ANALISIS KINERJA SIGNATURE-BASED IDS

DENGAN MENGGUNAKAN SNORT _DAN IP-TABLES _DALAM MENDETEKSI SERANGAN ICMP FLOODING _PADA WEB SERVER

SKRIPSI

I WAYAN EDDY PRAYOGA NIM. 1008605023

PROGRAM STUDI TEKNIK INFORMATIKA JURUSAN ILMU KOMPUTER

FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM UNIVERSITAS UDAYANA

BUKIT JIMBARAN 2016

ii

LEMBAR PENGESAHAN TUGAS AKHIR

Judul : Analisis Kinerja Signature-Based IDS Dengan Menggunakan Snort Dan IP-Tables Dalam Mendeteksi Serangan ICMP Flooding Pada Web Server

Kompetensi : Jaringan Komputer

Nama : I Wayan Eddy Prayoga

NIM : 1008605023

Tanggal Seminar : 29 Januari 2016

Disetujui oleh :

Pembimbing I Penguji I

I Dewa Made Bayu Atmaja,S.Kom,M.Cs NIP. 198901272012121001

I Made Widiartha,S.Si.,M.Kom NIP. 198212202008011008

Pembimbing II Penguji II

Agus Muliantara,S.Kom.,M.Kom NIP. 198006162005011001

Ida Bagus Made Mahendra,S.Kom.,M.Kom NIP. 198006212008121002

Penguji III

I Komang Ari Mogi, S.Kom.,M.Kom NIP. 198409242008011007

Mengetahui,

Jurusan Ilmu Komputer FMIPA UNUD Ketua,

Agus Muliantara,S.Kom.,M.Kom NIP. NIP. 198006162005011001

iii

Judul : Analisis Kinerja Signature-Based IDS Dengan Menggunakan Snort Dan IP-Tables Dalam Mendeteksi Serangan ICMP Flooding Pada Web Server

Nama : I Wayan Eddy Prayoga NIM : 1008605023

Pembimbing : 1. I Dewa Made Bayu Atmaja, S.Kom, M.Cs 2. Agus Muliantara, S.Kom, M.Kom

ABSTRAK

Keamanan suatu jaringan sering kali terganggu dengan adanya ancaman dari dalam ataupun dari luar, oleh sebab itu dikembangkan suatu system bernama IDS (Intrusion Detection System). IDS adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Software yang menerapakan system IDS adalah Snort IDS.

Penyerangan yang sering terjadi dalam jaringan komputer seperti memenuhi bandwidth dan membanjiri jaringan dengan request pengiriman paket termasuk kedalam teknik ICMP flooding DOS. Pengujian Snort IDS dilakukan dengan menerapakan serangan ICMP Flooding untuk melakukan penyerangan sehingga mendapatkan informasi tentang cara Snort dalam mendeteksi serangan. Selain itu untuk menunjang kinerja snort dalam mendeteksi serangan, dibuatlah sebuah aplikasi blocking IP yang terintegrasi dan berjalan secara otomatis dengan menerapkan script dari IP-Tables.

Dalam mendeteksi serangan, Signature-Based IDS membandingkan paket dengan database rule IDS yang berisi signature - signature paket serangan. Jika paket data mempunyai pola yang sama dengan database rule IDS, maka paket tersebut dianggap sebagai serangan. Dalam melakukan itegrasi iptables dengan system snort, iptables harus terkoneksi dengan database snort dan mengambil query data dari acid event. Dalam query data acid event berisi informasi log dari system snort dalam mendeteksi proses ping. Informasi yang diperoleh dari query data acid event akan di cek untuk melihat ada atau tidaknya serangan. Jika terdeteksi IP yang teridentifikasi sebagai penyerang, maka IP tersebut akan di block secara otomatis menggunakan script IP-Tables. Hasil akurasi snort IDS dalam mendeteksi serangan sebesar 100%. Sehingga dapat disimpulkan kinerja snort sangat baik dalam mendeteksi serangan ICMP Flooding.

iv

Title : Analysis of Signature-Based Performance IDS Using Snort and IP-Tables in Detecting ICMP Flooding Attacks on Web Server

Name : I Wayan Eddy Prayoga

Student Number : 1008605023

Main Supervisor : I Dewa Made Bayu Atmaja, S.Kom, M.Cs Co-supervisor : Agus Muliantara, S. Kom, M. Kom

ABSTRACT

The security of networks is often disrupted by the threat from within or from outside, therefore a system called IDS (Intrusion Detection System) was developed. IDS is a system monitoring the network traffic and monitoring suspicious activities in a network system. Software applying the IDS system is Snort IDS.

Attacks that often occur in computer networks such as meeting the bandwidth and flooding the network with packet delivery request including ICMP flooding techniques into DOS. Snort IDS Testing was done by applying the ICMP Flooding attack to attack so as to get information about how Snort detects attacks. In addition to supporting the performance of Snort to detect attacks, an IP blocking application integrated and run automatically was made by applying the script of IP-Tables.

In detecting attacks, Signature-Based IDS Compare IDS rule package with a database containing signatures – signature of attack packets. If the packet has the same pattern as database IDS rule, then the packet is considered an attack. In doing iptable integration with Snort system, iptables must be connected to the snort database query and retrieve data from acid event. In data query the acid event contains information log of Snort system to detect the ping process. Information obtained from query data acid event is checked to see whether or not there is an attack. If the detected IP is identified as the attacker, then the IP will be blocked automatically using a script IP-Tables. Results snort IDS accuracy in detecting attacks by 100%. It can be concluded that snort performance is excellent in detecting ICMP Flooding attack.

v

KATA PENGANTAR

Puji syukur penulis panjatkan kehadapan Tuhan Yang Maha Esa, karena berkat rahmat dan karunia-Nya, Tugas Akhir yang berjudul “Analisis Kinerja Signature-Based IDS Dengan Menggunakan Snort dan Ip-tables Dalam Mendeteksi Serangan Icmp Flooding Pada Web Server ” ini dapat diselesaikan tepat pada waktunya. Secara khusus penulis mengucapkan terima kasih dan penghargaan kepada berbagai pihak yang telah membantu Tugas Akhir ini, yaitu :

1. Bapak I Dewa Made Bayu Atmaja, S.Kom, M.Cs sebagai Pembimbing I yang telah banyak membantu meluangkan waktu untuk membimbing, mengkritisi, dan memeriksa serta menyempurnakan tugas akhir ini.

2. Bapak Agus Muliantara, S.Kom, M.Kom sebagai Pembimbing II yang bersedia mengkritisi, membantu dan memeriksa serta menyempurnakan tugas akhir ini.

3. Bapak dan Ibu dosen Ilmu Komputer yang secara tidak langsung telah memberikan dukungan serta arahan kepada penulis.

4. Seluruh teman-teman mahasiswa Jurusan Ilmu Komputer FMIPA Universitas Udayana yang telah memberikan bantuan dan dukungan moral dalam penyelesaian tugas akhir ini.

