81
4.5 Monitoring
Dalam skripsi ini tahap monitoring digunakan untuk proses pengetesan dari sistem IDS Intrusion Detection System yang telah dibuat. Dimulai dari
melakukan pengetesan koneksi antar perangkat yang saling terhubung, pengujicobaan terhadap aplikasi yang digunakan hingga melakukan proses
penyadapan data yang berada di jaringan yang ada. Berikut adalah deskripsi proses pengujiannya :
4.5.1 Pengujian Sistem IDS Intrusion Detection System
Pada pembahasan ini, penulis menggunakan beberapa aplikasi yang digunakan untuk melakukan penyerangan terhadap jaringan yang
ada. Hal ini ditujukan untuk mengetahui jenis serangan apa saja yang sering dilakukan oleh para hacker serta serangan tersebut dilakukan
melalui port mana saja yang sering digunakan. Jenis serangan yang akan penulis coba lakukan adalah berupa pembebanan bandwidth,
DHCP Spoofing, dan ICMP attack.
4.5.1.1 Pengujian IDS dengan Serangan TCP Flooding
Tahapan ini penulis melakukan penyerangan terhadap komputer client
dengan metode penyerangan terhadap pembebanan jalur komunikasi TCPIP atau biasa dikenal
dengan teknik TCP flooding. Penulis melakukan serangan melalui jaringan wireless kedalam jaringan LAN dengan
menggunakan aplikasi Digital Blaster.
82
Hasil yang akan didapat dari proses penyerangan ini adalah proses kerja pada komputer target akan menjadi berat
dan lama, terutama pada saat melakukan koneksi kedalam jaringan internet. Aktivitas ini akan didetaksi oleh aplikasi
sniffing dan mesin sensor yang terpasang pada jaringan komputer yang menjadi target.
a. proses pembebenan terhadap komputer korban melalui komputer penyerang.
Gambar 4.12 Flooding Komputer Client
b. perekaman data dari proses penyerangan oleh penyusup yang berhasil direkam dengan menggunakan wireshark.
83
Gambar 4.13 Hasil Capture Pada Wireshark
c. hasil konfersi dari data yang berhasil direkam oleh wireshark.
Gambar 4.14 Hasil Konfersi Paket Data Pada Wireshark
84
Gambar 4.15 Capture pada Mesin Sensor IDS Mencatat Aktivitas dari TCP Flooding
Pada gambar 4.15 merupakan hasil perekaman data yang ditangkap dengan menggunakan aplikasi wireshark terhadap
serangan TCP flooding. Terlihat dari serangan tersebut besarnya paket dan protokol apa yang digunakan. Pada gambar
tersebut data yang tertangkap merupakan data yang melalui protokol UDP dan ICMP, karena pada gambar sebelumnya
yaitu pada gambar 4.9 jenis serangan yang digunakan adalah Dual Protocol Flood, jadi serangan menggunakan dua buah
protokol sekaligus yaitu protokol UDP dan TCP. Dari proses scanning terlihat semua aktifitas yang telah
terekam pada aplikasi wireshark, yaitu : 1. source : merupakan sumber dari paket data yang terkirim.
85
2. destination : merupakan tujuan dari paket data yang terkirim.
3. protocol : merupakan jalur aktifitas yang digunakan dalam proses penyerangan.
4. info : merupakan catatan apa saja yang terjadi pada aktifitas tersebut.
Pada gambar 4.16 terlihat bahwa serangan yang dilakukan oleh penyusup dapat terlihat dengan menggunakan
aplikasi wireshark, yaitu serangan dengan menggunakan protokol UDP dan TCP yang memiliki source port 1133 dan
destination port 80. Port 1133 yang termasuk kedalam jenis protokol TCP dan UDP. Sedangkan port 80 merupakan
protokol yang biasa digunakan pada jalur internet atau HTTP Hypertext Transfer Protocol
yang termasuk kedalam protokol TCP.
