3
mengubah informasi sistem bahkan adanya perusakan fisik terhadap komponen dan
server
.
3. Metode Penelitian
Metode penelitian yang digunakan dalam penyusunan artikel ilmiah ini terdiri dari 5 tahap, antara lain pendefinisian masalah dan kebutuhan sistem,
desain NIDS
Network-based Intrusion Detection System
, impelementasi, ujicoba, dan analisis permasalahan.
SMK Telekomunikasi Tunas Harapan merupakan Sekolah Menengah Kejuruan yang didalamnya terdapat beberapa jurusan berbasis IT
Information Technology
. Jurusan tersebut terdiri dari RPL Rekayasa Perangkat Lunak, TKJ Teknik Komputer dan Jaringan, dan Multimedia. Karena bergerak dibidang IT,
tentunya pengguna jaringan pada SMK Telekomunikasi Tunas Harapan sangat beragam dan beresiko mendapatkan ancaman berupa serangan. Pada dasarnya,
SMK Telekomunikasi Tunas Harapan belum memiliki sistem perlindungan terhadap jaringannya, sehingga integritas data dan kinerja jaringan terancam.
Gambar 1. Topologi Jaringan SMK Telekomunikasi Tunas Harapan.
Gambar 1 merupakan topologi jaringan di SMK Telekomunikasi Tunas Harapan tempat dilakukannya penelitian ini. Lantai 1 terdapat 3 lab TKJ, lantai 2
terdapat 3 lab RPL, dan lantai 3 terdapat 2 lab Multimedia. Berdasarkan kondisi diatas, SMK Telekomunikasi Tunas Harapan
membutuhkan adanya sebuah sistem yang mampu mendeteksi berbagai ancaman
4
yang datang sehingga jaringannya terlindungi sebagai bentuk antisipasi terhadap kerusakan yang lebih parah.
Berdasarkan permasalahan yang ada, maka dirancang sebuah sistem NIDS untuk mendeteksi berbagai serangan dengan aplikasi snort yang bekerja dengan
signature-based
yang mendeteksi serangan berdasarkan pola serangan yang tersimpan dalam
database
dan menampilkan serangan berbasis
web
dengan BASE
Basic Analysis and Security Engine
.
Gambar 2. Desain Jaringan NIDS
Gambar 2 merupakan topologi desain jaringan NIDS,
server
NIDS diletakkan pada segmen penting sebuah jaringan. NIDS akan menganalisa semua
lalu lintas yang melewati jaringan, dan akan mencocokkan paket data yang lewat dengan pola serangan. Dalam hal ini NIDS diletakkan sejajar dengan
router
sebagai pintu masuk jaringan dengan tujuan setiap paket data yang terjadi pada
Local Area Network
SMK Telekomunikasi Tunas Harapan akan dianalisa berdasarkan pola paket masing-masing.
5
N
Y
Gambar 3. Diagram alir cara kerja NIDS
Gambar 3 menunjukkan cara kerja NIDS. Dimulai dari paket data yang memasuki
interface
jaringan yang sudah dikonfigurasi dalam snort. Paket data tersebut dicocokkan dengan
signature
yang ada dalam
database
snort. Kemudian apabila paket data tersebut merupakan sebuah intrusi akan disimpan ke
database
, jika bukan paket data akan diteruskan. Paket data intrusi yang disimpan ke
database
akan diolah dan dianalisa oleh BASE
Basic Analysis and Security Engine
, BASE merupakan aplikasi berbasis GUI yang dapat menganalisa data snort. BASE mencari dan memproses kegiatan mencurigakan yang tersimpan
dalam
database
berdasarkan
tools
untuk me
monitor
ing jaringan, seperti
firewall
dan IDS. BASE menggunakan bahasa pemrograman PHP dan menampilkan informasi dari
database
melalui tampilan
web
yang
user friendly
. BASE juga dapat menampilkan grafik dan statistik berdasarkan waktu,
sensor
,
signature
, protokol, alamat IP, TCPUDP
port
, atau klasifikasi. Hasil yang ditampilkan akan menjadi acuan
administrator
dalam mengambil tindakan.