5. Semua orang yang telah memberikan kontribusi untuk membantu penulis dalam menyelesaikan tugas akhir ini, yang tidak dapat penulis sebutkan satu persatu.

Pada akhirnya penulis berharap agar adanya perbaikan pada Tugas Akhir ini mengingat keterbatasan penulis, sehingga sangat diharapkan untuk adanya kritik dan saran yang membangun untuk pencapaian yang lebih baik.

Bukit Jimbaran,

vi DAFTAR ISI

LEMBAR PENGESAHAN TUGAS AKHIR ... ii

ABSTRAK ... iii

ABSTRACT ... iv

KATA PENGANTAR ... v

DAFTAR GAMBAR ... x

DAFTAR LAMPIRAN ... xi

BAB I ... 1

PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Rumusan Masalah ... 3

1.3 Tujuan Penelitian ... 3

1.4 Batasan Penelitian ... 3

1.5 Manfaat Penelitian ... 3

BAB II ... 6

TINJAUAN PUSTAKA ... 6

2.1. Intrusion Detection System (IDS) ... 6

2.1.1 Tipe Intrusion Detection System (IDS) ... 7

2.1.2 IDS Didasarkan Pada Beberapa Terminologi ... 9

2.1.3 IDS Dalam Melakukan Analisa Paket Data ... 10

2.1.4 Fungsi IDS (Intrusion Detection System) ... 10

2.1.5 Peran IDS (Intrusion Detection System) ... 11

2.1.6 Keuntungan dan Kekurangan IDS ... 12

2.2 Snort ... 13

2.2.1 Komponen – komponen Snort ... 13

vii

2.2.3 Snort Rules ... 15

2.2.4 Flowchart Snort ... 16

2.3 BASE (Basic Analysis Security Engine) ... 17

2.4 DOS (Denial Of Services) ... 18

2.4.1 Karakteristik Serangan DoS (Denial Of Services) ... 21

2.5 IP-Tables ... 21

2.5.1 Parameter IP-Tables ... 22

2.6 Tinjauan Studi ... 23

BAB III ... 26

ANALISIS DAN PERANCANGAN SISTEM ... 26

3.1 Objek Peneliatian ... 26

3.2 Variabel Penelitian ... 26

3.3 Analisis Kebutuhan Sistem ... 26

3.4 Model Rancangan Sistem Snort IDS ... 28

3.5 Model Rancangan Sistem Snort IDS ... 29

BAB IV ... 32

HASIL DAN PEMBAHASAN ... 32

4.1 Tahap Implementasi ... 32

4.1.1 Instalasi ... 32

4.1.2 Konfigurasi ... 32

4.1.2.1 Konfigurasi Snort IDS ... 33

4.1.2.2 Konfigurasi Web Server ... 33

4.2 Cara IDS snort dalam memilih request yang termasuk serangan atau bukan serangan ... 37

4.3 Pengujian Sistem Snort IDS Dalam Mendeteksi Serangan ... 39

4.3.1 Pengujian Skenario Pertama ... 40

viii

4.3.3 Pengujian Skenario Ketiga ... 44

4.4 Block IP Dengan IP Watcher ... 47

4.5 Analisa Keseluruhan ... 49

BAB V ... 51

PENUTUP ... 51

5.1 Kesimpulan ... 51

5.2 Saran ... 51

DAFTAR PUSTAKA ... 52

LAMPIRAN ... 54

ix

DARTAR TABEL

Tabel 3.1 Spesifikasi Hardware CPU pembangunan snort IDS... 27

Tabel 3.2 Spesifikasi Hardware CPU pembangunan web server dan attacker ... 27

Tabel 3.3 Perangkat lunak pembangunan Snort IDS, E-Learning dan attacker ... 28

Tabel 3.4 IP Address ... 29

Tabel 4.1 Hasil pengujian skenario pertama ... 41

Tabel 4.2 Hasil pengujian skenario kedua ... 43

x

DAFTAR GAMBAR

Gambar 2.1. Bagian IDS ... 6

Gambar 2.2. Network Based IDS... 7

Gambar 2.3. Host Based IDS ... 8

Gambar 2.4. Flowchart Snort ... 16

Gambar 2.5. BASE (Basic Analysis Security Engine) ... 17

Gambar 2.6. Serangan DOS (Denial Of Services) ... 18

Gambar 2.7. Proses 3-way handshake ... 19

Gambar 3.1 Rancangan Sistem Snort IDS ... 28

Gambar 3.2 Diagram Alir Snort IDS dan Ipwatcher ... 30

Gambar 4.1 Flowchart IP Watcher ... 34

Gambar 4.2 Komponen Snort ... 37

Gambar 4.3 Ping Generator ... 40

Gambar 4.4 Tampilan Web Base saat medeteksi IP Normal ... 41

Gambar 4.5 Tampilan Web Base saat medeteksi IP Abnormal ... 43

Gambar 4.6 Tampilan Web Base saat medeteksi IP Random (Besar dan Kecil) . 46 Gambar 4.7 Bloking IP Otomatis ... 48

xi

DAFTAR LAMPIRAN

Lampiran 1 : Pengujian ping dengan besaran kecil ... 54 Lampiran 2 : Pengujian ping dengan besaran abnormal ... 79 Lampiran 3 : Pegujian ping random max paket 2048 byte ... 105

1 BAB I PENDAHULUAN

1.1 Latar Belakang

Seiring dengan Perkembangan Teknologi Informasi sekarang menjadikan keamanan suatu informasi sangatlah penting terlebih lagi pada suatu jaringan yang terkoneksi dengan internet. Namun yang cukup disayangkan adalah ketidakseimbangan antara setiap perkembangan suatu teknologi tidak diiringi dengan perkembangan pada sistem keamanan itu sendiri, dengan demikian cukup banyak sistem - sistem yang masih lemah dan harus ditingkatkan keamanannya. Keamanan suatu jaringan seringkali terganggu dengan adanya ancaman dari dalam ataupun dari luar. Serangan tersebut berupa serangan Hacker yang bermaksud merusak Jaringan Komputer yang terkoneksi pada internet ataupun mencuri informasi penting yang ada pada jaringan tersebut. Hadirnya firewall telah banyak membantu dalam pengamanan, akan tetapi seiring berkembangnya teknolgi sekarang ini hanya dengan firewall keamanan tersebut belum dapat dijamin sepenuhnya. Karena itu telah berkembang teknologi IDS

IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan - kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan - kegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan (Putri Lidia, 2011). Intrusion Detection System (IDS) dirancang sebagai bagian dari sistem keamanan jaringan komputer yang penting perananya dalam menjaga pengguna. Serangan (Denial of Services) DoS merupakan suatu bentuk ancaman pada jaringan komputer yang dapat memanipulasi sumber daya (resource) yang dimiliki oleh komputer target sehingga tidak dapat menjalankan fungsinya dengan benar, serta secara tidak langsung akan mencegah pengguna legal lain untuk mendapatkan layanan dari komputer tersebut (Kusumawati, 2010).

IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket - paket dalam jaringan dan melakukan pembandingan terhadap paket - paket

2

tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui. Permasalahan yang sering terjadi terhadap layanan – layanan internet seperti web server yang diserang adalah dengan memenuhi bandwidth dan membanjiri jaringan dengan request pengiriman paket besar-besaran sekaligus, sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Permasalah tersebut termasuk kedalam teknik ICMP flooding DOS (Sutanto Imam, 2010). Untuk mengatasi masalah tersebut bisa menerapakan software pendeteksian serangan DOS dengan menggunakan Snort. Snort adalah NIDS yang bekerja dengan menggunakan signature detection, berfungsi juga sebagai sniffer dan packet logger. Agar layanan-layanan di internet lebih aman lagi, bisa menerapakan Ip-tables. Ip-tables adalah suatu tools yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalu lintas data. Dengan Ip-tables dapat mengatur semua lalu lintas yang ada dalam komputer, baik yang masuk ke komputer ataupun keluar dari computer

Dalam penelitian ini peneliti fokus terhadap pendeteksian serangan DOS dengan Teknik ICMP Flooding dengan menggunakan IDS yang berbasis Signature Base, dimana serangan itu sendiri akan disimulasikan pada kondisi trafik yang sama tetapi menggunakan besaran paket yang berbeda-beda. Pada penelitian ini paket – paket yang melewati trafik akan dilihat perbedaannya dari nilai threshold yang diperoleh, dimana nilai threshold ini diperoleh melalui proses pengukuran dan pengamatan serta diverifikasi sehingga nilai threshold yang diperoleh dapat secara tepat untuk dijadikan sebagai nilai threshold untuk dapat mendeteksi serangan DOS pada Web Server. Setelah mendapatkan data serangan, selanjutnya menggunakan Ip-tables untuk memblok alamat IP dari penyerang. Untuk aplikasi IDS akan menggunakan Snort dan tempat melakukan pengujian akan dilakukan di GDLN (Global Develoment Learning Network).

3

1.2 Rumusan Masalah

Rumusan masalah yang digunakan sebagai acuan dari penelitian yaitu : 1. Bagaimana cara IDS Snort dalam menentukan request yang termasuk

serangan dan bukan serangan ?

2. Bagaimana cara membangun IP-Tables otomatis yang berintegrasi dengan IDS Snort ?

1.3 Tujuan Penelitian

Adapun tujuan yang ingin dicapai oleh penulis dalam melakukan penelitian ini yaitu:

1. Untuk mengetahui cara IDS snort dalam memilih request yang termasuk serangan atau bukan serangan.

2. Untuk mengetahui cara membangun IP-Tables otomatis yang berintegrasi dengan IDS Snort ?

1.4 Batasan Penelitian

Adapun batasan masalah yang penulis terapkan dalam melakukan penelitian ini yaitu :

1. Berfokus terhadap signature based IDS 2. Aplikasi IDS yang digunakan yaitu SNORT 3. Jenis serangan yang digunakan ICMP Flooding 4. Objek yang diserang adalah Web server

1.5 Manfaat Penelitian

Adapun manfaat yang penulis harapkan dalam melakukan penelitian ini yaitu :

1. Informasi yang didapatkan dari cara IDS Snort dalam mendeteksi serangan dapat berguna untuk Universitas Udayana dan penelitian selanjutnya dibidang IDS

2. IP-Tables otomatis berintegrasi dengan Snort yang dibangun berguna untuk Universitas Udayana dan penelitian selanjutnya dibidang IDS.

4

1.6 Metodelogi Penelitian

Pada penelitian ini penulis menggunakan pendekatan metode riset eksperimental. Riset eksperimental merupakan penelitian yang memungkinkan untuk menentukan penyebab dari suatu prilaku (Zainal, 2007).

1.6.1 Variabel Penelitian

Variabel dapat diartikan sebagai suatu atribut yang dapat berubah ataupun diubah sehingga didapat informasi yang tentunya akan dapat memperngaruhi hasil dari suatu eksperimen. Variabel independent yang digunakan dalam penilitian tugas akhir ini adalah jumlah serangan ping flood dan besaran serangan ping flood. Variabel dependent yang digunakan dalam penelitian tugas akhir ini adalah kemampuan snort IDS dalam mendeteksi serangan ping flooding.

1.6.2 Pengumpulan Data

Data penelitian dapat berasal dari berbagai sumber yang dikumpulkan dengan menggunakan observasi dimana data-data yang akan dicari untuk menggunakan algoritma ini didapat dari data-data yang ada di internet, buku-buku referensi dan penelitian yang pernah dilakukan sehingga konsep dan analisis sistem dapat dijalankan dalam penelitian.

Dalam penelitian ini jenis data yang digunakan adalah data kuantitatif. Data kuantitatif adalah data yang diperoleh atau dikumpulkan oleh peneliti secara langsung dari nilai data yang bisa berubah - ubah atau bersifat variatif

1.6.3 Analisis Kebutuhan

Tahapan ini merupakan analisa terhadap kebutuhan sistem. Pengumpulan data dalam tahap ini dilakukan untuk mengetahui kondisi atau kemampuan yang harus dimiliki oleh sistem untuk memenuhi apa yang disyaratkan atau diinginkan pemakai.

1. Sistem ini dapat melihat paket yang lewat di jaringan

5

3. Sistem ini dapat melakukan pendeteksian serangan yang dilakukan melalui jaringan komputer ke web server

1.6.4 Skenario Pengujian Sistem

Skenario pengujian sistem yang dilakukan pada tahap ini bertujuan untuk menguji dan melakukan analisis seberapa besar kemampuan system dalam mendeteksi suatu intrusi atau serangan yang dilakukan melalui jaringan komputer pada web server dan untuk mengetahui bagaimana IDS Snort dapat berintegrasi dengan IP-Tables otomatis, selanjutnya melakukan pengukuran terhadap kemampuan dari sistem, skenario yang digunakan ada 3 antara lain :

1. Skenario Pengujian Pertama

Pengujian dilakukan dengan mengirimkan request paket kecil sebesar 700 bytes dengan menggunakan aplikasi ping generator terhadap web server. Penyerangan menggunakan 10 alamat IP yang berbeda dengan perulangan sebanyak 100 kali untuk masing-masing IP.

2. Skenario Pengujian Kedua

Pengujian dilakukan dengan mengirimkan request paket abnormal sebesar 1024 bytes dengan menggunakan aplikasi ping generator terhadap web server. Penyerangan menggunakan 10 alamat IP yang berbeda dengan perulangan sebanyak 100 kali untuk masing-masing IP.

3. Skenario Pengujian Ketiga

Pengujian dilakukan dengan mengirimkan request paket secara random (kecil dan abnormal) dengan menggunakan aplikasi ping generator terhadap web server. Penyerangan menggunakan 10 alamat IP yang berbeda dengan perulangan sebanyak 100 kali untuk masing-masing IP.

6 BAB II

TINJAUAN PUSTAKA

2.1. Intrusion Detection System (IDS)

Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusion (penyusupan).

