PENERAPAN EASY INTRUSION DETECTION SYSTEM(EASYIDS) SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR

SISTEM JARINGAN

(STUDI KASUS : PT. PLN (PERSERO) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

IMAM SUTANTO 205091000057

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

JAKARTA 2010

i

(Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

Oleh : Imam Sutanto NIM 205091000057

Skripsi

Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA

JAKARTA 2010 M / 1431 H

ii

PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS) SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR

SISTEM KEAMANAN JARINGAN

(Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

Skripsi

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer Pada Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh : Imam Sutanto NIM. 205091000057

Menyetujui,

Pembimbing I Pembimbing II

Viva Arifin, MMSI Wahyudi, S.Si, MT

NIP. 19730810 200604 2 001 NIP.19760904 200910 1 001

Mengetahui,

Ketua Program Studi Teknik Informatika

Yusuf Durachman, M.Sc, MIT NIP. 19710522 200604 1 002

iii

Sebagai Pemberi Peringatan Dini Kepada Administrator Sistem Keamanan Jaringan (Studi Kasus : PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang)” telah diuji dan dinyatakan lulus dalam sidang Munaqosyah, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta pada hari Rabu, 23 Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar Sarjana Strata Satu (S1) Jurusan Teknik Informatika.

Jakarta, Juni 2010 Menyetujui,

Penguji I Penguji II

Herlino Nanang, MT Victor Amrizal, M.Kom

NIP. 19731209 200501 1 002 NIP. 150411288

Dosen Pembimbing I Dosen Pembimbing II

Viva Arifin, MMSI Wahyudi, S.Si, MT

NIP. 19730810 200604 2 001 NIP. 19760904 200910 1 001 Mengetahui,

Dekan Fakultas Sains dan Teknologi Ketua Prodi Teknik Informatika

Dr. Syopiansyah Jaya Putra, M.Sis Yusuf Durachman, M.Sc, MIT NIP. 19680117 200112 1 001 NIP. 19710522 200604 1 002

iv

LEMBAR PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.

Jakarta, Juni 2010

Imam Sutanto

vi

Puji syukur penulis panjatkan kehadirat Allah SWT, karena berkat rahmat dah ridhonyalah penulis dapat menyelesaikan Skripsi yang berjudul Pengembangan Intruder Detection System (IDS) Sebagai Solusi Keamanan Jaringan (Studi Kasus : PT.PLN (Persero) Distribusi Jakarta Raya dan Tangerang). Skripsi ini penulis ajukan untuk memenuhi salah satu syarat mata kuliah program studi S1 Teknik Informatika Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta.

Pada kesempatan ini, penulis ingin mengucapkan terima kasih sebesar-besarnya atas bimbingan dan pengarahan yang diberikan pada penulis selama menyusun skripsi ini. Oleh karena itu, izinkanlah penulis menyampaikan ucapan terima kasih kepada :

1. Bapak Dr.Syopiansyah Jayaputra, M.Sis, Dekan Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta.

2. Bapak Yusuf Durachman, M.Sc, MIT selaku ketua Program Studi Teknik Informatika Fakultas Sains dan Teknologi.

3. Ibu Viva Arifin, MMSI, selaku dosen Pembimbing I sekaligus selaku Koordinator Teknis Non Reguler karena beliaulah penulis dapat menyelesaikan skripsi ini dengan sebagaimana mestinya yang telah banyak membantu dan membimbing penulis dalam mengerjakan skripsi ini.

vii

4. Bapak Wahyudi, S.Si, MT, selaku dosen pembimbing II yang juga banyak membantu dan membimbing penulis dalam menyusun dan mengerjakan skripsi ini.

5. Seluruh dosen, staff akademik TI/SI dan karyawan Universitas Islam Negeri Syarif Hidayatullah Jakarta Fakultas Sains dan Teknologi.

6. Kepada kedua orangtua dan kedua kakak saya yaitu Hary Nughroho dan Gatot Sujianto yang telah memberikan banyak dukungan kepada penulis. Terima kasih atas doa, kasih sayang dan dukungannya.

7. Teman-teman TI/SI diantaranya Uswatun Hasanah, Dian Puspita Sari, Nurmalia, Rosa Rachtyani, Husin, Firman Hairulansa, Ihsandy, Julfi Rizona, Syahroni, Hasnul Arief, Syaifurrahman, Irma Yuliawati, dan kepada badrotul muniroh yang selalu berdoa, memberi inspirasi, dorongan, semangat, waktu, bantuan segala hal dan kasih buat penulis.

8. Kepada semua pihak yang telah membantu penyusunan skripsi ini yang tidak dapat penulis sebutkan satu-persatu.

Penulis menyadari bahwa sebagai manusia tidak dapat luput dari kesalahan dan kekurangan sehingga masih jauh dari sempurna sehingga segala saran dan kritik akan sangat membangun demi kesempurnaan skripsi ini.

Jakarta, 23 Juni 2010 Penulis

viii

Halaman Judul ... i

Lembar pengesahan Pembimbing ... ii

Lembar pengesahan Ujian ... iii

Pernyataan ... iv

Abstrak ... v

Kata Pengantar ... vi

Daftar Isi ... viii

Daftar Gambar ... xiv

Daftar Tabel ... xvii

Daftar Istilah ... xviii

BAB I PENDAHULUAN 1.1 Latar belakang ... 1

1.2 Rumusan Masalah ... 3

1.3 Batasan Masalah ... 4

1.4 Tujuan dan Manfaat Penelitian ... 4

1.4.1 Tujuan ... 4

1.4.2 Manfaat ... 5

ix

1.6 Sistematika Penulisan ... 7

BAB II LANDASAN TEORI 2.1 Pengertian Penerapan EasyIDS, Peringatan Dini, Administrator Sistem, Jaringan, Keamanan Jaringan ... 9

