81

4.5 Monitoring

Dalam skripsi ini tahap monitoring digunakan untuk proses pengetesan dari sistem IDS Intrusion Detection System yang telah dibuat. Dimulai dari melakukan pengetesan koneksi antar perangkat yang saling terhubung, pengujicobaan terhadap aplikasi yang digunakan hingga melakukan proses penyadapan data yang berada di jaringan yang ada. Berikut adalah deskripsi proses pengujiannya :

4.5.1 Pengujian Sistem IDS Intrusion Detection System

Pada pembahasan ini, penulis menggunakan beberapa aplikasi yang digunakan untuk melakukan penyerangan terhadap jaringan yang ada. Hal ini ditujukan untuk mengetahui jenis serangan apa saja yang sering dilakukan oleh para hacker serta serangan tersebut dilakukan melalui port mana saja yang sering digunakan. Jenis serangan yang akan penulis coba lakukan adalah berupa pembebanan bandwidth, DHCP Spoofing, dan ICMP attack.

4.5.1.1 Pengujian IDS dengan Serangan TCP Flooding

Tahapan ini penulis melakukan penyerangan terhadap komputer client dengan metode penyerangan terhadap pembebanan jalur komunikasi TCPIP atau biasa dikenal dengan teknik TCP flooding. Penulis melakukan serangan melalui jaringan wireless kedalam jaringan LAN dengan menggunakan aplikasi Digital Blaster. 82 Hasil yang akan didapat dari proses penyerangan ini adalah proses kerja pada komputer target akan menjadi berat dan lama, terutama pada saat melakukan koneksi kedalam jaringan internet. Aktivitas ini akan didetaksi oleh aplikasi sniffing dan mesin sensor yang terpasang pada jaringan komputer yang menjadi target. a. proses pembebenan terhadap komputer korban melalui komputer penyerang. Gambar 4.12 Flooding Komputer Client b. perekaman data dari proses penyerangan oleh penyusup yang berhasil direkam dengan menggunakan wireshark. 83 Gambar 4.13 Hasil Capture Pada Wireshark c. hasil konfersi dari data yang berhasil direkam oleh wireshark. Gambar 4.14 Hasil Konfersi Paket Data Pada Wireshark 84 Gambar 4.15 Capture pada Mesin Sensor IDS Mencatat Aktivitas dari TCP Flooding Pada gambar 4.15 merupakan hasil perekaman data yang ditangkap dengan menggunakan aplikasi wireshark terhadap serangan TCP flooding. Terlihat dari serangan tersebut besarnya paket dan protokol apa yang digunakan. Pada gambar tersebut data yang tertangkap merupakan data yang melalui protokol UDP dan ICMP, karena pada gambar sebelumnya yaitu pada gambar 4.9 jenis serangan yang digunakan adalah Dual Protocol Flood, jadi serangan menggunakan dua buah protokol sekaligus yaitu protokol UDP dan TCP. Dari proses scanning terlihat semua aktifitas yang telah terekam pada aplikasi wireshark, yaitu : 1. source : merupakan sumber dari paket data yang terkirim. 85 2. destination : merupakan tujuan dari paket data yang terkirim. 3. protocol : merupakan jalur aktifitas yang digunakan dalam proses penyerangan. 4. info : merupakan catatan apa saja yang terjadi pada aktifitas tersebut. Pada gambar 4.16 terlihat bahwa serangan yang dilakukan oleh penyusup dapat terlihat dengan menggunakan aplikasi wireshark, yaitu serangan dengan menggunakan protokol UDP dan TCP yang memiliki source port 1133 dan destination port 80. Port 1133 yang termasuk kedalam jenis protokol TCP dan UDP. Sedangkan port 80 merupakan protokol yang biasa digunakan pada jalur internet atau HTTP Hypertext Transfer Protocol yang termasuk kedalam protokol TCP. Dari serangan dengan menggunakan teknik ini dapat menyebabkan suatu jaringan komputer menjadi berat dalam melakukan koneksi antar komputer baik dalam jaringan internet atau jaringan lokal. Untuk tahapan ini sumber daya yang dapat diambil masih dalam katagori kecil, karena yang diserang hanya koneksi jaringannya saja dan tidak ada data atau file yang dicuri. 86

