penerapan easy intrusion detection system...
Post on 04-Mar-2018
217 Views
Preview:
TRANSCRIPT
PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS)
SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR
SISTEM JARINGAN
(STUDI KASUS : PT. PLN (PERSERO) DISTRIBUSI JAKARTA RAYA
DAN TANGERANG)
IMAM SUTANTO
205091000057
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI
SYARIF HIDAYATULLAH
JAKARTA
2010
i
PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS)
SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR
SISTEM KEAMANAN JARINGAN
(Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN
TANGERANG)
Oleh :
Imam Sutanto
NIM 205091000057
Skripsi
Sebagai Salah Satu Syarat untuk Memperoleh Gelar
Sarjana Komputer
Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI
SYARIF HIDAYATULLAH JAKARTA
JAKARTA
2010 M / 1431 H
ii
PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS)
SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR
SISTEM KEAMANAN JARINGAN
(Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN
TANGERANG)
Skripsi
Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer
Pada Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta
Oleh :Imam Sutanto
NIM. 205091000057
Menyetujui,
Pembimbing I Pembimbing II
Viva Arifin, MMSI Wahyudi, S.Si, MTNIP. 19730810 200604 2 001 NIP.19760904 200910 1 001
Mengetahui,
Ketua Program Studi Teknik Informatika
Yusuf Durachman, M.Sc, MITNIP. 19710522 200604 1 002
iii
LEMBAR PENGESAHAN UJIAN
Skripsi yang berjudul ”Penerapan Easy Intrusion Detection System (EASYIDS)
Sebagai Pemberi Peringatan Dini Kepada Administrator Sistem Keamanan
Jaringan (Studi Kasus : PT. PLN (Persero) Distribusi Jakarta Raya dan
Tangerang)” telah diuji dan dinyatakan lulus dalam sidang Munaqosyah, Fakultas
Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta pada
hari Rabu, 23 Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk
memperoleh gelar Sarjana Strata Satu (S1) Jurusan Teknik Informatika.
Jakarta, Juni 2010
Menyetujui, Penguji I Penguji II
Herlino Nanang, MT Victor Amrizal, M.KomNIP. 19731209 200501 1 002 NIP. 150411288
Dosen Pembimbing I Dosen Pembimbing II
Viva Arifin, MMSI Wahyudi, S.Si, MTNIP. 19730810 200604 2 001 NIP. 19760904 200910 1 001
Mengetahui,
Dekan Fakultas Sains dan Teknologi Ketua Prodi Teknik Informatika
Dr. Syopiansyah Jaya Putra, M.Sis Yusuf Durachman, M.Sc, MITNIP. 19680117 200112 1 001 NIP. 19710522 200604 1 002
iv
LEMBAR PERNYATAAN
DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR
HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI
SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU
LEMBAGA MANAPUN.
Jakarta, Juni 2010
Imam Sutanto NIM. 205091000057
vi
KATA PENGANTAR
Puji syukur penulis panjatkan kehadirat Allah SWT, karena berkat rahmat
dah ridhonyalah penulis dapat menyelesaikan Skripsi yang berjudul
Pengembangan Intruder Detection System (IDS) Sebagai Solusi Keamanan
Jaringan (Studi Kasus : PT.PLN (Persero) Distribusi Jakarta Raya dan Tangerang).
Skripsi ini penulis ajukan untuk memenuhi salah satu syarat mata kuliah program
studi S1 Teknik Informatika Fakultas Sains dan Teknologi, UIN Syarif
Hidayatullah Jakarta.
Pada kesempatan ini, penulis ingin mengucapkan terima kasih sebesar-
besarnya atas bimbingan dan pengarahan yang diberikan pada penulis selama
menyusun skripsi ini. Oleh karena itu, izinkanlah penulis menyampaikan ucapan
terima kasih kepada :
1. Bapak Dr.Syopiansyah Jayaputra, M.Sis, Dekan Fakultas Sains dan Teknologi
Universitas Islam Negeri Syarif Hidayatullah Jakarta.
2. Bapak Yusuf Durachman, M.Sc, MIT selaku ketua Program Studi Teknik
Informatika Fakultas Sains dan Teknologi.
3. Ibu Viva Arifin, MMSI, selaku dosen Pembimbing I sekaligus selaku
Koordinator Teknis Non Reguler karena beliaulah penulis dapat menyelesaikan
skripsi ini dengan sebagaimana mestinya yang telah banyak membantu dan
membimbing penulis dalam mengerjakan skripsi ini.
vii
4. Bapak Wahyudi, S.Si, MT, selaku dosen pembimbing II yang juga banyak
membantu dan membimbing penulis dalam menyusun dan mengerjakan skripsi
ini.
5. Seluruh dosen, staff akademik TI/SI dan karyawan Universitas Islam Negeri
Syarif Hidayatullah Jakarta Fakultas Sains dan Teknologi.
6. Kepada kedua orangtua dan kedua kakak saya yaitu Hary Nughroho dan Gatot
Sujianto yang telah memberikan banyak dukungan kepada penulis. Terima
kasih atas doa, kasih sayang dan dukungannya.
7. Teman-teman TI/SI diantaranya Uswatun Hasanah, Dian Puspita Sari,
Nurmalia, Rosa Rachtyani, Husin, Firman Hairulansa, Ihsandy, Julfi Rizona,
Syahroni, Hasnul Arief, Syaifurrahman, Irma Yuliawati, dan kepada badrotul
muniroh yang selalu berdoa, memberi inspirasi, dorongan, semangat, waktu,
bantuan segala hal dan kasih buat penulis.
8. Kepada semua pihak yang telah membantu penyusunan skripsi ini yang tidak
dapat penulis sebutkan satu-persatu.
Penulis menyadari bahwa sebagai manusia tidak dapat luput dari kesalahan
dan kekurangan sehingga masih jauh dari sempurna sehingga segala saran dan
kritik akan sangat membangun demi kesempurnaan skripsi ini.
Jakarta, 23 Juni 2010
Penulis
Imam Sutanto
viii
DAFTAR ISI
Halaman Judul .................................................................................................. i
Lembar pengesahan Pembimbing ..................................................................... ii
Lembar pengesahan Ujian ................................................................................. iii
Pernyataan ......................................................................................................... iv
Abstrak .............................................................................................................. v
Kata Pengantar .................................................................................................. vi
Daftar Isi ........................................................................................................... viii
Daftar Gambar .................................................................................................. xiv
Daftar Tabel ...................................................................................................... xvii
Daftar Istilah ..................................................................................................... xviii
BAB I PENDAHULUAN
1.1 Latar belakang ........................................................................... 1
1.2 Rumusan Masalah ..................................................................... 3
1.3 Batasan Masalah ....................................................................... 4
1.4 Tujuan dan Manfaat Penelitian ................................................. 4
1.4.1 Tujuan ............................................................................. 4
1.4.2 Manfaat ........................................................................... 5
1.5 Metodologi Penelitian ............................................................... 6
ix
1.6 Sistematika Penulisan ............................................................... 7
BAB II LANDASAN TEORI
2.1 Pengertian Penerapan EasyIDS, Peringatan
Dini, Administrator Sistem, Jaringan,
Keamanan Jaringan ................................................................... 9
2.2 Model Referensi TCP/IP ........................................................... 10
2.3 User Datagram Protocol ............................................................ 11
2.4 Jenis Serangan ........................................................................... 11
2.4.1 Port Scanning ................................................................ 11
2.4.2 Teardrop ........................................................................ 12
2.4.3 Spoofing ........................................................................ 13
2.4.4 Land Attack ................................................................... 16
2.4.5 Smurf Attack.................................................................. 16
2.4.6 UDP Flood .................................................................... 17
2.4.7 Packet Interception ........................................................ 17
2.4.8 ICMP Flood .................................................................. 18
2.4.9 Traceroute ..................................................................... 19
2.5 Tujuan Keamanan Komputer .................................................... 19
2.6 Access Control .......................................................................... 20
2.7 Definisi Firewall ....................................................................... 21
x
2.7.1 Karakteristik Firewall ................................................... 21
2.7.2 Jenis-jenis Firewall ........................................................ 22
2.7.3 Firewall Check Point atau Firewall-1 ............................ 24
2.8 Intrusion Detection System ....................................................... 25
2.9 Intrusion Prevention System ..................................................... 26
2.10 Skema Analisis IDS dan IPS .................................................... 31
2.11 Prinsip Kerja IDS Pada Jaringan Internal ................................. 32
2.11.1 Memonitor Akses Database .......................................... 32
2.11.2 Melindungi E-mail Server ............................................. 34
2.11.3 Memonitor Policy Security ........................................... 34
2.12 Tujuan Penggunaan IDS ........................................................... 35
2.12.1 Tipe Intrusion Detection System (IDS) ........................ 37
2.12.1.1 Host-Based ..................................................... 41
2.12.1.2 Network-Based .............................................. 44
2.12.1.3 Distrubusi Intrusion Detection
System ............................................................ 50
2.12.1.4 Hibrid Intrusion Detection System ................ 51
2.12.1.5 Skema Analisis IDS ....................................... 53
2.13 Snort .......................................................................................... 54
2.13.1 Fitur-fitur Snort ............................................................. 55
2.13.2 Komponen Snort ........................................................... 56
xi
BAB III METODOLOGI PENELITIAN
3.1 Metode Pengumpulan Data ....................................................... 59
3.1.1 Studi Lapangan / Observasi .......................................... 59
3.1.2 Studi Pustaka atau Literatur .......................................... 60
3.1.3 Wawancara .................................................................... 61
3.2 Metode Pengembangan Sistem NDLC ..................................... 62
3.2.1 Analysis ......................................................................... 63
3.2.2 Design ........................................................................... 63
3.2.3 Simulation Prototype .................................................... 64
3.2.4 Implementation ............................................................. 64
3.2.5 Monitoring .................................................................... 64
3.2.6 Management .................................................................. 65
BAB IV HASIL DAN PEMBAHASAN
4.1 Sejarah Singkat Berdirinya PT. PLN ........................................ 67
4.2 Struktur Organisasi PT. PLN .................................................... 72
4.3 Visi dan Misi PT. PLN .............................................................. 73
4.4 Tujuan dan Sasaran PT. PLN .................................................... 73
4.5 Selayang Pandang ..................................................................... 74
4.6 Sekilas Tentang Teknologi PT. PLN ........................................ 77
4.7 Sistem Jaringan di PT. PLN ...................................................... 78
xii
4.8 Data PT. PLN ............................................................................ 78
4.9 Peta Wilayah PT. PLN .............................................................. 79
4.10 Infrakstruktur Sistem Teknologi Informasi .............................. 80
4.11 Analysis ..................................................................................... 81
4.11.1 Identify .......................................................................... 82
4.11.2 Understand .................................................................... 83
4.11.3 Analyze ......................................................................... 83
4.11.4 Report ............................................................................ 85
4.12 Design ....................................................................................... 87
4.12.1 Perancangan Topologi .................................................. 88
4.12.2 Perancangan Sistem ...................................................... 90
4.13 Simulation Prototype ................................................................ 91
4.14 Implementation ......................................................................... 92
4.14.1 Implementasi Sistem Operasi ....................................... 92
4.14.2 Impelementasi dan Konfigurasi Mesin Sensor ............. 99
4.15 Impelementation BASE ............................................................. 109
4.16 Monitoring ................................................................................. 110
4.16.1 Pengujian Fungsionalitas Komponen IDS .................... 111
4.16.2 Analisa Data BASE ....................................................... 114
4.16.3 Solusi Mengatasi Serangan Ping Attack
dan Port Scanning ......................................................... 119
xiii
4.17 Management ............................................................................... 128
BAB V PENUTUP
5.1 Kesimpulan .................................................................................. 130
5.2 Saran ............................................................................................ 131
DAFTAR PUSTAKA ...................................................................................... 132
LAMPIRAN-LAMPIRAN
xiv
DAFTAR GAMBAR
Gambar 2.1 Standar Proses IPS .................................................................... 30
Gambar 2.2 Hubungan Antara Aktivitas Jaringan Baseline dan
Anomalous ................................................................................ 32
Gambar 2.3 Host-Based IDS ........................................................................ 41
Gambar 2.4 Network-Based IDS .................................................................. 45
Gambar 2.5 Distribusi Intrusion Detection System ...................................... 51
Gambar 3.1 Tahapan NDLC ......................................................................... 62
Gambar 3.2 Diagram Metode Penelitian ...................................................... 66
Gambar 4.1 Struktur Organisasi PT. PLN .................................................... 72
Gambar 4.2 Peta Wilayah PT. PLN .............................................................. 79
Gambar 4.3 Struktur Organisasi Bidang Perencanaan .................................. 80
Gambar 4.4 Topologi Jaringan Sebelumnya ................................................. 88
Gambar 4.5 Topologi Jaringan yang Diusulkan ........................................... 89
Gambar 4.6 Proses Instalasi Sistem Operasi EasyIDS ................................. 93
Gambar 4.7 Jenis Keyboard .......................................................................... 94
Gambar 4.8 Root Password dibutuhkan Saat Login Mesin Sensor .............. 94
Gambar 4.9 Setting Time Zone ..................................................................... 95
Gambar 4.10 Format Harddisk ....................................................................... 96
Gambar 4.11 Package Installation .................................................................. 96
xv
Gambar 4.12 Instalasi Snort ............................................................................ 97
Gambar 4.13 Ekstrak Rule Snort .................................................................... 98
Gambar 4.14 Login Mesin Sensor IDS ........................................................... 98
Gambar 4.15 Setelah Login Mesin Sensor EassyIDS ..................................... 99
Gambar 4.16 Tampilan Login Web Based ke Mesin Sensor .......................... 100
Gambar 4.17 Tampilan Welcome EasyIDS .................................................... 101
Gambar 4.18 Tampilan Change Password MySQL ........................................ 102
Gambar 4.19 Tampilan Setelah Passwords Dimasukkan ............................... 102
Gambar 4.20 Tampilan Awal EasyIDS Berbasis Web GUI ........................... 103
Gambar 4.21 Snort Configuration .................................................................. 104
Gambar 4.22 Snort Network Settings ............................................................. 104
Gambar 4.23 Snort Rule Updates ................................................................... 105
Gambar 4.24 Notify Settings .......................................................................... 106
Gambar 4.25 Snort Rulesets ........................................................................... 107
Gambar 4.26 Systems Status .......................................................................... 108
Gambar 4.27 System Information ................................................................... 109
Gambar 4.28 Tampilan Halaman BASE ......................................................... 110
Gambar 4.29 Ping Attack ................................................................................ 112
Gambar 4.30 Ujicoba Nmap Client ke Mesin Sensor IDS ............................. 113
Gambar 4.31 Halaman Utama BASE ............................................................. 114
Gambar 4.32 Diagram Batang Berdasarkan Time dan Jumlah Alert ............ 116
xvi
Gambar 4.33 Tampilan Daftar Alert Berdasarkan Protokol TCP ................... 117
Gambar 4.34 Detail Profile Traffic Alert ........................................................ 119
Gambar 4.35 Memblok Client Dalam Melakukan Ping Attack ...................... 120
Gambar 4.36 Nmap Pada Mesin Client .......................................................... 121
Gambar 4.37 Grafik Dropped Packet dan Alert Per Second Snort ................. 122
Gambar 4.38 Grafik Mbits Per Second dan Kpackets Per Second Snort ....... 123
Gambar 4.39 Grafik SYN+SYN/ACK Packet Session Event Snort .............. 124
Gambar 4.40 Grafik Open Session dan Stream Event .................................... 125
Gambar 4.41 Grafik Frag Event dan Average Byte Per Packet ...................... 126
Gambar 4.42 Grafik Sistem ............................................................................ 127
Gambar 4.43 Network Graphs ........................................................................ 128
xvii
DAFTAR TABEL
Tabel 2.1 Point dan Jenis Serangan ................................................................ 19
Tabel 2.2 Perbedaan IDS dan IPS ................................................................... 30
Tabel 2.3 Perbedaan NIDS dan HIDS ............................................................ 50
Tabel 3.1 Studi Literatur ................................................................................. 60
Tabel 4.1 Spesifikasi Sistem Yang Akan Dibangun ....................................... 85
Tabel 4.2 Spesifikasi Perangkat Lunak (Software) ......................................... 86
Tabel 4.3 Spesifikasi Perangkat Keras (Hardware) ........................................ 87
Tabel 4.4 Komponen Sistem ........................................................................... 91
xviii
DAFTAR ISTILAH
BASE : Suatu aplikasi berbasis web based untuk
monitoring dan analisis alert.
Detection Engine : Menggunakan detection plugins, jika
ditemukan paket yang cocok maka snort
akan menginisialisasi paket tersebut
sebagai suatu serangan.
Decoder : Sesuai dengan paket yang di capture
dalam bentuk struktur data dan
melakukan identifikasi protokol, decode
IP dan kemudian TCP atau UDP
tergantung informasi yang dibutuhkan
Distribusi IDS : Mengatur atau arsitekstur probe dengan
menggunakan lebih dari satu NIDS.
Global Section : Mengizinkan untuk mapping file untuk
IIS Unicode, Configure alert untuk
proxy server dengan proxy_alert (jika
menggunakan proxy server) atau
konfigurasi deteksi lalu-lintas HTTP
pada nonauthorized port dengan
menggunakan detect_anomalous_traffic.
Host Based IDS : Mendeteksi serangan yang tidak dapat
dikenali oleh network-based IDS.
Host-Target Co-Location : IDS yang dijalankan pada sistem yang
akan di lindungi.
xix
Host-Target Separation : IDS diletakkan pada komputer yang
berbeda dengan yang akan di lindungi.
Hibrid IDS : Solusi network-base dan host-based IDS
yang memliki keunggulan dan manfaat
yang saling berbeda.
Inline Mode : Snort membaca, menganalisis traffic,
logging dan berinteraksi dengan firewall
untuk memblok traffic intrusi memicu.
Intruder : Orang yang melakukan penyusupan
Network Based IDS : Menampilkan network traffic untuk
beragam sistem yang akan diamati
sehingga sistem ini tidak memerlukan
perangkat lunak untuk digunakan dan
diatur pada banyak host.
Network intrusion detection mode : Snort membaca dan menganalisis traffic
menggunakan ruleset/signatures untuk
mendeteksi aktivitas intrusi dan
melakukan logging aktivitas sensor.
Nmap : Program untuk melakukan uji coba port
scanning.
Output Plugins : Merupakan suatu modul yang mengatur
format dari keluaran untuk alert dan file
logs yang bisa di akses dengan berbagai
cara, seperti console, exteren files,
database dan sebagainya.
xx
Packet Logger Mode : Snort membaca traffic dan melakukan
logging (pencatatan dan penyimpanan)
aktivitas sensor.
Pre Processors : Suatu jaringan yang mengindentifikasi
berbagai hal yang harus diperiksa seperti
Detection Engine.
Rules Files : Merupakan suatu file teks yang berisi
daftar aturan yang sintaksnya sudah
diketahui. Sintaks ini meliputi protocol,
address, output plugins dan hal-hal yang
berhubungan dengan berbagai hal. Rules
file akan selalu diperbaharui setiap ada
kejadian di dunia maya.
Server Section : Mengizinkan untuk setting HTTP server
profiles yang berbeda untuk beberapa
server yang berbeda. Konfigurasi tipe
serangan dan menormalisasikan
berdasarkan server yang ada.
Sniffer Mode : Snort membaca traffic atau paket-paket
yang berada di dalam sistem jaringan
dan menampilkan ke layar console.
Snort : Suatu perangkat lunak untuk mendeteksi
penyusup dan mampu menganalisis
paket yang melintas jaringan secara real
time traffic dan logging ke dalam
database serta mampu mendeteksi
berbagai serangan yang berasal dari luar
jaringan.
1
BAB I
PENDAHULUAN
1.1 Latar Belakang
Keamanan jaringan komputer sebagai bagian dari sebuah sistem
sangat penting untuk menjaga validitas dan integritas data serta menjamin
ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala
macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak
yang tidak berhak. Sistem pertahanan terhadap aktivitas gangguan saat ini
umumnya dilakukan secara manual oleh administrator. Hal ini
mengakibatkan integritas sistem bergantung pada ketersediaan dan kecepatan
administrator dalam merespons gangguan. Apabila gangguan tersebut
berhasil membuat suatu jaringan mengalami malfungsi, administrator tidak
dapat lagi mengakses sistem secara remote sehingga ia tidak akan dapat
melakukan pemulihan sistem dengan cepat. Intrusion Detection System (IDS)
adalah suatu perangkat lunak (software) atau suatu sistem perangkat keras
(hardware) yang bekerja secara otomatis untuk memonitor kejadian pada
jaringan komputer dan dapat menganalisis masalah keamanan jaringan.
Serangan yang terjadi terhadap jaringan komputer selalu meningkat pada
infrakstruktur keamanan perusahaan dan organisasi yang menggunakan
komputer sebagai alat bantu untuk menyelesaikan pekerjaan. Bagaimana
mendeteksi intruder yang menyerang suatu jaringan, serta bagaimana
2
mengatur Intrusion Detection System yang berfungsi sebagai level keamanan
di tingkat aplikasi setelah suatu paket melewati suatu firewall. Deteksi
penyusup adalah aktivitas untuk mendeteksi penyusup secara cepat dengan
menggunakan program khusus yang otomatis dan real-time respons. (Ariyus,
2007).
PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang merupakan
salah satu Perusahaan milik Negara yang bergerak di bidang penjualan tenaga
listrik dan pelayanan pelanggan dalam melayani pelanggan diwilayah DKI
Jakarta, Kotamadya Tangerang, Kabupaten Tangerang. PT. PLN (Persero)
Distribusi Jakarta Raya dan Tangerang saat ini sistem jaringan pada kantor
distribusi Gambir sering terjadinya serangan dari pihak dalam (internal) yaitu
serangan DDos attack. Dimana PC Router hanya dapat melihat paket apa saja
yang lewat, tetapi tidak dapat mengenali jenis serangan jika terjadi serangan
atau adanya suatu intruder dari pihak dalam maupun luar. Pada saat terjadi
serangan administrator sistem jaringan hanya mengandalkan berupa log-log
file PC Router dan firewall. Log-log file tersebut berupa text.
Disinilah fungsi EasyIDS (Easy Intrusion Detection System)
dibutuhkan. EasyIDS (Easy Intrusion Detection System) adalah sebuah
sistem yang melakukan pengawasan terhadap traffic jaringan dan
pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah
sistem jaringan. Jika terjadi serangan atau kegiatan-kegiatan yang
mencurigakan pada jaringan, maka EasyIDS akan memberikan alert
(peringatan) kepada administrator sistem jaringan.
3
Dengan demikian, pengamanan sistem firewall dan EasyIDS sangat
diperlukan bagi PT. PLN Persero Distibusi Jakarta Raya dan Tangerang
untuk mendeteksi adanya penyusup baik dari dalam maupun luar, karena itu
dibutuhkan sistem pendeteksi, sistem yang secara intensif dapat mendeteksi
terjadinya aktivitas intrusi terhadap sumber daya perusahaan. Berdasarkan
hal-hal tersebut, maka penulis tertarik mengambil topik penulisan dengan
judul Penerapan EASYIDS Sebagai Pemberi Peringatan Dini Kepada
Administrator Sistem Jaringan (Studi Kasus : PT. PLN (Persero)
Distribusi Jakarta Raya dan Tangerang).
1.2 Rumusan Masalah
Atas dasar Latar belakang dikemukakan diatas, maka rumusan
masalah yang di bahas untuk Skripsi ini adalah :
1. Bagaimana melakukan konfigurasi EasyIDS, sehingga EasyIDS yang
dapat mendeteksi adanya intrusi (penyusup) pada firewall.
2. Bagaimana menerapkan EasyIDS sehingga dapat bekerjasama dengan
firewall dalam melakukan monitoring jaringan dari serangan pihak dalam
dan luar.
4
1.3 Batasan Masalah
Sesuai dengan inti dari penulisan skripsi maka penulis akan membatasi
ruang lingkup agar penelitian lebih terarah. Dengan demikian permasalahan
penelitian ini dibatasi pada :
1. Menggunakan software open source yaitu EasyIDS.
2. Pengguna EasyIDS adalah administrator jaringan.
3. Peringatan dini untuk administrator jaringan dalam bentuk berbasis web
GUI (Grafic User Interface).