2.2 Model Referensi TCP/IP ... 10

2.3 User Datagram Protocol ... 11

2.4 Jenis Serangan ... 11

2.4.1 Port Scanning ... 11

2.4.2 Teardrop ... 12

2.4.3 Spoofing ... 13

2.4.4 Land Attack ... 16

2.4.5 Smurf Attack... 16

2.4.6 UDP Flood ... 17

2.4.7 Packet Interception ... 17

2.4.8 ICMP Flood ... 18

2.4.9 Traceroute ... 19

2.5 Tujuan Keamanan Komputer ... 19

2.6 Access Control ... 20

x

2.7.3 Firewall Check Point atau Firewall-1 ... 24

2.8 Intrusion Detection System ... 25

2.9 Intrusion Prevention System ... 26

2.10 Skema Analisis IDS dan IPS ... 31

2.11 Prinsip Kerja IDS Pada Jaringan Internal ... 32

2.11.1 Memonitor Akses Database ... 32

2.11.2 Melindungi E-mail Server ... 34

2.11.3 Memonitor Policy Security ... 34

2.12 Tujuan Penggunaan IDS ... 35

2.12.1 Tipe Intrusion Detection System (IDS) ... 37

2.12.1.1 Host-Based ... 41

2.12.1.2 Network-Based ... 44

2.12.1.3 Distrubusi Intrusion Detection System ... 50

2.12.1.4 Hibrid Intrusion Detection System ... 51

2.12.1.5 Skema Analisis IDS ... 53

2.13 Snort ... 54

2.13.1 Fitur-fitur Snort ... 55

xi BAB III METODOLOGI PENELITIAN

3.1 Metode Pengumpulan Data ... 59

3.1.1 Studi Lapangan / Observasi ... 59

3.1.2 Studi Pustaka atau Literatur ... 60

3.1.3 Wawancara ... 61

3.2 Metode Pengembangan Sistem NDLC ... 62

3.2.1 Analysis ... 63

3.2.2 Design ... 63

3.2.3 Simulation Prototype ... 64

3.2.4 Implementation ... 64

3.2.5 Monitoring ... 64

3.2.6 Management ... 65

BAB IV HASIL DAN PEMBAHASAN 4.1 Sejarah Singkat Berdirinya PT. PLN ... 67

4.2 Struktur Organisasi PT. PLN ... 72

4.3 Visi dan Misi PT. PLN ... 73

4.4 Tujuan dan Sasaran PT. PLN ... 73

4.5 Selayang Pandang ... 74

4.6 Sekilas Tentang Teknologi PT. PLN ... 77

xii

4.10 Infrakstruktur Sistem Teknologi Informasi ... 80

4.11 Analysis ... 81

4.11.1 Identify ... 82

4.11.2 Understand ... 83

4.11.3 Analyze ... 83

4.11.4 Report ... 85

4.12 Design ... 87

4.12.1 Perancangan Topologi ... 88

4.12.2 Perancangan Sistem ... 90

4.13 Simulation Prototype ... 91

4.14 Implementation ... 92

4.14.1 Implementasi Sistem Operasi ... 92

4.14.2 Impelementasi dan Konfigurasi Mesin Sensor ... 99

4.15 Impelementation BASE ... 109

4.16 Monitoring ... 110

4.16.1 Pengujian Fungsionalitas Komponen IDS ... 111

4.16.2 Analisa Data BASE ... 114

4.16.3 Solusi Mengatasi Serangan Ping Attack dan Port Scanning ... 119

xiii

4.17 Management ... 128

BAB V PENUTUP

5.1 Kesimpulan ... 130 5.2 Saran ... 131

DAFTAR PUSTAKA ... 132 LAMPIRAN-LAMPIRAN

xiv

Gambar 2.1 Standar Proses IPS ... 30

Gambar 2.2 Hubungan Antara Aktivitas Jaringan Baseline dan Anomalous ... 32

Gambar 2.3 Host-Based IDS ... 41

Gambar 2.4 Network-Based IDS ... 45

Gambar 2.5 Distribusi Intrusion Detection System ... 51

Gambar 3.1 Tahapan NDLC ... 62

Gambar 3.2 Diagram Metode Penelitian ... 66

Gambar 4.1 Struktur Organisasi PT. PLN ... 72

Gambar 4.2 Peta Wilayah PT. PLN ... 79

Gambar 4.3 Struktur Organisasi Bidang Perencanaan ... 80

Gambar 4.4 Topologi Jaringan Sebelumnya ... 88

Gambar 4.5 Topologi Jaringan yang Diusulkan ... 89

Gambar 4.6 Proses Instalasi Sistem Operasi EasyIDS ... 93

Gambar 4.7 Jenis Keyboard ... 94

Gambar 4.8 Root Password dibutuhkan Saat Login Mesin Sensor ... 94

Gambar 4.9 Setting Time Zone ... 95

Gambar 4.10 Format Harddisk ... 96

xv

Gambar 4.12 Instalasi Snort ... 97

Gambar 4.13 Ekstrak Rule Snort ... 98

Gambar 4.14 Login Mesin Sensor IDS ... 98

Gambar 4.15 Setelah Login Mesin Sensor EassyIDS ... 99

Gambar 4.16 Tampilan Login Web Based ke Mesin Sensor ... 100

Gambar 4.17 Tampilan Welcome EasyIDS ... 101

Gambar 4.18 Tampilan Change Password MySQL ... 102

Gambar 4.19 Tampilan Setelah Passwords Dimasukkan ... 102

Gambar 4.20 Tampilan Awal EasyIDS Berbasis Web GUI ... 103

Gambar 4.21 Snort Configuration ... 104

Gambar 4.22 Snort Network Settings ... 104

Gambar 4.23 Snort Rule Updates ... 105

Gambar 4.24 Notify Settings ... 106

Gambar 4.25 Snort Rulesets ... 107

Gambar 4.26 Systems Status ... 108

Gambar 4.27 System Information ... 109

Gambar 4.28 Tampilan Halaman BASE ... 110

Gambar 4.29 Ping Attack ... 112

Gambar 4.30 Ujicoba Nmap Client ke Mesin Sensor IDS ... 113

Gambar 4.31 Halaman Utama BASE ... 114

xvi

Gambar 4.35 Memblok Client Dalam Melakukan Ping Attack ... 120

Gambar 4.36 Nmap Pada Mesin Client ... 121

Gambar 4.37 Grafik Dropped Packet dan Alert Per Second Snort ... 122

Gambar 4.38 Grafik Mbits Per Second dan Kpackets Per Second Snort ... 123

Gambar 4.39 Grafik SYN+SYN/ACK Packet Session Event Snort ... 124

Gambar 4.40 Grafik Open Session dan Stream Event ... 125

Gambar 4.41 Grafik Frag Event dan Average Byte Per Packet ... 126

Gambar 4.42 Grafik Sistem ... 127

xvii

DAFTAR TABEL

Tabel 2.1 Point dan Jenis Serangan ... 19

Tabel 2.2 Perbedaan IDS dan IPS ... 30

Tabel 2.3 Perbedaan NIDS dan HIDS ... 50

Tabel 3.1 Studi Literatur ... 60

Tabel 4.1 Spesifikasi Sistem Yang Akan Dibangun ... 85

Tabel 4.2 Spesifikasi Perangkat Lunak (Software) ... 86

Tabel 4.3 Spesifikasi Perangkat Keras (Hardware) ... 87

xviii

BASE : Suatu aplikasi berbasis web based untuk monitoring dan analisis alert.

Detection Engine : Menggunakan detection plugins, jika ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan.

Decoder : Sesuai dengan paket yang di capture

dalam bentuk struktur data dan melakukan identifikasi protokol, decode IP dan kemudian TCP atau UDP tergantung informasi yang dibutuhkan

Distribusi IDS : Mengatur atau arsitekstur probe dengan menggunakan lebih dari satu NIDS. Global Section : Mengizinkan untuk mapping file untuk

IIS Unicode, Configure alert untuk proxy server dengan proxy_alert (jika menggunakan proxy server) atau konfigurasi deteksi lalu-lintas HTTP pada nonauthorized port dengan menggunakan detect_anomalous_traffic. Host Based IDS : Mendeteksi serangan yang tidak dapat

dikenali oleh network-basedIDS.

Host-Target Co-Location : IDS yang dijalankan pada sistem yang akan di lindungi.

xix

Host-Target Separation : IDS diletakkan pada komputer yang berbeda dengan yang akan di lindungi.

Hibrid IDS : Solusi network-base dan host-based IDS yang memliki keunggulan dan manfaat yang saling berbeda.

Inline Mode : Snort membaca, menganalisis traffic,

logging dan berinteraksi dengan firewall untuk membloktrafficintrusi memicu.

Intruder : Orang yang melakukan penyusupan

Network Based IDS : Menampilkan network traffic untuk beragam sistem yang akan diamati sehingga sistem ini tidak memerlukan perangkat lunak untuk digunakan dan diatur pada banyak host.

Network intrusion detection mode : Snort membaca dan menganalisis traffic menggunakan ruleset/signatures untuk mendeteksi aktivitas intrusi dan melakukan loggingaktivitas sensor.

Nmap : Program untuk melakukan uji coba port

scanning.

Output Plugins : Merupakan suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa di akses dengan berbagai cara, seperti console, exteren files, database dan sebagainya.

xx

Pre Processors : Suatu jaringan yang mengindentifikasi berbagai hal yang harus diperiksa seperti Detection Engine.

Rules Files : Merupakan suatu file teks yang berisi daftar aturan yang sintaksnya sudah diketahui. Sintaks ini meliputi protocol, address, output plugins dan hal-hal yang berhubungan dengan berbagai hal. Rules file akan selalu diperbaharui setiap ada kejadian di dunia maya.

Server Section : Mengizinkan untuk setting HTTP server profiles yang berbeda untuk beberapa server yang berbeda. Konfigurasi tipe serangan dan menormalisasikan berdasarkan server yang ada.

Sniffer Mode : Snort membaca traffic atau paket-paket yang berada di dalam sistem jaringan dan menampilkan ke layar console.

Snort : Suatu perangkat lunak untuk mendeteksi

penyusup dan mampu menganalisis paket yang melintas jaringan secara real time traffic dan logging ke dalam database serta mampu mendeteksi berbagai serangan yang berasal dari luar jaringan.

1 BAB I PENDAHULUAN

1.1 Latar Belakang

Keamanan jaringan komputer sebagai bagian dari sebuah sistem sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak. Sistem pertahanan terhadap aktivitas gangguan saat ini umumnya dilakukan secara manual oleh administrator. Hal ini mengakibatkan integritas sistem bergantung pada ketersediaan dan kecepatan administrator dalam merespons gangguan. Apabila gangguan tersebut berhasil membuat suatu jaringan mengalami malfungsi, administrator tidak dapat lagi mengakses sistem secara remote sehingga ia tidak akan dapat melakukan pemulihan sistem dengan cepat.Intrusion Detection System (IDS) adalah suatu perangkat lunak (software) atau suatu sistem perangkat keras (hardware) yang bekerja secara otomatis untuk memonitor kejadian pada jaringan komputer dan dapat menganalisis masalah keamanan jaringan. Serangan yang terjadi terhadap jaringan komputer selalu meningkat pada infrakstruktur keamanan perusahaan dan organisasi yang menggunakan komputer sebagai alat bantu untuk menyelesaikan pekerjaan. Bagaimana mendeteksi intruder yang menyerang suatu jaringan, serta bagaimana

mengatur Intrusion Detection Systemyang berfungsi sebagai levelkeamanan di tingkat aplikasi setelah suatu paket melewati suatu firewall. Deteksi penyusup adalah aktivitas untuk mendeteksi penyusup secara cepat dengan menggunakan program khusus yang otomatis dan real-timerespons. (Ariyus, 2007).

PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang merupakan salah satu Perusahaan milik Negara yang bergerak di bidang penjualan tenaga listrik dan pelayanan pelanggan dalam melayani pelanggan diwilayah DKI Jakarta, Kotamadya Tangerang, Kabupaten Tangerang. PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang saat ini sistem jaringan pada kantor distribusi Gambir sering terjadinya serangan dari pihak dalam (internal) yaitu serangan DDos attack. Dimana PC Router hanya dapat melihat paket apa saja yang lewat, tetapi tidak dapat mengenali jenis serangan jika terjadi serangan atau adanya suatu intruder dari pihak dalam maupun luar. Pada saat terjadi serangan administrator sistem jaringan hanya mengandalkan berupa log-log file PC Router dan firewall. Log-log file tersebut berupa text.

Disinilah fungsi EasyIDS (Easy Intrusion Detection System) dibutuhkan. EasyIDS (Easy Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika terjadi serangan atau kegiatan-kegiatan yang mencurigakan pada jaringan, maka EasyIDS akan memberikan alert (peringatan) kepada administrator sistem jaringan.

3

Dengan demikian, pengamanan sistem firewall dan EasyIDS sangat diperlukan bagi PT. PLN Persero Distibusi Jakarta Raya dan Tangerang untuk mendeteksi adanya penyusup baik dari dalam maupun luar, karena itu dibutuhkan sistem pendeteksi, sistem yang secara intensif dapat mendeteksi terjadinya aktivitas intrusi terhadap sumber daya perusahaan. Berdasarkan hal-hal tersebut, maka penulis tertarik mengambil topik penulisan dengan judul Penerapan EASYIDS Sebagai Pemberi Peringatan Dini Kepada Administrator Sistem Jaringan (Studi Kasus : PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang).

1.2 Rumusan Masalah

Atas dasar Latar belakang dikemukakan diatas, maka rumusan masalah yang di bahas untuk Skripsi ini adalah :

1. Bagaimana melakukan konfigurasi EasyIDS, sehingga EasyIDS yang dapat mendeteksi adanya intrusi (penyusup) pada firewall.

2. Bagaimana menerapkan EasyIDS sehingga dapat bekerjasama dengan firewalldalam melakukan monitoring jaringan dari serangan pihak dalam dan luar.

1.3 Batasan Masalah

Sesuai dengan inti dari penulisan skripsi maka penulis akan membatasi ruang lingkup agar penelitian lebih terarah. Dengan demikian permasalahan penelitian ini dibatasi pada :

1. Menggunakan software open sourceyaitu EasyIDS. 2. Pengguna EasyIDS adalahadministratorjaringan.

3. Peringatan dini untuk administrator jaringan dalam bentuk berbasis web GUI (Grafic User Interface).

4. Sistem operasi yang digunakan untuk mesin sensor adalah Centos. 5. Hasil diperlihatkan dalam bentuk diagram batang (chart).

1.4 Tujuan dan Manfaat Penelitian 1.4.1 Tujuan

Penerapan EasyIDS yang digunakan agar dapat memberikan alert (peringatan) kepada administrator sistem jaringan dalam mengetahui adanya suatu intruder dari sistem jaringan PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang.