4.5.1.2 PING Attack ICMP Traffic

Pada kasus ini penulis menganalisis jenis serangan berprotokol ICMP. Pada dasarnya, traffic ICMP yang diproduksi oleh perintah ping, dianggap sebagai satu serangan karena dapat dipergunakan penyerang atau penyusup untuk mendapatkan informasi mengenai mesin target, memastikan apakah host target dalam keadaan aktif atau tidak. Yang pertama dilakukan penulis adalah melakukan ping dari mesih client ataupun dari mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4 Gambar 4.16 Ping dari Client kedalam Mesin Sensor Tahap kedua penulis menggunakan tcpdump yang terdapat pada kebanyakan instalasi default distro linuxUnix untuk mengkap dan menganalisa traffic data yang dihasilkan perintah ping mesin penyerang atau client kedalam mesin 87 server. Berikut ini merupan tampilan dari dump dari traffic ping : Gambar 4.17 Hasil Dump Ping Traffic Client ke Sensor Gambar 4.18 Hasin Capture Snort dengan Modus Sniffing 88 Dari data yang didapat menggunakan tcpdump, jelas terlihat bahwa ping selalu menggunakan protocol unik ICMP dan memuat beberapa karakter unik seperti abcdefghijklmnopqrstuvwxyzabcdefghi. Tahap yang selanjutnya yaitu membuat sebuah signature dengan menggunkan parameter spesifik yang mendefinisikan traffic serangan. Dalam hal ini, penulis menggunakan protocol spesifik ICMP, arah sumber traffic any, dan arah tujuan traffic 192.168.0.4 sebagai parameter untuk mendefinisikan jenis serangan ini, contoh dari signature-nya adalah “alert icmp any any - 192.168.0.4 any msg:”ICMP ping attack”;sid:10001;”. signature tersebut akan mendeteksi traffic protokol ICMP yang diisukan dari segmen jaringan manapun, melalui port berapapun ke alamat IP mesin sensor 192.168.0.4 pada port manapun. Penulis kembali melakukan serangan ini dengan kondisi IDS diaktifkan, proses pengujian dapat dikatakan berhasil jika signature dapat merespon dari serangan tersebut. Kemudian, penulis melakukan perintah ping dari mesin client atau dari mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4. Hasilnya adalah sistem IDS berhasil mendeteksi traffic ping yang dilancarkan pada mesin 89 penyerang dan menjelaskan bahwa terjadi “ICMP Ping Attack”. Gambar 4.19 Hasil Caputre pada Mesin Sensor