Start Paket data
memasuki
interface
Membandingkan paket data dengan
signature
yang ada
Apakah intrusi?
Paket diteruskan
Paket data masuk ke
database
Paket data ditampilkan BASE
Admin melakukan tindakan
End
6 Gagal
Berhasil
Gagal
Berhasil
Gambar 4. Diagram alir installasi dan konfigurasi NIDS
Gambar 4 menunjukkan diagram alir proses installasi dan konfigurasi IDS. Dimulai dari melakukan install paket apache2, php5, dan mysql
server
serta membuat
database
dan
user
baru pada
root
. Langkah selanjutnya adalah menginstall snort-mysql dan mengkonfigurasinya, jika pengujian snort berhasil
maka dilanjutkan dengan men
download
BASE, akan tetapi jika gagal ulangi
Start Install paket apache2,
php5, dan mysql-server Buat
database
dan
user
dalam
root
Install snort-mysql Konfigurasi
snort
Pengujian snort
Download
BASE Konfigurasi BASE
BASE menampilkan
alert
End
7
konfigurasi snort. Setelah men
download
dan mengkonfigurasi BASE, dilakukan pengujian terhadap BASE. Jika BASE mampu menampilkan
alert
maka pengujian berhasil, tapi jika tidak maka ulangi konfigurasi BASE.
Ujicoba ini dilakukan untuk mengetahui kinerja snort NIDS dalam mendeteksi adanya serangan. Berdasarkan ujicoba yang telah dilakukan pada
Local Area Network
SMK Telekomunikasi Tunas Harapan didapatkan 30 sampel serangan.
Tabel 1. 30 sampel hasil ujicoba.
No Waktu
Alert Source Address
Protokol Byte Size
Interval Waktu
Prioritas Bandwidth
detik
1 10:41:46
ICMP PING CyberKit 2.2
Windows 180.197.10.10
ICMP 32
1 menit 3
215 kbps 2
20:52:12 ICMP PING
180.197.10.23 ICMP
32767,5 1 menit
3 32 kbps
3 10:41:46
ICMP PING 180.197.10.10
ICMP 32
5 menit 3
120 kbps 4
20:52:12 ICMP Echo Reply
180.197.10.23 ICMP
32767,5 1 menit
3 32 kbps
5 10:41:46
ICMP Echo Reply 180.197.10.10
ICMP 32
5 menit 3
120 kbps 6
10:41:48 ICMP Destination
Unreachable Port Unreachable
180.197.10.6 ICMP
548 1 menit
3 227 kbps
7 06:32:10
ICMP Destination Unreachable Port
Unreachable 180.197.10.6
ICMP 548
4 menit 3
227 kbps 8
10:41:49 MS-SQL Probe
Response Overflow Attempt
180.197.10.10 UDP
18041 1 menit
1 -
9 06:47:42
MS-SQL Probe Response
Overflow Attempt 180.197.10.4
UDP 1472
1 menit 1
- 10
10:42:27 ICMP Fragment
Reassembly Time Exceeded
180.197.10.6 ICMP
548 3 menit
3 500 kbps
11 17:51:37
DNS UDP Inverse Query Overflow
180.197.10.19 UDP
1472 1 menit
1 1,472 kbps
12 10:45:41
DOS Teardrop Attack
180.197.10.41 UDP
1472 1 menit
2 1,472 kbps
13 10:50:46
DOS Teardrop Attack
180.197.10.8 UDP
1472 1 menit
2 1,472 kbps
14 10:59:21
DOS Teardrop Attack
180.197.10.21 UDP
1472 1 menit
2 1,472 kbps
15 06:32:13
DOS Teardrop Attack
180.197.10.23 UDP
1472 1 menit
2 1,472 kbps
16 10:47:47
SNMP Request UDP
180.197.10.14 UDP
1472 3 menit
2 9872 kbps
17 11:21:27
SNMP Request TCP
180.197.10.23 TCP
48 2 menit
2 400 kbps
18 11:21:27
SNMP Trap TCP 180.197.10.23
TCP 52