4. Sistem operasi yang digunakan untuk mesin sensor adalah Centos.
5. Hasil diperlihatkan dalam bentuk diagram batang (chart).
1.4 Tujuan dan Manfaat Penelitian
1.4.1 Tujuan
Penerapan EasyIDS yang digunakan agar dapat memberikan
alert (peringatan) kepada administrator sistem jaringan dalam
mengetahui adanya suatu intruder dari sistem jaringan PT. PLN
(Persero) Distribusi Jakarta Raya dan Tangerang.
5
1.4.2 Manfaat
a. Bagi Mahasiswa :
1. Mahasiswa mampu menerapkan EasyIDS (easy intrusion
detection system) dalam meningkatkan kualitas aspek sistem
keamanan jaringan komputer.
2. Memperluas wawasan dan memperdalam pemahaman penulis
terhadap penggunaan sistem operasi berbasis Unix yaitu Centos
dan Windows serta pemanfaatan program keamanan jaringan
berbasis open source.
3. Menerapkan ilmu yang pernah di dapat penulis di perkuliahan.
b. Bagi Institusi Perguruan Tinggi
1. Sebagai sarana pengenalan, perkembangan ilmu pengetahuan dan
teknologi dan khususnya jurusan Teknik Informatika konsentrasi
Networking di Universitas Islam Negeri Syarif Hidayatullah
Jakarta.
2. Sebagai bahan masukan dan evaluasi program Teknik Informatika
di Universitas Islam Negeri Syarif Hidayatullah Jakarta untuk
menghasilkan tenaga-tenaga terampil sesuai dengan kebutuhan.
c. Bagi Perusahaan
Dengan dapat memanfaatkan fasilitas yang ada pada
EasyIDS untuk diterapkan sebagai pemberi peringatan dini kepada
6
administrator jaringan sehingga dapat mengetahui sekiranya ada
penyusup.
1.5 Metodologi Penelitian
Metode yang digunakan penulis dalam penulisan penelitian dibagi
menjadi dua, yaitu metode pengumpulan data dan metode pengembangan
sistem.
Berikut penjelasan kedua metode tersebut :
1. Metode Pengumpulan data
Merupakan metode yang digunakan penulis dalam melakukan analisis data
dan menjadikannya informasi yang akan digunakan untuk mengetahui
permasalahan yang dihadapi.
a. Studi Lapangan
Metode pengumpulan data dengan melakukan pengamatan atau datang
langsung ke lokasi.
b. Wawancara
Metode pengumpulan data dengan melakukan wawancara adalah proses
memperoleh keterangan untuk tujuan penelitian dengan cara tanya
jawab, sambil bertatap muka antara si penanya atau pewawancara
dengan si penjawab atau responden.
7
c. Studi Pustaka atau literatur
Metode pengumpulan data melalui buku atau browsing internet yang
dijadikan sebagai acuan analisa penelitian yang dilakukan.
2. Metode Pengembangan Sistem menggunakan NDLC (Network
Development Life Cycle).
a. Analysis
b. Design
c. Simulation Prototyping
d. Implementation
e. Monitoring
f. Management
1.6 SISTEMATIKA PENULISAN
Dalam penyusunan tugas akhir ini, penulis mensajikan dalam 5 bab
yang digambarkan sebagai berikut :
BAB I PENDAHULUAN
Pada bab ini akan diuraikan tentang Latar Belakang, Permasalahan,
Tujuan dan Manfaat Penelitian, Metodologi Penelitian, Sistematika
Penulisan laporan penelitian skripsi.
BAB II LANDASAN TEORI
Pada bab ini akan diuraikan secara singkat teori yang mendukung
penyusunan dan penulisan tugas akhir ini.
8
BAB III METODOLOGI PENELITIAN
Pada bab ini akan dibahas mengenai pemaparan metode yang
penulis pakai dalam pencarian data maupun pengembangan sistem
yang dilakukan pada penelitian.
BAB IV ANALISIS DAN PEMBAHASAN
Pada bab ini akan membahas mengenai penerapan dan pengujian
sistem IDS (Intrusion Detection System) dalam mengatasi adanya
intruder.
BAB V KESIMPULAN DAN SARAN
Pada bab ini penulis memberikan kesimpulan dari apa yang telah
dibahas dalam bab-bab sebelumnya dan memberikan saran untuk
pengembangan yang lebih baik lagi.
9
BAB II
LANDASAN TEORI
2.1 Pengertian Penerapan, EasyIDS, Peringatan Dini, Administrator Sistem
Jaringan dan Keamanan Jaringan
Penerapan adalah proses, cara, perbuatan untuk menerapkan. (KBBI,
2008). EasyIDS adalah sistem deteksi intrusi yang mudah untuk diinstal dan
dikonfigurasi untuk Snort. Berdasarkan panduan instalasi Patrick Harper's
Snort dan dimodelkan setelah instalasi cd trixbox, EasyIDS dirancang untuk
keamanan jaringan Linux pemula dengan pengalaman minimal. (Patrick,
2009). Peringatan adalah nasihat untuk memperingatkan, sesuatu yang
dipakai memperingati, catatan. (KBBI, 2008). Sedangkan dini adalah awal,
lekas, diagnosis. Jadi Peringatan dini adalah suatu peringatan/catatan yang
dipakai untuk memperingatkan adanya kesalahan yang lebih awal.
Administrator Sistem Jaringan adalah orang atau tim yang
bertanggung jawab dalam administrasi dan pengelolaan sistem level pada
level root. Untuk lingkungan workstation tunggal, penggunanya adalah juga
sistem administrator dari workstation tersebut pada saat bekerja pada level
root. Seorang administrator dapat juga disebut sebagai sistem manajer atau
sistem programmer. (Doss, 2000). Sedangkan Keamanan jaringan secara
umum adalah komputer yang terhubung ke network, mempunyai ancaman
10
keamanan lebih besar daripada komputer yang tidak terhubung ke mana-
mana. (Ariyus, 2007)
2.2 Model Referensi TCP/IP
TCP/IP adalah singkatan dari Transmission Control Protocol/Internet
Protocol. Meskipun TCP/IP baru-baru ini saja menjadi protocol standard,
namun umumnya telah lebih dari 20 tahun, digunakan pertama kali untuk
menghubungkan komputer-komputer pemerintah (USA) dan sekarang telah
menjadi dasar bagi internet, jaringan terbesar dari jaringan komputer
diseluruh dunia. Pada saat ini, TCP/IP memiliki keunggulan sehubungan
dengan kompatibilitasnya dengan beragam perangkat keras dan sistem
operasi.
Tugas utama TCP adalah menerima pesan elektronik dengan panjang
sembarang dan membaginya ke dalam bagian-bagian, maka perangkat lunak
yang mengontrol komunikasi jaringan dapat mengirim tiap bagian dan
menyerahkan ke prosedur pemeriksaan bagian demi bagian. Apabila suatu
bagian mengalami kerusakan selama transmisi, maka program pengirim
hanya perlu mengulang transmisi bagian itu dan tidak perlu mengulang dari
awal.
Sedangkan Internet Protocol (IP) mengambil bagian-bagian,
memeriksa ketepatan bagian-bagian, mengalamatkan ke sasaran yang dituju
dan memastikan apakah bagian-bagian tersebut sudah dikirim dengan urutan
11
yang benar. IP memiliki informasi tentang berbagai skema pengalamatan
yang berbeda-beda. (Wahana, 2003).
2.3 User Datagram Protocol (UDP)
Menurut Ariyus (2007). Sebagai tambah dari TCP, terdapat satu
protocol level transport lain yang umum digunakan sebagai bagian dari suite
protocol TCP/IP yang disebut dengan User Datagram Protocol (UDP). UDP
menyediakan layanan nirkoneksi untuk prosedur-prosedur pada level aplikasi.
Pada dasarnya UDP merupakan suatu layanan protokol yang kurang bisa
diandalkan karena kurang memberikan perlindungan dalam pengiriman dan
duplikasi data. Datagram merupakan suatu paket switching, sebuah paket
yang terpisah-pisah dari paket lain yang membawa informasi yang memadai
untuk routing dari Data Terminal Equipment (DTE) sumber ke DTE tujuan
tanpa harus menetapkan koneksi antara DTE dan jaringan.
2.4 Jenis Serangan
Menurut Ariyus (2007). Jenis dan serangan yang mengganggu
jaringan komputer beraneka macam. Serangan-serangan yang terjadi pada
sistem komputer di antaranya adalah :
2.4.1 Port Scanning : merupakan suatu proses untuk mencari dan membuka
port pada suatu jaringan komputer. Dari hasil scanning akan didapat
12
letak kelemahan sistem tersebut. Pada dasarnya sistem port scanning
mudah untuk dideteksi, tetapi penyerang akan menggunakan berbagai
metode untuk menyembunyikan serangan. Sebagai contoh, banyak
jaringan tidak membuat file log koneksi, sehingga penyerang dapat
mengirimkan initial packet dengan suatu SYN tetapi tidak ada ACK,
dan mendapatkan respons kembali (selain SYN jika suatu port
terbuka) dan kemudian berhenti di port tersebut. Hal ini sering disebut
dengan SYN scan atau half open scan. Walaupun tidak mendapatkan
log, sebagai contoh, mungkin akan berakhir sebagai serangan denial
service attack pada host atau device lain yang terhubung dengan
jaringan atau port untuk koneksi terbuka.
Penyerang akan mengirimkan paket lain pada port yang masih
belum ada pada jaringan tersebut tetapi tidak terjadi respons apapun
pada file log, kesalahan file atau device lainnya. Beberapa kombinasi
dari flag selain SYN dengan sendirinya dapat di gunakan untuk tujuan
port scanning. Berbagai kemungkinan yang kadang disebut dengan
Christmas tree (beberapa jaringan decive menampilkan option seperti
Christmas tree) dan null yang akan memberikan efek kepada jaringan
TCP/IP, sehingga protokol TCP/IP akan mengalami down (out of
service), banyak tool yang ada yang bisa membuat suatu protokol
TCP/IP menjadi crash atau tidak bisa berfungsi sebagaimana mestinya.
2.4.2 Teardrop : merupakan suatu teknik yang dikembangkan dengan
mengeksploitasi proses disassembly-reassembly paket data. Dalam
13
jaringan internet seringkali data harus dipotong kecil-kecil untuk
menjamin reliabilitas dan proses multiple akses jaringan. Potongan
paket data ini kadang harus dipotong ulang menjadi lebih kecil lagi
pada saat disalurkan melalui saluran Wide Area Network (WAN) agar
pada saat melalui saluran WAN tidak reliable maka proses pengiriman
data itu menjadi reliable. Pada proses pemotongan data paket yang
normal, setiap potongan diberi informasi offset data yang kira-kira
berbunyi ”potongan paket ini merupakan potongan 600 byte dari total
800 byte paket yang dikirim”. Program teardrop akan memanipulasi
offset potongan data sehingga akhirnya terjadi overlapping antara
paket yang diterima di bagian penerima setelah potongan-potongan
paket ini disassembly-reassembly. Seringkali overlapping ini
menimbulkan sistem yang crash, hang dan reboot diujung sebelah
sana.
2.4.3 Spoofing : adalah suatu serangan teknis yang rumit yang terdiri dari
beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja
dengan menipu komputer, seolah-olah yang menggunakan komputer
tersebut adalah orang lain. Hal ini terjadi karena design flaw (salah
rancang). Lubang keamanan yang dapat dikategorikan ke dalam
kesalahan desain adalah desain urutan nomor (sequence numbering)
dari paket TCP/IP. Kesalahan ini dapat dieksploitasi sehingga timbul
masalah.
14
IP Spoofing melakukan aktivitasnya dengan menulis ke raw
socket. Program dapat mengisi header field dari suatu paket IP apapun
yang diingini. Dalam sistem linux, user yang melakukan proses ini
memerlukan ijin dari root. Karena routing hanya berdasarkan IP
destination address (tujuan), maka IP source address (alamat IP
sumber) dapat diganti dengan alamat apa saja. Dalam beberapa kasus,
attacker menggunakan satu IP source address yang spesifik pada
semua paket IP yang keluar untuk membuat semua pengembalian
paket IP dan ICMP message ke pemilik address tersebut untuk
menyembunyikan lokasi mereka pada jaringan. Pada bahasan Smurf:
ICMP Flood memperlihatkan serangan dengan menggunakan IP
spoofing untuk membanjiri korban dengan ECHO REQUEST.
Filterisasi yang ditempatkan pada router dapat mengeliminasi
secara efektif IP Spoofing. Router mencocokkan IP source address
dari masing-masing paket keluar terhadap IP address yang ditetapkan.
Jika IP source address ditemukan tidak cocok, paket dihilangkan.
Sebagai contoh, router di MIT, rute paket keluar hanya dari IP source
address dari subnet 18.0.0.0/8. Walaupun IP Spoofing adalah suatu
senjata bagi attacker untuk melakukan penyerangan, dalam banyak
kasus penggunaan IP spoofing ini oleh attacker hanya sebatas dalam
pemakaian sementara IP address tersebut. Banyak attacker dilibatkan
dalam suatu serangan, masing-masing operasi dari jaringan yang
berbeda, sehingga kebutuhan IP spoofing menjadi berkurang.
15
Filterisasi Ingress dan Egress membuat seorang attacker lebih sulit
melakukan serangan, walaupun cara ini belum menjamin dapat
mengatasi IP spoofing.
Sebuah host memalsukan diri seolah-olah menjadi host lain
dengan membuat paket palsu setelah mengamati urutan paket dari host
yang hendak di serang. Bahkan dengan mengamati cara mengurutkan
nomor paket bisa dikenali sistem yang digunakan. Ada tiga jawaban
yang tidak dipedulikan oleh penyerang pada kasus IP spoofing ke
anataran adalah :
1. Penyerang bisa menginterupsi jawaban dari komputer yang dituju :
Jika suatu penyerang pada suatu tempat ke antara jaringan yang
dituju dengan jaringan yang dipakai penyerang, dengan ini
penyerang akan bisa melihat jawaban yang dari komunikasi suatu
jaringan tanpa diketahui oleh orang lain. Hal ini merupakan dasar
dari hijacking attack.
2. Penyerang tidak harus melihat jawaban dari komputer yang dituju :
Penyerang kadang-kadang tidak begitu memperdulikan jawaban apa
yang diberikan suatu komputer korban. Penyerang bisa membuat
perubahan yang diinginkan dari komputer korban tanpa
memperdulikan jawaban atau tanggapan dari jaringan tersebut.
3. Penyerang tidak ingin jawaban, dan pokok dari suatu serangan
untuk membuat jawaban ke tempat lain : Beberapa serangan bisa
16
membuat respons yang diberikan tidak masuk ke komputer
penyerang. Hal ini penyerang tidak ingin tahu respons apa yang
diberikan oleh komputer korban. Jadi respons atau jawaban akan
dikirim secara otomatis ke komputer lain sehingga penyerang bisa
dengan leluasa menjalankan misinya karena penyerang yang dikenal
oleh komputer korban adalah komputer lain.
2.4.4 Land Attack : merupakan serangan kepada sistem dengan
menggunakan program yang bernama land. Apabila serangan yang
ditujukan pada sistem Windows 95, maka sistem yang tidak diproteksi
akan menjadi hang (dan bisa keluar layar biru). Demikian pula apabila
serangan diarahkan ke beberapa jenis UNIX versi lama, maka sistem
akan hang. Jika serangan diarahkan ke sistem Windows NT, maka
sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk
beberapa saat sehingga sistem seperti macet. Dapat dibayangkan
apabila hal ini dilakukan secara berulang-ulang. Serangan land ini
membutuhkan nomor IP dan nomor port dari server yang dituju. Untuk
sistem berbasis Windows, port 139 merupakan jalan masuknya
serangan.
2.4.5 Smurf Attack : Serangan jenis ini biasanya dilakukan dengan
menggunakan IP spoofing, yaitu mengubah nomor IP dari datangnya
request. Dengan menggunakan IP spoofing, respons dari ping tadi di
alamatkan ke komputer yang IP-nya di-spoof. Akibatnya, komputer
tersebut akan menerima banyak paket. Hal ini dapat mengakibatkan
17
pemborosan penggunaan (bandwidth) jaringan yang menghubungkan
komputer tersebut.
2.4.6 UDP Flood : Pada dasarnya mengaitkan dua sistem tanpa di sadari.
Dengan cara spoofing, User Datagram Protocol (UDP) flood attack
akan menempel pada servis UDP chargen disalah satu mesin, yang
untuk keperluan “percobaan” akan megirimkan sekelompok karakter
ke mesin lain, yang diprogram untuk meng-echo setiap kiriman
karakter yang diterima melalui servis chargen. Karena paket UDP
tersebut dispoofing diantara kedua mesin tersebut maka yang terjadi
adalah banjir tanpa henti kiriman karakter yang tidak berguna di antara
kedua mesin tersebut. Untuk menanggulangi UDP flood, dapat
mendisable semua servis UDP disemua mesin jaringan, atau yang
lebih mudah adalah dengan memfilter pada firewall semua servis UDP
yang masuk.
2.4.7 Packet Interception : Membaca suatu paket disaat paket tersebut
dalam perjalanan disebut dengan packet sniffing. Ini adalah suatu cara
penyerang untuk mendapatkan informasi yang ada didalam paket
tersebut. Ada baiknya suatu paket yang akan dikirim di enkripsi
terlebih dahulu sehingga penyerang mengalami kesulitan untuk
membuka paket tersebut. Untuk dapat membaca suatu paket yang
sedang lewat suatu jaringan, penyerang berusaha untuk mendapatkan
paket yang diinginkan dengan berbagai cara. Yang paling mudah bagi
penyerang adalah dengan mendapatkan kontrol lalu-lintas jaringan,
18
bisa dengan menggunakan tool yang disediakan untuk melakukan
serangan yang banyak tersedia diinternet. Tool ini akan mencari dan
dengan mudah memanfaatkan kelemahan dari protokol yang ada.
2.4.8 ICMP Flood : Seorang penyerang melakukan eksploitasi sistem
dengan tujuan untuk membuat suatu target host menjadi hang, yang
disebabkan oleh pengiriman sejumlah paket yang besar ke arah target
host. Exploting sistem ini dilakukan dengan mengirimkan suatu
command ping dengan tujuan broadcast atau multicast dimana si
pengirim dibuat seolah-olah adalah target host. Hal inilah yang
membuat target host menjadi hang dan menurunkan kinerja jaringan.
Bahkan hal ini dapat mengakibatkan terjadinya denial of service.
2.4.9 Traceroute : Suatu tool (alat bantu) yang digunakan untuk memetakan
konfigurasi suatu target adalah dengan menggunakan sebuah command
sederhana yang dikenal dengan traceroute. Kegunaannya adalah untuk
mengirimkan secara serempak sebuah urutan paket dengan
menambahkan nilai TTL (Time to Live). Ketika sebuah router lanjutan
menerima sebuah paket terusan maka mengurangi nilai TTL sebelum
meneruskannya ke router berikutnya. Pada saat itu jika nilai TTL pada
sebuah paket mencapai nilai nol maka pesan time exceeded akan
dikirim balik ke host asal. Dengan mengirimkan paket dengan nilai
TTL 1 akan memperbolehkan router pertama di dalam jalur paket
untuk mengembalikan pesan time exceeded yang akan mengizinkan
penyerang untuk mengetahui IP address router pertama. Paket
19
berikutnya kemudian dikirimkan dengan menambahkan nilai 1 pada
TTL, sehingga penyerang akan mengetahui setiap loncatan antara host
asal dengan host target.
Tabel 2.1 Point dan Jenis Serangan
(
(Sumber : Ariyus, 2007)
2.5 Tujuan Keamanan Komputer
Menurut Ariyus (2007), Mengapa Intrusion Detection Sistem (IDS)
ditambahkan untuk meningkatkan keamanan komputer? Pada dasarnya
tujuan dari keamanan komputer, yang disingkat dengan CIA, yang
merupakan singkatan dari :
1. Confidentiality : Merupakan usaha untuk menjaga informasi dari orang
yang tidak berhak mengakses. Confidentiality biasanya berhubungan
dengan informasi yang diberikan ke pihak lain.
2. Integrity : Keaslian pesan yang dikirim melalui sebuah jaringan dan dapat
dipastikan bahwa informasi yang dikirim tidak di modifikasi oleh orang
yang tidak dalam perjalanan informasi tersebut.
Point Serangan
Internal User External User
Denial of Service Menganggu Menganggu
Increase Privilege Serius menganggu Resiko yang serius
Superuser Priviliege
Sangat serius Bencana
20
3. Availability : Aspek availability atau ketersediaan berhubungan dengan
ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang
atau dijebol dapat menghambat atau meniadakan akses ke informasi.
2.6 Access Control
Menurut Rafiudin (2005). Access Control adalah proses pembatasan
privilege (hak istimewa) untuk user atas penggunaan sumber daya sistem.
Terdapat tiga tipe pengendalian akses :
1. Administrative Control : Pengendalian berdasarkan kebijakan (policy),
informasi kebijakan sekuriti harus sejalan dengan sasaran-sasaran bisnis
organisasi.
2. Physical Control : Pengontrolan akses terhadap perangkat-perangkat fisik
jaringan, termasuk node-node, pengkabelan, ruangan/bangunan dan asset-
aset privat lainnya.
3. Logical Control : Kendali hardware dan software, pembatasan akses atas
konfigurasi-konfigurasi Access Control List (ACL) protokol-protokol
komunikasi dan sistem kriptografi.
21
2.7 Definisi Firewall
Menurut Stallings (2003). Firewall merupakan suatu perangkat yang
dapat melindungi sebuah sistem lokal jaringan dan sistem jaringan secara
efektif dari ancaman keamanan sementara pada waktu mengakses keluar
jaringan lewat Wide Area Network dan melalui jaringan internet.
2.7.1 Karakterikstik Firewall
Berikut adalah tujuan desain untuk firewall :
1. Semua traffic dari dalam ke luar jaringan, dan sebaliknya harus
melewati firewall. Dengan firewall ini adalah untuk menghalangi
semua akses kepada jaringan lokal kecuali melalui firewall. Mungkin
macam konfigurasi firewall sebagai menjelaskan didalam section.
2. Hanya memberikan hak akses traffic sebagai kebijakan keamanan
jaringan yang diizinkan lewat. Tipe macam firewall yang digunakan
tipe firewall security policy.
3. Firewall itu sendiri mempertahankan. Firewall sistem yang
dipercaya dengan sebuah operating system yang aman.
Empat teknik umum yang firewall gunakan untuk control akses dan
melaksanakan security policy. Sesungguhnya, firewall diutamakan
focus dalam service control, tetapi firewall telah menyediakan empat
dalam service control :
22
a. Service Control : Menentukan tipe dari internet service yang dapat
diakses dalam ataupun luar jaringan internet. Firewall
membolehkan filter packet dalam basis IP address dan TCP nomor
port: software proxy yang menerima dan setiap sebelum meminta
service melewati proxy atau mungkin host server yang di buat
sendiri, seperti web atau mail service.
b. Direction Control : Menentukan petunjuk dimana teliti dalam
meminta service mungkin mengizinkan melewati firewall.
c. User Control : Mengendalikan akses ke sebuah service yang user
yang inginkan. Biasanya menerapkan user didalam parameter
firewall (local users). Ini mungkin juga menerapkan incoming
traffic dari external users, yang belakangan memerlukan dari
keamanan teknologi authentication seperti disediakan IPsec.
d. Behavior Control : Mengontrol dengan teliti bagaimana service
yang digunakan. Untuk contoh, firewall membolehkan filter email
untuk membersihkan SPAM atau membolehkan mengaktifkan akses
eksternal ke hanya informasi sebuah web server.
2.7.2 Jenis-jenis Firewall
Firewall terbagi menjadi tiga jenis, yakni sebagai berikut :
a. Packet-Filtering Router : Sebuah packet-filtering router
menerapkan aturan (rule) ke setiap paket IP yang masuk atau datang
23
dan kemudian diforward atau dibuang paket tersebut. Biasanya
konfigurasi router untuk memfilter paket dikedua arah (dari dan ke
jaringan internal). Filtering rules didasarkan atas informasi yang
terdapat dipaket jaringan.
b. Application-Level Gateway : Application-level gateway juga
disebut sebuah proxy server, yang bertindak sebagai meletakkan
dari application-level gateway yang menggunakan apliaksi TCP/IP,
seperti Telnet atau FTP dan gateway meminta user untuk
mengakses yaitu meremote host. Bila user dan informasi otentikasi.
