membangun_sistem_intrusion_detection_pada_windows
TRANSCRIPT
![Page 1: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/1.jpg)
Membangun Sistem Intrusion Detection System
Yang Open Source Pada Sistem Operasi Windows
Pendahuluan Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi
adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin
ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala
macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang
tidak berhak.
Intrusion Detection System yang nantinya akan disebut IDS merupakan
usaha mengidentifikasi adanya penyusup yang memasuki sistem tanpa otorisasi
(misal cracker) atau seorang user yang sah tetapi menyalahgunakan privelege
sumberdaya sistem. Intrusion Detection System (IDS) atau Sistem Deteksi
Penyusupan adalah sistem komputer (bisa merupakan kombinasi software dan
hardware) yang berusaha melakukan deteksi penyusupan . IDS akan melakukan
pemberitahuan saat mendeteksi sesuatu yang dianggap sebagai mencurigakan atau
tindakan ilegal. IDS tidak melakukan pencegahan terjadinya penyusupan.
Pengamatan untuk melakukan pemberitahuan itu bergantung pada bagaimana baik
melakukan konfigurasi IDS.
Penulis kali ini akan mencoba mambangun sebuah sistem intrusion
detection pada sistem Windows 2003 Server. Seperti artikel sebelumnya penulis
juga akan menggunakan snort sebagai IDS yang open source. Snort yang dapat
diperoleh di http://www.snort.org biasanya di sebut sebagai Network Intrusion
Detection System (NIDS). Snort sendiri adalah Open Source yang tersedia di
berbagai variasi Unix (termasuk Linux) dan juga Microsoft Windows.
Sebuah NIDS akan memperhatikan seluruh segmen jaringan dimana dia
berada, berbeda dengan host based IDS yang hanya memperhatikan sebuah mesin
dimana software host based IDS tersebut di pasang. Secara sederhana, sebuah
NIDS akan mendeteksi semua serangan yang dapat melalui jaringan komputer
(Internet maupun IntraNet) ke jaringan / komputer yang kita miliki.
Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap
sebagai penyusupan atau bukan, IDS dibagi menjadi 2:
![Page 2: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/2.jpg)
1) Knowledge-based atau misuse detection
Knowledge-based IDS dapat mengenali adanya penyusupan dengan
cara menyadap paket data kemudian membandingkannya dengan database
rule IDS (berisi signature-signature paket serangan). Jika paket data
mempunyai pola yang sama dengan (setidaknya) salah satu pola di database
rule IDS, maka paket tersebut dianggap sebagai serangan, dan demikian
juga sebaliknya, jika paket data tersebut sama sekali tidak mempunyai pola
yang sama dengan pola di database rule IDS, maka paket data tersebut
dianggap bukan serangan.
2) Behavior based (anomaly)
IDS jenis ini dapat mendeteksi adanya penyusupan dengan
mengamati adanya kejanggalan-kejanggalan pada sistem, atau adanya
penyimpangan-penyimpangan dari kondisi normal, sebagai contoh ada
penggunaan memori yang melonjak secara terus menerus atau ada koneksi
parallel dari 1 buah IP dalam jumlah banyak dan dalam waktu yang
bersamaan. Kondisi-kondisi diatas dianggap kejanggalan yang kemudian
oleh IDS jenis anomaly based dianggap sebagai serangan.
Sedangkan dilihat dari kemampuan mendeteksi penyusupan pada jaringan,
IDS dibagi menjadi 2 yakni:
1) Host based intrusion detection system
Host based mampu mendeteksi hanya pada host tempat
implementasi IDS.
2) Network based intrusion detection system
Network based IDS mampu mendeteksi seluruh host yang berada
satu jaringan dengan host implementasi IDS tersebut.
Penulis kali ini akan membangun sebuah IDS dengan menggunakan snort
karena snort merupakan IDS opensource dan cukup bagus kinerjanya. Diagram
kerja intrusion detection system yang akan dibangun adalah sebagai berikut :
![Page 3: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/3.jpg)
Gambar1. Diagram kerja intrusion detection system
Persiapan
Untuk membangun sistem intrusion detection diperlukan beberapa
komponen yang perlu diintegrasikan menjadi satu kesatuan sistem. Komponen-
komponen tersebut meliputi :
1) Snort
Download versi terbaru snort untuk sistem operasi windows penulis
gunakan versi snort 2.6.1. Snort dapat didwonload di situs
http://www.snort.org.
2) Winpcap
Pada sistem operasi unix sudah tersedia library yang mampu
mengcapture paket pada jaringan yaitu libcap dan ikut disertakan pada CD
instalasinya, akan tetapi untuk sistem windows belum mempunyai library
yang mampu mengcapture paket pada jaringan komputer. Penulis gunakan
winpcap version 3.1, untuk mendownloadnya kunjungi situs
http://www.winpcap.org.