2 menit 2
300 kbps 19
11:21:34 SNMP
AgentXTCP Request
180.197.10.23 TCP
52 2 menit
2 455 kbps
20 20:52:12
ICMP PING Windows
180.197.10.23 ICMP
32.767,5 1 menit
3 32 kbps
21 17:31:53
ICMP PING 180.197.10.4
ICMP 10000
4 menit 3
1kbps
8
Tabel 1 merupakan hasil ujicoba yang dilakukan pada
Local Area Network
SMK Telekomunikasi Tunas Harapan. Berdasarkan Ujicoba yang dilakukan terdapat 30 sampel serangan yang berhasil dideteksi oleh snort IDS, hal ini
menunjukkan bahwa kinerja snort IDS yang telah diimplementasikan pada
Local Area Network
berjalan dengan baik dan sebagaimana mestinya. Berdasarkan pengujian yang telah dilakukan didapatkan 30 sampel serangan
dengan 6 parameter indikator serangan yaitu
source address
, protokol,
byte size
, interwal waktu, prioritas, dan
bandwidth
detik. Prioritas yang dimaksud adalah
level
serangan berdasarkan acuan snort. Prioritas snort terbagi menjadi 4
level
, yaitu 1
high
, 2
medium
, 3
low
, dan 4
very low
. Prioritas pada snort ternyata tidak sesuai dengan kondisi
Local Area Nework
SMK Telekomunikasi Tunas Harapan. Mi
salnya pada serangan “
MISC bootp hardware address length overflow
” memiliki prioritas 3
low
, akan tetapi pada parameter
bandwidth
detik menunjukkan besar
bandwidth
nya sebesar 1472 Kbps. Hal ini menunjukkan bahwa prioritas serangan menurut snort, belum tentu sesuai dengan kondisi
jaringan masing-masing. Kondisi koneksi internet di SMK Telekomunikasi Tunas Harapan berasal dari ISP Grahamedia Salatiga dengan maksimal
bandwidth
Windows 22
17:31:53 ICMP Large ICMP
Packet 180.197.10.4
ICMP 10000
4 menit 2
10000 kbps 23
20:52:12 ICMP Large ICMP
Packet 180.197.10.23
ICMP 32.767,5
1 menit 2
327675 kbps 24
20:52:35 COMMUNITY
SIP TCPIP Message Flooding
Directed to SIP Proxy
180.197.10.6 ICMP
1480 1 menit
2 1480 kbps
25 06:32:16
COMMUNITY SIP TCPIP
Message Flooding Directed to SIP
Proxy 180.197.10.23
UDP 1480
1 menit 2
1480 kbps
26 06:37:47
COMMUNITY SIP TCPIP
Message Flooding Directed to SIP
Proxy 180.197.10.4
UDP 1024
1 menit 2
1024 kbps
27 17:32:52
COMMUNITY SIP TCPIP
Message Flooding Directed to SIP
Proxy 180.197.10.4
ICMP 1480
1 menit 2
1480 kbps
28 17:52:16
NETBIOS Name Query Overflow
Attempt UDP 180.197.10.19
UDP 1472
1 menit 1
1472 kbps 29
17:53:10 MISC Bootp
Invalid Hardware Type
180.197.10.19 UDP
1472 1 menit
3 1472 kbps
30 17:53:10
MISC Bootp Hardware Address
Length Overflow 180.197.10.19
UDP 1472
1 menit 3
1472 kbps
9
sebesar 8 Mbps dan
limit bandwidth
nya sebesar 128 Kbps. Berdasarkan kondisi
Local Area Network
SMK Telekomunikasi Tunas Harapan tersebut, apabila suatu trafik jaringan besar
bandwidth
nya 128 Kbps merupakan ancaman dan mengakibatkan jaringan terganggu karena melebihi
limit bandwidth
yang telah ditentukan sehingga perlu dilakukan tindakan untuk mengatasinya.
4. Hasil dan Pembahasan