Application Gateway dalam remote host dan meletekakan pada
bagian segment TCP yang berisi aplikasi data diantara kedua
endpoint (titik terakhir).
c. Circuit-Level Gateway : Ketiga dari jenis firewall adalah circuit-
level gateway. Circuit-level gateway sistem yang dapat berdiri
sendiri atau bisa merupakan suatu fungsi yang melakukan dengan
application-level gateway untuk aplikasi. Circuit-level gateway
pintu gerbang tidak mengizinkan end-to-end koneksi TCP, satu
diantaranya adalah kumpulan dua koneksi. Satu diantaranya
gateway dan sebuah user TCP diluar host.
Dalam hal ini penulis menggunakan jenis Firewall Check
Point atau Firewall-1 yaitu Firewall Nokia IP 390.
24
2.7.3 Firewall Check Point atau Firewall-1
Menurut (Baroto, 2003) Pembuatan firewall-1 berbasis pada
teknologi arsitektur stateful Inspection yang akan menjamin
keamanan jaringan hingga tingkat tertinggi. Modul inpeksi pada
Firewall-1 berisi mesin inspeksi (INSPECT) yang mampu dengan
seksama memeriksa seluruh muatan paket pada lapisan komunikasi
serta mengambil sari informasi dari kondisi komunikasi dan aplikasi
yang sesuai. (Baroto : 2003)
Produk Firewall-1 Entreprise :
1. Modul Manajemen : Manajemen sistem keamanan terpusat
berbasis grafis baik untuk satu atau lebih hingga tak terbatas
terhadap titik-titik penyelengaraan (enforcement) keamanan atau
modul Firewall itu sendiri.
2. Modul Inspeksi : Kontrol akses, Autentikasi klien dan session,
Network Address Translation (NAT) dan Auditing.
3. Modul Firewall : Termasuk Modul Inspeksi. Autentikasi User,
Sinkronisasi Firewall jamak dan Keamanan Muatan (Content
Security).
4. Modul Enkripsi : Menyediakan metode enkripsi DES dan
enkripsi FWZ-1.
5. Manajemen Keamanan Router : Manajemen keamanan bagi
kegiatan control akses baik terhadap satu router hingga lebih.
25
6. Manajer Keamanan Terbuka : Manajemen keamanan terpusat
baik bagi router produksi 3Com, Cisco dan server Microsoft NT
hingga ke Firewall PLX Cisco.
2.8 Intrusion Detecction System
Menurut (Stalling, 2003). Penyusupan (intruders) salah satu dari dua
yang paling mempubilkasikan ancaman keamanan dari intruder/penyusup
(virus-virus lainnya), biasanya menunjukan sebagai hacker atau cracker.
Pentingnya diawal mempelajari intrusion (gangguan), ada tiga kelas dari
intruder :
1. Masquerader : Seseorang yang tidak diberikan hak untuk menggunakan
komputer dan siapa yang memasuki sistem, akses control mengeksploitasi
penggunaan account.
2. Misfeasor : User yang mengakses data, program atau sumber daya
dimana tidak diberikan hak akses tersebut. Atau seseorang yang diberikan
hak akses tetapi disalahgunakan.
3. Clandestine user : Seseorang yang mengambil kendali pengawasan sistem
dan menggunakan control untuk menghindari atau mengontrol, menahan
pemeriksaan.
Menurut (Stallings, 2003) Teknik Intrusion detection adalah secara
objektif intruder memperoleh hak akses ke sebuah sistem. Biasanya, intruder
26
memerlukan informasi dari password user dengan beberapa pengetahuan lain
dari password user. Intruder dapat masuk kedalam sebuah sistem dan semua
latihan untuk memperoleh hak akses.
Menurut Ariyus (2007). Intrusion Detection System (IDS) merupakan
penghambat semua serangan yang akan menganggu sebuah jaringan.
Kemampuan dari IDS memberika peringatan kepada administrator server
saat terjadi sebuah aktivitas tertentu yang tidak diinginkan administrator
sebagai penanggung jawab sebuah sistem. Selain memberikan peringatan,
IDS juga mampu melacak jenis aktivitas yang merugikan sebuah sistem.
Suatu IDS akan melakukan pengamatan (monitoring) terhadap paket-paket
yang melewati jaringan dan berusaha menemukan apakah terdapat paket-
paket yang berisi aktivitas mencurigakan sekaligus melakukan tindak lanjut
pencegahan. Hal-hal yang dilakukan oleh IDS pada jaringan internal adalah
sebagai berikut:
1. Memonitor akses database.
2. Melindungi e-mail server.
3. Memonitor Policy Security.
2.9 Intrusion Detection System (IPS)
Menurut Ariyus (2007). Teknologi Intrusion Detection System (IDS)
diperkirakan kadaluarsa dalam dekat karena digantikan Intrusion Prevention
27
System (IPS) yang memiliki kemampuan lebih lengkap. IDS hanya mampu
mendeteksi adanya penyusupan dalam jaringan, lalu mengaktifkan peringatan
kepada pengguna untuk segera mengambil langkah-langkah mitigasi,
sementara IPS langsung mengatasi penyusupan tersebut.
Awalnya IDS adalah pengembangan dari firewall, yakni sistem yang
memisahkan antara jaringan internal dan eksternal. Firewall dinilai tidak
cukup karena hanya sebagai pemisah saja, tidak memeriksa paket-paket
data yang berbahaya sehingga bisa lolos. Pada pengembangannya
kemudian IDS tidak berguna karena pada saat alarm berbunyi, jaringan
sudah terinfeksi dan pengguna tidak bisa berbuat banyak. IDS berkembang
karena pada awalnya kelahirannya, pasar saat itu memandang skeptic
terhadap keberhasilan teknologi IPS yang menggunakan filter dalam
menangkal serangan dan penyusupan. Pada 2002, lembaga riset Gartner
merilis laporan yang isinya mengingatkan para pengguna untuk menunda
investasi IDS yang dinilai gagal. IDS bahkan dinilai investasi mahal namun
tidak efektif untuk meningkatkan keamanan jaringan. Saat itu active IDS,
teknologi cikal-bakal IPS yang mampu secara aktif mendeteksi serangan
dan mengubah aturan firewall dan router untuk menggantisipasi serangan,
dinilai mengganggu sehingga tidak diterima oleh para administrator
jaringan. Pada perkembangannya, frekuensi serangan terhadap jaringan
meningkat sementara rentang waktu antara ditemukannya celah keamanan
dan tersediannya patch untuk menutup celah itu, semakin sempit.
Akibatnya, para administrator jaringan tidak memiliki cukup waktu untuk
28
menggantisipasi serangan dengan memasang patch disebut Zero Day Attack
semakin dekat. Kemudian perkembangan teknologi memungkinkan IPS
bekerja lebih cepat dalam menganalisis pola-pola serangan.
Salah satu merek peranti IPS bahkan memiliki kecepatan maksimal
hingga 5 Gigabit per detik (Gbps). IPS pertama kali diperkenalkan One
Secure yang kemudian dibeli NetScreen Technologies sebelum akhirnya
diakusisi Juni per Networks pada 2004. Salah satu produsen IPS Tip-ping
Point juga dibeli penyedia peranti jaringan 3Com Corp. IPS memutuskan
memberikan akses kepada jaringan berdasarkan isi paket data, bukan
berdasarkan alamat IP (Internet Protocol) atau port seperti firewall. Sistem
setup pada IPS sama dengan sistem setup pada IDS. IPS bisa sebagai host-
based IPS (HIPS) yang bekerja untuk melindungi aplikasi dan juga sebagai
network-based IPS (NIPS). Mengapa IPS lebih unggul dari IDS ? Karena
IPS mampu mencegah serangan yang datang dengan bantuan administrator
secara minimal atau bahkan tidak sama sekali. Tidak seperti IDS, secara
logik IPS akan menghalangi suatu serangan sebelum terjadi eksekusi pada
memori, metode lain dari IPS membandingkan file Checksum yang tidak
semestinya dengan file checksum yang semestinya mendapatkan izin untuk
dieksekusi dan juga bisa menginterupsi sistem call.
Secara khusus IPS memiliki empat komponen utama :
1. Normalisasi traffic
2. Service scanner
29
3. Detection engine
4. Traffic shaper
Normalisasi traffic akan menginterupsikan lalu-lintas jaringan dan
melakukan analisis terhadap paket yang disusun kembali, seperti halnya
fungsi block sederhana. Lalu-lintas bisa dideteksi dengan detection
engine dan service scanner. Service scanner membangun suatu table
acuan untuk mengelompokkan informasi dan membantu pembentukkan
lalu-lintas informasi. Detection engine melakukan pattern matching
terhadap table acuan dan respons yang sesuai. Gambar 2.1
mengilustrasikan proses tersebut secara garis besarnya.
Teknologi IDS dan IPS masing-masing mempunyai kemampuan
dalam melindungi suatu sistem. Teknologi IPS merupakan teknologi
yang diperbaharui dari IDS. Perbedaan dari program itu adalah seperti
tabel 2.2.
30
Gambar 2.1 Standar Proses IPS
Tabel 2.2 Perbedaan IDS dan IPS
Intrusion Detection System(IDS)
Intrusion Prevention System(IPS
Install pada segmen jaringan (NIDS) dan pada host (HIDS)
Install pada segmen jaringan (NIPS) dan pada host (HIPS)
Berada pada jaringan sebagai sistem yang pasif
Berada pada jaringan sebagai sistem yang aktif
Tidak bisa menguraikan lalu-lintas enkripsi
Lebih baik melindungi aplikasi
Manajemen kontrol terpusat Manajemen kontrol terpusat
Baik untuk mendeteksi serangan Ideal untuk memblocking perusakan web
Alerting (reaktif) Blocking (proaktif)
(Sumber : Ariyus, 2007)
Long-term storage
Reference table
Traffic normalizer
Response manager
GUI
System scanner
Alert manager
Detection engine
Signature matching
Traffic shaping
31
2.10 Skema Analisis IDS dan IPS
IDS dan IPS melakukan analisis terhadap data dan mengidentifikasi
aktivitas yang anomalous (ganjil) pada ruang lingkup jaringan dan host.
Analisis real time merupakan analisis suatu paket yang akan masuk ke
jaringan. Dengan kata lain paket masih dalam lalu-lintas jaringan internet
atau jaringan lokal.
Pada dasarnya tujuan dari analisis yang dilakukan IDS dan IPS
adalah untuk meningkatkan keamanan pada sistem. Tujuan yang bisa
dilakukan oleh IDS dan IPS adalah :
1. Create record yang aktivitas yang relevan untuk follow-up.
2. Menentukan kekurangan dari jaringan dengan mendeteksi aktivitas
khusus.
3. Merekam aktivitas yang tidak sah untuk digunakan untuk keperluan
forensic atau criminal prosecution (tuntutan pidana) dari serangan
penyusup.
4. Meningkatkan tanggung jawab dengan menghubungkan aktivitas dari
individu dari sistem yang lain.
Gambar dibawah ini mengilustrasikan analisis yang ideal. IDS atau
IPS mengidentifikasi anomalous aktivitas yang berasal dari luar jaringan,
dan menyesuaikan dengan aktivitas normal dari baseline. Perbedaan dari
aktivitas anomalous dan baseline sangat besar sehingga mudah terdeteksi.
32
Dengan alasan ini analisis yang dilakukan IDS atau IPS menjadi lebih
mudah untuk mencapai tujuan keamanan yang lebih ideal.
Gambar 2.2 Hubungan antara Aktivitas jaringan Baseline dan
Anomalous
2.11 Prinsip Kerja IDS pada Jaringan Internal
Istilah intrusion detection system merupakan suatu visi dari alat yang
diletakkan pada parameter jaringan untuk memberitahu adanya penyusup.
IDS juga mempunyai peran penting untuk mendapatkan arsitektur defence-in-
depth (pertahanan yang mendalam) dengan melindungi akses jaringan
internal, sebagai tambahan dari parameter defence. Banyak dari fungsi
jaringan internal yang bisa dimonitor demi keamanan yang maksimal. Hal-
hal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut :
2.11.1 Memonitor akses database : ketika mempertimbangkan pemilihan
kandidat untuk menyimpan data, suatu perusahaan akan memilih
database sebagai solusi untuk menyimpan data-data yang berharga.
Pentingnya data sama dengan penelitian suatu perusahaan dalam
mengembangkan suatu produk unggulan. Jika data yang disimpan di
Baseline activity
Anomalousactivity
33
dalam database bisa diakses oleh orang-orang yang tidak berhak,
maka akan terjadi bencana. Oleh karena itu database server selalu
diletakkan pada posisi yang paling dalam dari suatu jaringan dan
hanya bisa diakses oleh sumber daya internal. Bagaimanapun statistik
dari FBI bahwa akses ke database untuk mencuri data banyak berasal
dari jaringan internal, oleh karena itu penggunaan IDS memberikan
solusi untuk melindungi database dari exploit seperti contoh :
a. ORACLE drop table attempt
b. ORACLE EXECUTE_SYSTEM attempt
c. MYSQL root login attempt
d. MYSQL show database attempt
Memonitor fungsi dari DNS : Beranjak dari pertanyaan “Apa yang
ada pada nama server?” Jawabannya konfigurasi jaringan.
Memasukkan domain name server yang meliputi nama dari
komponen jaringan internal, IP address, dan informasi private lain
yang memberikan tentang jaringan. Dengan informasi ini penyusup
bisa melakukan pemetaan jaringan dengan mengambil kesimpulan
dari DNS zone transfer. Langkah pertama melakukan pengintaian
terhadap versi dari DNS server, IDS bisa mendeteksi rule DNS name
version attempt. Langkah kedua melakukan deteksi terhadap
eksploitasi dengan menggunakan rule DNS zone transfer attempt.
Penempatan IDS pada sistem jaringan bisa menjaga terjadinya
eksploitasi DNS.
34
2.11.2 Melindungi e-mail server : Jika berbicara tentang melindungi e-mail
account, banyak user menggunakan software antivirus untuk
melakukan scanning terhadap kemungkinan adanya virus. Program
antivirus tidak sepenuhnya bisa mendeteksi malicious code. IDS
dapat berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm,
NAVIDAD worm, dan versi terbaru dari ExploreZip. IDS dapat
dimodifikasi sedemikian rupa untuk mengatasi masalah malicious
code. Software antivirus selalu diperbaharui (update) oleh vendornya
sehingga akan ada biaya tambahan untuk hal tersebut. Perkembangan
dari teknologi malicious code perlunya dipertimbangkan untuk
masalah e-mail security dari serangan terhadap mail server. IDS
mampu mendeteksi e-mail secara simultan untuk menghindari
serangan ke mail server. IDS dapat di atur untuk mendeteksi dan
menghalangi e-mail bomb yang bisa melumpuhkan mail server.
2.11.3 Memonitor policy security : Security policy merupakan suatu aturan
yang diberikan untuk melindungi suatu jaringan dari hal-hal yang
tidak diinginkan. IDS juga bisa di atur untuk memonitor policy
security. Jika ada pelanggaran terhadap policy security maka IDS
akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai
dengan aturan yang ada.
35
2.12 Tujuan Penggunaan IDS
IDS merupakan software atau hardware yang melakukan otomatisasi
proses monitoring kejadian yang muncul disistem komputer atau jaringan,
menganalisanya untuk menemukan permasalahan keamanan. IDS adalah
pemberi sinyal pertama jika seorang penyusup mencoba membobol sistem
keamanan komputer kita. Secara umum penyusupan bisa berarti serangan
atau ancaman terhadap keamanan dan integritas data, serta tindakan atau
percobaan untuk melewati sebuah sistem keamanan yang dilakukan oleh
seseorang dari internet maupun dari dalam sistem.
IDS tidak dibuat untuk menggantikan fungsi firewall karena
kegunaanya berbeda. Sebuah sistem firewall tidak bisa mengetahui apakah
sebuah serangan sedang terjadi atau tidak. tetapi IDS mengetahuinya.
Dengan meningkatnya jumlah serangan pada jaringan, IDS merupakan
sesuatu yang diperlukan pada infrastruktur keamanan di kebanyakan
organisasi.
Secara singkat, fungsi IDS adalah pemberi peringatan kepada
administrator atas serangan yang terjadi pada sistem kita. Alasan
mempergunakan IDS :
1. Untuk mencegah resiko timbulnya masalah.
2. Untuk mendeteksi serangan dan pelanggaran keamanan lainnya yang
tidak dicegah oleh perangkat keamanan lainnya. Biasanya penyusupan
berlangsung dalam tahapan yang bisa diprediksi. Tahapan pertama adalah
36
probing, atau eksploitasi pencarian titik masuk. Pada sistem tanpa IDS,
penyusup memiliki kebebasan melakukannya dengan resiko lebih kecil.
IDS yang mendapati probing, bisa melakukan blok akses , dan
memberitahukan tenaga keamanan yang selanjutnya mengambil tindakan
lebih lanjut.
3. Untuk mendeteksi usaha yang berkaitan dengan serangan misal probing
dan aktivitas dorknob rattling.
4. Untuk mendokumentasikan ancaman yang ada ke dalam suatu organisasi.
IDS akan mampu menggolongkan ancaman baik dari dalam maupun dari
luar organisasi. Sehingga membantu pembuatan keputusan untuk alokasi
sumber daya keamanan jaringan.
5. Untuk bertindak sebagai pengendali kualitas pada adminitrasi dan
perancangan keamanan, khususnya pada organisasi yang besar dan
kompleks. Saat ini IDS dijalankan dalam waktu tertentu, pola dari
pemakaian sistem dan masalah yang ditemui bisa nampak. Sehingga
akan membantu pengelolaan keamanan dan memperbaiki kekurangan
sebelum menyebabkan insiden.
6. Untuk memberikan informasi yang berguna mengenai penyusupan yang
terjadi, peningkatan diagnosa, recovery, dan perbaikan dari faktor
penyebab. Meski jika IDS tidak melakukan block serangan, tetapi masih
bisa mengumpulkan informasi yang relevan mengenai serangan, sehingga
membantu penanganan insiden dan recovery. Hal itu akan membantu
konfigurasi atau kebijakan organisasi.
37
Meskipun vendor dan administrator berusaha meminimalkan
vulnerabilitas yang memungkinkan serangan, ada banyak situasi yang tidak
memungkinkan hal ini :
1. Pada banyak sistem, tidak bisa dilakukan patch atau update sistem
operasi.
2. Administrator tidak memiliki waktu atau sumber daya yang mencukupi
untuk melacak dan menginstall semua patch yang diperlukan. Umumnya
ini terjadi dalam lingkungan yang terdiri dari sejumlah besar host dengan
hardware dan software yang berbeda.
3. User mempergunakan layanan protokol yang merupakan sumber
vulnerabilitas.
4. Baik user maupun administrator bisa membuat kesalahan dalam
melakukan konfigurasi dan penggunaan sistem.
5. Terjadi disparitas policy yang memungkinkan user melakukan tindakan
yang melebihi kewenangannya.
Salah satu tujuan dari pengelolaan keamanan komputer adalah
mempengaruhi perilaku dari user dengan suatu jalan yang akan melindungi
sistem informasi dari permasalahan keamanan. IDS membantu organisasi
mencapai tujuan ini dengan meningkatkan kemampuan penemuan resiko.
2.12.1 Tipe Intrusion Detection System (IDS)
Pada dasarnya terdapat dua macam IDS, yaitu :
38
1. Host-Based : IDS host-based bekerja pada host yang akan
dilindungi. IDS jenis ini dapat melakukan berbagai macam tugas
untuk mendeteksi serangan yang dilakukan pada host tersebut.
Keunggulan IDS host-based adalah pada tugas-tugas yang
berhubungan dengan keamanan file yang telah di ubah atau ada
usaha untuk mendapatkan akses ke file-file yang sensitive.
2. Network-Based : IDS network-based biasanya berupa suatu mesin
yang khusus dipergunakan untuk melakukan monitoring seluruh
segmen dari jaringan. IDS network-based akan mengumpulkan
paket-paket data yang terdapat pada jaringan dan kemudian
menganalisanya serta menentukan apakah paket-paket itu berupa
suatu paket yang normal atau suatu serangan atau berupa aktivitas
yang mencurigakan. Yang akan dikembangkan tipe IDS adalah
NIDS
Pembagian jenis-jenis IDS yang ada pada saat sekarang ini
didasarkan atas beberapa terminology, di antaranya :
1. Arsitektur Sistem
Dibedakan menurut komponen fungsional IDS, bagaimana
diatur satu sama lainnya.
a. Host-Target Co-Location : IDS yang dijalankan pada
sistem yang akan dilindungi. Kelemahan dari sistem ini
adalah jika penyusup berhasil memperoleh akses ke sistem
39
maka penyusup dapat dengan mudah mematikan IDS tipe
ini.
b. Host-Target Separation : IDS diletakkan pada komputer
yang berbeda dengan yang akan dilindungi.
2. Tujuan Sistem
Walaupun banyak tujuan berhubungan dengan mekanisme
keamanan secara umum, ada dua bagian tujuan Intrusion
Detection System (IDS), diantaranya adalah :
a. Tanggung jawab : adalah kemampuan untuk
menghubungkan suatu kegiatan dan kejadian dan
bertanggung jawab terhadap semua yang terjadi. Hal ini
sangat penting saat terjadi suatu serangan. Administrator
bertanggung jawab terhadap sistem yang dikelola.
b. Respons : Suatu kemampuan untuk mengendalikan
aktivitas yang merugikan dalam suatu sistem komputer.
Jika terjadi serangan maka harus mampu menghalangi atau
mengendalikan serangan tersebut.
3. Strategi Pengendalian
IDS dibedakan menurut bagaimana IDS-IDS yang ada
dikendalikan, baik input maupun outputnya. Jenis-jenis IDS
menurut terminology ini adalah :
40
a. Terpusat : Seluruh kendali pada IDS, baik monitoring,
deteksi dan pelaporannya dikendalikan secara terpusat.
b. Terdisribusi parsial : Monitoring dan deteksi dikendalikan
dari node lokal dengan hierarki pelaporan pada satu atau
beberapa pusat lokasi.
c. Terdistibusi total : Monitoring dan deteksi menggunakan
pendekatan berbasis agen, dimana keputusan respons
dibuat pada kode analisis.
4. Waktu
Waktu dalam hal ini berarti waktu antara kejadian, baik
monitoring ataupun analisis. Jenis IDS menurut terminology
ini adalah :
a. Interval-Based (Batch mode) : informasi dikumpulkan
terlebih dahulu dan kemudian dievaluasi menurut interval
waktu yang telah ditentukan.
b. Realtime (Continues) : IDS memperoleh data secara terus
menerus dan dapat mengetahui bahwa penyerangan sedang
terjadi sehingga secara cepat dapat melakukan respons
terhadap penyerangan.
41
5. Sumber informasi
IDS ini dibedakan menurut sumber daya yang diperoleh.
Terminologi ini sering digunakan untuk membagi jenis-jenis
IDS. Jenis-jenis IDS menurut terminologi ini di antaranya :
2.12.1.1 Host-Based : IDS memperoleh informasi dari
sebuah sistem komputer. Host-based IDS
memperoleh informasi dari data yang dihasilkan
oleh sistem pada sebuah komputer yang diamati.
Data host-based IDS biasanya berupa log yang
dihasilkan dengan memonitor sistem file event, dan
keamanan pada Windows NT dan syslog pada
lingkungan sistem operasi UNIX. Saat terjadi
perubahan pada log tersebut maka dilakukan
analisis apakah sama dengan pola serangan yang
ada pada basis data IDS.
Gambar 2.3 Host-Based IDS (Ariyus: 2007)
42
Teknik yang sering digunakan pada host-
based IDS adalah dengan melakukan pengecekan
pada kunci file sistem dan file eksekusi dengan
checksum pada interval waktu tertentu untuk
mendapatkan perubahan yang tidak diharapkan
(unexpected changes). Pewaktuan atas respons
berkolerasi dengan interval waktu yang
didefinisikan untuk melakukan polling
pengumpulan data.