Intrusion Detection System (IDS) mempunyai sistem kerja yang berbeda-beda yaitu signature based, anomaly based, passive IDS, reactive IDS. Kebanyakan produk IDS merupakan sistem yang bersifat pasif, hanya mendeteksi intrusion yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Beberapa vendor juga mengembangkan IDS bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti menutup beberapa port atau memblokir beberapa IP Address.

Dalam melakukan tugasnya IDS (intrusion detection system) berada pada lapisan jaringan OSI (Open System Interconnection) model yang terdapat pada lapisan ketiga yaitu pada lapisan network dan sensor jaringan pasif yang secara khusus diposisikan pada choke point pada jaringan metode dari lapisan OSI.

7

2.1.1 Tipe Intrusion Detection System (IDS)

Pada dasarnya terdapat tiga macam IDS (intrusion detection system), antara lain :

1. Network based Intrusion Detection System (NIDS) : IDS network - based biasanya berupa suatu mesin yang khusus dipergunakan untuk melakukan seluruh segmen dari jaringan. IDS network - based akan mengumpulkan paket - paket data yang terdapat pada jaringan dan kemudian menganalisisnya serta menentukan apakah paket - paket itu berupa suatu paket yang normal atau suatu serangan atau berupa suatu aktivitas yang mencurigakan. IDS memperoleh informasi dari paket - paket jaringan yang ada.

Gambar 2.2. Network Based IDS

Network – based IDS menggunakan raw paket yang ada di jaringan sebagai sumber datanya dengan menggunakan network adapter sebagai alat untuk menangkap paket - paket yang akan dipantau. Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paket - paket yang ada yang berjalan di jaringan. Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam

8

segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan.

2. Host based Intrusion Detection System (HIDS) : IDS host - based bekerja pada host yang akan dilindungi. IDS jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi serangan yang dilakukan pada host tersebut. Keunggulannya adalah pada tugas - tugas yang berhubungan dengan keamanan file. Untuk melakukan analisis terhadap paket data IDS memperoleh data informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host - based IDS biasanya berupa log yang dihasilkan dengan memonitor sistem file, event, dan keamanan pada operating sistem dan syslog pada lingkungan sistem operasi UNIX.

Gambar 2.3. Host Based IDS

3. Distributed Intrusion Detection System (DIDS) : sekumpulan sensor IDS yang saling terhubung satu sama lain dan berfungsi sebagai remotet sensor (sensor jarak jauh) yang memberikann pelaporan pada manajemen sistem terpusat.

9

2.1.2 IDS Didasarkan Pada Beberapa Terminologi

Pembagian jenis-jenis IDS yang ada saat sekarang ini didasarkan pada beberapa terminologi, di antaranya :

1. Arsitektur sistem. Dibedakan menurut komponen fungsional IDS (intrusion detection system), bagaimana diatur satu sama lainnya.

a. Host-Target Co-Location : IDS dijalankan pada sistem yang akan dilindungi. Kelemahan sistem ini adalah jika penyusup berhasil memperoleh akses ke sistem maka penyusup dapat dengan mudah mencuri informasi dari client.

b. Host-Target Separation : IDS diletakkan pada komputer yang berbeda dengan komputer yang akan dilindungi.

2. Tujuan Sistem. Ada dua bagian tujuan intrusion detection system (IDS), diantaranya adalah :

a. Tanggung jawab : adalah kemampuan untuk menghubungkan suatu kegiatan dan bertanggung jawab terhadap semua yang terjadi, diantaranya adalah serangan.

b. Respons : suatu kemampuan untuk mengendalikan aktivitas yang merugikan dalam suatu sistem komputer.

3. Strategi Pengendalian. Pada tahap ini IDS dibedakan berdasarkan yang dikendalikan, baik input maupun outputnya. Jenis-jenis IDS menurut terminologi ini adalah :

a. Terpusat : seluruh kendalai pada IDS, baik monitoring, deteksi, dan pelaporannya dikendalikan secara terpusat.

b. Terdistribusi Parsial : monitoring dan deteksi dikendalikan dari node lokal dengan hierarki pelaporan pada satu atau beberapa pusat lokasi.

c. Terdistribusi Total : monitoring dan deteksi menggunakan pendekatan berbasis agen, dimana keputusan respons dibuat pada kode analisis.

4. Waktu. Waktu dalam hal ini berarti waktu antara kejadian, baik monitoring atau analisis. Jenisnya adalah :

a. Interval-Based (Batch Mode) : Informasi dikumpulkan terlebih dahulu, kemudian dievaluasi menurut interval waktu yang telah ditentukan.

10

b. Realtime (Continues) : IDS memperoleh data terus menerus dan dapat mengetahui bahwa penyerangan sedang terjadi sehingga secara cepat dapat melakukan respons terhadap penyerangan

2.1.3 IDS Dalam Melakukan Analisa Paket Data

Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap sebagai penyusupan atau bukan, IDS dibagi menjadi 2 :

1. Signature based atau Misuse detection

IDS ini dapat mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule IDS (berisi signature - signature paket serangan). Jika paket data mempunyai pola yang sama dengan (setidaknya) salah satu pola di database rule IDS, maka paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya, jika paket data tersebut sama sekali tidak mempunyai pola yang sama dengan pola di database rule IDS, maka paket data tersebut dianggap bukan serangan.

2. Behavior based atau anomaly based

IDS ini dapat mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan - kejanggalan pada sistem, atau adanya penyimpangan - penyimpangan dari kondisi normal, sebagai contoh ada penggunaan memori yang melonjak secara terus menerus atau ada koneksi parallel dari 1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi - kondisi diatas dianggap kejanggalan yang kemudian oleh IDS jenis anomaly based dianggap sebagai serangan.

2.1.4 Fungsi IDS (Intrusion Detection System)

Beberapa alasan untuk memperoleh dan menggunakan IDS (intrusion detection system) (Ariyus, 2007), diantaranya adalah :

1. Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang tidak bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.

11

2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang tidak bisa dicegah oleh sistem umum pakai, seperti firewall. Sehingga banyak menyebabkan adanya lubang keamanan, seperti user yang tidak memahami sistem, sehingga jaringan dan protokol yang mereka gunakan memiliki celah dari keamanannya dan membuat kesalahan dalam konfigurasi atau dalam menggunakan system

3. Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang - orang yang tidak bertanggung jawab.

4. Mengamankan file yang keluar dari jaringan sebagai pengendali untuk rancangan keamanan dan administrator, terutama bagi perusahaan yang besar.

5. Menyediakan informasi yang akurat terhadap ganguan secara langsung, meningkatkan diagnosis, recovery, dan mengoreksi faktor-faktor penyebab serangan.

2.1.5 Peran IDS (Intrusion Detection System)

IDS (intrusion detection system) juga memiliki peran penting untuk mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Hal - hal yang dilakukan IDS (intrusion detection system) pada jaringan internal adalah sebagai berikut: (Ariyus, 2007:34)

1. Memonitor akses database : ketika mempetimbangkan pemilihan kandidat untuk penyimpanan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data - data yang berharga.