5

1.4.2 Manfaat

a. Bagi Mahasiswa :

1. Mahasiswa mampu menerapkan EasyIDS (easy intrusion detection system) dalam meningkatkan kualitas aspek sistem keamanan jaringan komputer.

2. Memperluas wawasan dan memperdalam pemahaman penulis terhadap penggunaan sistem operasi berbasis Unix yaitu Centos dan Windows serta pemanfaatan program keamanan jaringan berbasis open source.

3. Menerapkan ilmu yang pernah di dapat penulis di perkuliahan. b. Bagi Institusi Perguruan Tinggi

1. Sebagai sarana pengenalan, perkembangan ilmu pengetahuan dan teknologi dan khususnya jurusan Teknik Informatika konsentrasi Networking di Universitas Islam Negeri Syarif Hidayatullah Jakarta.

2. Sebagai bahan masukan dan evaluasi program Teknik Informatika di Universitas Islam Negeri Syarif Hidayatullah Jakarta untuk menghasilkan tenaga-tenaga terampil sesuai dengan kebutuhan. c. Bagi Perusahaan

Dengan dapat memanfaatkan fasilitas yang ada pada EasyIDS untuk diterapkan sebagai pemberi peringatan dini kepada

administrator jaringan sehingga dapat mengetahui sekiranya ada penyusup.

1.5 Metodologi Penelitian

Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem.

Berikut penjelasan kedua metode tersebut :

1. Metode Pengumpulan data

Merupakan metode yang digunakan penulis dalam melakukan analisis data dan menjadikannya informasi yang akan digunakan untuk mengetahui permasalahan yang dihadapi.

a. Studi Lapangan

Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi.

b. Wawancara

Metode pengumpulan data dengan melakukan wawancara adalah proses memperoleh keterangan untuk tujuan penelitian dengan cara tanya jawab, sambil bertatap muka antara si penanya atau pewawancara dengan si penjawab atau responden.

7

c. Studi Pustaka atau literatur

Metode pengumpulan data melalui buku atau browsinginternet yang dijadikan sebagai acuan analisa penelitian yang dilakukan.

2. Metode Pengembangan Sistem menggunakan NDLC (Network Development Life Cycle).

a. Analysis b. Design

c. Simulation Prototyping d. Implementation

e. Monitoring f. Management

1.6 SISTEMATIKA PENULISAN

Dalam penyusunan tugas akhir ini, penulis mensajikan dalam 5 bab yang digambarkan sebagai berikut :

BAB I PENDAHULUAN

Pada bab ini akan diuraikan tentang Latar Belakang, Permasalahan, Tujuan dan Manfaat Penelitian, Metodologi Penelitian, Sistematika Penulisan laporan penelitian skripsi.

BAB II LANDASAN TEORI

Pada bab ini akan diuraikan secara singkat teori yang mendukung penyusunan dan penulisan tugas akhir ini.

BAB III METODOLOGI PENELITIAN

Pada bab ini akan dibahas mengenai pemaparan metode yang penulis pakai dalam pencarian data maupun pengembangan sistem yang dilakukan pada penelitian.

BAB IV ANALISIS DAN PEMBAHASAN

Pada bab ini akan membahas mengenai penerapan dan pengujian sistem IDS (Intrusion Detection System) dalam mengatasi adanya intruder.

BAB V KESIMPULAN DAN SARAN

Pada bab ini penulis memberikan kesimpulan dari apa yang telah dibahas dalam bab-bab sebelumnya dan memberikan saran untuk pengembangan yang lebih baik lagi.

9 BAB II

LANDASAN TEORI

2.1 Pengertian Penerapan, EasyIDS, Peringatan Dini, Administrator Sistem Jaringan dan Keamanan Jaringan

Penerapan adalah proses, cara, perbuatan untuk menerapkan. (KBBI, 2008). EasyIDS adalah sistem deteksi intrusiyang mudah untuk diinstal dan dikonfigurasi untuk Snort. Berdasarkan panduan instalasi Patrick Harper's Snort dan dimodelkan setelah instalasi cd trixbox, EasyIDS dirancang untuk keamanan jaringan Linux pemula dengan pengalaman minimal. (Patrick, 2009). Peringatan adalah nasihat untuk memperingatkan, sesuatu yang dipakai memperingati, catatan. (KBBI, 2008). Sedangkan dini adalah awal, lekas, diagnosis. Jadi Peringatan dini adalah suatu peringatan/catatan yang dipakai untuk memperingatkan adanya kesalahan yang lebih awal.

Administrator Sistem Jaringan adalah orang atau tim yang bertanggung jawab dalam administrasi dan pengelolaan sistem level pada level root. Untuk lingkungan workstation tunggal, penggunanya adalah juga sistem administrator dari workstation tersebut pada saat bekerja pada level root. Seorang administrator dapat juga disebut sebagai sistem manajer atau sistem programmer. (Doss, 2000). Sedangkan Keamanan jaringan secara umum adalah komputer yang terhubung ke network, mempunyai ancaman

keamanan lebih besar daripada komputer yang tidak terhubung ke mana-mana. (Ariyus, 2007)

2.2 Model Referensi TCP/IP

TCP/IP adalah singkatan dari Transmission Control Protocol/Internet Protocol. Meskipun TCP/IP baru-baru ini saja menjadi protocol standard, namun umumnya telah lebih dari 20 tahun, digunakan pertama kali untuk menghubungkan komputer-komputer pemerintah (USA) dan sekarang telah menjadi dasar bagi internet, jaringan terbesar dari jaringan komputer diseluruh dunia. Pada saat ini, TCP/IP memiliki keunggulan sehubungan dengan kompatibilitasnya dengan beragam perangkat keras dan sistem operasi.

Tugas utama TCP adalah menerima pesan elektronik dengan panjang sembarang dan membaginya ke dalam bagian-bagian, maka perangkat lunak yang mengontrol komunikasi jaringan dapat mengirim tiap bagian dan menyerahkan ke prosedur pemeriksaan bagian demi bagian. Apabila suatu bagian mengalami kerusakan selama transmisi, maka program pengirim hanya perlu mengulang transmisi bagian itu dan tidak perlu mengulang dari awal.

Sedangkan Internet Protocol (IP) mengambil bagian-bagian, memeriksa ketepatan bagian-bagian, mengalamatkan ke sasaran yang dituju dan memastikan apakah bagian-bagian tersebut sudah dikirim dengan urutan

11

yang benar. IP memiliki informasi tentang berbagai skema pengalamatan yang berbeda-beda. (Wahana, 2003).

2.3 User Datagram Protocol(UDP)

Menurut Ariyus (2007). Sebagai tambah dari TCP, terdapat satu protocol level transport lain yang umum digunakan sebagai bagian dari suite protocol TCP/IP yang disebut dengan User Datagram Protocol (UDP). UDP menyediakan layanan nirkoneksi untuk prosedur-prosedur padalevelaplikasi. Pada dasarnya UDP merupakan suatu layanan protokol yang kurang bisa diandalkan karena kurang memberikan perlindungan dalam pengiriman dan duplikasi data. Datagram merupakan suatu paket switching, sebuah paket yang terpisah-pisah dari paket lain yang membawa informasi yang memadai untuk routing dari Data Terminal Equipment (DTE) sumber ke DTE tujuan tanpa harus menetapkan koneksi antara DTE dan jaringan.

2.4 Jenis Serangan

Menurut Ariyus (2007). Jenis dan serangan yang mengganggu jaringan komputer beraneka macam. Serangan-serangan yang terjadi pada sistem komputer di antaranya adalah :

2.4.1 Port Scanning: merupakan suatu proses untuk mencari dan membuka port pada suatu jaringan komputer. Dari hasil scanning akan didapat

letak kelemahan sistem tersebut. Pada dasarnya sistem port scanning mudah untuk dideteksi, tetapi penyerang akan menggunakan berbagai metode untuk menyembunyikan serangan. Sebagai contoh, banyak jaringan tidak membuat file log koneksi, sehingga penyerang dapat mengirimkan initial packet dengan suatu SYN tetapi tidak ada ACK, dan mendapatkan respons kembali (selain SYN jika suatu port terbuka) dan kemudian berhenti di porttersebut. Hal ini sering disebut dengan SYN scan atau half open scan.Walaupun tidak mendapatkan log, sebagai contoh, mungkin akan berakhir sebagai serangan denial service attack pada host atau device lain yang terhubung dengan jaringan atau portuntuk koneksi terbuka.

Penyerang akan mengirimkan paket lain pada port yang masih belum ada pada jaringan tersebut tetapi tidak terjadi respons apapun pada file log, kesalahan file atau device lainnya. Beberapa kombinasi dari flag selain SYN dengan sendirinya dapat di gunakan untuk tujuan port scanning. Berbagai kemungkinan yang kadang disebut dengan Christmas tree (beberapa jaringan decive menampilkan option seperti Christmas tree) dan null yang akan memberikan efek kepada jaringan TCP/IP, sehingga protokol TCP/IP akan mengalami down (out of service), banyak tool yang ada yang bisa membuat suatu protokol TCP/IP menjadi crash atau tidak bisa berfungsi sebagaimana mestinya.

2.4.2 Teardrop : merupakan suatu teknik yang dikembangkan dengan mengeksploitasi proses disassembly-reassembly paket data. Dalam

13

jaringan internet seringkali data harus dipotong kecil-kecil untuk menjamin reliabilitas dan proses multiple akses jaringan. Potongan paket data ini kadang harus dipotong ulang menjadi lebih kecil lagi pada saat disalurkan melalui saluran Wide Area Network (WAN) agar pada saat melalui saluran WAN tidak reliablemaka proses pengiriman data itu menjadi reliable. Pada proses pemotongan data paket yang normal, setiap potongan diberi informasi offset data yang kira-kira berbunyi ”potongan paket ini merupakan potongan 600 byte dari total 800 byte paket yang dikirim”. Program teardrop akan memanipulasi offset potongan data sehingga akhirnya terjadi overlapping antara paket yang diterima di bagian penerima setelah potongan-potongan paket ini disassembly-reassembly. Seringkali overlapping ini menimbulkan sistem yang crash, hang dan reboot diujung sebelah sana.

2.4.3 Spoofing : adalah suatu serangan teknis yang rumit yang terdiri dari beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja dengan menipu komputer, seolah-olah yang menggunakan komputer tersebut adalah orang lain. Hal ini terjadi karena design flaw (salah rancang). Lubang keamanan yang dapat dikategorikan ke dalam kesalahan desain adalah desain urutan nomor (sequence numbering) dari paket TCP/IP. Kesalahan ini dapat dieksploitasi sehingga timbul masalah.