Host-based IDS tidak secepat network-based
IDS dalam mendeteksi adanya serangan. Host-
based IDS memiliki beberapa kelebihan yang tidak
dapat dimiliki network-based IDS. Kelebihan
tersebut termasuk analisis forensic yang lebih kuat,
fokus terhadap sebuah host, dan lainnya.
Beberapa kelebihan host-based IDS itu sendiri
antara lain :
a. Menguji keberhasilan atau kegagalan serangan.
Karena sistem ini menggunakan logs berisi
event yang telah terjadi, sehingga dapat diukur
apakah serangan telah berhasil atau tidak
dengan akurasi yang lebih tinggi dibanding
43
dengan network-based IDS. Metode ini menjadi
sebuah komplemen yang baik untuk network-
based IDS.
b. Memonitor aktivitas sistem tertentu. Sistem ini
memonitor aktivitas pengguna dan akses
terhadap file, termasuk pengaksesan file,
penggantian atribut file, percobaan untuk
instalasi file eksekusi baru dan /atau percobaan
untuk mengakses service privileged.
c. Mendeteksi serangan yang lolos dari network-
based IDS. Host-based IDS mendeteksi
serangan yang tidak dapat dikenali oleh
network-based IDS. Sebagai contoh adalah
serangan melalui sistem lokal yang tidak
melalui jaringan.
d. Cocok untuk lingkungan encrypt dan switch.
Pada perusahaan yang besar biasanya digunakan
enkripsi dalam komunikasi data dan untuk
mempercepat komunikasi digunakan dengan
tipe switch sehingga sulit bagi network-based
IDS untuk mengenali serangan dan memerlukan
overhead untuk membaca paketnya.
44
Beberapa kelemahan dari host-based di antaranya
adalah :
a. Manajemen yang rumit, informasi harus
dikonfigurasi untuk setiap host yang ada.
b. Sedikit sumber informasi (dan kadang, bagian
dari analisis engine), karena host-based berada
pada host yang menjadi target suatu serangan.
Jika suatu IDS host-based dilumpuhkan oleh
penyerang maka penyerang bisa mendapatkan
akses terhadap host tersebut.
c. Host-based tidak cocok untuk mendeteksi
jaringan atau melakukan monitoring terhadap
suatu jaringan karena IDS hanya memonitor
paket yang diterima pada host tersebut.
d. Host-based dapat dilumpuhkan oleh serangan
denial of service.
2.12.1.2 Network-based : IDS memperoleh informasi dari
paket-paket jaringan yang ada. Network-based IDS
menggunkan raw packet yang ada di jaringan
sebagai sumber datanya. Network-based IDS
menggunakan network adapter sebagai alat untuk
menangkap paket-paket yang akan dipantau.
45
Network adapter berjalan pada mode prosmicuous
untuk memonitor dan melakukan analisis paket-
paket yang ada yang berjalan di jaringan.
Gambar 2.4 Network-Based IDS
(Ariyus, 2007)
Beberapa cara yang digunakan untuk mengenali
serangan pada Network-based IDS ini antara lain :
a. Pola data, ekpresi atau pencocokan secara
bytecode.
b. Frekuensi atau pelanggaran ambang batas.
c. Korelasi yang dekat dengan sebuah event.
d. Deteksi anomaly secara statistic.
46
Network-based IDS memiliki kelebihan yang tidak
dapat diberikan oleh IDS yang lain. Di bawah ini
beberapa kelebihan dari Network-based IDS :
a. Biaya yang lebih rendah. Network-based IDS
memungkinkan pengawasan yang strategis pada
titik akses yang kritis untuk menampilkan
network traffic untuk beragam sistem yang akan
diamati sehingga sistem ini tidak memerlukan
perangkat lunak untuk digunakan dan diatur pada
banyak host. Karena kebutuhan titik deteksi yang
lebih sedikit, maka biayanya lebih rendah.
b. Deteksi serangan yang tidak terdeteksi oleh Host-
based IDS. Sistem ini memeriksa semua packet
header untuk mencari aktivitas yang
mencurigakan. Beberapa serangan yang tidak
dapat dideteksi oleh Host-based IDS adalah
IPbased DoS dan Fragmented Packet (Tear
Drop). Serangan tersebut dapat diidentifikasi
dengan membaca header dari paket yang ada.
Kekurangan dari Network –based IDS adalah
sebagai berikut :
47
a. Network-based IDS sulit untuk memproses
semua paket yang besar dan jaringan yang sibuk
sehingga akan gagal dalam mendeteksi serangan
yang terjadi jika suatu jaringan sangat sibuk
(aktivitas yang tinggi). Beberapa dari vendor IDS
mencoba memecahkan masalah ini dengan
menerapkan IDS dalam perangkat keras, yang
mana bisa mendeteksi serangan dalam lalu-lintas
yang sibuk sekali.
b. Banyak keuntungan IDS tidak berlaku untuk
jaringan yang menggunakan metode switch-
based yang lebih modern.
c. Network-based IDS tidak bisa menganalisis paket
yang telah dienkripsi.
d. Kebanyakan network-based IDS tidak bisa
memberitahukan apakah suatu serangan telah
berhasil mendapatkan sistem, hanya dapat
memberitahukan bahwa serangan sedang terjadi.
Network-based IDS hanya memberitahukan ke
administrator bahwa serangan telah terjadi dan
administrator akan melakukan pemeriksaan
48
secara manual untuk mencari kemungkinan host
mana yang terserang.
e. Banyak dari network-based IDS mempunyai
masalah bila berhadapan dengan serangan yang
menggunakan paket fragmentasi. Paket seperti
ini menyebabkan suatu network-based IDS
menjadi tidak stabil dan crash.
Salah satu contoh dari network-based adalah
snort. Snort merupakan suatu NIDS (Network-base
Intrusion Detection System). Snort merupakan suatu
program yang berfungsi untuk memeriksa data-data
yang masuk dan melaporkan ke administrator
apabila ada “gerak-gerik” yang mecurigakan.
Bekerja dengan prinsip program sniffer, yaitu
mengawasi paket-paket yang melewati jaringan.
Snort merupakan suatu NIDS (Network-based
Intrusion Detection System). Sebuah NIDS akan
memperhatikan seluruh segmen jaringan tempat dia
berada, berbeda dengan host-based IDS yang hanya
memperhatikan sebuah mesin software host based
IDS tersebut dipasang. Secara sederhana sebuah
IDS akan mendeteksi semua serangan yang dapat
melalui jaringan komputer (internet maupun
49
intranet) ke jaringan atau komputer yang kita
miliki. Sebuah NIDS biasanya digunakan
bersamaan dengan firewall. Hal ini untuk menjaga
supaya snort tidak terancam oleh serangan.
Respons serangan pada IDS network-based di
antaranya adalah :
1. Notifikasi
a. Alarm ke console
b. E-mail
c. SNMP Trap
d. Melihat sesi yang aktif
2. Logging
a. Summary Report
b. Raw Network Data
3. Respons aktif
a. TCP reset
b. Konfigurasi ulang firewall
c. User-defined.
50
Tabel 2.3 Perbedaan NIDS dan HIDS :
NIDS HIDS
Ruang lingkup yang luas (mengamati semua aktivitas jaringan)
Ruang lingkup yang terbatas (mengamati hanya aktivitas pada host tertentu).
Lebih mudah melakukan setup Setup yang kompleks
Lebih baik untuk mendeteksi serangan yang berasal dari luar jaringan.
Lebih baik untuk mendeteksi serangan yang berasal dari dalam jaringan.
Pendeteksian berdasarkan pada apa yang direkam dari aktivitas jaringan.
Pendeteksian berdasarkan pada single host yang diamati semua aktivitasnya.
Menguji packet header Packet header tidak diperhatikan
Respons yang real time Selalu merespons setelah apa yang terjadi.
OS-independent OS-specific
Mendeteksi serangan terhadap jaringan serta payload untuk di analisis
Mendeteksi serangan local sebelum mereka memasuki jaringan.
Mendeteksi usaha dari serangan yang gagal
Menverifikasikan sukses atau gagalnya suatu serangan.
Sumber (Ariyus, 2007)
2.12.1.3 Distrubusi Intrusion Detection System
Fungsi standar dari DIDS adalah mengatur
atau arsitekstur probe. Sensor dari NIDS sedikitnya
ditempatkan dan melaporkan ke pusat dari
managemen station NIDS. Serangan terhadap log
51
pada waktu tertentu atau upload secara terus-
menerus ke managemen station NIDS.
Pendistribusian IDS menggunakan lebih dari
satu NIDS pada suatu jaringan komputer, sehingga
lebih mudah untuk mendeteksi semua jaringan. Hal
ini sangat membantu jika tejadi traffic pada lalu-
lintas jaringan tersebut.
Gambar 2.5 Distribusi Intrusion Detection System
(Ariyus : 2007)
2.12.1.4 Hibrid IDS : Solusi network-base dan host-based
IDS yang memliki keunggulan dan manfaat yang
saling berbeda. Generasi lanjutan dari IDS
merupakan gabungan dari kedua komponen solusi
tersebut.
52
Gabungan dari kedua teknologi tersebut
meningkatkan resistantsi jaringan terhadap serangan
dan penyalagunaan, meningkatkan pelaksanaan
kebijakan keamanan dan kelebihan dalam
fleksibilitas ketersebaran sistem.
Beberapa fitur yang diharapkan pada generasi lanjut
IDS antara lain :
1. Integrasi antara network-based IDS dan Host-
based IDS
2. Manajemen konsol yang generic untuk semua
produk.
3. Integrasi basisdata event.
4. Integrasi system report.
5. Kemampuan menghubungkan event dengan
serangan.
6. Integrasi dengan on-line help untuk respons
insiden.
7. Prosedur instalasi yang ringkas dan terintegrasi
seluruh produk yang ada.
53
Proses dasar dari IDS, baik pada NIDS atau
HIDS, adalah mengumpulkan data, melakukan pre-
proses, dan mengklasifikasikan data tersebut.
Dengan analisis statistic suatu aktivitas yang tidak
normal akan bisa dilihat, sehingga IDS bisa
mencocokkan dengan data dan pola yang sudah ada.
Jika pola yang ada cocok dengan keadaan yang tidak
normal maka akan dikirim respons tentang aktivitas
tersebut.
2.12.1.5 Skema Analisis IDS
IDS melakukan analisis terhadap data dan
mengidentifikasi aktivitas yang anomalous (ganjil)
pada ruang lingkup jaringan dan host. Analisis real
time merupakan analisis suatu paket yang akan
masuk ke jaringan. Dengan kata lain paket masih
dalam lalu-lintas jaringan internet atau jaringan
lokal.
Pada dasarnya tujuan dari analisis yang
dilakukan IDS adalah untuk meningkatkan keamanan
pada sistem. Tujuan yang bisa dilakukan IDS adalah:
1. Create record yang aktivitas yang relevan untuk
follow-up.
54
2. Menentukan kekurangan dari jaringan dengan
mendeteksi aktivitas khusus.
3. Merekam aktivitas yang tidak sah untuk
digunakan untuk keperluan forensik atau
criminal prosecution (tuntutan pidanan) dari
serangan penyusup.
4. Bertindak sebagai penghalang aktivitas malicious
code.
5. Meningkatkan tanggung jawab dengan
menghubungkan aktivitas dari individu dari
sistem yang lain.
2.13 Snort
Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup
dan mampu menganalisis paket yang melintas jaringan secara real time
traffic dan logging ke dalam database serta mampu mendeteksi berbagai
serangan yang berasal dari luar jaringan. Snort bisa digunakan pada
platform sistem operasi Linux, BSD, Solaris, Windows dan sistem operasi
lainnya.
55
Snort bisa dioperasikan dengan empat mode (Roesch, 2009) :
a. Sniffer Mode : Snort membaca traffic atau paket-paket yang berada di
dalam sistem jaringan dan menampilkan ke layar console.
b. Packet Logger Mode : Snort membaca traffic dan melakukan logging
(pencatatan dan penyimpanan) aktivitas sensor.
c. Network Intrusion Detection Mode : Snort membaca dan
menganalisis traffic menggunakan ruleset/signatures untuk mendeteksi
aktivitas intrusi dan melakukan logging aktivitas sensor.
d. Inline Mode : Snort membaca, menganalisis traffic, logging dan
berinteraksi dengan firewall untuk memblok traffic intrusi memicu.
2.13.1 Fitur-Fitur Snort
Berikut ini adalah beberapa fitur snort (Kohlenberg) :
a. Merupakan program IDS/IPS berbasis signature open-source
yang menyediakan fungsionalitas yang terdapat pada NIDS
komersil.
b. Merupakan network sniffer yang terintegrasi dengan packet
logger yang berkemampuan untuk melakukan real-time traffic
analysis melalui mekanisme pattern matching terhadap
sejumlah signature/rules intrusi, alerting, blocking, packet
sniffer dan packet logging.
56
c. Membutuhkan resource yang relatif kecil dan mendukung
berbagai platform sistem operasi, baik terbuka (Linux/Unix)
atau komersial (MacOS, Windows).
d. Merupakan program modular dimana komponennya terdiri dari
plugin yang memiliki fungsi yang spesifik. Hal ini membuat
snort, mudah dikelola, mudah dimodifikasi, dan mudah
dikembangkan.
e. Mempermudah proses analisis sistem jaringan, mencakup
pengujian yang lebih mendetail pada konten serangan (NIDS),
live traffic sampling terhadap traffic yang diamati (packet
sniffer), serta data-data dari event jaringan masa lampau (packet
logger).
2.13.2 Komponen Snort
Snort mempunyai enam komponen dasar yang bekerja saling
berhubungan satu dengan yang lain seperti berikut ini (Ariyus,
2007) :
1. Decoder : Sesuai dengan paket yang di capture dalam bentuk
struktur data dan melakukan identifikasi protokol, decode IP dan
kemudian TCP atau UDP tergantung informasi yang
dibutuhkan, seperti port number, IP Address. Snort akan
memberikan alert jika menemukan suatu paket yang cacat.
57
2. Preprocessors : Merupakan suatu jaringan yang
mengindentifikasi berbagai hal yang harus diperiksa seperti
Detection Engine. Pada dasarnya preprocessors berfungsi
mengambil paket yang mempunyai potensi yang berbahaya
yang kemudian dikirim ke detection engine untuk dikenali
polanya.
3. Global Section : Mengizinkan untuk mapping file untuk IIS
Unicode, Configure alert untuk proxy server dengan
proxy_alert (jika menggunakan proxy server) atau konfigurasi
deteksi lalu-lintas HTTP pada nonauthorized port dengan
menggunakan detect_anomalous_traffic.
4. Server Section : Mengizinkan untuk setting HTTP server
profiles yang berbeda untuk beberapa server yang berbeda.
Konfigurasi tipe serangan dan menormalisasikan berdasarkan
server yang ada.
5. Rules Files : Merupakan suatu file teks yang berisi daftar aturan
yang sintaksnya sudah diketahui. Sintaks ini meliputi protocol,
address, output plugins dan hal-hal yang berhubungan dengan
berbagai hal. Rules file akan selalu diperbaharui setiap ada
kejadian di dunia maya.
58
6. Detection Engine : Menggunakan detection plugins, jika
ditemukan paket yang cocok maka snort akan menginisialisasi
paket tersebut sebagai suatu serangan.
7. Output Plugins : Merupakan suatu modul yang mengatur
format dari keluaran untuk alert dan file logs yang bisa di akses
dengan berbagai cara, seperti console, exteren files, database
dan sebagainya.
59
BAB III
METODOLOGI PENELITIAN
3.1 Metode Pengumpulan Data
Menurut Nazir (2005) metode pengumpulan data tidak lain dari
suatu proses pengadaan data primer untuk keperluan penelitian.
Pengumpulan data merupakan langkah yang amat penting dalam metode
ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk
menguji hipotesis yang telah dirumuskan. Data yang dikumpulkan harus
cukup valid untuk digunakan.
Pengumpulan data adalah prosedur yang sistematis dan standar
untuk memperoleh data yang diperlukan. Metode yang digunakan penulis
dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan
data dan metode pengembangan sistem.
Berikut penjelasan kedua metode tersebut :
3.1.1 Studi Lapangan/Observasi
Metode pengumpulan data dengan melakukan pengamatan
atau datang langsung ke lokasi adalah cara pengambilan data dengan
menggunakan mata tanpa ada pertolongan alat standar lain untuk
keperluan tersebut. Penulis melakukan penelitian di PT. PLN
(Persero) Distribusi Jakarta Raya dan Tangerang, Gambir.
60
3.1.2 Studi Pustaka atau literature
Metode pengumpulan data melalui buku atau browsing
internet yang dijadikan sebagai acuan analisa penelitian yang
dilakukan. Dalam proses pencarian dan perolehan data penulis
mendapat referensi dari perpustakaan dan secara online melalui
internet. Referensi tersebut sebagai acuan untuk membuat landasan
teori. Dan referensi-referensi apa saja yang digunakan oleh penulis
dapat dilihat pada Daftar Pustaka.
Studi literatur yang penulis gunakan sebagai referensi yaitu :
Tabel 3.1 Studi Literatur
No. JUDUL PENULIS TAHUN PEMBAHASAN1. Pengembangan
Intrusion Detection System dan Active Response Pada Transparent Single-Homed Bastion Host Http Proxy Server Firewall Sebagai Keamanan Sistem Proxy
Rachmat Hidayat Al-Anshar
2008 HTTP proxy server yang bertugas sebagai penyedia layanan protokol HTTP (akses internet) yang dibangun sebagai server terintegrasi dari sejumlah layanan spesifik, berperan sangat penting didalam sistem jaringan komputer. membangun suatu sistem HTTP proxy server terpadu (integrated server) yang dapat mengotomatisasi konfigurasi client sistem proxy, memaksimalkan sistem proxy sebagai application-layer gateway firewall dan implementasi terpisah dari sistem gateway dan mendeteksi intrusi (penyusup) pada sistem proxy.
61
2. Perancangan dan implementasi Intrusion Detection System Pada Jaringan Nirkabel BINUS University.
Abraham Nethanel Setiawan Junior, Agus Harianto, Alexander.
2009 Merancang IDS menggunakan Snort dengan tampilan antarmuka berbasiskan web dan implementasi sistem untuk memantau aktifitas para pengguna HotSpot BINUS University. Penelitian ini berisi analisa gangguan pada jaringan nirkabel BINUS, usulan solusi keamanan pada jaringan, proses dan cara kerja sistem IDS yang dibuat dengan basis web, serta evaluasi penerapan sistem IDS pada jaringan.
3. INTRUSION DETECTION DAN REPORTING SYSTEM BERBASIS MOBILE AGENT
P. Tri Riska Ferawati Widiasrini
2006 Penekanan skirpsi ini terarah pada intrusion detection and reporting system (IDRS) berbasis mobile agent (MA) yang bisa diterapkan pada setiap platform sistem operasi di setiap konfigurasi jaringan
3.1.3 Wawancara
Metode pengumpulan data dengan melakukan wawancara
adalah proses memperoleh keterangan untuk tujuan penelitian
dengan cara tanya jawab, sambil bertatap muka antara si penanya
atau pewawancara dengan si penjawab atau responden. Keterangan
lebih jelasnya penulis membahas proses ini pada daftar lampiran
wawancara.
62
ANALYSIS
Design
Simulation Prototyping
Management
Monitoring
Implementation
3.2 Metode Pengembangan Sistem menggunakan NDLC (Network
Development Life Cycle).
Menurut (Goldman et all, 2001), NDLC adalah kunci dibalik proses
perancangan jaringan komputer. NDLC merupakan model mendefinisikan
siklus proses pembangunan atau pengembangan sistem jaringan komputer.
Kata cyle (siklus) adalah kata kunci deskriptif dari siklus hidup
pengembangan sistem jaringan yang menggambarkan secara eksplisit
seluruh proses dan tahapan pengembangan sistem jaringan yang
berkesinambungan. Dalam hal ini metode yang pengembangan sistem yang
digunakan adalah Network Development Life Cycle (NDLC). Berkaitan
dengan skripsi ini, penerapan dari setiap tahap NDLC adalah sebagai
berikut :
Gambar 3.1 Tahapan NDLC
63
3.2.1 Analysis
Model Pengembangan sistem NDLC dimulai pada fase
analisis. Pada tahap ini penulis mengidentifikasi konsep Snort IDS,
Barnyard, BASE dan Firewall. Mengumpulkan dan mengidentifikasi
kebutuhan seluruh kebutuhan sistem tersebut. Sehingga kebutuhan
sistem IDS dapat diperjelas dan diperinci. Tahap-tahap ini meliputi :
a. Identify Aktivitas mengidentifikasikan permasalahan yang
dihadapi sehingga dibutuhkan proses pengembangan sistem.
Dapat dilihat pada subbab 4.11.1.
b. Understand Aktivitas untuk memahami mekanisme kerja sistem
yang akan dibangun atau dikembangkan. Dapat dilihat pada
subbab 4.11.2.
c. Analyze Menganalisis sejumlah elemen atau komponen dan
kebutuhan sistem yang akan dibangun atau dikembangkan. Dapat
dilihat pada subbab 4.11.3.
d. Report Aktivitas merepresentasikan proses hasil analisis.
Secara jelas tahap analysis dapat dilihat pada subbab 4.11.4.
3.2.2 Design
Tahapan selanjutnya dari metode pengembangan sistem
NDLC adalah Design. Tahap design ini adalah membuat sebuah
sistem yang akan dibangun, diharapkan dalam membangun sistem
yang didesign akan memberikan gambaran seutuhnya dari kebutuhan
yang ada. Pada fase ini, penulis merancang topologi sistem jaringan
64
untuk simulasi LAN sebagai representasi sistem nyata dan
merancang sistem solusi IDS. Topologi yang spesifik dapat dilihat
pada subbab 4.12.1.
3.2.3 Simulation prototype
Tahap selanjutnya adalah pembuatan protipe sistem yang
akan dibangun, yaitu dengan menggunakan tools VMware version
6.0 dengan mempertimbangkan bahwa proses kesalahan dalam
menerapkan EasyIDS (Easy Intrusion Detection system) tidak akan
mempengaruhi pada lingkungan nyata. Dapat dilihat pada subbab
4.13.
3.2.4 Implementation
Tahap selanjutnya adalah implementasi, pada fase
perancangan digunakan sebagai panduan implementasi pada
lingkungan simulasi LAN. Ini melingkupi instalasi dan konfigurasi
terhadap rancangan topologi, komponen sistem sensor IDS yaitu
snort. Dapat dilihat pada subbab 4.14.
3.2.5 Monitoring
Setelah tahap implementasi adalah tahap monitoring dimana
tahap ini penting. Proses pengujian dilakukan melalui aktivitas
pengoperasian dan pengamatan sistem yang sudah dibangun dan
diterapkan apakah sistem firewall dan EasyIDS sudah berjalan
65
dengan baik dan benar. Dalam hal ini penulis melakukan pengujian
pada : Fungsionalitas (interkoneksi) perangkat jaringan komputer.
Dalam hal menguji interkoneksi antar komponen EasyIDS dan
Firewall, penulis metode studi kasus untuk mempermudah
pengujian. Dapat dilihat pada subbab 4.16.
3.2.6 Management
Pada fase ini, aktivitas perawatan, pemeliharaan dan
pengelolaan. Karena proses manajemen sejalan dengan aktivitas
perawatan atau pemeliharan sistem. Pada tahap ini untuk
menghasilkan keluaran berupa jaminan fleksibilitas dan kemudahan
pengelolaan serta pengembangan sistem EasyIDS dan Firewall
dimasa yang akan datang. Dapat dilihat pada subbab 4.17.