2. Melindungi e-mail server : IDS (intrusion detection system) juga berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD Worm, dan versi terbaru dari ExploreZip.

3. Memonitor policy security : jika ada pelanggaran terhadap policy security maka IDS (intrusion detection system) akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang ada.

12

2.1.6 Keuntungan dan Kekurangan IDS

Berikut ini beberapa keuntungan dari penerapan IDS pada sistem jaringan komputer :

1. Secara efektif mendeteksi aktifitas penyusupan, penyerangan atau tindak pelanggaran lainnya yang mengacam aset atau sumber daya sistem jaringan.

2. IDS membuat administrator diinformasikan tentang status keamanan dan secara berkesinambungan mengamati traffic dari sistem jaringan komputer dan secara rinci menginformasikan setiap event yang berhubungan dengan aspek keamanan.

3. IDS menyediakan informasi akurat terhadap gangguan secara langsung, meningkatkan diagnosis, pemulihan, mengoreksi sejumlah faktor penyebab intursi atau serangan

4. Sejumlah file log yang berisi catatan aktifitas kinerja IDS adalah bagian penting dari forensik komputer yang dapat digunakan sebagai sumber informasi untuk proses penelusuran aktivitas serangan yang terjadi, analisis dan audit kinerja sensor IDS serta sebagai barang bukti untuk tindakan hukum.

Ada pula kekurangan yang terdapat pada penerapan sensor IDS, sebagai berikut :

1. Rentang waktu antara pengembangan teknik penyerangan atau intrusi dan pembuatan signature, memungkinkan penyerang untuk mengeksploitasi IDS yang tidak mengenali jenis serangan spesifik. Karena signature tidak dapat dibuat tanpa mempelajari traffic serangan.

2. False Negative adalah serangan sesungguhnya yang tidak terdeteksi maka tidak ada peringatan atau notification mengenai peristiwa ini.

3. False Positive adalah kesalahan IDS dalam mendeteksi traffic network normal sebagai suatu serangan. Jika terjadi dalam jumlah besar berkemungkinan menutupi kejadian intrusi sesungguhnya.

13

2.2 Snort

IDS SNORT adalah open source yang berbasis jaringan sistem deteksi intrusi (NIDS) yang memiliki kemampuan untuk melakukan analisis lalu lintas secara real - time dan paket logging pada jaringan Internet Protocol (IP). Snort melakukan analisis protokol, mencari konten, dan pencocokan konten. Program ini juga dapat digunakan untuk mendeteksi probe atau serangan. Snort sudah di download lebih dari 3 juta orang. Hal ini menandakan bahwa snort merupakan suatu intrusion Detection System yang dipakai banyak orang di dunia. Snort bisa di operasikan dengan tiga mode (Ariyus, 2007) yaitu:

1. Paket sniffer : Untuk melihat paket yang lewat di jaringan.

2. Paket logger : Untuk mencatat semua paket yang lewat di jaringan

3. Network Intrusion Detection System (NIDS.) : deteksi penyusupan pada netwaork : pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan computer.

Cara kerja Snort adalah dengan menggunakan deteksi signature pada lalu lintas jaringan mencocokkan lalu lintas jaringan dengan daftar signature serangan yang disebut Snort rules. Jika aksi atau paket yang melintasi jaringan itu sesuai dengan rules, maka Snort engine akan menganggapnya sebagai intrusi dan dicatat pada log kemudian disimpan di database.

2.2.1 Komponen – komponen Snort

Snort memiliki komponen yang bekerja saling berhubungan satu dengan yang lainnya seperti berikut ini. (Ariyus, 2007:146) :

1. Rule Snort. Merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort IDS ini, harus di update secara rutin agar, ketika ada suatu teknik serangan yang baru Snort bisa mendeteksi karena jenis atau pola serangan tersebut sudah ada pada rule snort.

2. Snort Engine. Merupakan program yang berjalan sebagai proses yang selalu bekerja untuk membaca paket data dan kemudian membandingkannya dengan rule Snort.

14

3. Alert. Merupakan catatan serangan pada deteksi penyusupan, jika snort engine menyatakan paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database.

4. Preprocessors. Merupakan suatu saringan yang mengidentifikasi berbagai hal yang harus diperiksa seperti Snort Engine. Preprocessors berfungsi mengambil paket yang berpotensi membahayakan, kemudian dikirim ke Snort engine untuk dikenali polanya.

5. Output Plug - ins : suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa diakses dengan berbagai cara, seperti console, extern files, database, dan sebagainya.

2.2.2 Fitur – fitur Snort

Menurut Wardhani (2007) Snort memiliki fitur - fitur dan kemudahan dalam melakukan pendekesiaan suatu serangan. Fitur - fitur tersebut adalah sebagai berikut :

1. Bersifat Opensource, karena itu maka penggunaannya betul - betul gratis, Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang cost - effective dalam suatu organisasi yang kecil jika organisasi tersebut tidak mampu menggunakan NIDS commercial yang harganya paling sedikit ribuan dolar US. Dari sisi harga, jelas tidak ada NIDS lain yang mampu mengalahkan Snort.

2. Karena Snort bersifat opensource, maka penggunaannya betul - betul bebas sehingga dapat diterapkan dalam lingkungan apa saja. Kode sumbernya pun bisa didapatkan sehingga Snort bisa secara bebas dimodifikasi sendiri sesuai keperluan. Selain itu, karena Snort merupakan software yang bebas, maka telah terbentuk suatu komunitas Snort yang membantu memberikan berbagai macam dukungan untuk penggunaan, pengembangan, penyempurnaan, dan perawatan software Snort itu.

3. Snort memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan fleksibel. Ini berarti bahwa pengguna dengan mudah dan cepat membuat

15

berbagai rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain itu, berbagai rule khusus dapat dibuat untuk segala macam situasi.

4. Snort sudah memiliki sebuah database untuk berbagai macam rules, dan database ini secara aktif terus dikembangkan oleh komunitas Snort sehingga tipe-tipe serangan yang baru dapat dicatat

5. Snort merupakan software yang ringkas dan padat, sehingga tidak memakan banyak resources tetapi cukup canggih dan fleksibel untuk digunakan sebagai salah satu bagian dari NIDS yang terpadu (Integrated NIDS). selain itu, snort bersifat lighweight, maka penerapannya juga mudah dan cepat.

6. Snort dapat melakukan logging langsung ke sistem database (MySQL). 7. Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan

computer sehingga keberadaannya tidak bisa terdeteksi oleh komputer mana pun. Ini disebut sebagai stealth mode

2.2.3 Snort Rules

Snort Rules merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Snort Rules IDS ini, harus diupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Sebagai contoh rule pada Snort sebagai berikut : alert tcp $EXTERNAL NET alert tcp $EXTERNAL NET any -> $HTTP SERVERS $HTTP PORTS (msg:"WEB-IIS unicode directory traversal attempt"; flow:to server, established; content:¨/..%c0%af../"; nocase; classtype:web-application-attack; reference:cve, CVE-2000-0884; sid:981; rev:6;).