3) Oinkmaster
Seperti antivirus yang memerlukan update, rules snort juga perlu di
update. Update dilakukan untuk memperoleh rule terbaru sehingga nantinya
dapat diperoleh sebah rule yang mampu mengetahui jenis-jenis serangan
baru. Oinkmaster dapat di download di http://www.oinkmaster.com
4) Active Perl.
Oinkmaster
Update rule
ACID
![Page 4: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/4.jpg)
Untuk menjalankan oinkmaster diperlukan bahasa pemrograman
perl, karena oinkmaster dikembangkan dengan menggunakan bahasa
pemograman perl. Active perl dapat di download gratis di situs
http://www.perl.com
5) MySQL
Database yang digunakan adalah MySQL yang diinstall pada sistem
berbasis Windows atau sistem operasi lain yang mendukung database
MySQL. Alert IDS akan disimpan pada database mysql. Alasan pemilihan
MySQL sebagai program database yang digunakan antara lain :
• Sifatnya yang open source dan murah
• Cukup stabil pada hardware dengan spesifikasi yang relatif rendah
Mysql dapat di download pada situs http://www.mysql.com, Untuk
administrasi dan maintenance sistem database dibuat suatu interface
berbasis web yang dibuat dengan bahasa pemrograman PHP. Fungsi utama
dari interface ini adalah untuk mengedit atau mengupdate entry database
yang dijadikan input bagi sistem yang lain.
6) ACID (Analysis Console for Intrusion Databases)
ACID (Analysis Console for Intrusion Databases) merupakan PHP-
based analysis engine yang berfungsi untuk mencari dan mengolah database
dari alert network sekuriti yang dibangkitkan oleh perangkat lunak
pendeteksi intrusi (IDS). Dapat di implementasikan pada sistem yang
mendukung PHP seperti linux, BSD, Solaris dan OS lainnya. ACID adalah
perangkat lunak yang open-source dan didistribusikan dibawah lisensi GPL.
Penulis kali ini menggunakan ACID-0.9.6b23. ACID dapat di download
pada situs http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html.
7) PHP ( Personal Home Page ).
PHP merupakan bahasa pemrograman berbasis web. Bahasa ini
mempunyai kelebihan yaitu kompabilitasnya dengan berbagai macam jenis
database, dukungan dengan berbagai macam jenis sistem operasi. PHP lebih
cocok dan umum digunakan jika di gabungkan dengan database mysql.
Mysql dengan PHP seakan-akan dua hal yang tidak dapat dipisahkan. PHP
nantinya akan digunakan untuk menampilkan alert yang dihasilkan oleh
![Page 5: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/5.jpg)
snort. Alert tersebut nantinya akan ditampilkan dengan menggunakan
ACID. PHP dapat di download pada situs http://www.php.net
8) Web server Apache.
Web server yang akan digunakan adalah web server apache.
Webserver tersebut nantinya akan diintegrasikan bersama-sama dengan
PHP. Web server apache dapat didownload di situs http://www.apache.net
9) ADODB.
ADODB, sebuah library abstraksi untuk menggabungkan PHP ke
berbagai database seperti MySQL dan Postgre SQL. ADODB dapat
didwonload di http://adodb.sourceforge.net.
10) Phplot dan Jpgraph.
Merupakan library untuk membuat grafik yang baik di PHP. Library
ini nantinya akan digunakan bersama-sama dengan komponen yang lainnya.
Phplot dapat di download pada situs http://www.phplot.com, dan Jpgraph
dapat didownload di http://www.aditus.nu/jpgraph/.
Instalasi Setelah semua komponen-komponen yang dibutuhkan diperoleh langkah
selanjutnya adalah melakukan instalasi serta konfigurasi. Langkah-langkahnya
adalah sebagai berikut :
A. Winpcap dan Snort
1. Instal paket library yaitu winpcap, langkahnya adalah sebagai berikut :
1) Setelah mendapatkan installernya tinggal double klik ikon tersebut.
![Page 6: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/6.jpg)
2) Akan muncul langkah instalasi sebagai berikut, tekan tombol next.
3) Muncul proses instalasi berikutnya tekan next.
4) Setelah membaca lisence agreement tekan I Agree.
![Page 7: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/7.jpg)
5) Selesai sudah proses instalasi winpcap tekan finish
2. Instal Snort, langkahnya adalah sebagai berikut :
Tempatkan semua file instalasi pada satu direktori untuk mempermudah instalasi, misalnya C:\IDS
1) Setelah mendapatkan installer untuk snort, kita lakukan proses instalasi
dengan menduobleklik ikon dibawah ini.
2) Setelah membaca license Agreement tekan tombol I Agree.
3) Instalasi option akan memberikan pilihan database yang akan
digunakan tergantung database yang akan dipakai. Penulis memilih
pilihan paling atas. Tekan next.
![Page 8: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/8.jpg)
4) Proses selanjutnya adalah memilih komponen-komponen apa saja yang
akan di install. Tekan tombol next.
5) Tempatkan instalasi pada direktori yang telah kita buat yaitu C:\IDS.