66
Perencanaan Judul Skripsi
Perumusan Masalah dan Batasan Masalah
Metode Pengembangan Sistem
Perumusan Hipotesis
Observasi
Metode Pengumpulan Data
Network Development Life Cycle
Studi Pustaka
Identify
Report
Analyze
Understand
Management
Monitoring
Simulation Prototype
Implementation
Analysis
DesignPerancangan Topologi
Jaringan (Simulasi LAN)Perancangan Sistem
Sensor IDS
Membangun Simulasi dengan VMWare 6.0
Implementasi Topologi Jaringan
Implementasi Sistem Operasi IDS
Pengujian Sistem Jaringan
Pengujian Komponen IDS
Pengujian Interkoneksi IDS
dan Firewall
Pengelolaan Sistem Jaringan
Pengelolaan Sistem IDS
Perumusan Kesimpulan
Pembuatan Laporan
Wawancara
Gambar 3.2 Diagram Metode Penelitian
67
BAB IV
HASIL DAN PEMBAHASAN
4.1 Sejarah Singkat Berdirinya PT PLN (Persero) Distribusi Jakarta Raya dan
Tangerang
Sejarah berdirinya PT PLN (Persero) Distribusi Jakarta Raya dan
Tangerang diawali pada tahun 1897, yaitu dengan mulai digarapnya bidang
listrik oleh salah satu perusahaan Belanda (NV NIGM) yang ditandai dengan
pendirian pusat pembangkitan tenaga listrik (PLTU) yang berlokasi di Gambir.
Sejalan dengan pasang surutnya sejarah perjuangan bangsa, maka pada
masa pemerintahan Jepang NV NIGM (Belanda) diambil alih oleh Pemerintah
Jepang yang pada akhirnya dialihkan ke perusahaan Djawa Denki Jogyosha
Djakarta Shisha.
Dengan berakhirnya kekuasaan Jepang pada 17 Agustus 1945, maka
dibentuklah Djawatan Listrik dan Gas Tjabang Djakarta yang selanjutnya
dikembalikan lagi kepada pemilik asal (NV NIGM) pada tahun 1947 dan
namanya berubah menjadi NV OGEM. Kemudian dengan berakhirnya masa
konsesi NV OGEM Cabang Jakarta yang selanjutnya diikuti dengan
nasionalisasi oleh Pemerintah Indonesia sesuai Keputusan Menteri PU dan
68
Tenaga No. U 16/9/1 tanggal 30 Desember 1953, maka pada tanggal 1 Januari
1954 dilakukan serah terima dan pengelolaannya diserahkan ke Perusahaan
Listrik Jakarta dengan wilayah kerjanya adalah meliputi Jakarta Raya dan
Ranting Kebayoran & Tangerang.
Seiring dengan berjalannya waktu, maka perubahan pun terus bergulir
sesuai kronologi berikut ini :
1. Berdasarkan UU No. 19 tahun 1960 dan PP No. 67 tahun 1961, dibentuk
Badan Pimpinan Umum Perusahaan Listrik Negara (BPU PLN) khusus
untuk wilayah Jakarta dengan nama Perusahaan Listrik Negara Exploitasi
XII.
2. Berdasarkan SK Direksi BPU PLN No. Ktps/30/DIRPLN/62 tanggal 21
Desember 1962, wilayah kerja PLN Exploitasi XII dibagi menjadi 7 buah
distrik dengan kelas yang berbeda-beda.
3. Pada tahun 1965 terjadi perubahan tanggung jawab, dimana PLN Exploitasi
XII meliputi Cabang Gambir & Cempaka Putih, Jakarta Kota, Kebayoran,
Jatinegara & Cawang, Tangerang dan Cabang Tanjung Priok pada tahun
1970.
4. Berdasarkan PP No. 18 tahun 1972, status Perusahaan Listrik Negara dirubah
menjadi Perusahaan Umum Listrik Negara.
5. Berdasarkan Peraturan Menteri PUTL No. 01/Prt/1973 tanggal 23 Maret
1973, PLN Exploitasi XII dirubah menjadi Perum Listrik Negara Distribusi
69
IV yang meliputi Cabang Gambir, Kota, Kebayoran, Jatinegara, Tanjung
Priok, Tangerang dan Bengkel Karet.
6. Berdasarkan SK Menteri PUTL No. 45/Ktps/1976 tanggal 8 Agustus 1976,
nama PLN Distribusi IV dirubah menjadi PLN Distribusi Jakarta Raya dan
Tangerang (sesuai SE Direksi PLN No. 025/PST/1976 tanggal 17 April
1976).
7. Berdasarkan penjelasan dan pengumuman Pemerintah tentang pembentukan
Kabinet Pembangunan III tanggal 29 Maret 1978, PLN yang semula
bernaung dibawah naungan Departemen Pertambangan dan Energi.
8. Pada kurun waktu 1984 s/d 1988 terjadi beberapa penambahan Unit Kerja,
sehingga PLN Distribusi Jakarta Raya dan Tangerang memiliki tujuh cabang
sebagai unsur pelaksana, satu unit pengatur distribusi dan satu bengkel
pemeliharaan kelistrikan. Dua yang disebut terakhir adalah sebagai unsur
penunjang.
9. Berdasarkan PP No. 23 tahun 1994 tanggal 16 Juni 1994, PLN yang dulunya
dikenal sebagai PERUM berubah statusnya menjadi PERSERO, sehingga
namanya berubah menjadi PT PLN (Persero) Distribusi Jakarta Raya dan
Tangerang.
10. Berdasarkan White Paper Mentamben Agustus 1998, maka Pemerintah
meluncurkan kebijakan Restrukturisasi Sektor Ketenagalistrikan sesuai
Keputusan Menko WASPAN No. 39/KEP/MK.WASPAN/9/1998 serta
kebijakan PT PLN (Persero) Kantor Pusat, maka PT PLN (Persero)
70
Distrisbusi Jakarta Raya dan Tangerang diarahkan kepada Strategic Business
Unit/Investment Centre.
11. Sehubungan dengan butir No. 10 diatas, maka Direksi PLN telah
mengeluarkan SK No. 161.K/010.DIR/2000 tanggal 5 September 2000
tentang organisasi PT PLN (Persero) Unit Bisnis Distribusi Jakarta Raya
dang Tangerang. Sesuai SK Direksi tersebut, maka susunan organisasi PT
PLN (Persero) Unit Bisnis Distribusi Jakarta Raya dan Tangerang adalah
sebagai berikut :
a. Unsur Pimpinan adalah General Manager.
b. Unsur pembantu pimpinan, meliputi bidang-bidang :
1. Pemasaran dan Pengembangan Usaha.
2. Pelayanan Pelanggan.
3. Komersil.
4. Perencanaan.
5. Operasi dan Pelayanan Gangguan.
6. Pemeliharaan.
7. Logistik.
8. Teknologi Informasi.
9. Keuangan.
10. Akuntansi.
11. Organisasi dan Sumber Daya Manusia (SDM).
12. Hukum.
71
13. Hubungan Masyarakat.
14. Umum.
c. Unsur Pengawasan, oleh Auditor Intern.
d. Unit Pelayanan (UP).
e. Unit Pengelola Jaringan (UPJ).
f. Unit Gardu Induk.
g. Unit Pengatur Distribusi (UPD).
12. Selanjutnya berdasarkan Keputusan Direksi PT PLN (Persero) No.
010.K/010/DIR/2003 tanggal 16 Januari 2003 tentang Organisasi PT PLN
(Persero) Distribusi se Jawa-Bali, maka susunan organisasi PT PLN
(Persero) Distribusi se Jawa-Bali sebagai berikut :
a. Unsur Pimpinan adalah General Manager.
b. Unsur pembantu pimpinan, meliputi bidang-bidang :
1. Perencanaan.
2. Distribusi.
3. Niaga.
4. Keuangan.
5. Sumber Daya Manusia (SDM) dan Organisasi.
6. Komunikasi Hukum dan Administrasi.
c. Unsur Pengawasan, oleh Auditor Intern.
d. Area Pelayanan (AP).
e. Area Jaringan (AJ).
72
GENERAL MANAJER
AUDITOR INTERNAL
MANAJER NIAGA
MANAJERDISTRIBUSI
MANAJER PERENCANAAN
MANAJER KEUANGAN
MANAJER SDM & ORGANISASI
MANAJER KOMUNIKASI,
HUKUM & ADMINISTRASI
MANAJER APD (DCC)
MANAJER AJ (WIRE)
MANAJER APL (RETAIL)
6 unit 1 unit 35 unit
f. Area Pengatur Distribusi (APD).
g. Area Pelayanan dan Jaringan :
1. Unit Pelayanan
2. Unit Pelayanan Jaringan
3. Unit Pelayanan dan Jaringan
4.2 Stuktur Organisasi PT PLN (Persero) Distribusi Jakarta Raya dan
Tangerang
Gambar 4.1
Struktur Organisasi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang
(plnjaya.co.id)
73
4.3 Visi dan Misi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang
Sebagai satu kesatuan usaha PLN, PT PLN (Persero) Distribusi Jakarta
Raya dan Tangerang memiliki visi “Menjadi perusahaan distribusi tenaga listrik
yang handal, tangguh dan berkembang”.
Misi yang diemban adalah :
a. Melaksanakan bisnis distribusi tenaga listrik yang berorientasi kepada
pelanggan, karyawan dan pemilik.
b. Meningkatkan profesionalisme Sumber Daya Manusia (SDM).
c. Menjadikan bisnis tenaga listrik sebagai sarana pendorong pertumbuhan
ekonomi nasional.
d. Melaksanakan usaha sesuai dengan kaidah bisnis.
4.4 Tujuan dan Sasaran PT PLN (Persero) Distribusi Jakarta Raya dan
Tangerang
Tujuan PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang adalah :
a. Korporatisasi (kelayakan keuangan) sebagai perusahaan yang mendiri.
b. Transparasi/akuntabilitas dalam bidang peran, tugas, tanggung jawab dan
wewenang.
c. Peningkatan efisiensi dan pengembangan usaha.
74
Sasaran PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang adalah :
a. Menyiapkan Strategi Unit Bisnis menjadi anak perusahaan yang mandiri.
b. Meningkatkan Customer Value, Share Holder Value dan Employee Value.
Meningkatkan kompetensi dan efektifitas kinerja SDM.
c. Mengupayakan penerapan tarif tenaga listrik sesuai dengan nilai ekonominya
(Customer Oriented Company).
d. Menyediakan tenaga listrik dengan jumlah dan kualitas yang memadai sesuai
dengan kaidah bisnis yang wajar.
4.5 Selayang Pandang
Jakarta sebagai ibukota negara, pusat pemerintahan dan barometer
perekonomian nasional memerlukan dukungan energi listrik yang besar, bermutu
dan handal.
PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang merupakan
salah satu ujung tombak PLN dalam melayani pelanggan diwilayah DKI Jakarta.
Kotamadya Tangerang, Kabupaten Tangerang, serta sebagian Kabupaten Bogor,
Kabupaten Depok dan Kabupaten Bekasi. Total luas wilayah operasi adalah
2.067 km2.
Tugas pokok PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang.
meliputi distribusi, penjualan tenaga listrik dan pelayanan pelanggan.
75
Operasionalisasi tugas pokok tersebut dikendalikan melalui unsur pelaksana
yang terdiri dari 35 Area Pelayanan yang tersebar dipenjuru Jakarta dan
Tangerang, didukung oleh 4 Area Jaringan dan 1 Area Pengatur Distribusi.
Pengembangan bisnis dilakukan dengan berpedoman pada konsep retail
dan wire, dimana retail menekankan pada aktivitas bisnis berorientasi pelanggan
dan wire memfokuskan pada pengembangan jaringan fisik untuk mendukung
layanan bagi pelanggan.
Dari sisi retail kegiatan dilaksanakan oleh Area Pelayanan dengan tujuan
untuk meningkatkan kualitas dan kecepatan layanan melalui peningkatan
efektivitas dan efisiensi proses bisnis yang saling berkaitan. Model pelayanan
yang dibangun adalah one stop service. Dari sisi wire kegiatan dilaksanakan oleh
Area Jaringan dengan tujuan menjaga mutu dan keandalan pasokan tenaga
listrik.
Dengan didukung oleh aplikasi sistem informasi yang berbasis teknologi
mutakhir, menjadikan sistem pelayanan pelanggan PT. PLN (Persero) Distribusi
Jakarta Raya dan Tangerang menjadi lebih mudah, sehingga pelanggan dapat
menikmati kemudahan-kemudahan proses pelayanan seperti :
a. Komunikasi antara Area Pelayanan (AP) dan Area Jaringan (AJ), serta
tempat pembayaran (bank), sehingga program pelayanan satu atap (one stop
services) dapat dengan mudah dilaksanakan.
76
b. Pelanggan dapat mengetahui atai memonitor status rekening (berjalan atau
tunggakan) secara online melalui aplikasi info rekening yang tersedia.
c. Penelusuran data lebih mudah, terutama jika ada keluhan dari pelanggan.
Sesuai dengan visi PLN, yaitu menjadi perusahaan pelayanan berkelas
dunia yang bertumbuh kembang, unggul dan terpercaya dengan bertumbuh pada
potensi insani, PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang terus
berusaha meningkatkan kualitas manajemen mutu dan memberikan pelayanan
terbaik kepada seluruh pelanggannya. Berkat keseriusan menjalankan proses
bisnisnya, PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang berhasil
dalam meningkatkan prestasi kerja dan mendapatkan beberapa penghargaan,
diantaranya:
a. Memperoleh Sertifikat ISO 9001: 2000 oleh sepuluh unit Area Pelayanan
(APL) dan Area Jaringan (AJ) di akhir Desember 2004 oleh Badan
Sertifikasi SAI Global Indonesia (SAI Global) dan PT PLN (Persero) Jasa
Sertifikasi. Pemberian sertifikat ISO 9001: 2000 diberikan sehubungan
dengan prestasi yang telah dicapai oleh unit Area Pelayanan di bidang
pelayanan pelanggan, pembacaan meter, pembuatan rekening, pembukuan
pelanggan, penagihan dan pengawasan kredit.
b. Di Bulan Maret 2005, berdasarkan riset yang dilakukan oleh Quadrant
Positioning and Branding, Call Center 123 PT PLN (Persero) Distribusi
Jakarta Raya dan Tangerang memperoleh penghargaan sebagai call center
77
terbaik pada kategori perusahaan public service oleh Majalah Marketing dan
Center of Customer Satisfaction and Loyalty.
4.6 Sekilas Tentang Teknologi PT PLN (Persero) Distribusi Jakarta Raya dan
Tangerang
PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang yang bergerak
dibidang penyediaan jasa perlistrikan, telah mencakup hampir seluruh wilayah
Indonesia. Pada awal beroperasinya yaitu tahun 1954 (penyerahan pertama kali
oleh pihak OGEM kepada pihak Indonesia yang diwakili oleh Bapak Ir. R.M.
Saljo) dapat dikatakan cukup lumayan dikarenakan pertama kali dikelola oleh
OGEM (Overseesche Gas en Electriciteits Maatschapij).
Pada sekitar tahun 1966, teknologi yang digunakan mulai difasilitasi oleh
komputer. Tapi komputer yang digunakan masih berbentuk komputer yang
sangat besar atau sering disebut dengan komputer mainframe. Dengan komputer
mainframe ini, dapat dioperasikan jalannya arus listrik namun ruangan yang
digunakan untuk menyimpan komputer mainframe tersebut harus besar dan luas.
Namun pada tahun 2000 yang lalu, komputer mainframe sudah tidak
digunakan lagi. Untuk meningkatkan efisiensi, efektivitas, dan kemudahan
penggunaan maka komputer mainframe ini diganti dengan Personal Computer
(PC).
78
4.7 Sistem Jaringan di PT PLN (Persero) Distribusi Jakarta Raya dan
Tangerang
Sekarang ini, karena telah banyak penggunaan komputer di dalam
perusahaan PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang baik pusat
maupun dicabang-cabang pembantu, maka di dalan divisi TI telah dikembangkan
penggunaan jaringan yang bermula dari sistem jaringan Local Area Network
(LAN) dimana sistem tersebut hanya dapat berhubungan antara gedung satu
dengan gedung lainnya tetapi masih dalam satu kawasan.
Seiring dengan perkembangan teknologi yang semakin pesat, divisi TI
PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang melakukan
pengembangan pemakaian jaringan dari sistem LAN, kemudian Wide Area
Network (WAN).
4.8 Data PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang
Nama : PT PLN (Persero) Distribusi Jakarta Raya dan
Tangerang.
Ditetapkan : 16 Januari 2003, sesuai SK Direksi PT PLN (Persero)
No. 010.K/010/DIR/2003
Kantor Induk : Jl. M.I. Ridwan Rais No. 1 Jakarta 10110 Indonesia
79
Bisnis Utama : Penjualan Tenaga Listrik
Pengoperasian, pemeliharaan & pengembangan
Jaringan Tenaga Listrik Sistem Tegangan Menengah
(20 KV) dan Jaringan Tegangan Rendah (220 V)
Total Asset : Rp. 2,8 Trilyun
SDM : 3.475 Orang ( status Agustus 2005 )
Jumlah Pelanggan : 3.073.413 pelanggan ( status Maret 2005 )
4.9 Peta Wilayah PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang
AP = Area Pelayanan, AJ = Area Jaringan, APD = Area Pengatur Distribusi
Gambar 4.2
Peta Wilayah PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang
(plnjaya.co.id)
80
Bidang Perencanaan
Perencanaan Korporat
Perencanaan Sistem
Teknologi Informasi (TI)
Aplikasi Sistem Teknologi Informasi
(ASTI)
Infrastruktur Sistem Teknologi Informasi
(ISTI)
4.10 Infrakstruktur Sistem Teknologi Informasi (ISTI)
Subbidang Infrakstruktur Sistem Teknologi Informasi (ISTI) adalah
tempat penulis melaksanakan kegiatan riset atau penelitian. Subbidang ISTI
merupakan salah satu dari dua subbidang yang terdapat pada Bidang
Perencanaan yang berhubungan dengan permasalahan infrakstruktur jaringan PT.
PLN (Persero) Distribusi Jakarta Raya dan Tangerang. Berikut ini adalah bagan
struktur organisasi yang ada pada Bidang Perencanaan :
Gambar 4.3
Struktur Organisasi Bidang Perencanaan
(plnjaya.co.id)
81
Pada bab ini, penulis akan menjelaskan proses pengembangan sistem
keamanan jaringan yang terintegrasi IDS (Intrusion Detection System) berbasis open
source, dalam studi pengembangan Intrusion Detection System (IDS) dengan
menerapkan landasan teori dan metode penelitian yang sudah dibahas pada bab-bab
sebelumnya.
Metode Penelitian yang penulis gunakan adalah metode NDLC (Network
Development Life Cycle). Siklus hidup pengembangan sistem jaringan didefinisikan
dalam sejumlah fase-fase, yaitu : analysis (analisis), design (perancangan), simulation
prototyping (prototipe simulasi), implementation (penerapan), monitoring
(pengamatan), dan management (pengaturan).
4.11 Analysis (Analisis)
Pada bab ini, penulis akan menjelaskan bagaimana cara melakukan
konfigurasi EasyIDS. Pada tahap analisis ini dibagi menjadi beberapa fase yaitu :
identify (mengidentifikasi rumusan masalah), understand (memahami rumusan
permasalahan), analyze (analisis kebutuhan sistem) dan report (pelaporan dari
hasil analisis).
82
4.11.1 Identify
Tujuan dikembangkannya sistem pendeteksi penyusup adalah
untuk mencatat atau mengetahui jenis serangan yang dilakukan dengan
mencatat atau mengetahui jenis serangan, sistem pendeteksi penyusup
atau biasa dikenal dengan sebutan Instrusion Detection System (IDS)
memiliki banyak perbedaan, berdasarkan kemampuan yang dimiliki
masing-masing jenis sistem pendeteksi penyusup. Penulis yang dibahas
dalam skripsi ini adalah Network IDS (NIDS), dimana NIDS akan
memantau semua lalu lintas jaringan pada segmen dimana sensor
terpasang, aktif pada suatu hal yang mencurigakan atau aktifitas-
aktifitas berdasarkan tindakan.
Identifikasi permasalahan lebih lanjut dari terjadinya aktivitas
penyusup pada aset atau sumber daya sistem yang dimiliki adalah sistem
yang secara intensif mengamati dan menganalisis paket-paket penyusup
yang lewat disebuah jaringan, sehingga tidak terjadinya tindakan
preventif (pencegahan) untuk mengatasi resiko terjadinya penyusup.
Permasalahannya timbul ketika suatu penyerangan terjadi di suatu
jaringan internal, dimana firewall hanya memblok paket-paket yang di
anggap mencurigakan dari pihak luar.
83
4.11.2 Understand
Hasil identifikasi rumusan permasalahan diatas membutuhkan
pemahaman yang baik agar dapat menghasilkan solusi tepat dan
berguna. Dengan menggunakan metode studi pustaka atau studi literatur
penulis memanfaatkan perpustakaan dan internet untuk mengumpulkan
sejumlah data dan informasi dari berbagai sumber dalam bentuk buku,
makalah, literature, artikel dan berbagai situs web mengenai topik
permasalahan yang terkait. Hasilnya digunakan untuk memahami
permasalahan yang terjadi untuk merumuskan solusi yang efektif dalam
menyelesaikan berbagai perumusan permasalahan. Pemahaman tersebut,
maka penulis gunakan untuk merancang, membangun dan
mengimplementasikan sistem keamanan jaringan yang diharapkan dan
juga dapat mengatasi berbagai perumusan permasalahan yang ada.
Penulis berfokus untuk memahami konsep-konsep dari sistem
keamanan jaringan dan sistem pendeteksi penyusup atau Intrusion
Detection System (IDS).
4.11.3 Analyze
Hasil pemahaman penulis akan digunakan sebagai masukan
untuk menganalisis sistem solusi yang dapat mengatasi rumusan
permasalahan. Hasil analisis sebagai berikut :
84
a. Penulis menerapkan EasyIDS berbasis signature/rules open source,
dengan menggunakan intergrasi Snort, Barnyard, Oinkmaster dan
BASE. Dimana penulis menggunakan sistem operasi UNIX yaitu
EasyIDS, EasyIDS tersebut menggunakan sistem UNIX Centos 5.4
Final. Snort bertugas untuk melakukan pemberitahuan saat
mendeteksi sesuatu yang dianggap aktivitas yang mencurigakan atau
tindakan illegal. Snort tidak melakukan pencegahan terjadinya
penyusupan pada sistem jaringan komputer tetapi akan memicu alert
(peringatan).
b. Jika terjadi aktivitas penyusup, Barnyard bertugas untuk menangani
file output snort (unified file format) sehingga snort dapat bekerja
jauh lebih fokus mengamati lalu lintas atau traffic jaringan. Barnyard
juga bertugas memformat ulang output file Snort agar dapat di
manfaatkan untuk keperluan analisis. Oinkmaster bertugas untuk
memperbaharui (Update) secara berkala signature/rules yang
digunakan Snort dalam mendeteksi jenis serangan spesifik. BASE
(Basic Analysis Security Engine) bertugas untuk mempresentasikan
log file Snort kedalam format berbasis GUI yaitu web yang lebih
user-friendly hingga dapat mempermudah seorang admin jaringan
untuk proses analisis suatu penyusup pada mesin sensor IDS.
85
4.11.4 Report
Proses akhir pada fase analisis adalah pelaporan yang berisi
detail atau rincian dari berbagai komponen atau elemen sistem yang
dibutuhkan. Adapun peralatan atau perangkat yang digunakan dalam
penelitian dapat digolongkan menjadi dua jenis, yaitu perangkat lunak
(software) dan perangkat keras (hardware) yaitu :
a. Spesifikasi Sistem Yang Akan Dibangun
Tabel 4.1 Spesifikasi Sistem Yang Akan Dibangun
Sistem Keterangan
Intrusion Detection SystemBerjenis NIDS (Network Intrusion Detection System) : Dapat mengawasi segmen jaringan internal.
Client
Bertindak sebagai sistem client segmen jaringan internal. Difungsikan sebagai sistem penyerang untuk menguji fungisonalitas IDS dari dalam jaringan segmen.
b. Spesifikas perangkat lunak (Software)
Perangkat lunak (software) yang digunakan penulis dalam
penelitian tugas akhir ini adalah :
86
Tabel 4.2 Spesifikasi Perangkat Lunak (Software) yang digunakan
No. Software Keterangan
Sistem Operasi Mesin Sensor IDS dan Manajemen Sensor IDS
1. Centos 5.4 Final Sistem Operasi IDS yang digunakan.
2. Microsoft Windows 7 Profesional Sistem Operasi manajemen sensor IDS.
Sistem Operasi Client
1. Microsoft Windows XP SP 3 COOPARATE
Sistem Operasi client difungsikan sebagai penyerang dan menguji fungsionalitas mesin sensor IDS.