Rule di atas terdiri dari 2 bagian: header dan option. Bagian ”alert tcp $EXTERNAL NET any -¿ $HTTP SERVERS $HTTP PORTS” adalah header dan selebihnya merupakan option. Dari rule-rule seperti di ataslah IDS Snort menghukumi apakah sebuah paket data dianggap sebagai penyusupan / serangan atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule, maka paket data tersebut dianggap sebagai penyusupan / serangan dan demikian juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan /

16

serangan. Setelah menginstal Snort engine dan rulesnya, maka langkah selanjutnya adalah mengkonfigurasi Snort engine. Snort engine dimodifikasi sesuai kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort.

Cara kerja Snort rules adalah Rules dibaca ke dalam struktur atau rantai data internal kemudian dicocokkan dengan paket yang ada. Jika paket sesuai dengan rules yang ada, tindakan akan diambil, jika tidak paket akan dibuang. Tindakan yang diambil dapat berupa logging paket atau mengaktifkan alert. 2.2.4 Flowchart Snort

Flowchart membahas lebih dalam mengenai cara kerja snort. Network traffic yang berisi paket data, akan diambil oleh Snort decoder. Snort decoder mendecode paket ke dalam data struktur snort untuk dianalisis. Kemudian paket data diteruskan ke preprocessor untuk dilihat paket header-nya dan informasi didalamnya. Kemudian paket data diteruskan menuju detection engine. Dengan menggunakan rule, detection engine membandingkan antara paket data dan rule dan memutuskan apakah paket data bisa lewat atau akan di drop. Output engine memberikan hasil dari detection engine dalam format terpisah seperti log file dan database. Berdasarkan hasil dari detection engine, snort bisa mengambil tindakan lebih lanjut untuk merespon paket tersebut.

17

2.3 BASE (Basic Analysis Security Engine)

BASE adalah sebuah interface web untuk melakukan analisis dari intrusi yang snort telah deteksi pada jaringan. (Orebaugh, 2008:217) BASE ditulis oleh kevin johnson adalah program analisis sistem jaringan berbasis PHP yang mencari dan memproses database dari security event yang dihasilkan oleh berbagai program monitoring jaringan, firewall, atau sensor IDS. Berikut ini adalah beberapa kelebihan dari BASE yaitu :

1. Program berbasis web yang memungkinkan implementasi antar platform. 2. Log - log yang sulit untuk dibaca akan menjadi mudah untuk dibaca. 3. Data - data dapat dicari sesuai dengan kriteria tertentu.

4. Open source yang merupakan perintis antarmuka GUI untuk snort dan paling banyak digunakan oleh pengguna IDS. BASE merupakan rekomendasi dari Snort.org sendiri.

5. Multi language, antarmuka memilki beberapa bahasa selain bahasa Inggris dan layanan peringatan yang real time.

6. Dapat diimplementasikan pada IDS manapun selain snort.

Gambar 2.5. BASE (Basic Analysis Security Engine)

Berikut ini adalah beberapa Fitur yang ada pada BASE (Basic Analysis Security Engine) :

1. Ditulis dalam bahasa PHP 2. Menganalisa log intrusi

18

4. Mengenerate graph dan alert berdasarkan sensor, waktu rule dan protocol 5. Mendisplay summary log dari semua alert dan link untuk graph

6. Dapat diatur berdasarkan kategori grup alert, false positif dan email 2.4 DOS (Denial Of Services)

Denial of service (DoS) adalah sebuah metode serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber daya (resource) sebuah peralatan jaringan komputer sehingga layanan jaringan komputer menjadi terganggu. Serangan ini bertujuan untuk mencegah pengguna mendapatkan layanan dari sistem. Denial of Service (DOS) dapat menghambat kerja sebuah layanan (servis) atau mematikannya, sehingga user yang berhak atau berkepentingan tidak dapat menggunakan layanan tersebut. Denial of Service merupakan serangan yang sulit diatasi, hal ini disebabkan oleh resiko layanan publik dimana admin akan berada pada kondisi yang membingungkan antara layanan dan kenyamanan terhadap keamanan. Seperti yang kita tahu, keyamanan berbanding terbalik dengan keamanan. Maka resiko yang mungkin timbul selalu mengikuti hukum ini.

Gambar 2.6. Serangan DOS (Denial Of Services)

Serangan DOS ini telah ada pada tahun 1988. Target - target serangan DOS biasanya adalah server - server ISP, Internet Banking, E-commerce, Web perusahaan, dan pemerintah. Denial of Service dikategorikan sebagai serangan SYN (SYN attack) karena menggunakan packet SYN (synchronization) pada

19

waktu melakukan 3-way handshake untuk membentuk suatu hubungan berbasis TCP/IP. Proses yang terjadi dalam 3-way handshake adalah sebagai berikut :

1. Client mengirimkan sebuah paket SYN ke server atau host fungsinya untuk membentuk hubungan TCP/IP antara client dan host.

2. Host menjawab dengan mengirimkan sebuah paket SYN/ACK (Synchronization / Acknowledgement) kembali ke client.

3. Client menjawab dengan mengirimkan sebuah paket ACK kembali ke host. Dengan demikian, hubungan TCP/IP antara client dan host terbentuk dan transfer data bisa dimulai.

Dalam Denial of Service, komputer penyerang yang bertindak sebagai client mengirim sebuah paket SYN yang telah direkayasa ke suatu server yang akan diserang. Paket SYN yang telah direkayasa ini berisikan alamat asal (source address) dan nomor port asal (source port number) yang sama dengan alamat tujuan (destination address) dan nomor port tujuan (destination port number). Pada waktu host mengirimkan paket SYN/ACK kembali ke client, maka terjadi suatu infinite loop karena sebetulnya host mengirimkan paket SYN/ACK tersebut ke dirinya sendiri. Host atau server yang belum terproteksi biasanya akan crash oleh serangan ini.

Gambar 2.7. Proses 3-way handshake

Serangan DoS dapat dilakukan dengan mengirimkan query sebanyak mungkin hingga target tidak bisa lagi menanganinya sehingga target lumpuh. Cara

20

lain melakukan serangan DoS adalah dengan mengirimkan data rusak atau data yang tidak mampu di tangani oleh server target sehingga server tersebut menjadi hang (tidak bisa berfungsi sebagaimana mestinya dan perlu di restart ulang). Dalam sebuah serangan Denial of Service, penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut :

1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.

2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.

3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.

Tujuan serangan ini adalah membuat server shutdown, reboot, crash, “not responding”. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti menyerang, server baru normal kembali setelah di-restart/reboot.

Beberapa contoh Serangan DoS adalah :

1. Ping of Death : ping ini di gunakan untuk memeriksa utility ping untuk mengetahui ip dan jenis host yang di gunakan. ping ini sering kita jumpai di CMD pada Os windows. serangan ini sudah tidak terlalu ampuh karena proses yang cukup lama dan website - website juga melakukan update secara berkala.