Dari serangan dengan menggunakan teknik ini dapat menyebabkan suatu jaringan komputer menjadi berat dalam
melakukan koneksi antar komputer baik dalam jaringan
internet atau jaringan lokal. Untuk tahapan ini sumber daya yang dapat diambil masih dalam katagori kecil, karena yang
diserang hanya koneksi jaringannya saja dan tidak ada data atau file yang dicuri.
86
4.5.1.2 PING Attack ICMP Traffic
Pada kasus ini penulis menganalisis jenis serangan berprotokol ICMP. Pada dasarnya, traffic ICMP yang
diproduksi oleh perintah ping, dianggap sebagai satu serangan karena dapat dipergunakan penyerang atau penyusup untuk
mendapatkan informasi mengenai mesin target, memastikan apakah host target dalam keadaan aktif atau tidak.
Yang pertama dilakukan penulis adalah melakukan ping dari mesih client ataupun dari mesin penyerang kedalam mesin
sensor yang memiliki IP address 192.168.0.4
Gambar 4.16 Ping dari Client kedalam Mesin Sensor
Tahap kedua penulis menggunakan tcpdump yang terdapat pada kebanyakan instalasi default distro linuxUnix
untuk mengkap dan menganalisa traffic data yang dihasilkan perintah ping mesin penyerang atau client kedalam mesin
87
server. Berikut ini merupan tampilan dari dump dari traffic ping :
Gambar 4.17 Hasil Dump Ping Traffic Client ke Sensor
Gambar 4.18 Hasin Capture Snort dengan Modus Sniffing
88
Dari data yang didapat menggunakan tcpdump, jelas terlihat bahwa ping selalu menggunakan protocol unik ICMP
dan memuat
beberapa karakter
unik seperti
abcdefghijklmnopqrstuvwxyzabcdefghi.
Tahap yang selanjutnya yaitu membuat sebuah signature dengan menggunkan parameter spesifik yang mendefinisikan
traffic serangan. Dalam hal ini, penulis menggunakan protocol spesifik ICMP, arah sumber traffic any, dan arah tujuan
traffic 192.168.0.4 sebagai parameter untuk mendefinisikan
jenis serangan ini, contoh dari signature-nya adalah “alert icmp any any - 192.168.0.4 any msg:”ICMP ping
attack”;sid:10001;”.
signature tersebut akan mendeteksi traffic protokol ICMP yang diisukan dari segmen jaringan manapun, melalui
port berapapun ke alamat IP mesin sensor 192.168.0.4 pada port manapun.
Penulis kembali melakukan serangan ini dengan kondisi IDS diaktifkan, proses pengujian dapat dikatakan berhasil jika
signature dapat merespon dari serangan tersebut. Kemudian,
penulis melakukan perintah ping dari mesin client atau dari
mesin penyerang kedalam mesin sensor yang memiliki IP address 192.168.0.4. Hasilnya adalah sistem IDS berhasil
mendeteksi traffic ping yang dilancarkan pada mesin
89
penyerang dan menjelaskan bahwa terjadi “ICMP Ping Attack”.
Gambar 4.19 Hasil Caputre pada Mesin Sensor
4.5.1.3 Pengujian IDS dengan Serangan DOS Attack Denial Of Services
DoS attack adalah jenis serangan terhadap sebuah komputer atau server atau router atau mesin didalam jaringan
internet dengan cara menghabiskan resource yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat
menjalankan fungsinya dengan benar, sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses
layanan dari komputer yang diseranga server tersebut.
90
Pada tahap ini penulis mengguanakan tiga buah komputer yang masing-masing terdiri komputer penyusup
yang menggunakan aplikasi Auditior Security Collection yang berbasis sistem operasi open source yaitu linux yang berjalan
pada mesin virtual, komputer client yang menggunakan sistem operasi Windows XP Sp 2 yang nantinya akan menjadi korban
secara tidak langsung dari proses penyerangan ini, dimana client akan meminta IP address pada komputer server yang
diserang menggunakan metode DOS attack dan jenis
sserangan yang digunakan adalah DHCP spoofing oleh penyusup, yang terakhir adalah komputer server yang
menggunakan sistem operasi Windows Server 2003 yang merupakan target dari proses DOS attack ini.
