39

BAB 3

Metode dan Perancangan Sistem

3.1. Kebutuhan Sistem

Dalam penelitian ini membutuhkan beberapa perangkat-

perangkat, rincian perangkat-perangkat yang digunakan dalam

penelitian ditampilkan beserta spesifikasi dalam Tabel 3.1:

Tabel 3.1. Spesifikasi Perangkat yang Digunakan

PERANGKAT SPESIFIKASI KETERANGAN

Komputer 1

Processor

RAM

Harddisk

OS

Intel Core i5, 2.53 Ghz

2 GB

500 GB

Windows 7 32-bit

Komputer yang

digunakan untuk

implementasi IDS dan

web server.

Komputer 2

Processor

RAM

Harddisk

OS

Dual-Core, 2.30 Ghz

1 GB

250 GB

Windows 7 32-bit

Komputer yang

dipakai untuk

pengujian dengan

melakukan intrusi

pada komputer 1.

Software WinPcap

Library yang

dipergunakan Snort

untuk menampilkan

kartu jaringan yang

ada pada komputer.

40

Snort 2.9.2.2

Rule Header

Rule Payload

Perangkat yang

gigunakan sebagai

IDS untuk

mengidentifikasi

intrusi berdasarkan

sumber data header

dan payload .

Rule untuk Snort IDS.

Perangkat IDS untuk

mengidentifikasi paket

data berdasarkan

sumber data header.

Rule untuk Snort IDS.

Perangkat IDS

untuk

mengidentifikasi

paket data

berdasarkan

sumber data

Payload.

41

3.2. Tahapan Penelitian

Penelitian dilakukan dalam beberapa tahap, yaitu:

pengumpulan bahan dan referensi yang mendukung penelitian,

dilanjutkan dengan perancangan dan konfigurasi jaringan yang

dipakai, kemudian dilanjutkan dengan instalasi dan konfigurasi

Snort IDS yang akan digunakan untuk mengidentifikasi intrusi

berdasarkan header dan payload, membuat rules untuk Snort IDS

agar dapat berfungsi dengan benar sesuai dengan sumber data yang

akan diteliti, instalasi web server untuk pengujian, menguji IDS

dengan melakukan serangan dan melakukan analisis.

Jaringan yang digunakan dalam penelitian adalah jaringan

dengan arsitektur client/server yang diimplementasikan dengan

konsep Snort Host-Based IDS dengan skema seperti ditunjukkan

pada Gambar 3.1.

Gambar 3.1 Skema Arsitektur Jaringan

42

Keterangan Gambar 3.1:

- Komputer 1 (IDS) : perangkat tempat diletakkannya Snort IDS

- IDS 1 : merupakan Snort IDS yang menggunakan konfigurasi

snort-header.conf dengan rules header.

- IDS 2 : merupakan Snort IDS yang menggunakan dikonfigurasi

snort-payload.conf dengan rules payload.

- Komputer 2 (Intruder) : merupakan perangkat yang digunakan

untuk melakukan intrusi ke komputer 1

Pengujian dilakukan setelah konfigurasi selesai untuk

mengumpulkan data untuk analisa dan pengambilan kesimpulan.

Adapun tahapan penelitian dari langkah-langkah penelitian tersebut

digambarkan pada Gambar 3.2.

43

Gambar 3.2 Tahapan Penelitian

Tidak

Ya

Mulai

Pengumpulan bahan

Perancangan dan konfigurasi

Evaluasi konfigurasi

Pengujian simulasi

Data lengkap ?

Membandingkan hasil deteksi antara IDS

header dan IDS payload

Penulisan Laporan

Selesai

44

Data tersebut dianggap lengkap apabila hasil peringatan

Snort IDS telah didapatkan setelah melalui pengujian dengan cara

melakukan intrusi. Langkah akan diulang dari evaluasi konfigurasi

untuk memperbaiki kesalahan jika hasil peringatan belum

didapatkan.

Langkah perancangan, konfigurasi dan pengujian Snort IDS

merupakan proses yang lebih kompleks dibandingkan langkah

lainnya, sehingga langkah-langkah tersebut dapat digambarkan pada

Gambar 3.3.