Tekan tombol next.
![Page 9: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/9.jpg)
6) Setelah menkan tombol next akan terlihat proses instalasinya. Setelah
selesai tekan close.
7) Akan muncul peringatan bahwa winpcap sudah terinstall dan
konfigurasi pada snort.conf yang akan kita konfigurasi pada proses
selanjutnya. Tekan ok.
B. Database System
Dalam pembangunan intrusion detection system ini database yang
digunakan adalah database mysql instalasinya adalah sebagai berikut :
File paket instalasi MySQL terdapat pada file mysql-4.1.18-win32.zip yang
terkompresi dalam format ZIP. Langkah awal adalah ekstrak file tersebut dan
anda akan mendapatkan file setup.exe. kemudian eksekusi file setup.exe dan
![Page 10: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/10.jpg)
selanjutnya akan tampil windows MySQL setup seperti pada gambar 17. Click
Next.
Gambar 1. MySQL Setup
Pada Windows Setup Type (gambar 18) pilihlah Custom, karena anda akan
mengatur folder instalasi ke C:\IDS. Click Next.
Gambar 2. Setup type
![Page 11: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/11.jpg)
Tampilan windows berikutnya adalah Custom Setup (gambar 19). Pada
windows ini anda harus mengganti setting install to. Click Change.
Gambar 3. Custom Setup
Pada windows Change Current Destination Folder (gambar 10), gantilah
folder name menjadi C:\IDS\MySQL\MySQL Server 4.1\Click OK.
Gambar 4. Merubah Folder instalasi
Kemudian lanjutkan instalasi hingga selesai. Setelah selesai maka akan
tampil windows seperti pada gambar 21. Windows ini akan memberikan
![Page 12: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/12.jpg)
konfirmasi apakah anda akan mendaftarkan server anda ke MySQL.com atau
tidak. Pilihlah Skip untuk melewati tahap ini. Kemudian click Next.
Gambar 5. Registrasi MySQL
Instalasi MySQL telah selesai. Pada akhir instalasi akan tampil windows
untuk konfirmasi melanjutkan ke Configuration Wizard (gambar 22).
Konfigurasi MySQL server tersimpan dalam file my.ini yang akan
digunakan ketika menjalankan service MySQL. Pengaturan konfigurasi MySQL
server dapat dilakukan menggunakan Configuration Wizard yang akan
membantu proses pengaturan konfigurasi server secara otomatis. Confguration
Wizard akan menanyakan pertanyaan secara berurutan dan kemudian akan
membuat file my.ini dan diimplementasikan pada konfigurasi server. Mari kita
mulai pengaturan konfigurasi menggunakan Configuration Wizard.
Pastikan Check box Configure dalam keadaan aktif. Kemudian click Finish
untuk melanjutkan ke Configuration Wizard.
![Page 13: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/13.jpg)
Gambar 6. Konfirmasi Configuration Wizard
Pada Configuration wizard, semuanya di biarkan default saja. Yang harus
anda perhatikan adalah Setting password untuk root yang tampil pada windows
Security. Isikan password untuk root pada windows ini misalnya “pass”. Click
Next.
Gambar 7. Setting Securty
Setelah selesai melakukan instalasi database MySQL langkah selanjutnya adalah
membuat database yang akan digunakan snort untuk menyimpan alert, database
![Page 14: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/14.jpg)
yang akan kita buat kita beri nama snortdb dan archive. Prosesnya adalah sebagai
berikut :
a) Buka command prompt dengan mngetikkan cmd pada run lalu tekan ok.
b) Lalu akan muncul command prompt ketikkan beberapa perintah sebagai
berikut untuk bisa masuk ke mysql serta membuat dua database yaitu
snortdb dan archive.
c) Setelah berhasil membuat database langkah selanjutnya adalah membuat
tabel pada kedua database tersebut, snort sudah menyediakan beberapa
schema database untuk berbagai tipe platform database seperti MySQL,
MSSQL, POSTGRESQL, ORACLE, terletak pada direktori
![Page 15: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/15.jpg)
C:\IDS\snort\schemas. Dari schema tersebut dapat langsung kita kompile
dengan menggunakan perintah sebagai berikut :
d) Untuk mengecek apakah kompilasi telah berhasil gunakan perintah berikut
untuk melihat hasilnya :
• Database snortdb
![Page 16: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/16.jpg)
• Database archive
![Page 17: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/17.jpg)
Snort dapat dioperasikan dalam beberapa metode yaitu :
1) Sniffer mode, untuk melihat paket yang lewat di jaringan.
Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa
contoh perintah-nya terdapat di bawah ini, buka comand prompt ketikkan
perintah sebagai berikut :
cd c:\ids\snort \bin
![Page 18: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/18.jpg)
snort –vd –i2
snort –vde –i2
snort –v –d –e –i2
![Page 19: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/19.jpg)
![Page 20: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/20.jpg)
Untuk menghentikan proses sniffer tersebut gunakan perintah Ctrl +
c , maka akan didapat analisa beberapa paket yang berhasil diperoleh.