2. Buffer Overflow mengirimkan data yang melebihi kapasitas system, misalnya paket ICMP yang berukuran sangat besar.

21

3. ICMP Flooding : Mengirimkan paket ICMP secara berlebihan dan mengakibatkan mesin crash dan tidak dapat melayani request TCP/IP. 4. Udp Flood : serangan yang membuat admin merasa terkejut karena

serangan ini korban mendapatkan servernya yang terkena hang pada serangan ini. penyerang juga selalu menyembunyikan identitasnya agar sulit di lacak.

5. Syn Flooding : serangan ini mencari kelemahan dalam sistem protocol. serangan ini dengan mengirimkan Syn kepada komputer target sehingga korban terus menerima paket - paket data yang tidak di inginkan.

6. Smurf Attack : Serangan yang memanfaatkan pihak ke tiga di mana si hacker menargetkan kepada si korban melalui daemon-daemon dari tools flooder.

2.4.1 Karakteristik Serangan DoS (Denial Of Services)

DoS attack ditandai oleh usaha attacker untuk mencegah legitimate user dari penggunaan resource yang diinginkan. Cara DoS attack :

1. Mencoba untuk membanjiri (flood) network, dengan demikian mencegah lalu lintas yang legitimate pada network.

2. Mencoba mengganggu koneksi antara dua mesin, dengan demikian mencegah suatu akses layanan.

3. Mencoba untuk mencegah individu tertentu dari mengakses layanan. 4. Mencoba untuk mengganggu layanan sistem yang spesifik atau layanan itu

sendiri. 2.5 IP-Tables

Ip-tables adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. IP-Tables merupakan firewall bawaan Linux. Ip-tables mampu melakukan filtering dari layer transport sampai layer physical. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita. Membahas

22

prinsip dasar firewall iptables, mengelola akses internet berdasarkan alamat IP, port aplikasi dan MAC address. Firewall IP¬Tables packet filtering memiliki tiga aturan (policy), yaitu :

1. Input.

Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola komputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSH ke firewall dan yang lain tidak boleh.

2. Output.

Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri.

3. Forward.

Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP.

2.5.1 Parameter IP-Tables

Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan target, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak. Status Target ada tiga macam yaitu :

1. Accept.

Akses diterima dan diizinkan melewati firewall. 2. Reject.

Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapat pesan “Connection Refused”. Target reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan drop.

23

3. Drop.

Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna melihat seakan - akan server yang dihubungi mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi target drop sebaiknya jangan digunakan.

2.6 Tinjauan Studi

Dalam pelaksanaan penelitian ini digunakan beberapa tinjauan studi yang akan digunakan untuk mendukung pelaksanaan penelitian yang dilakukan. Beberapa tinjauan studi yang diambil adalah :

1. Oleh Regina Riyantika (2013), dengan judul Analisis Kinerja Sistem Pengamanan Jaringan Dengan Menggunakan Snort IDS dan Ip-Tables di Area Laboratorium RDNM (Research and Development Network Management) PT. TELKOM R&D Center. Dari Institut Teknologi Nasional Bandung. Pada penelitian ini penulis akan membangun sebuah perancangan sistem keamanan jaringan komputer dengan menggunakan Snort Intrusion Detection System dan Ip-tables untuk mendeteksi dan mencegah serangan penyusup (intruder). Jenis serangan yang digunakan yaitu Port Scanning. Pada penelitian ini penulis melakukan analisis sisi performance pada sistem kinerja server yaitu membandingkan nilai atau kinerja dari proses memory, processor, swap dan traffic pada jaringan sebelum terjadi serangan dan sesudah terjadi serangan.

2. Oleh I Gusti Ngurah Arya Sucipta (2012), dengan judul Analisis Kinerja Anomaly-Based Intrusion Detection System (IDS) Dalam Mendeteksi Serangan DOS (Denial Of Services) Pada Jaringan Komputer dari Universitas Udayana. Dalam penelitian ini, penulis berfokus terhadap pendeteksian serangan DoS traffic Flooding dengan menggunakan Anomaly-based. Pada penelitian ini penulis melakukan analisis tingkat deteksi serangan dari Anomaly-Based IDS dengan melakukan pengukuran

24

akurasi serangan dengan menggunakkan informasi Baseline Anomaly-based IDS dari 3 kali proses pembentukan baseline yang dilakukan.

3. Oleh Agita Syaimi Putri Utami (2013), dengan judul Perancangan dan Analisis Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan Snort IDS dan Honeyd dari Institut Teknologi Nasional Bandung. Dalam penelitian ini, penulis melakukan pencegahan penyusupan menggunakan Snort IDS dan Honeyd. Snort IDS ini bekerja dengan cara mendeteksi serangan yang telah dilakukan oleh penyusup (intruder). Setelah serangan berhasil terdeteksi, maka serangan tersebut akan dibelokkan ke server palsu (Honeyd). Akibat dari serangan penyusup adalah terjadinya gangguan pada sisi sistem kinerja server. Jenis serangan yang digunakan dalam perancangan ini adalah Port Scanning, dengan parameter yang diujikan kinerja CPU dan Memory

Dari ketiga tinjauan studi yang digunakan sebagai pendukung dalam penelitian ini tentunya terdapat perbedaan dari ketiga tinjauan tersebut dengan penelitian yang akan dilakukan. Dimana pada tinjauan studi yang pertama yang

berjudul “Analisis Kinerja Sistem Pengamanan Jaringan Dengan Menggunakan Snort IDS dan Ip-Tables di Area Laboratorium RDNM (Research and Development Network Management) PT. TELKOM R&D Center”. Perbedaan yang penulis lakukan, dalam melakukan penyerangan menggunakan jenis serangan ICMP Flooding dengan parameter yang diteliti bagaimana IP-Tables Otomatis yang berintegrasi dengan Snort IDS.

Untuk tinjauan studi kedua yang berjudul “Analisis Kinerja Anomaly-Based Intrusion Detection System (IDS) Dalam Mendeteksi Serangan DOS (Denial Of Services) Pada Jaringan Komputer”. Perbedaan yang penulis lakukan dalam melakukan penyerangan menggunakan jenis serangan ICMP Flooding dengan menggunakan cara kerja pendeteksian signature base IDS

Untuk tinjauan studi ketiga yang berjudul “Perancangan dan Analisis Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan Snort IDS dan Honeyd” perbedaan yang penulisan lakukan, dalam melakukan penyerangan

25

menggunakaan jenis serangan ICMP Flooding dengan pencegahan menggunakan IP-Tables. Parameter yang diteliti bagaimana IP-Tables Otomatis yang berintegrasi dengan Snort IDS.

lain melakukan serangan DoS adalah dengan mengirimkan data rusak atau data yang tidak mampu di tangani oleh server target sehingga server tersebut menjadi hang (tidak bisa berfungsi sebagaimana mestinya dan perlu di restart ulang). Dalam sebuah serangan Denial of Service, penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut :

1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.

2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.

3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.

Tujuan serangan ini adalah membuat server shutdown, reboot, crash, “not responding”. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti menyerang, server baru normal kembali setelah di-restart/reboot.

