65 Keterangan: 1. Hacker melakukan serangan scanning IP dan Port ke Router. 2. Router akan menjalankan systemnya yaitu snort untuk mendeteksi serangan tersebut. Snort membaca rule-rule yang dimilikinya untuk mendeteksi serangan DDos tersebut. Lalu snort akan membuat alert peringatan untuk sebagai sarana blockit menentukan dan membuat firewall block. Alert tersebut diperuntukkan admin. 3. Setelah snort mengeluarkan alert maka secara automatis blockit akan mengikuti alert dari snort dan membuat alert intruderpengganggu untuk admin dan firewall block. Firewall block tersebut sebagai media instruksi untuk firewall dalam memblokir serangan. 4. Firewall membaca instruksi firewall block dari blockit dan memblokir serangan Scanning IP dan Port.

3.4 Rancangan Firewall dengan IPtables

Setelah mengerti dasar teori tentang firewall dan IPtables yang dijelaskan dalam bab II, maka dalam bab 3 ini saya akan membuat sebuah Rancangan iptables untuk melimit sebuah serangan seperti Ddos Attack dan synflood. Dalam iptables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall firewall chain atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD. Namun dalam mendeteksi sebuah serangan, maka yang dipakai untuk melimit sebuah serangan adalah chain INPUT. Chain INPUT merupakan pertaruran masuknya sebuah data dalam Router, INPUT chain di ACCEPT maka seluruh komponen networking dari layer 3 – 4 bisa masuk dalam Router kita. Begitu juga sebaliknya, jika chain INPUT di DROPDENY maka seluruh komponen networking dalam layer 3 dan 4 tidak akan masuk. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 66 Berikut ini Rancangan sebuah chain INPUT yang masuk untuk melimit serangan DDos dan Synflood. Gambar 3.4.1 Skema Limitasi serangan dengan chain INPUT Keterangan: Ketika serangan paket data DDos dan Synflood menyerang router kita maka Firewall dalam Chain INPUT akan melimit sebuah serangan paket data tersebut. Setelah limitasi dilakukan maka akan masuk pada session log. Log sebuah firewall biasanya dibaca di varlogdaemon.log. ketika seluruh proses tersebut sudah dijalankan maka output paket data yang keluar adalah paket data limitan yang dilakukan firewall. Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. BAB IV IMPLEMENTASI SISTEM