Dengan menambahkan beberapa switch –v, -d, -e akan
menghasilkan beberapa keluaran yang berbeda, yaitu
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.
-i2, merupakan sensor yang digunakan dapat digunakan perintah
seperti gambar berikut.
2) Packet logger mode, untuk mencatat semua paket yang lewat di jaringan
untuk di analisa di kemudian hari.
Tentunya cukup melelahkan untuk melihat paket yang lewat
sedemikian cepat di layar terutama jika kita menggunakan ethernet
berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali
susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk
mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke
sebuah file untuk di lihat kemudian. Beberapa perintah yang mungkin
dapat digunakan untuk mencatat paket yang ada adalah dengan
mengetikkan perintah pada command prompt:
cd c:\ids\snort\bin
![Page 21: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/21.jpg)
snort –dev –l c:\ids\snort\log –i2
![Page 22: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/22.jpg)
snort –dev –l c:\ids\snort\log –i2 –h 192.168.0.0/24
snort –dev –l c:\ids\snort\log –b
![Page 23: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/23.jpg)
perintah yang paling penting untuk me-log paket yang lewat adalah
-l c:\ids\snort\log
yang menentukan bahwa paket yang lewat akan di log atau di catat ke file
c:\ids\snort\log. Beberapa perintah tambahan dapat digunakan seperti –h
192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari
host mana saja, dan –b yang memberitahukan agar file yang di log dalam
format binary, bukan ASCII.
3) Intrusion Detection mode, pada mode ini snort akan berfungsi untuk
mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk
menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan
yang akan membedakan sebuah paket normal dengan paket yang
membawa serangan.
Langkah-langkah membuat intrusion detection mode adalah sebagai
berikut :
Download snort rules terlebih dahulu dengan melakukan register ke
http://www.snort.org, setelah berhasil login maka anda akan mendapatkan
oinkmaster code untuk mendownload snort rules.
![Page 24: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/24.jpg)
Untuk mendownload rules snort ketikkan pada browser url sebagai berikut :
http://www.snort.org/pub-bin/oinkmaster.cgi/ /snortrules-snapshot-2.3.tar.gz,
sehingga menjadihttp://www.snort.org/pub-
bin/oinkmaster.cgi/c69cc5ab1aef2694163aee9e1d53a7951c46fa7b/snortrules-
snapshot-2.3.tar.gz Setelah berhasil mendownload rules snort, ekstraklah snort
rules ke direktori C:\IDS\snort. Proses akan berhasil ditandai dengan adanya
beberapa rules berformat .rules pada direktori C:\IDS\snort\rules, seperti gambar
dibawah ini.
Gambar4. Snort rules telah berhasil di ekstrak
Oink code
Isikan oink code yang anda dapatkan
![Page 25: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/25.jpg)
Langkah selanjutnya adalah melakukan konfigurasi snort, editlah
snort.conf dengan menggunakan text editor semacam wordpad atau notepade.
Snort.conf terletak pada direktori C:\IDS\snort\etc. Edit beberapa baris ebagai
berikut :
a) Network Setting
Untuk memonitor aktivitas jaringan yang lebih spesifik ubahlah
var HOME_NET any misalnya menjadi var HOME_NET 192.168.1.0/24,
untuk var EXTERNAL_NET any biarkan saja karena akan memonitor ip
luar yang masuk ke jaringan kita. # or you can specify the variable to be any IP address # like this: var HOME_NET any # Set up the external network addresses as well. A good start may be "any" var EXTERNAL_NET any
b) Arahkan direktori rule berada. # Path to your rules files (this can be a relative path) # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\rules var RULE_PATH c:\IDS\snort\rules
c) Logging database ke database MySQL
# See the README.database file for more information about configuring # and using this plugin. # output database: alert, mysql, user=root password=root
dbname=snortdb host=localhost.
d) Arahkan direktori classification sebagai berikut :
# Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\etc\classification.config # include c:\IDS\snort\etc\classification.config
![Page 26: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/26.jpg)
e) Arahkan direktori reference sebagai berikut :
# Include reference systems # Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\etc\reference.config # include c:\IDS\snort\etc\reference.config
f) Arahkan direktori threshold sebagai berikut :
# Note for Windows users: You are advised to make this an absolute path, # such as: c:\snort\etc\threshold.conf # Uncomment if needed. # include threshold.conf Include c:\IDS\snort\etc\threshold.conf
Setelah melakukan konfigurasi seperti diatas, snort akan mendeteksi alaet dari
beberapa host network karena di snort.cof kita mengeset var HOME_NET any,
apabila diinginkan lebih fokus pada host jaringan tertentu dapat dikonfugirasi
seperti :
var HOME_NET any menjadi var HOME_NET 192.168.10.0/24 Konfigurasi diatas akan memonitor host yang ada pada jaringan dari IP
192.168.10.0 – 192.168.10.255 dan subnet 255.255.255.0
Konfigurasi service untuk snort bertujuan untuk mempermudah pengguna
agar tidak menjalankan snort secara manual melalaui command prompt. Untuk itu
service perlu diaktifkan terlebih dahulu dengan perintah dibawah ini, apabila
instalasi service snort jika tidak terjadi error akan dapat dilihat sebagai berikut :
![Page 27: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/27.jpg)
Apabila salah satu dari service tidak berhasil diinstall, maka snort tidak
akan berfungsi sebagai mana mestinya, karena service yang ada sangat
diperlukan. Untuk memastikan bahwa perintah service sudah berhasil perlu dicek
melalui register. Value dari service snort yang ada pada registry adalah seperti
berikut :
![Page 28: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/28.jpg)
Nilai yang ada di registry menandakan fungsi-fungsi tertentu.