Software Perancangan Topologi
1. Microsoft Office Visio 2003 Program untuk merancang topologi
Sensor Intrusion Detection System (IDS)
1. EasyIDS EasyIDS version 4.
2. Snort 2.8.5.1 Program IDS/IPS open source.
3. Barnyard 1.9 Program Snort’s Output-handler.
4. BASE (Basic Analysis and Security Engine) 1.4.4
Program representasi mesin analisis dan keamanan berbasis web based.
5. Oinkmaster 2.0 Program snort signature update.
Software Pengujian Sensor IDS
1. Nmap 5.0 Program network scanner untuk pengujian sistem IDS pada client LAN.
87
c. Spesifikasi perangkat keras (Hardware)
Tabel 4.3 Spesifikasi Perangkat Keras (Hardware) yang digunakan
No. Perangkat Jumlah Keterangan Spesifikasi
1. PC Mesin Sensor 1 Intel Core 2 Duo E 6550 2,33 GHz, RAM 2 GB Harddisk 200 GB.
2. PC Client 1 Intel Pentium Dual Core T2310 1,46 GHz, RAM 1,5GB , Harddisk 80 GB.
Spesifikasi Perangkat Jaringan
1. Router 1 Cisco Router packet teer 2500
2. Switch 2 Catalyst 2950 (24 Port) dan Catalyst 2940 (8 port).
3. Kabel UTP 4 Kabel UTP AMP cat 5e
4.12 Design (Perancangan)
Tahap analisis menghasilkan sebuah rincian spesifikasi kebutuhan dari
sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi
rancangan sistem yang dibangun. Dalam penelitian ini, penulis menggunakan
simulasi LAN sebagai representasi sistem jaringan. Proses perancangan di bagi
menjadi :
88
4.12.1 Perancangan Topologi
Pada tahap ini penulis menentukan jenis topologi yang digunakan
dari simulasi LAN yang akan dibangun dan mendefinisikan konfigurasi
yang dibutuhkan untuk menjamin sistem jaringan komputer yang akan
dibangun dapat berjalan dengan baik.
Gambar 4.4 Topologi Jaringan Sebelumnya
89
Gambar 4.5 Topologi Jaringan yang Diusulkan
Rincian keterangan gambar rancangan topologi jaringan komputer diatas
adalah sebagai berikut :
1. Jenis topologi yang digunakan adalah topologi hybrid.
2. Alamat IP yang digunakan menggunakan kelas A.
3. Mesin sensor : mendefinisikan mesin sensor IDS. Mesin sensor
terdiri dari dua unit Ethernet. Ethnernet-0 adalah interface eth0 untuk
memanajemen sensor IDS dan Ethernet-1 adalah eth1 untuk
memonitor sebuah sistem jaringan yang terhubung dengan Switch
melalui media kabel UTP berjenis straight.
90
4. Manajemen Sensor IDS : mendefinisikan untuk memanajemen sensor
IDS yang memiliki satu buah ethernet, dimana dihubungkan langsung
ke switch.
5. Client : mendefinisikan client dari LAN dan juga sebagai pengujian
sistem mesin sensor IDS, client memliki satu buah Ethernet yaitu
eth0.
6. Switch, media ini penulis gunakan untuk menghubungkan seluruh
host pengguna sistem jaringan komputer dan penulis juga
mengkonfigurasi sebuah switch yang bisa di manage yang memiliki
fitur SPAN port (Port yang bertugas menjadi mirror untuk mem-
broadcast traffic). Pada sensor IDS ini sangat dibutuhkan dalam
menangkap data yang lewat jaringan yang dapat diamati dan
dianalisis oleh sensor IDS.
4.12.2 Perancangan Sistem
Setelah perancangan topologi jaringan (simulasi LAN),
selanjutnya adalah membuat perancangan sistem baru yang akan
dibangun dan diimplementasikan. Pada tahap ini penulis
menspesifikasikan seluruh komponen mesin sensor yang dibutuhkan.
Penulis mendefinisikan dan menspesifikasikan seluruh komponen yang
dibutuhkan dapat dilihat pada tabel 4.4.
91
Tabel 4.4 Komponen sistem
Mesin Komponen Keterangan
Sensor IDS
1. Snort
2. Barnyard
3. Oinkmaster
4. BASE
Mesin sensor ini mengintergrasikan fungsi menganalisis traffic sebuah sistem jaringan dan deteksi aktivitas intruder (Snort), pengelola output Snort (Barnyard), pengelolaanSignature/rules Snort (Oinkmaster), Management console dan alert dari Snort adalah BASE.
Client
1. Nmap
2. Command-prompt (pinger)
Mendefinisikan sebagai client dan juga untuk pengujian sistem sensor IDS.
4.13 Simulation Prototyping (Prototipe Simulasi)
Pada tahap ini penulis membuat prototipe dari sistem baru yang akan
dibangun, dimana diimplementasikan pada simulasi LAN. Simulasi prototipe
menggunakan software aplikasi yaitu VMware version 6.0 untuk
memvirtualisasikan sistem yang akan diterapkan. Simulasi prototipe
dimaksudkan untuk memenuhi sejumlah tujuan :
a. Menjamin efektivitas fungsionalitas dari interkoneksi antar elemen atau
komponen sistem.
92
b. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi
sistem pada lingkungan nyata.
4.14 Implementation (Implementasi)
Tahap selanjutnya adalah implementasi detail rancangan topologi dan
rancangan sistem lingkungan LAN. Proses implementasi terdiri dari instalasi
mesin sensor dan konfigurasi mesin sensor IDS.
4.14.1 Impelemntasi Sistem Operasi
Sebelum membangun dan menerapkan rancangan sebuah sistem
mesin sensor. Penulis menginstalasi sistem operasi yang nantinya
digunakan dalam proses penelitian. Pada mesin sensor penulis
menggunakan sistem operasi UNIX bernama EasyIDS versi 4 yang
dimana sistem operasi yang digunakan EasyIDS adalah Centos 5.4 Final
dan pada client menggunakan Microsoft Windows XP SP3 Cooperate
dan manajemen menggunakan sistem operasi Microsoft Windows 7
Professional. Untuk langkah-langkah instalasi dapat sebagai berikut :
1. Proses booting EasyIDS. Dimana tampilan saat booting EasyIDS,
untuk melakukan install EasyIDS option yang dipilih adalah tekan
enter, pada proses booting tersebut diberikan peringatan (warning)
93
bahwa saat proses install format harddisk dan akan menghapus semua
data pada komputer, seperti pada gambar 4.6.
Gambar 4.6 Proses instalasi Sistem Operasi EasyIDS
2. Setelah proses booting EasyIDS, maka akan tampil jenis keyboard
yang dipilih, pada proses instalasi menggunakan type keyboard us,
karena sistem keyboard yang digunakan dalam penelitian ini adalah
sesuai dengan keyboard us yang dijual dipasaran. Seperti pada
gambar 4.7.
94
Gambar 4.7 Jenis Keyboard
3. Pada proses instalasi dimana saat proses instalasi root password
dibutuhkan pada saat login mesin sensor. Dimana sensor ini
menggunakan root password imam87, fungsi root password ini untuk
menjaga keamanan ke mesin sensor IDS. Seperti pada gambar 4.8.
Gambar 4.8 Root password dibutuhkan saat login mesin sensor
95
4. Setelah proses memasukkan root password, maka langkah
selanjutnya adalah pengaturan Time Zone Selection adalah lokasi
benua dan Negara, dimana pada penelitian ini pemilihan zona waktu
adalah Asia/Jakarta seperti pada gambar 4.9.
Gambar 4.9 Setting Time Zone
5. Selanjutnya adalah proses dimana semua partisi yang ada dalam
harddisk akan dihapus semua seperti pada gambar 4.10.
96
Gambar 4.10 Format Harddisk
6. Terakhir adalah Proses instalasi paket-paket pada sistem operasi
EasyIDS dimana software-software yang dibutuhkan oleh snort,
seperti pada gambar 4.11.
Gambar 4.11 Package Installation
97
7. Setelah proses paket intalasi selesai maka proses selanjutnya adalah
proses instalasi snort pada mesin sensor IDS, dimana pada penelitian
ini menggunakan versi snort 2.8.5.1 sepert pada gambar 4.12.
Gambar 4.12 Instalasi snort
8. Proses ekstrak rules snort, difungsikan agar snort dapat bekerja sesuai
dengan rules dan dapat mendeteksi jenis-jenis serangan. Seperti pada
gambar 4.13.
98
Gambar 4.13 Ekstrak Rule Snort
9. Login pada mesin sensor IDS dimana login adalah dengan username
root dan passwordnya adalah imam87 seperti pada gambar 4.14.
Gambar 4.14 Login Mesin Sensor IDS
99
10. Setelah berhasil login ke mesin sensor, maka untuk akses mesin
sensor IDS yaitu EasyIDS dengan web GUI dengan alamt URL
https://10.3.4.221. Seperti pada gambar 4.15.
Gambar 4.15 Setelah Login Mesin Sensor EasyIDS
4.14.2 Impelementasi dan konfigurasi Mesin Sensor
Konfigurasi mesin sensor, dimana mesin sensor bernama
EasyIDS, untuk akses mesin sensor dengan web Graffic User Interface
(GUI) menggunakan browser yaitu Mozilla firefox pada alamat URL
https://10.3.4.221 Login dengan web based dengan username dan
password adalah default, dimana username adalah admin dan password
adalah password, seperti pada gambar 4.16.
100
Gambar 4.16 Tampilan Login Web Based ke Mesin Sensor
Pada gambar 4.17 setelah memasukkan username dan password
ke alamat mesin sensor yang diakses oleh komputer manajemen mesin
sensor IDS, maka akan tampil Welcome to EasyIDS menjelaskan tentang
licenses software tersebut untuk setuju (accept) kemudian beri tanda
checklist (√) kemudian klik submit.
101
Gambar 4.17 Tampilan Welcome EasyIDS
Pada gambar 4.18 setelah itu akan tampilan untuk mengubah
passwords root Mysql, pada mesin sensor ini menggunakan password
root imamsutanto. Difungsikan saat adanya perubahan database maka
username root dengan passwords yang telah diganti dan juga untuk
menjaga sisi keamanan database Mysql.
102
Gambar 4.18 Tampilan Change Passwords MySQL
Pada gambar 4.19 setelah proses memasukkan username dan
paswword, sehingga password yang telah diganti telah berhasil.
Gambar 4.19 Tampilan Setelah Passwords Dimasukkan
Pada gambar 4.20 setelah proses konfigurasi maka tampilan awal
EasyIDS, dimana saat tampilan awal EasyIDS menjelaskan tentang apa
itu EasyIDS, Getting started, Arpwatch, BASE, NTOP dan NMAP.
103
Gambar 4.20 Tampilan Awal EasyIDS Berbasis GUI
Pada gambar 4.21 Setting EasyIDS mempunyai beberapa
konfigurasi yaitu snort configuration antara lain Network Settings, Notify
Settings, Rulesets, Thresholds, Rule Updates, Edit Config File.
.
104
Gambar 4.21 Snort Configuration
Pada gambar 4.22 EasyIDS mempunyai beberapa pengaturan
antara lain Snort Network Settings pada snort network setting untuk
mengatur koneksi jaringan internal maupun eksternal, maupun beberapa
server. Pada skripsi ini Penulis memberikan alamat IP pada Home
Network dengan IP 10.3.1.0/24 dimana /24 adalah subnet 255.255.255.0,
DNS Server dengan IP 10.3.0.30, Mail Server 10.3.0.40, Web Server
dengan IP 10.3.9.10, FTP Server 10.3.0.4.
Gambar 4.22 Snort Network Settings
105
Pada gambar 4.23 snort configuration, mesin sensor IDS perlu
adanya update rules secara berkala agar snort dapat mendeteksi atau
mengenali jenis serangan baru. Cara update rule yaitu ruleset Sourcefire
VRT certified register user rules dengan memasukkan Oink Code yaitu
97c79acd042fb5d386d07a1a3ace7148ab6398fd. Untuk mendapatkan
Oink Code tersebut, sebelum harus melakukan registrasi ke situs
www.snort.org.
Gambar 4.23 Snort Rule Updates
Pada gambar 4.24 Notify Settings difungsikan untuk
memberitahukan alert selama waktu yang di inginkan oleh user atau
administrator jaringan dan dikirim lewat email, dimana fungsi ini bisa di
106
nonaktifkan atau diaktifkan, pengaturan bisa dilakukan dengan sesuai
dengan hari.
Gambar 4.24 Notify Settings
Pada gambar 4.25 Snort Rulesets dimana rule-rule snort tersebut
digunakan oleh snort. Rule tersebut bisa di aktifkan atau di nonaktifkan
sesuai dengan keinginan adiministrator jaringan. Setiap mengkonfigurasi
rule snort, harus melakukan restart snort.
107
Gambar 4.25 Snort Rulesets
Pada gambar 4.26 System Status pada EasyIDS untuk
menginformasikan service apa saja yang sedang berjalan ataupun berhenti.
Bahwa sistem snort dan barnyard sedang running atau berjalan.
108
Gambar 4.26 System Status
Pada gambar 4.27 EasyIDS mempunyai status informasi pada
sebelah kiri menunjukkan System vital yaitu menjelaskan tentang
software yang digunakan dan sebagainya. Pada Network Usage
menunjukkan device network apa saja yang digunakan yaitu lo, eth0, eth1.
Pada sebelah kanan menunjukkan status hardware informasi tersebut
memberikan status spesifikasi hardware yang digunakan, status memory
yang dipakai dan juga kapasitas harddisk yang terpakai secara detail.
109
Gambar 4.27 System Information
4.15 Implementasi BASE (Basic Analysis and Security Engine)
Versi BASE pada sistem EasyIDS yang digunakan oleh penulis adalah
versi BASE 1.4.4. Dimana BASE sudah ada didalam proses instalasi sistem
operasi EasyIDS yang sudah include BASE 1.4.4. Pengujian Base yang
dilakukan penulis adalah dengan melakukan pada browser yaitu menggunakan
110
browser Mozilla firefox dengan memasukkan alamat URL https://10.3.4.221
cara pilih analysis kemudian pilih BASE maka tampilan halaman BASE seperti
pada gambar di bawah ini :
Gambar 4.28 Tampilan Halaman BASE (Basic Analysis and Security
Engine)
4.16 Monitoring (Pengawasan)
Model Pengawasan sistem jaringan komputer NDLC mengkategorikan
proses pengujian pada tahap pengawasan (monitoring). Hal ini dikarenakan
pengawasan sistem yang sudah dibangun atau dikembangkan. Proses pengujian
111
(testing) yaitu untuk menjamin apakah sistem yang dibangun atau dikembangkan
dapat berjalan dan sesuai dengan kebutuhan.
Aktivitas pengujian yang dilakukan pada penelitian ini adalah pengujian
bersifat fungsionalitas, dimana pengujian tersebut menghasilkan output yang
valid dan yang invalid. Tahap monitoring (pengawasan) yang diterapkan oleh
penulis apakah sudah dapat bekerja dengan baik. Tahap monitoring mencakup
sejumlah proses seperti : Melakukan penyerangan terhadap mesin sensor yaitu
dengan mengamati dan menganalisis alert BASE (Basic Analysis and Security
Engine). Pengujian komponen sistem mesin sensor IDS dilakukan dilingkungan
LAN, berikut ini adalah proses pengujian terhadap sistem yang sudah dibangun
dan dikembangkan :
4.16.1 Pengujian Fungsionalitas Komponen IDS
a. Pengujian Snort
Pengujian snort pada mesin sensor IDS dilakukan dengan
menggunakan rule yang sudah ada. Dimana pengujian tersebut dengan
melakukan serangan ke mesin sensor IDS.
1. Percobaan 1 : PING Attack (TCP Traffik)
Pada kasus ini, penulis mensimulasikan dan menganalisis jenis
serangan berprotokol TCP. Pada mesin sensor IDS, dimana client
112
mencoba ping attack ke alamat IP mesin sensor IDS yaitu 10.3.4.221
dengan menggunakan command prompt dengan mengirimkan paket
sebesar 65500. Seperti pada gambar 4.29.
Gambar 4.29 Ping Attack
2. Percobaan Kedua : NMAP Port Scanning Attack
Pada kasus ini, penulis mendefinisikan akan mesimulasikan
dan menganalisis jenis aktivitas port scanning dengan menggunakan
program nmap, yang dilakukan dari client atau mesin penyerang.
Pada percobaan ini penulis, pada client mencoba port
scanning dengan menggunakan nmap yaitu ke mesin sensor IDS
dengan IP 10.3.4.221. Pada program nmap yang sudah diinstall
113
dimesin client difungsikan untuk menguji coba mesin sensor IDS
yaitu dengan target IP 10.3.4.221 (mesin sensor IDS) dengan profile
Intense scan, all TCP ports.
Pada gambar 4.24 saat scanning yang dilakukan oleh client
ke mesin sensor IDS, bahwa mesin sensor IDS pada port scanning
yang client lakukan dengan menggunakan program nmap ke mesin
sensor bahwa adanya port yang terbuka pada mesin sensor IDS yaitu
port 80, 443 dan 22.
Gambar 4.30 Uji coba Nmap Client ke mesin sensor IDS
114
4.16.2 Analisa Data BASE (Basic analysis and security engine)
Pada Sub bab ini penulis akan menjelaskan proses analisis data
kejadian melalui fungsionalitas BASE. Berikut ini adalah langkah analisa
BASE :
Gambar 4.31 Halaman Utama BASE
Pada gambar 4.31 halaman utama BASE, kuadran sisi kiri atas
terdapat link yang menjelaskan sejumlah informasi seperti alert yang
terjadi hari ini, 24 jam terakhir dan 72 jam terakhir yang dapat di
tampilkan berdasarkan parameter unique, listing, alamat IP berdasarkan
sumber dan tujuan.
115
Pada kuadran sisi kanan terdapat informasi search dimana
pencarian berdasarkan waktu, jam, dan bulan. Pada graph alert data
menjelaskan informasi berdasarkan grafik alert dan pada graph alert
detection time grafik berdasarkan waktu yang sudah di konfigurasi.
Pada kuadran kanan bawah menginformasikan traffic profile by
protocol (traffic berdasarkan protokol), dan pada kuadran kiri bawah
menginformasikan jumlah sensor, alert unik, jumlah alert, alamat IP
berdasarkan sumber, tujuan dan unik alert. Pada traffic profile by protocol
dilihat dari protokol TCP dan Portscan traffic terjadi peningkatan sinyal
berwarna merah yaitu pada protokol TCP terjadi presentase alert sebesar
69% dan pada portscan traffic presentase sebesar 31%.
Penulis memanfaatkan fitur grafik pada BASE (Basic Analysis and
Security Engine) untuk menginformasikan alamat IP sumber dengan
jumlah alert yang dihasilkan. Berikut hasilnya pada tampilan diagram
batang (Bar chart) memiliki presentase alert sebesar 78,7% pada alamat
IP 10.3.4.223, presentase alert sebesar 4,9% pada alamat IP 10.3.4.224
dan presentase alert sebesar 16,4% pada alamat IP 68.180.217.33 dari
jumlah alert yang paling terdeteksi oleh mesin sensor IDS. Seperti pada
gambar 4.32.
116
Gambar 4.32 Diagram Batang Berdasarkan Time dan Jumlah Alert
Pada gambar 4.33 fitur yang menampilkan profil traffic by
protocol yaitu protokol TCP, BASE menginformasikan sejumlah alert dan
log pada protokol TCP.
117
Gambar 4.33 Tampilan Daftar Alert Berdasarkan Protokol TCP
118
Terlihat pada daftar alert berdasarkan protokol TCP yaitu
informasi dari kiri ke kanan adalah informasi identitas alert, informasi
signature yang tergenerate, timestamp (waktu terjadinya alert), alamat IP
sumber, alamat IP tujuan (target) dan protokol yang digunakan. Dimana ID
nomor 1 (1-3) dengan signature snort dengan nama ssh Protocol mismatch,
waktu tahun 2010 bulan 05 tanggal 24 pukul 06:04:44 dengan alamat IP
sumber 10.3.4.223 dengan tujuan (target) 10.3.4.221 pada protokol TCP.
Pada gambar 4.34 adalah Detail rincian dari setiap kejadian pada
mesin sensor IDS, dimana BASE mempresentasikan secara rinci komponen
dari traffic alert yang meliputi : metadata terdiri dari nomor ID yaitu 1
dengan waktu 2010-05-24 05:31:05 dengan signature snort_decoder : TCP
Window Scale Option Scale Invalid (>14) lebih dari 14 time to live. Pada
sensor terdiri dari alamat sensor yaitu easyids, interface pada Ethernet 1,
Filter tidak ada. Pada informasi protocol IP terdapat alamat sumber yaitu
10.3.4.223 dengan tujuan 10.3.4.221 version IP address adalah IP version
4, pada header length (panjang header 20 dan length 60, ID 26596, Time
To Live 56 dan checksum 64790= 0xfd16. Pada informasi protocol TCP
adalah sumber port dan tujuan port yaitu 33069 dan 30170.
119
Gambar 4.34 Detail Profile Traffic Alert
4.16.3 Solusi Mengatasi Serangan Ping Attack dan Port Scanning
Untuk mengatasi serangan dari intruder yaitu dengan cara ping
attack ke sebuah mesin sensor IDS, maka penulis menuliskan sebuah rule
iptable, dimana rule tersebut untuk memblok berdasarkan alamat IP
Address.
[root@easyids ~]# iptables –I INPUT –s 10.3.4.223 –j DROP
120
Saat rule iptables dimasukkan ke dalam rule iptables maka akan
terlihat pada mesin client atau penyerang yaitu request time out, seperti
gambar dibawah ini :
Gambar 4.35 Memblok Client Dalam Melakukan Ping Attack
Pada mesin client atau penyerang saat melakukan port scanning
dengan menggunakan tools Nmap, maka pada Nmap tidak terlihat adanya
port yang terbuka, seperti pada gambar di bawah ini :
121
Gambar 4.36 Nmap Pada Mesin Client
EasyIDS memiliki sistem grafik yang mempermudah seorang
admin untuk menganalisa sebuah paket jaringan yaitu grafik system, grafik
network, grafik snort network settings.
Pada Network Graphs ada dua interface Ethernet dimana eth0
berfungsi untuk memanajemen jaringan, terdiri dari dua warna yaitu hijau
untuk traffic incoming dan biru untuk traffic outgoing.
122
Pada gambar 4.37 Snort Performance Graphs yaitu Dropped
Packets percentage adalah untuk menunjukkan paket yang didrop atau
dijatuhkan ke mesin sensor, bahwa pada grafik tersebut tidak ada
pergerakan grafik.
Pada Alerts per second adalah untuk menunjukkan pergerakan
adanya alert atau peringatan kepada mesin sensor, bahwa terjadi pergerakan
grafik per second (detik). Seperti gambar dibawah ini :
Gambar 4.37 Grafik Dropped Packet dan Alert Per Second Snort
Pada gambar 4.38 grafik Mbit per second menunjukan adanya
pergerakan grafik dalam megabit yaitu pada grafik terdiri dari 3 warna yaitu
hijau, biru dan merah. Dimana hijau menunjukkan total on wire, biru
123
menunjukkan Application layer dan merah menunjukkan fragmented on
wire. Pada grafik terjadi pergerakan yaitu terjadi jumlah paket yang lewat
dan application layer.
Pada Kpackets Per Second adalah menunjukkan grafik paket per
kilobyte paket yang terdeteksi oleh mesin sensor. Seperti pada gambar
dibawah ini :
Gambar 4.38 Grafik Mbits per second dan Kpackets Per Second Snort
Pada gambar 4.39 grafik SYN + SYN/ACK Packets per second
adalah grafik yang terjadi peningkatan grafik dan session events per second
yang ditunjukkan dengan warna biru.
124
Pada grafik Sessions event per second adalah grafik yang
menunjukkan sessions baru dan yang terhapus atau deleted, dimana new
ditunjukkan dengan warna biru dan deleted ditunjukkan dengan warna
merah. Seperti gambar di bawah ini :
Gambar 4.39 Grafik SYN + SYN/ACK Packet dan Session Event Snort
Pada gambar 4.40 grafik open sessions adalah session yang
terbuka saat sessions, dimana open sessions ditunjukkan dengan warna biru
dan max sessions ditunjukkan dengan warna hijau.