4.5.1.3 Pengujian IDS dengan Serangan DOS Attack Denial Of Services

DoS attack adalah jenis serangan terhadap sebuah komputer atau server atau router atau mesin didalam jaringan internet dengan cara menghabiskan resource yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar, sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diseranga server tersebut. 90 Pada tahap ini penulis mengguanakan tiga buah komputer yang masing-masing terdiri komputer penyusup yang menggunakan aplikasi Auditior Security Collection yang berbasis sistem operasi open source yaitu linux yang berjalan pada mesin virtual, komputer client yang menggunakan sistem operasi Windows XP Sp 2 yang nantinya akan menjadi korban secara tidak langsung dari proses penyerangan ini, dimana client akan meminta IP address pada komputer server yang diserang menggunakan metode DOS attack dan jenis sserangan yang digunakan adalah DHCP spoofing oleh penyusup, yang terakhir adalah komputer server yang menggunakan sistem operasi Windows Server 2003 yang merupakan target dari proses DOS attack ini. Pada tahapan ini yang menjadi tujuan dari seorang penyusup adalah mencuri semua IP address yang disediakan oleh server dan membuat sebuah server baru agar para client yang tersambung kepada komputer tersebut tidak bisa mendapatkan IP yang diberikan oleh server yang asli, tetapi mereka menjadi terjebak oleh IP yang disediakan oleh komputer server palsu yang dibuat oleh penyusup. 91 Gambar 4.20 Auditor Security Collection Aplikasi ini yang digunakan oleh hacker untuk melakukan serangang DoS Attack kedalam komputer server dengan menggunakan tools yang tersedia didalamnya, salah satu tools yang digunakan adalah yersinia yang berjalan menggunakan console, serta menggunakan aplikasi ethereal sebagai media monitoring jaringan untuk melihat serangan-serangan yang dilakukan oleh sang penyusup. 92 Gambar 4.21 Proses Penyerangan Dengan Yersinia Gambar 4.22 Proses Monitoring Serangan 93 Gambar 4.23 Konversi Paket Data 1 Gambar 4.24 Konversi Paket Data 2 Serangan dilakukan oleh penyusup dengan mengetikankan perintah yersinia dhcp –i eth0 –attack 3, terlihat tulisan pada console “starting DOS attack sending DISCOVER packet...”, menandakan bahwa proses DOS attack sedang berlangsung kedalam komputer server. Dampak ini akan 94 dirasakan oleh dua pihak, pertama akan dirasakan oleh komputer server dan kedua akan dirasakan oleh beberapa komputer client. Sedangkan pada gambar 4.21, serangan yang dilancarkan oleh penyusup terlihat melalui aplikasi ethereal. Serangan tersebut terdeteksi oleh sensor, bahwa serangan yang dilakukan tersebut menggunakan protokol UDP. Gambar 4.22 dan gambar 4.23 merupakan hasil konversi dari data yang berhasil didapat yaitu konversi dari gambar 4.24, yang terlihat dari serangan sudah mulai terlihat sedikit demi sedikit dimana hal tersebut dapat diketahui dari interaksi yang terjadi antara DHCP Discover dengan DHCP Offer. Aktifitas ini terus berlanjut hingga seluruh alamat IP yang disediakan oleh server habis terambil seluruhnya, bukan hanya alamat IP yang kosong saja tetapi alamat IP yang sedang digunakan oleh client juga dapat diambil, sehingga client yang sedang terhubung dengan komputer server akan putus secara tiba-tiba dan pada saat client meminta kembali layanan untuk mendapatkan alamat IP tersebut server tidak dapat membalasnya, dikarenakan seluruh alamat IP yang tersedia sudah habis direbut oleh penyusup. Pada display statistic yang terdapat pada komputer server akan menunjukan bahwa serangan itu benar-benar terjadi dilihat seluruh IP yang disediakan oleh server telah habis direbut oleh 95 hacker. Sampai dengan serangan ini selesai, server belum dapat memberikan layana penyewaan alamat IP kepada client hingga waktu yang tidak dapat di tentukan, apabila dari waktu tersebut server belum bisa bangkit juga, maka keputusan terakhir yang harus diambil oleh server adalah membangun atau membuat ulang layanan dari sebuah scope DHCP yang baru agar dapat memberikan layanan kepada komputer client. Gambar 4.25 Display Statistik Pada Server Setelah Serangan Dapat dilihat pada gambar 4.25, seluruh IP yang di sediakan oleh server menjadi 0 nol persen atau tidak tersedia sama sekali dan total dari IP yang digunakan sebanyak 100 seratus persen. Ini menujukan bahwa serangan DOS attack itu benar-benar terjadi menyerang komputer server, sehingga server tidak dapat memberikan layanan penyewaan IP kepada komputer client. 96