IP Spoofing melakukan aktivitasnya dengan menulis ke raw socket.Program dapat mengisi header fielddari suatu paket IP apapun yang diingini. Dalam sistem linux, user yang melakukan proses ini memerlukan ijin dari root. Karena routing hanya berdasarkan IP destination address (tujuan), maka IP source address (alamat IP sumber) dapat diganti dengan alamat apa saja. Dalam beberapa kasus, attacker menggunakan satu IP source address yang spesifik pada semua paket IP yang keluar untuk membuat semua pengembalian paket IP dan ICMP message ke pemilik address tersebut untuk menyembunyikan lokasi mereka pada jaringan. Pada bahasan Smurf: ICMP Flood memperlihatkan serangan dengan menggunakan IP spoofinguntuk membanjiri korban dengan ECHO REQUEST.

Filterisasi yang ditempatkan pada router dapat mengeliminasi secara efektif IP Spoofing. Router mencocokkan IP source address dari masing-masing paket keluar terhadap IP addressyang ditetapkan. Jika IP source address ditemukan tidak cocok, paket dihilangkan. Sebagai contoh, router di MIT, rute paket keluar hanya dari IP source address dari subnet 18.0.0.0/8. Walaupun IP Spoofing adalah suatu senjata bagi attacker untuk melakukan penyerangan, dalam banyak kasus penggunaan IP spoofing ini oleh attacker hanya sebatas dalam pemakaian sementara IP address tersebut. Banyak attacker dilibatkan dalam suatu serangan, masing-masing operasi dari jaringan yang berbeda, sehingga kebutuhan IP spoofing menjadi berkurang.

15

Filterisasi Ingress dan Egress membuat seorang attacker lebih sulit melakukan serangan, walaupun cara ini belum menjamin dapat mengatasi IP spoofing.

Sebuah host memalsukan diri seolah-olah menjadi host lain dengan membuat paket palsu setelah mengamati urutan paket dari host yang hendak di serang. Bahkan dengan mengamati cara mengurutkan nomor paket bisa dikenali sistem yang digunakan. Ada tiga jawaban yang tidak dipedulikan oleh penyerang pada kasus IP spoofing ke anataran adalah :

1. Penyerang bisa menginterupsi jawaban dari komputer yang dituju : Jika suatu penyerang pada suatu tempat ke antara jaringan yang dituju dengan jaringan yang dipakai penyerang, dengan ini penyerang akan bisa melihat jawaban yang dari komunikasi suatu jaringan tanpa diketahui oleh orang lain. Hal ini merupakan dasar dari hijacking attack.

2. Penyerang tidak harus melihat jawaban dari komputer yang dituju : Penyerang kadang-kadang tidak begitu memperdulikan jawaban apa yang diberikan suatu komputer korban. Penyerang bisa membuat perubahan yang diinginkan dari komputer korban tanpa memperdulikan jawaban atau tanggapan dari jaringan tersebut.

3. Penyerang tidak ingin jawaban, dan pokok dari suatu serangan untuk membuat jawaban ke tempat lain : Beberapa serangan bisa

membuat respons yang diberikan tidak masuk ke komputer penyerang. Hal ini penyerang tidak ingin tahu respons apa yang diberikan oleh komputer korban. Jadi respons atau jawaban akan dikirim secara otomatis ke komputer lain sehingga penyerang bisa dengan leluasa menjalankan misinya karena penyerang yang dikenal oleh komputer korban adalah komputer lain.

2.4.4 Land Attack : merupakan serangan kepada sistem dengan menggunakan program yang bernama land. Apabila serangan yang ditujukan pada sistem Windows 95, maka sistem yang tidak diproteksi akan menjadi hang(dan bisa keluar layar biru). Demikian pula apabila serangan diarahkan ke beberapa jenis UNIX versi lama, maka sistem akan hang. Jika serangan diarahkan ke sistem Windows NT, maka sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk beberapa saat sehingga sistem seperti macet. Dapat dibayangkan apabila hal ini dilakukan secara berulang-ulang. Serangan land ini membutuhkan nomor IP dan nomor port dari server yang dituju. Untuk sistem berbasis Windows, port 139 merupakan jalan masuknya serangan.

2.4.5 Smurf Attack : Serangan jenis ini biasanya dilakukan dengan menggunakan IP spoofing, yaitu mengubah nomor IP dari datangnya request. Dengan menggunakan IP spoofing, respons dari ping tadi di alamatkan ke komputer yang IP-nya di-spoof. Akibatnya, komputer tersebut akan menerima banyak paket. Hal ini dapat mengakibatkan

17

pemborosan penggunaan (bandwidth) jaringan yang menghubungkan komputer tersebut.

2.4.6 UDP Flood : Pada dasarnya mengaitkan dua sistem tanpa di sadari. Dengan cara spoofing, User Datagram Protocol (UDP) flood attack akan menempel pada servis UDP chargen disalah satu mesin, yang untuk keperluan “percobaan” akan megirimkan sekelompok karakter ke mesin lain, yang diprogram untuk meng-echo setiap kiriman karakter yang diterima melalui servis chargen. Karena paket UDP tersebut dispoofing diantara kedua mesin tersebut maka yang terjadi adalah banjir tanpa henti kiriman karakter yang tidak berguna di antara kedua mesin tersebut. Untuk menanggulangi UDP flood, dapat mendisable semua servis UDP disemua mesin jaringan, atau yang lebih mudah adalah dengan memfilter pada firewallsemua servis UDP yang masuk.

2.4.7 Packet Interception : Membaca suatu paket disaat paket tersebut dalam perjalanan disebut dengan packet sniffing. Ini adalah suatu cara penyerang untuk mendapatkan informasi yang ada didalam paket tersebut. Ada baiknya suatu paket yang akan dikirim di enkripsi terlebih dahulu sehingga penyerang mengalami kesulitan untuk membuka paket tersebut. Untuk dapat membaca suatu paket yang sedang lewat suatu jaringan, penyerang berusaha untuk mendapatkan paket yang diinginkan dengan berbagai cara. Yang paling mudah bagi penyerang adalah dengan mendapatkan kontrol lalu-lintas jaringan,

bisa dengan menggunakan tool yang disediakan untuk melakukan serangan yang banyak tersedia diinternet. Tool ini akan mencari dan dengan mudah memanfaatkan kelemahan dari protokol yang ada.

2.4.8 ICMP Flood : Seorang penyerang melakukan eksploitasi sistem dengan tujuan untuk membuat suatu target host menjadi hang, yang disebabkan oleh pengiriman sejumlah paket yang besar ke arah target host. Exploting sistem ini dilakukan dengan mengirimkan suatu command ping dengan tujuan broadcast atau multicast dimana si pengirim dibuat seolah-olah adalah target host. Hal inilah yang membuat target host menjadi hang dan menurunkan kinerja jaringan. Bahkan hal ini dapat mengakibatkan terjadinya denial of service.

2.4.9 Traceroute: Suatu tool(alat bantu) yang digunakan untuk memetakan konfigurasi suatu target adalah dengan menggunakan sebuah command sederhana yang dikenal dengan traceroute. Kegunaannya adalah untuk mengirimkan secara serempak sebuah urutan paket dengan menambahkan nilai TTL (Time to Live). Ketika sebuah router lanjutan menerima sebuah paket terusan maka mengurangi nilai TTL sebelum meneruskannya ke router berikutnya. Pada saat itu jika nilai TTL pada sebuah paket mencapai nilai nol maka pesan time exceeded akan dikirim balik ke host asal. Dengan mengirimkan paket dengan nilai TTL 1 akan memperbolehkan router pertama di dalam jalur paket untuk mengembalikan pesan time exceeded yang akan mengizinkan penyerang untuk mengetahui IP address router pertama. Paket

19

berikutnya kemudian dikirimkan dengan menambahkan nilai 1 pada TTL, sehingga penyerang akan mengetahui setiap loncatan antara host asal dengan host target.

Tabel 2.1 Point dan Jenis Serangan

(

(Sumber : Ariyus, 2007)

2.5 Tujuan Keamanan Komputer

Menurut Ariyus (2007), Mengapa Intrusion Detection Sistem (IDS) ditambahkan untuk meningkatkan keamanan komputer? Pada dasarnya tujuan dari keamanan komputer, yang disingkat dengan CIA, yang merupakan singkatan dari :

1. Confidentiality : Merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Confidentiality biasanya berhubungan dengan informasi yang diberikan ke pihak lain.

2. Integrity : Keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak di modifikasi oleh orang yang tidak dalam perjalanan informasi tersebut.

Point Serangan

Internal User External User Denial of Service Menganggu Menganggu Increase Privilege Serius menganggu Resiko yang serius Superuser

3. Availability : Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.

2.6 Access Control

Menurut Rafiudin (2005). Access Control adalah proses pembatasan privilege (hak istimewa) untuk user atas penggunaan sumber daya sistem. Terdapat tiga tipe pengendalian akses :

1. Administrative Control : Pengendalian berdasarkan kebijakan (policy), informasi kebijakan sekuriti harus sejalan dengan sasaran-sasaran bisnis organisasi.

2. Physical Control: Pengontrolan akses terhadap perangkat-perangkat fisik jaringan, termasuk node-node, pengkabelan, ruangan/bangunan dan asset-aset privatlainnya.

3. Logical Control: Kendali hardwaredan software, pembatasan akses atas konfigurasi-konfigurasi Access Control List (ACL) protokol-protokol komunikasi dan sistem kriptografi.

21

2.7 Definisi Firewall

Menurut Stallings (2003). Firewall merupakan suatu perangkat yang dapat melindungi sebuah sistem lokal jaringan dan sistem jaringan secara efektif dari ancaman keamanan sementara pada waktu mengakses keluar jaringan lewat Wide Area Networkdan melalui jaringan internet.

2.7.1 Karakterikstik Firewall

Berikut adalah tujuan desain untuk firewall:

1. Semua traffic dari dalam ke luar jaringan, dan sebaliknya harus melewati firewall. Dengan firewall ini adalah untuk menghalangi semua akses kepada jaringan lokal kecuali melalui firewall. Mungkin macam konfigurasi firewallsebagai menjelaskan didalam section.