Pada tahapan ini yang menjadi tujuan dari seorang penyusup adalah mencuri semua IP address yang disediakan
oleh server dan membuat sebuah server baru agar para client yang tersambung kepada komputer tersebut tidak bisa
mendapatkan IP yang diberikan oleh server yang asli, tetapi mereka menjadi terjebak oleh IP yang disediakan oleh
komputer server palsu yang dibuat oleh penyusup.
91
Gambar 4.20 Auditor Security Collection
Aplikasi ini yang digunakan oleh hacker untuk melakukan serangang DoS Attack kedalam komputer server dengan
menggunakan tools yang tersedia didalamnya, salah satu tools yang digunakan adalah yersinia yang berjalan menggunakan
console, serta menggunakan aplikasi ethereal sebagai media monitoring jaringan untuk melihat serangan-serangan yang
dilakukan oleh sang penyusup.
92
Gambar 4.21 Proses Penyerangan Dengan Yersinia
Gambar 4.22 Proses Monitoring Serangan
93
Gambar 4.23 Konversi Paket Data 1
Gambar 4.24 Konversi Paket Data 2
Serangan dilakukan oleh penyusup dengan mengetikankan
perintah yersinia dhcp –i eth0 –attack 3, terlihat tulisan pada
console “starting DOS attack sending DISCOVER
packet...”, menandakan bahwa proses DOS attack sedang
berlangsung kedalam komputer server. Dampak ini akan
94
dirasakan oleh dua pihak, pertama akan dirasakan oleh komputer server dan kedua akan dirasakan oleh beberapa komputer client.
Sedangkan pada gambar 4.21, serangan yang dilancarkan oleh penyusup terlihat melalui aplikasi ethereal. Serangan tersebut
terdeteksi oleh sensor, bahwa serangan yang dilakukan tersebut menggunakan protokol UDP. Gambar 4.22 dan gambar 4.23
merupakan hasil konversi dari data yang berhasil didapat yaitu konversi dari gambar 4.24, yang terlihat dari serangan sudah
mulai terlihat sedikit demi sedikit dimana hal tersebut dapat diketahui dari interaksi yang terjadi antara DHCP Discover
dengan DHCP Offer. Aktifitas ini terus berlanjut hingga seluruh alamat IP yang
disediakan oleh server habis terambil seluruhnya, bukan hanya alamat IP yang kosong saja tetapi alamat IP yang sedang
digunakan oleh client juga dapat diambil, sehingga client yang sedang terhubung dengan komputer server akan putus secara
tiba-tiba dan pada saat client meminta kembali layanan untuk mendapatkan
alamat IP
tersebut server
tidak dapat
membalasnya, dikarenakan seluruh alamat IP yang tersedia sudah habis direbut oleh penyusup.
Pada display statistic yang terdapat pada komputer server akan menunjukan bahwa serangan itu benar-benar terjadi dilihat
seluruh IP yang disediakan oleh server telah habis direbut oleh
95
hacker. Sampai dengan serangan ini selesai, server belum dapat memberikan layana penyewaan alamat IP kepada client hingga
waktu yang tidak dapat di tentukan, apabila dari waktu tersebut server belum bisa bangkit juga, maka keputusan terakhir yang
harus diambil oleh server adalah membangun atau membuat ulang layanan dari sebuah scope DHCP yang baru agar dapat
memberikan layanan kepada komputer client.
Gambar 4.25 Display Statistik Pada Server Setelah Serangan
Dapat dilihat pada gambar 4.25, seluruh IP yang di sediakan oleh server menjadi 0 nol persen atau tidak tersedia
sama sekali dan total dari IP yang digunakan sebanyak 100 seratus persen. Ini menujukan bahwa serangan DOS attack itu
benar-benar terjadi menyerang komputer server, sehingga server tidak dapat memberikan layanan penyewaan IP kepada
komputer client.
96
4.5.2 Analisis Data Menggunakan BASE
Pada sub-bab ini spenulis akan mendeskripsikan proses analisi data kejadian melalui fungsionalitas BASE.