125
Pada gambar 4.40 grafik Stream Events adalah grafik yang
menunjukkan terjadi urutan-urutan event yang terjadi per second (detik),
dimana flushes ditunjukkan dengan warna merah jambu (pink).
Gambar 4.40 Grafik Open Session dan Stream Event
Pada gambar 4.41 frag event adalah terdiri dari creates yang
ditunjukkan dengan warna pink (merah jambu), Completes yang
ditunjukkan dengan warna hijau, inserts yang ditunjukkan dengan warna
biru, deletes yang ditunjukkan dengan warna biru muda dan timeouts yang
ditunjukkan dengan warna merah.
126
Pada gambar 4.41 grafik Average Byte Per Packet adalah rata-rata
paket dalam byte yang melewati mesin sensor IDS.
Gambar 4.41 Grafik Frag Event dan Average Byte Per Packet
Pada gambar 4.42 sistem grafik EasyIDS yaitu System Graphs
menunjukkan suatu sistem memakai CPU Usage per hari dimana User CPU
Usage adalah pemakaian CPU oleh user atau pemakai ditunjukkan dengan
warna biru, pada system CPU ditunjukkan dengan warna merah dan Idle
CPU Usage adalah pemakaian CPU waktu menganggur CPU ditunjukkan
dengan warna hijau.
127
Pada gambar 4.42 Grafik memory terjadi pemakaian memory yang
ditunjukkan dengan warna biru dan cache memory terjadi pemakaian yang
ditunjukkan dengan warna merah. Free memory atau memory yang kosong
ditunjukkan dengan warna hijau.
Gambar 4.42 Grafik Sistem
Pada gambar 4.43 Network Graphs ada dua interface Ethernet
dimana traffic eth0 berfungsi untuk memanajemen mesin sensor IDS dan
Pada eth1 difungsikan untuk memonitor sistem jaringan pada mesin sensor
IDS, dimana incoming traffic ditunjukkan dengan warna hijau dan outgoing
traffic ditunjukkan dengan warna biru.
128
Gambar 4.43 Network Graphs
4.17 Management (Pemeliharaan)
Pada Fase management atau pemeliharaan meliputi aktivitas pemeliharaan
dan perawatan terhadap sistem yang telah dibangun. Pada fase manajemen
mempunyai serangkaian proses pengelolaan, pemeliharaan atau perawatan
dilakukan untuk sejumlah tujuan :
129
a. Memperbaiki beberapa kesalahan terhadap sistem yang sudah dibangun.
b. Mengadaptasi sistem yang sudah dibangun terhadap platform dan teknologi
baru dalam mengatasi sejumlah perkembangan permasalahan yang muncul
Pada tahap perancangan, pembangunan dan pengembangan sistem mesin
sensor IDS, fase manajemen dipresentasikan dengan beberapa cara yaitu :
a. Memperbaharui rules dari snort, hal ini agar IDS dapat selalu mengenali
jenis serangan.
b. Memperbaharui versi setiap komponen mesin sensor IDS yaitu Snort,
Barnyard, Oinkmaster dan BASE ke versi rilis terbaru, karena versi terbaru
menjamin perbaikan dan penambahan fitur yang kurang dari versi
sebelumnya.
Dengan demikian fase manajemen dapat efektif untuk menjamin
kekurangan kinerja dari sistem mesin sensor IDS.
130
BAB V
KESIMPULAN DAN SARAN
5.1 Kesimpulan
Rumusan kesimpulan dari keseluruhan proses penelitian yang telah
Dari pembahasan yang sudah di uraikan maka penulis mencoba membuat
kesimpulan dan saran sebagai berikut :
1. Sistem IDS (Intrusion Detection System) yang diterapkan telah berhasil
dibangun dan dikembangkan dengan baik. Keseluruhan sistem mesin
sensor IDS dapat bekerja dengan efektif sebagai sistem keamanan
jaringan komputer yang berbasis open source dalam mendeteksi sebuah
intruder atau penyusup pada mesin sensor IDS, dimana dalam mendeteksi
ada suatu serangan dianalisis pada BASE (Basic Security Engine). Untuk
lebih jelasnya dapat dilihat di subbab 4.16.2.
2. EasyIDS (Easy Intrusion Detection System) yang diterapkan adalah
mekanisme sistem kerja snort dan BASE yang telah berhasil di
implementasikan dengan baik. Dalam pengujian sistem snort dan BASE
yaitu dengan Ping attack dan Port scanning (Nmap). Untuk lebih jelasnya
dapat dilihat di subbab 4.16.2.
131
3. Adanya fungsionalitas atas komponen spesifik yang dapat memblok
traffic dari akses penyerang untuk melakukan aktivitas yang
mencurigakan.
5.2 Saran
Pada penelitian ini penulis menerapkan dan mengimplementasikan
sistem EasyIDS. Penulis menemukan Saran-saran yang diberikan pada
penilitian ini adalah sebagai berikut :
1. Penulis menyarankan untuk mengembangkan Sistem IDS ini agar dapat
mendeteksi aktivitas intrusi atau penyusup pada jaringan wireless.
2. Sistem EasyIDS yang ada saat skripsi ini ditulis, belum dapat melakukan
pendeteksian pada traffic jaringan yang terenkripsi. Akan jauh lebih baik,
jika sistem EasyIDS selanjutnya, dapat mendeteksi serangan yang
dilancarkan tidak hanya pada sistem jaringan normal (non-enkripsi) tetapi
juga pada sistem jaringan terenkripsi.
132
DAFTAR PUSTAKA
Ariyus, Dony. M.Kom. (2007). “Intrusion Detection System”. Yogyakarta :
Penerbit ANDI.
Ariyus, Dony (2009). “Keamanan Multimedia”. Yogyakarta : Penerbit
ANDI.
Baroto, Wisnu. (2003). “Memahami Dasar-Dasar Firewall Keluaran Check
Point Next Generation”. Jakarta : Penerbit PT Elex Media
Komputindo..
Goldman, James E. dan Rawles, Phillip T. (2001). “Applied Data
Communications A Business Oriented Approach, 3th Edition”.
Penerbit John Wiley & Sons, Inc.
Kohlenberg, Toby. (2007). “Snort Intrusion Detection and Prevent
Toolkit”.
http://books.google.com/books=kohlenberg+snort+intrusion+detec
tion+and+prevent+toolkit
Diakses tanggal 25-05-2010 jam 18:05 WIB
M Doss, George. (2000). “Tips Sistem Operasi Red Hat Linux”. Jakarta:
Penerbit PT. Elex Media Komputindo.
133
Nazir, Mohammad. (2005). “Metode Penelitian” Bogor : Penerbit Ghalia
Indonesia.
Patrick, (2009). “What about EasyIDS” http://www.skynet-
solutions.net/easyids/about.asp.
Diakses tanggal 30 Mei 2010 Pukul 11:34 WIB
Rafiudin, Rahmat. (2005). “Konfigurasi Sekuriti Jaringan Cisco”. Jakarta :
Penerbit PT. Elex Media Komputindo.
Rafiudin, Rahmat. (2006). “Cisco Router Konfigurasi Voice, Video, dan
Fax”. Yogyakarta : Penerbit Andi.
Rafiudin, Rahmat. (2006). “Membangun Firewall dan Traffic Filtering
berbasis Cisco”. Yogyakarta : Penerbit Andi.
Roesch, Martin. (2009) “Snort Manual 2.8.5”
http://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf
Diakses tanggal 12 Desember 2009 Pukul 09:53 WIB
Stallings, William. (2003). “Crytography and Network Security
PRINCIPLES AND PRACTICES Third Edition”. New Jersey :
Prentice Hall Pearson Education International.
Stiawan, Deris. (2009).“Internetworking Development & Design Life
Cycle”
134
http://deris.unsri.ac.id/materi/jarkom/network_development_cycles
Diakses tanggal 18 Januari 2010 Pukul 17:00 WIB
Wahana Komputer. (2003). “Konsep Jaringan Komputer dan
Pengembangannya”. Jakarta : Penerbit Salemba Infotek.
http://pusatbahasa.diknas.go.id/kbbi/index.php
Diakses tanggal 30 Mei 2010 Pukul 11:31 WIB
http://www.plnjaya.co.id/profil/Profil.asp
Diakses tanggal 13 April 2010 Pukul 09:25 WIB
135
LAMPIRAN I
WAWANCARA I
Responden : Bapak Hiltanto Sidik (Admin Jaringan PT.PLN (Persero)
Distribusi Jakarta Raya dan Tangerang.
Penanya : Imam Sutanto
Tanggal : 23 Maret 2010
Tema : Sistem Jaringan LAN PT. PLN (Persero) Distribusi Jakarta
Raya dan Tangerang dan Firewall.
Tujuan : Mengetahui dan mengamati sistem keamanan jaringan PT.
PLN (Persero) Jakarta Raya dan Tangerang.
Pertanyaan :
1. Permasalahan apa yang pernah dihadapi pada Sistem keamanan jaringan
komputer PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang, Gambir ?
2. Apakah sudah ada sistem Intrusion Detection System di PT. PLN (Persero)
Distribusi Jakarta Raya dan Tangerang, Gambir ?
3. Apakah yang diandalkan dari PT.PLN jika adanya suatu intruder ?
4. Apakah dengan melihat log-log file dapat dilihatnya suatu intruder ?
136
Hasil Wawancara :
Berdasarkan pertanyaan-pertanyaan yang diajukan oleh penulis pada
wawancara, penulis dapat mengetahui bahwa sering terjadi adanya ip spoffing dari
jaringan internal PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang. Belum
adanya sistem intrusion detection system untuk mendeteksi adanya intruder dan
Sistem keamanan yang digunakan oleh PT. PLN (Persero) adalah PC Router dan
firewall. Dalam penjelasannya dijelaskan juga tentang kekurangan dari sistem PC
Router yaitu untuk kondisi tertentu dapat terlihat tetapi lebih banyak yang tidak
terekam. Jenis Firewall yang digunakan adalah Firewall Nokia IP 390.
Untuk memantau dan melihat log-log file Jika terjadi gangguan baru
dilakukan pengecekan. Log-log filenya berupa text yang berisi ip dan paket serta
keterangan-keterangan spesifik seperti not a local network. Dengan penerapan
Intrusion Detection System, log file berupa tampilan GUI (Grafic User Friendly)
yang dapat mempermudah pemantauan adanya intruder.
137
LAMPIRAN II
WAWANCARA II
Responden : Bapak Hiltanto Sidik (Admin Jaringan PT.PLN (Persero)
Distribusi Jakarta Raya dan Tangerang.
Penanya : Imam Sutanto
Tanggal : 28 April 2010
Tema : Sistem EasyIDS yang diterapkan pada Jaringan LAN PT.
PLN (Persero) Distribusi Jakarta Raya dan Tangerang.
Tujuan : Mengetahui apakah EasyIDS yang diterapkan dapat
berjalan dengan baik sesuai dengan kebutuhan sistem
keamanan jaringan PT. PLN (Persero) Jakarta Raya dan
Tangerang.
Pertanyaan :
1. Apakah sistem yang saat ini dapat berjalan dengan baik ?
2. Apakah sistem EasyIDS ini dapat membantu pekerjaan anda ?
Hasil Wawancara :
Berdasarkan pertanyaan-pertanyaan yang diajukan oleh penulis kepada
Bapak Hiltanto Sidik (Admin jaringan PT. PLN (Persero) Distribusi Jakarta Raya
Tangerang) bahwa sistem EasyIDS yang diterapkan sudah dapat berjalan dengan
baik. Dimana EasyIDS tersebut dapat memberikan suatu alert (peringatan) adanya
138
suatu intruder pada jaringan PT. PLN (Persero) Distribusi Jakarta Raya dan
Tangerang dengan tampilan web based untuk mempermudah dalam menganalisis
log-log file dan lebih user friendly dalam penggunaannya.
INTERNET ICON +INTERNET SISTELINDO
SWICTH 2950
FIREWALL NOKIA IP 35010.3.9.11
ROUTER PACKETEER 2500
`
Management Sensor IDS10.3.4.222
`
Sensor IDS10.3.4.221
`
Client10.3.4.223
Switch 2940 FTP Server10.3.0.4
Mail Server10.3.0.40
PC router10.3.1.12
Web Server10.3.9.10
167
LAMPIRAN VI
BARNYARD.CONF
# http://www.snort.org Barnyard 0.1.0 configuration file
# Contact: snort-barnyard@lists.sourceforge.net
#-------------------------------------------------------------
# $Id: barnyard.conf,v 1.9 2004/05/01 16:43:29 andrewbaker Exp $
########################################################
# Currently you want to do two things in here: turn on
# available data processors and turn on output plugins.
# The data processors (dp's) and output plugin's (op's)
# automatically associate with each other by type and
# are automatically selected at run time depending on
# the type of file you try to load.
########################################################
# Step 1: configuration declarations
# To keep from having a commandline that uses every letter in the alphabet
# most configuration options are set here
# enable daemon mode
config daemon
# use localtime instead of UTC (*not* recommended because of timewarps)
config localtime
# set the hostname (currently only used for the acid db output plugin)
config hostname: easyids
# set the interface name (currently only used for the acid db output plugin)
config interface: eth1
168
# set the filter (currently only used for the acid db output plugin)
#config filter: not port 22
# Step 2: setup the output plugins
# alert_fast
#-----------------------------
# Converts data from the dp_alert plugin into an approximation of Snort's
# "fast alert" mode. Argument: <filename>
output alert_fast
# log_dump
#-----------------------------
# Converts data from the dp_log plugin into an approximation of Snort's
# "ASCII packet dump" mode. Argument: <filename>
output log_dump
# alert_csv (experimental)
#---------------------------
# Creates a CSV output file of alerts (optionally using a user specified format)
# Arguments: filepath [format]
#
# The format is a comma-seperated list of fields to output (no spaces allowed)
# The available fields are:
# sig_gen - signature generator
# sig_id - signature id
# sig_rev - signatrue revision
# sid - SID triplet
# class - class id
# classname - textual name of class
# priority - priority id
# event_id - event id
# event_reference - event reference
# ref_tv_sec - reference seconds
# ref_tv_usec - reference microseconds
# tv_sec - event seconds
# tv_usec - event microseconds
169
# timestamp - prettified timestamp (2001-01-01 01:02:03) in UTC
# src - src address as a u_int32_t
# srcip - src address as a dotted quad
# dst - dst address as a u_int32_t
# dstip - dst address as a dotted quad
# sport_itype - source port or ICMP type (or 0)
# sport - source port (if UDP or TCP)
# itype - ICMP type (if ICMP)
# dport_icode - dest port or ICMP code (or 0)
# dport - dest port
# icode - ICMP code (if ICMP)
# proto - protocol number
# protoname - protocol name
# flags - flags from UnifiedAlertRecord
# msg - message text
# hostname - hostname (from barnyard.conf)
# interface - interface (from barnyard.conf)
#
# Examples:
# output alert_csv: /var/log/snort/csv.out
# output alert_csv: /var/log/snort/csv.out timestamp,msg,srcip,sport,dstip,dport,protoname,itype,icode
# output alert_csv: csv.out timestamp,msg,srcip,sport,dstip,dport,protoname,itype,icode
# alert_syslog
#-----------------------------
# Converts data from the alert stream into an approximation of Snort's
# syslog alert output plugin. Same arguments as the output plugin in snort.
#output alert_syslog
# alert_syslog2
#-------------------------------
# Generates a syslog alert. This supports considerably more features than
170
# the original syslog output plugin.
#
# output alert_syslog2
# log_pcap
#-----------------------------
# Converts data from the dp_log plugin into standard pcap format
# Argument: <filename>
#output log_pcap
# acid_db
#-------------------------------
# Available as both a log and alert output plugin. Used to output data into
# the db schema used by ACID
# Arguments:
# $db_flavor - what flavor of database (ie, mysql)
# sensor_id $sensor_id - integer sensor id to insert data as
# database $database - name of the database
# server $server - server the database is located on
# user $user - username to connect to the database as
# password $password - password for database authentication
output alert_acid_db: mysql, sensor_id 1, database snort, server localhost, user snort, password AXdcizcWp96y
output log_acid_db: mysql, database snort, server localhost, user snort, password AXdcizcWp96y, detail full
# sguil
#----
# This output plug-in is used to generate output for use with the SGUIL user
# interface. To learn more about SGUIL, go to http://sguil.sourceforge.net
#
# output sguil: mysql, sensor_id 0, database sguildb, server syn, user root,\
# password dbpasswd, sguild_host syn, sguild_port 7736
167
LAMPIRAN VI
FOTO PROSES RISET
1. Perangkat Firewall
2. Perangkat Router
168
3. Perangkat Switch
4. Mesin Sensor IDS
169
5. Mesin management sensor
139
LAMPIRAN III
KONFIGURASI SWITCH PORT MIRROR
Switch>enable
Password : cisco
Switch# configure terminal
Switch (config)#
Switch (config)# monitor session 1 source interface fastethernet 0/1
Switch (config)# monitor session 1 destination interface fastethernet 0/2
Switch (config)# exit
Switch# show monitor session 1
Session 1---------Source Ports: RX Only: None TX Only: None Both: Fa0/1Destination Ports: Fa0/2
140
LAMPIRAN IV
LOG FILE PC ROUTER
May 15 00:00:00 gateway newsyslog[24940]: logfile turned over due to size>100K
May 15 00:13:35 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 00:18:43 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1
May 15 00:25:07 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1
May 15 00:33:41 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 00:33:41 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 00:45:32 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network
May 15 00:53:51 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 01:14:00 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 01:31:34 gateway kernel: rl1: watchdog timeout
May 15 01:31:44 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1
May 15 01:34:07 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 01:34:07 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 01:36:52 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1
May 15 01:54:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 01:54:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 02:16:21 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 02:16:21 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 02:20:04 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1
May 15 02:29:13 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1
May 15 02:36:27 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 02:36:27 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 02:56:33 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 02:56:33 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 03:04:15 gateway sendmail[25592]: o4EK4Fiq025592: Losing ./qfo4EK4Fiq025592: savemail panic
May 15 03:04:15 gateway sendmail[25592]: o4EK4Fiq025592: SYSERR(root): savemail: cannot save rejected email anywhere
May 15 03:04:15 gateway sendmail[25638]: o4EK4FPi025638: Losing ./qfo4EK4FPi025638: savemail panic
May 15 03:04:15 gateway sendmail[25638]: o4EK4FPi025638: SYSERR(root): savemail: cannot save rejected email anywhere
141
May 15 03:16:42 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 03:16:42 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 03:24:20 gateway kernel: rl1: watchdog timeout
May 15 03:24:50 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network
May 15 03:24:52 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network
May 15 03:36:45 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 03:36:45 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 03:56:58 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 03:56:58 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 04:17:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 04:17:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 04:17:55 gateway sendmail[25863]: o4ELHshZ025863: Losing ./qfo4ELHshZ025863: savemail panic
May 15 04:17:55 gateway sendmail[25863]: o4ELHshZ025863: SYSERR(root): savemail: cannot save rejected email anywhere
May 15 04:37:15 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 04:37:15 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 04:57:19 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 04:57:19 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 05:14:38 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network
May 15 05:17:25 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 05:17:25 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 05:37:29 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 05:37:29 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 05:43:12 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network
May 15 05:57:38 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 05:57:38 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 06:11:34 gateway kernel: arp: 10.3.4.190 moved from 00:13:46:3a:ef:d2 to 00:15:60:a4:29:d2 on rl1
May 15 06:17:46 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 06:17:46 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 06:37:53 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 06:37:53 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 06:45:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 06:46:30 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network
May 15 06:50:10 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
142
May 15 06:50:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 06:55:10 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 06:55:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 06:58:00 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 06:58:00 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 07:16:05 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 07:18:06 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 07:18:06 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 07:20:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 07:25:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 07:25:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 07:30:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 07:30:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 07:35:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 07:35:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 07:38:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 07:38:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 07:40:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 07:40:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 07:45:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 07:45:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 07:50:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 07:50:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 07:55:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 07:55:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 07:58:16 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 08:00:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:00:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 08:05:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:05:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 08:10:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:10:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 08:15:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:15:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
143
May 15 08:18:23 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 08:18:23 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 08:18:32 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network
May 15 08:20:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:20:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 08:25:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:25:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 08:36:58 gateway kernel: arp: 10.3.4.9 moved from 00:24:81:16:31:e7 to 00:1a:64:e5:fa:aa on rl1
May 15 08:38:29 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 08:39:24 gateway kernel: arp: 10.3.4.9 moved from 00:1a:64:e5:fa:aa to 00:24:81:16:31:e7 on rl1
May 15 08:45:36 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:45:37 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 08:50:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:50:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 08:55:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 08:55:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 08:58:38 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1
May 15 08:58:38 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 15 09:00:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 09:00:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 09:05:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 09:05:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 09:10:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 15 09:10:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1