• -vde, fungsi perintah ini adalah :
-v : perintah untuk melihat header TCP/IP paket yang lewat
-d : perintah untuk melihat isi paket
-e : perintah utnuk melihat header link layer paket seperti
ethernet header.
• -c : perintah untuk membaca konfigurasi pada file snort.conf
• c:\ids\snort\etc\snort.conf direktori dimana konfigurasi snort berada
yaitu snort.conf.
• -l : perintah untuk mendefinisikan tempat log snort berada.
• c:\ids\snort\log direktori temapat menyimpan log snort.
• -s : perintah agar alert masuk ke syslog
• -i2 : Sensor yang digunakan sebagai master sensor yaitu interface
network card 2.
Nilai-nilai diatas merupakan informasi bahwa instalasi service pada snort
telah berhasil. Untuk menjalankan snort secara otomatis perlu dilakukan beberapa
tahapan berikut :
Buka Control panel Administratif Tools Services snort
Pada service apllet snort ubah konfigurasi dari manual ke otomatis.
![Page 29: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/29.jpg)
Setelah dilakukan konfigurasi, sistem operasi perlu direstart supaya
registry dapat bekerja, masalah yang sering terjadi, snort.exe tidak tampil pada
proses task manager. Jika hal ini terjadi maka diperlukan konfigurasi pada registry
dengan menambahkan beberapa value. Langkah-langkahnya adalah sebagai
berikut :
• Pada
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sno
rtsrv.
• Kemudian tamabahkan value baru New Multi-string Value.
• Value yang ditambahkan “DependOnService”.
• Diberi nilai :
NM
NPF
![Page 30: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/30.jpg)
Sehingga nantinya akan diperoleh value baru.
![Page 31: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/31.jpg)
Fungsi dari registry untuk menambah NetGroup Packet Filter Driver dan
Network Monitor Driver. Kedua sistem tersebut tidak disediakan oleh snort. Oleh
karena itu perlu ditambahkan secara manual. NetGroup Packet Filter Driver dan
Network Monitor Driver sangat dibutuhkan jika diinginkan agar snort running
otomatis saat sistem operasi dihidupkan.
Jika penambahan registry ini berhasil maka perlu dilakukan instalasi
terhadap driver yang ada di local area network yang berfungsi sebagai master
sensor IDS. Installasi driver capture tidak membutuhkan konfigurasi tertentu.
Value Baru
![Page 32: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/32.jpg)
Untuk memastikan bahwa service snort telah berhasil dikonfigurasi bisa
dilihat pada task manager (tekan Ctrl + Shift + Esc) dimana snort.exe terdapat
pada processes. Hal itu berarti semua service dari snort sudah jalan dengan baik.
![Page 33: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/33.jpg)
Service snort yang sudah terinstal pada sistem operasi dapat dilihat dengan
perintah sebagai berikut :
Upadate Rules Snort Dengan Oinkmaster
Sepertihalnya anti virus yang memerlukan update, rules snort juga perlu di
update hal ini dimaksudkan agar mempunyai signature-signature yang baru
sehingga nantinya mampu mendeteksi jenis-jenis serangan yang baru. Untuk itu
dibutuhkan beberapa tools yaitu activeperl dan oinkmaster langkahnya adalah
sebagai berikut :
1) Instalasi Activeperl
Penulis kali ini menggunakan activeperl-5.6.1.638-MSWin32-
x86.zip. Setelah berhasil mendownload dari situs http:\\perl.com,
ekstraklah file tersebut ke direktori C:\IDS. Sehingga akan menjadi
direktori baru C:\IDS\perl.
![Page 34: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/34.jpg)
2) Instalasi Oinkmaster
Untuk mendapatkan oinkmaster dapat di download secara gratis
di http:\\www.oinkmaster.com. Penulis menggunakan Oinkmaster-
1.2.tar. Ekstraklah file tersebut ke direktori C:\IDS, kemudian rename
menjadi oinkmaster untuk mempermudah penggunaannya. Sehingga
akan diperoleh direktori C:\IDS\oinkmaster.