Gambar 4.26 Halaman Utama BASE
Pada kuadran kiri atas terdapat link yang mendeskripsikan sejumlah informasi seperti alert yang terjadi selama 24 jam terakhir dan
72 jam terakhir yang dapat ditampilkan berdasarkan parameter unik, listing, alamat IP sumber dan tujuan. Selain itu terdapat juga informasi
seperti 15 alert terbaru, port sumber atau tujuan terbaru. Pada kuadran kanan atas terdapat informasi waktu pengambilan
data ke database, nama database, versi skema, dan informasi waktu tambahan. Sealain itu juga terdapat tiga link yang mendefinisikan fitur
97
pencarian, pembuatan grafik data alert, dan pembuatan grafik untuk terdeteksinya alert.
Pada kuadran kanan bawah terdapat deskripsi profil traffic berdasarkan protokol, dan pada kuadran kiri bawah terdapat berbagai
informasi seperti jumlah sensor, alert unik, kategorisasi, jumlah total alert, dan sebaginya.
Penulis memanfaatkan
fitur pembuatan
grafis untuk
mendeskripsikan alamat IP sumber dengan jumlah serangan yang dihasilkan. Contoh, alamat IP 192.168.0.4 memiliki jumlah alert
sebesar 74.6 tujuh puluh empat koma enam persen dari 175 seratus tujuh puluh lima total alert yang terdetaksi.
Gambar 4.27 Diagram Batang Source IP dan Jumlah Alert
98
Pada fitur yang menampilkan profil traffic berdasarkan protokol TCP, BASE mendeskripsikan sejumlah daftar log dan alert pada
protokol TCP.
Gambar 4.28 Tampilan Daftar Alert Pada Traffic Profile By Protocol
Terlihat berturut-turut dari kira ke kanan adalah nomer identitas alert, informasi signature alert yang ter-generate, timestamp waktu
terjadinya alert, alamat IP sumber, alamat IP tujuan, dan protokol yang digunakan.
4.5.3 Pencegahan Serangan Menggunakan IPTables dan MAC Filtering
Setelah penulis melakukan beberapa proses penyerangan dan menganalisa baik terhadap komputer target maupun terhadap komputer
sensor, penulis menemukan data dari komputer penyerang yang dapat digunakan untuk melakukan pencegahan terhadap penyerangan-
penyerangan tersebut. Data yang berhasil diperoleh penulis adalah
99
metode yang digunakan, alamat internet protokol, alamat MAC, dan port yang digunakan untuk melakukan penyerangan.
Gambar 4.29 Data Yang Diperoleh dari Komputer Penyusup dengan Mode Sniffing dari Snort
Gambar 4.30 Data Yang Diperoleh dari Komputer Penyusup dengan TCPDump
100
Gambar 4.31 Traffic Serangan Yang Ditangkap Pada Firewall Dengan MRTG Multi Router Traffic Grapher
Dari data yang diperoleh, maka penulis dapat melakukan pencengahan terhadap penyerangan tersebut. Dalam melakukan
pencegahan ini, penulis melakukannya dengan dua cara yaitu dengan IPTables dan MAC Filtering.
Cara pertama, yang penulis lakukan adalah konfigurasi pada komputer firewall yang bertindak sebagai gateway sangat diperlukan
dalam proses ini, dengan cara memasukan source yang diperoleh dari komputer penyusup seperti alamat IP, alamat MAC, dan protokol yang
digunakan dengan menggunakan fitur dari mesin firewall yaitu dengan
iptables. Sehingga, yang dihasilkan dari konfigurasi ini adalah
penyerang tidak dapat melakukan aktivitas yang sama terhadap
komputer target seperti melakukan PING terhadap komputer yang
dituju.