4.1 Konfigurasi Snort IDS Intrusion detection system

Setelah mempelajari metode IDS dan program-program yang menjalankan IDS, kini tinggallah kita mengenal konfigurasi dari snort IDS. Snort IDS merupakan sebuah program enginemesin pendeteksi sebuah serangan yang dapat menerapkan metode IDS. Untuk instalasi snort, sudah dijabarkan dalam dasar teori di bab II, disini saya akan langsung memperlihatkan sebuah konfigurasi dari snort IDS. Dibawah ini adalah konfigurasi dari snort IDS dengan file yang bernama snort.conf. - Step-step menyusun snort.conf. 1 Pendeklarasian jaringan Komputer. 2 Konfigurasi load kumpulan dynamic processor untuk snort 3 Konfigurasi pendeteksi preprocessor 4 Konfigurasi output untuk alert 5 Konfigurasi rule-rule tambahan untuk pendeteksian jika ada. 6 Konfigurasi Rule-rule yang dipakai Dan dibawah ini penjabarannya: 1. Konfigurasi deklarasi variable jaringan kita yang akan dideteksi oleh snort. konfigurasi jaringan LAN var HOME_NET [10.124.1.024] var DNS_SERVERS HOME_NET var SMTP_SERVERS HOME_NET var HTTP_SERVERS HOME_NET var SQL_SERVERS HOME_NET var TELNET_SERVERS HOME_NET var SNMP_SERVERS HOME_NET 67 Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 68 Konfigurasi jaringan LUAR kita var EXTERNAL_NET any Konfigurasi untuk multiple port web server portvar HTTP_PORTS [80,8080] Port untuk yang diinginkan untuk pendeteksian SHELLCODE. portvar SHELLCODE_PORTS 80 Port untuk pendeteksian serangan pada oracle dihidupkan portvar ORACLE_PORTS 1521 Alamat server untuk fasilitas program chat var AIM_SERVERS [64.12.24.023,64.12.28.023,64.12.161.024,64.12.163.024,64.12.200.024,205.1 88.3.024,205.188.5.024,205.188.7.024,205.188.9.024,205.188.153.024,205.18 8.179.024,205.188.248.024] Path konfigurasi rule-rule yang dipakai snort var RULE_PATH etcsnortrules 2. Konfigurasi mengeluarkan kumpulan dynamic processor untuk snort dynamic preprocessor directory dynamicpreprocessor directory usrlocallibsnort_dynamicpreprocessor dynamicpreprocessor file usrlocallibsnort_dynamicpreprocessorlibdynamicexample.so dynamicengine file dynamicengine usrlocallibsnort_dynamicenginelibsf_engine.so dynamicdetection file usrlocallibsnort_dynamicrulelibdynamicexamplerule.so Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 69 3. Konfigurasi pendeteksi preprocessor konfigurasi frag3 untuk mesin pendeteksi preprocessor frag3_global: max_frags 65536 preprocessor frag3_engine: policy first detect_anomalies konfigurasi untuk mesin pendeteksi serangan preprocessor stream5_global: max_tcp 8192, track_tcp yes, \ track_udp yes preprocessor stream5_tcp: policy first, use_static_footprint_sizes preprocessor stream5_udp: ignore_any_rules konfigurasi untuk statistic performance HTTPWeb Server preprocessor http_inspect: global \ iis_unicode_map unicode.map 1252 preprocessor http_inspect_server: server default \ profile all ports { 80 8080 8180 } oversize_dir_length 500 konfigurasi RPC preprocessor rpc_decode: 111 32771 konfigurasi pendeteksi Back Orificelubang bugs preprocessor bo konfigurasi statistic performance untuk FTP preprocessor ftp_telnet: global \ encrypted_traffic yes \ inspection_type stateful preprocessor ftp_telnet_protocol: telnet \ normalize \ ayt_attack_thresh 200 Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 70 preprocessor ftp_telnet_protocol: ftp server default \ def_max_param_len 100 \ alt_max_param_len 200 { CWD } \ cmd_validity MODE char ASBCZ \ cmd_validity MDTM [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string \ chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \ telnet_cmds yes \ data_chan preprocessor ftp_telnet_protocol: ftp client default \ max_resp_len 256 \ bounce yes \ telnet_cmds yes Konfigurasi statistic performance SMTP preprocessor smtp: \ ports { 25 587 691 } \ inspection_type stateful \ normalize cmds \ normalize_cmds { EXPN VRFY RCPT } \ alt_max_command_line_len 260 { MAIL } \ alt_max_command_line_len 300 { RCPT } \ alt_max_command_line_len 500 { HELP HELO ETRN } \ alt_max_command_line_len 255 { EXPN VRFY } Konfigurasi Pendeteksi scanner port preprocessor sfportscan: proto { all } \ scan_type { all } \ memcap { 10000000 } \ sense_level { high } \ detect_ack_scans Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 71 Konfigurasi Arp Spoof dari snort preprocessor arpspoof Konfigurasi Statistic performance SSH preprocessor ssh: server_ports { 22 } \ max_client_bytes 19600 \ max_encrypted_packets 20 Konfigurasi Statistic performance Samba dan DCERPC preprocessor dcerpc: \ autodetect \ max_frag_size 3000 \ memcap 100000 Konfigurasi Statistic performance untuk DNS preprocessor dns: \ ports { 53 } \ enable_rdata_overflow 4. Konfigurasi output untuk alert Konfigurasi output alert yang masuk dalam database mysql output database: log, mysql, user=snort password=snort dbname=snort host=localhost Konfigurasi memasukkan klasifikasi, prioritas, dan Referensi snort include etcsnortclassification.config include etcsnortreference.config 5. Konfigurasi Rule-rule yang dipakai snort include etcsnortruleslocal.rules Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 72 include etcsnortrulesbad-traffic.rules include etcsnortrulesexploit.rules include etcsnortrulesscan.rules include etcsnortrulesfinger.rules include etcsnortrulesftp.rules include etcsnortrulestelnet.rules include etcsnortrulesrpc.rules include etcsnortrulesrservices.rules include etcsnortrulesdos.rules include etcsnortrulesddos.rules include etcsnortrulesdns.rules include etcsnortrulestftp.rules include etcsnortrulesweb-cgi.rules include etcsnortrulesweb-coldfusion.rules include etcsnortrulesweb-iis.rules include etcsnortrulesweb-frontpage.rules include etcsnortrulesweb-misc.rules include etcsnortrulesweb-client.rules include etcsnortrulesweb-php.rules include etcsnortrulessql.rules include etcsnortrulesx11.rules include etcsnortrulesicmp.rules include etcsnortrulesnetbios.rules include etcsnortrulesmisc.rules include etcsnortrulesattack-responses.rules include etcsnortrulesoracle.rules include etcsnortrulesmysql.rules include etcsnortrulessnmp.rules include etcsnortrulessmtp.rules include etcsnortrulesimap.rules include etcsnortrulespop2.rules Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber. 73 include etcsnortrulespop3.rules include etcsnortrulesnntp.rules include etcsnortrulesother-ids.rules include etcsnortrulesweb-attacks.rules include etcsnortrulesbackdoor.rules include etcsnortrulesshellcode.rules include etcsnortrulespolicy.rules include etcsnortrulesporn.rules include etcsnortrulesinfo.rules include etcsnortrulesicmp-info.rules include etcsnortrulesvirus.rules include etcsnortruleschat.rules include etcsnortrulesmultimedia.rules include etcsnortrulesp2p.rules include etcsnortrulesspyware-put.rules include etcsnortrulesspecific-threats.rules include etcsnortrulesexperimental.rules

4.2 Konfigurasi Blockit