4.5.2 Analisis Data Menggunakan BASE

Pada sub-bab ini spenulis akan mendeskripsikan proses analisi data kejadian melalui fungsionalitas BASE. Gambar 4.26 Halaman Utama BASE Pada kuadran kiri atas terdapat link yang mendeskripsikan sejumlah informasi seperti alert yang terjadi selama 24 jam terakhir dan 72 jam terakhir yang dapat ditampilkan berdasarkan parameter unik, listing, alamat IP sumber dan tujuan. Selain itu terdapat juga informasi seperti 15 alert terbaru, port sumber atau tujuan terbaru. Pada kuadran kanan atas terdapat informasi waktu pengambilan data ke database, nama database, versi skema, dan informasi waktu tambahan. Sealain itu juga terdapat tiga link yang mendefinisikan fitur 97 pencarian, pembuatan grafik data alert, dan pembuatan grafik untuk terdeteksinya alert. Pada kuadran kanan bawah terdapat deskripsi profil traffic berdasarkan protokol, dan pada kuadran kiri bawah terdapat berbagai informasi seperti jumlah sensor, alert unik, kategorisasi, jumlah total alert, dan sebaginya. Penulis memanfaatkan fitur pembuatan grafis untuk mendeskripsikan alamat IP sumber dengan jumlah serangan yang dihasilkan. Contoh, alamat IP 192.168.0.4 memiliki jumlah alert sebesar 74.6 tujuh puluh empat koma enam persen dari 175 seratus tujuh puluh lima total alert yang terdetaksi. Gambar 4.27 Diagram Batang Source IP dan Jumlah Alert 98 Pada fitur yang menampilkan profil traffic berdasarkan protokol TCP, BASE mendeskripsikan sejumlah daftar log dan alert pada protokol TCP. Gambar 4.28 Tampilan Daftar Alert Pada Traffic Profile By Protocol Terlihat berturut-turut dari kira ke kanan adalah nomer identitas alert, informasi signature alert yang ter-generate, timestamp waktu terjadinya alert, alamat IP sumber, alamat IP tujuan, dan protokol yang digunakan.