2. Hanya memberikan hak akses traffic sebagai kebijakan keamanan jaringan yang diizinkan lewat. Tipe macam firewallyang digunakan tipe firewall security policy.

3. Firewall itu sendiri mempertahankan. Firewall sistem yang dipercaya dengan sebuah operating systemyang aman.

Empat teknik umum yang firewall gunakan untuk control akses dan melaksanakan security policy. Sesungguhnya, firewall diutamakan focus dalam service control, tetapi firewall telah menyediakan empat dalam service control:

a. Service Control: Menentukan tipe dari internet service yang dapat diakses dalam ataupun luar jaringan internet. Firewall membolehkan filter packet dalam basis IP address dan TCP nomor port: software proxy yang menerima dan setiap sebelum meminta service melewati proxy atau mungkin host server yang di buat sendiri, seperti web atau mail service.

b. Direction Control : Menentukan petunjuk dimana teliti dalam meminta service mungkin mengizinkan melewati firewall.

c. User Control : Mengendalikan akses ke sebuah service yang user yang inginkan. Biasanya menerapkan user didalam parameter firewall (local users). Ini mungkin juga menerapkan incoming traffic dari external users, yang belakangan memerlukan dari keamanan teknologi authenticationseperti disediakan IPsec.

d. Behavior Control : Mengontrol dengan teliti bagaimana service yang digunakan. Untuk contoh, firewall membolehkan filter email untuk membersihkan SPAMatau membolehkan mengaktifkan akses eksternal ke hanya informasi sebuah web server.

2.7.2 Jenis-jenis Firewall

Firewall terbagi menjadi tiga jenis, yakni sebagai berikut :

a. Packet-Filtering Router : Sebuah packet-filtering router menerapkan aturan (rule) ke setiap paket IP yang masuk atau datang

23

dan kemudian diforward atau dibuang paket tersebut. Biasanya konfigurasi router untuk memfilter paket dikedua arah (dari dan ke jaringan internal). Filtering rules didasarkan atas informasi yang terdapat dipaket jaringan.

b. Application-Level Gateway : Application-level gateway juga disebut sebuah proxy server, yang bertindak sebagai meletakkan dari application-level gatewayyang menggunakan apliaksi TCP/IP, seperti Telnet atau FTP dan gateway meminta user untuk mengakses yaitu meremote host. Bila user dan informasi otentikasi. Application Gateway dalam remote host dan meletekakan pada bagian segment TCP yang berisi aplikasi data diantara kedua endpoint (titik terakhir).

c. Circuit-Level Gateway : Ketiga dari jenis firewall adalah circuit-level gateway. Circuit-circuit-level gateway sistem yang dapat berdiri sendiri atau bisa merupakan suatu fungsi yang melakukan dengan application-level gateway untuk aplikasi. Circuit-level gateway pintu gerbang tidak mengizinkan end-to-end koneksi TCP, satu diantaranya adalah kumpulan dua koneksi. Satu diantaranya gatewaydan sebuah user TCP diluar host.

Dalam hal ini penulis menggunakan jenis Firewall Check Pointatau Firewall-1 yaitu FirewallNokia IP 390.

2.7.3 Firewall Check Point atau Firewall-1

Menurut (Baroto, 2003) Pembuatan firewall-1 berbasis pada teknologi arsitektur stateful Inspection yang akan menjamin keamanan jaringan hingga tingkat tertinggi. Modul inpeksi pada Firewall-1 berisi mesin inspeksi (INSPECT) yang mampu dengan seksama memeriksa seluruh muatan paket pada lapisan komunikasi serta mengambil sari informasi dari kondisi komunikasi dan aplikasi yang sesuai. (Baroto : 2003)

Produk Firewall-1 Entreprise:

1. Modul Manajemen : Manajemen sistem keamanan terpusat berbasis grafis baik untuk satu atau lebih hingga tak terbatas terhadap titik-titik penyelengaraan (enforcement) keamanan atau modul Firewallitu sendiri.

2. Modul Inspeksi :Kontrol akses, Autentikasi klien dan session, Network Address Translation(NAT) dan Auditing.

3. Modul Firewall : Termasuk Modul Inspeksi. Autentikasi User, Sinkronisasi Firewall jamak dan Keamanan Muatan (Content Security).

4. Modul Enkripsi : Menyediakan metode enkripsi DES dan enkripsi FWZ-1.

5. Manajemen Keamanan Router : Manajemen keamanan bagi kegiatan control akses baik terhadap satu router hingga lebih.

25

6. Manajer Keamanan Terbuka : Manajemen keamanan terpusat baik bagi routerproduksi 3Com, Cisco dan server Microsoft NT hingga ke FirewallPLX Cisco.

2.8 Intrusion Detecction System

Menurut (Stalling, 2003). Penyusupan (intruders) salah satu dari dua yang paling mempubilkasikan ancaman keamanan dari intruder/penyusup (virus-virus lainnya), biasanya menunjukan sebagai hacker atau cracker. Pentingnya diawal mempelajari intrusion (gangguan), ada tiga kelas dari intruder :

1. Masquerader : Seseorang yang tidak diberikan hak untuk menggunakan komputer dan siapa yang memasuki sistem, akses controlmengeksploitasi penggunaan account.

2. Misfeasor : User yang mengakses data, program atau sumber daya dimana tidak diberikan hak akses tersebut. Atau seseorang yang diberikan hak akses tetapi disalahgunakan.

3. Clandestine user: Seseorang yang mengambil kendali pengawasan sistem dan menggunakan control untuk menghindari atau mengontrol, menahan pemeriksaan.

Menurut (Stallings, 2003) Teknik Intrusion detection adalah secara objektif intrudermemperoleh hak akses ke sebuah sistem. Biasanya, intruder

memerlukan informasi dari password user dengan beberapa pengetahuan lain dari password user. Intruderdapat masuk kedalam sebuah sistem dan semua latihan untuk memperoleh hak akses.

Menurut Ariyus (2007).Intrusion Detection System(IDS) merupakan penghambat semua serangan yang akan menganggu sebuah jaringan. Kemampuan dari IDS memberika peringatan kepada administrator server saat terjadi sebuah aktivitas tertentu yang tidak diinginkan administrator sebagai penanggung jawab sebuah sistem. Selain memberikan peringatan, IDS juga mampu melacak jenis aktivitas yang merugikan sebuah sistem. Suatu IDS akan melakukan pengamatan (monitoring) terhadap paket-paket yang melewati jaringan dan berusaha menemukan apakah terdapat paket-paket yang berisi aktivitas mencurigakan sekaligus melakukan tindak lanjut pencegahan. Hal-hal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut:

1. Memonitor akses database.

2. Melindungi e-mail server.

3. Memonitor Policy Security.

2.9 Intrusion Detection System (IPS)

Menurut Ariyus (2007). Teknologi Intrusion Detection System(IDS) diperkirakan kadaluarsa dalam dekat karena digantikan Intrusion Prevention

27

System (IPS) yang memiliki kemampuan lebih lengkap. IDS hanya mampu mendeteksi adanya penyusupan dalam jaringan, lalu mengaktifkan peringatan kepada pengguna untuk segera mengambil langkah-langkah mitigasi, sementara IPS langsung mengatasi penyusupan tersebut.

Awalnya IDS adalah pengembangan dari firewall, yakni sistem yang memisahkan antara jaringan internal dan eksternal. Firewall dinilai tidak cukup karena hanya sebagai pemisah saja, tidak memeriksa paket-paket data yang berbahaya sehingga bisa lolos. Pada pengembangannya kemudian IDS tidak berguna karena pada saat alarm berbunyi, jaringan sudah terinfeksi dan pengguna tidak bisa berbuat banyak. IDS berkembang karena pada awalnya kelahirannya, pasar saat itu memandang skeptic terhadap keberhasilan teknologi IPS yang menggunakan filter dalam menangkal serangan dan penyusupan. Pada 2002, lembaga riset Gartner merilis laporan yang isinya mengingatkan para pengguna untuk menunda investasi IDS yang dinilai gagal. IDS bahkan dinilai investasi mahal namun tidak efektif untuk meningkatkan keamanan jaringan. Saat itu active IDS, teknologi cikal-bakal IPS yang mampu secara aktif mendeteksi serangan dan mengubah aturan firewall dan router untuk menggantisipasi serangan, dinilai mengganggu sehingga tidak diterima oleh para administrator jaringan. Pada perkembangannya, frekuensi serangan terhadap jaringan meningkat sementara rentang waktu antara ditemukannya celah keamanan dan tersediannya patch untuk menutup celah itu, semakin sempit. Akibatnya, para administrator jaringan tidak memiliki cukup waktu untuk

menggantisipasi serangan dengan memasang patch disebut Zero Day Attack semakin dekat. Kemudian perkembangan teknologi memungkinkan IPS bekerja lebih cepat dalam menganalisis pola-pola serangan.

Salah satu merek peranti IPS bahkan memiliki kecepatan maksimal hingga 5 Gigabit per detik (Gbps). IPS pertama kali diperkenalkan One Secure yang kemudian dibeli NetScreen Technologies sebelum akhirnya diakusisi Juni per Networks pada 2004. Salah satu produsen IPS Tip-ping Point juga dibeli penyedia peranti jaringan 3Com Corp. IPS memutuskan memberikan akses kepada jaringan berdasarkan isi paket data, bukan berdasarkan alamat IP (Internet Protocol) atau port seperti firewall. Sistem setup pada IPS sama dengan sistem setuppada IDS. IPS bisa sebagai host-basedIPS (HIPS) yang bekerja untuk melindungi aplikasi dan juga sebagai network-based IPS (NIPS). Mengapa IPS lebih unggul dari IDS ? Karena IPS mampu mencegah serangan yang datang dengan bantuan administrator secara minimal atau bahkan tidak sama sekali. Tidak seperti IDS, secara logik IPS akan menghalangi suatu serangan sebelum terjadi eksekusi pada memori, metode lain dari IPS membandingkan file Checksum yang tidak semestinya dengan file checksum yang semestinya mendapatkan izin untuk dieksekusi dan juga bisa menginterupsi sistem call.