101
Gambar 4.32 Blok Target Dengan IPTables
Pada gambar diatas penulis mengisukan sebuah perintah untuk melakukan pemblokiran terhadap komputer penyerang. Penulis
menggunakan perintah “iptables –I FORWARD –s 192.168.0.2 –j DROP” yang berjalan pada konsole. “–I” atau Insert digunakan oleh
penulis untuk memasukan perintah pada baris chain, perintah akan berada pada posisi rules teratas sehingga proses dapat dijalankan lebih
awal. Dapat dilihat dengan menggunakan perintah iptables –L, pada
tabel chain FORWARD perintah yang dimasukan tadi terdapat pada
awal baris rules. “FORWARD” pada iptables digunakan untuk
meneruskan paket dari jaringan eksternal ke dalam jaringan inernal melalui mesin firewall. Perintah ini digunakan karena serangan ini
berasal dari luar jaringan yang masuk kedalam jaringan internal melalui
mesin firewall. “–s” untuk mencocokan paket berdasarkan alamat IP sumber. “192.168.0.2” merupakan source dari komputer penyerang
102
yang akan diblokir. “–j DROP” men-drop paket dan menolak untuk
diproses lebih lanjut. Cara kedua, selain dengan menggunakan iptables, cara
pencegahan yang dilakukan oleh penulis juga dengan menggunakan MAC Filtering yang merupakan fitur dari router access point yang
digunakan dalam peneltian ini. Tahapan ini dilakukan dengan mengfokuskan pada alamat MAC yang dimiliki oleh komputer
penyerang.
Gambar 4.33 Pemilihan Alamat MAC Peyerang
Gambar 4.34 Alamat MAC Peyerang Yang Sudah Terdaftar Dalam MAC Filtering
103
Secara otomatis komputer yang memiliki alamat MAC yang sudah didaftarkan pada konfigurasi router tidak dapat lagi terhubung
dengan jaringan wireless dan melakukan tindakan-tindakan intrusi. Pencegahan dengan cara ini dilakukan penulis untuk melumpuhkan
koneksi penyerang secara total untuk menjaga sumber daya yang terdapat pada komputer target agar dapat selalu terlindungi dari hal-hal
yang tidak diharapkan. Ini dapat dilihat dari proses scanning pada mesin sensor akan berhenti, itu menandakan proses pemblokiran
terhadap mesin penyerang berhasil dilakukan.
Gambar 4.35 Sensor Snort Berhenti Mendeteksi Setelah Serangan Berhasil di Blok Dengan IPTables
104
Gambar 4.36 Grafik Pengiriman Serangan Dari Penyerang Setelah Dilakukan Pemblokiran Dengan IPTables
Gambar 4.37 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
105
Gambar 4.38 Grafik Pemenerima Data Serangan Pada Firewall Setelah Diblok Dengan IPTables
Gambar 4.39 Grafik Pemenerima Data Serangan Pada Sensor IDS Setelah Diblok Dengan IPTables
Jika salah cara penceegahan yang dilakukan oleh penulis yaitu dengan menggunakan iptables dan MAC Filtering telah dilakukan,
maka akan mendapatkan hasil yang dapat dilihat pada gambar 4.36 hingga gambar 4.39.
Gambar-gambar tersebut memperlihatkan proses pada mesin sensor yang menggunakan snort berhenti mendeteksi adanya serangan
106
dan grafik yang menunjukan jumlah serangan secara drastis turun karna
adanya pencegahan yang dilakukan dengan menggunakan IPTables dan MAC Filtering.
4.5.4 Keuntungan dan Hasil Menggunakan IDS Intrusion Detection System
Setelah penulis melakukan berbagai proses dalam penerapan IDS, maka penulis mendapatkan kemudahan dalam penerapannya. Dapat
diperoleh hasil dari penerapan IDS ini, yaitu suatu jaringan komputer dapat dipantau hanya dengan melalui sebuah mesin atau komputer yang
bertindak sebagai sensor didalam jaringan dan tehubung kedalam sebuah jaringan, itu dapat melihat semua kejadian yang sedang terjadi
didalamnya. Selain keuntungan yang didapat dalam penerapan IDS ini, penulis
juga mendapatkan hasil dari sistem IDS dalam mengamankan jaringan, yaitu jika terdapat sebuah masalah pada jaringan proses intrusi maka
dapat diketahui secara langsung oleh IDS ini yang menggunakan Snort. Dari mana serangan itu datang, melalui port berapa, dan protokol apa
yang digunakan.
4.6 Manajemen