4.5.3 Pencegahan Serangan Menggunakan IPTables dan MAC Filtering

Setelah penulis melakukan beberapa proses penyerangan dan menganalisa baik terhadap komputer target maupun terhadap komputer sensor, penulis menemukan data dari komputer penyerang yang dapat digunakan untuk melakukan pencegahan terhadap penyerangan- penyerangan tersebut. Data yang berhasil diperoleh penulis adalah 99 metode yang digunakan, alamat internet protokol, alamat MAC, dan port yang digunakan untuk melakukan penyerangan. Gambar 4.29 Data Yang Diperoleh dari Komputer Penyusup dengan Mode Sniffing dari Snort Gambar 4.30 Data Yang Diperoleh dari Komputer Penyusup dengan TCPDump 100 Gambar 4.31 Traffic Serangan Yang Ditangkap Pada Firewall Dengan MRTG Multi Router Traffic Grapher Dari data yang diperoleh, maka penulis dapat melakukan pencengahan terhadap penyerangan tersebut. Dalam melakukan pencegahan ini, penulis melakukannya dengan dua cara yaitu dengan IPTables dan MAC Filtering. Cara pertama, yang penulis lakukan adalah konfigurasi pada komputer firewall yang bertindak sebagai gateway sangat diperlukan dalam proses ini, dengan cara memasukan source yang diperoleh dari komputer penyusup seperti alamat IP, alamat MAC, dan protokol yang digunakan dengan menggunakan fitur dari mesin firewall yaitu dengan iptables. Sehingga, yang dihasilkan dari konfigurasi ini adalah penyerang tidak dapat melakukan aktivitas yang sama terhadap komputer target seperti melakukan PING terhadap komputer yang dituju. 101 Gambar 4.32 Blok Target Dengan IPTables Pada gambar diatas penulis mengisukan sebuah perintah untuk melakukan pemblokiran terhadap komputer penyerang. Penulis menggunakan perintah “iptables –I FORWARD –s 192.168.0.2 –j DROP” yang berjalan pada konsole. “–I” atau Insert digunakan oleh penulis untuk memasukan perintah pada baris chain, perintah akan berada pada posisi rules teratas sehingga proses dapat dijalankan lebih awal. Dapat dilihat dengan menggunakan perintah iptables –L, pada tabel chain FORWARD perintah yang dimasukan tadi terdapat pada awal baris rules. “FORWARD” pada iptables digunakan untuk meneruskan paket dari jaringan eksternal ke dalam jaringan inernal melalui mesin firewall. Perintah ini digunakan karena serangan ini berasal dari luar jaringan yang masuk kedalam jaringan internal melalui mesin firewall. “–s” untuk mencocokan paket berdasarkan alamat IP sumber. “192.168.0.2” merupakan source dari komputer penyerang 102 yang akan diblokir. “–j DROP” men-drop paket dan menolak untuk diproses lebih lanjut. Cara kedua, selain dengan menggunakan iptables, cara pencegahan yang dilakukan oleh penulis juga dengan menggunakan MAC Filtering yang merupakan fitur dari router access point yang digunakan dalam peneltian ini. Tahapan ini dilakukan dengan mengfokuskan pada alamat MAC yang dimiliki oleh komputer penyerang. Gambar 4.33 Pemilihan Alamat MAC Peyerang Gambar 4.34 Alamat MAC Peyerang Yang Sudah Terdaftar Dalam MAC Filtering 103 Secara otomatis komputer yang memiliki alamat MAC yang sudah didaftarkan pada konfigurasi router tidak dapat lagi terhubung dengan jaringan wireless dan melakukan tindakan-tindakan intrusi. Pencegahan dengan cara ini dilakukan penulis untuk melumpuhkan koneksi penyerang secara total untuk menjaga sumber daya yang terdapat pada komputer target agar dapat selalu terlindungi dari hal-hal yang tidak diharapkan. Ini dapat dilihat dari proses scanning pada mesin sensor akan berhenti, itu menandakan proses pemblokiran terhadap mesin penyerang berhasil dilakukan. Gambar 4.35 Sensor Snort Berhenti Mendeteksi Setelah Serangan Berhasil di Blok Dengan IPTables 104 Gambar 4.36 Grafik Pengiriman Serangan Dari Penyerang Setelah Dilakukan Pemblokiran Dengan IPTables Gambar 4.37 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables 105 Gambar 4.38 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables Gambar 4.39 Grafik Pemenerima Data Serangan Pada Sensor IDS Setelah Diblok Dengan IPTables Jika salah cara penceegahan yang dilakukan oleh penulis yaitu dengan menggunakan iptables dan MAC Filtering telah dilakukan, maka akan mendapatkan hasil yang dapat dilihat pada gambar 4.36 hingga gambar 4.39. Gambar-gambar tersebut memperlihatkan proses pada mesin sensor yang menggunakan snort berhenti mendeteksi adanya serangan 106 dan grafik yang menunjukan jumlah serangan secara drastis turun karna adanya pencegahan yang dilakukan dengan menggunakan IPTables dan MAC Filtering.

4.5.4 Keuntungan dan Hasil Menggunakan IDS Intrusion Detection System

Setelah penulis melakukan berbagai proses dalam penerapan IDS, maka penulis mendapatkan kemudahan dalam penerapannya. Dapat diperoleh hasil dari penerapan IDS ini, yaitu suatu jaringan komputer dapat dipantau hanya dengan melalui sebuah mesin atau komputer yang bertindak sebagai sensor didalam jaringan dan tehubung kedalam sebuah jaringan, itu dapat melihat semua kejadian yang sedang terjadi didalamnya. Selain keuntungan yang didapat dalam penerapan IDS ini, penulis juga mendapatkan hasil dari sistem IDS dalam mengamankan jaringan, yaitu jika terdapat sebuah masalah pada jaringan proses intrusi maka dapat diketahui secara langsung oleh IDS ini yang menggunakan Snort. Dari mana serangan itu datang, melalui port berapa, dan protokol apa yang digunakan.

4.6 Manajemen