Secara khusus IPS memiliki empat komponen utama :

1. Normalisasi traffic

29

3. Detection engine

4. Traffic shaper

Normalisasi traffic akan menginterupsikan lalu-lintas jaringan dan melakukan analisis terhadap paket yang disusun kembali, seperti halnya fungsi block sederhana. Lalu-lintas bisa dideteksi dengan detection engine dan service scanner. Service scanner membangun suatu table acuan untuk mengelompokkan informasi dan membantu pembentukkan lalu-lintas informasi. Detection engine melakukan pattern matching terhadap table acuan dan respons yang sesuai. Gambar 2.1 mengilustrasikan proses tersebut secara garis besarnya.

Teknologi IDS dan IPS masing-masing mempunyai kemampuan dalam melindungi suatu sistem. Teknologi IPS merupakan teknologi yang diperbaharui dari IDS. Perbedaan dari program itu adalah seperti tabel 2.2.

Gambar 2.1 Standar Proses IPS

Tabel 2.2 Perbedaan IDS dan IPS Intrusion Detection System

(IDS)

Intrusion Prevention System (IPS

Install pada segmen jaringan (NIDS) dan pada host (HIDS)

Install pada segmen jaringan (NIPS) dan pada host (HIPS) Berada pada jaringan sebagai

sistem yang pasif

Berada pada jaringan sebagai sistem yang aktif

Tidak bisa menguraikan lalu-lintas enkripsi

Lebih baik melindungi aplikasi

Manajemen kontrol terpusat Manajemen kontrol terpusat

Baik untuk mendeteksi serangan Ideal untuk memblocking perusakan web

Alerting (reaktif) Blocking (proaktif) (Sumber : Ariyus, 2007)

Long-term storage Reference table Traffic normalizer Response manager GUI System scanner Alert manager Detection engine Signature matching Traffic shaping

31

2.10 Skema Analisis IDS dan IPS

IDS dan IPS melakukan analisis terhadap data dan mengidentifikasi aktivitas yang anomalous (ganjil) pada ruang lingkup jaringan dan host. Analisis real time merupakan analisis suatu paket yang akan masuk ke jaringan. Dengan kata lain paket masih dalam lalu-lintas jaringan internet atau jaringan lokal.

Pada dasarnya tujuan dari analisis yang dilakukan IDS dan IPS adalah untuk meningkatkan keamanan pada sistem. Tujuan yang bisa dilakukan oleh IDS dan IPS adalah :

1. Create recordyang aktivitas yang relevan untuk follow-up.

2. Menentukan kekurangan dari jaringan dengan mendeteksi aktivitas khusus.

3. Merekam aktivitas yang tidak sah untuk digunakan untuk keperluan forensic atau criminal prosecution (tuntutan pidana) dari serangan penyusup.

4. Meningkatkan tanggung jawab dengan menghubungkan aktivitas dari individu dari sistem yang lain.

Gambar dibawah ini mengilustrasikan analisis yang ideal. IDS atau IPS mengidentifikasi anomalous aktivitas yang berasal dari luar jaringan, dan menyesuaikan dengan aktivitas normal dari baseline. Perbedaan dari aktivitas anomalous dan baseline sangat besar sehingga mudah terdeteksi.

Dengan alasan ini analisis yang dilakukan IDS atau IPS menjadi lebih mudah untuk mencapai tujuan keamanan yang lebih ideal.

Gambar 2.2 Hubungan antara Aktivitas jaringan Baseline dan Anomalous

2.11 Prinsip Kerja IDS pada Jaringan Internal

Istilah intrusion detection systemmerupakan suatu visi dari alat yang diletakkan pada parameter jaringan untuk memberitahu adanya penyusup. IDS juga mempunyai peran penting untuk mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Banyak dari fungsi jaringan internal yang bisa dimonitor demi keamanan yang maksimal. Hal-hal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut :

2.11.1 Memonitor akses database : ketika mempertimbangkan pemilihan kandidat untuk menyimpan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data-data yang berharga. Pentingnya data sama dengan penelitian suatu perusahaan dalam mengembangkan suatu produk unggulan. Jika data yang disimpan di

Baseline activity

Anomalous activity

33

dalam database bisa diakses oleh orang-orang yang tidak berhak, maka akan terjadi bencana. Oleh karena itu database server selalu diletakkan pada posisi yang paling dalam dari suatu jaringan dan hanya bisa diakses oleh sumber daya internal. Bagaimanapun statistik dari FBI bahwa akses ke database untuk mencuri data banyak berasal dari jaringan internal, oleh karena itu penggunaan IDS memberikan solusi untuk melindungi database dari exploit seperti contoh :

a. ORACLE drop table attempt

b. ORACLE EXECUTE_SYSTEM attempt c. MYSQL root login attempt

d. MYSQL show database attempt

Memonitor fungsi dari DNS : Beranjak dari pertanyaan “Apa yang ada pada nama server?” Jawabannya konfigurasi jaringan. Memasukkan domain name server yang meliputi nama dari komponen jaringan internal, IP address, dan informasi private lain yang memberikan tentang jaringan. Dengan informasi ini penyusup bisa melakukan pemetaan jaringan dengan mengambil kesimpulan dari DNS zone transfer. Langkah pertama melakukan pengintaian terhadap versi dari DNS server, IDS bisa mendeteksi ruleDNS name version attempt. Langkah kedua melakukan deteksi terhadap eksploitasi dengan menggunakan rule DNS zone transfer attempt. Penempatan IDS pada sistem jaringan bisa menjaga terjadinya eksploitasi DNS.

2.11.2 Melindungi e-mail server : Jika berbicara tentang melindungi e-mail account, banyak user menggunakan software antivirus untuk melakukan scanning terhadap kemungkinan adanya virus. Program antivirus tidak sepenuhnya bisa mendeteksi malicious code. IDS dapat berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD worm, dan versi terbaru dari ExploreZip. IDS dapat dimodifikasi sedemikian rupa untuk mengatasi masalah malicious code. Software antivirus selalu diperbaharui (update) oleh vendornya sehingga akan ada biaya tambahan untuk hal tersebut. Perkembangan dari teknologi malicious code perlunya dipertimbangkan untuk masalah e-mail security dari serangan terhadap mail server. IDS mampu mendeteksi e-mail secara simultan untuk menghindari serangan ke mail server. IDS dapat di atur untuk mendeteksi dan menghalangie-mail bombyang bisa melumpuhkan mail server. 2.11.3 Memonitor policy security :Security policymerupakan suatu aturan

yang diberikan untuk melindungi suatu jaringan dari hal-hal yang tidak diinginkan. IDS juga bisa di atur untuk memonitor policy security. Jika ada pelanggaran terhadap policy security maka IDS akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang ada.

35

2.12 Tujuan Penggunaan IDS

IDS merupakan software atau hardware yang melakukan otomatisasi proses monitoring kejadian yang muncul disistem komputer atau jaringan, menganalisanya untuk menemukan permasalahan keamanan. IDS adalah pemberi sinyal pertama jika seorang penyusup mencoba membobol sistem keamanan komputer kita. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sebuah sistem keamanan yang dilakukan oleh seseorang dari internet maupun dari dalam sistem.

IDS tidak dibuat untuk menggantikan fungsi firewall karena kegunaanya berbeda. Sebuah sistem firewall tidak bisa mengetahui apakah sebuah serangan sedang terjadi atau tidak. tetapi IDS mengetahuinya. Dengan meningkatnya jumlah serangan pada jaringan, IDS merupakan sesuatu yang diperlukan pada infrastruktur keamanan di kebanyakan organisasi.

Secara singkat, fungsi IDS adalah pemberi peringatan kepada administrator atas serangan yang terjadi pada sistem kita. Alasan mempergunakan IDS :

1. Untuk mencegah resiko timbulnya masalah.

2. Untuk mendeteksi serangan dan pelanggaran keamanan lainnya yang tidak dicegah oleh perangkat keamanan lainnya. Biasanya penyusupan berlangsung dalam tahapan yang bisa diprediksi. Tahapan pertama adalah

probing, atau eksploitasi pencarian titik masuk. Pada sistem tanpa IDS, penyusup memiliki kebebasan melakukannya dengan resiko lebih kecil. IDS yang mendapati probing, bisa melakukan blok akses , dan memberitahukan tenaga keamanan yang selanjutnya mengambil tindakan lebih lanjut.

3. Untuk mendeteksi usaha yang berkaitan dengan serangan misal probing dan aktivitasdorknob rattling.

4. Untuk mendokumentasikan ancaman yang ada ke dalam suatu organisasi. IDS akan mampu menggolongkan ancaman baik dari dalam maupun dari luar organisasi. Sehingga membantu pembuatan keputusan untuk alokasi sumber daya keamanan jaringan.

5. Untuk bertindak sebagai pengendali kualitas pada adminitrasi dan perancangan keamanan, khususnya pada organisasi yang besar dan kompleks. Saat ini IDS dijalankan dalam waktu tertentu, pola dari pemakaian sistem dan masalah yang ditemui bisa nampak. Sehingga akan membantu pengelolaan keamanan dan memperbaiki kekurangan sebelum menyebabkan insiden.

6. Untuk memberikan informasi yang berguna mengenai penyusupan yang terjadi, peningkatan diagnosa, recovery, dan perbaikan dari faktor penyebab. Meski jika IDS tidak melakukan block serangan, tetapi masih bisa mengumpulkan informasi yang relevan mengenai serangan, sehingga membantu penanganan insiden dan recovery. Hal itu akan membantu konfigurasi atau kebijakan organisasi.

37

Meskipun vendor dan administrator berusaha meminimalkan vulnerabilitas yang memungkinkan serangan, ada banyak situasi yang tidak memungkinkan hal ini :

1. Pada banyak sistem, tidak bisa dilakukan patch atau update sistem operasi.

2. Administrator tidak memiliki waktu atau sumber daya yang mencukupi untuk melacak dan menginstall semua patchyang diperlukan. Umumnya ini terjadi dalam lingkungan yang terdiri dari sejumlah besar host dengan hardwaredan softwareyang berbeda.

3. User mempergunakan layanan protokol yang merupakan sumber vulnerabilitas.

4. Baik user maupun administrator bisa membuat kesalahan dalam melakukan konfigurasi dan penggunaan sistem.

5. Terjadi disparitas policy yang memungkinkan user melakukan tindakan yang melebihi kewenangannya.

Salah satu tujuan dari pengelolaan keamanan komputer adalah mempengaruhi perilaku dari user dengan suatu jalan yang akan melindungi sistem informasi dari permasalahan keamanan. IDS membantu organisasi mencapai tujuan ini dengan meningkatkan kemampuan penemuan resiko.