45

Gambar 3.3 Diagram Alir Perancangan dan Pengujian

Pengujian simulasi serangan

Ya

Snort berjalan ?

Ya

Pengujian running proses

Tidak

Mulai

Instalasi software pendukung

Instalasi Snort

Konfigurasi Snort header Konfigurasi Snort payload

Konfigurasi rule Snort

Serangan terdeteksi ?

Tida

kk

Selesai

46

Berdasarkan diagram alir pada Gambar 3.3 dapat diuraikan

langkah-langkah yang dilakukan selama perancangan, konfigurasi

dan pengujian sistem IDS Snort. Penjabaran dari langkah-langkah

tersebut adalah :

3.2.1. Instalasi Software Pendukung

Software pendukung yang dibutuhkan agar Snort IDS dapat berjalan

adalah WinPcap (Windows Packet Capture Library) adalah driver

untuk penangkap paket-paket yang hilir-mudik dalam jaringan.

Sedara fungsional, artinya WinPcap menangkap paket-paket dari

kabel jaringan dan melemparnya ke program Snort.

Berikut fungsi-fungsi dari WinPcap untuk Snort:

- Menangkap daftar adapter jaringan yang beroperasi dan sekaligus

mengambil informasi tentang adapter-adapter tersebut.

- Mengawasi paket-paket menggunakan salah satu adapter yang

kita pilih.

- Menyimpan paket-paket ke dalam hard-drive (atau lebih penting

lagi, meneruskannya ke program Snort).

Instalasi dan konfigurasi WinPcap sebagai berikut:

1. Download file instalasi WinPcap terkini dari:

http://www.winpcap.org/

file instalasi biasanya bernama seperti WinPcap_4_0_2.exe.

2. Klik ganda file instalasi tersebut dan ikut petunjuk instalasi yang

diberikan.

WinPcap menginstal dirinya sendiri ke lokasi yang telah

ditetapkan secara default.

47

Snort akan memanggil WinPcap secara langsung pada semua fungsi

untuk menangkap dan menganalisis paket-paket jaringan. Ini artinya

jika driver tersebut tidak terinstal dengan benar maka Snort tidak

akan berfungsi.

3.2.2. Instalasi Snort

Snort.org menyediakan paket instalasi yang cocok untuk versi

Windows, yang dapat kita download dari link:

http://www.snort.org/downloads/

Download paket Snort ini (umumnya bernama seperti

Snort_2_9_2_2_Installer.exe) dan lakukan langkah-langkah seperti

menginstal program pada umumnya. Dalam memilih direktori untuk

menginstal pilih direktori menyimpan semua aplikasi yang berkaitan

dengan Snort di dalam direktori yang sama pada drive C:\(partisi

data penulis).

3.2.3. Proses Konfigurasi Snort

Instalasi Snort memerlukan beberapa konfigurasi penting.

Snort memberi file yang telah memiliki semua seting konfigurasi

yang dibutuhkan (Snortpath adalah path tempat instalasi Snort) yaitu

file sonrt.conf, karena penulis akan mengidentifikasi intrusi

berdasarkan dua sumber data yaitu header dan payload maka

konfigurasi Snort dalam direktori C:\Snort\etc dibuat dua

konfigurasi yaitu snort-header.conf dan snort-payload.conf.

Untuk mengkonfigurasi Snort, buka file snort-header.conf dan

snort-payload.conf dengan text editor (Notepad++/Notepad), disini

48

penulis menggunakan Notepad++ sebab jika menggunakan Notepad,

kemungkinan besar konten file tersebut akan terlihat tidak beraturan.

Gambar 3.4 Tampilan File snort.conf

Gambar 3.4 merupakan tampilan konten pada snort.conf. File

snort.conf ini merupakan rangkaian pernyataan-pernyataan berupa

opsi-opsi untuk mengkonfigurasi Snort.

Berikut ini adalah opsi-opsi konfigurasi yang sangat penting untuk

berfungsinya instalasi Snort :

49

1. Seting-seting jaringan

Seting-seting jaringan dalam Snort berguna untuk memonitoring

IP-IP address, seperti semua range IP address jaringan, IP

address tunggal, beberapa IP address tertentu secara

berkelompok atau terpisah, dan seluruh subnet yang dimiliki.