Buka file oinkmaster.conf dengan menggunkan wordpad dan lakukan
konfigurasi
![Page 35: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/35.jpg)
Hilangkan tanda “ # “ didepan url =
http://www.bleedingsnort.com/bleeding.rules.tar.gz, untuk mendapatkan update
snort rules secara gratis.
Untuk menggunakan oinkmaster ini buka command prompt kemudian
gunakan perintah seperti di bawah ini :
![Page 36: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/36.jpg)
Analasis Console For Intrusion Databases (ACID)
ACID (Analysis Console for Intrusion Databases) merupakan PHP-based
analysis engine yang berfungsi untuk mencari dan mengolah database dari alert
network sekuriti yang dibangkitkan oleh perangkat lunak pendeteksi intrusi (IDS).
Untuk mendukung ACID diperlukan webserver apache, php, adodb, jpgraph,
phplot. Langkah-langkahnya dalah sebagai berikut :
1. Sebelum menginstall
Pastikan PC anda mendukung TCP/IP. Jalankan command promt,
click Start Run , ketik cmd lalu tekan enter. Lakukan ping ke localhost,
ketik ping localhost (pada command promt), tekan enter. Pastikan
ping ter-Replay dan tidak time-out.
Gambar Ping ke localhost
2. Instalasi Webserver Apache
Penulis menggunakan webserver apache_2.0.55-win32-x86-
no_ssl.msi , dapat di download secara gratis di http://www.apache.net,
instalasi akan dilakukan pada direktori C:\IDS.
![Page 37: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/37.jpg)
Jalankan file apache_2.0.55-win32-x86-no_ssl.msi untuk memulai
menginstall apache. Tampilan awal instalasi apache akan tampil seperti
Gambar 8.
Gambar 8. Tampilan awal instalasi Apache
Akan muncul windows lisensi apache setelah membaca pilih I agree
dan tekan tombol next
Akan muncul beberapa pernyataan-pernyataan mengenai apache,
setelah selesai dan mengerti tekan next.
![Page 38: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/38.jpg)
Setelah beberapa windows, kemudian akan tampil windows untuk
server information (gambar 3). Isikan informasi tentang server yang akan
anda gunakan, tentang network domain, server name, dan email
administrator. Port yang digunakan untuk apache adalah port standar http
yaitu port 80. kemudian lanjutkan instalasi (click next). Konfigurasi tidak
harus sesuai keadaan yang sesungguhnya ketika anda install pada PC.
Namum ketika diinstall pada server yang sesungguhnya, maka informasi
yang diisikan harus sesuai dengan konfigurasi servernya. Konfigurasi ini
masih dapat dirubah ketika apache telah terinstall, melalui file httpd.conf.
![Page 39: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/39.jpg)
Gambar 9. Server Information
Tampilan berikutnya adalah tipe setup (gambar 4). Pilihlah pilihan
Custom, karena kita akan mengatur direktori tempat apache akan diinstall.
Click next. Kemudian akan tempil windows Custom Setup (gambar 5).
Gambar 10. Tampilan tipe setup
Pada Custom Setup (gambar 5), click Change untuk mengubah
direktori instalasi.
![Page 40: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/40.jpg)
Gambar 11. Custom Setup
Rubahlah direktori instalasi apache ke C:\IDS\Apache Group\
kemudian click OK (gambar 6)
Gambar 12. Direktori instalasi
Selanjutnya, lanjutkan proses instalasi hingga selesai. Proses
instalasi akan tampil seperti pada gambar 7.
![Page 41: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/41.jpg)
Gambar 13. Proses instalasi
Setelah proses instalasi berhasil akan muncul window bahwa proses
instalasi telah berahsil tekan finish
Setelah instalasi selesai, pada icon tray akan tampil icon Apache
monitor (gambar 8). Melalui icon ini anda dapat melakukan kontrol pada
service apache, yaitu start, stop, dan restart. Click pada icon apache
monitor.
Gambar 14. Apache monitor pada icon tray
![Page 42: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/42.jpg)
Lakukan pengujian Apache dengan menggunakan web browser.
Jalankan web browser (Internet Explorer), kemudian akses URL ke
localhost. Jika apache terinstall dengan baik makan akan tampil tampilan
awal apache seperti pada gambar 9.
Gambar 15. Tampilan awal web apache.
3. Instalasi PHP
Download file php-4.3.11-Win32.zip di
http://www.php.net. PHP diinstall sebagai modul di apache. Pada
instalasi PHP tidak akan tampil window installasi. Yang akan anda
lakukan adalah:
1) ekstrak file paket instalasi PHP
2) copy file hasil instraksi ke direktori C:\IDS
3) pilih modul PHP yang akan dijalankan di apache
4) membuat folder untuk session
5) edit konfigurasi PHP pada file php.ini
6) edit konfigurasi apache pada file httpd.conf
![Page 43: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/43.jpg)
7) restart apache
8) test instalasi PHP
Paket instalasi PHP yang akan digunakan berada pada file php-
4.3.11-Win32.zip yang terkompresi dalam format zip. File ini
harus diekstrak terlebih dahulu. Lakukan ekstrak, misalnya dengan
menggunakan program winrar.