2.12.1 Tipe Intrusion Detection System (IDS) Pada dasarnya terdapat dua macam IDS, yaitu :

1. Host-Based : IDS host-based bekerja pada host yang akan dilindungi. IDS jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi serangan yang dilakukan pada host tersebut. Keunggulan IDS host-based adalah pada tugas-tugas yang berhubungan dengan keamanan file yang telah di ubah atau ada usaha untuk mendapatkan akses ke file-file yang sensitive.

2. Network-Based: IDS network-basedbiasanya berupa suatu mesin yang khusus dipergunakan untuk melakukan monitoring seluruh segmen dari jaringan. IDS network-based akan mengumpulkan paket-paket data yang terdapat pada jaringan dan kemudian menganalisanya serta menentukan apakah paket-paket itu berupa suatu paket yang normal atau suatu serangan atau berupa aktivitas yang mencurigakan. Yang akan dikembangkan tipe IDS adalah NIDS

Pembagian jenis-jenis IDS yang ada pada saat sekarang ini didasarkan atas beberapa terminology, di antaranya :

1. Arsitektur Sistem

Dibedakan menurut komponen fungsional IDS, bagaimana diatur satu sama lainnya.

a. Host-Target Co-Location : IDS yang dijalankan pada sistem yang akan dilindungi. Kelemahan dari sistem ini adalah jika penyusup berhasil memperoleh akses ke sistem

39

maka penyusup dapat dengan mudah mematikan IDS tipe ini.

b. Host-Target Separation : IDS diletakkan pada komputer yang berbeda dengan yang akan dilindungi.

2. Tujuan Sistem

Walaupun banyak tujuan berhubungan dengan mekanisme keamanan secara umum, ada dua bagian tujuan Intrusion Detection System (IDS), diantaranya adalah :

a. Tanggung jawab : adalah kemampuan untuk menghubungkan suatu kegiatan dan kejadian dan bertanggung jawab terhadap semua yang terjadi. Hal ini sangat penting saat terjadi suatu serangan. Administrator bertanggung jawab terhadap sistem yang dikelola.

b. Respons : Suatu kemampuan untuk mengendalikan aktivitas yang merugikan dalam suatu sistem komputer. Jika terjadi serangan maka harus mampu menghalangi atau mengendalikan serangan tersebut.

3. Strategi Pengendalian

IDS dibedakan menurut bagaimana IDS-IDS yang ada dikendalikan, baik input maupun outputnya. Jenis-jenis IDS menurut terminologyini adalah :

a. Terpusat : Seluruh kendali pada IDS, baik monitoring, deteksi dan pelaporannya dikendalikan secara terpusat.

b. Terdisribusi parsial : Monitoring dan deteksi dikendalikan dari node lokal dengan hierarki pelaporan pada satu atau beberapa pusat lokasi.

c. Terdistibusi total : Monitoring dan deteksi menggunakan pendekatan berbasis agen, dimana keputusan respons dibuat pada kode analisis.

4. Waktu

Waktu dalam hal ini berarti waktu antara kejadian, baik monitoring ataupun analisis. Jenis IDS menurut terminology ini adalah :

a. Interval-Based (Batch mode) : informasi dikumpulkan terlebih dahulu dan kemudian dievaluasi menurut interval waktu yang telah ditentukan.

b. Realtime (Continues) : IDS memperoleh data secara terus menerus dan dapat mengetahui bahwa penyerangan sedang terjadi sehingga secara cepat dapat melakukan respons terhadap penyerangan.

41

5. Sumber informasi

IDS ini dibedakan menurut sumber daya yang diperoleh. Terminologi ini sering digunakan untuk membagi jenis-jenis IDS. Jenis-jenis IDS menurut terminologi ini di antaranya :

2.12.1.1 Host-Based : IDS memperoleh informasi dari sebuah sistem komputer. Host-based IDS memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host-based IDS biasanya berupa log yang dihasilkan dengan memonitor sistem file event, dan keamanan pada Windows NT dan syslog pada lingkungan sistem operasi UNIX. Saat terjadi perubahan pada log tersebut maka dilakukan analisis apakah sama dengan pola serangan yang ada pada basis data IDS.

Teknik yang sering digunakan pada host-based IDS adalah dengan melakukan pengecekan pada kunci file sistem dan file eksekusi dengan checksum pada interval waktu tertentu untuk mendapatkan perubahan yang tidak diharapkan (unexpected changes). Pewaktuan atas respons berkolerasi dengan interval waktu yang didefinisikan untuk melakukan polling pengumpulan data.

Host-based IDS tidak secepat network-based IDS dalam mendeteksi adanya serangan. Host-based IDS memiliki beberapa kelebihan yang tidak dapat dimiliki network-based IDS. Kelebihan tersebut termasuk analisis forensicyang lebih kuat, fokus terhadap sebuah host, dan lainnya.

Beberapa kelebihan host-based IDS itu sendiri antara lain :

a. Menguji keberhasilan atau kegagalan serangan. Karena sistem ini menggunakan logs berisi event yang telah terjadi, sehingga dapat diukur apakah serangan telah berhasil atau tidak dengan akurasi yang lebih tinggi dibanding

43

dengan network-basedIDS. Metode ini menjadi sebuah komplemen yang baik untuk network-basedIDS.

b. Memonitor aktivitas sistem tertentu. Sistem ini memonitor aktivitas pengguna dan akses terhadap file, termasuk pengaksesan file, penggantian atribut file, percobaan untuk instalasi file eksekusi baru dan /atau percobaan untuk mengakses service privileged.

c. Mendeteksi serangan yang lolos dari network-based IDS. Host-based IDS mendeteksi serangan yang tidak dapat dikenali oleh network-based IDS. Sebagai contoh adalah serangan melalui sistem lokal yang tidak melalui jaringan.

d. Cocok untuk lingkungan encrypt dan switch. Pada perusahaan yang besar biasanya digunakan enkripsi dalam komunikasi data dan untuk mempercepat komunikasi digunakan dengan tipe switch sehingga sulit bagi network-based IDS untuk mengenali serangan dan memerlukan overheaduntuk membaca paketnya.

Beberapa kelemahan dari host-based di antaranya adalah :

a. Manajemen yang rumit, informasi harus dikonfigurasi untuk setiap hostyang ada.

b. Sedikit sumber informasi (dan kadang, bagian dari analisis engine), karena host-based berada pada host yang menjadi target suatu serangan. Jika suatu IDS host-based dilumpuhkan oleh penyerang maka penyerang bisa mendapatkan akses terhadap hosttersebut.

c. Host-based tidak cocok untuk mendeteksi jaringan atau melakukan monitoring terhadap suatu jaringan karena IDS hanya memonitor paket yang diterima pada hosttersebut.

d. Host-based dapat dilumpuhkan oleh serangan denial of service.

2.12.1.2 Network-based : IDS memperoleh informasi dari paket-paket jaringan yang ada. Network-based IDS menggunkan raw packet yang ada di jaringan sebagai sumber datanya. Network-based IDS menggunakan network adapter sebagai alat untuk menangkap paket-paket yang akan dipantau.

45

Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paket-paket yang ada yang berjalan di jaringan.

Gambar 2.4 Network-Based IDS (Ariyus, 2007)

Beberapa cara yang digunakan untuk mengenali serangan pada Network-basedIDS ini antara lain :

a. Pola data, ekpresi atau pencocokan secara bytecode.

b. Frekuensi atau pelanggaran ambang batas.

c. Korelasi yang dekat dengan sebuah event.

Network-based IDS memiliki kelebihan yang tidak dapat diberikan oleh IDS yang lain. Di bawah ini beberapa kelebihan dari Network-basedIDS :

a. Biaya yang lebih rendah. Network-based IDS memungkinkan pengawasan yang strategis pada titik akses yang kritis untuk menampilkan network traffic untuk beragam sistem yang akan diamati sehingga sistem ini tidak memerlukan perangkat lunak untuk digunakan dan diatur pada banyak host. Karena kebutuhan titik deteksi yang lebih sedikit, maka biayanya lebih rendah.

b. Deteksi serangan yang tidak terdeteksi oleh Host-based IDS. Sistem ini memeriksa semua packet header untuk mencari aktivitas yang mencurigakan. Beberapa serangan yang tidak dapat dideteksi oleh Host-based IDS adalah IPbased DoS dan Fragmented Packet (Tear Drop). Serangan tersebut dapat diidentifikasi dengan membaca header dari paket yang ada.

Kekurangan dari Network –based IDS adalah sebagai berikut :

47

a. Network-based IDS sulit untuk memproses semua paket yang besar dan jaringan yang sibuk sehingga akan gagal dalam mendeteksi serangan yang terjadi jika suatu jaringan sangat sibuk (aktivitas yang tinggi). Beberapa dari vendor IDS mencoba memecahkan masalah ini dengan menerapkan IDS dalam perangkat keras, yang mana bisa mendeteksi serangan dalam lalu-lintas yang sibuk sekali.

b. Banyak keuntungan IDS tidak berlaku untuk jaringan yang menggunakan metode switch-basedyang lebih modern.

c. Network-basedIDS tidak bisa menganalisis paket yang telah dienkripsi.

d. Kebanyakan network-based IDS tidak bisa memberitahukan apakah suatu serangan telah berhasil mendapatkan sistem, hanya dapat memberitahukan bahwa serangan sedang terjadi. Network-based IDS hanya memberitahukan ke administrator bahwa serangan telah terjadi dan administrator akan melakukan pemeriksaan

secara manual untuk mencari kemungkinan host mana yang terserang.

e. Banyak dari network-based IDS mempunyai masalah bila berhadapan dengan serangan yang menggunakan paket fragmentasi. Paket seperti ini menyebabkan suatu network-based IDS menjadi tidak stabil dan crash.

Salah satu contoh dari network-basedadalah snort. Snort merupakan suatu NIDS (Network-base Intrusion Detection System). Snort merupakan suatu program yang berfungsi untuk memeriksa data-data yang masuk dan melaporkan ke administrator apabila ada “gerak-gerik” yang mecurigakan. Bekerja dengan prinsip program sniffer, yaitu mengawasi paket-paket yang melewati jaringan. Snort merupakan suatu NIDS (Network-based Intrusion Detection System). Sebuah NIDS akan memperhatikan seluruh segmen jaringan tempat dia berada, berbeda dengan host-based IDS yang hanya memperhatikan sebuah mesin software host based IDS tersebut dipasang. Secara sederhana sebuah IDS akan mendeteksi semua serangan yang dapat melalui jaringan komputer (internet maupun

49

intranet) ke jaringan atau komputer yang kita miliki. Sebuah NIDS biasanya digunakan bersamaan dengan firewall. Hal ini untuk menjaga supaya snort tidak terancam oleh serangan.