Beberapa contoh Serangan DoS adalah :

1. Ping of Death : ping ini di gunakan untuk memeriksa utility ping untuk mengetahui ip dan jenis host yang di gunakan. ping ini sering kita jumpai di CMD pada Os windows. serangan ini sudah tidak terlalu ampuh karena proses yang cukup lama dan website - website juga melakukan update secara berkala.

2. Buffer Overflow mengirimkan data yang melebihi kapasitas system, misalnya paket ICMP yang berukuran sangat besar.

3. ICMP Flooding : Mengirimkan paket ICMP secara berlebihan dan mengakibatkan mesin crash dan tidak dapat melayani request TCP/IP. 4. Udp Flood : serangan yang membuat admin merasa terkejut karena

serangan ini korban mendapatkan servernya yang terkena hang pada serangan ini. penyerang juga selalu menyembunyikan identitasnya agar sulit di lacak.

5. Syn Flooding : serangan ini mencari kelemahan dalam sistem protocol. serangan ini dengan mengirimkan Syn kepada komputer target sehingga korban terus menerima paket - paket data yang tidak di inginkan.

6. Smurf Attack : Serangan yang memanfaatkan pihak ke tiga di mana si hacker menargetkan kepada si korban melalui daemon-daemon dari tools flooder.

2.4.1 Karakteristik Serangan DoS (Denial Of Services)

DoS attack ditandai oleh usaha attacker untuk mencegah legitimate user dari penggunaan resource yang diinginkan. Cara DoS attack :

1. Mencoba untuk membanjiri (flood) network, dengan demikian mencegah lalu lintas yang legitimate pada network.

2. Mencoba mengganggu koneksi antara dua mesin, dengan demikian mencegah suatu akses layanan.

3. Mencoba untuk mencegah individu tertentu dari mengakses layanan. 4. Mencoba untuk mengganggu layanan sistem yang spesifik atau layanan itu

sendiri.

2.5 IP-Tables

Ip-tables adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. IP-Tables merupakan firewall bawaan Linux. Ip-tables mampu melakukan filtering dari layer transport sampai layer physical. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita. Membahas

prinsip dasar firewall iptables, mengelola akses internet berdasarkan alamat IP, port aplikasi dan MAC address. Firewall IP¬Tables packet filtering memiliki tiga aturan (policy), yaitu :

1. Input.

Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola komputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP 192.168.1.100 yang bisa SSH ke firewall dan yang lain tidak boleh.

2. Output.

Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri.

3. Forward.

Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP.

2.5.1 Parameter IP-Tables

Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan target, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak. Status Target ada tiga macam yaitu :

1. Accept.

Akses diterima dan diizinkan melewati firewall. 2. Reject.

Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapat pesan “Connection Refused”. Target reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan drop.

3. Drop.

Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna melihat seakan - akan server yang dihubungi mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi target drop sebaiknya jangan digunakan.

2.6 Tinjauan Studi

Dalam pelaksanaan penelitian ini digunakan beberapa tinjauan studi yang akan digunakan untuk mendukung pelaksanaan penelitian yang dilakukan. Beberapa tinjauan studi yang diambil adalah :

1. Oleh Regina Riyantika (2013), dengan judul Analisis Kinerja Sistem Pengamanan Jaringan Dengan Menggunakan Snort IDS dan Ip-Tables di Area Laboratorium RDNM (Research and Development Network Management) PT. TELKOM R&D Center. Dari Institut Teknologi Nasional Bandung. Pada penelitian ini penulis akan membangun sebuah perancangan sistem keamanan jaringan komputer dengan menggunakan Snort Intrusion Detection System dan Ip-tables untuk mendeteksi dan mencegah serangan penyusup (intruder). Jenis serangan yang digunakan yaitu Port Scanning. Pada penelitian ini penulis melakukan analisis sisi performance pada sistem kinerja server yaitu membandingkan nilai atau kinerja dari proses memory, processor, swap dan traffic pada jaringan sebelum terjadi serangan dan sesudah terjadi serangan.

2. Oleh I Gusti Ngurah Arya Sucipta (2012), dengan judul Analisis Kinerja Anomaly-Based Intrusion Detection System (IDS) Dalam Mendeteksi Serangan DOS (Denial Of Services) Pada Jaringan Komputer dari Universitas Udayana. Dalam penelitian ini, penulis berfokus terhadap pendeteksian serangan DoS traffic Flooding dengan menggunakan Anomaly-based. Pada penelitian ini penulis melakukan analisis tingkat deteksi serangan dari Anomaly-Based IDS dengan melakukan pengukuran

akurasi serangan dengan menggunakkan informasi Baseline Anomaly-based IDS dari 3 kali proses pembentukan baseline yang dilakukan.

3. Oleh Agita Syaimi Putri Utami (2013), dengan judul Perancangan dan Analisis Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan Snort IDS dan Honeyd dari Institut Teknologi Nasional Bandung. Dalam penelitian ini, penulis melakukan pencegahan penyusupan menggunakan Snort IDS dan Honeyd. Snort IDS ini bekerja dengan cara mendeteksi serangan yang telah dilakukan oleh penyusup (intruder). Setelah serangan berhasil terdeteksi, maka serangan tersebut akan dibelokkan ke server palsu (Honeyd). Akibat dari serangan penyusup adalah terjadinya gangguan pada sisi sistem kinerja server. Jenis serangan yang digunakan dalam perancangan ini adalah Port Scanning, dengan parameter yang diujikan kinerja CPU dan Memory

Dari ketiga tinjauan studi yang digunakan sebagai pendukung dalam penelitian ini tentunya terdapat perbedaan dari ketiga tinjauan tersebut dengan penelitian yang akan dilakukan. Dimana pada tinjauan studi yang pertama yang berjudul “Analisis Kinerja Sistem Pengamanan Jaringan Dengan Menggunakan Snort IDS dan Ip-Tables di Area Laboratorium RDNM (Research and Development Network Management) PT. TELKOM R&D Center”. Perbedaan yang penulis lakukan, dalam melakukan penyerangan menggunakan jenis serangan ICMP Flooding dengan parameter yang diteliti bagaimana IP-Tables Otomatis yang berintegrasi dengan Snort IDS.

Untuk tinjauan studi kedua yang berjudul “Analisis Kinerja Anomaly-Based Intrusion Detection System (IDS) Dalam Mendeteksi Serangan DOS (Denial Of Services) Pada Jaringan Komputer”. Perbedaan yang penulis lakukan dalam melakukan penyerangan menggunakan jenis serangan ICMP Flooding dengan menggunakan cara kerja pendeteksian signature base IDS

Untuk tinjauan studi ketiga yang berjudul “Perancangan dan Analisis Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan Snort IDS dan Honeyd” perbedaan yang penulisan lakukan, dalam melakukan penyerangan

menggunakaan jenis serangan ICMP Flooding dengan pencegahan menggunakan IP-Tables. Parameter yang diteliti bagaimana IP-Tables Otomatis yang berintegrasi dengan Snort IDS.