Setelah ekstrak file selesai, kemudian copy direktory php-
4.3.11-Win32 kedalam folder C:\IDS. Hasilnya seperti terlihat pada
gambar 10.
Gambar 16. Direktori PHP
Kemudian pilihkan modul PHP yang akan dijalankan oleh apache.
Modul PHP terletak pada folder C:\IDS\php-4.3.11-Win32\sapi dengan
nama file php4apache2.dll (gambar 10). copy file php4apache2.dll ke
folder C:\IDS\php-4.3.11-Win32 (gambar 11).
![Page 44: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/44.jpg)
Selanjutnya buatlah folder Session pada folder C:\IDS sehingga
menghasilkan folder C:\IDS\Session (gambar 12). Folder session
digunakan untuk menyimpan file session yang digunakan PHP ketika
menjalankan script PHP.
Gambar 17. Folder Session
Tahap selajutnya adalah mengatur konfigurasi PHP pada file
php.ini. File php.ini dibuat dengan merubah nama file php.ini-
recommended menjadi file php.ini. File php.ini-
![Page 45: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/45.jpg)
recommended terletak pada folder C:\IDS\php-4.3.11-Win32
(gambar 13).
Gambar 18. File php.ini
File php.ini merupakan file text. Selanjutnya edit file php.ini dengan
menggunakan notepad. Beberapa hal yang perlu diedit adalah :
1) Kebutuhan resource
Editlah beberapa baris berikut :
max_execution_time = 30 menjadi max_execution_time = 300
max_input_time = 60 menjadi max_input_time = 600
memory_limit = 8M menjadi memory_limit = 32M
2) Direktori extension
Ubahlah extension_dir menjadi :
extension_dir = "C:\Server\php-4.3.11-Win32\extensions"
3) Extension GD2
![Page 46: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/46.jpg)
Hapuslah tanda comment (;) pada baris untuk mengaktifkan ekstensi
GD2
extension=php_gd2.dll
4) Direktori session
Rubahlah konfigurasi session.save_path menjadi
session.save_path = "C:\Server\Session"
hapus juga tanda comment (;)
Selanjutnya adalah mengatur konfigurasi apache agar dapat
mengaktifkan PHP sebagai modulnya. Konfigurasi apache terletak pada
file httpd.conf pada folder C:\IDS\Apache Group\Apache2\conf (gambar
14). File httpd.conf merupakan file text. Edit file ini menggunakan
notepad. Beberapa hal yang perlu diatur adalah :
1) Load modul PHP
Pada akhir baris file httpd.conf tambahkan konfigurasi berikut :
PHPIniDir "C:\Server\php-4.3.11-Win32"
LoadModule php4_module "C:\Server\php-4.3.11-Win32\php4apache2.dll"
AddType application/x-httpd-php .php
2) konfigurasi file index
Tambahkan index.php pada konfigurasi file index :
DirectoryIndex index.html index.html.var index.php
![Page 47: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/47.jpg)
Setting ADODB
ADODB, sebuah library abstraksi untuk menggabungkan PHP ke berbagai
database seperti MySQL dan Postgre SQL. ADODB dapat didwonload di
http://adodb.sourceforge.net. Cukup mudah untuk menyettingnya, setelah berhasil
mendownloadnya cukup ekstrak files tersebut dengan winrar ke direktori C:\IDS
sehingga diperoleh direktori baru C:\IDS\adodb
Instalasi, konfigurasi Jpgraph dan Phplot
Download Phplot di situs http://www.phplot.com, penulis menggunakan versi
phplot-4.4.6.tar, ekstraklah file tersebut ke direktori C:\IDS kemudian rename
sehingga diperoleh direktori C:\IDS\phplot. Download Jpgraph pada situs
http://www.aditus.nu/jpgraph/, penulis menggunakan jpgraph-2.1.1.tar langkah
selanjutnya adalah mengekstrak file Jpgraph ke C:\IDS kemudian rename
menjadi Jpgraph, copy semua file berektensi .php ke direktori C:\IDS\phplot
melalui command prompt langkahnya adalah sebagai berikut :
![Page 48: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/48.jpg)
Sama seperti langkah diatas copy semua file berektensi .inc yang berada di
direktori C:\IDS\jpgraph\src ke direktori C:\IDS\phplot langkahnya adalah
sebagai berikut :
![Page 49: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/49.jpg)
Instalasi dan konfigurasi ACID
ACID (Analysis Console for Intrusion Databases) merupakan PHP-based
analysis engine yang berfungsi untuk mencari dan mengolah database dari alert
network sekuriti yang dibangkitkan oleh perangkat lunak pendeteksi intrusi (IDS).