Respons serangan pada IDS network-based di antaranya adalah :

1. Notifikasi

a. Alarmke console

b. E-mail

c. SNMP Trap

d. Melihat sesi yang aktif

2. Logging

a. Summary Report

b. Raw Network Data

3. Respons aktif

a. TCP reset

b. Konfigurasi ulang firewall

Tabel 2.3 Perbedaan NIDS dan HIDS:

NIDS HIDS

Ruang lingkup yang luas (mengamati semua aktivitas jaringan)

Ruang lingkup yang terbatas (mengamati hanya aktivitas pada host tertentu).

Lebih mudah melakukan setup Setupyang kompleks Lebih baik untuk mendeteksi

serangan yang berasal dari luar jaringan.

Lebih baik untuk mendeteksi serangan yang berasal dari dalam jaringan.

Pendeteksian berdasarkan pada apa yang direkam dari aktivitas jaringan.

Pendeteksian berdasarkan pada single host yang diamati semua aktivitasnya.

Menguji packet header Packet headertidak diperhatikan Respons yang real time Selalu merespons setelah apa yang

terjadi.

OS-independent OS-specific

Mendeteksi serangan terhadap jaringan serta payload untuk di analisis

Mendeteksi serangan local sebelum mereka memasuki jaringan.

Mendeteksi usaha dari serangan yang gagal

Menverifikasikan sukses atau gagalnya suatu serangan.

Sumber (Ariyus, 2007)

2.12.1.3 Distrubusi Intrusion Detection System

Fungsi standar dari DIDS adalah mengatur atau arsitekstur probe. Sensor dari NIDS sedikitnya ditempatkan dan melaporkan ke pusat dari managemen station NIDS. Serangan terhadap log

51

pada waktu tertentu atau upload secara terus-menerus ke managemen stationNIDS.

Pendistribusian IDS menggunakan lebih dari satu NIDS pada suatu jaringan komputer, sehingga lebih mudah untuk mendeteksi semua jaringan. Hal ini sangat membantu jika tejadi traffic pada lalu-lintas jaringan tersebut.

Gambar 2.5 Distribusi Intrusion Detection System (Ariyus : 2007)

2.12.1.4 Hibrid IDS : Solusi network-base dan host-based IDS yang memliki keunggulan dan manfaat yang saling berbeda. Generasi lanjutan dari IDS merupakan gabungan dari kedua komponen solusi tersebut.

Gabungan dari kedua teknologi tersebut meningkatkan resistantsi jaringan terhadap serangan dan penyalagunaan, meningkatkan pelaksanaan kebijakan keamanan dan kelebihan dalam fleksibilitas ketersebaran sistem.

Beberapa fitur yang diharapkan pada generasi lanjut IDS antara lain :

1. Integrasi antara network-based IDS dan Host-basedIDS

2. Manajemen konsol yang generic untuk semua produk.

3. Integrasi basisdata event.

4. Integrasi system report.

5. Kemampuan menghubungkan event dengan serangan.

6. Integrasi dengan on-line help untuk respons insiden.

7. Prosedur instalasi yang ringkas dan terintegrasi seluruh produk yang ada.

53

Proses dasar dari IDS, baik pada NIDS atau HIDS, adalah mengumpulkan data, melakukan pre-proses, dan mengklasifikasikan data tersebut. Dengan analisis statistic suatu aktivitas yang tidak normal akan bisa dilihat, sehingga IDS bisa mencocokkan dengan data dan pola yang sudah ada. Jika pola yang ada cocok dengan keadaan yang tidak normal maka akan dikirim respons tentang aktivitas tersebut.

2.12.1.5 Skema Analisis IDS

IDS melakukan analisis terhadap data dan mengidentifikasi aktivitas yang anomalous (ganjil) pada ruang lingkup jaringan dan host. Analisis real time merupakan analisis suatu paket yang akan masuk ke jaringan. Dengan kata lain paket masih dalam lalu-lintas jaringan internet atau jaringan lokal.

Pada dasarnya tujuan dari analisis yang dilakukan IDS adalah untuk meningkatkan keamanan pada sistem. Tujuan yang bisa dilakukan IDS adalah:

1. Create record yang aktivitas yang relevan untuk follow-up.

# help configuring options.

#####

# Per Step #2, set the following to load the dns preprocessor

# dynamicpreprocessor file <full path to libsf_dns_preproc.so>

# or use commandline option

# --dynamic-preprocessor-lib <full path to libsf_dns_preproc.so>

preprocessor dns: \

ports { 53 } \

enable_rdata_overflow

# SSL

#---# Encrypted traffic should be ignored by Snort for both performance reasons

# and to reduce false positives. The SSL Dynamic Preprocessor (SSLPP)

# inspects SSL traffic and optionally determines if and when to stop

# inspection of it.

#

# Typically, SSL is used over port 443 as HTTPS. By enabling the SSLPP to

# inspect port 443, only the SSL handshake of each connection will be

# inspected. Once the traffic is determined to be encrypted, no further

# inspection of the data on the connection is made.

#

# If you don't necessarily trust all of the SSL capable servers on your

# network, you should remove the "trustservers" option from the configuration.

#

# Important note: Stream5 should be explicitly told to reassemble

# traffic on the ports that you intend to inspect SSL

# encrypted traffic on.

#

# To add reassembly on port 443 to Stream5, use 'port both 443' in the

# Stream5 configuration.

preprocessor ssl: noinspect_encrypted, trustservers

####################################################################

# Step #4: Configure output plugins

# Uncomment and configure the output plugins you decide to use. General

# configuration for output plugins is of the form:

#

# output <name_of_plugin>: <configuration_options>

#

# alert_syslog: log alerts to syslog

#

---# Use one or more syslog facilities as arguments. Win32 can also optionally

# specify a particular hostname/port. Under Win32, the default hostname is

# '127.0.0.1', and the default port is 514.

#

# [Unix flavours should use this format...]

# output alert_syslog: LOG_AUTH LOG_ALERT

#

# [Win32 can use any of these formats...]

# output alert_syslog: LOG_AUTH LOG_ALERT

# output alert_syslog: host=hostname, LOG_AUTH LOG_ALERT

# output alert_syslog: host=hostname:port, LOG_AUTH LOG_ALERT

# log_tcpdump: log packets in binary tcpdump format

#

---# The only argument is the output file name.

#

# output log_tcpdump: tcpdump.log

# database: log to a variety of databases

#

---# See the README.database file for more information about configuring

# and using this plugin.

#

# output database: log, mysql, user=root password=test dbname=db host=localhost

# output database: alert, postgresql, user=snort dbname=snort

# output database: log, odbc, user=snort dbname=snort

# output database: log, mssql, dbname=snort user=snort password=test

# output database: log, oracle, dbname=snort user=snort password=test

#

---# The unified output plugin provides two new formats for logging and generating

# alerts from Snort, the "unified" format. The unified format is a straight

# binary format for logging data out of Snort that is designed to be fast and

# efficient. Used with barnyard (the new alert/log processor), most of the

# overhead for logging and alerting to various slow storage mechanisms such as

# databases or the network can now be avoided.

#

# Check out the spo_unified.h file for the data formats.

#

# Two arguments are supported.

# filename - base filename to write to (current time_t is appended)

# limit - maximum size of spool file in MB (default: 128)

#

output alert_unified: filename snort.alert, limit 128

output log_unified: filename snort.log, limit 128

# prelude: log to the Prelude Hybrid IDS system

#

---#

# profile = Name of the Prelude profile to use (default is snort).

#

# Snort priority to IDMEF severity mappings:

# high < medium < low < info

#

# These are the default mapped from classification.config:

# info = 4

# low = 3

# medium = 2

# high = anything below medium

#

# output alert_prelude

# output alert_prelude: profile=snort-profile-name

# You can optionally define new rule types and associate one or more output

#

# This example will create a type that will log to just tcpdump.

# ruletype suspicious

# {

# type log

# output log_tcpdump: suspicious.log

# }

#

# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:

# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)

#

# This example will create a rule type that will log to syslog and a mysql

# database:

# ruletype redalert

# {

# type alert

# output alert_syslog: LOG_AUTH LOG_ALERT

# output database: log, mysql, user=snort dbname=snort host=localhost

# }

#

# EXAMPLE RULE FOR REDALERT RULETYPE:

# redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \

# (msg:"Someone is being LEET"; flags:A+;)

#

# Include classification & priority settings

# Note for Windows users: You are advised to make this an absolute path,

# such as: c:\snort\etc\classification.config

#

include classification.config

#

# Include reference systems

# Note for Windows users: You are advised to make this an absolute path,

# such as: c:\snort\etc\reference.config

include reference.config

####################################################################

# Step #5: Configure snort with config statements

#

# See the snort manual for a full set of configuration references

#

# config flowbits_size: 64

#

# New global ignore_ports config option from Andy Mullican

#

# config ignore_ports: <tcp|udp> <list of ports separated by whitespace>

# config ignore_ports: tcp 21 6667:6671 1356

# config ignore_ports: udp 1:17 53

####################################################################

# Step #6: Customize your rule set

#

# Up to date snort rules are available at http://www.snort.org

#

# The snort web site has documentation about how to write your own custom snort

# rules.

#=========================================

# Include all relevant rulesets here

#

# The following rulesets are disabled by default:

#

# web-attacks, backdoor, shellcode, policy, porn, info, icmp-info, virus,

# chat, multimedia, and p2p

#

# These rules are either site policy specific or require tuning in order to not

# generate false positive alerts in most enviornments.

# Please read the specific include file for more information and

# README.alert_order for how rule ordering affects how alerts are triggered.

#=========================================

# Include any thresholding or suppression commands. See threshold.conf in the

# <snort src>/etc directory for details. Commands don't necessarily need to be

# contained in this conf, but a separate conf makes it easier to maintain them.

# Note for Windows users: You are advised to make this an absolute path,

# such as: c:\snort\etc\threshold.conf

# Uncomment if needed.

include threshold.conf

# Modified for EasyIDS to allow web editing.