May 15 09:15:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1
May 17 01:53:57 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1
May 17 02:00:00 gateway newsyslog[31759]: logfile turned over due to size>100K
144
LAMPIRAN V
SNORT.CONF
#--------------------------------------------------
# http://www.snort.org Snort 2.8.5.1 Ruleset
# Contact: snort-sigs@lists.sourceforge.net
#--------------------------------------------------
# $Id$
#
###################################################
# This file contains a sample snort configuration.
# You can take the following steps to create your own custom configuration:
#
# 1) Set the variables for your network
# 2) Configure dynamic loaded libraries
# 3) Configure preprocessors
# 4) Configure output plugins
# 5) Add any runtime config directives
# 6) Customize your rule set
#
###################################################
# Step #1: Set the network variables:
#
# You must change the following variables to reflect your local network. The
# variable is currently setup for an RFC 1918 address space.
#
# You can specify it explicitly as:
#
# var HOME_NET 10.1.1.0/24
#
# if Snort is built with IPv6 support enabled (--enable-ipv6), use:
# ipvar HOME_NET 10.1.1.0/24
145
#
# or use global variable $<interfacename>_ADDRESS which will be always
# initialized to IP address and netmask of the network interface which you run
# snort at. Under Windows, this must be specified as
# $(<interfacename>_ADDRESS), such as:
# $(\Device\Packet_{12345678-90AB-CDEF-1234567890AB}_ADDRESS)
#
# var HOME_NET $eth0_ADDRESS
#
# You can specify lists of IP addresses for HOME_NET
# by separating the IPs with commas like this:
#
# var HOME_NET [10.1.1.0/24,192.168.1.0/24]
#
# MAKE SURE YOU DON'T PLACE ANY SPACES IN YOUR LIST!
#
# or you can specify the variable to be any IP address
# like this:
var HOME_NET 10.3.1.0/24
# Set up the external network addresses as well. A good start may be "any"
var EXTERNAL_NET !$HOME_NET
# Configure your server lists. This allows snort to only look for attacks to
# systems that have a service up. Why look for HTTP attacks if you are not
# running a web server? This allows quick filtering based on IP addresses
# These configurations MUST follow the same configuration scheme as defined
# above for $HOME_NET.
# List of DNS servers on your network
var DNS_SERVERS 10.3.0.30
# List of SMTP servers on your network
var SMTP_SERVERS 10.3.0.40
# List of web servers on your network
var HTTP_SERVERS 10.3.9.10
# List of sql servers on your network
146
var SQL_SERVERS $HOME_NET
# List of telnet servers on your network
var TELNET_SERVERS $HOME_NET
# List of telnet servers on your network
var FTP_SERVERS 10.3.0.4
# List of snmp servers on your network
var SNMP_SERVERS $HOME_NET
# Configure your service ports. This allows snort to look for attacks destined
# to a specific application only on the ports that application runs on. For
# example, if you run a web server on port 8180, set your HTTP_PORTS variable
# like this:
#
# portvar HTTP_PORTS 8180
#
# Ports you run web servers on
portvar HTTP_PORTS 80
# NOTE: If you wish to define multiple HTTP ports, use the portvar
# syntax to represent lists of ports and port ranges. Examples:
## portvar HTTP_PORTS [80,8080]
## portvar HTTP_PORTS [80,8000:8080]
# And only include the rule that uses $HTTP_PORTS once.
#
# The pre-2.8.0 approach of redefining the variable to a different port and
# including the rules file twice is obsolete. See README.variables for more
# details.
# Ports you want to look for SHELLCODE on.
portvar SHELLCODE_PORTS !80
# Ports you might see oracle attacks on
portvar ORACLE_PORTS 1521
# Ports for FTP servers
portvar FTP_PORTS 21
# other variables
#
# AIM servers. AOL has a habit of adding new AIM servers, so instead of
147
# modifying the signatures when they do, we add them to this list of servers.
var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]
# Path to your rules files (this can be a relative path)
# Note for Windows users: You are advised to make this an absolute path,
# such as: c:\snort\rules
var RULE_PATH /etc/snort/rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
# Configure the snort decoder
# ============================
#
# Snort's decoder will alert on lots of things such as header
# truncation or options of unusual length or infrequently used tcp options
#
#
# Stop generic decode events:
#
# config disable_decode_alerts
#
# Stop Alerts on experimental TCP options
#
# config disable_tcpopt_experimental_alerts
#
# Stop Alerts on obsolete TCP options
#
# config disable_tcpopt_obsolete_alerts
#
# Stop Alerts on T/TCP alerts
#
# In snort 2.0.1 and above, this only alerts when a TCP option is detected
# that shows T/TCP being actively used on the network. If this is normal
# behavior for your network, disable the next option.
#
# config disable_tcpopt_ttcp_alerts
148
#
# Stop Alerts on all other TCPOption type events:
#
# config disable_tcpopt_alerts
#
# Stop Alerts on invalid ip options
#
# config disable_ipopt_alerts
#
# Alert if value in length field (IP, TCP, UDP) is greater than the
# actual length of the captured portion of the packet that the length
# is supposed to represent:
#
# config enable_decode_oversized_alerts
#
# Same as above, but drop packet if in Inline mode -
# enable_decode_oversized_alerts must be enabled for this to work:
#
# config enable_decode_oversized_drops
#
# Configure the detection engine
# ===============================
#
# Use a different pattern matcher in case you have a machine with very limited
# resources:
#
# config detection: search-method lowmem
# Configure Inline Resets
# ========================
#
# If running an iptables firewall with snort in InlineMode() we can now
# perform resets via a physical device. We grab the indev from iptables
# and use this for the interface on which to send resets. This config
# option takes an argument for the src mac address you want to use in the
149
# reset packet. This way the bridge can remain stealthy. If the src mac
# option is not set we use the mac address of the indev device. If we
# don't set this option we will default to sending resets via raw socket,
# which needs an ipaddress to be assigned to the int.
#
# config layer2resets: 00:06:76:DD:5F:E3
###################################################
# Step #2: Configure dynamic loaded libraries
#
# If snort was configured to use dynamically loaded libraries,
# those libraries can be loaded here.
#
# Each of the following configuration options can be done via
# the command line as well.
#
# Load all dynamic preprocessors from the install path
# (same as command line option --dynamic-preprocessor-lib-dir)
#
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
#
# Load a specific dynamic preprocessor library from the install path
# (same as command line option --dynamic-preprocessor-lib)
#
# dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libdynamicexample.so
#
# Load a dynamic engine from the install path
# (same as command line option --dynamic-engine-lib)
#
dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
#
# Load all dynamic rules libraries from the install path
# (same as command line option --dynamic-detection-lib-dir)
#
# dynamicdetection directory /usr/local/lib/snort_dynamicrule/
150
#
# Load a specific dynamic rule library from the install path
# (same as command line option --dynamic-detection-lib)
#
# dynamicdetection file /usr/local/lib/snort_dynamicrule/libdynamicexamplerule.so
#
###################################################
# Step #3: Configure preprocessors
#
# General configuration for preprocessors is of
# the form
# preprocessor <name_of_processor>: <configuration_options>
# frag3: Target-based IP defragmentation
# --------------------------------------
#
# Frag3 is a brand new IP defragmentation preprocessor that is capable of
# performing "target-based" processing of IP fragments. Check out the
# README.frag3 file in the doc directory for more background and configuration
# information.
#
# Frag3 configuration is a two step process, a global initialization phase
# followed by the definition of a set of defragmentation engines.
#
# Global configuration defines the number of fragmented packets that Snort can
# track at the same time and gives you options regarding the memory cap for the
# subsystem or, optionally, allows you to preallocate all the memory for the
# entire frag3 system.
#
# frag3_global options:
# max_frags: Maximum number of frag trackers that may be active at once.
# Default value is 8192.
# memcap: Maximum amount of memory that frag3 may access at any given time.
# Default value is 4MB.
151
# prealloc_frags: Maximum number of individual fragments that may be processed
# at once. This is instead of the memcap system, uses static
# allocation to increase performance. No default value. Each
# preallocated fragment typically eats ~1550 bytes. However,
# the exact amount is determined by the snaplen, and this can
# go as high as 64K so beware!
#
# Target-based behavior is attached to an engine as a "policy" for handling
# overlaps and retransmissions as enumerated in the Paxson paper. There are
# currently five policy types available: "BSD", "BSD-right", "First", "Linux"
# and "Last". Engines can be bound to standard Snort CIDR blocks or
# IP lists.
#
# frag3_engine options:
# timeout: Amount of time a fragmented packet may be active before expiring.
# Default value is 60 seconds.
# ttl_limit: Limit of delta allowable for TTLs of packets in the fragments.
# Based on the initial received fragment TTL.
# min_ttl: Minimum acceptable TTL for a fragment, frags with TTLs below this
# value will be discarded. Default value is 0.
# detect_anomalies: Activates frag3's anomaly detection mechanisms.
# policy: Target-based policy to assign to this engine. Default is BSD.
# bind_to: IP address set to bind this engine to. Default is all hosts.
#
# Frag3 configuration example:
#preprocessor frag3_global: max_frags 65536, prealloc_frags 65536
#preprocessor frag3_engine: policy linux \
# bind_to [10.1.1.12/32,10.1.1.13/32] \
# detect_anomalies
#preprocessor frag3_engine: policy first \
# bind_to 10.2.1.0/24 \
# detect_anomalies
#preprocessor frag3_engine: policy last \
# bind_to 10.3.1.0/24
152
#preprocessor frag3_engine: policy bsd
preprocessor frag3_global: max_frags 65536
preprocessor frag3_engine: policy first detect_anomalies overlap_limit 10
# stream5: Target Based stateful inspection/stream reassembly for Snort
# ---------------------------------------------------------------------
# Stream5 is a target-based stream engine for Snort. It handles both
# TCP and UDP connection tracking as well as TCP reassembly.
#
# See README.stream5 for details on the configuration options.
#
# Example config
preprocessor stream5_global: max_tcp 8192, track_tcp yes, \
track_udp no
preprocessor stream5_tcp: policy first, use_static_footprint_sizes
# preprocessor stream5_udp: ignore_any_rules
# Performance Statistics
# ----------------------
# Documentation for this is provided in the Snort Manual. You should read it.
# It is included in the release distribution as doc/snort_manual.pdf
#
preprocessor perfmonitor: time 60 file /var/log/snort/snort.stats pktcnt 500
# http_inspect: normalize and detect HTTP traffic and protocol anomalies
#
# lots of options available here. See doc/README.http_inspect.
# unicode.map should be wherever your snort.conf lives, or given
# a full path to where snort can find it.
preprocessor http_inspect: global \
iis_unicode_map unicode.map 1252
preprocessor http_inspect_server: server default \
profile all ports { 80 8080 8180 } oversize_dir_length 500
#
# Example unique server configuration
#
#preprocessor http_inspect_server: server 1.1.1.1 \
153
# ports { 80 3128 8080 } \
# server_flow_depth 0 \
# ascii no \
# double_decode yes \
# non_rfc_char { 0x00 } \
# chunk_length 500000 \
# non_strict \
# oversize_dir_length 300 \
# no_alerts
# rpc_decode: normalize RPC traffic
# ---------------------------------
# RPC may be sent in alternate encodings besides the usual 4-byte encoding
# that is used by default. This plugin takes the port numbers that RPC
# services are running on as arguments - it is assumed that the given ports
# are actually running this type of service. If not, change the ports or turn
# it off.
# The RPC decode preprocessor uses generator ID 106
#
# arguments: space separated list
# alert_fragments - alert on any rpc fragmented TCP data
# no_alert_multiple_requests - don't alert when >1 rpc query is in a packet
# no_alert_large_fragments - don't alert when the fragmented
# sizes exceed the current packet size
# no_alert_incomplete - don't alert when a single segment
# exceeds the current packet size
preprocessor rpc_decode: 111 32771
# bo: Back Orifice detector
# -------------------------
# Detects Back Orifice traffic on the network.
#
# arguments:
# syntax:
# preprocessor bo: noalert { client | server | general | snort_attack } \
# drop { client | server | general | snort_attack }
154
# example:
# preprocessor bo: noalert { general server } drop { snort_attack }
#
#
# The Back Orifice detector uses Generator ID 105 and uses the
# following SIDS for that GID:
# SID Event description
# ----- -------------------
# 1 Back Orifice traffic detected
# 2 Back Orifice Client Traffic Detected
# 3 Back Orifice Server Traffic Detected
# 4 Back Orifice Snort Buffer Attack
preprocessor bo
# ftp_telnet: FTP & Telnet normalizer, protocol enforcement and buff overflow
# ---------------------------------------------------------------------------
# This preprocessor normalizes telnet negotiation strings from telnet and
# ftp traffic. It looks for traffic that breaks the normal data stream
# of the protocol, replacing it with a normalized representation of that
# traffic so that the "content" pattern matching keyword can work without
# requiring modifications.
#
# It also performs protocol correctness checks for the FTP command channel,
# and identifies open FTP data transfers.
#
# FTPTelnet has numerous options available, please read
# README.ftptelnet for help configuring the options for the global
# telnet, ftp server, and ftp client sections for the protocol.
#####
# Per Step #2, set the following to load the ftptelnet preprocessor
# dynamicpreprocessor file <full path to libsf_ftptelnet_preproc.so>
# or use commandline option
# --dynamic-preprocessor-lib <full path to libsf_ftptelnet_preproc.so>
preprocessor ftp_telnet: global \
encrypted_traffic yes \
155
inspection_type stateful
preprocessor ftp_telnet_protocol: telnet \
normalize \
ayt_attack_thresh 200
# This is consistent with the FTP rules as of 18 Sept 2004.
# CWD can have param length of 200
# MODE has an additional mode of Z (compressed)
# Check for string formats in USER & PASS commands
# Check nDTM commands that set modification time on the file.
preprocessor ftp_telnet_protocol: ftp server default \
def_max_param_len 100 \
alt_max_param_len 200 { CWD } \
cmd_validity MODE < char ASBCZ > \
cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \
chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \
telnet_cmds yes \
data_chan
preprocessor ftp_telnet_protocol: ftp client default \
max_resp_len 256 \
bounce yes \
telnet_cmds yes
# smtp: SMTP normalizer, protocol enforcement and buffer overflow
# ---------------------------------------------------------------------------
# This preprocessor normalizes SMTP commands by removing extraneous spaces.
# It looks for overly long command lines, response lines, and data header lines.
# It can alert on invalid commands, or specific valid commands. It can optionally
# ignore mail data, and can ignore TLS encrypted data.
#
# SMTP has numerous options available, please read README.SMTP for help
# configuring options.
#####
# Per Step #2, set the following to load the smtp preprocessor
# dynamicpreprocessor file <full path to libsf_smtp_preproc.so>
156
# or use commandline option
# --dynamic-preprocessor-lib <full path to libsf_smtp_preproc.so>
preprocessor smtp: \
ports { 25 587 691 } \
inspection_type stateful \
normalize cmds \
normalize_cmds { EXPN VRFY RCPT } \
alt_max_command_line_len 260 { MAIL } \
alt_max_command_line_len 300 { RCPT } \
alt_max_command_line_len 500 { HELP HELO ETRN } \
alt_max_command_line_len 255 { EXPN VRFY }
# sfPortscan
# ----------
# Portscan detection module. Detects various types of portscans and
# portsweeps. For more information on detection philosophy, alert types,
# and detailed portscan information, please refer to the README.sfportscan.
# -configuration options-
# proto { tcp udp icmp ip all }
# The arguments to the proto option are the types of protocol scans that
# the user wants to detect. Arguments should be separated by spaces and
# not commas.
# scan_type { portscan portsweep decoy_portscan distributed_portscan all }
# The arguments to the scan_type option are the scan types that the
# user wants to detect. Arguments should be separated by spaces and not
# commas.
# sense_level { low|medium|high }
# There is only one argument to this option and it is the level of
# sensitivity in which to detect portscans. The 'low' sensitivity
# detects scans by the common method of looking for response errors, such
# as TCP RSTs or ICMP unreachables. This level requires the least
# tuning. The 'medium' sensitivity level detects portscans and
# filtered portscans (portscans that receive no response). This
# sensitivity level usually requires tuning out scan events from NATed
# IPs, DNS cache servers, etc. The 'high' sensitivity level has
157
# lower thresholds for portscan detection and a longer time window than
# the 'medium' sensitivity level. Requires more tuning and may be noisy
# on very active networks. However, this sensitivity levels catches the
# most scans.
# memcap { positive integer }
# The maximum number of bytes to allocate for portscan detection. The
# higher this number the more nodes that can be tracked.
# logfile { filename }
# This option specifies the file to log portscan and detailed portscan
# values to. If there is not a leading /, then snort logs to the
# configured log directory. Refer to README.sfportscan for details on
# the logged values in the logfile.
# watch_ip { Snort IP List }
# ignore_scanners { Snort IP List }
# ignore_scanned { Snort IP List }
# These options take a snort IP list as the argument. The 'watch_ip'
# option specifies the IP(s) to watch for portscan. The
# 'ignore_scanners' option specifies the IP(s) to ignore as scanners.
# Note that these hosts are still watched as scanned hosts. The
# 'ignore_scanners' option is used to tune alerts from very active
# hosts such as NAT, nessus hosts, etc. The 'ignore_scanned' option
# specifies the IP(s) to ignore as scanned hosts. Note that these hosts
# are still watched as scanner hosts. The 'ignore_scanned' option is
# used to tune alerts from very active hosts such as syslog servers, etc.
# detect_ack_scans
# This option will include sessions picked up in midstream by the stream
# module, which is necessary to detect ACK scans. However, this can lead to
# false alerts, especially under heavy load with dropped packets; which is why
# the option is off by default.
#
preprocessor sfportscan: proto { all } \
memcap { 10000000 } \
sense_level { low }
# arpspoof
158
#----------------------------------------
# Experimental ARP detection code from Jeff Nathan, detects ARP attacks,
# unicast ARP requests, and specific ARP mapping monitoring. To make use of
# this preprocessor you must specify the IP and hardware address of hosts on
# the same layer 2 segment as you. Specify one host IP MAC combo per line.
# Also takes a "-unicast" option to turn on unicast ARP request detection.
# Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:
# SID Event description
# ----- -------------------
# 1 Unicast ARP request
# 2 Etherframe ARP mismatch (src)
# 3 Etherframe ARP mismatch (dst)
# 4 ARP cache overwrite attack
#preprocessor arpspoof
#preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00
# ssh
# ------------------------------
# The SSH preprocessor detects the following exploits: Challenge-Response
# Authentication overflow, CRC 32 overflow, Secure CRT version string overflow,
# and protocol version mismatches.
#
# Both Challenge-Response Auth and CRC 32 attacks occur after the key exchange,
# and are therefore encrypted. Both attacks involve sending a large payload
# (20kb+) to the server immediately after the authentication challenge.
# To detect the attacks, the SSH preprocessor counts the number of bytes
# transmitted to the server. If those bytes exceed a pre-defined limit,
# set by the option "max_client_bytes", an alert is generated. Since
# the Challenge-Response Auth overflow only affects SSHv2, while CRC 32 only
# affects SSHv1, the SSH version string exchange is used to distinguish
# the attacks.
#
# The Secure CRT and protocol mismatch exploits are observable before
# the key exchange.
#
159
# SSH has numerous options available, please read README.ssh for help
# configuring options.
#####
# Per Step #2, set the following to load the ssh preprocessor
# dynamicpreprocessor file <full path to libsf_ssh_preproc.so>
# or use commandline option
# --dynamic-preprocessor-lib <full path to libsf_ssh_preproc.so>
#
preprocessor ssh: server_ports { 22 } \
max_client_bytes 19600 \
max_encrypted_packets 20 \
enable_respoverflow enable_ssh1crc32 \
enable_srvoverflow enable_protomismatch
# DCE/RPC
#----------------------------------------
#
# The dcerpc preprocessor detects and decodes SMB and DCE/RPC traffic.
# It is primarily interested in DCE/RPC data, and only decodes SMB
# to get at the DCE/RPC data carried by the SMB layer.
#
# Currently, the preprocessor only handles reassembly of fragmentation
# at both the SMB and DCE/RPC layer. Snort rules can be evaded by
# using both types of fragmentation; with the preprocessor enabled
# the rules are given a buffer with a reassembled SMB or DCE/RPC
# packet to examine.
#
# At the SMB layer, only fragmentation using WriteAndX is currently
# reassembled. Other methods will be handled in future versions of
# the preprocessor.
#
# Autodetection of SMB is done by looking for "\xFFSMB" at the start of
# the SMB data, as well as checking the NetBIOS header (which is always
# present for SMB) for the type "SMB Session".
#
160
# Autodetection of DCE/RPC is not as reliable. Currently, two bytes are
# checked in the packet. Assuming that the data is a DCE/RPC header,
# one byte is checked for DCE/RPC version (5) and another for the type
# "DCE/RPC Request". If both match, the preprocessor proceeds with that
# assumption that it is looking at DCE/RPC data. If subsequent checks
# are nonsensical, it ends processing.
#
# DCERPC has numerous options available, please read README.dcerpc for help
# configuring options.
#####
# Per Step #2, set the following to load the dcerpc preprocessor
# dynamicpreprocessor file <full path to libsf_dcerpc_preproc.so>
# or use commandline option
# --dynamic-preprocessor-lib <full path to libsf_dcerpc_preproc.so>
#
#preprocessor dcerpc: \
# autodetect \
# max_frag_size 3000 \
# memcap 100000
# DCE/RPC 2
#----------------------------------------
# See doc/README.dcerpc2 for explanations of what the
# preprocessor does and how to configure it.
#
preprocessor dcerpc2
preprocessor dcerpc2_server: default
# DNS
#----------------------------------------
# The dns preprocessor (currently) decodes DNS Response traffic
# and detects a few vulnerabilities.
#
# DNS has a few options available, please read README.dns for
161
# help configuring options.
#####
# Per Step #2, set the following to load the dns preprocessor
# dynamicpreprocessor file <full path to libsf_dns_preproc.so>
# or use commandline option
# --dynamic-preprocessor-lib <full path to libsf_dns_preproc.so>
preprocessor dns: \
ports { 53 } \
enable_rdata_overflow
# SSL
#----------------------------------------
# Encrypted traffic should be ignored by Snort for both performance reasons
# and to reduce false positives. The SSL Dynamic Preprocessor (SSLPP)
# inspects SSL traffic and optionally determines if and when to stop
# inspection of it.
#
# Typically, SSL is used over port 443 as HTTPS. By enabling the SSLPP to
# inspect port 443, only the SSL handshake of each connection will be
# inspected. Once the traffic is determined to be encrypted, no further
# inspection of the data on the connection is made.
#
# If you don't necessarily trust all of the SSL capable servers on your
# network, you should remove the "trustservers" option from the configuration.
#
# Important note: Stream5 should be explicitly told to reassemble
# traffic on the ports that you intend to inspect SSL
# encrypted traffic on.
#
# To add reassembly on port 443 to Stream5, use 'port both 443' in the
# Stream5 configuration.
preprocessor ssl: noinspect_encrypted, trustservers
####################################################################
# Step #4: Configure output plugins
#
162
# Uncomment and configure the output plugins you decide to use. General
# configuration for output plugins is of the form:
#
# output <name_of_plugin>: <configuration_options>
#
# alert_syslog: log alerts to syslog
# ----------------------------------
# Use one or more syslog facilities as arguments. Win32 can also optionally
# specify a particular hostname/port. Under Win32, the default hostname is
# '127.0.0.1', and the default port is 514.
#
# [Unix flavours should use this format...]
# output alert_syslog: LOG_AUTH LOG_ALERT
#
# [Win32 can use any of these formats...]
# output alert_syslog: LOG_AUTH LOG_ALERT
# output alert_syslog: host=hostname, LOG_AUTH LOG_ALERT
# output alert_syslog: host=hostname:port, LOG_AUTH LOG_ALERT
# log_tcpdump: log packets in binary tcpdump format
# -------------------------------------------------
# The only argument is the output file name.
#
# output log_tcpdump: tcpdump.log
# database: log to a variety of databases
# ---------------------------------------
# See the README.database file for more information about configuring
# and using this plugin.
#
# output database: log, mysql, user=root password=test dbname=db host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test
# output database: log, oracle, dbname=snort user=snort password=test
# unified: Snort unified binary format alerting and logging
163
# -------------------------------------------------------------
# The unified output plugin provides two new formats for logging and generating
# alerts from Snort, the "unified" format. The unified format is a straight
# binary format for logging data out of Snort that is designed to be fast and
# efficient. Used with barnyard (the new alert/log processor), most of the
# overhead for logging and alerting to various slow storage mechanisms such as
# databases or the network can now be avoided.
#
# Check out the spo_unified.h file for the data formats.
#
# Two arguments are supported.
# filename - base filename to write to (current time_t is appended)
# limit - maximum size of spool file in MB (default: 128)
#
output alert_unified: filename snort.alert, limit 128
output log_unified: filename snort.log, limit 128
# prelude: log to the Prelude Hybrid IDS system
# ---------------------------------------------
#
# profile = Name of the Prelude profile to use (default is snort).
#
# Snort priority to IDMEF severity mappings:
# high < medium < low < info
#
# These are the default mapped from classification.config:
# info = 4
# low = 3
# medium = 2
# high = anything below medium
#
# output alert_prelude
# output alert_prelude: profile=snort-profile-name
# You can optionally define new rule types and associate one or more output
# plugins specifically to that type.
164
#
# This example will create a type that will log to just tcpdump.
# ruletype suspicious
# {
# type log
# output log_tcpdump: suspicious.log
# }
#
# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:
# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)
#
# This example will create a rule type that will log to syslog and a mysql
# database:
# ruletype redalert
# {
# type alert
# output alert_syslog: LOG_AUTH LOG_ALERT
# output database: log, mysql, user=snort dbname=snort host=localhost
# }
#
# EXAMPLE RULE FOR REDALERT RULETYPE:
# redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \
# (msg:"Someone is being LEET"; flags:A+;)
#
# Include classification & priority settings
# Note for Windows users: You are advised to make this an absolute path,
# such as: c:\snort\etc\classification.config
#
include classification.config
#
# Include reference systems
# Note for Windows users: You are advised to make this an absolute path,
# such as: c:\snort\etc\reference.config
#
165
include reference.config
####################################################################
# Step #5: Configure snort with config statements
#
# See the snort manual for a full set of configuration references
#
# config flowbits_size: 64
#
# New global ignore_ports config option from Andy Mullican
#
# config ignore_ports: <tcp|udp> <list of ports separated by whitespace>
# config ignore_ports: tcp 21 6667:6671 1356
# config ignore_ports: udp 1:17 53
####################################################################
# Step #6: Customize your rule set
#
# Up to date snort rules are available at http://www.snort.org
#
# The snort web site has documentation about how to write your own custom snort
# rules.
#=========================================
# Include all relevant rulesets here
#
# The following rulesets are disabled by default:
#
# web-attacks, backdoor, shellcode, policy, porn, info, icmp-info, virus,
# chat, multimedia, and p2p
#
# These rules are either site policy specific or require tuning in order to not
# generate false positive alerts in most enviornments.
#
166
# Please read the specific include file for more information and
# README.alert_order for how rule ordering affects how alerts are triggered.
#=========================================
# Include any thresholding or suppression commands. See threshold.conf in the
# <snort src>/etc directory for details. Commands don't necessarily need to be
# contained in this conf, but a separate conf makes it easier to maintain them.
# Note for Windows users: You are advised to make this an absolute path,
# such as: c:\snort\etc\threshold.conf
# Uncomment if needed.
include threshold.conf
# Modified for EasyIDS to allow web editing.
include snort_rules.conf
top related