Dapat di implementasikan pada sistem yang mendukung PHP seperti linux, BSD,
Solaris dan OS lainnya. ACID adalah perangkat lunak yang open-source dan
didistribusikan dibawah lisensi GPL. Penulis kali ini menggunakan ACID-
0.9.6b23. ACID dapat di download pada situs
http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html. Setelah berhasil
mendownload ekstrak file ke direktori C:\IDS, renamelah sehingga diperoleh
durektori C:\IDS\acid.
![Page 50: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/50.jpg)
Langkah selanjutnya adalah melakukan konfigurasi ACID, buka file
acid_conf.php dengan menggunakan editor wordpad atau notepad editlah
beberapa baris sebagai berikut :
$DBlib_path = "c:\IDS\adodb";
$alert_dbname = "snortdb"; $alert_host = "localhost"; $alert_port = "3306"; $alert_user = "snort"; $alert_password = "snort"; $archive_dbname = "archive"; $archive_host = "localhost"; $archive_port = "3306"; $archive_user = "archive"; $archive_password = "archive";
$ChartLib_path = "c:\IDS\phplot";
Setelah selesai melakukan konfigurasi simpan file tersebut.
![Page 51: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/51.jpg)
Buka web browser internet explorer arahkan default browser ke
http://localhost/ACID, dimaksudkan agar setiap pertama kali membuka
internet explorer halaman pertama yang terbuka adalah
http://localhost/ACID. Buka internet explorer pilih Tools Internet
Options, lakukan setting seperti gambar dibawah ini :
Kemudian tekan tombol apply, otomatis browser akan membuka links ke
http://localhost/ACID setiap pertama kali membuka web browser tersebut.
Buka kembali Internet Explorer, apabila semua konfigurasi berhsil dan
tidak terdapat error maka akan muncul permintaan untuk membuat tabel baru
pada database, tekan links Setup Pages, seperti gambar berikut ini.
![Page 52: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/52.jpg)
Langkah selanjutnya menambah table ACID ke dalam database snort, klik
Create ACID AG
Apabila tidak terjadi error dalam proses, maka akan muncul pesan “Successfully
created acid_ag”, “Successfully created acid_ag_alert”, “Successfully created
Create ACID AG
Setup Page
![Page 53: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/53.jpg)
acid_ip_cache”, “Successfully created acid_event”. Klik Home untuk kembali ke
menu awal.
Sekarang anda sudah dapat memonitor jaringan komputer anda. SELAMAT
MENCOBA ☺
Snort akan memonitor jaringan kita dan akan menghasilkan alert, alert
tersebut akan ditampilkan oleh ACID. Tulisan ini hanya akan membahas
Home
![Page 54: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/54.jpg)
bagaimana menampilkan alert snort, untuk analisa alert snort penulis akan
mencoba menulis pada pembahasan berikutnya. Gambar dibawah ini
menunjukkan ACID dengan alert snortnya.
Gambar. ACID dengan alert snortnya
![Page 55: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/55.jpg)
REFERENSI
1. Ryan Russel, “Snort Intrusion 2.0 Intrusion Detection”, Syngress, 2003.
2. Michael Rush, Angela Aurobaugh, Graham Clark, Becky Pinkard, Jake
Babbin, “Intrusion Prevention And Active Response deploying Network
And Host IPS”, Syngress, 2005.
3. Sourcefire, Inc, “Snort User Manual, www.snort.org, 2006
4. Charlie Scott,Paul Wolfe, and Bert Hayes, “Snort For Dummies”, Wiley
Publishing, inc , 2004.
5. Michael E. Steele, “Snort Installation Manual Windows NT4 Server,
2000, & XP (All Versions)”, www.silicondefense.com, 2003.
6. Puji Hartono, “Sistem Pencegahan Penyusupan pada Jaringan berbasis
Snort IDS dan IPTables Firewall”, Bandung, 2006.
7. Helmi Zein Nuri, “Instalasi Moodle Pada Sistem Operasi Windows
Xp”, Yogyakarta, 2006.
8. Bambang Sugiantoro, “Kajian Aplikasi Mobile Agent Untuk Deteksi
Penyusupan Pada Jaringan Komputer”, Yogyakarta, 2006.
9. Mikael Keri, “OpenIDS Installation and configuration guide 1.0”,
www.prowling.nu, 2005.
Yudhi Ardiyanto. Lahir di Bantul 28 Mei 1982. Lulus SMA di Bantul tahun
2000, kemudian melanjutkan kuliah di Universitas Muhammadiyah Yogyakarta
jurusan Teknik Elektro. Sekarang lagi mengerjakan Tugas Akhir dengan judul
yang sama.
Selamat mencoba semoga tulisan ini sedikit berguna, untuk kritik dan saran dapat
di alamatkan ke email : [email protected].
![Page 56: Membangun_Sistem_Intrusion_Detection_pada_Windows](https://reader033.vdokumen.com/reader033/viewer/2022052902/5571f96149795991698f734a/html5/thumbnails/56.jpg)