training adalah tahapan dimana pengumpulan informasi-informasi trafik jaringan,
23
kemudian informasi yang terkumpul akan dianalisis untuk mendapatkan pola dari
trafik jaringan pada rentang waktu informasi diambil. Pada proses training ini,
kemajemukan data yang diperoleh sebagai akibat dari kondisi jaringan yang
dinamis akan memberikan keberagaman informasi baseline sesuai dengan kondisi
karakteristik dari jaringan.
Proses testing adalah tahapan dimana informasi dari baseline yang telah
diperoleh pada tahap training akan diuji kriterianya. Kinerja yang dimaksud
adalah sejauh mana informasi threshold dari suatu kondisi yang dianggap illegal
dalam jaringan yang dijadikan sebagai baseline, mampu menunjukkan atau
mendeteksi informasi-informasi tersebut manakala kegiatan ilegal tersebut terjadi
pada jaringan. Terdeteksinya suatu aktivitas illegal akan ditunjukan dari
pelanggaran terhadap informasi threshold pada baseline, akan tetapi pelanggaran
ini bisa disebabkan dari aktivitas-aktivitas jaringan yang bukan seharusnya
digolongkan sebagai masalah atau ancaman, hal ini biasa terjadi disebabkan
informasi dari baseline yang belum akurat dalam mendeteksi aktivitas yang bukan
serangan pada kondisi jaringan yang dinamis.
2.6.2 Analisis Threshold
Menentukan nilai threshold merupaka suatu keharusan untuk membantu
sistem deteksi intrusi (IDS) dalam membuat suatu keputusan yang baik dalam
mengidentifikasi atau mendeteksi adanya sebuah serangan pada jaringan
(Stamford, 2002). Sangat sulit untuk menetapkan suatu nilai threshold yang tepat
untuk membedakan antara suatu aktivitas normal dan aktivitas abnormal pada
jaringan. Memilih nilai threshold yang tidak tepat akan memberikan dampak
munculnya terlalu banyak false alarm terutama untuk nilai threshold yang terlalu
rendah atau nilai threshold yang terlalu tinggi, dimana hal ini akan mengakibatkan
suatu aktivitas serangan gagal terdeteksi sebagai serangan tetapi dianggap sebagai
aktivitas normal. Bagaimanapun memilih threshold yang sesuai sangatlah penting
untuk medeteksi aktivitas serangan, khususnya serangan dengan karakteristik fast
attack.
24
2.7 Denial of Service (DoS)
Serangan Denial Of Service (Dos) bisa dideskripsikan sebagai suatu
serangan yang yang menghabisakan resource dari sebuah komputer atau jaringan
sehingga tidak mampu menyediakan pelayanan secara normal (Douligeris &
Serpanos, 2007). Dampak dari serangan DoS akan mulai terasa ketika pengguna
legal jaringan melakukan akses ke komputer atau ke sumber daya jaringan namun
terblokir atau sulit diakses dikarenakan adanya tindakan illegal yang dilakukan
oleh pengguna lain.
Target umum dari serangan DoS adalah bandwidth atau konektifitas
jaringan (Douligeris & Serpanos, 2007). Ketika targetnya adalah bandwidth dari
jaringan, penyerang akan membanjiri jaringan dengan sejumlah paket data untuk
menghabiskan ketersedian bandwidth yang ada. Sehingga pengguna legal jaringan
tidak mampu menggunakan layanan dari sistem karena kurangnya ketersediaan
bandwidth.
2.7.1 Tipe Serangan Denial of Service (DoS)
Serangan DoS dapat dikatagorikan kedalam lima katagori berdasarkan
tingkat protokol serangan, seperti yang diilustrasikan pada Gambar 2.9:
Gambar 2.9 Klasifikasi serangan Denial of Service (DoS)
(Sumber: Douligeris & Serpanos, 2007)
1. Serangan DoS pada level perangkat jaringan. Serangan yang termasuk
dalam katagori ini adalah serangan yang terjadi akibat terdapatnya celah
keamanan baik yang terdapat dalam software maupun hardware
perangkat jaringan.
2. Serangan DoS pada level sistem operasi, serangan mmemanfaatkan
protokol yang digunakan dalam sistem operasi. Contohnya serangan
25
ping-of-death yang memanfaatkan protokol Internet Control Message
Protocol (ICMP).
3. Serangan DoS pada level Application-based, menggunakan celah
keamanan (bug) yang terdapat pada suatu aplikasi untuk mencari
ketersediaan sumber daya dari sistem.
4. Serangan data flooding, penyerang akan meningkatkan penggunaan
bandwidth suatu jaringan sampai pada batas limitnya dengnan
mengirimkan sejumlah besar paket data ke dalam jaringan.
5. Serangan berdasarkan fungsi protokol, penyerang umumnya
memanfaatkan keunggulan dari suatu protokol standar jaringan, seperti
pemalsuan alamat IP ketika melakukan serangan DoS.
2.8 Indikator Performa sebuah Intrusion Detction System (IDS)
Langkah pertama dalam testing metode IDS adalah mengidentifikasi objek
performa untuk IDS tersebut. Berikut ini adalah objek-objek performa tersebut
(Puketza, 1996):
1. Kemampuan deteksi: untuk setiap serangan dalam range yang diketahui
sebagai serangan, IDS harus dapat membedakan serangan tersebut dari
perilaku normal.
2. Penggunaan Sumber Daya yang efisien: IDS harus dapat berfungsi tanpa
menggunakan terlalu banyak sistem sumber daya, seperti memori utama,
waktu komputasi dan tempat penyimpanan.
top related