Untuk mengontrol range jaringan, cukup mengganti seting var

Home_NET pada snort.conf.

Secara default, snort.conf memiliki baris berikut, yang

memonitoring seluruh jaringan lokal.

var HOME_NET any

Pada penelitian ini penulis menggunakan setingan default ini

untuk menangkap seluruh paket yang lewat pada jaringan lokal

yang akan dianalisis.

2. Seting rulebase

Agar Snort bisa mendeteksi serangan dan memperingatkan saat

ada intrusi, Snort perlu mengetahui letak rulebase yang

digunakan. Secara default, rulebase terdapat di bawah direktori

C:\Snort\rules.

Untuk mengeset path rule di dalam file snort-header.conf dan

snort-payload.conf, ganti baris var RULE_PATH yang ada

dengan format seperti berikut :

Var RULE_PATH C:\Snort\rules

3. Seting output

Seting output sangatlah penting pada Snort, di mana setingan ini

merinci tentang bagaimana informasi dari Snort akan disajikan.

Seting output alert ditambahkan ke dalam file konfigurasi

snort.conf. File ini juga akan sangat membantu untuk

50

memberikan log yang kemudian akan dianalisis. Langkah-

langkah untuk mengeset seting output alert sebagai berikut :

- Temukan baris output, secara default seperti ini:

# output log_tcpdump : tcpdump.log

Karena baris default diawali dengan karakter komentar (#),

yang berarti Snort mengabaikan perintah ini. Karakter #

tersebut dihapus, agar Snort menjalankan perintah ini.

- Mengubah baris default output ke:

Output alert_fast : alert.ids

Seting ini akan membuat file teks ke dalam direktori „log‟ di

mana Snort membubuhkan tiap peringatan (alert) yang dibuat

saat salah satu dari rule-rule dipicu oleh paket jaringan yang

lewat.

File ini yang akan penulis gunakan untuk dianalisis dari segi

header dan payload yang dianggap sebagai intrusi oleh rule

Snort.

4. Seting include

Dua file konfigurasi standar Snort haruslah diedit agar Snort bisa

dengan benar mengklasifikasikan dan membagi referensi pada

alert-alert yang dibuat : classification.config dan

reference.config. File classification.config menangani level alert

bagi rules yang digunakan Snort untuk memonitor trafik-trafik

jaringan. Untuk mengeset file classification.config pada file

konfigurasi snort.conf, berikut langkah-langkahnya :

- Temukan baris default include classification.config pada file

snort.conf.

- Masukkan path aktual untuk file classification.config ke awal

baris Include

51

Include Snortpath\etc\classification.config

Pada penelitian ini, file snort.conf yang actual pada sistem yang

dibuat menggunakan baris :

Include C:\Snort\etc\classification.config

3.2.4. Konfigurasi Rule Snort

File – file rule snort diletakkan pada direktori C:\Snort\rules.

Yaitu header.rules dan payload.rules yang merupakan rule khusus

yang digunakan untuk pengujian system. Rule khusus tersebut yang

digunakan untuk pengujian yang direncanakan ditunjukkan pada

Gambar 3.5 dan Gambar 3.6.

Gambar 3.5 File header.rules untuk Snort Header

Gambar 3.6 File payload.rules untuk Snort Payload

52

3.2.5. Pengujian Sistem IDS Snort

Serangan keamanan yang sering terjadi sebagai bagian untuk

melakukan intrusi terhadap suatu sistem dapat berupa port scaning,

ping of death, brute force attack, SQL Injection. Oleh karena itu,

dibutuhkan IDS yang mampu mendeteksi intrusi dan menghasilkan

alert yang baik. Sehingga dalam penelitian ini pengujian sistem

Snort IDS menggunakan Snort IDS yang mendeteksi berdasarkan

header dan Snort IDS yang mendeteksi berdasarkan payload

dilakukan dengan melakukan serangan ke komputer 1 yang

berfungsi sebagai server dan tempat diletakkannya Snort IDS.

1. Pengujian 1: Ping of death

Pengujian ini dilakukan sebagai simulasi serangan yang

bermaksud membanjiri server dengan request dari client dengan

paket data ukuran besar yang dapat menyebabkan server

kehabisan sumberdaya untuk membalas request client.

Simulasi ping of death pada pengujian ini dilakukan

menggunakan ping ke komputer 1 dengan IP Address

192.168.1.112, dengan paket data sebesar 10000 bytes dari

komputer intruder untuk mendapatkan reply dari komputer 1.

Perintah yang diberikan pada command prompt komputer

intruder adalah ping 192.168.1.112 –l 10000 –t.

2. Pengujian 2: Simulasi brute force attack

Pengujian ini dilakukan sebagai simulasi serangan yang

bermaksud mendapatkan password. Brute force attack

merupakan sebuah teknik serangan terhadap sebuah sistem

keamanan komputer yang menggunakan percobaan terhadap

53

semua password yang memungkinkan atau bias juga disebut

menggunakan random password/ password acak. Pendekatan ini

pada awalnya merujuk pada sebuah program komputer yang

mengandalkan kekuatan pemrosesan komputer debandingkan

kecerdasan manusia.

Simulasi brute force attack pada penelitian ini menggunakan

hydra sebagai program komputer untuk memperoleh password

dan XAMPP sebagai web server yang menggunakan wordpress

blog testing yang memiliki fungsi login untuk kemudian

dilakukan percobaan login menggunakan hydra dengan

mengetikkan perintah hydra -L usernames.txt -P passwords.txt -o

result.txt -s 80 192.168.1.112 http-post-form "/wordpress/wp-

login.php:log=^USER^&pwd=^PASS^&wp-submit=1:ERROR"

pada command prompt komputer intruder.

3. Pengujian 3: Simulasi SQL Injection

Teknik SQL Injection saat ini sering dilakukan dalam serangan

keamanan untuk mendapatkan akses, terutama pada web berbasis

php-MySQL. Teknik ini dilakukan dengan memberikan kode-

kode khusus dalam bahasa MySQL terhadap masukan yang

diminta oleh sebuah halaman web, agar server memberikan

informasi yang tidak seharusnya.

Pengujian simulasi ini dilakukan terhadap halaman login web

wordpress yang terletak pada server, dengan memasukkan kode-

kode khusus baik pada URL maupun pada form login halaman

web wordpress. Pada URL kode-kode khusus itu seperti

http://192.168.1.112/wordpress/wp-admin/link-

manager.php?orderby=name;INSERT INTO wp_users SET

54

user_login='hacker',user_pass='$P$BgYClM.CPc8l.ezpocafk66S

REBahW/',user_nicename='HACKER',user_email='a@a.com',us

er_url='',

user_registered='',user_activation_key='',user_status=0,display_n

ame='HACKER';&order=ASc kode ini berfungsi untuk

membuat user login “hacker” dan password “admin”. Adapun

kode-kode yang dimasukkan ke dalam form login tersebut

adalah:

a) ' OR 1=1;

b) abc' UNION ALL SELECT 1 AS ID, 'hacker' AS user_login,

'$P$BgYClM.CPc8l.ezpocafk66SREBahW/' AS user_pass,

'HACKER' AS user_nicename,'a@a.com' AS user_email,''

AS user_url,'' user_registered,'' AS user_activation_key,0 AS

user_status,'HACKER' AS display_name FROM wp_users;

Snort IDS kemudian akan memeriksakan transfer data yang

melewati perangkat jaringan komputer 1 pada port-port layanan

http, sehingga dapat membandingkan content-content dari data

tersebut dengan rule Snort yang ada, kemudian dapat

menentukan apakah transaksi data tersebut merupakan sebuah

serangan atau tidak. Apabila konten transaksi data dianggap

sebagai sebuah serangan maka Snort akan memberikan

peringatan.

4. Pengujian 4: Port scaning

Pengujian 4 dilakukan dengan melakukan eksploitasi server

dengan menggunakan tool BluePortScanner, yaitu aplikasi yang

berguna untuk mendapatkan informasi dari server. Informasi

yang diinginkan adalah port-port yang terbuka pada server. Pihak

55

penyerang dalam simulasi ini adalah komputer 2 dengan IP

Address 192.168.1.100 dengan target komputer 1 dengan IP

Address 192.168.1.112.